Guia de implementação: Inscreva dispositivos macOS em Microsoft Intune

  • Artigo

Dispositivos pessoais e de propriedade da organização podem ser matriculados no Intune. Nos dispositivos macOS, a aplicação Portal da Empresa ou o Apple Setup Assistant autentica os utilizadores e inicia a inscrição. Assim que estão matriculados, recebem as políticas e perfis que cria.

Tem as seguintes opções ao inscrever dispositivos macOS:

Nota

A inscrição através do Configurador apple está disponível para dispositivos iOS/iPadOS. Não está disponível para dispositivos macOS. Quando cria um perfil de inscrição de macOS, parece que o Configurador da Apple é uma opção. Este comportamento é um problema conhecido, e será corrigido numa futura versão (sem ETA). Não crie um perfil de inscrição de macOS com o Configurador apple. Não resulta.

Este artigo:

  • Descreve as opções de aplicação Portal da Empresa para cada método de inscrição.
  • Fornece recomendações sobre o método de inscrição do macOS para usar.
  • Inclui uma visão geral do administrador e das tarefas do utilizador para cada tipo de inscrição.

Para obter informações mais específicas, consulte os dispositivos de inscrição do macOS.

Dica

Este guia é um ser vivo. Por isso, certifique-se de adicionar ou atualizar as dicas e orientações existentes que considerou úteis.

Antes de começar

Para obter uma visão geral, incluindo quaisquer pré-requisitos específicos do Intune, consulte orientações de implantação: Inscreva dispositivos em Microsoft Intune.

BYOD: Inscrição de dispositivos

Utilize para dispositivos pessoais ou traga os seus próprios dispositivos (BYOD). Não é um método tradicional de "inscrição", uma vez que utiliza um perfil de configuração de aplicações. Esta opção gere as aplicações no dispositivo. Os dispositivos não estão matriculados.

Funcionalidade Use esta opção de inscrição quando
Os dispositivos são pessoais ou BYOD. ✔️
Precisa de inscrever alguns dispositivos, ou um grande número de dispositivos (inscrição a granel). ✔️
Tem dispositivos novos ou existentes. ✔️
Os dispositivos estão associados a um único utilizador. ✔️
Utilize a conta de gestor de inscrição do dispositivo (DEM). ✔️

Esteja atento ao impacto e a quaisquer limitações utilizando a conta DEM.
Os dispositivos são geridos por outro fornecedor de MDM.

Quando um dispositivo se inscreve, os fornecedores de MDM instalam certificados e outros ficheiros. Estes ficheiros têm de ser removidos. A forma mais rápida pode ser de desenrolar ou de reiniciar os dispositivos. Se não quiser reiniciar a fábrica, contacte o fornecedor de MDM.
Os dispositivos são propriedade da organização ou da escola.

Não recomendado para dispositivos de propriedade da organização. Os dispositivos pertencentes à organização devem ser matriculados utilizando a Inscrição automática de Dispositivos (neste artigo) ou o Configurador apple.

Pode adicionar os números de série do MacBook aos identificadores de dispositivos corporativos para marcar os dispositivos como corporativos. Mas, por padrão, os dispositivos são marcados como pessoais.
Os dispositivos são sem utilizador, como quiosque, dedicado ou partilhado.

Estes dispositivos são propriedade da organização. Os dispositivos sem utilizador devem ser matriculados utilizando a Inscrição automática de Dispositivos (neste artigo) ou o Configurador apple.

Tarefas de administrador de inscrição de dispositivos

Esta lista de tarefas fornece uma visão geral.

  • Certifique-se de que os seus dispositivos estão suportados.

  • Certifique-se de que o certificado de push Apple MDM é adicionado a Endpoint Manager e está ativo. Este certificado é necessário para inscrever dispositivos macOS. Para obter mais informações, consulte obter um certificado de push Apple MDM.

  • Não existe uma aplicação Portal da Empresa para dispositivos macOS na Apple App Store, ou através do VPP. Os utilizadores devem descarregar e executar manualmente o pacote de instaladores de aplicações Portal da Empresa. Eles entram com a sua conta de organização e user@contoso.com depois passam pela inscrição. Assim que se inscreverem, têm de aprovar o perfil de inscrição.

    Quando aprovam, o dispositivo é adicionado à sua organização Azure AD. Em seguida, está disponível para Intune para receber as suas políticas e perfis.

    Certifique-se de que comunica esta informação com os seus utilizadores.

Tarefas finais de inscrição do dispositivo

Os seus utilizadores devem fazer os seguintes passos. Para obter informações mais específicas sobre as etapas finais do utilizador, consulte inscrever o seu dispositivo macOS utilizando a aplicação Portal da Empresa.

  1. Descarregue e execute o pacote de instaladores de aplicações Portal da Empresa.
  2. Abra a aplicação Portal da Empresa e inscreva-se na sua conta de organização ( user@contoso.com ). Uma vez que assinem, devem aprovar o perfil de inscrição (preferências do sistema). Quando os utilizadores aprovam, o dispositivo é matriculado e considerado gerido. Se não aprovarem, não estão matriculados e não receberão a sua política e perfis.

Para obter informações mais específicas sobre as etapas finais do utilizador, consulte inscrever o seu dispositivo macOS utilizando a aplicação Portal da Empresa.

Normalmente, os utilizadores não gostam de se inscrever, e podem não estar familiarizados com a aplicação Portal da Empresa. Certifique-se de fornecer orientação, incluindo que informações introduzir. Para obter algumas orientações sobre a comunicação com os seus utilizadores, consulte o guia de planeamento: Tarefa 5: Criar um plano de lançamento.

Inscrição automática de dispositivos (ADE) (supervisionado)

Anteriormente chamado Apple Device Registration Program (DEP). Use em dispositivos pertencentes à sua organização. Esta opção configura as definições utilizando o Apple Business Manager (ABM) ou o Apple School Manager (ASM). Inscreve um grande número de dispositivos, sem que nunca toque nos dispositivos. Estes dispositivos são adquiridos na Apple, têm as suas definições pré-configuradas e podem ser enviados diretamente para utilizadores ou escolas. Cria-se um perfil de inscrição no centro de administração Endpoint Managere empurra este perfil para os dispositivos.

Para obter informações mais específicas sobre este tipo de matrícula, consulte automaticamente inscrever dispositivos macOS com o Apple Business Manager ou Apple School Manager.

Funcionalidade Use esta opção de inscrição quando
Os dispositivos são propriedade da organização ou da escola. ✔️
Tem novos dispositivos. ✔️
Tem dispositivos existentes. ✔️

Para inscrever os dispositivos existentes, consulte inscrever o seu dispositivo macOS registado em ABM/ASM com Inscrição automática de Dispositivo após o Assistente de Configuração (abre outro artigo da Microsoft).
Precisa de inscrever alguns dispositivos, ou um grande número de dispositivos (inscrição a granel). ✔️
Os dispositivos estão associados a um único utilizador. ✔️
Os dispositivos são sem utilizador, como quiosque ou dispositivo dedicado. ✔️
Os dispositivos são pessoais ou BYOD.

Não recomendada. BYOD ou dispositivos pessoais devem ser matriculados com inscrição de Dispositivo (neste artigo).
Os dispositivos são geridos por outro fornecedor de MDM.

Para serem totalmente geridos pela Intune, os utilizadores devem desenrolar-se do atual provedor de MDM e, em seguida, inscrever-se no Intune. Ou, pode utilizar a inscrição do Dispositivo para gerir aplicações específicas no dispositivo. Uma vez que estes dispositivos são propriedade da organização, é recomendado inscrever-se no Intune.
Utilize a conta de gestor de inscrição do dispositivo (DEM).

A conta DEM não é suportada.

Tarefas de administrador da ADE

Esta lista de tarefas fornece uma visão geral. Para obter informações mais específicas, consulte automaticamente os dispositivos macOS com o Apple Business Manager ou o Apple School Manager.

  • Certifique-se de que os seus dispositivos estão suportados.

  • Precisa de ter acesso ao portal Apple Business Manager (ABM),ou ao portal Apple School Manager (ASM).

  • Certifique-se de que o token apple (.p7m) está ativo. Para obter informações mais específicas, consulte obter um token Apple ADE.

  • Certifique-se de que o certificado de push Apple MDM é adicionado a Endpoint Manager e está ativo. Este certificado é necessário para inscrever dispositivos macOS. Para obter mais informações, consulte obter um certificado de push Apple MDM.

  • Decida como os utilizadores autenticarão nos seus dispositivos: Assistente de Configuração (legado) ou Assistente de Configuração com autenticação moderna. Tome esta decisão antes de criar o perfil de inscrição. A utilização do Assistente de Configuração com autenticação moderna é considerada autenticação moderna. A Microsoft recomenda a utilização do Assistente de Configuração com a autenticação moderna.

    Para todos os dispositivos macOS de propriedade da organização, o Assistente de Configuração (legado) é sempre utilizado e automaticamente, mesmo que não veja o texto "Setup Assistant" em Endpoint Manager. O Assistente de Configuração (legado) autentica o utilizador e inscreve o dispositivo.

    • Selecione o Assistente de Configuração (legado) quando:

      • Quer limpar o dispositivo.

      • Não pretende utilizar funcionalidades de autenticação modernas, como o MFA.

      • Não quer registar dispositivos no Azure AD. O Assistente de Configuração (legado) autentica o utilizador com o .p7m token Apple. Se for aceitável não registar dispositivos no Azure AD, então não precisa de instalar a aplicação Portal da Empresa. Continue a utilizar o Assistente de Configuração (legado).

        Se pretender utilizar a aplicação Portal da Empresa para autenticação em vez de utilizar o Assistente de Configuração, ou se quiser que os dispositivos registados no AD AZure, instale a aplicação Portal da Empresa. Depois de o dispositivo estar matriculado, pode instalar a aplicação Portal da Empresa.

        Para instalar a aplicação Portal da Empresa nos dispositivos, consulte adicionar a aplicação Portal da Empresa. Desaprote a aplicação Portal da Empresa como uma aplicação necessária.

        Uma vez instalados, os utilizadores abrem a aplicação Portal da Empresa e iniciam seduca com a sua conta AD da organização Azure user@contoso.com ( ). Quando se inscrevem, são autenticados e prontos para receber as suas políticas e perfis.

    • Selecione o Assistente de Configuração com autenticação moderna quando:

      • Quer limpar o dispositivo.
      • Pretende utilizar a autenticação multi-factor (MFA).
      • Pretende que os utilizadores atualizem a sua palavra-passe expirada quando iniciarem a sua primeira seduada.
      • Pretende que os utilizadores repusem as suas palavras-passe caducadas durante a inscrição.
      • Quer dispositivos registados no Azure AD. Quando estão registados, pode utilizar funcionalidades disponíveis com Azure AD, como acesso condicional.

      Nota

      Durante o Assistente de Configuração, os utilizadores devem introduzir as suas credenciais Azure AD user@contoso.com (). Quando entram nas suas credenciais, começa a inscrição. Se quiser, os utilizadores também podem introduzir o seu Apple ID para aceder a funcionalidades específicas da Apple, como o Apple Pay.

      Depois de concluído o Assistente de Configuração, os utilizadores podem utilizar o dispositivo. Quando o ecrã principal aparece, a inscrição está completa e a afinidade do utilizador é estabelecida. O dispositivo não está totalmente registado no Azure AD, e não aparece na lista de dispositivos de um utilizador no AZure AD.

      Se os utilizadores precisarem de acesso a recursos protegidos por acesso condicional ou se estiverem totalmente registados no AZure AD, então instale a aplicação Portal da Empresa. Depois de instalado, os utilizadores abrem a aplicação Portal da Empresa e iniciam seduca com a sua conta AD da organização Azure user@contoso.com . Durante este segundo login, quaisquer políticas de acesso condicional são avaliadas e o registo AZure AD está completo. Os utilizadores podem instalar e utilizar recursos organizacionais, incluindo aplicações LOB.

  • No centro de administração Endpoint Manager,crie um perfil de inscrição. Opte por inscrever-se com afinidade do utilizador (convocou um utilizador ao dispositivo) ou inscreva-se sem afinidade do utilizador (dispositivos sem utilizador ou dispositivos partilhados).

    • Inscreva-se com afinidade do utilizador: O Assistente de Configuração autentica o utilizador e inscreve o dispositivo no Intune. Escolha também se os utilizadores podem eliminar o perfil de gestão, denominado Inscrição Bloqueada.

    • Inscreva-se sem afinidade do utilizador: O Assistente de Configuração autentica o utilizador e inscreve o utilizador no Intune. Escolha também se os utilizadores podem eliminar o perfil de gestão, denominado Inscrição Bloqueada. A aplicação Portal da Empresa não é utilizada, necessária ou suportada em inscrições sem afinidade do utilizador.

Tarefas do utilizador final ADE

Estas tarefas dependem da forma como os administradores dizem aos utilizadores para instalarem a aplicação Portal da Empresa. Normalmente, quanto menos utilizadores finais tiverem de fazer para se inscreverem, maior é a probabilidade de se inscreverem.

Para obter informações mais específicas sobre as etapas finais do utilizador, consulte inscrever o seu dispositivo macOS utilizando a aplicação Portal da Empresa.

  • Inscreva-se com afinidade do utilizador + Assistente de Configuração (legado):

    1. Quando o dispositivo está ligado, o Apple Setup Assistant funciona. Os utilizadores introduzem o seu Apple ID user@iCloud.com (ou user@gmail.com ).

    2. O Assistente de Configuração solicita informações ao utilizador e inscreve o dispositivo no Intune. O dispositivo não está registado no Azure AD.

      Se estiver a usar o Assistente de Configuração para autenticação, então pare aqui.

    3. Opcional. Se estiver a utilizar a aplicação Portal da Empresa para autenticação (em vez de Assistente de Configuração), então a aplicação Portal da Empresa instala-se utilizando a opção configurada.

      Os utilizadores abrem a aplicação Portal da Empresa e iniciam sê-lo com as suas credenciais de organização user@contoso.com ( ). Depois de iniciarem seduca, os utilizadores são autenticados e podem aceder aos recursos da organização.

      Lembre-se, instalar a aplicação Portal da Empresa é opcional. Se pretender que os seus utilizadores autentem usando Portal da Empresa aplicação, em vez de utilizar o Assistente de Configuração, adicione a aplicação Portal da Empresa.

  • Inscreva-se com afinidade do utilizador + Assistente de Configuração com autenticação moderna:

    1. Quando o dispositivo está ligado, o Apple Setup Assistant funciona. Os utilizadores introduzem o seu ID Apple user@iCloud.com user@gmail.com (ou) e as suas credenciais Azure AD user@contoso.com ().

      Quando os utilizadores introduzem as suas credenciais AD Azure, a inscrição começa.

    2. O Assistente de Configuração pode solicitar ao utilizador informações adicionais. Quando estiver concluído, os utilizadores podem utilizar o dispositivo. Quando o ecrã principal aparece, a inscrição está completa e a afinidade do dispositivo do utilizador é estabelecida. Os utilizadores verão as suas apps e políticas no dispositivo.

    3. Os utilizadores abrem a Portal da Empresa app que instalou,e iniciam novamente o seu contrato com as suas credenciais user@contoso.com de organização.

  • Inscreva-se sem afinidade do utilizador: Sem ações. Certifique-se de que os seus utilizadores não instalam a aplicação Portal da Empresa.

Normalmente, os utilizadores não gostam de se inscrever, e podem não estar familiarizados com a aplicação Portal da Empresa. Certifique-se de fornecer orientação, incluindo que informações introduzir. Para obter algumas orientações sobre a comunicação com os seus utilizadores, consulte o guia de planeamento: Tarefa 5: Criar um plano de lançamento.

Passos seguintes