Configurar o registro de dispositivos macOS no Intune

O Microsoft Intune dá suporte ao registro em dispositivos pessoais e de propriedade da empresas. Este artigo descreve os métodos e recursos que você pode usar para registrar dispositivos pessoais, de propriedade da empresa e VM no Intune.

Habilitar o registro no Microsoft Intune

Conclua estas etapas primeiro para habilitar o registro em seu locatário do Microsoft Intune.

1. Verifique se os dispositivos estão qualificados para o registro de dispositivo da Apple
2. Configurar domínios
3. Definir a Autoridade MDM
4. Obtenha um certificado push de MDM da Apple
5. Atribua licenças de usuário no Centro de administração do Microsoft 365
6. Criar grupos
7. Configurar o aplicativo do Portal da Empresa

Registrar dispositivos

Depois de habilitar o registro, use um dos métodos compatíveis descritos nesta seção para registrar dispositivos de propriedade do usuário e da empresa.

Dispositivos macOS de propriedade do usuário (BYOD)

O Intune dá suporte a bring-your-own-device ou BYOD, que permite que as pessoas registrem seus próprios dispositivos pessoais. Para concluir a configuração do registro para cenários BYOD, informe aos usuários licenciados para usarem uma dessas opções para registrar dispositivos:

• Entre no site Portal da Empresa e siga as instruções na tela para adicionar o dispositivo.
• Instale o aplicativo Portal da Empresa para Mac em aka.ms/EnrollMyMac e siga as instruções da tela para adicionar o dispositivo.

Dispositivos macOS de propriedade da empresa

O Intune dá suporte aos seguintes métodos de registro para dispositivos macOS de propriedade da empresa. Selecione um método vinculado por hyperlink para abrir suas etapas de configuração.

• Registro de dispositivo automatizado da Apple: use este método para automatizar a experiência de registro em dispositivos adquiridos por meio do Apple Business Manager ou do Apple School Manager. O registro de dispositivo automatizado implanta o perfil de registro sem fio, portanto, você não precisa ter acesso físico aos dispositivos.
• Gerenciador de registro de dispositivo (DEM): use esse método para implantações em grande escala e quando houver várias pessoas em sua organização que possam ajudar na configuração do registro. Alguém com permissões de DEM (gerenciador de registro de dispositivo) pode registrar até 1.000 dispositivos com uma única conta Microsoft Entra. Esse método usa o aplicativo Portal da Empresa ou o Microsoft Intune para registrar dispositivos. Não é possível usar uma conta do DEM para registrar dispositivos por meio do Registro Automatizado de Dispositivos.
• Registro direto: o registro direto registra dispositivos sem afinidade de usuário, portanto, esse método é melhor para dispositivos que não estão associados a um único usuário. Esse método exige que você tenha acesso físico aos Macs que está registrando.

Tokens de inicialização

O Intune dá suporte ao uso de tokens de inicialização em Macs registrados que executam o macOS 10.15 ou posterior. Os tokens de bootstrap concedem o status de propriedade do volume a contas de usuários e convidados locais para que usuários não administradores possam aprovar operações importantes que um administrador precisaria fazer. Operações como:

• Atualizações de software iniciadas pelo usuário

• Instalação da extensão Kernel no Apple Silicon

Você pode utilizar tokens de inicialização em Macs supervisionados e Macs registrados por meio do registro de dispositivo automatizado do macOS.

Obter token de inicialização

O token de inicialização é gerado automaticamente quando:

• Um Mac recém-registrado faz o logon com o Intune e
• Um usuário seguro habilitado para token (normalmente um Administrador do Intune) entra no Mac com sua senha de texto não criptografado

Em seguida, o token é automaticamente vinculado ao Microsoft Intune. Você pode usar uma ferramenta de linha de comando para exibir, gerar e criar manualmente um token de inicialização em dispositivos macOS com suporte, se necessário. Para obter mais informações sobre comandos, consulte Usar token seguro, token de inicialização e propriedade de volume em implantações no Suporte da Apple.

Monitorar status de caução de inicialização

Você pode monitorar o status de caução de qualquer Mac registrado no centro de administração. A propriedade de hardware Token de inicialização caucionado informa se o token de inicialização foi ou não caucionado no Intune. O Intune relata Sim quando o token foi caucionado com êxito e Não quando o token não tiver sido caucionado.

1. Entre no Centro de administração do Microsoft Intune.
2. Acesse Dispositivos>macOS.
3. Selecione um dispositivo na lista de dispositivos macOS.
4. Selecione Hardware.
5. Nos detalhes do hardware, role para baixo até Acesso condicional>Token de inicialização caucionado.

Gerenciar extensões kernel e atualizações de software

Um token de inicialização pode ser usado para aprovar a instalação de extensões kernel e atualizações de software em um Mac com Apple Silicon.

As atualizações de software iniciadas pelo usuário podem ser realizadas com um token de inicialização em Macs com o macOS, versão 11.1, e registrados por meio de registro automatizado de dispositivo. Para autorizar atualizações de software iniciados pelo usuário em um dispositivo que não está registrado por meio do registro de dispositivo automatizado, você deve reiniciar o Mac no modo de recuperação e fazer downgrade de suas configurações de segurança. Você também pode utilizar o token de inicialização para atualizações de software em Macs com o macOS 11.2 e posterior, com o único requisito de que o dispositivo precisa ser supervisionado.

O gerenciamento de extensão kernel está automaticamente disponível em Macs que executam o macOS 11 ou posterior e é registrado por meio do registro de dispositivo automatizado. Para autorizar o gerenciamento remoto de extensões kernel em um dispositivo que não está registrado por meio do registro de dispositivo automatizado, você deve reiniciar o Mac no modo de recuperação e fazer downgrade de suas configurações de segurança.

Para obter mais informações sobre alteração nas configurações de segurança, consulte Alterar configurações de segurança no disco de inicialização de um Mac com Apple Silicon no Suporte da Apple.

Bloquear registro do macOS

Por padrão, o Intune permite o registro de dispositivos macOS. Para bloquear o registro de dispositivos macOS, consulte Definir restrições de tipo de dispositivo.

Registrar máquinas macOS virtuais para teste

Observação

O Intune dá suporte a máquinas virtuais macOS apenas para fins de teste. Não use máquinas virtuais macOS como dispositivos oficiais para funcionários ou alunos.

O Intune dá suporte a máquinas virtuais que executam:

• Parallels Desktop
• VMware Fusion
• Apple Silicon

O Intune precisa saber o modelo de hardware e o número de série da VM para reconhecer e registrá-lo como um dispositivo. Se você tentar registrar uma VM sem fornecer esses detalhes, o registro falhará. Esta seção fornece mais informações sobre como atender a esse requisito antes do registro.

Parallels Desktop

Modifique as definições de configuração da VM para adicionar ou alterar um número de série de VM e um identificador de modelo de hardware. Insira qualquer cadeia de caracteres alfanuméricos para o número de série. Para o modelo de hardware, recomendamos usar o modelo do dispositivo que está executando a VM. Para localizar o modelo de hardware do Mac, selecione o menu da Apple e vá para Sobre este Mac>Relatório de Sistema>Identificador de Modelo.

Para obter mais informações, consulte os seguintes tópicos na base de dados de conhecimento do Parallels:

• Como registrar uma VM macOS no Parallels Desktop usando o Intune
• Como localizar e alterar o número de série

VMware Fusion

Adicione as linhas a seguir ao arquivo .vmx para definir o modelo de hardware e o número de série da VM. Os valores mostrados neste exemplo são exemplos.

serialNumber = "ABC123456789"  
hw.model = "MacBookAir10,1"  

Insira qualquer cadeia de caracteres alfanuméricos para o número de série. Para o modelo de hardware, recomendamos usar o modelo do dispositivo que está executando a VM. Para localizar o modelo de hardware do Mac, selecione o menu da Apple e vá para Sobre este Mac>Relatório de Sistema>Identificador de Modelo.

O VMware Fusion só tem suporte em Macs Intel. Consulte o site de conexão do cliente VMware para obter mais informações sobre edição do arquivo .vmx para sua VM do VMware Fusion.

Apple Silicon

Nenhuma alteração é necessária para máquinas virtuais em execução no hardware do Apple Silicon. A Área de Trabalho Paralela tem suporte em Macs com o Apple Silicon, portanto, se você configurar uma VM dessa forma, não precisará modificar a ID do modelo de hardware ou o número de série.

Registro aprovado pelo usuário

Todos os registro do Mac no Intune são considerados aprovados pelo usuário. O registro aprovado pelo usuário permite gerenciar dispositivos macOS que não fazem parte do Apple School Manager ou do Apple Business Manager. Ele fornece o mesmo nível de controle que os dispositivos macOS supervisionados registrados usando o Registro Automatizado de Dispositivos ou o Apple Configurator.

O Intune ativa automaticamente a supervisão para dispositivos aprovados pelo usuário com o macOS 11 e posterior. Ele também faz isso para dispositivos registrados que são atualizados depois para o macOS 11 ou posterior.

Observação

O Intune anunciou suporte para o registro aprovado pelo usuário em junho de 2020. Os registro BYOD que ocorreram antes dessa hora podem não ser aprovados pelo usuário. Para obter mais informações sobre os dispositivos Apple sendo aprovados pelo usuário, confira Registro MDM aprovado pelo usuário no site de Suporte da Apple.

Experiência do usuário

O usuário do dispositivo entra no aplicativo Portal da Empresa para iniciar o registro. O Portal da Empresa abre as preferências do sistema do dispositivo e solicita que o usuário instale o perfil de gerenciamento. O Portal da Empresa fornece instruções no aplicativo para ajudar os usuários a encontrar o perfil. Os usuários vão aos Perfis de Preferências> do Sistema para aprovar a instalação do perfil de gerenciamento. Os usuários de dispositivos que não fornecem aprovação durante o registro podem retornar às preferências do sistema posteriormente para aprovar.

Descubra se o dispositivo foi aprovado pelo usuário

1. No centro de administração, selecione Dispositivos>Todos os dispositivos.
2. Escolha um dispositivo macOS.
3. No menu lateral, selecione Hardware.
4. Verifique o valor ao lado de Registro aprovado pelo usuário.

Fazer backup e restaurar com o Assistente de Migração da Apple

Use o Assistente de Migração da Apple para fazer backup e restaurar um dispositivo macOS. Você pode usar a ferramenta para fazer backup de um Mac e restaurar seus dados de aplicativo em um novo dispositivo. É importante saber:

• O perfil de gerenciamento no Mac original não tem backup. O dispositivo é enviado um novo perfil de gerenciamento à medida que o novo Mac se registra novamente. Isso acontece em Macs que passam pelo registro automatizado de dispositivos da Apple e Macs que não passam pelo registro automatizado de dispositivos.
• Portal da Empresa credenciais de aplicativo podem ser restauradas no novo Mac depois que ele passar pelo Assistente de Migração e se registrar. Se isso acontecer, recomendamos que você ou o usuário do dispositivo conclua as seguintes etapas para limpar os dados do aplicativo:
  1. Saia do aplicativo Portal da Empresa.
  2. Entre no aplicativo ou Portal da Empresa site.

Próximas etapas

• Para obter a documentação de ajuda do usuário, que fornece instruções de registro passo a passo para usuários de dispositivos, consulte Registrar seu dispositivo macOS no Intune. Você também pode criar suas próprias instruções se preferir capturar a experiência de registro de marca ou personalizada da sua organização.

• Depois que os dispositivos macOS forem registrados, você poderá criar configurações personalizadas para dispositivos macOS.