使用 Intune 添加 iOS、iPadOS 或 macOS 设备功能设置

Intune 包含许多有助于管理员控制 iOS、iPadOS 和 macOS 设备的功能和设置。 例如,管理员可以:

  • 允许用户有权在网络中访问 AirPrint 打印机
  • 将应用和文件夹添加到主屏幕,包括添加新页面
  • 选择是否以及如何显示应用通知
  • 将锁定屏幕配置为显示消息或资产标记,特别是对于共享设备
  • 为用户提供安全的单一登录体验,以在应用间共用凭据
  • 筛选使用成人语言的网站,并允许或屏蔽特定网站

Intune 使用“配置文件”创建和自定义这些设置,从而满足组织需求。 在配置文件中添加这些功能后,需将此配置文件推送或部署到组织中的 iOS/iPadOS 和 macOS 设备。

此功能适用于:

  • iOS/iPadOS
  • macOS

本文介绍可配置的不同功能,并演示如何创建设备配置文件。 还可以查看所有适用于 iOS/iPadOSmacOS 设备的设置。

创建配置文件

  1. 登录到Microsoft Intune管理中心

  2. 选择“ 设备>配置>创建”。

  3. 输入以下属性:

    • 平台:选择平台:

      • iOS/iPadOS
      • macOS
    • 配置文件类型:选择“ 设备功能”。 或者,选择“模板”>“设备功能”

  4. 选择“创建”。

  5. “基本信息”中,输入以下属性:

    • 名称:输入策略的描述性名称。 为策略命名,以便稍后可以轻松地识别它们。 例如,策略名称最好是“macOS:配置登录屏幕”。
    • 说明:输入策略的说明。 此设置是可选的,但建议进行。
  6. 选择 下一步

  7. 在“配置设置”中,根据所选择的平台,可配置的设置有所不同。 选择平台,以了解详细设置:

  8. 选择 下一步

  9. 在“作用域标记”(可选)中,分配一个标记以将配置文件筛选到特定 IT 组(如 US-NC IT TeamJohnGlenn_ITDepartment。 有关范围标记的详细信息,请转到 使用分布式 IT 的 RBAC 和范围标记

    选择 下一步

  10. 在“分配”中,选择将接收配置文件的用户或组。 有关分配配置文件的详细信息,请转到 分配用户和设备配置文件

    选择 下一步

  11. “查看并创建”中查看设置。 选择“创建”时,将保存所做的更改并分配配置文件。 该策略也会显示在配置文件列表中。

Airprint

Airprint 是允许设备通过无线网络打印到文件的 Apple 功能。 可以在 Intune 中将 AirPrint 信息添加到设备。

有关可在 Intune 中配置的设置列表,请转到 iOS/iPadOS 上的 AirPrintmacOS 上的 AirPrint

有关 AirPrint 的详细信息,请转到 Apple 网站上的 关于 AirPrint

应用于:

  • iOS 7.0 及更高版本
  • iPadOS 13.0 及更高版本
  • macOS 10.10 及更高版本

应用通知

选择 iOS 和 iPadOS 设备上的应用接收通知的方式。 例如,发送应用通知,使它们在通知中心、锁屏界面上显示,或发出提示音。

有关可在 Intune 中配置的设置列表,请转到 iOS/iPadOS 上的应用通知

有关此功能的详细信息,请转到 Apple 网站上的 通知

应用于:

  • iOS 9.3 及更高版本
  • iPadOS 13.0 及更高版本

关联域

关联域允许在域(如 contoso.com)和应用之间建立关系。 可以使用此功能实现以下操作:

  • 在组织的应用和网站之间共享数据和登录凭据。

  • 使用基于网站的应用功能,例如单一登录应用扩展、通用链接和密码自动填充。

    例如,创建关联域,以允许密码自动填充推荐与应用关联的网站的凭据,如密码。

有关可在 Intune 中配置的设置列表,请转到 macOS 上的关联域

有关此功能的详细信息,请转到在 Apple 网站上 设置应用的关联域

应用于:

  • macOS 10.15 及更高版本

主屏幕布局

这些设置配置主屏幕和停靠面板中的应用布局和文件夹。 你还可以实时查看大多数应用及其图标的外观。 具体来说:

  • 使用“主屏幕”设置,将应用和文件夹添加到设备上的主屏幕中。
  • 使用“停靠面板”设置将应用或文件夹添加到屏幕上的停靠面板。 例如,在设备停靠面板上显示 Safari 和邮件应用。

有关可在 Intune 中配置的设置列表,请转到 iOS/iPadOS 上的主屏幕布局

应用于:

  • iOS 9.3 及更高版本
  • iPadOS 13.0 及更高版本

锁屏界面消息

使用这些设置在登录窗口和锁定屏幕中显示自定义消息或文本。 例如,可输入“如果丢失,请送还至…”消息,然后显示资产标记信息。

有关可在 Intune 中配置的设置列表,请转到 iOS/iPadOS 上的锁屏界面消息设置

有关锁屏界面消息的详细信息,请转到 Apple 网站上的 LockScreenMessage

应用于:

  • iOS 9.3 及更高版本
  • iPadOS 13.0 及更高版本

登录项

使用此功能选择用户登录到设备时打开的应用、自定义应用、文件和文件夹。

有关可在 Intune 中配置的设置列表,请转到 macOS 上的登录项

应用于:

  • macOS 10.13 及更高版本

登录窗口

控制用户在登录前可用的登录屏幕和功能的外观。 例如,添加带有自定义消息的横幅,选择是否显示睡眠按钮等。

有关可在 Intune 中配置的设置列表,请转到 macOS 上的“登录”窗口

应用于:

  • macOS 10.7 及更高版本

单一登录

大多数业务线 (LOB) 应用需要某种级别的用户身份验证,才能支持安全性。 在许多情况下,此类身份验证要求用户重复输入相同凭据。 为了提升用户体验,开发人员可以创建使用单一登录 (SSO) 的应用。 使用单一登录减少了用户必须输入凭据的次数。

单一登录配置文件基于 Kerberos。 Kerberos 是一种网络身份验证协议,它使用密钥加密来对客户端-服务器应用程序进行身份验证。 Intune 设置在访问服务器或特定应用时定义 Kerberos 帐户信息,并处理网页和本机应用的 Kerberos 质询。 Apple 建议使用 Kerberos SSO 应用扩展(在本文中)设置,而不是 SSO 设置。

若要使用单一登录,请务必确保:

  • 已将应用编码为,在设备上的单一登录中查找用户凭据存储。
  • Intune 配置有 iOS/iPadOS 设备单一登录。

有关可在 Intune 中配置的设置列表,请转到 iOS/iPadOS 上的单一登录

应用于:

  • iOS 7.0 及更高版本
  • iPadOS 13.0 及更高版本

单一登录应用扩展

这些设置将配置可为 iOS、iPadOS 和 macOS 设备启用单一登录 (SSO) 的应用扩展。 大多数业务线 (LOB) 应用和组织网站需要某种级别的安全的用户身份验证。 在许多情况下,此类身份验证要求用户重复输入相同凭据。 借助 SSO,用户输入一次凭据后,即可访问应用和网站。 SSO 还为用户提供了更好的身份验证体验,并减少了重复提示输入凭据的次数。

在 Intune 中,使用这些设置配置由组织、标识提供者、Microsoft 或 Apple 创建的 SSO 应用扩展。 SSO 应用扩展将处理对用户的身份验证。 这些设置可配置重定向类型和凭据类型 SSO 应用扩展。

  • 重定向类型适用于 OpenID Connect、OAuth 和 SAML2 等新式身份验证协议。 可以选择Microsoft Entra SSO 扩展 (Microsoft Enterprise SSO 插件) 和通用重定向扩展。

  • 凭据类型适用于质询与响应身份验证流。 可选择通用凭据扩展或者 Apple 提供的 Kerberos 专属凭据扩展。

    Microsoft Entra macOS SSO 应用扩展应适用于任何第三方或合作伙伴 MDM。 必须将扩展部署为 kerberos SSO 扩展,或将其部署为配置了所有必需属性的自定义配置文件。

有关可在 Intune 中配置的设置列表,请转到 iOS/iPadOS SSO 应用扩展macOS SSO 应用扩展

有关开发 SSO 应用扩展的详细信息,请观看 Apple 网站上的可扩展的企业 SSO。 若要阅读 Apple 的功能说明,请转到 单一登录扩展有效负载设置

注意

单一登录应用扩展功能不同于单一登录功能:

  • “单一登录应用扩展”设置适用于 iPadOS 13.0、iOS 13.0 和 macOS 10.15(以及它们的更高版本)单一登录设置适用于 iPadOS 13.0(以及更高版本)和 iOS 7.0 以及更高版本。

  • “单一登录应用扩展”设置定义了供标识提供者或组织使用的扩展,以提供无缝的企业登录体验。 “单一登录”设置定义了有关用户访问服务器或应用时的 Kerberos 帐户信息

  • 单一登录应用扩展使用 Apple 操作系统进行身份验证。 因此,它可能会提供比单一登录更棒的最终用户体验。

  • 从开发角度而言,使用单一登录应用扩展,你可以使用任意类型的重定向 SSO 或凭据 SSO 身份验证。 使用单一登录时,只可以使用 Kerberos SSO 身份验证。

  • Kerberos 单一登录应用扩展由 Apple 开发,内置于 iOS/iPadOS 13.0 + 和 macOS 10.15 + 平台中。 内置的 Kerberos 扩展可用于将用户登录到支持 Kerberos 身份验证的本机应用和网站。 单一登录不是 Kerberos 的 Apple 实现

  • 内置的 Kerberos 单一登录应用扩展可以像单一登录一样处理网页和应用的 Kerberos 质询。 不过,内置的 Kerberos 扩展支持密码更改,并且在企业网络中效果更佳。 在 Kerberos 单一登录应用扩展和单一登录之间进行选择时,由于扩展可以提高性能和功能,因此我们建议使用前者

应用于:

  • iOS 13.0 及更高版本
  • iPadOS 13.0 及更高版本
  • macOS 10.15 及更高版本

壁纸

将自定义 .png、.jpg 或 .jpeg 图像添加到受监督的 iOS/iPadOS 设备。 例如,使用 Intune 将公司徽标添加到设备的锁屏界面。

有关可在 Intune 中配置的设置列表,请转到 iOS/iPadOS 上的壁纸

应用于:

  • iOS
  • iPadOS 13.0 及更高版本

Web 内容筛选器

这些设置使用 Apple 的内置自动筛选算法评估网页,并阻止成人内容和成人语言。 还可以创建允许的 Web 链接和限制的 Web 链接列表。 例如,可以仅允许 contoso 网站打开。

有关可在 Intune 中配置的设置列表,请转到 iOS/iPadOS 上的 Web 内容筛选器

应用于:

  • iOS 7.0 及更高版本
  • iPadOS 13.0 及更高版本

后续步骤

配置文件已创建,但可能尚未执行任何操作。 请务必分配配置文件,并监视配置文件状态

查看所有适用于 iOS/iPadOSmacOS 设备的设备功能设置。