部署指南:在 Microsoft Intune 中管理 macOS 裝置
安全地存取 macOS 裝置上的工作電子郵件、資料和應用程式。 本文會引導您完成 macOS 特定工作,以協助您啟用 macOS 的行動裝置管理 Intune、設定原則及部署應用程式。
必要條件
完成下列必要條件,以在 Intune 中啟用macOS裝置管理:
如需 Microsoft Intune 角色和許可權的相關信息,請參閱具有 Microsoft Intune 的 RBAC。 Microsoft Entra 全域管理員和 Intune 系統管理員角色在 Microsoft Intune 內具有完整許可權。 全域管理員擁有比 Microsoft Intune 中許多裝置管理工作所需的更多許可權。 建議您使用完成工作所需的最低特殊許可權角色。 例如,可以完成裝置註冊工作的最低特殊許可權角色是原則和配置檔管理員,這是內建的 Intune 角色。
如需如何進行初始設定、上線或移至 Microsoft Intune 的詳細資訊,請參閱 Intune 設定部署指南。
規劃您的部署
使用 Microsoft Intune 規劃指南來定義您的裝置管理目標、使用案例和需求。 它也可協助您規劃推出、通訊、支援、測試和驗證。 例如,因為 App Store 中無法使用 macOS 的 公司入口網站 應用程式,建議您使用通訊計劃,讓終端使用者知道如何安裝 公司入口網站 並註冊其裝置。
註冊裝置
設定公司擁有和個人 macOS 裝置的註冊方法和體驗。 此步驟可確保裝置在註冊之後收到 Intune 原則和設定。 Intune 支援自備裝置 (BYOD) 註冊、Apple 自動化裝置註冊,以及公司裝置的直接註冊。 如需每個註冊方法的相關信息,以及如何選擇適合您組織的註冊方法,請參閱適用於 Microsoft Intune的 macOS 裝置註冊指南。
工作 | 詳細資料 |
---|---|
設定用戶擁有 (BYOD) 裝置的註冊 | 完成本文中的必要條件,以啟用用戶擁有裝置的註冊。 您也會找到要與裝置使用者共用的註冊資源和連結,讓他們在整個註冊體驗中都受到支援。 此註冊方法適用於具有 自備裝置 (BYOD) 原則的組織。 BYOD 可讓使用者使用其個人裝置來處理工作相關專案。 |
設定 Apple Automated Device Enrollment (ADE) | 設定現成的註冊體驗,以在透過Apple School Manager 或 Apple Business Manager 購買的公司擁有裝置上自動註冊。 此方法非常適合具有大量裝置的組織註冊,因為它不需要個別觸控和設定每個裝置。 |
設定公司裝置的直接註冊 | 為未與單一使用者無關的公司擁有裝置設定註冊體驗,例如共用空間或零售設定中使用的裝置。 直接註冊不會抹除裝置,因此最好在裝置不需要存取本機用戶數據時使用。 您必須將註冊配置檔直接傳輸至 Mac,這需要 USB 連線到執行 Apple Configurator 的 Mac 計算機。 |
新增裝置註冊管理員 | 人員 指定為裝置註冊管理員 (DEM) 一次最多可以註冊 1,000 部公司擁有的行動裝置。 DEM 帳戶在向使用者遞交裝置之前,在註冊和準備裝置的組織中很有用。 |
將裝置識別為公司擁有 | 您可以將公司擁有的狀態指派給裝置,以在 Intune 中啟用更多管理和識別功能。 公司擁有的狀態無法指派給透過Apple Business Manager 註冊的裝置。 |
變更裝置擁有權 | 註冊裝置之後,您可以將其在 Intune 中的擁有權標籤變更為公司擁有或個人擁有。 此調整會變更您管理裝置的方式。 |
疑難排解註冊問題 | 針對註冊期間發生的問題進行疑難解答並尋找解決方法。 |
建立合規性規則
建立合規性原則,以定義使用者和裝置必須符合才能存取受保護資源的規則和條件。 這是您確保存取數據的裝置符合標準的方式。 Intune 將不符合您需求的裝置標示為不符合規範,並採取動作 (例如根據您的設定傳送通知給使用者、限制存取或抹除裝置) 。
如果您建立條件式存取原則,它可以與您的裝置合規性結果一起運作,以封鎖不相容裝置對資源的存取。 如需合規性原則和如何開始使用的詳細說明,請參閱使用合規性原則為您使用 Intune 管理的裝置設定規則。
工作 | 詳細資料 |
---|---|
建立合規性政策 | 取得如何建立合規性政策並指派給使用者和裝置群組的逐步指引。 |
新增不符合規範的動作 | 選擇當裝置不再符合合規性政策的條件時,會發生什麼事。 您可以在設定裝置合規性政策時新增不符合規範的動作,或藉由編輯原則來新增後續動作。 |
建立裝置型或應用程式型條件式存取原則 | 指定您想要保護的應用程式或服務,並定義存取的條件。 |
封鎖對未使用新式驗證之應用程式的存取 | 建立以應用程式為基礎的條件式存取原則,以封鎖使用 OAuth2 以外的驗證方法的應用程式;例如,使用基本和窗體型驗證的應用程式。 不過,在封鎖存取之前,請先登入 Microsoft Entra ID 並檢閱驗證方法活動報告,以查看使用者是否使用基本身份驗證來存取您忘記或不知道的重要事項。 例如,會議室行事曆 Kiosk 之類的專案會使用基本身份驗證。 |
設定裝置設定
使用 Microsoft Intune 在用於工作的macOS裝置上啟用或停用設定和功能。 若要設定並強制執行這些設定,請建立裝置組態配置檔,然後將配置檔指派給組織中的群組。
工作 | 詳細資料 |
---|---|
在 Microsoft Intune 中建立裝置設定檔 | 瞭解您可以為組織建立的不同裝置配置檔類型。 |
設定裝置功能 | 設定常見的macOS功能。 如需此區域中設定的描述,請參閱 裝置功能參考。 |
設定 Wi-Fi 設定檔 | 此配置檔可讓人員尋找並連線到組織的 Wi-Fi 網路。 如需此區域中設定的描述,請參閱 Wi-Fi設定參考。 |
設定有線網路配置檔 | 此配置檔可讓桌面電腦上的人員連線到組織的有線網路。 如需此區域中設定的描述,請參閱 有線網路參考。 |
設定 VPN 設定檔 | 為連線到您組織網路的人員設定安全的 VPN 選項,例如 Microsoft Tunnel。 如需此區域中設定的描述,請參閱 VPN 設定參考。 |
限制裝置功能 | 藉由限制使用者可在公司或學校使用的裝置功能,保護使用者免於未經授權的存取和干擾。 如需此區域中設定的描述,請參閱 裝置限制參考。 |
設定自訂配置檔 | 新增和指派未內建於 Intune的裝置設定和功能。 |
新增和管理macOS擴充功能 | 新增核心延伸模組和系統延伸模組,讓用戶能夠安裝延伸操作系統原生功能的應用程式延伸模組。 如需此區域中設定的描述,請參閱 macOS 延伸模組參考。 |
自定義商標和註冊體驗 | 使用您組織自己的文字、商標、螢幕喜好設定和連絡資訊,自定義 Intune 公司入口網站 和 Microsoft Intune 應用程式體驗。 |
設定端點安全性
使用 Intune 端點安全性功能來設定裝置安全性,以及管理有風險裝置的安全性工作。
工作 | 詳細資料 |
---|---|
使用端點安全性功能管理裝置 | 使用 Intune 中的端點安全性設定,有效地管理裝置安全性,並補救裝置的問題。 |
使用條件式存取來限制存取Microsoft通道 | 使用條件式存取原則,將裝置存取權限制為Microsoft通道 VPN 閘道。 |
新增端點保護設定 | 設定常見的端點保護安全性功能,包括防火牆、閘道守衛和 FileVault。 如需此區域中設定的描述,請參閱 Endpoint Protection 設定參考。 |
設定安全的驗證方法
在 Intune 中設定驗證方法,以確保只有授權的人員才能存取您的內部資源。 Intune 支援多重要素驗證、憑證和衍生認證。 憑證也可用於使用 S/MIME 簽署和加密電子郵件。
工作 | 詳細資料 |
---|---|
需要多重要素驗證 (MFA) | 要求人員在註冊時提供兩種形式的認證。 |
建立受信任的憑證配置檔 | 在您建立 SCEP、PKCS 或 PKCS 匯入的憑證配置檔之前,請先建立並部署受信任的憑證配置檔。 受信任的憑證配置檔會使用 SCEP、PKCS 和 PKCS 匯入的憑證,將受信任的跟證書部署到裝置和使用者。 |
搭配使用 SCEP 憑證與 Intune | 瞭解搭配使用 SCEP 憑證與 Intune,以及設定必要基礎結構所需的專案。 這麼做之後,您可以 建立SCEP憑證配置檔 ,或 使用SCEP設定第三方證書頒發機構單位。 |
搭配使用 PKCS 憑證與 Intune | 設定必要的基礎結構 (,例如內部部署憑證連接器) 、匯出 PKCS 憑證,以及將憑證新增至 Intune 裝置組態配置檔。 |
搭配使用匯入的 PKCS 憑證與 Intune | 設定匯入的 PKCS 憑證,可讓您 設定及使用 S/MIME 來加密電子郵件。 |
部署應用程式
當您設定應用程式和應用程式原則時,請考慮組織的需求,例如您將支援的平臺、人員執行的工作、完成這些工作所需的應用程式類型,以及需要這些工作的人。 您可以使用 Intune 來管理整個裝置 (包括應用程式) 或使用 Intune 來管理應用程式。
工作 | 詳細資料 |
---|---|
新增 Intune 公司入口網站 應用程式 | 瞭解如何在裝置上取得 公司入口網站,或指示使用者如何自行進行。 |
新增 Microsoft Edge | 在 Intune 中新增和指派 Microsoft Edge。 |
新增 Microsoft 365 | 在 Intune 中新增和指派Microsoft 365 應用程式。 |
新增企業營運應用程式 | 在 Intune 中新增和指派 macOS 企業營運 (LOB) 應用程式。 |
將應用程式指派給群組 | 將應用程式新增至 Intune 之後,請將它們指派給用戶和裝置。 |
包含和排除應用程式指派 | 藉由在指派中包含和排除選取的群組,來控制應用程式的存取和可用性。 |
在macOS裝置上使用殼層腳本 | 使用殼層腳本,將裝置管理功能擴充 Intune 超出 macOS 操作系統所支援的功能。 |
執行遠端動作
設定裝置之後,您可以在 Intune 中使用遠端動作,從距離管理 macOS 裝置並進行疑難解答。 下列文章將介紹 Intune 中的遠程動作。 如果入口網站中沒有或停用動作,則macOS不支援該動作。
工作 | 詳細資料 |
---|---|
在裝置上採取遠端動作 | 瞭解如何在 Intune 中向下切入及從遠端管理個別裝置並進行疑難解答。 本文列出 Intune 中所有可用的遠端動作,以及這些程序的連結。 |
使用 TeamViewer 遠端管理 Intune 裝置 | 在 Intune 內設定 TeamViewer,並瞭解如何從遠端管理裝置。 |
使用安全性工作來檢視威脅和弱點 | 整合 Intune 與 適用於端點的 Microsoft Defender,以利用適用於端點的 Defender 威脅與弱點管理,並使用 Intune 來補救 Defender 弱點管理功能所識別的端點弱點。 |
後續步驟
如需如何流覽及使用 Intune 的教學課程,請參閱逐步解說 Intune 系統管理中心。 教學課程是 100 – 200 層級的內容,適用於新 Intune 或特定案例的人員。
如需應用程式部署的教學課程,請參閱 Intune 支援小組撰寫的下列 Microsoft Tech Community 部落格:
如需本指南的其他版本,請參閱: