Intune 中的 macOS 裝置功能設定

注意事項

Intune 可能支援比本文所列的設定更多的設定。 並非所有設定都會記載,而且不會記載。 若要查看您可以設定的設定,請建立裝置設定原則,然後選取 [ 設定目錄]。 如需詳細資訊,請移至 [設定] 目錄

Intune 包含內建設定,可自定義macOS裝置上的功能。 例如,系統管理員可以新增 AirPrint 印表機、選擇使用者登入的方式、設定電源控制件、使用單一登錄驗證等等。

使用這些功能來控制 macOS 裝置,作為行動裝置管理 (MDM) 解決方案的一部分。

本功能適用於:

  • macOS

本文說明這些設定。 它也會列出使用終端機應用程式 (模擬器) 取得 AirPrint 印表機 IP 位址、路徑和埠的步驟。 如需裝置功能的詳細資訊,請移至 新增 iOS/iPadOS 或 macOS 裝置功能設定

注意事項

用戶介面可能不符合本文中的註冊類型。 本文中的資訊正確無誤。 使用者介面即將在即將推出的版本中更新。

開始之前

建立 macOS裝置功能組態配置檔

注意事項

這些設定適用於不同的註冊類型,其中有些設定會套用至所有註冊選項。 如需不同註冊類型的詳細資訊,請參閱 macOS註冊

AirPrint

設定適用於:所有註冊類型

  • AirPrint 目的地新增 一或多個 AirPrint 印表機,使用者可以從其裝置進行列印。 另請輸入:

    • IP 位址:輸入印表機的 IPv4 或 IPv6 位址。 例如,輸入 10.0.0.1。 如果您使用主機名來識別印表機,您可以在終端機應用程式中 Ping 印表機來取得 IP 位址。 取得本文中 (的IP位址和路徑) 具有更多詳細數據。
    • 資源路徑:輸入印表機的資源路徑。 此路徑通常 ipp/print 適用於您網路上的印表機。 取得本文中 (的IP位址和路徑) 具有更多詳細數據。
    • (iOS 11.0+、iPadOS 13.0+) :輸入 AirPrint 目的地的接聽埠。 如果您將此屬性保留空白,AirPrint 會使用預設埠。
    • 強制 TLS (iOS 11.0+、iPadOS 13.0+) :您的選項:
      • 停用 (預設) :連線到 AirPrint 印表機時,不會強制執行傳輸層安全 (TLS) 。
      • 啟用:使用傳輸層安全性 (TLS) 來保護 AirPrint 連線。
  • 入包含 AirPrint 印表機清單的逗號分隔檔案 (.csv) 。 此外,在 Intune 中新增 AirPrint 印表機之後,您可以 出此清單。

取得IP位址和路徑

若要新增 AirPrinter 伺服器,您需要印表機的 IP 位址、資源路徑和埠。 下列步驟說明如何取得這項資訊。

  1. 在連線到與 AirPrint 印表機相同的局域網路 (子網) 的 Mac 上,從 /Applications/Utilities) 開啟終端機 (。

  2. 在終端機應用程式中,輸入 ippfind,然後選取 Enter。

    請記下印表機資訊。 例如,它可能會傳回類似 ipp://myprinter.local.:631/ipp/port1的內容。 第一個部分是印表機的名稱。 ipp/port1) (的最後一個部分是資源路徑。

  3. 在終端機中,輸入 ping myprinter.local,然後選取 Enter。

    記下IP位址。 例如,它可能會傳回類似 PING myprinter.local (10.50.25.21)的內容。

  4. 使用IP位址和資源路徑值。 在這裡範例中,IP 位址為 10.50.25.21,而資源路徑為 /ipp/port1

相關聯的網域

在 Intune 中,您可以:

  • 新增許多應用程式對網域關聯。
  • 將許多網域與相同的應用程式建立關聯。

這個設定適用於:

  • macOS 10.15 和更新版本

設定適用於:使用者核准的裝置註冊和自動裝置註冊

這些設定會使用 AssociatedDomains.ConfigurationItem 承載 (開啟 Apple 的網站) 。

  • 相關聯的網域新增 網域與應用程式之間的關聯。 此功能會在 Contoso 應用程式與 Contoso 網站之間共用登入認證。 另請輸入:

    • 應用程式標識碼:輸入要與網站建立關聯之應用程式的應用程式識別碼。 應用程式標識碼包含小組標識碼和套件組合標識碼: TeamID.BundleID

      小組識別碼是 10 個字元的英數位元 (字母和數位,) Apple 為您的應用程式開發人員產生的字串,例如 ABCDE12345找到您的小組標識 碼 (開啟 Apple 的網站) 具有詳細資訊。

      套件組合標識碼可唯一識別應用程式,而且通常會以反向功能變數名稱表示法格式化。 例如,Finder 的套件組合識別碼是 com.apple.finder。 若要尋找套件組合識別碼,請在終端機中使用 AppleScript:

      osascript -e 'id of app "ExampleApp"'

    • 網域:輸入要與應用程式建立關聯的網站網域。 網域包含服務類型和完整主機名,例如 webcredentials:www.contoso.com

      您可以輸入星號通配符 (,並在網域開頭之前輸入) 句點,以比對相關聯網域 *. 的所有子域。 期間是必要的。 確切網域的優先順序高於通配符網域。 因此, 如果 在完整子域中找不到相符專案,則會比對來自父域的模式。

      服務類型可以是:

      • authsrv:單一登錄應用程式延伸模組
      • applink:通用連結
      • webcredentials:密碼自動填入
    • 啟用直接下載是,直接 從裝置下載網域數據,而不是透過Apple的內容傳遞網路 (CDN) 。 當設定為 [未設定] 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會透過Apple專用於相關聯網域的CDN下載數據。

      這個設定適用於:

      • macOS 11 和更新版本

提示

若要進行疑難解答,請在macOS裝置上開啟 [系統喜好設定>配置檔]。 確認您建立的設定檔位於裝置設定檔清單中。 如果已列出,請確定 相關聯的網域 組態位於配置檔中,並包含正確的應用程式識別碼和網域。

內容快取

內容快取會儲存內容的本地副本。 其他 Apple 裝置可以擷取此資訊,而不需要連線到因特網。 此快取會在第一次下載軟體更新、應用程式、相片和其他內容時儲存,以加速下載。 因為應用程式會下載一次,並與其他裝置共用,所以具有許多裝置的學校和組織會節省頻寬。

注意事項

這些設定只會使用一個配置檔。 如果您使用這些設定指派多個配置檔,就會發生錯誤。

如需監視內容快取的詳細資訊,請 參閱檢視內容快取記錄和統計數據 (開啟 Apple 的網站) 。

這個設定適用於:

  • macOS 10.13.4 和更新版本

設定適用於:所有註冊類型

如需這些設定的詳細資訊,請參閱 內容快取承載設定 (開啟 Apple 的網站) 。

啟用內容快取[是 ] 會開啟內容快取,且用戶無法加以停用。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會關閉它。

  • 要快取的內容類型:您的選項:

    • 所有內容:快取 iCloud 內容和共享內容。
    • 僅限用戶內容:快取使用者的 iCloud 內容,包括相片和檔。
    • 僅共享內容:快取應用程式和軟體更新。
  • 快取大小上限:輸入用來快取內容的磁碟空間 (位元組) 量上限。 保留空白 (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會將此值設定為零 (0) 位元組,這會為快取提供無限制的磁碟空間。

    請確定您未超過裝置上可用的空間。 如需裝置記憶體容量的詳細資訊,請參閱 iOS 和 macOS 報告記憶體容量 (如何 開啟 Apple 的網站) 。

  • 快取位置:輸入儲存快取內容的路徑。 預設位置是 /Library/Application Support/Apple/AssetCache/Data。 建議您不要變更此位置。

    如果您變更此設定,則快取的內容不會移至新的位置。 若要自動移動,用戶必須變更裝置上的位置, (系統喜好設定>共用>內容快取) 。

  • :在裝置上輸入 TCP 埠號碼,讓快取接受從 0 到 65535 的下載和上傳要求。 輸入零 (0) (預設) 使用任何可用的埠。

  • 封鎖因特網連線和快取內容共用:也稱為「系結快取」。 可防止因特網聯機共用,並防止與 IOS/iPadOS 裝置共用快取的內容 USB 連線到其 Mac。 用戶無法啟用這項功能。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。

  • 啟用因特網聯機共用:也稱為系結快取。 允許因特網連線共用,並允許與 IOS/iPadOS 裝置共用快取的內容 USB 連線到其 Mac。 用戶無法停用這項功能。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會關閉此功能。

    這個設定適用於:

    • macOS 10.15.4 和更新版本
  • 啟用快取以記錄用戶端詳細數據[是 ] 會記錄要求內容之裝置的IP位址和埠號碼。 如果您要針對裝置問題進行疑難解答,此記錄檔可能會有説明。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不會記錄此資訊。

  • 一律保留快取中的內容,即使系統需要其他應用程式的磁碟空間 ,保留快取內容,並確定不會刪除任何內容,即使磁碟空間不足也一般。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會在需要其他應用程式的儲存空間時,自動從快取清除內容。

    這個設定適用於:

    • macOS 10.15 和更新版本
  • 顯示狀態警示[是 ] 會顯示為警示做為系統通知。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不會將這些警示顯示為系統通知。

    這個設定適用於:

    • macOS 10.15 和更新版本
  • 開啟快取時防止裝置睡眠[是 ] 可防止計算機在快取開啟時進入睡眠狀態。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許裝置進入睡眠狀態。

    這個設定適用於:

    • macOS 10.15 和更新版本
  • 要快取的裝置:選擇可快取內容的裝置。 選項包括:

    • 未設定 (預設) :Intune 不會變更或更新此設定。
    • 使用相同局域網路的裝置:內容快取會將內容提供給相同立即局域網路上的裝置。 沒有內容提供給其他網路上的裝置,包括可由內容快取連線的裝置。
    • 使用相同公用IP位址的裝置:內容快取會使用相同的公用IP位址將內容提供給裝置。 沒有內容提供給其他網路上的裝置,包括可由內容快取連線的裝置。
    • 使用自定義局域網路的裝置:內容快取會將內容提供給您輸入IP範圍中的裝置。
      • 用戶端接聽範圍:輸入可接收內容快取的IP位址範圍。
    • 使用自定義局域網路與後援的裝置:內容快取會將內容提供給接聽範圍、對等接聽範圍和父系IP位址中的裝置。
      • 用戶端接聽範圍:輸入可接收內容快取的IP位址範圍。
  • 自訂公用IP位址:輸入公用IP位址的範圍。 雲端伺服器會使用此範圍來比對用戶端裝置進行快取。

  • 與其他快取共用內容:當您的網路有多個內容快取時,其他裝置上的內容快取會自動變成對等。 這些裝置可以查閱並共用快取的軟體。

    當要求的項目無法在一個內容快取上使用時,它會檢查該專案的對等專案。 如果專案可供使用,則會從對等裝置上的內容快取下載。 如果仍然無法使用,內容快取會從下列專案下載專案:

    • 如果已設定任何IP位址,則為父IP位址

    • 從 Apple 到因特網

    當有多個內容快取可用時,裝置會自動選取正確的內容快取。

    選項包括:

    • 未設定 (預設) :Intune 不會變更或更新此設定。

    • 使用相同局域網路的內容快取:內容快取只會對等於相同立即局域網路上的其他內容快取。

    • 使用相同公用IP位址的內容快取:內容快取只會對等於相同公用IP位址上的其他內容快取。

    • 使用自訂局域網路進行內容快取:內容快取僅與您輸入之IP位址接聽範圍中其他內容快取的對等互連:

      • 對等接聽範圍:輸入範圍的IPv4或IPv6開始和結束IP位址。 內容快取只會回應來自您輸入之IP位址範圍中內容快取的對等快取要求。
      • 對等篩選範圍:輸入範圍的IPv4或IPv6開始和結束IP位址。 內容快取會使用您輸入的IP位址範圍來篩選其對等清單。
  • 父IP位址:輸入另一個內容快取的本機IP位址,以新增為父快取。 您的快取會將內容上傳並下載到這些快取,而不是直接使用 Apple 上傳/下載。 只新增父IP位址一次。

  • 父代選取原則:當有許多父系快取時,請選取選擇父IP位址的方式。 選項包括:

    • 未設定 (預設) :Intune 不會變更或更新此設定。
    • 迴圈配置資源:依序使用父IP位址。 此選項適用於負載平衡案例。
    • 第一個可用:一律使用清單中的第一個可用IP位址。
    • 哈希:為所要求 URL 的路徑部分建立哈希值。 此選項可確保相同的父IP位址一律用於相同的URL。
    • 隨機:隨機使用清單中的IP位址。 此選項適用於負載平衡案例。
    • 黏性可用:一律使用清單中的第一個IP位址。 如果無法使用,請使用清單中的第二個IP位址。 繼續使用第二個IP位址,直到無法使用為止,依此類推。

登入專案

設定適用於:所有註冊類型

  • 新增將在登入時啟動的檔案、資料夾和自訂應用程式新增 使用者登入其裝置時開啟的檔案、資料夾、自定義應用程式或系統應用程式的路徑。 另請輸入:

    • 項目的路徑:輸入檔案、資料夾或應用程式的路徑。 系統應用程式或為組織建置或自訂的應用程式通常位於資料夾中 Applications ,其路徑類似 /Applications/AppName.app

      您可以新增許多檔案、資料夾和應用程式。 例如,輸入:

      • /Applications/Calculator.app
      • /Applications
      • /Applications/Microsoft Office/root/Office16/winword.exe
      • /Users/UserName/music/itunes.app

      新增任何應用程式、資料夾或檔案時,請務必輸入正確的路徑。 並非所有項目都位於資料夾中 Applications 。 如果使用者將專案從一個位置移到另一個位置,則路徑會變更。 當使用者登入時,將不會開啟此移動的專案。

    • 隱藏:選擇顯示或隱藏應用程式。 選項包括:

      • 未設定 (預設) :Intune 不會變更或更新此設定。 根據預設,OS 可能會在 [使用者 & 群組登入專案] 清單中顯示專案,且未核取 [隱藏] 選項。
      • :隱藏 [使用者 & 群組登入專案] 清單中的應用程式。

登入視窗

設定適用於:所有註冊類型

Windows 版面配置

  • 在功能表欄中顯示其他資訊:選取功能表欄的時間區域時, [是 ] 會顯示主機名和macOS版本。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不會在功能表欄上顯示此資訊。

  • 橫幅:輸入顯示在裝置登入畫面上的訊息。 例如,輸入您的組織資訊、歡迎訊息、遺失和找到的資訊等等。

  • 需要使用者名稱和密碼文字欄位:選擇使用者登入裝置的方式。 ,用戶必須輸入使用者名稱和密碼。 當設定為 [未設定] 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會要求使用者從清單中選取其使用者名稱,然後輸入其密碼。

    另請輸入:

    • 隱藏本機使用者[是 ] 會隱藏使用者清單中的本機用戶帳戶,其中可能包含標準和系統管理員帳戶。 只會顯示網路和系統用戶帳戶。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會在使用者清單中顯示本機用戶帳戶。
    • 隱藏行動帳戶[是 ] 會隱藏使用者清單中的行動帳戶。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會在使用者清單中顯示行動帳戶。 某些行動帳戶可能會顯示為網路使用者。
    • 顯示網路使用者:選取 [是 ] 以列出使用者清單中的網路使用者。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不會在使用者清單中顯示網路用戶帳戶。
    • 隱藏計算機的系統管理員[是 ] 會隱藏使用者清單中的系統管理員用戶帳戶。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會在使用者清單中顯示系統管理員用戶帳戶。
    • 顯示其他使用者:選取 [是 ] 以列出使用者清單中的 [其他... ] 使用者。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不會在使用者清單中顯示其他用戶帳戶。

登入螢幕電源設定

  • 隱藏關閉按鈕[是 ] 會隱藏登入畫面上的 [關機] 按鈕。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會顯示 [關機] 按鈕。
  • 隱藏重新啟動按鈕[是 ] 會隱藏登入畫面上的 [重新啟動] 按鈕。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會顯示 [重新啟動] 按鈕。
  • 隱藏睡眠按鈕[是 ] 會隱藏登入畫面上的睡眠按鈕。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會顯示睡眠按鈕。
  • 停用使用者從主控台登入: [是 ] 會隱藏用來登入的 macOS 命令行。 針對一般使用者,請將此設定設定為 [是]。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許進階使用者使用macOS命令行登入。 若要進入主控台模式,用戶必須在 [用戶名稱] 欄位中輸入 >console ,而且必須在主控台視窗中進行驗證。

Apple 功能表

  • 登入時停用 [關機]: [是 ] 會防止使用者在登入后選取 [ 關機 ] 選項。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者選取裝置上的 [ 關機 ] 功能表項。
  • 登入時停用重新啟動[是 ] 會防止使用者在登入后選取 [ 重新啟動 ] 選項。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者選取裝置上的 [ 重新啟動 ] 功能表項。
  • 登入時停用電源關閉[是 ] 會防止使用者在登入后選取 [關閉電源] 選項。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者選取裝置上的 [關閉電源] 功能表項。
  • (macOS 10.13 和更新版本登入時停用註) :[是] 會防止使用者在登入後選取 [註銷] 選項。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者選取裝置上的 [ 註銷 ] 功能表項。
  • (macOS 10.13 和更新版本登入時停用鎖定畫面) :[是] 會防止使用者在登入之後選取 [鎖定畫面] 選項。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許使用者選取裝置上的 [鎖定畫面 ] 功能表項。

單一登錄應用程式擴充功能

這個設定適用於:

  • macOS 10.15 和更新版本

設定適用於:使用者核准的裝置註冊和自動裝置註冊

  • SSO 應用程式延伸模組類型:選擇 SSO 應用程式延伸模組的類型。 選項包括:

    • 未設定:不使用應用程式延伸模組。 若要停用應用程式延伸模組,請將 SSO 應用程式延伸模組類型切換為 [未設定]

    • Microsoft Entra識別碼:使用 Microsoft Entra 識別碼 Enterprise SSO 外掛程式,這是重新導向類型的 SSO 應用程式延伸模組。 此外掛程式為支援 Apple 企業單一登入功能的所有 macOS 應用程式提供 內部部署的 Active Directory 帳戶的 SSO。 使用此 SSO 應用程式延伸模組類型,在使用 Microsoft Entra 識別碼進行驗證的 Microsoft 應用程式、組織應用程式和網站上啟用 SSO。

      SSO 外掛程式可作為進階驗證代理人,提供安全性和用戶體驗改善。

      重要事項

      • Microsoft Entra SSO 擴充功能處於公開預覽狀態。 此預覽版本是在 SLA) (服務等級協議的情況下提供。 不建議在生產環境中使用 。 可能不支援某些功能,或可能有限制的行為。 如需詳細資訊,請參閱 Microsoft Azure 預覽版的補充使用規定

      • 若要使用 Microsoft Entra SSO 應用程式延伸模組類型來達成 SSO,請在裝置上安裝 macOS 公司入口網站 應用程式。 公司入口網站 應用程式會將 Microsoft Enterprise SSO 外掛程式傳遞至裝置。 MDM SSO 應用程式延伸模組設定會啟用外掛程式。 在裝置上安裝 公司入口網站 應用程式和 SSO 應用程式延伸模組設定檔之後,使用者會使用其認證登入,並在其裝置上建立會話。 此工作階段會跨不同的應用程式使用,而不需要使用者再次驗證。

        如需 公司入口網站 應用程式的詳細資訊,請參閱如果您安裝 公司入口網站 應用程式並在 Intune 中註冊 macOS 裝置,會發生什麼情況

        您也可以下載 公司入口網站 應用程式

    • 重新導向:使用一般、可自定義的重新導向應用程式延伸模組,搭配新式驗證流程使用 SSO。 請確定您知道貴組織的應用程式擴充功能的擴充功能和小組標識碼。

    • 認證:使用一般、可自定義的認證應用程式延伸模組,搭配挑戰和響應驗證流程使用 SSO。 請確定您知道貴組織的 SSO 應用程式擴充功能的擴充功能識別碼和小組識別碼。

    • Kerberos:使用 Apple 的內建 Kerberos 擴充功能,其包含在 macOS Catalina 10.15 和更新版本中。 此選項是 Kerberos 特定版本的 認證 應用程式延伸模組。

    提示

    使用 [重新導向 ] 和 [認證 ] 類型時,您可以新增自己的組態值以通過延伸模組。 如果您使用 認證,請考慮使用 Apple在 Kerberos 類型中提供的內建組態設定。

  • 擴充功能識別 碼 (重新導向、認證) :輸入可識別 SSO 應用程式延伸模組的套件組合識別碼,例如 com.apple.ssoexample

  • 小組標識 (重新導向、認證) :輸入 SSO 應用程式延伸模組的小組識別碼。 小組識別碼是 10 個字元的英數位元 (數位和字母) Apple 所產生的字串,例如 ABCDE12345

    找到您的小組標識 碼 (開啟 Apple 的網站) 具有詳細資訊。

  • 領域 (認證,Kerberos) :輸入驗證領域名稱。 領域名稱應該大寫,例如 CONTOSO.COM。 一般而言,您的領域名稱與您的 DNS 功能變數名稱相同,但全都是大寫。

  • 網域 (認證、Kerberos) :輸入可透過 SSO 驗證之網站的網域或主機名。 例如,如果您的網站是 mysite.contoso.com,則 mysite 是主機名,而 .contoso.com 是功能變數名稱。 當使用者連線到這些網站中的任何一個時,應用程式延伸模組會處理驗證挑戰。 此驗證可讓使用者使用臉部標識碼、觸控標識碼或Apple Pincode/密碼來登入。

    • 單一登錄應用程式延伸模組 Intune 配置檔中的所有網域都必須是唯一的。 您無法在任何登入應用程式延伸模組設定檔中重複網域,即使您使用不同類型的 SSO 應用程式延伸模組也一樣。
    • 這些網域不區分大小寫。
    • 網域的開頭必須是 () .
  • ) 重新導向 (URL:輸入身分識別提供者的 URL 前置詞,其代表重新導向應用程式延伸模組使用 SSO。 當使用者重新導向至這些 URL 時,SSO 應用程式擴充功能會介入,並提示您輸入 SSO。

    • Intune 單一登錄應用程式延伸模組配置檔中的所有 URL 都必須是唯一的。 您無法在任何 SSO 應用程式延伸模組設定檔中重複網域,即使您使用不同類型的 SSO 應用程式延伸模組也一樣。
    • URL 的開頭必須是 http://https://
  • 其他設定 (Microsoft Entra 識別碼、重新導向、認證) :輸入要傳遞至 SSO 應用程式延伸模組的其他擴充功能特定數據:

    • 索引鍵:輸入您要新增的項目名稱,例如 user name

    • 類型:輸入數據類型。 選項包括:

      • String
      • 布林值:在 [ 組態值] 中,輸入 TrueFalse
      • 整數:在 [ 組態值] 中,輸入數位。
    • :輸入數據。

  • 僅限 Kerberos (區塊金鑰鏈使用) :[是] 會防止密碼儲存並儲存在密鑰鏈中。 當設定為 [是] 時,系統不會提示使用者儲存其密碼,而且需要在 Kerberos 票證到期時重新輸入密碼。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許將密碼儲存並儲存在金鑰鏈中。 當票證到期時,系統不會提示使用者重新輸入其密碼。

  • 只有在 Kerberos (需要臉部標識碼、觸控標識碼或密碼) :是,當需要認證才能重新整理 Kerberos 票證時,強制使用者輸入其臉部標識碼、觸控標識符或裝置密碼。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不需要使用者使用生物特徵辨識或裝置密碼來重新整理 Kerberos 票證。 如果 已封鎖 Keychain 使用 方式,則不適用此設定。

  • 僅) (Kerberos 設定為預設領域:選擇 [] 以設定您輸入的領域值作為預設領域。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不會設定預設領域。

    提示

    • 如果您要在組織中設定多個 Kerberos SSO 應用程式延伸模組,請針對此設定選取 [ ]。
    • 如果您使用多個領域,請針對此設定選取 [ ]。 它會將您輸入的 Realm 值設定為預設領域。
    • 如果您只有一個領域,請保留 [ 設定] (預設) 。
  • 僅) 封鎖自動探索 (Kerberos:當設定為 [是] 時,Kerberos 擴充功能不會自動使用 LDAP 和 DNS 來判斷其 Active Directory 網站名稱。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許擴充功能自動尋找 Active Directory 月臺名稱。

  • 僅允許 受控應用程式 (Kerberos 僅) :當設定為 [ ] 時,Kerberos 擴充功能只允許受管理的應用程式,以及使用應用程式套件組合標識符輸入的任何應用程式來存取認證。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許非受控應用程式存取認證。

    本功能適用於:

    • macOS 12 和更新版本
  • 僅) (Kerberos 封鎖密碼變更[是] 會防止使用者變更他們用來登入您所輸入網域的密碼。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許密碼變更。

  • 僅) 啟用本機密碼同步 (Kerberos:選擇 [] 將使用者的本機密碼同步處理至 Microsoft Entra 識別符。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會停用密碼同步以 Microsoft Entra 標識符。 使用此設定作為 SSO 的替代或備份。 如果使用者使用Apple行動帳戶登入,此設定將無法運作。

  • 延遲 Kerberos 擴 充功能設定 (只) :當設定為 [ ] 時,系統管理員啟用擴充功能或收到 Kerberos 挑戰之前,不會提示用戶設定 Kerberos 擴充功能。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會立即提示用戶設定 Kerberos 擴充功能。

    本功能適用於:

    • macOS 11 和更新版本
  • 僅) (允許標準 Kerberos 公用程式:當設定為 [] 時,Kerberos 擴充功能允許以應用程式套件組合標識符、受控應用程式和標準 Kerberos 公用程式輸入的任何應用程式,例如 TicketViewer 和 klist 來存取和使用認證。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不允許列出的應用程式存取和使用認證。

    本功能適用於:

    • macOS 12 和更新版本
  • 要求認證 (Kerberos 僅) :當設定為 [ ] 時,會在下一個相符的 Kerberos 挑戰或網络狀態變更時要求認證。 當認證過期或遺失時,就會建立新的認證。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不會要求新的認證。

    本功能適用於:

    • macOS 12 和更新版本
  • 只) 需要 TLS (Kerberos 的 LDAP 連線:當設定為 [是] 時,需要 LDAP 連線才能使用傳輸層安全性 (TLS) 。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不需要LDAP連線即可使用TLS。

    本功能適用於:

    • macOS 11 和更新版本
  • 需要 Active Directory 密碼複雜性 (僅限 Kerberos) :選擇 [ ] 以強制用戶密碼符合 Active Directory 的密碼複雜性需求。 在裝置上,此設定會顯示具有複選框的彈出視窗,讓使用者看到其正在完成密碼需求。 它可協助使用者知道他們需要輸入哪些密碼。 如需詳細資訊,請參閱 密碼必須符合複雜性需求。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不需要使用者符合 Active Directory 的密碼需求。

  • 密碼長度 下限 (僅限 Kerberos) :輸入可構成用戶密碼的字元數下限。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不會對用戶強制執行最小密碼長度。

  • 密碼重複使用限制僅 (Kerberos) :輸入從 1 到 24 的新密碼數目,這些密碼會在網域上重複使用先前的密碼為止。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不會強制執行密碼重複使用限制。

  • 只有) ) (Kerberos 的最小密碼存 留期 (天數:輸入在網域上使用密碼的天數,使用者才能變更密碼。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不會強制執行密碼的最小存留期,才能變更密碼。

  • 密碼到期通知 () ( Kerberos 僅) :輸入使用者收到密碼到期通知的密碼到期前的天數。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會使用 15 天數。

  • 密碼到期 () (Kerberos 僅) :輸入裝置密碼必須變更之前的天數。 當設為 [未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能永遠不會讓密碼過期。

  • 僅) (Kerberos 的密碼變更 URL:輸入用戶啟動 Kerberos 密碼變更時開啟的 URL。

  • 定義使用者名稱 (僅限 Kerberos) :輸入取代 Kerberos 擴充功能中顯示之使用者名稱的文字。 您可以輸入符合公司或組織的名稱的名稱。 例如,您可以輸入 Contoso

    本功能適用於:

    • macOS 11 和更新版本
  • Kerberos 擴充功能只會使用 (Kerberos) :選取其他進程如何使用 Kerberos 擴充功能認證。 選項包括:

    • 一律:如果SPN列在網 中,則一律使用擴充認證。 如果呼叫的應用程式未列在應用程式套件組合 標識碼中,則不會使用它。
    • 未指定時:只有在呼叫端未輸入其他認證,且SPN列在網域中時,才會使用擴充認證。 如果呼叫的應用程式未列在應用程式套件組合 標識碼中,則不會使用它。
    • Kerberos 預設值:Intune 不會變更或更新此設定。 根據預設,OS 會使用預設 Kerberos 進程來選取認證。 此選項與未設定此設定相同。

    本功能適用於:

    • macOS 11 和更新版本
  • 主體名稱 僅 (Kerberos) :輸入 Kerberos 主體的用戶名稱。 您不需要包含領域名稱。 例如, 中的 user@contoso.comuser 是主體名稱,而 contoso.com 是領域名稱。

    提示

    • 您也可以輸入大括弧 {{ }},在主體名稱中使用變數。 例如,若要顯示使用者名稱,請輸入 Username: {{username}}
    • 不過,請小心使用變數替代,因為變數不會在UI中驗證,而且會區分大小寫。 請務必輸入正確的資訊。
  • (Kerberos 的 Active Directory 月臺碼僅) :輸入 Kerberos 擴充功能應該使用的 Active Directory 月臺名稱。 您可能不需要變更此值,因為 Kerberos 擴充功能可能會自動尋找 Active Directory 月臺碼。

  • 快取名稱僅 (Kerberos) :輸入一般安全性服務 (GSS) Kerberos 快取的名稱。 您很可能不需要設定此值。

  • 僅) (Kerberos 登入視窗文字:輸入 Kerberos 登入視窗中顯示給使用者的文字。

    本功能適用於:

    • macOS 11 和更新版本
  • 僅) (Kerberos 的密碼需求訊息:輸入向使用者顯示的組織密碼需求文字版本。 此訊息會顯示您是否不需要Active Directory 的密碼複雜性需求,或未輸入最小密碼長度。

    當設定為 [是] 時,會從裝置抹除所有現有的用戶帳戶。 若要避免數據遺失或防止重設出廠預設值,請確定您了解此設定如何變更您的裝置。

    如需共用裝置模式的詳細資訊,請參閱 共用裝置模式概觀

  • 應用程式套件組合標識碼 (Microsoft Entra 標識符,Kerberos) :輸入應該在裝置上使用單一登錄的應用程式套件組合識別符。 這些應用程式會被授與 Kerberos 票證授權票證和驗證票證的存取權。 應用程式也會向獲授權存取的服務驗證使用者。

  • 網域領域 對應僅 (Kerberos) :輸入應該對應至領域的網域 DNS 後綴。 當主機的 DNS 名稱不符合領域名稱時,請使用此設定。 您很可能不需要建立此自定義網域對領域對應。

  • PKINIT 憑證 僅 (Kerberos) : 取可用於 Kerberos 驗證的公開密鑰密碼編譯 (PKINIT) 憑證。 您可以從您在 Intune 中新增的 PKCSSCEP 憑證中選擇。 如需憑證的詳細資訊,請參閱在 Microsoft Intune 中使用憑證進行驗證

  • 慣用的 KDC 僅 (Kerberos) :輸入密鑰發佈中心 (KDC) 依喜好設定為 Kerberos 流量使用。 無法使用 DNS 探索伺服器時,會使用此清單。 當可以探索伺服器時,清單會用於連線檢查,並優先用於 Kerberos 流量。 如果伺服器沒有回應,則裝置會使用 DNS 探索。

    本功能適用於:

    • macOS 12 和更新版本

後續步驟

指派配置檔監視其狀態

您也可以在 iOS/iPadOS 上設定裝置功能。