Registrar macs automaticamente com o Apple Business Manager ou o Apple School Manager

Configure o registro automatizado de dispositivos no Intune para Macs novos ou apagados comprados por meio de um programa de registro da Apple, como o Apple Business Manager ou o Apple School Manager. Com esse método, você não precisa ter os dispositivos com você para configurá-los. Intune sincroniza automaticamente com a Apple para obter informações de dispositivo de sua conta de programa de registro e implanta seus perfis de registro pré-configurados em Macs no ar. Os dispositivos preparados podem ser enviados diretamente para funcionários ou alunos. O assistente de instalação e o registro do dispositivo começam quando alguém ativa o Mac.

Este artigo descreve como configurar um perfil de registro de dispositivo automatizado para Macs de propriedade corporativa.

Observação

As etapas deste artigo são as mesmas se você estiver usando o Apple Business Manager ou o Apple School Manager. Para obter brevidade, referimos-nos ao Apple Business Manager somente ao longo das etapas deste artigo, exceto quando o esclarecimento for necessário.

Limitações

O registro automatizado de dispositivos por meio do Apple Business Manager e do Apple School Manager não tem suporte com contas do gerenciador de registro de dispositivos.

Pré-requisitos

É necessário acessar o Apple School Manager ou o Apple Business Manager . Você também deve ter uma lista de números de série do dispositivo ou um número de pedido de compra para os dispositivos comprados por meio da Apple.

Antes de começar, verifique se as seguintes tarefas estão concluídas:

• Defina a autoridade de gerenciamento de dispositivo móvel em seu locatário.
• Obtenha um certificado do Apple MDM Push.

Criar token de programa de registro

Esta seção descreve como criar um token de programa de registro no Intune. O token do programa de registro (às vezes chamado de token de registro de dispositivo automatizado) é um componente necessário do registro automatizado do dispositivo. Ele permite os recursos de comunicação e gerenciamento de dispositivos entre Intune e seu programa de registro da Apple escolhido. Ele permite que Intune sincronize informações do Apple Business Manager ou da conta do Apple School Manager e aplique perfis a dispositivos.

Etapa 1: Baixar o certificado de chave pública do Intune

O certificado de chave pública é necessário para solicitar um certificado de relação de confiança do Apple Business Manager.

1. No centro de administração Microsoft Intune, acesseRegistro de Dispositivos>.
2. Selecione a guia Apple .
3. Em Métodos de Registro em Massa, selecione Tokens de programa de registro.
4. Selecione Adicionar.
5. Selecione Concordo em conceder permissão à Microsoft para enviar informações de usuário e dispositivo para a Apple.
6. Selecione Baixar sua chave pública e salve a chave como um arquivo PEM localmente. A chave será usada para obter o token de servidor MDM na próxima etapa.

Etapa 2: Adicionar servidor MDM e baixar token de servidor

Adicione um servidor MDM (gerenciamento de dispositivo móvel) para Intune ao Apple Business Manager e baixe o token de servidor para ele.

1. No centro de administração, selecione o link que corresponde ao portal da Apple que você usa. Suas opções:

   • Criar um token por meio do Apple Business Manager
   • Criar um token por meio do Apple School Manager

   O portal selecionado é aberto em uma nova guia do navegador. Você pode alternar com segurança para a nova guia, mas mantenha a guia com Microsoft Intune aberto para mais tarde.

2. Entre no portal da Apple com a ID da Apple da sua empresa. Lembre-se de que essa ID é a ID da Apple que você e sua organização devem usar para renovar e gerenciar o token daqui para frente, portanto, não use uma ID pessoal.

3. Acesse seu perfil >de conta Preferências.

4. Vá para suas atribuições de servidor MDM.

5. Selecione a opção para adicionar um servidor MDM.

6. Nomeie o servidor MDM. O nome é apenas para fins de identificação enquanto estiver no Apple Business Manager e não precisa ser o nome real ou URL do servidor Microsoft Intune.

7. Carregue seu arquivo de chave pública e salve suas alterações.

8. Baixe o token do servidor (arquivo.p7m).

Etapa 3: Atribuir dispositivos ao servidor MDM

Opcionalmente, depois de criar o servidor MDM no Apple Business Manager, você pode começar a atribuir dispositivos a ele. Recomendamos atribuí-los agora, já que você já está no Apple Business Manager, mas poderá voltar mais tarde se não estiver pronto. Você pode usar recursos disponíveis, como filtros e atribuição em massa , para simplificar a seleção de atribuição. Para obter mais informações e etapas, confira Atribuir, reatribuir ou desatribuir dispositivos no Apple Business Manager(abre o Guia de Usuário do Apple Business Manager).

Etapa 4: salvar a ID da Apple

Retorne ao centro de administração e insira a ID da Apple usada para baixar o token do servidor. Essa ID é a ID da Apple que você precisa usar para renovar o token todos os anos. Verifique se os administradores futuros Intune estão cientes da ID da Apple usada, caso você deixe sua organização e precise fazer a transição do gerenciamento de tokens para eles.

Etapa 5: Carregar token de servidor e concluir

Carregue o arquivo de token do servidor para Intune para concluir a criação do token do programa de registro.

1. Retorne ao campo de token apple do centro > de administração. Navegue até o token do servidor (arquivo.p7m) em seu dispositivo.
2. Escolha Abrir e selecione Criar.

Intune se conectará automaticamente ao Apple Business Manager para sincronizar as informações do dispositivo da sua conta do programa de registro. Para obter informações sobre como sincronizar manualmente o token, consulte Sincronizar dispositivos gerenciados (neste artigo).

Criar um perfil de registro da Apple

Crie um perfil de registro de dispositivo automatizado no centro de administração. O perfil define a experiência de registro para os dispositivos Mac da sua organização e impõe políticas e configurações de registro em dispositivos de registro. O perfil é implantado para dispositivos atribuídos ao ar.

Ao final desse procedimento, você pode atribuir esse perfil a Microsoft Entra grupos de dispositivos.

Importante

Para criar o perfil, você deve ter uma configuração de token de programa de registro no Intune. Se você ainda não fez isso, confira Criar token de programa de registro no início deste artigo.

1. No centro de administração, acesse Registro de Dispositivos>.

2. Selecione a guia Apple .

3. Em Métodos de Registro em Massa, selecione Tokens de programa de registro.

4. Selecione um token de programa de registro.

5. Selecione Perfis>Criar perfil>macOS.

   

6. Para o Basics, insira um nome e uma descrição para o perfil para que você possa distingui-lo de outros perfis de registro. Esses detalhes não estão visíveis para os usuários do dispositivo.

   Dica

   Você pode usar o campo nome para criar um grupo dinâmico no Microsoft Entra ID e atribuir dispositivos ao perfil de registro automaticamente. Use o nome do perfil para definir o parâmetro enrollmentProfileName . Para obter mais informações, consulte Microsoft Entra grupos dinâmicos.

7. Selecione Avançar.

8. Na página Configurações de Gerenciamento , configure a Afinidade de Usuário. A afinidade do usuário determina se os dispositivos se registram com ou sem um usuário atribuído. Suas opções:

   • Registrar sem Afinidade de Usuário: registre dispositivos que não estão associados a um único usuário. Escolha essa opção para dispositivos e dispositivos compartilhados que não precisam acessar dados do usuário local. O aplicativo Portal da Empresa não funciona nesses tipos de dispositivos.

   • Registrar-se com a Afinidade de Usuário: registre dispositivos associados a um usuário atribuído. Escolha essa opção para dispositivos de trabalho que pertencem aos usuários e se você quiser exigir que os usuários tenham o aplicativo Portal da Empresa para instalar aplicativos. A MFA (autenticação multifator) está disponível com essa opção.

     A opção 2 requer mais configurações. Os usuários devem se autenticar antes do registro para confirmar sua identidade. Selecione um dos seguintes métodos de autenticação:

     • Assistente de Instalação com autenticação moderna: esse método exige que os usuários concluam todas as telas do Assistente de Instalação e entrem no aplicativo Portal da Empresa com suas credenciais de Microsoft Entra antes de poderem acessar recursos. Depois que eles entrarem no Portal da Empresa, o dispositivo:

       • Registra com Microsoft Entra ID.
       • É adicionado ao registro do dispositivo do usuário em Microsoft Entra ID.
       • Pode ser avaliado para conformidade do dispositivo.
       • Obtém acesso aos recursos protegidos pelo acesso condicional.

       Se o usuário não entrar no Portal da Empresa concluir o registro, ele será redirecionado para o aplicativo Portal da Empresa sempre que tentar abrir um aplicativo gerenciado com proteção de acesso condicional.

       Dispositivos que executam o macOS 10.15 e posteriores podem usar esse método. Os dispositivos macOS mais antigos recuam para usar o método do Assistente de Instalação herdado. Para obter mais informações sobre como obter o aplicativo Portal da Empresa para usuários Mac, consulte Adicionar o Portal da Empresa para o aplicativo macOS.

     • Assistente de Instalação (herdado): use o Assistente de Instalação herdado se desejar que os usuários experimentem a experiência típica fora de caixa para produtos Apple. Esse método instala configurações pré-configuradas padrão quando o dispositivo se registra com Intune gerenciamento. Se estiver usando os Serviços de Federação do Active Directory e o Assistente de Configuração para se autenticar, você precisará de um Nome de usuário/Ponto de extremidade misto do WS-Trust 1.3. Para obter mais informações sobre como recuperar o ponto de extremidade do ADFS, consulte [Get-ADfsEndpoint] (/powershell/module/adfs/get-adfsendpoint?view=win10-ps&preserve-view=true).

9. Aguardar a configuração final permite uma experiência bloqueada no final do Assistente de Instalação para garantir que suas políticas de configuração de dispositivo mais críticas sejam instaladas no dispositivo. Essa configuração é aplicada uma vez durante a experiência de registro de dispositivo automatizado da Apple fora de caixa no Assistente de Instalação. O usuário do dispositivo não o experimenta novamente, a menos que registre novamente seu Mac.

   Suas opções:

   • Sim: pouco antes do carregamento da tela inicial, o Assistente de Instalação pausa e permite que Intune marcar com o dispositivo. A experiência do usuário final bloqueia enquanto os usuários aguardam as configurações finais. Essa opção é a configuração padrão para novos perfis de registro.

   • Não: o dispositivo é liberado para a tela inicial quando o Assistente de Instalação termina, independentemente da instalação da política status. Os usuários do dispositivo podem acessar a tela inicial ou alterar as configurações do dispositivo antes que todas as políticas sejam instaladas. Essa opção é a configuração padrão para perfis de registro existentes.

   O tempo que os usuários são mantidos na tela de configuração final aguardando varia e depende do número total de políticas e aplicativos atribuídos ao dispositivo. Os usuários podem ver os perfis de configuração do dispositivo baixando no Assistente de Instalação enquanto esperam. Quanto mais políticas e aplicativos atribuídos, maior o tempo de espera. O Assistente de Instalação e Intune não impõem um limite de tempo mínimo ou máximo durante essa parte da instalação. Durante a validação do produto, a maioria dos dispositivos testados foi liberada e capaz de acessar a tela inicial dentro de 15 minutos. Se você habilitar esse recurso e estiver trabalhando com um parceiro da Microsoft ou um serviço que não seja da Microsoft para ajudá-lo a provisionar dispositivos, informe-os sobre o potencial de maior tempo de provisionamento.

   A experiência bloqueada tem suporte em Macs que executam o macOS 10.11 ou posterior. Ele funciona em Macs direcionados com perfis de registro novos ou existentes configurados para esses cenários:

   • Registro via Assistente de Instalação com autenticação moderna
   • Registro com Assistente de Instalação (herdado)
   • Registro sem afinidade de dispositivo de usuário

10. Você pode impor o registro bloqueado para impedir que os usuários desmarquem seus dispositivos de Intune. Selecione Sim para desabilitar as configurações do Mac em Preferências do Sistema e Terminal que permitem que os usuários removam o perfil de gerenciamento. Depois que o dispositivo for registrado, você não poderá alterar essa configuração sem limpar o dispositivo.

11. Selecione Avançar.

12. Opcionalmente, na página Configurações da Conta , você pode configurar a conta primária local em Macs direcionados.

    

    Essas configurações têm suporte em dispositivos que executam o macOS 10.11 ou posterior. Tenha em mente enquanto você configura a conta primária de que essa conta será uma conta de administrador depois de criada. Ter pelo menos uma conta de administrador é um requisito de configuração do Mac.

    Suas opções:

    • Criar uma conta primária local: selecione Sim para configurar as configurações da conta primária local para Macs direcionados. Selecione Não configurado para ignorar todas as configurações de configuração da conta.
    • Informações da conta de pré-preenchimento: a configuração padrão, Não configurada, exige que o usuário do dispositivo insira o nome de usuário da conta e o nome completo no Assistente de Instalação. Para pré-armazenar as informações da conta para eles, selecione Sim. Em seguida, insira o nome da conta primária e o nome completo:
      • Nome da conta primária: insira o nome de usuário da conta. {{partialupn}} é a variável de token com suporte para o nome da conta.
      • Nome completo da conta primária: insira o nome completo da conta. {{username}} é a variável de token com suporte para nome completo.
    • Restringir a edição: a configuração padrão é definida como Sim para que os usuários do dispositivo não possam editar o nome da conta e o nome completo configurados para eles. Para permitir que os usuários do dispositivo editem o nome da conta e o nome completo, selecione Não configurado. Se você estiver usando apenas o Assistente de Instalação (herdado) para registrar dispositivos que executam o macOS 10.15 e posterior, você poderá esperar a seguinte experiência do usuário final:
      • Sim: a tela de criação da conta no Assistente de Instalação nunca é exibida. Em vez disso, a conta primária local é criada automaticamente com base nas outras configurações e a senha é preenchida automaticamente na tela de autenticação da ID de Entra. O usuário do dispositivo não pode editar esses campos.
      • Não configurada: a tela da conta primária local é mostrada ao usuário final no Assistente de Instalação e é preenchida com os valores de conta configurados e a senha da tela de autenticação entra ID. O usuário do dispositivo pode editar esses campos durante o Assistente de Instalação.

    Para que as configurações da conta funcionem conforme o planejado, seu perfil de registro deve ter as seguintes configurações:

    • Afinidade do usuário: selecione Registrar com afinidade de usuário.
    • Método de autenticação: selecione Assistente de Instalação com autenticação moderna ou Assistente de Instalação (herdado).
    • Aguardar a configuração final: selecione Sim.

    As contas locais dependem do recurso de configuração final de aguardar quando estão sendo criadas. Como resultado, se você configurar qualquer configuração de conta primária local, essa configuração estará sempre habilitada. Mesmo que você não toque na configuração final de aguardar , ela será habilitada em segundo plano e aplicada ao perfil de registro.

13. Selecione Avançar.

14. Na página Assistente de Instalação , configure a experiência do Assistente de Instalação.

    1. Insira as informações do departamento para que os usuários saibam com quem entrar em contato para obter suporte:
       • Nome do departamento: esse nome é exibido quando os usuários do dispositivo selecionam Sobre a Configuração durante a ativação.
       • Telefone do Departamento: esse número de telefone é exibido quando os usuários do dispositivo selecionam Precisar de Ajuda durante a ativação.
    2. Selecione as telas do Assistente de Instalação que você deseja mostrar ou ocultar durante a instalação do dispositivo. Para obter uma descrição de todas as telas, consulte Referência de tela do Assistente de Instalação (neste artigo). Suas opções:
       • Ocultar: a tela não aparece para os usuários durante a instalação do dispositivo. Após a instalação do dispositivo, o usuário pode acessar as configurações do dispositivo para configurar o recurso.
       • Mostrar: a tela aparece para os usuários durante a instalação do dispositivo. O usuário ainda pode ignorar telas que não exigem ação imediata. Após a instalação do dispositivo, o usuário pode acessar as configurações do dispositivo para configurar o recurso.

15. Selecione Avançar.

16. Examine o resumo das alterações e selecione Criar para concluir a criação do perfil.

Referência de tela do Assistente de Instalação

A tabela a seguir descreve as telas do Assistente de Instalação mostradas durante o registro automatizado do dispositivo para Macs. Você pode mostrar ou ocultar essas telas em dispositivos com suporte durante o registro.

Tela assistente de instalação	O que acontece quando visível
Serviços de Localização	Solicita a localização ao usuário. Para macOS 10.11 e posterior e iOS/iPadOS 7.0 e posterior.
Restaurar	Exibe a tela Aplicativos e Dados. Esta tela fornece aos usuários a opção de restaurar ou transferir dados do Backup do iCloud quando eles configuram o dispositivo. Para macOS 10.9 e posterior e iOS/iPadOS 7.0 e posterior.
ID Apple	Dá ao usuário as opções de entrar com o ID da Apple e usar o iCloud. Para macOS 10.9 e posterior e iOS/iPadOS 7.0 e posterior.
Termos e condições	Exige que o usuário aceite os termos e condições da Apple. Para macOS 10.9 e posterior e iOS/iPadOS 7.0 e posterior.
Touch ID e Face ID	Dá ao usuário a opção de configurar a identificação de impressão digital para o dispositivo. Para macOS 10.12.4 e posterior e iOS/iPadOS 8.1 e posterior.
Apple Pay	Dá ao usuário a opção de configurar o Apple Pay no dispositivo. Para macOS 10.12.4 e posterior e iOS/iPadOS 7.0 e posterior.
Siri	Dá ao usuário a opção de configurar a Siri. Para macOS 10.12 e posterior e iOS/iPadOS 7.0 e posterior.
Dados de Diagnóstico	Exibe a tela Diagnóstico ao usuário. Essa tela dá ao usuário a opção de enviar dados de diagnóstico à Apple. Para macOS 10.9 e posterior e iOS/iPadOS 7.0 e posterior.
Tom da Tela	Dá ao usuário a opção de ativar o Tom da Tela. Para macOS 10.13.6 e posterior e iOS/iPadOS 9.3.2 e posterior.
FileVault	Exibe a tela criptografia FileVault 2 ao usuário. Para macOS 10.10 e posterior.
Diagnóstico do iCloud	Exibe a tela Análise do iCloud ao usuário. Para macOS 10.12.4 e posterior.
Registro	Exibirá a tela de registro. Para macOS 10.9 e posterior.
Armazenamento do iCloud	Exibe a tela Documentos e Área de Trabalho do iCloud ao usuário. Para macOS 10.13.4 e posterior.
Aparência	Exibe a tela Aparência ao usuário. Para macOS 10.14 e posterior e iOS/iPadOS 13.0 e posterior.
Tempo de Tela	Exibe a tela Tempo de Tela. Para macOS 10.15 e posterior e iOS/iPadOS 12.0 e posterior.
Privacidade	Exibe a tela Privacidade ao usuário. Para macOS 10.13.4 e posterior e iOS/iPadOS 11.3 e posterior.
Acessibilidade	Exibirá a tela Acessibilidade para o usuário. Se essa tela estiver oculta, o usuário não poderá usar o recurso Voice Over. O Voice Over é suportado em dispositivos que: – Executam o macOS 11. – Conectam-se à internet usando a Ethernet. – Exibem o número de série no Apple Business Manager ou no Apple School Manager.
Desbloqueio automático com Apple Watch	Dê ao usuário uma opção para usar seu Apple Watch para desbloquear seu Mac. Para o macOS 12.0 e posterior.
Termos de Endereço	Dê ao usuário a opção de escolher como ele deseja ser abordado em todo o sistema: feminino, masculino ou neutro. Este recurso da Apple está disponível para idiomas selecionados. Para obter mais informações, consulte Alterar as configurações da Região & no Mac(abre o site da Apple). Para macOS 13.0 e posterior.

Sincronizar dispositivos gerenciados

A sincronização atualiza o dispositivo existente status e importa novos dispositivos atribuídos ao servidor MDM da Apple. Para ver todos os dispositivos Apple associados e informações de dispositivo, sincronize seu token de programa de registro no centro de administração.

1. Retorne aos tokens de programa de registro e escolha seu token de programa de registro.

2. Selecione Sincronização de Dispositivos>.

   

Restrições de sincronização

Para cumprir os termos da Apple para o tráfego aceitável do programa de registro, Microsoft Intune impõe as seguintes restrições:

• Uma sincronização completa não pode ser executada mais de uma vez a cada sete dias. Durante uma sincronização completa, Intune busca a lista mais recente e atualizada de números de série atribuídos ao servidor Apple MDM conectado. Se você excluir um dispositivo do Intune sem desatribuí-lo do servidor MDM no Apple Business Manager ou no Apple School Manager, ele não será reimportado para Intune até que a sincronização completa seja executada.
• Se um dispositivo for liberado de qualquer um dos programas de registro da Apple, poderá levar até 45 dias para que ele seja excluído automaticamente da página Dispositivos em Intune. Você pode excluir manualmente dispositivos lançados no Intune um por um, se necessário. Intune relatórios liberaram dispositivos como sendo removidos do Apple Business Manager ou do Apple School Manager até que eles sejam excluídos automaticamente, o que ocorre dentro de 30 a 45 dias.
• A sincronização é executada automaticamente a cada 24 horas. Você pode iniciar uma sincronização não mais do que uma vez a cada 15 minutos. Todas as solicitações de sincronização têm 15 minutos para conclusão. O botão Sincronizar fica inativo até que a sincronização seja concluída.

Atribuir um perfil de registro aos dispositivos

Atribua um perfil de registro a dispositivos Apple.

1. Retorne aos tokens de programa de registro e selecione um token.
2. Selecione Dispositivos.
3. Escolha seus dispositivos na lista e selecione Atribuir perfil.
4. Escolha um perfil a ser atribuído e selecione Atribuir.

Opcionalmente, você pode selecionar um perfil de registro padrão. O perfil padrão é implantado em todos os dispositivos de registro associados ao token.

1. Retorne aos tokens de programa de registro e selecione um token.
2. Selecione Definir Perfil Padrão.
3. Escolha um perfil e selecione Salvar.

Distribuir dispositivos

Importante

Os usuários associados a dispositivos com afinidade de usuário devem receber uma licença de Intune. Os dispositivos sem afinidade de usuário requerem uma licença de dispositivo.

Distribua dispositivos preparados em toda a sua organização.

• Macs novos ou apagados: Macs novos ou apagados configurados no Apple Business Manager ou no Apple School Manager se registrarão automaticamente em Microsoft Intune durante o Assistente de Instalação quando alguém ativar o dispositivo. Se você atribuiu o dispositivo a um perfil de registro macOS com afinidade de usuário, o usuário do dispositivo deverá entrar no Portal da Empresa depois que o Assistente de Instalação for feito para concluir Microsoft Entra requisitos de registro e acesso condicional.

• Macs existentes: você pode registrar dispositivos que já passaram pelo Assistente de Instalação. Conclua estas etapas para registrar Macs de propriedade corporativa executando o macOS 10.13 e posterior.

  1. Verifique se:

     • O dispositivo foi importado para o Apple Business Manager ou o Apple School Manager.
     • O dispositivo recebeu um perfil de registro do macOS no centro de administração.

  2. Entre no dispositivo com uma conta de administrador local.

  3. Para disparar o registro, na página Inicialabra Terminal e execute o seguinte comando:

     sudo profiles renew -type enrollment

  4. Insira a senha do dispositivo para a conta de administrador local.

  5. No registro do dispositivo, selecione Detalhes.

  6. Nas preferências do sistema, selecione Perfis.

  7. Siga os prompts na tela para baixar o perfil de gerenciamento de Microsoft Intune, certificados e políticas.

     Dica

     Você pode confirmar quais perfis estão no dispositivo a qualquer momento retornando aos Perfis de Preferências>do Sistema.

  8. Se você atribuiu o dispositivo a um perfil de registro macOS com afinidade de usuário, entre no aplicativo Portal da Empresa para concluir Microsoft Entra requisitos de registro e acesso condicional e concluir o registro.

Renovar token do programa de registro

Conclua estas etapas para renovar um token de servidor que está prestes a expirar. Esse procedimento garante que o token do programa de registro associado no Intune permaneça ativo.

1. Entre no Apple Business Manager ou no Apple School Manager e siga estas etapas para baixar um novo token de servidor MDM:
   • Baixar token no Apple Business Manager
   • Baixar token no Apple School Manager,
2. No centro de administração, acesse Registro de Dispositivos>.
3. Selecione a guia Apple .
4. Em Métodos de Registro em Massa, selecione Tokens de programa de registro.
5. Escolha o token do programa de registro que você deseja renovar.
6. Selecione Renovar token e insira a ID da Apple usada para criar o token original.
7. Carregue o novo token.
8. Selecione Avançar. Você pode atualizar marcas de escopo no momento, se desejar. Caso contrário, continue a Examinar + criar.
9. Selecione Criar para salvar suas alterações.

Próximas etapas

Use Microsoft Intune ações remotas para gerenciar remotamente Macs registrados.