Używanie skryptów powłoki na urządzeniach z systemem macOS w Intune

Użyj skryptów powłoki, aby rozszerzyć możliwości zarządzania urządzeniami w Intune, poza to, co jest obsługiwane przez system operacyjny macOS.

Uwaga

Aplikacja Rosetta 2 jest wymagana do uruchamiania aplikacji w wersji x64 (Intel) na komputerach Apple Silicon Mac. Aby automatycznie zainstalować aplikację Rosetta 2 na komputerach Mac z systemem Apple Silicon, możesz wdrożyć skrypt powłoki w Endpoint Manager. Aby wyświetlić przykładowy skrypt, zobacz Rosetta 2 Installation Script (Skrypt instalacji rosetta 2).

Wymagania wstępne

Upewnij się, że podczas tworzenia skryptów powłoki i przypisywania ich do urządzeń z systemem macOS spełnione są następujące wymagania wstępne.

  • Na urządzeniach działa system macOS 10.13 lub nowszy.
  • Urządzenia są zarządzane przez Intune.
  • Skrypty powłoki zaczynają się od #! i muszą znajdować się w prawidłowej lokalizacji, takiej jak #!/bin/sh lub #!/usr/bin/env zsh.
  • Są zainstalowane interpretery wiersza polecenia dla odpowiednich powłok.

Ważne zagadnienia przed użyciem skryptów powłoki

  • Skrypty powłoki wymagają, aby agent zarządzania Microsoft Intune został pomyślnie zainstalowany na urządzeniu z systemem macOS. Aby uzyskać więcej informacji, zobacz Microsoft Intune agenta zarządzania dla systemu macOS.
  • Skrypty powłoki są uruchamiane równolegle na urządzeniach jako oddzielne procesy.
  • Skrypty powłoki uruchamiane jako zalogowany użytkownik będą uruchamiane dla wszystkich aktualnie zalogowanych kont użytkowników na urządzeniu w momencie uruchomienia.
  • Użytkownik końcowy musi zalogować się na urządzeniu w celu wykonywania skryptów uruchomionych jako zalogowany użytkownik.
  • Uprawnienia użytkownika głównego są wymagane, jeśli skrypt wymaga wprowadzenia zmian, których standardowe konto użytkownika nie może.
  • Skrypty powłoki będą próbować uruchamiać częściej niż wybrana częstotliwość skryptu dla określonych warunków, na przykład jeśli dysk jest pełny, jeśli lokalizacja magazynu jest naruszona, jeśli lokalna pamięć podręczna zostanie usunięta lub jeśli urządzenie Mac zostanie ponownie uruchomione.

Tworzenie i przypisywanie zasad skryptu powłoki

  1. Zaloguj się do Centrum Endpoint Manager Administracja Microsoft.

  2. Wybierz pozycję Urządzenia > skrypty powłoki > systemu macOS > Dodaj.

  3. W obszarze Podstawy wprowadź następujące właściwości, a następnie wybierz pozycję Dalej:

    • Nazwa: wprowadź nazwę skryptu powłoki.
    • Opis: wprowadź opis skryptu powłoki. To ustawienie jest opcjonalne, ale zalecane.
  4. W obszarze Ustawienia skryptu wprowadź następujące właściwości, a następnie wybierz pozycję Dalej:

    • Przekaż skrypt: przejdź do skryptu powłoki. Rozmiar pliku skryptu musi być mniejszy niż 200 KB.
    • Uruchom skrypt jako zalogowany użytkownik: wybierz pozycję Tak , aby uruchomić skrypt z poświadczeniami użytkownika na urządzeniu. Wybierz pozycję Nie (wartość domyślna), aby uruchomić skrypt jako użytkownik główny.
    • Ukryj powiadomienia skryptu na urządzeniach: Domyślnie powiadomienia skryptów są wyświetlane dla każdego uruchamianego skryptu. Użytkownicy końcowi widzą , że it konfiguruje powiadomienie komputera z Intune na urządzeniach z systemem macOS.
    • Częstotliwość skryptu: Wybierz częstotliwość uruchamiania skryptu. Wybierz pozycję Nie skonfigurowano (wartość domyślna), aby uruchomić skrypt tylko raz.
    • Maksymalna liczba ponownych prób w przypadku niepowodzenia skryptu: Wybierz, ile razy skrypt powinien zostać uruchomiony, jeśli zwraca kod zakończenia inny niż zero (zero oznacza powodzenie). Wybierz pozycję Nie skonfigurowano (wartość domyślna), aby nie ponawiać próby, gdy skrypt zakończy się niepowodzeniem.
  5. W obszarze Tagi zakresu opcjonalnie dodaj tagi zakresu dla skryptu, a następnie wybierz pozycję Dalej. Tagi zakresu umożliwiają określenie, kto może wyświetlać skrypty w Intune. Aby uzyskać szczegółowe informacje na temat tagów zakresu, zobacz Używanie kontroli dostępu opartej na rolach i tagów zakresu dla rozproszonego it.

  6. Wybierz pozycję Przypisania > Wybierz grupy do uwzględnienia. Zostanie wyświetlona istniejąca lista grup Azure AD. Wybierz co najmniej jedną grupę użytkowników lub urządzeń, które mają otrzymać skrypt. Zaznacz pozycję Wybierz. Wybrane grupy są wyświetlane na liście i będą otrzymywać zasady skryptu.

    Uwaga

    • Skrypty powłoki przypisane do grup użytkowników mają zastosowanie do każdego użytkownika logującego się na komputerze Mac.
    • Aktualizowanie przypisań skryptów powłoki powoduje również zaktualizowanie przypisań dla Microsoft Intune agenta MDM dla systemu macOS.
  7. W obszarze Przeglądanie i dodawanie zostanie wyświetlone podsumowanie skonfigurowanych ustawień. Wybierz pozycję Dodaj , aby zapisać skrypt. Po wybraniu pozycji Dodaj zasady skryptu są wdrażane w wybranych grupach.

Utworzony skrypt zostanie wyświetlony na liście skryptów.

Monitorowanie zasad skryptu powłoki

Możesz monitorować stan uruchamiania wszystkich przypisanych skryptów dla użytkowników i urządzeń, wybierając jeden z następujących raportów:

  • Skrypty > wybieranie skryptu do monitorowania > Stan urządzenia
  • Skrypty > wybieranie skryptu do monitorowania > Stan użytkownika

Ważne

Niezależnie od wybranej częstotliwości skryptu stan uruchomienia skryptu jest zgłaszany tylko przy pierwszym uruchomieniu skryptu. Stan uruchomienia skryptu nie jest aktualizowany w kolejnych przebiegach. Jednak zaktualizowane skrypty są traktowane jako nowe skrypty i ponownie zgłosi stan uruchomienia.

Po uruchomieniu skryptu zwraca on jeden z następujących stanów:

  • Stan uruchomienia skryptu Failed wskazuje, że skrypt zwrócił kod zakończenia inny niż zero lub skrypt jest źle sformułowany.
  • Stan uruchomienia skryptu powodzenie wskazuje, że skrypt zwrócił zero jako kod zakończenia.

Rozwiązywanie problemów z zasadami skryptów powłoki systemu macOS przy użyciu zbierania dzienników

Dzienniki urządzeń można zbierać, aby ułatwić rozwiązywanie problemów ze skryptami na urządzeniach z systemem macOS.

Wymagania dotyczące zbierania dzienników

Następujące elementy są wymagane do zbierania dzienników na urządzeniu z systemem macOS:

  • Musisz określić pełną bezwzględną ścieżkę pliku dziennika.
  • Ścieżki plików muszą być rozdzielone tylko średnikami (;).
  • Maksymalny rozmiar kolekcji dzienników do przekazania to 60 MB (skompresowane) lub 25 plików, w zależności od tego, co nastąpi wcześniej.
  • Typy plików, które są dozwolone dla zbierania dzienników, obejmują następujące rozszerzenia: .log, .zip, .gz, .tar, .txt, .xml, .crash, .rtf

Zbieranie dzienników urządzeń

  1. Zaloguj się do centrum administracyjnego programu Microsoft Endpoint Manager.

  2. Przejdź do pozycji Skrypty urządzeń > i wybierz skrypt powłoki systemu macOS.

  3. W obszarze Stan urządzenia lub Raport o stanie użytkownika wybierz urządzenie.

  4. Wybierz pozycję Zbierz dzienniki, podaj ścieżki folderów plików dziennika oddzielonych tylko średnikami (;) bez spacji lub nowych linii między ścieżkami.
    Na przykład wiele ścieżek powinno być zapisywanych jako /Path/to/logfile1.zip;/Path/to/logfile2.log.

    Ważne

    Wiele ścieżek plików dziennika rozdzielonych przecinkami, kropkami, nowymi wierszami lub cudzysłowami ze spacjami lub bez tych znaków spowoduje błąd zbierania dzienników. Spacje są również niedozwolone jako separatory między ścieżkami.

  5. Wybierz przycisk OK. Dzienniki są zbierane przy następnym zaewidencjonowaniu agenta zarządzania Intune na urządzeniu przy użyciu Intune. To zaewidencjonowynie odbywa się zwykle co 8 godzin.

    Uwaga

    • Zebrane dzienniki są szyfrowane na urządzeniu, przesyłane i przechowywane w usłudze Microsoft Azure Storage przez 30 dni. Przechowywane dzienniki są odszyfrowywane na żądanie i pobierane przy użyciu centrum administracyjnego firmy Microsoft Endpoint Manager.
    • Oprócz dzienników określonych przez administratora dzienniki agenta zarządzania Intune są również zbierane z następujących folderów: /Library/Logs/Microsoft/Intune i ~/Library/Logs/Microsoft/Intune. Nazwy plików dziennika agenta to IntuneMDMDaemon date--time.log i IntuneMDMAgent date--time.log.
    • Jeśli brakuje dowolnego pliku określonego przez administratora lub ma nieprawidłowe rozszerzenie pliku, te nazwy plików znajdują się na liście w LogCollectionInfo.txtpliku .

Błędy zbierania dzienników

Zbieranie dzienników może zakończyć się niepowodzeniem z powodu któregokolwiek z następujących powodów podanych w poniższej tabeli. Aby rozwiązać te błędy, wykonaj kroki korygowania.

Kod błędu (szesnastkowa) Kod błędu (grudzień) Komunikat o błędzie Kroki korygowania
0X87D300D1 2016214834 Rozmiar pliku dziennika nie może przekraczać 60 MB. Upewnij się, że skompresowane dzienniki mają rozmiar mniejszy niż 60 MB.
0X87D300D1 2016214831 Podana ścieżka pliku dziennika musi istnieć. Folder użytkownika systemu jest nieprawidłową lokalizacją plików dziennika. Upewnij się, że podana ścieżka pliku jest prawidłowa i dostępna.
0X87D300D2 2016214830 Przekazywanie pliku zbierania dzienników nie powiodło się z powodu wygaśnięcia adresu URL przekazywania. Ponów próbę wykonania akcji Zbierz dzienniki .
0X87D300D3, 0X87D300D5, 0X87D300D7 2016214829, 2016214827, 2016214825 Przekazywanie pliku zbierania dzienników nie powiodło się z powodu błędu szyfrowania. Ponów próbę przekazania dziennika. Ponów próbę wykonania akcji Zbierz dzienniki .
2016214828 Liczba plików dziennika przekroczyła dozwolony limit 25 plików. Jednocześnie można zbierać tylko maksymalnie 25 plików dziennika.
0X87D300D6 2016214826 Przekazywanie pliku zbierania dzienników nie powiodło się z powodu błędu zip. Ponów próbę przekazania dziennika. Ponów próbę wykonania akcji Zbierz dzienniki .
2016214740 Nie można zaszyfrować dzienników, ponieważ nie znaleziono skompresowanych dzienników. Ponów próbę wykonania akcji Zbierz dzienniki .
2016214739 Dzienniki zostały zebrane, ale nie można ich przechowywać. Ponów próbę wykonania akcji Zbierz dzienniki .

Atrybuty niestandardowe dla systemu macOS

Można tworzyć niestandardowe profile atrybutów, które umożliwiają zbieranie właściwości niestandardowych z zarządzanego urządzenia z systemem macOS przy użyciu skryptów powłoki.

Tworzenie i przypisywanie atrybutu niestandardowego dla urządzeń z systemem macOS

  1. Zaloguj się do Centrum Endpoint Manager Administracja Microsoft.

  2. Wybierz pozycję Urządzenia > z systemem macOS > Atrybuty niestandardowe > Dodaj.

  3. W obszarze Podstawy wprowadź następujące właściwości, a następnie wybierz pozycję Dalej:

    • Nazwa: wprowadź nazwę skryptu.
    • Opis: wprowadź opis skryptu. To ustawienie jest opcjonalne, ale zalecane.
  4. W obszarze Ustawienia atrybutu wprowadź następujące właściwości, a następnie wybierz pozycję Dalej:

    • Typ danych atrybutu: wybierz typ danych wyniku zwracanego przez skrypt. Dostępne wartości to Ciąg, Liczba całkowita i Data.
    • Skrypt: wybierz plik skryptu.

    Dodatkowe szczegóły:

    • Skrypt powłoki musi odzwierciedlać atrybut do zgłoszenia, a typ danych wyjściowych musi być zgodny z typem danych atrybutu w profilu atrybutu niestandardowego.
    • Wynik zwrócony przez skrypt powłoki musi mieć wartość 20 KB lub mniejszą.

    Uwaga

    W przypadku używania Date atrybutów typu upewnij się, że skrypt powłoki zwraca daty w formacie ISO-8601. Zobacz poniższe przykłady.

    Aby wydrukować datę zgodną z normą ISO-8601 ze strefą czasową:

    #!/bin/sh
    var=$(date +"%Y-%m-%dT%H:%M:%S%z")
    echo $var # Prints an ISO-8601 compliant date with time-zone
    

    Aby wydrukować datę zgodną z normą ISO-8601 w godzinie UTC:

    #!/bin/sh
    var=$(date -u +"%Y-%m-%dT%H:%M:%SZ")
    echo $var # Prints an ISO-8601 compliant date in UTC time
    
  5. W obszarze Przypisania kliknij pozycję Wybierz grupy do uwzględnienia. Po wybraniu pozycji Wybierz grupy do uwzględnienia jest wyświetlana istniejąca lista grup Azure AD. Wybierz co najmniej jedną grupę użytkowników lub urządzeń, które mają otrzymać skrypt. Zaznacz pozycję Wybierz. Wybrane grupy są wyświetlane na liście i będą otrzymywać zasady skryptu. Alternatywnie możesz wybrać pozycję Wszyscy użytkownicy, Wszystkie urządzenia lub Wszyscy użytkownicy i wszystkie urządzenia , wybierając jedną z tych opcji w polu listy rozwijanej obok pozycji Przypisz do.

    Uwaga

    • Skrypty przypisane do grup użytkowników mają zastosowanie do każdego użytkownika logującego się na komputerze Mac.
  6. W obszarze Przeglądanie i dodawanie zostanie wyświetlone podsumowanie skonfigurowanych ustawień. Wybierz pozycję Dodaj , aby zapisać skrypt. Po wybraniu pozycji Dodaj zasady skryptu są wdrażane w wybranych grupach.

Utworzony skrypt zostanie wyświetlony na liście atrybutów niestandardowych.

Monitorowanie niestandardowych zasad atrybutów

Możesz monitorować stan uruchomienia wszystkich przypisanych profilów atrybutów niestandardowych dla użytkowników i urządzeń, wybierając jeden z następujących raportów:

  • Atrybuty niestandardowe > wybieranie profilu atrybutu niestandardowego do monitorowania > Stan urządzenia
  • Atrybuty niestandardowe > wybieranie profilu atrybutu niestandardowego do monitorowania > Stan użytkownika

Ważne

Skrypty powłoki udostępniane w niestandardowych profilach atrybutów są uruchamiane co 8 godzin na zarządzanych komputerach Mac i raportowane.

Po uruchomieniu profilu atrybutu niestandardowego zwraca on jeden z następujących stanów:

  • Stan Niepowodzenie wskazuje, że skrypt zwrócił kod zakończenia inny niż zero lub skrypt jest źle sformułowany. Błąd jest zgłaszany w kolumnie Wynik .
  • Stan Powodzenie wskazuje, że skrypt zwrócił zero jako kod zakończenia. Dane wyjściowe powtórzone przez skrypt są zgłaszane w kolumnie Wynik .

Często zadawane pytania

Dlaczego przypisane skrypty powłoki nie są uruchomione na urządzeniu?

Może istnieć kilka powodów:

  • Agent może wymagać zaewidencjonowania, aby otrzymywać nowe lub zaktualizowane skrypty. Ten proces ewidencjonowania odbywa się co 8 godzin i różni się od ewidencjonowania mdm. Upewnij się, że urządzenie jest wybudzone i połączone z siecią w celu pomyślnego zaewidencjonowania agenta i poczekaj na zaewidencjonowanie agenta. Możesz również poprosić użytkownika końcowego o otwarcie Portal firmy na komputerze Mac, wybranie urządzenia i kliknięcie przycisku Sprawdź ustawienia.
  • Agent może nie być zainstalowany. Sprawdź, czy agent jest zainstalowany na /Library/Intune/Microsoft Intune Agent.app urządzeniu z systemem macOS.
  • Agent może nie być w dobrej kondycji. Agent podejmie próbę odzyskania przez 24 godziny, usunie się i zainstaluje ponownie, jeśli skrypty powłoki są nadal przypisane.

Jak często zgłaszany jest stan uruchomienia skryptu?

Stan uruchomienia skryptu jest zgłaszany do konsoli microsoft Endpoint Manager Administracja po zakończeniu uruchamiania skryptu. Jeśli skrypt ma być uruchamiany okresowo z określoną częstotliwością, raportuje stan tylko przy pierwszym uruchomieniu.

Kiedy skrypty powłoki są uruchamiane ponownie?

Skrypt jest uruchamiany ponownie tylko wtedy, gdy maksymalna liczba prób ponowienia próby w przypadku skonfigurowania ustawienia skryptu kończy się niepowodzeniem i uruchomienie skryptu kończy się niepowodzeniem. Jeśli maksymalna liczba prób ponownych prób w przypadku niepowodzenia skryptu nie zostanie skonfigurowana, a skrypt zakończy się niepowodzeniem po uruchomieniu, nie zostanie on uruchomiony ponownie, a stan uruchomienia zostanie zgłoszony jako zakończony niepowodzeniem.

Jakie uprawnienia Intune roli są wymagane dla skryptów powłoki?

Przypisana rola usługi Intune wymaga uprawnień konfiguracji urządzenia do usuwania, przypisywania , tworzenia, aktualizowania lub odczytywania skryptów powłoki.

Znane problemy

  • Brak stanu uruchomienia skryptu: W mało prawdopodobnym przypadku odebrania skryptu na urządzeniu i przełączeniu urządzenia w tryb offline przed zgłoszeniem stanu uruchomienia urządzenie nie zgłosi stanu uruchomienia skryptu w konsoli administracyjnej.

Informacje dodatkowe

Podczas wdrażania skryptów powłoki lub atrybutów niestandardowych dla urządzeń z systemem macOS firmy Microsoft Endpoint Manager wdraża ona nową uniwersalną wersję aplikacji agenta zarządzania Intune, która działa natywnie na maszynach Apple Silicon Mac. To samo wdrożenie spowoduje zainstalowanie wersji x64 aplikacji na komputerach Intel Mac. Aplikacja Rosetta 2 jest wymagana do uruchamiania aplikacji w wersji x64 (Intel) na komputerach Apple Silicon Mac. Aby automatycznie zainstalować aplikację Rosetta 2 na komputerach Mac z systemem Apple Silicon, możesz wdrożyć skrypt powłoki w Endpoint Manager. Aby wyświetlić przykładowy skrypt, zobacz Rosetta 2 Installation Script (Skrypt instalacji rosetta 2).

Następne kroki