Intune 中的 macOS 设备功能设置
注意
Intune支持的设置可能比本文中列出的设置更多。 并非所有设置都已记录,并且不会记录。 若要查看可以配置的设置,请创建设备配置策略,然后选择 “设置目录”。 有关详细信息,请转到 设置目录。
Intune包括用于自定义 macOS 设备上的功能的内置设置。 例如,管理员可以添加 AirPrint 打印机、选择用户登录方式、配置电源控制、使用单一登录身份验证等。
使用这些功能控制 macOS 设备,作为移动设备管理 (MDM) 解决方案的一部分。
此功能适用于:
- macOS
本文介绍这些设置。 它还列出了使用终端应用 (仿真器) 获取 AirPrint 打印机的 IP 地址、路径和端口的步骤。 有关设备功能的详细信息,请转到 添加 iOS/iPadOS 或 macOS 设备功能设置。
开始之前
创建 macOS 设备功能配置文件。
这些设置适用于不同的注册类型,某些设置适用于所有注册选项。 有关不同注册类型的详细信息,请转到 macOS 注册。
AirPrint
设置适用于:所有注册类型
AirPrint 目标:输入一个或多个 AirPrint 打印机信息,以便用户可以从其设备进行打印:
- IP 地址:输入打印机的 IPv4 或 IPv6 地址。 例如,输入
10.0.0.1。 如果使用主机名来标识打印机,可以通过在终端应用中 ping 打印机来获取 IP 地址。 获取本文中的 IP 地址和路径 (,) 具有更多详细信息。 - 资源路径:输入打印机的资源路径。 路径通常
ipp/print适用于网络上的打印机。 获取本文中的 IP 地址和路径 (,) 具有更多详细信息。 - 端口 (iOS 11.0+、iPadOS 13.0+) :输入 AirPrint 目标的侦听端口。 如果将此属性留空,则 AirPrint 将使用默认端口。
- 强制 TLS (iOS 11.0+、iPadOS 13.0+) :选项:
- 禁用 (默认) :连接到 AirPrint 打印机时不强制实施传输层安全性 (TLS) 。
- 启用:使用传输层安全性 (TLS) 保护 AirPrint 连接。
- IP 地址:输入打印机的 IPv4 或 IPv6 地址。 例如,输入
导入 包含 AirPrint 打印机列表的逗号分隔文件 (.csv) 。 此外,在 Intune 中添加 AirPrint 打印机后,可以导出此列表。
获取 IP 地址和路径
若要添加 AirPrinter 服务器,需要打印机的 IP 地址、资源路径和端口。 以下步骤演示如何获取此信息。
在连接到与 AirPrint 打印机相同的本地网络 (子网) 的 Mac 上,从 /Applications/Utilities) 打开终端应用 (。
在终端应用中,输入
ippfind,然后选择 Enter。记下打印机信息。 例如,它可以返回类似
ipp://myprinter.local.:631/ipp/port1的内容。 第一部分是打印机的名称。 ) (ipp/port1最后一部分是资源路径。在终端应用中,键入
ping myprinter.local,然后选择 Enter。记下 IP 地址。 例如,它可以返回类似
PING myprinter.local (10.50.25.21)的内容。使用 IP 地址和资源路径值。 在此示例中,IP 地址为
10.50.25.21,资源路径为/ipp/port1。
关联域
在Intune中,可以:
- 添加许多应用到域关联。
- 将多个域与同一应用关联。
此设置适用于:
- macOS 10.15 及更高版本
设置适用于:用户批准的设备注册和自动设备注册
这些设置使用 AssociatedDomains.ConfigurationItem 有效负载 (打开 Apple 的网站) 。
关联域:在域和应用之间 添加 关联。 此功能在 Contoso 应用和 Contoso 网站之间共享登录凭据。 另输入:
应用 ID:输入要与网站关联的应用的应用标识符。 应用标识符包括团队 ID 和捆绑 ID:
TeamID.BundleID。团队 ID 是 Apple 为应用开发人员生成的 10 个字符字母数字 (字母和数字) 字符串,例如
ABCDE12345。 找到团队 ID (打开 Apple 网站,) 了解详细信息。捆绑 ID 唯一标识应用,并且通常采用反向域名表示法格式。 例如,Finder 的捆绑 ID 为
com.apple.finder。 若要查找捆绑包 ID,请在终端中使用 AppleScript:osascript -e 'id of app "ExampleApp"'域:输入要与应用关联的网站域。 域包括服务类型和完全限定的主机名,例如
webcredentials:www.contoso.com。可以通过输入
*.(星号通配符和域开头之前的句点) 来匹配关联域的所有子域。 期间是必需的。 确切域的优先级高于通配符域。 因此, 如果在 完全限定的子域中找不到匹配项,则会匹配来自父域的模式。服务类型可以是:
- authsrv:单一登录应用扩展
- applink:通用链接
- webcredentials:密码自动填充
启用直接下载: 是 直接从设备下载域数据,而不是通过 Apple 的内容分发网络 (CDN) 。 设置为“未配置”时,Intune不会更改或更新此设置。 默认情况下,OS 可能会通过 Apple 专用于关联域的 CDN 下载数据。
此设置适用于:
- macOS 11 及更新版本
提示
若要进行故障排除,请在 macOS 设备上打开 “系统首选项>配置文件”。 确认创建的配置文件是否在设备配置文件列表中。 如果已列出,请确保 “关联域配置” 位于配置文件中,并且包含正确的应用 ID 和域。
内容缓存
内容缓存保存内容的本地副本。 其他 Apple 设备无需连接到 Internet 即可获取此信息。 此缓存通过在首次下载软件更新、应用、照片和其他内容时保存这些内容来加速下载。 由于应用下载一次并共享到其他设备,具有许多设备的学校和组织可节省带宽。
此设置适用于:
- macOS 10.13.4 及更新版本
设置适用于:所有注册类型
有关这些设置的详细信息,请转到 内容缓存有效负载设置 (打开 Apple 网站) 。
启用内容缓存: “是 ”会打开内容缓存,用户无法禁用它。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会将其关闭。
要缓存的内容类型:选项:
- 所有内容:缓存 iCloud 内容和共享内容。
- 仅限用户内容:缓存用户的 iCloud 内容,包括照片和文档。
- 仅共享内容:缓存应用和软件更新。
最大缓存大小:输入用于缓存内容) 的最大磁盘空间 (字节数。 (默认) 留空时,Intune不会更改或更新此设置。 默认情况下,OS 可能会将此值设置为零 ()
0字节,从而为缓存提供无限的磁盘空间。请确保不超过设备上的可用空间。 有关设备存储容量的详细信息,请转到 iOS 和 macOS 如何报告存储容量 (打开 Apple 网站) 。
缓存位置:输入用于存储缓存内容的路径。 默认位置为
/Library/Application Support/Apple/AssetCache/Data。 建议不要更改此位置。如果更改此设置,缓存的内容不会移动到新位置。 若要自动移动它,用户需要更改设备上的位置 (系统首选项>共享>内容缓存) 。
端口:输入设备上的 TCP 端口号,以便缓存接受下载和上传请求(从 0 到 65535)。 输入零 (
0) (默认) ,以使用任何可用的端口。阻止 Internet 连接和缓存内容共享:也称为共享缓存。 “是 ”会阻止 Internet 连接共享,并阻止与连接到 Mac 的 iOS/iPadOS 设备共享缓存的内容。 用户无法启用此功能。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。
启用 Internet 连接共享:也称为网络共享缓存。 “是 ”允许 Internet 连接共享,并允许通过 USB 连接到其 Mac 的 iOS/iPadOS 设备共享缓存内容。 用户无法禁用此功能。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会关闭此功能。
此设置适用于:
- macOS 10.15.4 及更新版本
启用缓存以记录客户端详细信息: “是 ”记录请求内容的设备的 IP 地址和端口号。 如果要排查设备问题,此日志文件会有所帮助。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能不会记录此信息。
始终保留缓存中的内容,即使系统需要其他应用的磁盘空间: 是 保留缓存内容,并确保即使磁盘空间不足,也不会删除任何内容。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会在需要其他应用的存储空间时自动清除缓存中的内容。
此设置适用于:
- macOS 10.15 及更高版本
显示状态警报: 是 将警报显示为系统通知。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能不会将这些警报显示为系统通知。
此设置适用于:
- macOS 10.15 及更高版本
启用缓存时防止设备进入睡眠状态: “是 ”会阻止计算机在缓存处于打开状态时进入睡眠状态。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许设备进入睡眠状态。
此设置适用于:
- macOS 10.15 及更高版本
要缓存的设备:选择可以缓存内容的设备。 选项包括:
- 未配置 (默认) :Intune不会更改或更新此设置。
- 使用同一本地网络的设备:内容缓存向同一即时本地网络上的设备提供内容。 不会向其他网络上的设备提供任何内容,包括内容缓存可访问的设备。
- 使用相同的公共 IP 地址的设备:内容缓存向具有相同公共 IP 地址的设备提供内容。 不会向其他网络上的设备提供任何内容,包括内容缓存可访问的设备。
- 使用自定义本地网络的设备:内容缓存向输入的 IP 范围内的设备提供内容。
- 客户端侦听范围:输入可以接收内容缓存的 IP 地址范围。
- 使用具有回退的自定义本地网络的设备:内容缓存向侦听范围、对等侦听范围和父 IP 地址中的设备提供内容。
- 客户端侦听范围:输入可以接收内容缓存的 IP 地址范围。
自定义公共 IP 地址:输入公共 IP 地址的范围。 云服务器使用此范围将客户端设备与缓存匹配。
与其他缓存共享内容:当网络有多个内容缓存时,其他设备上的内容缓存会自动成为对等。 这些设备可以查阅和共享缓存的软件。
当请求的项在一个内容缓存上不可用时,它会检查其对等项。 如果项可用,则从对等设备上的内容缓存下载。 如果它仍然不可用,内容缓存会从以下位置下载项:
父 IP 地址(如果已配置)
或
从 Apple 使用 Internet
当有多个内容缓存可用时,设备会自动选择正确的内容缓存。
选项包括:
未配置 (默认) :Intune不会更改或更新此设置。
使用相同本地网络的内容缓存:内容缓存仅与同一即时本地网络上的其他内容缓存对等。
使用相同的公共 IP 地址的内容缓存:内容缓存仅与同一公共 IP 地址上的其他内容缓存对等。
使用自定义本地网络的内容缓存:内容缓存仅与输入的 IP 地址侦听范围中的其他内容缓存对等:
- 对等侦听范围:输入范围的 IPv4 或 IPv6 起始和结束 IP 地址。 内容缓存仅响应来自输入的 IP 地址范围内的内容缓存的对等缓存请求。
- 对等筛选器范围:输入范围的 IPv4 或 IPv6 起始和结束 IP 地址。 内容缓存使用输入的 IP 地址范围筛选其对等方列表。
父 IP 地址:输入要添加为父缓存的另一个内容缓存的本地 IP 地址。 缓存会将内容上传并下载到这些缓存,而不是直接使用 Apple 上传/下载内容。 仅添加一次父 IP 地址。
父选择策略:当有多个父缓存时,选择父 IP 地址的选择方式。 选项包括:
- 未配置 (默认) :Intune不会更改或更新此设置。
- 轮循机制:按顺序使用父 IP 地址。 此选项适用于负载均衡方案。
- 第一个可用:始终使用列表中的第一个可用 IP 地址。
- 哈希:为请求的 URL 的路径部分创建哈希值。 此选项可确保始终将同一父 IP 地址用于同一 URL。
- 随机:随机使用列表中的 IP 地址。 此选项适用于负载均衡方案。
- 粘滞可用:始终使用列表中的第一个 IP 地址。 如果不可用,请使用列表中的第二个 IP 地址。 继续使用第二个 IP 地址,直到它不可用,依此而过。
登录项
设置适用于:所有注册类型
添加将在登录时启动的文件、文件夹和自定义应用: 添加 用户登录到其设备时打开的文件、文件夹、自定义应用或系统应用的路径。 另输入:
项目路径:输入文件、文件夹或应用的路径。 系统应用或为组织构建或自定义的应用通常位于
Applications文件夹中,其路径类似于/Applications/AppName.app。可以添加许多文件、文件夹和应用。 例如,输入:
/Applications/Calculator.app/Applications/Applications/Microsoft Office/root/Office16/winword.exe/Users/UserName/music/itunes.app
添加任何应用、文件夹或文件时,请务必输入正确的路径。 并非所有项目都在
Applications文件夹中。 如果用户将项从一个位置移动到另一个位置,则路径会更改。 当用户登录时,不会打开此移动的项目。隐藏:选择显示或隐藏应用。 选项包括:
- 未配置 (默认) :Intune不会更改或更新此设置。 默认情况下,OS 可能会在未选中隐藏选项的情况下显示“用户 & 组登录项”列表中的项。
- 是:隐藏“用户 & 组登录项”列表中的应用。
登录窗口
设置适用于:所有注册类型
Windows 布局
在菜单栏中显示其他信息:选择菜单栏上的时间区域时, “是 ”将显示主机名和 macOS 版本。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能不会在菜单栏上显示此信息。
横幅:输入在设备上的登录屏幕上显示的消息。 例如,输入组织信息、欢迎消息、丢失和找到的信息等。
需要用户名和密码文本字段:选择用户登录到设备的方式。 “是 ”要求用户输入用户名和密码。 设置为“未配置”时,Intune不会更改或更新此设置。 默认情况下,OS 可能要求用户从列表中选择其用户名,然后键入其密码。
设置为 “未配置”时,还输入:
- 隐藏本地用户: 是 隐藏用户列表中的本地用户帐户,其中可以包括标准和管理员帐户。 仅显示网络和系统用户帐户。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会在用户列表中显示本地用户帐户。
- 隐藏移动帐户: 是 隐藏用户列表中的移动帐户。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会在用户列表中显示移动帐户。 某些移动帐户可以显示为网络用户。
- 显示网络用户:选择“ 是 ”以列出用户列表中的网络用户。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能不会在用户列表中显示网络用户帐户。
- 隐藏计算机的管理员: 是 隐藏用户列表中的管理员用户帐户。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会在用户列表中显示管理员用户帐户。
- 显示其他用户:选择“ 是 ”以列出用户列表中的 “其他...” 用户。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能不会在用户列表中显示其他用户帐户。
登录屏幕电源设置
- 隐藏“关闭”按钮: “是 ”隐藏登录屏幕上的关闭按钮。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会显示“关闭”按钮。
- 隐藏重启按钮: 是 隐藏登录屏幕上的重启按钮。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会显示重启按钮。
- 隐藏睡眠按钮: 是 隐藏登录屏幕上的睡眠按钮。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会显示睡眠按钮。
- 从控制台禁用用户登录: “是 ”隐藏用于登录的 macOS 命令行。 对于典型用户,请将此设置设置为 “是”。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许高级用户使用 macOS 命令行登录。 若要进入控制台模式,用户在“用户名”字段中输入
>console,并且必须在控制台窗口中进行身份验证。
苹果菜单
- 登录时禁用“关闭”: “是 ”会阻止用户在登录后选择 “关闭” 选项。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户在设备上选择 “关闭” 菜单项。
- 在登录时禁用“重启”: “是 ”会阻止用户在登录后选择 “重启” 选项。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户在设备上选择 “重启 ”菜单项。
- 在登录时禁用“关机”: “是 ”会阻止用户在登录后选择 “关机 ”选项。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户在设备上选择 “关机 ”菜单项。
- (macOS 10.13 及更高版本登录时禁用“注销”) :“是”会阻止用户在登录后选择“注销”选项。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户在设备上选择 “注销 ”菜单项。
- (macOS 10.13 及更高版本登录时禁用锁屏) :“是”会阻止用户在登录后选择“锁屏界面”选项。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许用户在设备上选择 “锁屏界面 ”菜单项。
单一登录应用扩展
此设置适用于:
- macOS 10.15 及更高版本
设置适用于:用户批准的设备注册和自动设备注册
SSO 应用扩展类型:选择 SSO 应用扩展的类型。 选项包括:
未配置:不使用应用扩展。 若要禁用应用扩展,请将 SSO 应用扩展类型切换为 “未配置”。
Microsoft Entra ID:使用 Microsoft Entra ID Enterprise SSO 插件,它是重定向类型的 SSO 应用扩展。 此插件为支持 Apple 企业单一登录功能的所有 macOS 应用程序本地 Active Directory帐户提供 SSO。 使用此 SSO 应用扩展类型可在使用 Microsoft Entra ID 进行身份验证的 Microsoft 应用、组织应用和网站上启用 SSO。 有关详细信息,请转到 在 macOSOS 设备上使用 Microsoft Enterprise SSO 插件。
SSO 插件充当高级身份验证代理,可提供安全性和用户体验改进。
重要
若要使用 Microsoft Entra SSO 应用扩展类型实现 SSO,请在设备上安装 macOS 公司门户 应用。 公司门户 应用向设备提供 Microsoft Enterprise SSO 插件。 MDM SSO 应用扩展设置将激活插件。 在设备上安装公司门户应用和 SSO 应用扩展配置文件后,用户使用其凭据登录,并在其设备上创建会话。 此会话用于不同的应用程序,无需用户再次进行身份验证。
有关公司门户应用的详细信息,请转到安装 公司门户 应用并在 Intune 中注册 macOS 设备时会发生什么情况。
还可以下载公司门户应用。
重定向:使用通用的可自定义重定向应用扩展将 SSO 与新式身份验证流配合使用。 请确保知道组织的应用扩展的扩展和团队 ID。
凭据:使用通用的可自定义凭据应用扩展将 SSO 与质询和响应身份验证流配合使用。 请确保知道组织的 SSO 应用扩展的扩展 ID 和团队 ID。
Kerberos:使用 Apple 的内置 Kerberos 扩展,该扩展包含在 macOS Catalina 10.15 及更新版本上。 此选项是特定于 Kerberos 的 凭据 应用扩展版本。
提示
使用 重定向 和 凭据 类型,可以添加自己的配置值以传递扩展。 如果使用 凭据,请考虑在 Kerberos 类型中使用 Apple 提供的内置配置设置。
扩展 ID (重定向、凭据) :输入标识 SSO 应用扩展的捆绑标识符,例如
com.apple.ssoexample。团队 ID (重定向、凭据) :输入 SSO 应用扩展的团队标识符。 团队标识符是一个 10 个字符的字母数字 (数字和字母) Apple 生成的字符串,如
ABCDE12345。找到团队 ID (打开 Apple 网站,) 了解详细信息。
领域 (凭据、Kerberos) :输入身份验证领域的名称。 领域名称应大写,如
CONTOSO.COM。 通常,你的领域名称与 DNS 域名相同,但全部大写。域 (凭据、Kerberos) :输入可通过 SSO 进行身份验证的网站的域或主机名。 例如,如果网站为
mysite.contoso.com,则mysite为主机名,.contoso.com为域名。 当用户连接到这些站点中的任何一个时,应用扩展将处理身份验证质询。 此身份验证允许用户使用人脸 ID、触控 ID 或 Apple pincode/密码登录。- 单一登录应用扩展Intune配置文件中的所有域都必须是唯一的。 即使使用的是不同类型的 SSO 应用扩展,也不能在任何登录应用扩展配置文件中重复域。
- 这些域不区分大小写。
- 域必须以句点 (
.) 开头。
仅重定向) (URL:输入重定向应用扩展代表其使用 SSO 的标识提供者的 URL 前缀。 当用户重定向到这些 URL 时,SSO 应用扩展会进行干预,并提示 SSO。
- Intune单一登录应用扩展配置文件中的所有 URL 都必须是唯一的。 即使使用不同类型的 SSO 应用扩展,也不能在任何 SSO 应用扩展配置文件中重复域。
- URL 必须以
http://或https://开头。
其他配置 (Microsoft Entra ID、重定向、凭据) :输入更多特定于扩展的数据以传递给 SSO 应用扩展:
键:输入要添加的项的名称,例如
user name。类型:输入数据类型。 选项包括:
- String
- 布尔值:在 “配置”值中,输入
True或False。 - 整数:在 “配置值”中,输入数字。
值:输入数据。
阻止密钥链使用 (Kerberos 仅) :“是”会阻止在密钥链中保存和存储密码。 并且,系统不会提示用户保存其密码,并且需要在 Kerberos 票证过期时重新输入密码。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许在密钥链中保存和存储密码。 票证过期时,系统不会提示用户重新输入其密码。
仅) 要求 (Kerberos 的人脸 ID、触控 ID 或密码:“是”,当需要凭据来刷新 Kerberos 票证时,强制用户输入其人脸 ID、触控 ID 或设备密码。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能不要求用户使用生物识别或设备密码来刷新 Kerberos 票证。 如果将“阻止密钥链使用情况”设置为“是”,则此设置不适用。
设置为默认领域 (Kerberos 仅) :选择 “是 ”,将输入的 Realm 值设置为默认领域。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能不会设置默认领域。
- 如果要在组织中配置多个 Kerberos SSO 应用扩展,请选择“ 是”。
- 如果使用的是多个领域,请选择“ 是”。 它将输入的 Realm 值设置为默认领域。
- 如果只有一个领域,请将其保留为“ 未配置 ” (默认) 。
阻止自动发现 (Kerberos 仅) :设置为 “是”时,Kerberos 扩展不会自动使用 LDAP 和 DNS 来确定其 Active Directory 站点名称。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许扩展自动查找 Active Directory 站点名称。
仅允许 (Kerberos 托管应用) :设置为 “是”时,Kerberos 扩展仅允许托管应用,以及使用应用捆绑包 ID 输入的任何应用来访问凭据。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许非托管应用访问凭据。
此功能适用于:
- macOS 12 及更高版本
仅) 阻止 Kerberos (密码更改:“是”会阻止用户更改用于登录你输入的域的密码。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许更改密码。
启用本地密码同步 (Kerberos 仅) :选择“是”将用户的本地密码同步到Microsoft Entra ID。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会禁用与Microsoft Entra ID的密码同步。
使用此设置作为 SSO 的替代项或备份。 如果用户使用 Apple 移动帐户登录,则此设置不起作用。
将 Kerberos 扩展设置延迟 (仅) :设置为 “是”时,在管理员启用扩展或收到 Kerberos 质询之前,系统不会提示用户设置 Kerberos 扩展。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会立即提示用户设置 Kerberos 扩展。
此功能适用于:
- macOS 11 及更新版本
仅允许标准 Kerberos 实用工具 (Kerberos) :设置为 “是”时,Kerberos 扩展允许使用应用捆绑包 ID 输入的任何应用、托管应用和标准 Kerberos 实用工具(如 TicketViewer 和 klist)访问和使用凭据。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能不允许列出的应用访问和使用凭据。
此功能适用于:
- macOS 12 及更高版本
请求凭据 (Kerberos 仅) :设置为 “是”时,在下次匹配的 Kerberos 质询或网络状态更改时会请求凭据。 凭据过期或缺失时,将创建一个新凭据。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能不会请求新的凭据。
此功能适用于:
- macOS 12 及更高版本
仅需要 TLS (Kerberos 的 LDAP 连接) :设置为“是”时,需要使用传输层安全性 (TLS) 。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能不需要 LDAP 连接来使用 TLS。
此功能适用于:
- macOS 11 及更新版本
仅) 要求 Active Directory 密码复杂性 (Kerberos:选择“是”以强制用户密码满足 Active Directory 的密码复杂性要求。 在设备上,此设置显示一个弹出窗口,其中包含检查框,以便用户看到他们正在完成密码要求。 它可帮助用户了解他们需要输入密码的内容。 有关详细信息,请转到 密码必须满足复杂性要求。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能不要求用户满足 Active Directory 的密码要求。
最小密码长度 (Kerberos 仅) :输入可以构成用户密码的最小字符数。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能不会对用户强制实施最小密码长度。
密码重用限制 (Kerberos 仅) :输入新密码数(从 1 到 24),这些密码在域上重复使用之前一直使用。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能不会强制实施密码重用限制。
最短密码期限 (天) (Kerberos 仅) :输入用户在域上更改密码之前的天数。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能不会在更改密码之前强制实施最短密码期限。
密码过期通知 (天) (Kerberos 仅) :输入密码过期前用户收到密码将过期通知的天数。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能会使用
15天数。密码过期 (天) (Kerberos 仅) :输入设备密码必须更改之前的天数。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能永远不会使密码过期。
仅) (Kerberos 的密码更改 URL:输入当用户开始更改 Kerberos 密码时打开的 URL。
自定义用户名 (Kerberos 仅) :输入替换 Kerberos 扩展中显示的用户名的文本。 可以输入与公司或组织名称匹配的名称。 例如,可以输入
Contoso。此功能适用于:
- macOS 11 及更新版本
Kerberos 扩展仅使用 (Kerberos) :选择其他进程如何使用 Kerberos 扩展凭据。 选项包括:
- 始终:如果 “域”中列出了 SPN,则始终使用扩展凭据。 如果调用应用未在 应用捆绑包 ID 中列出,则不使用它。
- 如果未指定:仅当调用方未输入另一个凭据并且 SPN 列在“域”中时,才会使用扩展凭据。 如果调用应用未在 应用捆绑包 ID 中列出,则不使用它。
- Kerberos 默认值:Intune不会更改或更新此设置。 默认情况下,OS 使用默认 Kerberos 进程来选择凭据。 此选项与不配置此设置相同。
此功能适用于:
- macOS 11 及更新版本
主体名称 (Kerberos 仅) :输入 Kerberos 主体的用户名。 无需包含领域名称。 例如,在 中
user@contoso.comuser,是主体名称,是contoso.com领域名称。- 还可以通过输入大括号
{{ }}在主体名称中使用变量。 例如,若要显示用户名,请输入Username: {{username}}。 - 请注意变量替换,因为变量不会在 UI 中验证,并且区分大小写。 请务必输入正确的信息。
- 还可以通过输入大括号
Active Directory 站点代码 仅 (Kerberos) :输入 Kerberos 扩展应使用的 Active Directory 站点的名称。 你可能不需要更改此值,因为 Kerberos 扩展可以自动找到 Active Directory 站点代码。
仅) (Kerberos 缓存名称:输入 Kerberos 缓存的通用安全服务 (GSS) 名称。 很可能不需要设置此值。
登录窗口文本 (Kerberos 仅) :输入在 Kerberos 登录窗口中向用户显示的文本。
此功能适用于:
- macOS 11 及更新版本
密码要求消息 (Kerberos 仅) :输入向用户显示的组织密码要求的文本版本。 如果不需要 Active Directory 的密码复杂性要求,或者不输入最小密码长度,则显示该消息。
设置为 “是”时,将从设备擦除所有现有用户帐户。 若要避免数据丢失或防止恢复出厂设置,请确保了解此设置如何更改设备。
有关共享设备模式的详细信息,请转到 共享设备模式概述。
应用捆绑 ID (Microsoft Entra ID、Kerberos) :输入应在设备上使用单一登录的应用捆绑标识符。 这些应用被授予对 Kerberos 票证授予票证和身份验证票证的访问权限。 这些应用还会对用户向其授权访问的服务进行身份验证。
域领域映射 (Kerberos 仅) :输入应映射到你的领域的域 DNS 后缀。 当主机的 DNS 名称与领域名称不匹配时,请使用此设置。 你很可能不需要创建此自定义域到领域映射。
PKINIT 证书 仅 (Kerberos) : 选择 可用于 Kerberos 身份验证 (PKINIT) 证书进行初始身份验证的公钥加密。 可以从添加到Intune的 PKCS 或 SCEP 证书中进行选择。 有关证书的详细信息,请转到在 Microsoft Intune 中使用证书进行身份验证。
仅) (Kerberos 的首选 KDC:按首选项输入要用于 Kerberos 流量的密钥分发中心 (KDC) 。 当无法使用 DNS 发现服务器时,将使用此列表。 当服务器可发现时,列表将用于连接性检查,并首先用于 Kerberos 流量。 如果服务器未响应,则设备将使用 DNS 发现。
此功能适用于:
- macOS 12 及更高版本
相关文章
在 iOS/iPadOS 上配置设备功能。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈