Registre automaticamente dispositivos macOS no Apple Business Manager ou no Apple School Manager

Importante

A Apple mudou recentemente do uso do DEP (Programa de Registro de Dispositivos) da Apple para o ADE (Registro de Dispositivos Automatizado) da Apple. O Intune está no processo de atualização da interface do usuário do Intune para refletir isso. Até que essas alterações sejam concluídas, você continuará a ver o Programa de Registro de Dispositivos no portal do Intune. Sempre que isso é mostrado, ele agora usa o Registro de Dispositivos Automatizado.

Configure o registro do Intune para dispositivos macOS comprados por meio do Apple Business Manager ou do Apple School Manager. Você pode usar esses dois registros para um grande número de dispositivos sem nunca precisar tocá-los. É possível enviar dispositivos macOS diretamente aos usuários. Quando o usuário liga o dispositivo, o Assistente de Configuração é executado com as configurações predefinidas e o dispositivo é registrado no gerenciamento do Intune.

Para configurar o registro, use os portais do Intune e Apple. Crie perfis de registro que contêm configurações que são aplicadas aos dispositivos durante o registro.

Nenhum dos dois tipos de registro, Apple Business Manager ou Apple School Manager, funciona com o gerenciador de registros de dispositivos.

Pré-requisitos

Obtenha um token do ADE da Apple

Para registrar dispositivos macOS com o ADE ou Apple School Manager, é necessário um arquivo de token (.p7m) da Apple. Esse token permite que o Intune sincronize informações sobre os dispositivos de sua organização. Ele permite também ao Intune carregar perfis de inscrição na Apple e atribuí-los a dispositivos.

Você pode usar o portal da Apple para criar um token. Também pode usar o portal da Apple para atribuir dispositivos ao Intune para gerenciamento.

Etapa 1. Baixar o certificado de chave pública do Intune necessário para criação do token

  1. No Centro de Administração do Microsoft Endpoint Manager, selecione Dispositivos > macOS > Registro do macOS > Tokens do Programa de Registro > Adicionar.

    Obtenha um token do programa de registro.

  2. Conceder permissão à Microsoft para enviar informações de usuário e dispositivo para a Apple selecionando Eu concordo.

    Captura de tela do painel do Token de Programa de Registro no workspace de Certificados da Apple para baixar a chave pública.

  3. Escolha Baixar sua chave pública para baixar e salvar o arquivo da chave de criptografia (.pem) localmente. O arquivo .pem é usado para solicitar um certificado de relação de confiança do portal da Apple.

Etapa 2. Use a chave para baixar um token da Apple

  1. Escolha Criar um token por meio de Apple Business Manager ou Criar um token por meio de Apple School Manager para abrir o portal da Apple apropriado, e entre com a ID da Apple em sua empresa. Você pode usar esta ID da Apple para renovar seu token.

  2. Para DEP, no portal da Apple, escolha Começar para Programa de registro de dispositivos > Gerenciar servidores > Adicionar Servidor MDM.

  3. Para o Apple School Manager, no portal da Apple, escolha Servidores MDM > Adicionar Servidor MDM.

  4. Insira o Nome do servidor MDM e escolha Avançar. O nome do servidor é para sua referência para identificar o servidor MDM (gerenciamento de dispositivo móvel). Não é o nome ou URL do servidor Microsoft Intune.

  5. A caixa de diálogo Adicionar <ServerName> é aberta, indicando abre a caixa de diálogo, indicando Carregar sua chave pública. Selecione Escolher Arquivo… para carregar o arquivo .pem e clique em Avançar.

  6. Vá para Programas de Implantação > Programa de Registro de Dispositivos > Gerenciar Dispositivos.

  7. Em Escolher dispositivos por, especifique como os dispositivos são identificados:

    • Número de série
    • Número do Pedido
    • Carregar o arquivo CSV.

    Captura de tela que especifica de especificação para escolher dispositivos pelo número de série, definindo a ação de escolha como Atribuir ao servidor e selecionando o nome do servidor.

  8. Para Escolher Ação, escolha Atribuir ao Servidor, escolha o <ServerName> especificado para o Microsoft Intune e escolha OK. O Portal da Apple atribui os dispositivos especificados para o servidor do Intune para gerenciamento e exibe Atribuição Concluída.

Etapa 3. Salvar a ID da Apple usada para criar esse token

No Centro de Administração do Microsoft Endpoint Manager, forneça a ID da Apple para referência futura.

Captura de tela mostrando a especificação do ID Apple usado para criar o Token do Programa de Registro e a navegação para este recurso.

Etapa 4. Carregar seu token

Na caixa Token da Apple, navegue até o arquivo de certificado (.pem), escolha Abrir e, em seguida, escolha Criar. Com o Push Certificate, o Intune pode registrar e gerenciar dispositivos macOS enviando políticas por push aos dispositivos registrados. O Intune sincroniza automaticamente com a Apple para ver a sua conta de programa de registro.

Criar um perfil de registro da Apple

Agora que você instalou o token, pode criar um perfil de registro para os dispositivos. Um perfil de registro de dispositivo define as configurações aplicadas a um grupo de dispositivos durante o registro.

  1. No Centro de Administração do Microsoft Endpoint Manager, selecione Dispositivos > macOS > Registro do macOS > Tokens do programa de registro.

  2. Selecione um token, escolha Perfis e Criar perfil > macOS.

    Criar uma captura de tela de perfil.

  3. Na página Noções Básicas, insira um Nome e uma Descrição para o perfil para fins administrativos. Os usuários não veem esses detalhes. Você pode usar esse campo Nome para criar um grupo dinâmico no Azure Active Directory. Use o nome do perfil para definir o parâmetro enrollmentProfileName para atribuir dispositivos com este perfil de registro. Saiba mais sobre os grupos dinâmicos do Azure Active Directory.

    Nome e descrição do perfil.

  4. Para Plataforma, escolha macOS.

  5. Selecione Avançar para acessar a página Configurações de Gerenciamento.

  6. Em Afinidade de Usuário, escolha se os dispositivos com esse perfil devem ser registrados com ou sem um usuário atribuído.

    • Registrar com dispositivo de afinidade do usuário – Escolha esta opção para dispositivos que pertencem a usuários e que desejam usar o aplicativo Portal da Empresa para serviços como a instalação de aplicativos. Se estiver usando o ADFS, a afinidade de dispositivo de usuário exigirá o ponto de extremidade Nome do Usuário/Misto do WS-Trust 1.3. Saiba mais. Escolha esta opção se precisar de autenticação multifator (MFA).

    • Registrar sem afinidade do usuário – escolha esta opção para dispositivos não afiliados com um único usuário. Use-a para dispositivos que executam tarefas sem acessar os dados de usuário local. Aplicativos como o Portal da Empresa não funcionam.

  7. Se você selecionou Inscrever-se com afinidade de usuário para o campo Afinidade de usuário, agora você tem a opção de escolher o método de autenticação a ser usado ao autenticar usuários. Para Método de autenticação, selecione uma das seguintes opções:

    • Assistente de Configuração (herdado): use o Assistente de Configuração herdado se desejar que os usuários desfrutem da experiência típica e pronta para uso dos produtos Apple. Isso instala as configurações predefinidas padrão quando o dispositivo é registrado no gerenciamento do Intune. Se estiver usando os Serviços de Federação do Active Directory e o Assistente de Configuração para se autenticar, você precisará de um Nome de usuário/Ponto de extremidade misto do WS-Trust 1.3. Saiba mais.

    • Assistente de configuração com autenticação moderna: os dispositivos que executam o macOS 10.15 e posterior podem usar esse método (dispositivos macOS mais antigos nesse perfil voltarão a usar o processo do Assistente de Configuração (herdado)).

      Se uma política de acesso condicional que exige autenticação multifator (MFA) se aplicar ao registro ou ao registro no momento da entrada no Portal da Empresa, a MFA será necessária. No entanto, a MFA é opcional com base nas configurações do Azure AD na política de Acesso Condicional de destino.

      Depois de concluir todas as telas do assistente de configuração, o usuário final chegará à home page (ponto em que sua afinidade de usuário é estabelecida). No entanto, até o usuário entrar no Portal da Empresa usando suas credenciais do Azure AD, o dispositivo:

      • Não será totalmente registrado com o Azure AD.
      • Não aparecerá na lista de dispositivos do usuário no portal do Azure AD.
      • Não terá acesso aos recursos protegidos pelo acesso condicional.
      • Não serão avaliados quanto à conformidade do dispositivo.
      • Será redirecionado para o Portal da Empresa de outros aplicativos se o usuário tentar abrir aplicativos gerenciados protegidos pelo acesso condicional.

      Confira mais informações sobre como obter o Portal da Empresa macOS no dispositivo de usuários em Adicionar o Portal da Empresa para o aplicativo macOS.

  8. Em Registro bloqueado, escolha se deseja aplicar ou não o registro bloqueado aos dispositivos que usam esse perfil. A opção Sim desabilita as configurações do macOS que permitem que o perfil de gerenciamento seja removido do menu Preferências do Sistema ou por meio do Terminal. Depois que o dispositivo é registrado, não é possível alterar essa configuração sem apagar o dispositivo.

  9. Selecione Avançar para acessar a página Assistente de Configuração.

  10. Na página Assistente de Configuração, defina as seguintes configurações de perfil:

    Configurações de departamento Descrição
    Nome do Departamento Aparece quando os usuários tocam em Sobre a Configuração durante a ativação.
    Telefone do Departamento Aparece quando o usuário clica no botão Precisa de Ajuda durante a ativação.

    Você pode optar por mostrar ou ocultar uma variedade de telas do Assistente de Instalação no dispositivo quando o usuário o configura.

    • Se você escolher Ocultar, a tela não será exibida durante a instalação. Depois de configurar o dispositivo, o usuário pode ainda entrar no menu Configurações para configurar o recurso.
    • Se você escolher Mostrar, a tela será exibida durante a instalação. O usuário pode, às vezes, ignorar a tela sem executar uma ação. No entanto, é possível ir mais tarde para o menu Configurações do dispositivo para configurar o recurso.
    Configurações de tela do Assistente de Configuração Se você escolher Mostrar, durante a instalação, o dispositivo…
    Serviços de Localização Solicita a localização ao usuário. Para macOS 10.11 e posterior e iOS/iPadOS 7.0 e posterior.
    Restaurar Exibe a tela Aplicativos e Dados. Esta tela fornece aos usuários a opção de restaurar ou transferir dados do Backup do iCloud quando eles configuram o dispositivo. Para macOS 10.9 e posterior e iOS/iPadOS 7.0 e posterior.
    ID Apple Dá ao usuário as opções de entrar com o ID da Apple e usar o iCloud. Para macOS 10.9 e posterior e iOS/iPadOS 7.0 e posterior.
    Termos e condições Exige que o usuário aceite os termos e condições da Apple. Para macOS 10.9 e posterior e iOS/iPadOS 7.0 e posterior.
    Touch ID e Face ID Dá ao usuário a opção de configurar a identificação de impressão digital para o dispositivo. Para macOS 10.12.4 e posterior e iOS/iPadOS 8.1 e posterior.
    Apple Pay Dá ao usuário a opção de configurar o Apple Pay no dispositivo. Para macOS 10.12.4 e posterior e iOS/iPadOS 7.0 e posterior.
    Siri Dá ao usuário a opção de configurar a Siri. Para macOS 10.12 e posterior e iOS/iPadOS 7.0 e posterior.
    Dados de Diagnóstico Exibe a tela Diagnóstico ao usuário. Essa tela dá ao usuário a opção de enviar dados de diagnóstico à Apple. Para macOS 10.9 e posterior e iOS/iPadOS 7.0 e posterior.
    Tom da Tela Dá ao usuário a opção de ativar o Tom da Tela. Para macOS 10.13.6 e posterior e iOS/iPadOS 9.3.2 e posterior.
    FileVault Exibe a tela criptografia FileVault 2 ao usuário. Para macOS 10.10 e posterior.
    Diagnóstico do iCloud Exibe a tela Análise do iCloud ao usuário. Para macOS 10.12.4 e posterior.
    Registro Exibirá a tela de registro. Para macOS 10.9 e posterior.
    Armazenamento do iCloud Exibe a tela Documentos e Área de Trabalho do iCloud ao usuário. Para macOS 10.13.4 e posterior.
    Aparência Exibe a tela Aparência ao usuário. Para macOS 10.14 e posterior e iOS/iPadOS 13.0 e posterior.
    Tempo de Tela Exibir a tela de Tempo de Tela. Para macOS 10.15 e posterior e iOS/iPadOS 12.0 e posterior.
    Privacidade Exibe a tela Privacidade ao usuário. Para macOS 10.13.4 e posterior e iOS/iPadOS 11.3 e posterior.
    Acessibilidade Exibirá a tela Acessibilidade para o usuário. Se esta tela estiver oculta, o usuário não poderá usar o recurso Voice Over. O Voice Over é suportado em dispositivos que:
    – Executam o macOS 11.
    – Conectam-se à internet usando a Ethernet.
    – Exibem o número de série no Apple Business Manager ou no Apple School Manager.
    Desbloqueio automático com o Apple Watch (visualização) Dê ao usuário uma opção para usar seu Apple Watch para desbloquear seu Mac. Para o macOS 12.0 e posterior.
  11. Selecione Avançar para acessar a página Revisar + criar.

  12. Para salvar o perfil, escolha Criar.

Sincronizar dispositivos gerenciados

Agora que o Intune tem permissão para gerenciar seus dispositivos, você pode sincronizar o Intune com a Apple para ver os dispositivos gerenciados no Intune no Portal do Azure.

  1. No Centro de Administração do Microsoft Endpoint Manager, selecione Dispositivos > macOS > Registro do macOS > Tokens do programa de registro.

  2. Escolha um token na lista > Sincronização de > Dispositivos.  Captura de tela do nó Dispositivos de Programa de Registro selecionados e link de sincronização sendo escolhido.

    Para estar em conformidade com os termos da Apple em relação ao tráfego aceitável do programa de registro, o Intune impõe as seguintes restrições:

    • Uma sincronização completa pode ser executada, no máximo, uma vez a cada sete dias. Durante uma sincronização completa, o Intune busca a lista atualizada completa de números de série atribuídos ao servidor Apple MDM conectado ao Intune. Quando um dispositivo do Programa de Registro é excluído do portal do Intune sem ter sido desvinculado do servidor MDM da Apple no portal da Apple, ele não é importado novamente para o Intune até que a sincronização completa seja executada.
    • Se um dispositivo for liberado do ABM/ASM, poderá levar até 45 dias para que ele seja excluído automaticamente da página de dispositivos no Intune. Se necessário, você pode excluir manualmente e de forma individual os dispositivos liberados do Intune. Os dispositivos liberados serão relatados com precisão como sendo removidos do ABM/ASM no Intune até serem excluídos automaticamente dentro de 30 a 45 dias.
    • A sincronização é executada automaticamente a cada 24 horas. Você também pode sincronizar clicando no botão Sincronizar (não mais do que uma vez a cada 15 minutos). Todas as solicitações de sincronização têm 15 minutos para conclusão. O botão Sincronizar fica desativado até que a sincronização seja concluída. Essa sincronização atualizará o status existente do dispositivo e importará novos dispositivos atribuídos ao servidor MDM da Apple.

Atribuir um perfil de registro aos dispositivos

Atribua um perfil do Programa de Registro aos dispositivos antes de registrá-los.

  1. No Centro de Administração do Microsoft Endpoint Manager, escolha Dispositivos > macOS > Registro do macOS > Tokens do programa de registro > escolha um token na lista.
  2. Escolha Dispositivos> escolha dispositivos na lista > Atribuir perfil.
  3. Em Atribuir perfil, escolha um perfil para os dispositivos e, em seguida, escolha Atribuir.

Atribuir um perfil padrão

Você pode escolher um perfil padrão do macOS e do iOS/iPadOS para ser aplicado a todos os dispositivos que se registrem com um token específico.

  1. No Centro de Administração do Microsoft Endpoint Manager, escolha Dispositivos > macOS > Registro do macOS > Tokens do programa de registro > escolha um token na lista.
  2. Escolha Definir como Perfil Padrão, selecione um perfil na lista suspensa e escolha Salvar. Este perfil será aplicado a todos os dispositivos registrados com o token.

Distribuir dispositivos

Você habilitou o gerenciamento e a sincronização entre a Apple e o Intune e atribuiu um perfil para permitir o registro dos dispositivos. Agora você pode distribuir dispositivos para os usuários. Os dispositivos com afinidade de usuário requerem que cada usuário receba uma licença do Intune. Os dispositivos sem afinidade de usuário requerem uma licença de dispositivo.

Dispositivos registrados no ABM/ASM aos quais foi atribuído um perfil no Intune podem ser registrados:

  • Durante o Assistente de Configuração para novos dispositivos ou dispositivos apagados.
  • Após o Assistente de Configuração usando o comando de perfis.

Inscrever seu dispositivo macOS registrado no ABM/ASM no Registro de Dispositivo Automatizado durante o Assistente de Configuração

Os dispositivos configurados no ABM/ASM serão registrados automaticamente no gerenciamento com o Intune durante o Assistente de Configuração com um prompt de Gerenciamento Remoto.

Observação

Se o dispositivo foi atribuído a um perfil de registro do macOS com afinidade de usuário, você deve entrar no Portal da Empresa para o registro do Azure AD e o Acesso Condicional.

Cadastrar seu dispositivo macOS registrado no ABM/ASM no Registro de Dispositivo Automatizado após o Assistente de Configuração

Para dispositivos macOS 10.13 e posteriores, você pode seguir estas etapas para se registrar.

  1. No portal do Apple School Manager ou Apple Business Manager, importe o dispositivo.
  2. No Centro de Administração do Microsoft Endpoint Manager, verifique se o dispositivo está atribuído a um perfil de registro do macOS com ou sem afinidade de usuário.
  3. Faça logon no dispositivo com uma conta de administrador local.
  4. Para disparar o registro, na Página Inicial, abra o Terminal e execute o seguinte comando: sudo profiles renew -type enrollment
  5. Insira a senha do dispositivo para a conta de administrador local.
  6. Na janela Registro de dispositivo, escolha Detalhes.
  7. Na janela Preferências do sistema, escolha Perfis.
  8. Siga os prompts que baixarão o perfil de gerenciamento, os certificados e as políticas do Intune. Você pode exibir os perfis no dispositivo a qualquer momento acessando Preferências do Sistema > Perfis.
  9. Se o dispositivo foi atribuído a um perfil de registro do macOS com afinidade de usuário, você deve entrar no Portal da Empresa para o registro do Azure AD e o Acesso Condicional.

Renovar um token de ADE

  1. Vá para business.apple.com e entre com uma conta que tenha a função de administrador ou Gerenciador de Registros de Dispositivo.

  2. Escolha Configurações > em Servidores MDM escolha o servidor MDM associado ao arquivo de token que você deseja renovar > Baixar Token.

    Captura de tela do token de download.

  3. Escolha Baixar Token do Servidor.

  4. No Centro de Administração do Microsoft Endpoint Manager, escolha Registro de dispositivos > Registro da Apple > Tokens do programa de registro > escolha o token. Captura de tela de tokens do programa de registro.

  5. Escolha Renovar token e insira a ID da Apple usada para criar o token original.
    Captura de tela de geração de novo token.

  6. Carregue o token recém-baixado.

  7. Escolha Renovar token. Você verá a confirmação de renovação do token. Captura de tela de confirmação.

Próximas etapas

Depois de registrar dispositivos macOS, você poderá começar a gerenciá-los.