開始使用macOS端點的端對端指南
使用 Microsoft Intune,您可以管理及保護組織或學校所擁有的macOS端點。 當您或您的組織管理裝置時,您可以部署終端使用者所需的應用程式、設定您想要的裝置功能,以及使用可協助保護裝置 & 組織免於威脅的原則。
本文適用於:
- 貴組織所擁有的 macOS 裝置
本文是端對端指南,可協助您開始使用macOS端點。 其著重於:
- 使用 Apple Business Manager 或 Apple School Manager 管理的端點
- 使用具有用戶親和性的自動裝置註冊 Intune 註冊的裝置。 用戶親和性通常用於具有一個主要用戶的裝置。
本文將引導您完成使用 Microsoft Intune 建立和管理macOS端點的端對端步驟。
如何使用本指南
本指南有七個階段。 每個階段都有一組步驟,可協助您建置macOS端點設定和部署。 每個階段都是以上一個階段為基礎。
依序完成階段和步驟。 階段包括:
- 階段 1 - 設定您的環境
- 階段 2 - 註冊測試端點
- 階段 3 - 保護 macOS 端點
- 階段 4 - 套用組織特定自定義
- 階段 5 - 選擇性進階設定
- 階段 6 - 註冊剩餘的 macOS 端點
- 階段 7 - 支持、維護和後續步驟
在本指南結尾,您已在 Intune 註冊 macOS 端點,並準備好開始在您的案例中進行驗證。
階段 1 - 設定您的環境
在建置第一個macOS端點之前,您已設定一些需求和組態功能。
在此階段中,您會檢查需求、整合 Intune 與 Apple Business Manager (或 Apple School Manager) 、設定某些功能,以及將一些應用程式新增至 Intune。
步驟 1 - 網路需求
✅設定您的網路
若要成功準備和部署macOS端點,端點需要存取數個公用因特網服務。
在開放式網路上開始測試。 或者,在您的組織網路中,提供對網路端點中所列所有端點的存取權,以供 Microsoft Intune 使用。 然後,您可以使用組織網路來測試您的設定。
如果您的無線網路需要憑證,您可以在測試期間從乙太網路連線開始。 乙太網路連線可讓您一些時間來判斷裝置所需的無線連線最佳方法。
注意
SSL 檢查可能會導致對 Microsoft 和 Apple 服務的存取失敗。 如需 Apple 需求的詳細資訊,請移至 在企業網路上使用 Apple 產品。
步驟 2 - 註冊和授權
✅Create 新群組、設定註冊限制,以及指派授權
若要讓端點準備好進行註冊,您必須確定正確的端點已設為目標,而且已正確授權端點。
特別是:
建立新的群組
Create 新的 Microsoft Entra 測試群組,例如 Intune MDM 使用者。 然後,將測試用戶帳戶新增至此群組。 若要限制誰可以在設定設定時註冊裝置,請將設定設為此群組。
若要建立 Microsoft Entra 群組,請使用 Intune 系統管理中心。 當您在 Intune 中建立群組時,您會建立 Entra 群組。 您看不到 Entra 商標,但這就是您所使用的品牌。
如需詳細資訊,請移至 Create 群組來管理 Intune 中的使用者。
註冊限制
註冊限制可讓您控制可註冊 Intune 管理的裝置類型。 若要讓本指南成功,請在註冊限制中,確定允許使用macOS (MDM) 註冊,這是預設組態。 將此註冊限制指派給您建立的新群組。
如有需要,您也可以防止特定裝置註冊。
如需設定註冊限制的資訊,請移至在 Microsoft Intune 中設定註冊限制。
授權
註冊 macOS 裝置的使用者需要 Microsoft Intune 或 Microsoft Intune 教育版授權。 若要指派授權,請移至指派 Microsoft Intune 授權。 將授權指派給您建立的測試帳戶。
注意事項
這兩種類型的授權通常會隨附於授權套件組合,例如 Microsoft 365 E3 (或 A3) 和更新版本。 如需詳細資訊,請移至比較 Microsoft 365 企業版 方案。
步驟 3 - 新增 Apple MDM 憑證
✅使用受控Apple標識元新增推播憑證
若要管理 macOS 裝置,Apple 需要使用 MDM 推播憑證設定 Intune 租使用者。 如果您目前管理此相同租使用者中的 iOS/iPadOS 裝置,則會完成此步驟。
使用受控 Apple ID 搭配 Apple Business Manager (或 Apple School Manager) 實例。
請勿使用個人 Apple ID。 Apple Push Notification Service 憑證的管理在裝置管理解決方案的生命週期中非常重要。 使用個人 Apple ID 存取可能會變得無法使用,因為員工會隨著時間變更。
如需設定 Apple MDM 推播憑證的資訊,請移至取得適用於 Intune 的 Apple MDM 推播憑證。
步驟 4 - 新增 Apple 自動化裝置註冊令牌
✅鏈接自動裝置註冊的Apple令牌
若要管理透過 Apple Business Manager (或 Apple School Manager) 註冊的裝置,您必須設定 MDM 令牌,並將令牌與 Intune 連結。
在 Intune 中,自動裝置註冊 (ADE) 需要此令牌。 權杖:
- 讓 Intune 從 Apple Business Manager (或 Apple School Manager) 帳戶同步處理 ADE 裝置資訊。
- 允許 Intune 將註冊配置檔上傳至 Apple。
- 允許 Intune 將裝置指派給這些配置檔。
如果您目前使用 ADE 管理此相同租使用者中的 iOS/iPadOS 裝置,則可能會完成其中一些步驟。
如需使用 Intune 設定 Apple Business Manager 的資訊,請移至註冊 macOS 裝置 - Apple Business Manager 或 Apple School Manager。
使用 Intune 設定 Apple Business Manager (或 Apple School Manager) 的高階步驟如下:
- 將 Intune 連線到 Apple Business Manager (或 Apple School Manager) 。
- 在 Intune 中,建立 Apple Business Manager 令牌的 ADE 設定檔。
- 在 Apple Business Manager 中,將裝置指派給 Intune MDM。
- 在 Intune 中,將 ADE 配置檔指派給 macOS 裝置。
步驟 5 - 目標裝置
✅使用使用者群組、Intune 篩選器或動態群組來鎖定特定群組
具有使用者親和性的 macOS 裝置可以以使用使用者或裝置群組的配置檔和應用程式為目標。 組織動態鎖定裝置的方式有兩個常見選項:
選項 1 - 在 enrollmentProfileName 上具有指派篩選的所有裝置群組
對於必須在註冊之後立即套用的重要應用程式和原則, (安全性設定、限制、公司入口網站 應用程式) ,您可以將原則指派給內建 Intune 所有裝置群組。 Create 使用您在步驟 4 - 新增 Apple 自動化裝置註冊令牌中建立的註冊設定檔來指派篩選。
以 「所有裝置 」群組為目標的原則和應用程式,在註冊之後比動態群組更快速地套用。 並非所有組態配置檔 (如 macOS 腳稿) 支持篩選。
如需指派篩選的詳細資訊,請移至 Microsoft Intune 中的 Create 篩選。
選項 2 – 根據 enrollmentProfileName Microsoft Entra 動態群組
若要將本指南中的設定限制為您透過 Apple Business Manager 匯入的測試裝置,請建立動態 Microsoft Entra 群組。 然後,您可以將所有設定和應用程式的目標設為此群組。
選取 [群組>][新增群組],然後輸入下列詳細數據:
- 群組類型:選取 [安全性]。
- 組名:輸入 macOS 端點。
- 成員資格類型:選取 [動態裝置]。
針對 [動態裝置成員],選取 [新增動態查詢 ],然後輸入下列屬性:
- 屬性:選取 enrollmentProfileName。
- 運算子:選 取 [等於]。
- 值:輸入您的註冊配置檔名稱。
選取 [確定>儲存>Create]。
當您建立應用程式和原則時,可以將原則的目標設為這個新的動態 Microsoft Entra 群組。
注意事項
發生變更之後,動態群組可能需要幾分鐘的時間才能填入。 在大型組織中, 可能需要較長的時間。 建立新群組之後,請稍候幾分鐘,再檢查裝置是否為群組的成員。
如需裝置動態群組的詳細資訊,請移至 Microsoft Entra ID:裝置規則中群組的動態成員資格規則。
步驟 6 - 設定初始設定和單一登錄 (SSO)
✅優化初次執行體驗
使用 Intune,您可以使用 ADE 註冊設定檔內的內建設定來優化第一次執行體驗。 具體而言,當您建立註冊配置檔時,您可以:
- 在設定助理中預先設定用戶資訊。
- 使用 Await 最終設定 功能。 此功能可防止終端使用者存取受限制的內容或變更設定,直到套用 Intune 裝置設定原則為止。
如需這項功能和 ADE 註冊的詳細資訊,請移至使用 Apple Business Manager 或 Apple School Manager 自動註冊 Mac。
✅使用 SSO 減少應用程式登入提示
在 Intune 中,您可以設定可減少使用者在使用應用程式時收到的登入提示數目,包括 Microsoft 365 應用程式。 此設定有兩個部分:
第 1 部分 - 使用 Microsoft Enterprise SSO 外掛程式,將單一登錄 (SSO) 提供給使用 Microsoft Entra ID 進行驗證的應用程式和網站,包括 Microsoft 365 應用程式。
若要建立這些原則,請在 Intune 系統管理中心,移至:
裝置 >設定 > Create > 目錄>驗證>可延伸 單一登入 (SSO) :新增和設定下列設定:
名稱 組態 延伸模組識別碼 com.microsoft.CompanyPortalMac.ssoextension小組標識碼 UBF8T346G9類型 重新導向 URL https://login.microsoftonline.com
https://login.microsoft.com
https://sts.windows.net
https://login.partner.microsoftonline.cn
https://login.chinacloudapi.cn
https://login.microsoftonline.us
https://login-us.microsoftonline.com設定下列選擇性設定:
機碼 Type 值 AppPrefixAllowList 字串 com.apple.,com.microsoftbrowser_sso_interaction_enabled 整數 1 disable_explicit_app_prompt 整數 1
如需企業 SSO 外掛程式的詳細資訊,包括如何建立原則,請移至使用 Intune 設定 macOS Enterprise SSO 外掛程式。
注意事項
Microsoft 已發行平臺 SSO 支援 (開啟 Apple 的網站) ,並 Microsoft Entra 公開預覽。 如需設定平臺 SSO 的詳細資訊,請參閱在 Microsoft Intune 中設定 macOS 裝置的平臺 SSO。
第 2 部分 - 使用 Intune 設定目錄來設定下列設定,以減少登入提示,包括 Microsoft AutoUpdate (MAU) 和 Microsoft Office。
裝置 >設定 > Create > 設定目錄 > Microsoft AutoUpdate (MAU) :新增並設定下列設定:
自動認可數據收集原則:選取 [認可 – 傳送必要和選擇性數據]。
如需此設定的詳細資訊,請移至使用喜好設定來管理 Mac 版 Office
啟用 AutoUpdate:選取 [True]。
此設定會強制 Microsoft AutoUpdate 開啟。 如需更新 Microsoft 365 Apps 和 公司入口網站 的 Microsoft AutoUpdate 詳細資訊,請移至部署 Mac 版 Office 的更新。
裝置 >設定 > Create > 設定目錄 > Microsoft Office Microsoft Office>:新增和設定下列設定:
- Office 啟用 Email 位址:輸入
{{userprincipalname}}。 - 啟用自動登入:選取 [True]。
這些設定可簡化第一次開啟 Office 應用程式時的登入程式。 如需這些設定的詳細資訊,請移至為 Mac 版 Office 設定套件範圍的喜好設定。
- Office 啟用 Email 位址:輸入
如需設定目錄的詳細資訊,包括如何建立原則,請移至使用設定目錄在 Microsoft Intune 中設定設定。
步驟 7 - 新增和指派必備應用程式
✅將一組最少的應用程式新增至 Intune
您的組織可能會有您的 macOS 裝置必須擁有的一些應用程式。 您的組織可以要求在 Intune 管理的所有裝置上安裝這些應用程式。
在此步驟中,將這些應用程式新增至 Intune,並將它們指派給您的群組。
某些必須具備的應用程式包括:
公司入口網站 應用程式
Microsoft 建議您將 Intune 公司入口網站 應用程式部署到所有裝置作為必要應用程式。 公司入口網站 應用程式是使用者的自助中樞。 在 公司入口網站 應用程式中,用戶可以安裝應用程式、將其裝置與 Intune 同步、檢查合規性狀態等等。
您在本文) 的步驟 6 - 設定初始設定和單一登錄 (SSO ) (中設定的 SSO 擴充功能也需要 公司入口網站 應用程式。
若要將 公司入口網站 應用程式部署為必要的應用程式,請移至新增 macOS 應用程式的 公司入口網站。
Microsoft 365 Apps
Microsoft 365 應用程式,例如 Word、Excel、OneDrive 和 Outlook,可以使用 Intune 中內建的適用於 macOS 的 Microsoft 365 應用程式應用程式配置檔,輕鬆地部署到裝置。
若要部署 Microsoft 365 Apps,請移至:
階段 2 - 註冊測試端點
下一個階段會將測試 macOS 裝置註冊到 Intune。 此階段可讓您熟悉初始步驟,讓您準備好在 Intune 中註冊所有 macOS 裝置。
若要註冊您的第一個組織 macOS 端點,請確定 macOS 裝置為:
使用 Intune 註冊第一個 macOS 端點的高階步驟如下:
清除或重設macOS端點。 現有裝置需要此步驟。 如果您註冊已設定的macOS裝置,則會將裝置視為個人裝置。 因此,您必須先清除或重設裝置,才能將它註冊到 Intune。
對於未設定的新裝置,您可以略過此步驟。 如果您不確定裝置是否已設定,請重設裝置。
瀏覽設定助理。
開啟 公司入口網站 應用程式,並使用您的組織帳戶 ()
user@contoso.com登入。
當使用者登入時,會套用註冊原則。 完成時,您的macOS端點會在 Intune 中註冊。
階段 3 - 保護 macOS 端點
在此階段中,您會設定安全性設定和功能,以協助保護您的端點,包括讓裝置保持最新狀態與更新。
本節著重於 Microsoft Intune 中不同的端點安全性功能,包括:
- 合規性和條件式存取原則
- 適用於端點的 Microsoft Defender
- FileVault、防火牆和閘道守衛端點安全性
- 軟體更新
- 來賓帳戶
- 閑置登入
- Mac 評估公用程式
合規性和條件式存取原則
✅Create 合規性政策並強制執行條件式存取的合規性
合規性原則 會驗證您所設定的裝置設定,並可補救某些不符合規範的設定。 例如,您可以建立合規性原則來檢查密碼複雜度、越獄狀態、威脅等級、註冊狀態等等。
如果合規性原則與其他原則之間有衝突的組態設定,則合規性原則會優先。 如需詳細資訊,請移至 衝突的合規性和裝置設定原則。
條件式存取 可用來強制執行您建立的合規性原則。 合併時,使用者可能需要註冊其裝置,並符合最低安全性標準,才能存取組織資源。 如果裝置不符合規範,您可以封鎖對資源的存取,例如電子郵件,或要求用戶註冊其裝置並修正問題。
注意事項
若要確認您要強制執行適當的裝置控制件,請與管理您的 Entra 條件式存取原則的小組合作。
您可以在 Intune 系統管理中心建立合規性和條件式存取原則。
如需詳細資訊,請移至:
適用於端點的 Microsoft Defender
✅使用 適用於端點的 Microsoft Defender 進行威脅防禦
適用於端點的 Microsoft Defender 是行動威脅防禦解決方案,可協助保護您的裝置免於遭受安全性威脅。
在 Intune 中,您可以連線到 適用於端點的 Microsoft Defender 服務、使用 適用於端點的 Microsoft Defender 設定建立 Intune 原則,然後將原則部署到您的裝置。
如需詳細資訊,請移至:
內建端點安全性
✅使用 FileVault 磁碟加密加密裝置
FileVault 是全磁碟加密功能,可協助防止未經授權的存取。 FileVault 設定內建於 Intune 設定目錄中,並可作為合規性政策使用。
因此,您可以設定 FileVault、檢查合規性,以及將原則部署到您的裝置。
若要建立這些原則,請在 Intune 系統管理中心,移至:
- 裝置>設定 > Create > 設定目錄>完整磁碟加密
- 裝置 > 合規性 > 需要加密裝置上的數據記憶體
如需 FileVault 的詳細資訊,請移至:
- 使用 FileVault 磁碟加密來加密 macOS 裝置 Intune
- 使用 FileVault 加密 Mac 上的啟動磁碟 (開啟 Apple 的網站)
✅設定防火牆
防火牆是應用程式防火牆,可協助防止連入攻擊。 防火牆設定內建於 Intune 設定目錄中,並可作為合規性原則使用。
因此,您可以設定防火牆、檢查合規性,並將原則部署到您的裝置。
若要建立這些原則,請在 Intune 系統管理中心,移至:
裝置 >設定 > Create > 設定目錄:
- >網路防火牆
- 安全性安全 > 性喜好設定
裝置 > 合規性 > 防火牆
如需macOS防火牆的詳細資訊,請移至:
- Intune 中端點安全性的防火牆原則
- 變更 Mac 上的防火牆設定 (開啟 Apple 的網站)
✅設定閘道守衛
閘道守衛 可確保裝置上只會執行受信任的軟體。 網關守衛設定內建於 Intune 設定目錄中,並可作為合規性政策使用。
因此,您可以設定 Gatekeeper、檢查合規性,並將原則部署到您的裝置。
若要建立這些原則,請在 Intune 系統管理中心,移至:
裝置 >設定 > Create > 目錄 > 系統原則>系統原則控制:
- 允許識別的開發人員:選取 [True]。
- 啟用評定:選取 [True]。
裝置 >設定 > Create > 目錄 > 系統原則系統原則>受控:
- 停用覆寫:選取 [True]。
裝置 > 合規性 > 閘道守衛
如需 Gatekeeper 的詳細資訊,請移至:
- 使用設定目錄在 Microsoft Intune 中設定設定
- macOS 中的閘道守衛和運行時間保護 (會開啟 Apple 的網站)
軟體更新
✅設定軟體 匯報
在裝置上,軟體更新很重要,您必須判斷更新的安裝方式。 您有一些選項。
當您設定這些設定時,您會強制並限制裝置上 [ 設定 應用程式 >軟體更新 ] 節點中的行為。
選項 1 - macOS 14.0 和較新的裝置 (建議的) - 在 macOS 14.0 和更新版本的裝置上,使用 Intune 設定目錄來建立受控軟體更新原則。 此功能使用Apple的宣告式裝置管理 (DDM) ,並且是更新macOS裝置的建議方法。
具體而言,在 Intune 系統管理中心,您會設定下列設定:
裝置>設定 > Create > 設定目錄>宣告式 裝置管理 > 軟體更新
選擇性 - 在 [裝置>> 設定 Create > 設定目錄>限制] 中,您可以使用下列設定來延遲發行更新后,使用者可以手動安裝更新的時間長度。 這些設定會使用 Apple 的 MDM 設定:
- 強制軟體更新次要 OS 延遲安裝延遲:0-30
- 強制軟體更新主要 OS 延遲安裝延遲:0-30
- 強制軟體更新非 OS 延遲安裝延遲:0-30
設定類別目錄>宣告式 裝置管理 > 軟體更新設定的優先順序高於 [設定目錄>限制] 設定。 如需詳細資訊,請移至 macOS更新原則中的設定優先順序。
選項 2 - macOS 13.0 和較舊 (建議的) - 在 macOS 13.0 和較舊的裝置上,您可以使用 Intune 設定目錄和 Intune軟體更新原則的組合。 這些功能使用 Apple 的 MDM 設定。
具體而言,在 Intune 系統管理中心,您可以設定下列設定:
裝置 > Apple更新 > macOS更新原則
裝置>設定 > Create > 設定類別目錄>軟體更新
兩種原則類型中的某些設定 (軟體更新與設定目錄) 可能會重疊。 因此,請注意您在每個原則中設定的內容。 macOS 更新原則中的設定優先於 [設定類別目錄 > 軟體更新] 設定。 如需詳細資訊,請移至 macOS更新原則中的設定優先順序。
選項 3 (不建議) - 終端使用者手動安裝更新。 此方法需要終端使用者決定安裝更新的時機。 而且,他們可以安裝貴組織未核准的更新。
如需規劃 macOS 更新策略的詳細資訊,請移至 Microsoft Intune 中受控 macOS 裝置的軟體更新規劃指南。
來賓帳戶
✅停用來賓帳戶
您應該停用macOS端點上的來賓帳戶。 您可以使用 Intune 設定目錄來停用來賓帳戶:
- 裝置 >設定 > Create > 目錄>帳戶>:
- 停用來賓帳戶:選取 [True]。
閑置逾時
✅設定閑置逾時
使用 Intune 設定目錄,您可以控制 macOS 提示輸入密碼的閒置後時間週期:
裝置 >設定 > Create > 設定目錄>系統設定>檢測工具:
- 要求密碼:選取 [True]。
- 登入 Windows 空閒時間:輸入類似
300的 ,也就是 5 分鐘。 - 要求密碼延遲:輸入類似 的內容
5。 - 模組名稱:輸入螢幕保護模組的名稱,例如 Flurry。
裝置 >設定 > Create > 設定目錄>使用者體驗>螢幕保護使用者:
- 空閒時間:輸入類似 的
300,也就是 5 分鐘。 - 模組名稱:輸入螢幕保護模組的名稱,例如 Flurry。
- 空閒時間:輸入類似 的
針對您的桌面電腦和膝上型電腦裝置,有一些設定可協助節省能源:
裝置 >設定 > Create > 目錄>系統設定>能源保護:
- 桌面電源 > 顯示器睡眠定時器
- 膝上型電腦電池電源 > 顯示睡眠定時器
- 膝上型電腦電源 > 顯示器睡眠定時器
提示
若要尋找螢幕保護模組名稱,請設定螢幕保護程式、開啟終端機應用程式,然後執行下列命令:
defaults -currentHost read com.apple.screensaver
macOS 評估公用程式
✅使用 macOS 評估公用程式
Mac 評估公用程式會確認您的 Mac 具有 Apple 建議的組態和設定。 若要存取 Mac 評估公用程式,請登入 Apple Seed for IT (開啟 Apple 的網站) >Resources。
階段 4 - 套用組織特定自定義
在此階段中,您會套用組織特定的設定和應用程式,並檢閱您的內部部署設定。
此階段可協助您自定義組織專屬的任何功能。 請注意macOS的各種元件。 下列各區域各有各區段:
- 應用程式
- 停駐、通知、喜好設定檔案 & 自定義原則和桌布的裝置組態
- 裝置名稱
- 憑證
- Wi-Fi
應用程式
✅將更多應用程式新增至 Intune
在 階段 1 - 設定您的環境中,您新增了裝置必須擁有的一些應用程式。 在此步驟中,新增可改善用戶體驗或生產力的其他應用程式。
企業營運 (LOB) 應用程式
在 Intune 中,您可以使用下列選項來部署 LOB 應用程式:
- 將應用程式套件 (
.pkg) 新增至 Intune,並使用殼層腳本來部署應用程式。 此功能使用 Intune 管理延伸模組。 它可以在沒有承載的情況下部署未簽署的套件和套件,並支援前置和後置腳本。 - 將應用程式磁碟映像 ()
.dmg新增至 Intune,並使用 Intune 原則來部署應用程式 - 使用 Apple 大量採購方案 (VPP) 授權的應用程式,並使用 Intune 原則來部署應用程式
- 將應用程式套件 ()
.pkg新增至 Intune,並使用 Intune 原則來部署應用程式
- 將應用程式套件 (
Microsoft Edge
您可以使用內建部署類型,將 Microsoft Edge 部署至 macOS 端點。 如需詳細資訊,請移至使用 Microsoft Intune 將 Microsoft Edge 新增至 macOS 裝置。
您也可以使用 Intune 設定目錄來設定 Microsoft Edge 設定:
- 裝置>設定 > Create > 目錄 > Microsoft Edge
Microsoft OneDrive
在 階段 1 - 設定您的環境中,您新增了 Microsoft 365 應用程式,其中包括 Microsoft OneDrive。 因此,如果您先前已新增 Microsoft OneDrive,則不需要再次新增它。 如果您先前未新增它,您也可以使用下載的應用程式套件個別部署 Microsoft OneDrive ()
.pkg。您也可以使用 Intune 設定目錄來設定 Microsoft OneDrive設定。 例如,下列設定可能適用於您的組織:
裝置 >設定 > Create > 設定目錄 > Microsoft Office > Microsoft OneDrive:
- 自動且無訊息地啟用資料夾備份功能 (已知資料夾移動) :輸入您的 <Microsoft Entra 租使用者識別符>。
- 啟用檔案隨選:選取 [True]。
- 在登入時開啟:選取 [True]。
裝置 >設定 > Create > 目錄>應用程式管理 > NS 延伸模組管理:
- 允許的延伸模組:輸入
com.microsoft.OneDrive.FinderSync。
如果您要部署 OneDrive 的 VPP 版本, 請輸入
com.microsoft.OneDrive-Mac.FinderSync。在 Microsoft OneDrive 設定期間,系統會提示使用者啟用 Finder Sync 擴充功能以允許同步處理圖示。 有一個範例腳本可為用戶設定尋找程式擴充功能。 如需腳本的詳細資訊,請移至 GitHub - Microsoft Intune Shell 範例。
- 允許的延伸模組:輸入
裝置設定
設定目錄可簡化您如何建立原則,以及如何查看所有可用的設定。 在本指南的不同階段和步驟中,您會使用 Intune 設定目錄來設定裝置功能和設定。
例如,我們使用設定目錄來設定下列功能區域:
- Microsoft Edge 瀏覽器設定
- Microsoft AutoUpdate
- Microsoft Office
- 軟體更新
- 使用者體驗
您可以使用設定目錄來設定許多裝置設定,包括:
✅碼頭
- 裝置>設定 > Create > 目錄>用戶體驗>擴充座
您也可以使用 GitHub - Microsoft Intune 擴充座殼層範例或 GitHub - DockUtil 等合作夥伴命令行工具,從 Dock 新增或移除專案。
✅通知提示
裝置>組>態 Create > 設定目錄>用戶體驗>通知>通知設定
您應該為想要控制通知的每個應用程式輸入套件組合識別碼。
如需詳細資訊,請移至 Apple 裝置的通知 MDM 承載設定 (開啟 Apple 的網站) 。
✅喜好設定檔案和自定義原則
喜好設定檔案 會定義您想要預先設定的應用程式屬性或設定。 在 Intune 設定目錄中,有許多應用程式的內建設定,例如 Microsoft Edge 和 Microsoft Office。 因此,您可能不需要喜好設定檔案。
Microsoft 建議您使用設定目錄中的內建設定。 如果設定目錄沒有所需的設定,請將喜好設定檔案新增至 Intune。
如需詳細資訊,請移至使用 Microsoft Intune 將屬性清單檔案新增至macOS裝置
自訂配置檔的設計目的是要將未內建的裝置設定和功能新增至 Intune。
Microsoft 建議您使用設定目錄中的內建設定。 如果設定目錄沒有所需的設定,請使用自訂設定檔。
如需詳細資訊,請移至 自定義配置檔。
✅壁紙
您可以使用範例文稿和設定目錄的組合,在 macOS 上強制執行桌布:
- 裝置 >設定 > Create > 目錄>用戶體驗>桌面:
- 覆寫圖片路徑:「輸入 <影像>的路徑」。
映像檔案必須存在於macOS端點上。 若要從 Web 位置下載圖片,您可以使用 GitHub - Microsoft Intune 桌布殼層範例的範例腳本。 您也可以使用應用程式套件工具來複製檔案,然後使用 Unmanaged PKG 部署功能進行部署。
裝置名稱
✅重新命名裝置
使用殼層腳本,您可以將裝置重新命名為包含特定資訊,例如結合國家/地區代碼的裝置序號。
如需詳細資訊,請移至 GitHub - Microsoft Shell 腳本以重新命名 Mac 裝置。
憑證
✅新增憑證型驗證的憑證
如果您針對無密碼體驗使用憑證式驗證,則可以使用 Intune 來新增和部署憑證。
如需詳細資訊,請移至 Microsoft Intune 中可用的憑證類型。
Wi-Fi
✅預先設定 Wi-Fi 連線
使用 Intune,您可以建立包含網路資訊的 Wi-Fi 連線,然後將連線部署至 macOS 裝置。 如果您的裝置使用Wi-Fi連線到組織,請建立 Wi-Fi 連線原則。
如需詳細資訊,請移至在 Microsoft Intune 中設定macOS裝置的 Wi-Fi 設定。
階段 5 - 快取 (選用)
您可以使用一些快取功能來協助減少網路頻寬。
✅使用內容快取
如果您的網路上有大量的 macOS 或 iOS/iPadOS 裝置,您可以部署 Apple 內容快取來協助減少因特網頻寬。 Apple 內容快取可以快取裝載在 Apple 服務上的內容,例如軟體 匯報 和 VPP 應用程式。
如需詳細資訊,請移 至內容快取簡介 (開啟Apple的網站) 。
✅自動更新本機快取
macOS 上的許多 Microsoft 應用程式都會使用 Microsoft AutoUpdate 應用程式進行更新。 此應用程式可以參考內容的不同URL。
您可以使用 GitHub - Microsoft AutoUpdate 快取 管理員 來設定 Microsoft AutoUpdate 的本機快取。
如需詳細資訊,請移至 GitHub - Microsoft AutoUpdate 快取 管理員。
階段 6 - 註冊剩餘的 macOS 端點
到目前為止,您已建立設定並新增應用程式。 現在您已準備好使用 Microsoft Intune 自動裝置註冊原則來註冊所有macOS端點。
✅Create 自動裝置註冊原則
註冊原則會指派給您的新群組。 當裝置收到註冊原則時,就會開始註冊程式,並套用您建立的應用程式 & 設定原則。
如需自動化裝置註冊的詳細資訊,以及開始使用,請移至使用 Apple Business Manager 或 Apple School Manager 自動註冊 Mac。
階段 7 - 支持、維護和後續步驟
最後一個階段是支持和維護macOS裝置。 此階段包括使用 Intune 功能,例如遠端說明、監視您的 Apple 憑證等等。
Intune 使用內建操作系統 MDM 功能和 Intune 管理延伸模組 (IME) 代理程式來管理 macOS 裝置。
這兩個元件提供不同的功能,並透過不同通道與macOS裝置通訊。 註冊是透過Apple Business Manager協調,MDM 是透過Apple推播通知服務協調,而 IME 會直接與 Intune 通訊。
如需 Intune 管理延伸模組的詳細資訊,請移至瞭解macOS Microsoft Intune管理代理程式。
macOS 註冊維護
✅更新 Apple 憑證並同步處理 ADE 令牌
若要讓 Mac 裝置維持其與 Intune 的連線並繼續註冊,您應該定期在控制台中檢查並視需要採取動作:
Apple Push Notification Service 憑證到期
Apple 的推播通知服務憑證必須每年更新一次。 當此憑證過期時,Intune 無法管理使用該憑證註冊的裝置。 請務必每年更新此憑證。
如需詳細資訊,請移至取得適用於 Intune的 Apple MDM 推送憑證。
Apple 自動化裝置註冊憑證到期
當您設定 Apple Business Manager (或 Apple School Manager) 與 Intune 之間的連線時,會使用憑證。 此憑證必須每年更新一次。 如果未更新此憑證,Apple Business Manager (或 Apple School Manager) 的變更將無法同步至 Intune。
如需詳細資訊,請移至 註冊 macOS 裝置 - Apple Business Manager 或 Apple School Manager。
Apple 自動化裝置註冊同步處理狀態
當 Apple Business Manager (或 Apple School Manager) 中的條款和條件變更時,Apple 會暫停 ADE 令牌的同步處理。 它們可以在主要 OS 發行之後變更,但隨時都可能發生。
您應該監視任何需要注意之問題的同步狀態。
如需詳細資訊,請移至 同步受控裝置。
遠端說明
✅啟用遠程說明
遠端說明 是雲端式解決方案,適用於使用角色型訪問控制的安全技術支援中心連線。 透過連線,您的支援人員可以從遠端連線到用戶裝置。
如需詳細資訊,請移至:
自訂屬性
✅使用自訂屬性取得報告資訊
在 Intune 中,您可以使用殼層腳本從受控macOS裝置收集自定義屬性。 這項功能是取得自定義報告信息的絕佳方式。
如需詳細資訊,請移至在 Microsoft Intune 中的 macOS 裝置上使用殼層腳本。
設定 Apple Business Manager 以自動布建使用者
✅使用 Entra 使用者帳戶進行 ABM 管理和受控 Apple 標識碼
Microsoft Entra ID 可以設定為使用 Microsoft Entra 布建服務,自動布建和取消布建使用者至 Apple Business Manager (ABM) 。
如需詳細資訊,請移至 教學課程:設定 Apple Business Manager 來自動布建使用者。
相關文章
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: