Automatická registrace zařízení s macOS pomocí Apple Business Manageru nebo Apple School Manageru

Důležité

Apple nedávno přešel z Programu registrace zařízení Apple (DEP) na Automatickou registraci zařízení Apple (ADE). Intune v souvislosti s tím právě aktualizuje uživatelské rozhraní Intune. Dokud se tyto změny nedokončí, bude se vám na portálu Intune dál zobrazovat Program registrace zařízení. Teď se všude používá Automatická registrace zařízení.

Registraci v Intune můžete nastavit pro zařízení s macOS zakoupená přes Apple Business Manager nebo Apple School Manager. Tyto registrace můžete použít pro velký počet zařízení, i když je nemáte fyzicky v rukou. Tato zařízení s macOS můžete dát rovnou uživatelům. Když uživatel zařízení zapne, Průvodce nastavením spustí předem nakonfigurovaná nastavení a zařízení se zaregistruje do správy v Intune.

K nastavení registrace můžete použít portál Intune nebo portály Apple. Vytvoříte registrační profily obsahující nastavení aplikovaná na zařízení během registrace.

Registrace přes Apple Business Manager ani Apple School Manager nefungují se správcem registrace zařízení.

Požadavky

Získání tokenu Apple ADE

Než budete moct zaregistrovat zařízení s macOS pomocí ADE nebo Apple School Manageru, potřebujete získat soubor tokenu (.p7m) od společnosti Apple. Token umožňuje Intune synchronizovat informace o zařízeních, která vaše společnost vlastní. Umožňuje také Intune nahrát profily registrace do Applu a přiřadit tyto profily zařízením.

K vytvoření tokenu použijete portál Apple. Pomocí portálu Apple také přiřadíte zařízení do Intune ke správě.

Krok 1. Stáhněte si certifikát veřejného klíče Intune, který je potřebný k vytvoření tokenu.

  1. V centru pro správu Microsoft Endpoint Manageru zvolte Zařízení > macOS > Registrace macOS > Tokeny programu registrace > Přidat.

    Stáhněte token programu registrace zařízení.

  2. Výběrem možnosti Souhlasím udělte Microsoftu oprávnění k odesílání informací o uživatelích a zařízeních do společnosti Apple.

    Snímek obrazovky s podoknem Token Programu registrace v pracovním prostoru Certifikáty Apple pro stažení veřejného klíče

  3. Vyberte Stáhnout veřejný klíč a stáhněte si a místně uložte soubor šifrovacího klíče (.pem). Soubor .pem slouží k vyžádání certifikátu vztahu důvěryhodnosti z portálu Apple.

Krok 2. Pomocí klíče si stáhněte token od společnosti Apple.

  1. Zvolte Vytvořit token přes Apple Business Manager nebo Vytvořit token přes Apple School Manageru, čímž otevřete tak příslušný portál Apple, a přihlaste se pomocí Apple ID vaší společnosti. Toto Apple ID můžete použít k obnovení tokenu.

  2. V případě programu DEP na portálu Apple zvolte Začínáme pro Program registrace zařízení > Správa serverů > Přidat server MDM.

  3. V případě Apple School Manageru na portálu Apple zvolte Servery MDM > Přidat MDM Server.

  4. Zadejte název serveru MDM a zvolte Další. Název serveru slouží pro vaši informaci, abyste mohli identifikovat server pro správu mobilních zařízení (MDM). Není to název serveru Microsoft Intune ani jeho URL.

  5. Otevře se dialogové okno pro přidání<názvu serveru>, ve kterém se zobrazí výzva, abyste nahráli svůj veřejný klíč. Vyberte Zvolit soubor…, abyste mohli nahrát soubor .pem, a pak zvolte Další.

  6. Přejděte na Programy nasazení > Program registrace zařízení > Správa zařízení.

  7. V části se způsobem výběru zařízení určete způsob identifikace zařízení:

    • Sériové číslo
    • Číslo objednávky
    • Nahrát soubor CSV

    Snímek obrazovky s výběrem zařízení podle sériového čísla, nastavením volby akce na přiřazení serveru a výběrem názvu serveru

  8. V možnosti Vybrat akci vyberte Přiřadit k serveru, vyberte <název_serveru> zadaný pro Microsoft Intune a pak zvolte OK. Portál Apple přiřadí daná zařízení k serveru Intune, aby bylo možné je spravovat, a pak zobrazí zprávu o dokončení přiřazení.

Krok 3. Uložte si Apple ID, které jste použili k vytvoření tohoto tokenu.

V centru pro správu Microsoft Endpoint Manageru zadejte Apple ID pro budoucí použití.

Snímek obrazovky s Apple ID použitým k vytvoření tokenu programu registrace a přechodem na token programu registrace

Krok 4. Nahrajte token.

V poli Token Apple přejděte k souboru certifikátu (.pem), zvolte Otevřít a pak zvolte Vytvořit. Certifikát Push Certificate umožňuje Intune registrovat a spravovat zařízení s macOS tím, že do registrovaných zařízení doručí zásady. Intune se automaticky synchronizuje s Apple, aby bylo možné zobrazit účet registračního programu.

Vytvoření registračního profilu Apple

Po nainstalování tokenu můžete vytvořit registrační profil pro zařízení. Registrační profil zařízení definuje nastavení, která se během registrace použijí pro skupinu zařízení.

  1. V centru pro správu Microsoft Endpoint Manageru zvolte Zařízení > macOS > Registrace macOS > Tokeny programu registrace.

  2. Vyberte token, zvolte Profily a potom zvolte Vytvořit profil > macOS.

    Snímek obrazovky pro vytvoření profilu

  3. Na stránce Základní informace zadejte Název a Popis profilu pro účely správy. Uživatelům se tyto údaje nezobrazí. Pole Název můžete využít k vytvoření dynamické skupiny v Azure Active Directory. Název profilu použijte k definování parametru enrollmentProfileName pro přiřazení zařízení s tímto registračním profilem. Přečtěte si další informace o dynamických skupinách Azure Active Directory.

    Název a popis profilu

  4. Jako platformu zvolte macOS.

  5. Výběrem možnosti Další přejděte na stránku Nastavení pro správu.

  6. V části Přidružení uživatele vyberte, jestli zařízení s tímto profilem musí mít při registraci přiřazeného uživatele.

    • Zaregistrovat s přidružením uživatele – tuto možnost vyberte u zařízení patřících uživatelům, kteří chtějí aplikaci Portál společnosti používat pro služby, jako je instalace aplikací. Při použití ADFS vyžaduje přidružení uživatelů koncový bod WS-Trust 1.3 Username/Mixed. Další informace Tuto možnost zvolte, pokud potřebujete vícefaktorové ověřování (MFA).

    • Zaregistrovat bez přidružení uživatele – Tuto možnost zvolte pro zařízení nespojená s jedním uživatelem. Použijte ji pro zařízení určená k plnění úkolů, u kterých není potřeba přístup k místním uživatelským datům. Aplikace, jako je Portál společnosti, nefungují.

  7. Pokud jste pro pole Přidružení uživatele vybrali možnost Zaregistrovat s přidružením uživatele, máte teď možnost zvolit metodu ověřování, která se má použít při ověřování uživatelů. Jako metodu ověřování vyberte jednu z následujících možností:

    • Průvodce nastavením (starší verze): Staršího Průvodce nastavením použijte, pokud chcete, aby se uživatelům zobrazovalo typické prvotní prostředí produktů Apple. Při registraci zařízení ve správě přes Intune se tak nainstaluje standardní předkonfigurované nastavení. Pokud používáte Active Directory Federation Services (AD FS) a k ověřování používáte Průvodce nastavením, vyžaduje se koncový bod WS-Trust 1.3 Username/Mixed. Další informace

    • Průvodce nastavením s moderním ověřováním: Tuto metodu můžou používat zařízení s macOS 10.15 a novější (starší zařízení s macOS v tomto profilu se vrátí k použití procesu Průvodce nastavením (starší verze)).

      Pokud platí zásady podmíněného přístupu, které při registraci nebo při registraci a přihlašování přes Portál společnosti vyžadují vícefaktorové ověřování (MFA), pak se vyžaduje vícefaktorové ověřování. MFA je ale volitelné na základě nastavení Azure AD v cílových zásadách podmíněného přístupu.

      Po dokončení všech obrazovek Průvodce nastavením se koncový uživatel dostane na domovskou stránku (v tomto okamžiku se vytvoří přidružení uživatele). Dokud se ale uživatel nepřihlásí k Portálu společnosti pomocí svých přihlašovacích údajů Azure AD, zařízení:

      • Nebude plně zaregistrované ve službě Azure AD.
      • Nezobrazí se v seznamu zařízení uživatele na portálu Azure AD.
      • Nebude mít přístup k prostředkům chráněným podmíněným přístupem.
      • Nebude vyhodnocováno s ohledem na dodržování předpisů zařízeními.
      • Bude z ostatních aplikací přesměrováno na Portál společnosti, když se uživatel pokusí otevřít libovolnou spravovanou aplikaci, která je chráněná podmíněným přístupem.

      Další informace o tom, jak získat Portál společnosti pro macOS na zařízení uživatelů, najdete v tématu Přidání Portálu společnosti pro aplikaci pro macOS.

  8. Uzamčená registrace: Zvolte, jestli chcete pro zařízení, která používají tento profil, uzamčenou registraci. Ano zakáže nastavení macOS, která umožňují odebrání profilu správy z nabídky Předvolby systému nebo přes Terminál. Po registraci zařízení nemůžete toto nastavení změnit bez vymazání zařízení.

  9. Výběrem možnosti Další přejděte na stránku Průvodce nastavením.

  10. Na stránce Průvodce nastavením nakonfigurujte následující nastavení profilu:

    Nastavení oddělení Popis
    Název oddělení Zobrazí se, když uživatelé klepnou při aktivaci na O konfiguraci.
    Telefon na oddělení Zobrazí se, když uživatel při aktivaci klikne na tlačítko Potřebuji nápovědu.

    Můžete zvolit, jestli se různé obrazovky Průvodce nastavením mají uživateli zobrazit nebo skrýt.

    • Pokud zvolíte Skrýt, obrazovka se při nastavování nezobrazí. Po nastavení zařízení může uživatel přejít do nabídky Nastavení a funkci nastavit tam.
    • Pokud zvolíte Zobrazit, obrazovka se při nastavování zobrazí. Uživatel může obrazovku někdy přeskočit a neudělat žádnou akci. Může ale později přejít do nabídky zařízení Nastavení a funkci nastavit tam.
    Nastavení na obrazovce Průvodce nastavením Pokud zvolíte Zobrazit, zařízení při nastavování:
    Zjišťování polohy Vyzve uživatele k poskytnutí polohy. Pro macOS 10.11 a novější a iOS/iPadOS 7.0 a novější.
    Obnovení Zobrazí obrazovku Aplikace a data. Tato obrazovka nabídne uživateli při nastavování zařízení možnost obnovit nebo přenést data ze zálohy v iCloudu. Pro macOS 10.9 a novější a iOS/iPadOS 7.0 a novější.
    Apple ID Umožní uživateli přihlásit se pomocí svého Apple ID a používat iCloud. Pro macOS 10.9 a novější a iOS/iPadOS 7.0 a novější.
    Podmínky a ujednání Požaduje, aby uživatel přijal podmínky a ujednání společnosti Apple. Pro macOS 10.9 a novější a iOS/iPadOS 7.0 a novější.
    Touch ID a Face ID Umožní uživateli nastavit pro zařízení identifikaci otiskem prstu. Pro macOS 10.12.4 a novější a iOS/iPadOS 8.1 a novější.
    Apple Pay Umožní uživateli nastavit na zařízení Apple Pay. Pro macOS 10.12.4 a novější a iOS/iPadOS 7.0 a novější.
    Siri Umožní uživateli nastavit Siri. Pro macOS 10.12 a novější a iOS/iPadOS 7.0 a novější.
    Diagnostická data Zobrazí uživateli obrazovku Diagnostická data. Tato obrazovka umožní uživateli poslat společnosti Apple diagnostická data. Pro macOS 10.9 a novější a iOS/iPadOS 7.0 a novější.
    Tón zobrazení Poskytněte uživateli možnost zapnout tón zobrazení. Pro macOS 10.13.6 a novější a iOS/iPadOS 9.3.2 a novější.
    FileVault Zobrazí uživateli obrazovku šifrování FileVault 2. Pro macOS 10.10 a novější.
    Diagnostika iCloudu Zobrazí uživateli obrazovku analytiky iCloudu. Pro macOS 10.12.4 a novější.
    Registrace Zobrazte registrační obrazovku. Pro macOS 10.9 a novější.
    Úložiště v iCloudu Zobrazí uživateli obrazovku Dokumenty a plocha iCloudu. Pro macOS 10.13.4 a novější.
    Vzhled Zobrazí uživateli obrazovku Vzhled. Pro macOS 10.14 a novější a iOS/iPadOS 13.0 a novější.
    Čas u obrazovky Zobrazí obrazovku Čas u obrazovky. Pro macOS 10.15 a novější a iOS/iPadOS 12.0 a novější.
    Ochrana osobních údajů Zobrazí uživateli obrazovku Ochrana osobních údajů. Pro macOS 10.13.4 a novější a iOS/iPadOS 11.3 a novější.
    Přístupnost Zobrazte uživateli obrazovku Přístupnost. Pokud je tato obrazovka skrytá, uživatel nebude moct používat funkci Voice Over. Voice Over se podporuje na zařízeních, která:
    - Mají nainstalovaný macOS 11.
    - Jsou připojená k internetu pomocí sítě Ethernet.
    - Mají sériové číslo v Apple School Manageru nebo Apple Business Manageru.
    Automatické odemknutí pomocí Apple Watch (Preview) Dejte uživateli možnost používat Apple Watch k odemknutí macu. Pro macOS 12.0 a novější.
  11. Výběrem možnosti Další přejděte na stránku Zkontrolovat a vytvořit.

  12. Pokud chcete profil uložit, zvolte Vytvořit.

Synchronizace spravovaných zařízení

Teď, když má Intune oprávnění spravovat vaše zařízení, můžete synchronizovat Intune s Apple, aby se spravovaná zařízení zobrazila v Intune na portálu Azure Portal.

  1. V centru pro správu Microsoft Endpoint Manageru zvolte Zařízení > macOS > Registrace macOS > Tokeny programu registrace.

  2. Zvolte token v seznamu > Zařízení >Synchronizace. Snímek obrazovky s vybraným uzlem Zařízení programu registrace a vybraným odkazem pro synchronizaci

    Kvůli dodržení podmínek společnosti Apple, které se týkají přijatelných přenosů při registraci v programu, platí v Intune následující omezení:

    • Úplná synchronizace se nesmí pouštět častěji než jednou za sedm dní. Během úplné synchronizace načte Intune úplný aktualizovaný seznam sériových čísel přiřazených k serveru Apple MDM připojenému k Intune. Pokud se zařízení v rámci programu registrace odstraní z portálu Intune, aniž by se zrušilo jeho přiřazení ze serveru MDM Apple na portálu Apple, nebude možné ho do Intune znovu naimportovat, dokud neproběhne úplná synchronizace.
    • Pokud je zařízení uvolněné z ABM/ASM, může trvat až 45 dní, než se automaticky odstraní ze stránky zařízení v Intune. V případě potřeby můžete uvolněná zařízení ručně odstranit z Intune po jednom. Uvolněná zařízení se budou přesně hlásit jako odebraná z ABM/ASM v Intune, dokud se během 30–45 dnů automaticky neodstraní.
    • Synchronizace se spouští automaticky každých 24 hodin. Můžete ji také spustit kliknutím na tlačítko Synchronizovat (ne častěji než jednou za 15 minut). Každá žádost o synchronizaci má 15 minut na dokončení. Tlačítko Synchronizovat bude deaktivované, dokud se synchronizace nedokončí. Při synchronizaci se zaktualizuje stav existujících zařízení a naimportují se nová zařízení přiřazená k serveru Apple MDM.

Přiřazení profilu registrace zařízením

Než se můžou zařízení zaregistrovat, musíte přiřadit profil programu registrace.

  1. V centru pro správu Microsoft Endpoint Manageru zvolte Zařízení > macOS > Registrace macOS > Tokeny programu registrace > zvolte token v seznamu.
  2. Zvolte Zařízení > zvolte zařízení v seznamu > Přiřadit profil.
  3. V části Přiřadit profil zvolte profil pro zařízení > Přiřadit.

Přiřazení výchozího profilu

Můžete vybrat výchozí profil macOS a iOS/iPadOS, který se použije u všech zařízení, pokud při registraci použijí určitý token.

  1. V centru pro správu Microsoft Endpoint Manageru zvolte Zařízení > macOS > Registrace macOS > Tokeny programu registrace > zvolte token v seznamu.
  2. Zvolte Nastavit výchozí profil, v rozevíracím seznamu zvolte profil a potom zvolte Uložit. Tento profil se použije pro všechna zařízení, která se registrují s tímto tokenem.

Distribuujte zařízení

Povolili jste správu a synchronizaci mezi společností Apple a Intune a přiřadili jste profil, který umožní registraci zařízení. Teď můžete zařízení rozdělit mezi uživatele. U zařízení s přidruženými uživateli je potřeba, aby měl každý uživatel přiřazenu licenci Intune. Zařízení bez přidružení uživatele vyžadují licenci zařízení.

Zařízení zaregistrovaná v ABM/ASM a s přiřazeným profilem v Intune je možné zaregistrovat:

  • Při používání Průvodce nastavení pro nová nebo vymazaná zařízení.
  • Pomocí příkazu profiles po použití Průvodce nastavením.

Registrace zařízení s macOS zaregistrovaných v ABM/ASM pomocí automatické registrace zařízení při používání Průvodce nastavením

Zařízení nakonfigurovaná v ABM/ASM se automaticky zaregistrují do správy pomocí Intune při používání Průvodce nastavením s výzvou ke vzdálené správě.

Poznámka

Pokud bylo zařízení přiřazeno k registračnímu profilu macOS s přidružením uživatele, musíte se přihlásit k Portálu společnosti, aby byla možná registrace v Azure AD a podmíněný přístup.

Registrace zařízení s macOS zaregistrovaných v ABM/ASM pomocí automatické registrace zařízení po použití Průvodce nastavením

Zařízení s macOS 10.13 a novějším můžete zaregistrovat podle těchto kroků.

  1. Na portálu Apple Business Manager nebo Apple School Manager naimportujte zařízení.
  2. V centru pro správu Microsoft Endpoint Manageru se ujistěte, že má zařízení přiřazený registrační profil macOS s přidružením uživatele nebo bez něj.
  3. Přihlaste se k zařízení pomocí účtu místního správce.
  4. Pokud chcete aktivovat registraci, na stránce Domů otevřete Terminál a spusťte následující příkaz: sudo profiles renew -type enrollment
  5. Zadejte heslo pro účet místního správce zařízení.
  6. V okně Registrace zařízení zvolte Podrobnosti.
  7. V okně Předvolby systému zvolte Profily.
  8. Postupujte podle pokynů a stáhněte profil správy, certifikáty a zásady z Intune. Profily na zařízení můžete kdykoli zobrazit tak, že přejdete na Předvolby systému > Profily.
  9. Pokud bylo zařízení přiřazeno k registračnímu profilu macOS s přidružením uživatele, musíte se přihlásit k Portálu společnosti, aby byla možná registrace v Azure AD a podmíněný přístup.

Obnovení tokenu ADE

  1. Přejděte na business.apple.com a přihlaste se účtem, který má roli Správce nebo Správce registrace zařízení.

  2. Zvolte Nastavení > v části Servery MDM zvolte server MDM přidružený k souboru tokenu, který chcete obnovit > Stáhnout token.

    Snímek obrazovky s tokenem pro stažení

  3. Zvolte Stáhnout token serveru.

  4. V centru pro správu Microsoft Endpoint Manageru zvolte Registrace zařízení > Registrace Apple > Tokeny programu registrace > zvolte token. Snímek obrazovky s možností Tokeny programu registrace

  5. Vyberte možnost Obnovit token a zadejte Apple ID, které jste použili k vytvoření původního tokenu.
    Snímek obrazovky s možností vygenerování nového tokenu

  6. Nahrajte nově stažený token.

  7. Zvolte Obnovit token. Zobrazí se potvrzení, že se token obnovil. Snímek obrazovky s potvrzením

Další kroky

Jakmile zaregistrujete zařízení s macOS, můžete je začít spravovat.