开始使用 macOS 终结点的端到端指南

使用 Microsoft Intune，可以管理和保护组织或学校拥有的 macOS 终结点。 当你或你的组织管理设备时，你可以部署最终用户所需的应用、配置所需的设备功能，并使用策略来帮助保护你的设备 & 组织免受威胁。

本文适用于：

• 组织拥有的 macOS 设备

本文是一个端到端指南，可帮助你开始使用 macOS 终结点。 它侧重于：

• 使用 Apple Business Manager 或 Apple School Manager 管理的终结点
• 使用具有用户相关性的自动设备注册Intune注册的设备。 用户相关性通常用于具有一个主要用户的设备。

本文指导你完成使用 Microsoft Intune 创建和管理 macOS 终结点的端到端步骤。

如何使用本指南

本指南包含七个阶段。 每个阶段都有一组有助于生成 macOS 终结点配置和部署的步骤。 每个阶段都基于上一阶段。

按顺序完成阶段和步骤。 阶段包括：

• 阶段 1 - 设置环境
• 阶段 2 - 注册测试终结点
• 阶段 3 - 保护 macOS 终结点
• 阶段 4 - 应用特定于组织的自定义项
• 阶段 5 - 可选高级配置
• 阶段 6 - 注册剩余的 macOS 终结点
• 阶段 7 - 支持、维护和后续步骤

本指南结束时，你已将 macOS 终结点注册到 Intune，并准备好开始在方案中验证。

阶段 1 - 设置环境

在生成第一个 macOS 终结点之前，需要配置一些要求和配置功能。

在此阶段，你将检查要求，将Intune与 Apple Business Manager (或 Apple School Manager) 集成，配置某些功能，并将一些应用添加到Intune。

步骤 1 - 网络要求

✅设置网络

若要成功准备和部署 macOS 终结点，该终结点需要访问多个公共 Internet 服务。

• 在开放网络上开始测试。 或者，在组织网络中，提供对网络终结点中列出的所有终结点的访问权限，以便Microsoft Intune。 然后，可以使用组织网络来测试配置。

• 如果无线网络需要证书，则可以在测试期间从以太网连接开始。 以太网连接提供一些时间来确定设备所需的无线连接的最佳方法。

警告

SSL 检查可能会导致对 Microsoft 和 Apple 服务的访问失败。 有关 Apple 要求的详细信息，请转到 在企业网络上使用 Apple 产品。

步骤 2 - 注册和许可

✅Create新组、配置注册限制并分配许可证

若要使终结点准备好进行注册，需要确保正确的终结点是目标，并且终结点已获得正确许可。

具体来说：

• 创建新组

  Create新的Microsoft Entra测试组，例如Intune MDM 用户。 然后，将测试用户帐户添加到此组。 若要在设置配置时限制谁可以注册设备，请将配置定向到此组。

  若要创建Microsoft Entra组，请使用 Intune 管理中心。 在 Intune 中创建组时，将创建 Entra 组。 你看不到 Entra 品牌，但这就是你正在使用的。

  有关详细信息，请转到Create组来管理Intune中的用户。

• 注册限制

  注册限制允许你控制可注册到Intune管理中的设备类型。 若要使本指南成功，在注册限制中，请确保允许 macOS (MDM) 注册，这是默认配置。 将此注册限制分配给你创建的新组。

  如果需要/需要，还可以阻止特定设备注册。

  有关配置注册限制的信息，请转到在 Microsoft Intune 中设置注册限制。

• 许可

  注册 macOS 设备的用户需要教育版许可证Microsoft Intune或Microsoft Intune。 若要分配许可证，请转到 分配 Microsoft Intune 许可证。 将许可证分配给创建的测试帐户。

  注意

  这两种类型的许可证通常包含在许可捆绑包中，例如Microsoft 365 E3 (或 A3) 及更高版本。 有关详细信息，请转到比较Microsoft 365 企业版计划。

步骤 3 - 添加 Apple MDM 证书

✅使用托管 Apple ID 添加推送证书

• 若要管理 macOS 设备，Apple 要求为Intune租户配置 MDM 推送证书。 如果当前在同一租户中管理 iOS/iPadOS 设备，则此步骤已完成。

• 将托管 Apple ID 与 Apple Business Manager (或 Apple School Manager) 实例配合使用。

  请勿使用个人 Apple ID。 在设备管理解决方案的生命周期内，Apple 推送通知服务证书的管理至关重要。 使用个人 Apple ID 进行访问可能会变得不可用，因为员工会随时间推移而变化。

有关配置 Apple MDM 推送证书的信息，请转到获取适用于Intune的 Apple MDM 推送证书。

步骤 4 - 添加 Apple 自动设备注册令牌

✅链接 Apple 令牌进行自动设备注册

若要管理通过 Apple Business Manager (或 Apple School Manager) 注册的设备，需要设置 MDM 令牌并将令牌与Intune链接。

Intune中的自动设备注册 (ADE) 需要此令牌。 标记：

• 允许Intune从 Apple Business Manager (或 Apple School Manager) 帐户同步 ADE 设备信息。
• 允许Intune将注册配置文件上传到 Apple。
• 允许Intune将设备分配给这些配置文件。

如果当前使用 ADE 管理同一租户中的 iOS/iPadOS 设备，则可以执行其中一些步骤。

有关使用Intune配置 Apple Business Manager 的信息，请转到注册 macOS 设备 - Apple Business Manager 或 Apple School Manager。

使用Intune配置 Apple Business Manager (或 Apple School Manager) 的高级步骤如下：

1. 将Intune连接到 Apple Business Manager (或 Apple School Manager) 。
2. 在 Intune 中，为 Apple Business Manager 令牌创建 ADE 配置文件。
3. 在 Apple Business Manager 中，将设备分配到Intune MDM。
4. 在 Intune 中，将 ADE 配置文件分配给 macOS 设备。

步骤 5 - 目标设备

✅使用用户组、Intune筛选器或动态组面向特定组

具有用户相关性的 macOS 设备可以面向使用用户或设备组的配置文件和应用。 对于组织如何动态定位设备，有两种常见选项：

• 选项 1 - enrollmentProfileName 上具有分配筛选器的所有设备组

  对于在注册 (安全设置、限制、公司门户应用) 后必须立即应用的关键应用和策略，可以将策略分配给内置Intune“所有设备”组。 使用在步骤 4 - 添加 Apple 自动设备注册令牌中创建的注册配置文件Create分配筛选器。

  面向 “所有设备” 组的策略和应用在注册后应用的速度比动态组要快。 并非所有配置文件 (（如 macOS 脚本）) 都支持筛选器。

  有关分配筛选器的详细信息，请转到 Microsoft Intune 中的Create筛选器。

• 选项 2 - 基于 enrollmentProfileName Microsoft Entra动态组

  若要将本指南中的配置限制为通过 Apple Business Manager 导入的测试设备，请创建动态Microsoft Entra组。 然后，可以将所有配置和应用定向到此组。

  1. 打开Microsoft Intune管理中心。

  2. 选择“组>”新建组“，并输入以下详细信息：

     • 组类型：选择“安全组”。
     • 组名称：输入 macOS 终结点。
     • 成员身份类型：选择“ 动态设备”。

  3. 对于 “动态设备成员”，选择“ 添加动态查询 ”并输入以下属性：

     • 属性：选择 enrollmentProfileName。
     • 运算符：选择 等于。
     • 值：输入注册配置文件名称。

  4. 选择“确定>保存>Create”。

  创建应用和策略时，可以将策略定向到此新的动态Microsoft Entra组。

  注意

  发生更改后，动态组可能需要几分钟才能填充。 在大型组织中， 可能需要更长的时间。 创建新组后，请等待几分钟，然后检查设备是否为组的成员。

  有关设备的动态组的详细信息，请转到Microsoft Entra ID：设备规则中组的动态成员身份规则。

步骤 6 - 配置初始设置和单一登录 (SSO)

✅优化首次运行体验

使用 Intune，可以使用 ADE 注册配置文件中的内置设置优化首次运行体验。 具体而言，创建注册配置文件时，可以：

• 在设置助理中预配置最终用户信息。
• 使用 Await 最终配置 功能。 此功能可防止最终用户访问受限内容或更改设置，直到应用Intune设备配置策略。

有关此功能和 ADE 注册的详细信息，请转到 使用 Apple Business Manager 或 Apple School Manager 自动注册 Mac。

✅使用 SSO 减少应用登录提示

在 Intune 中，可以配置减少最终用户在使用应用（包括 Microsoft 365 应用）时收到的登录提示数的设置。 此配置有两个部分：

• 第 1 部分 - 使用 Microsoft Enterprise SSO 插件为使用 Microsoft Entra ID 进行身份验证的应用和网站（包括 Microsoft 365 应用）提供单一登录 (SSO) 。

  若要创建这些策略，请在 Intune 管理中心，转到：

  • 设备 >配置>Create>设置目录>身份验证>可扩展单一登录 (SSO) ：添加并配置以下设置：

    名称	配置
    扩展标识符	com.microsoft.CompanyPortalMac.ssoextension
    团队标识符	UBF8T346G9
    类型	Redirect
    URL	https://login.microsoftonline.com https://login.microsoft.com https://sts.windows.net https://login.partner.microsoftonline.cn https://login.chinacloudapi.cn https://login.microsoftonline.us https://login-us.microsoftonline.com

  • 配置以下可选设置：

    键	类型	值
    AppPrefixAllowList	String	com.apple.,com.microsoft
    browser_sso_interaction_enabled	整数	1
    disable_explicit_app_prompt	整数	1

  有关企业 SSO 插件的详细信息（包括如何创建策略），请转到使用 Intune 配置 macOS Enterprise SSO 插件。

  注意

  Microsoft 已发布对平台 SSO 的支持， (打开 Apple 网站) ，Microsoft Entra公开预览版。 有关设置平台 SSO 的详细信息，请参阅在 Microsoft Intune 中为 macOS 设备配置平台 SSO。

• 第 2 部分 - 使用 Intune 设置目录配置以下可减少登录提示的设置，包括 Microsoft AutoUpdate (MAU) 和 Microsoft Office。

  • 设备 >配置>Create>设置目录 > Microsoft AutoUpdate (MAU) ：添加并配置以下设置：

    • 自动确认数据收集策略：选择“ 确认 - 发送必需和可选数据”。

      有关此设置的详细信息，请转到使用首选项管理Office for Mac

    • 启用“自动更新”：选择“ True”。

      此设置将强制启用 Microsoft AutoUpdate。 有关 Microsoft AutoUpdate（更新Microsoft 365 应用版和公司门户）的详细信息，请转到部署Office for Mac的更新。

  • 设备 >配置>Create>设置目录 > Microsoft Office>：添加和配置以下设置：

    • Office 激活Email地址：输入 {{userprincipalname}}。
    • 启用自动登录：选择“ True”。

    首次打开 Office 应用时，这些设置简化了登录过程。 有关这些设置的详细信息，请转到为Office for Mac设置套件范围的首选项。

  有关设置目录的详细信息（包括如何创建策略），请转到使用设置目录配置Microsoft Intune中的设置。

步骤 7 - 添加和分配必备应用

✅将最少的应用集添加到Intune

你的组织可能有一些 macOS 设备必须具有的应用。 你的组织可以要求在由 Intune 管理的所有设备上安装这些应用。

在此步骤中，将这些应用添加到Intune并将其分配给组。

一些必备应用包括：

• 公司门户应用

  Microsoft 建议将 Intune 公司门户 应用作为所需应用程序部署到所有设备。 公司门户应用是用户的自助服务中心。 在 公司门户 应用中，用户可以安装应用、将其设备与Intune同步、检查符合性状态等。

  在本文) 的步骤 6 - 配置初始设置和单一登录 (SSO) (中配置的 SSO 扩展也需要公司门户应用。

  若要将 公司门户 应用部署为所需应用，请转到添加 macOS 应用的公司门户。

• Microsoft 365 应用版

  Microsoft 365 应用（如 Word、Excel、OneDrive 和 Outlook）可以使用 Intune 中的内置 Microsoft 365 应用 for macOS 应用配置文件轻松部署到设备。

  若要部署Microsoft 365 应用版，请转到：

  • 使用 Microsoft Intune 将 Microsoft 365 分配到 macOS 设备
  • 使用 Microsoft Intune 部署 Microsoft 365 应用版 for Mac - 深入探讨

阶段 2 - 注册测试终结点

下一阶段将测试 macOS 设备注册到 Intune。 此阶段可让你熟悉初始步骤，以便在Intune中注册所有 macOS 设备时做好准备。

若要注册第一个组织 macOS 终结点，请确保 macOS 设备为：

• 在 Apple Business Manager (或 Apple School Manager) 中注册并分配到Intune MDM (打开 Apple 网站)
• 在 Intune 中分配了注册配置文件

使用Intune注册第一个 macOS 终结点的高级步骤如下：

1. 擦除或重置 macOS 终结点。 对于现有设备，此步骤是必需的。 如果注册已设置的 macOS 设备，则该设备被视为个人设备。 因此，必须先擦除或重置设备，然后才能将其注册到Intune。

   对于未设置的新设备，可以跳过此步骤。 如果不确定设备是否已设置，请重置设备。

2. 浏览设置助理。

3. 打开公司门户应用，并使用组织帐户 (user@contoso.com) 登录。

当用户登录时，将应用注册策略。 完成后，macOS 终结点将注册Intune。

阶段 3 - 保护 macOS 终结点

在此阶段中，你将配置有助于保护终结点的安全设置和功能，包括使设备保持最新更新。

本部分重点介绍Microsoft Intune中的不同终结点安全功能，包括：

• 合规性和条件访问策略
• Microsoft Defender for Endpoint
• FileVault、防火墙和 Gatekeeper 终结点安全性
• 软件更新
• 来宾帐户
• 空闲登录
• Mac 评估实用工具

合规性和条件访问策略

✅Create符合性策略并强制实施条件访问的合规性

• 符合性策略 验证配置的设备设置，并可以修正某些不合规的设置。 例如，可以创建检查密码复杂性、越狱状态、威胁级别、注册状态等的合规性策略。

  如果合规性策略与其他策略之间存在冲突的配置设置，则合规性策略优先。 有关详细信息，请转到 冲突的合规性和设备配置策略。

• 条件访问 可用于强制实施创建的符合性策略。 合并后，最终用户可能需要注册其设备并满足最低安全标准，然后才能访问组织资源。 如果设备不符合要求，则可以阻止对资源（如电子邮件）的访问，或要求用户注册其设备并修复问题。

注意

若要确认你正在强制实施正确的设备控制，请与管理 Entra 条件访问策略的团队协作。

可以在 Intune 管理中心中创建合规性和条件访问策略。

有关详细信息，请转到：

• 通过符合性策略为使用 Intune 管理的设备设置规则
• 条件访问和Intune
• 如何要求合规设备或 MFA
• 什么是Microsoft Entra ID中的条件访问？

Microsoft Defender for Endpoint

✅使用Microsoft Defender for Endpoint进行威胁防御

Microsoft Defender for Endpoint是一种移动威胁防御解决方案，可帮助保护设备免受安全威胁。

在 Intune 中，可以连接到Microsoft Defender for Endpoint服务，使用Microsoft Defender for Endpoint设置创建Intune策略，然后将策略部署到设备。

有关详细信息，请转到：

• 在 Intune 中配置 Microsoft Defender for Endpoint
• 使用 Microsoft Intune 在 macOS 上部署Microsoft Defender for Endpoint

内置终结点安全性

✅使用 FileVault 磁盘加密加密设备

FileVault 是一项全磁盘加密功能，可帮助防止未经授权的访问。 FileVault 设置内置于Intune设置目录中，并可用作符合性策略。

因此，可以配置 FileVault、检查合规性，并将策略部署到设备。

若要创建这些策略，请在 Intune 管理中心，转到：

• 设备>配置>Create>设置目录>完整磁盘加密
• 设备 > 符合性 > 要求对设备上的数据存储进行加密

有关 FileVault 的详细信息，请转到：

• 通过 Intune 使用 FileVault 磁盘加密对 macOS 设备进行加密
• 使用 FileVault 加密 Mac 上的启动磁盘 (打开 Apple 网站)

✅配置防火墙

防火墙是应用程序防火墙，有助于防止传入攻击。 防火墙设置内置于Intune设置目录中，并作为合规性策略提供。

因此，可以配置防火墙、检查合规性，并将策略部署到设备。

若要创建这些策略，请在 Intune 管理中心，转到：

• 设备 >配置>Create>设置目录：

  • >网络防火墙
  • 安全性 > 首选项

• 设备 > 合规性 > 防火墙

有关 macOS 防火墙的详细信息，请转到：

• Intune中终结点安全的防火墙策略
• 在 Mac 上更改防火墙设置 (打开 Apple 网站)

✅配置 Gatekeeper

网关守卫 确保只有受信任的软件在设备上运行。 Gatekeeper 设置内置于Intune设置目录中，并作为合规性策略提供。

因此，可以配置 Gatekeeper、检查合规性，并将策略部署到设备。

若要创建这些策略，请在 Intune 管理中心，转到：

• 设备 >配置>Create>设置目录>系统策略>控制：

  • 允许识别的开发人员：选择 “True”。
  • 启用评估：选择 “True”。

• 设备 >配置>Create>设置目录 > 系统策略>托管：

  • 禁用替代：选择 “True”。

• 设备 > 合规性 > 守护程序

有关 Gatekeeper 的详细信息，请转到：

• 使用设置目录在 Microsoft Intune 中配置设置
• macOS (中的网关守卫和运行时保护 会打开 Apple 网站)

软件更新

✅配置软件汇报

在设备上，软件更新至关重要，你必须确定更新的安装方式。 你有一些选择。

配置这些设置时，需在设备上的 “设置” 应用 >“软件更新 ”节点中强制实施和限制该行为。

• 选项 1 - macOS 14.0 及更新的设备 (推荐) - 在 macOS 14.0 及更新设备上，使用 Intune 设置目录创建托管软件更新策略。 此功能使用 Apple 的声明性设备管理 (DDM) ，是更新 macOS 设备的推荐方法。

  具体而言，在 Intune 管理中心中，配置以下设置：

  • 设备>配置>Create>设置目录 > 声明性设备管理>软件更新

  • 可选 - 在“设备>配置>”Create>“设置”目录>“”限制“中，可以使用以下设置来延迟发布更新后用户可手动安装更新的时长。 这些设置使用 Apple 的 MDM 设置：

    • 强制执行的软件更新次要 OS 延迟安装延迟：0-30
    • 强制实施软件更新主要 OS 延迟安装延迟：0-30
    • 强制软件更新非 OS 延迟安装延迟：0-30

    设置目录>声明性设备管理>软件更新设置优先于设置目录>限制设置。 有关详细信息，请转到 macOS 更新策略中设置的优先级。

• 选项 2 - macOS 13.0 及更早版本 (建议) - 在 macOS 13.0 和更早设备上，可以使用Intune设置目录和Intune软件更新策略的组合。 这些功能使用 Apple 的 MDM 设置。

  具体而言，在 Intune 管理中心中，可以配置以下设置：

  • 设备 > Apple 更新 > macOS 更新策略

  • 设备>配置>Create>设置目录>软件更新

  这两种策略类型中的某些设置 (软件更新与设置目录) 可能会重叠。 因此，请注意在每个策略中配置的内容。 macOS 更新策略中的设置优先于设置目录 > 软件更新设置。 有关详细信息，请转到 macOS 更新策略中设置的优先级。

• 选项 3 (不建议) - 最终用户手动安装更新。 此方法依赖于最终用户来决定何时安装更新。 并且，他们可以安装组织未批准的更新。

有关规划 macOS 更新策略的详细信息，请转到 Microsoft Intune 中托管 macOS 设备的软件更新规划指南。

来宾帐户

✅禁用来宾帐户

应在 macOS 终结点上禁用来宾帐户。 可以使用 Intune 设置目录禁用来宾帐户：

• 设备 >配置>Create>设置目录 > 帐户>帐户：
  • 禁用来宾帐户：选择 “True”。

空闲超时

✅设置空闲超时

使用 Intune 设置目录，可以控制空闲后 macOS 提示输入密码的时间段：

• 设备 >配置>Create>设置目录>系统配置>屏幕保护程序：

  • 询问密码：选择 “True”。
  • 登录 Windows 空闲时间：输入类似于 300的内容，即 5 分钟。
  • 请求密码延迟：输入类似 5的内容。
  • 模块名称：输入屏幕保护程序模块的名称，如 Flurry。

• 设备 >配置>Create>设置目录>用户体验>屏幕保护程序用户：

  • 空闲时间：输入类似 300的内容，即 5 分钟。
  • 模块名称：输入屏幕保护程序模块的名称，如 Flurry。

• 对于台式机和笔记本电脑设备，有一些设置可以帮助节省能源：

  设备 >配置>Create>设置目录>系统配置>节能器：

  • 桌面电源 > 显示睡眠计时器
  • 笔记本电脑电池电源 > 显示睡眠计时器
  • 笔记本电脑电源 > 显示睡眠计时器

提示

若要查找 screensaver 模块名称，请设置 screensaver，打开终端应用，并运行以下命令：

defaults -currentHost read com.apple.screensaver

macOS 评估实用工具

✅使用 macOS 评估实用工具

Mac 评估实用工具确认 Mac 具有 Apple 推荐的配置和设置。 若要访问 Mac 评估实用工具，请登录到 Apple Seed for IT (打开 Apple 网站) >资源。

阶段 4 - 应用特定于组织的自定义项

在此阶段，你将应用特定于组织的设置和应用，并查看本地配置。

该阶段可帮助你自定义特定于组织的任何功能。 请注意 macOS 的各种组件。 以下每项都有专门的部分介绍：

• 应用
• 扩展坞、通知、首选项文件 & 自定义策略和壁纸的设备配置
• 设备名称
• 证书
• Wi-Fi

应用

✅向Intune添加更多应用

在 “阶段 1 - 设置环境”中，你添加了设备必须具有的一些应用。 在此步骤中，添加其他可改善最终用户体验或工作效率的应用。

• 业务线 (LOB) 应用

  在 Intune 中，可以使用以下选项部署 LOB 应用：

  • 将应用包 (.pkg) 添加到Intune，并使用 shell 脚本部署应用。 此功能使用 Intune 管理扩展。 它可以在没有有效负载的情况下部署未签名的包和包，并支持前脚本和后脚本。
  • 将应用磁盘映像 (.dmg) 添加到Intune，并使用Intune策略部署应用
  • 使用 Apple 批量购买计划许可的应用 (VPP) 并使用Intune策略部署应用
  • 将应用包 (.pkg) 添加到Intune，并使用Intune策略部署应用

• Microsoft Edge

  可以使用内置部署类型将 Microsoft Edge 部署到 macOS 终结点。 有关详细信息，请转到使用 Microsoft Intune 将 Microsoft Edge 添加到 macOS 设备。

  还可以使用 Intune 设置目录配置 Microsoft Edge 设置：

  • 设备>配置>Create>设置目录 > Microsoft Edge

• Microsoft OneDrive

  在第 1 阶段 - 设置环境中，你添加了 Microsoft 365 应用，其中包括 Microsoft OneDrive。 因此，如果之前添加了 Microsoft OneDrive，则无需再次添加它。 如果之前未添加它，还可以使用 下载的应用包单独部署 Microsoft OneDrive， (.pkg) 。

  还可以使用 Intune 设置目录配置 Microsoft OneDrive 设置。 例如，以下设置可能适用于你的组织：

  • 设备 >配置>Create>设置目录 > Microsoft Office > Microsoft OneDrive：

    • 自动和无提示地启用文件夹备份功能 (已知文件夹移动) ：输入Microsoft Entra<租户 ID>。
    • 启用文件按需：选择 “True”。
    • 登录时打开：选择 “True”。

  • 设备 >配置>Create>设置目录>应用管理 > NS 扩展管理：

    • 允许的扩展：输入 com.microsoft.OneDrive.FinderSync。

    如果要部署 VPP 版本的 OneDrive，请输入 com.microsoft.OneDrive-Mac.FinderSync。

    在 Microsoft OneDrive 配置期间，系统会通过启用 Finder Sync 扩展来提示最终用户允许同步图标。 有一个示例脚本可以为用户配置查找器扩展。 有关脚本的详细信息，请转到 GitHub - Microsoft Intune Shell 示例。

设备配置

设置目录简化了策略的创建方式，以及如何查看所有可用设置。 在本指南的不同阶段和步骤中，将使用Intune设置目录配置设备功能和设置。

例如，我们使用设置目录配置以下功能区域：

• Microsoft Edge 浏览器设置
• Microsoft AutoUpdate
• Microsoft Office
• 软件更新
• 用户体验

可以使用设置目录配置许多设备设置，包括：

✅码头

• 设备>配置>Create>设置目录>用户体验>扩展坞

还可以使用 GitHub - Microsoft Intune dock shell 示例或合作伙伴命令行工具（如 GitHub - DockUtil）在扩展坞中添加或删除项。

✅通知提示

• 设备>配置>Create>设置目录>用户体验>通知>设置

  应输入要控制其通知的每个应用程序的捆绑 ID。

有关详细信息，请转到 Apple 设备的通知 MDM 有效负载设置 ， (打开 Apple 网站) 。

✅首选项文件和自定义策略

• 首选项文件 定义要预配置的应用属性或设置。 在Intune设置目录中，有许多适用于应用的内置设置，例如 Microsoft Edge 和 Microsoft Office。 因此，你可能不需要首选项文件。

  Microsoft 建议使用设置目录中的内置设置。 如果设置目录没有所需的设置，请将首选项文件添加到Intune。

  有关详细信息，请转到使用 Microsoft Intune将属性列表文件添加到 macOS 设备

• 自定义配置文件旨在添加未内置到Intune的设备设置和功能。

  Microsoft 建议使用设置目录中的内置设置。 如果设置目录没有所需的设置，请使用自定义配置文件。

  有关详细信息，请转到 自定义配置文件。

✅壁纸

可以使用示例脚本和设置目录的组合在 macOS 上强制实施壁纸：

• 设备 >配置>Create>设置目录>用户体验>桌面：
  • 重写图片路径：“输入 <图像>的路径”。

映像文件必须存在于 macOS 终结点上。 若要从 Web 位置下载图片，可以使用 GitHub 中的示例脚本 - Microsoft Intune壁纸 shell 示例。 还可以使用应用包工具复制文件，然后使用 非托管 PKG 部署功能对其进行部署。

设备名称

✅重命名设备

使用 shell 脚本，可以重命名设备以包含特定信息，例如设备序列号与国家/地区代码的组合。

有关详细信息，请转到 GitHub - Microsoft Shell 脚本以重命名 Mac 设备。

证书

✅为基于证书的身份验证添加证书

如果使用基于证书的身份验证实现无密码体验，则可以使用 Intune 添加和部署证书。

有关详细信息，请转到 Microsoft Intune 中可用的证书类型。

Wi-Fi

✅预配置 Wi-Fi 连接

使用Intune，可以创建包含网络信息的 Wi-Fi 连接，然后将连接部署到 macOS 设备。 如果设备使用 Wi-Fi 连接到组织，请创建 Wi-Fi 连接策略。

有关详细信息，请转到在 Microsoft Intune 中为 macOS 设备配置 Wi-Fi 设置。

阶段 5 - 缓存 (可选)

可以使用一些缓存功能来帮助降低网络带宽。

✅使用内容缓存

如果网络上有大量 macOS 或 iOS/iPadOS 设备，则可以部署 Apple 内容缓存来帮助降低 Internet 带宽。 Apple 内容缓存可以缓存 Apple 服务（如软件汇报和 VPP 应用）上托管的内容。

有关详细信息，请转到 内容缓存简介 ， (打开 Apple 网站) 。

✅AutoUpdate 本地缓存

macOS 上的许多 Microsoft 应用都使用 Microsoft AutoUpdate 应用程序进行更新。 此应用可以引用其他内容 URL。

可以使用 GitHub - Microsoft AutoUpdate 缓存管理员为 Microsoft AutoUpdate 配置本地缓存。

有关详细信息，请转到 GitHub - Microsoft AutoUpdate 缓存管理员。

阶段 6 - 注册剩余的 macOS 终结点

到目前为止，你已创建配置并添加了应用。 现在，你已准备好使用 Microsoft Intune 使用自动设备注册策略注册所有 macOS 终结点。

✅Create自动设备注册策略

注册策略将分配给新组。 当设备收到注册策略时，注册过程将启动，并且应用你创建的应用 & 配置策略。

有关自动设备注册的详细信息，以及入门，请转到 使用 Apple Business Manager 或 Apple School Manager 自动注册 Mac。

阶段 7 - 支持、维护和后续步骤

最后一个阶段是支持和维护 macOS 设备。 此阶段包括使用Intune功能，例如远程帮助、监视 Apple 证书等。

Intune使用内置操作系统 MDM 功能和 Intune 管理扩展 (IME) 代理来管理 macOS 设备。

这两个组件提供单独的功能，并通过不同的通道与 macOS 设备通信。 注册通过 Apple Business Manager 进行协调，MDM 通过 Apple 推送通知服务进行安排，IME 直接与 Intune 通信。

有关 Intune 管理扩展的详细信息，请转到了解 macOS Microsoft Intune 管理代理。

macOS 注册维护

✅续订 Apple 证书和同步 ADE 令牌

要使 Mac 设备保持与Intune的连接并继续注册，应定期在控制台中检查几个重要区域，并根据需要采取措施：

• Apple 推送通知服务证书过期

  Apple 的推送通知服务证书必须每年续订一次。 此证书过期后，Intune无法管理使用该证书注册的设备。 请确保每年续订此证书。

  有关详细信息，请转到获取适用于Intune的 Apple MDM 推送证书。

• Apple 自动设备注册证书过期

  在 Apple Business Manager (或 Apple School Manager) 和 Intune 之间建立连接时，将使用证书。 此证书必须每年续订一次。 如果未续订此证书，则 Apple Business Manager (或 Apple School Manager) 的更改无法同步到Intune。

  有关详细信息，请转到 注册 macOS 设备 - Apple Business Manager 或 Apple School Manager。

• Apple 自动设备注册同步状态

  当 Apple Business Manager (或 Apple School Manager) 中的条款和条件发生更改时，Apple 将暂停 ADE 令牌的同步。 它们可以在主要 OS 发布后更改，但随时可能发生。

  应监视同步状态，以查找需要注意的任何问题。

  有关详细信息，请转到 同步托管设备。

远程帮助

✅启用远程帮助

远程帮助是一种基于云的解决方案，用于使用基于角色的访问控制进行安全技术支持连接。 通过连接，支持人员可以远程连接到最终用户设备。

有关详细信息，请转到：

• 在 macOS 上使用远程帮助来帮助经过身份验证的用户
• Microsoft Intune 中的基于角色的访问控制 (RBAC)。

自定义属性

✅使用自定义属性获取报告信息

在 Intune 中，可以使用 shell 脚本从托管 macOS 设备收集自定义属性。 此功能是获取自定义报告信息的好方法。

有关详细信息，请转到在 Microsoft Intune 中使用 macOS 设备上的 shell 脚本。

为 Apple Business Manager 配置自动用户预配

✅使用 Entra 用户帐户进行 ABM 管理和托管 Apple ID

可以将Microsoft Entra ID配置为使用 Microsoft Entra 预配服务将用户自动预配到 Apple Business Manager (ABM) 。

有关详细信息，请转到 教程：为 Apple Business Manager 配置自动用户预配。

相关文章

• macOS 平台指南
• Microsoft Intune安全地管理标识、管理应用和管理设备