Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Применимо к macOS
В этой статье описывается создание политики регистрации для автоматической регистрации устройств macOS (ADE) в Microsoft Intune. Общие сведения о ADE и настройке предварительных требований см. в статье Обзор автоматической регистрации устройств Apple для macOS.
Примечание.
Действия, описанные в этой статье, одинаковы независимо от того, используете ли вы Apple Business или Apple School Manager. Для краткости мы ссылаемся на Apple Business только на всех этапах, описанных в этой статье, за исключением случаев, когда требуется уточнение.
Предварительные условия
Требования к платформе устройства
Новые или очищаемые устройства macOS, приобретенные через Apple Business или Apple School Manager.
Требования к конфигурации клиента
- Доступ к порталу Apple Business или порталу Apple School Manager.
- Активный токен Apple (P7M-файл). Инструкции см. в разделе Настройка маркера ADE для macOS.
- Push-сертификат Apple MDM в Intune.
Совет
При автоматической регистрации устройств применяются конфигурации устройств, которые пользователь устройства может не удалить. Очистите все устройства перед регистрацией, чтобы вернуть их в состояние "из коробки".
При регистрации устройств macOS с помощью ADE с сопоставлением пользователей и помощника по настройке с современной проверкой подлинности пользователи должны войти в приложение Корпоративный портал с помощью Microsoft Entra учетных данных, чтобы завершить регистрацию устройства в Microsoft Entra ID. Сведения о добавлении приложения Корпоративный портал на устройства macOS см. в статье Добавление приложения Корпоративный портал для macOS.
Создание политики регистрации
Создайте политику автоматической регистрации устройств в Центре администрирования. Эта политика определяет процесс регистрации для устройств Mac вашей организации и принудительно применяет политики и параметры регистрации на устройствах регистрации. Политика развертывается на назначенных устройствах по беспроводной сети.
В конце этой процедуры можно назначить эту политику Microsoft Entra группам устройств.
В Центре администрирования перейдите в раздел Регистрация устройств>.
Выберите вкладку macOS .
В разделе Методы массовой регистрации выберите Токены программы регистрации.
Выберите токен программы регистрации.
Выберите Политики> регистрацииСоздать политику>macOS.
Важно!
Прежде чем устройства станут активными, необходимо назначить политику регистрации. Рекомендуется как можно скорее настроить политику регистрации по умолчанию, чтобы при синхронизации устройств из Apple Business или Apple School Manager они могли правильно регистрироваться с помощью автоматической регистрации устройств. Если устройству, синхронизированному из Apple, не назначена политика регистрации и кто-то включает ее, чтобы настроить ее, регистрация завершается ошибкой.
В поле Основные сведения введите имя и описание политики, чтобы отличить ее от других политик регистрации. Эти сведения не видны пользователям устройств.
Совет
Поле имени можно использовать для создания динамической группы в Microsoft Entra ID и автоматического назначения устройств политике регистрации. Используйте имя политики для определения параметра enrollmentProfileName . Дополнительные сведения см. в разделе Microsoft Entra динамических групп.
Нажмите кнопку Далее.
На странице Параметры управления настройте сопоставление пользователей. Сходство пользователей определяет, регистрировать ли устройства с назначенным пользователем или без нее. Доступны следующие параметры:
Регистрация без сопоставления пользователей. Регистрация устройств, которые не связаны с одним пользователем. Выберите этот параметр для общих устройств и устройств, которым не требуется доступ к данным локальных пользователей. Приложение Корпоративный портал не работает на этих типах устройств. Регистрация без сопоставления пользователей также называется регистрацией без пользователей.
Регистрация с сопоставлением пользователей. Регистрация устройств, связанных с назначенным пользователем. Выберите этот параметр для рабочих устройств, принадлежащих пользователям, и если вы хотите, чтобы пользователи имели приложение Корпоративный портал для установки приложений. С этим параметром доступна многофакторная проверка подлинности (MFA). Регистрация с сопоставлением пользователей также называется регистрацией с пользователем.
Вариант 2 требует дополнительных конфигураций. Пользователи должны пройти проверку подлинности перед регистрацией, чтобы подтвердить свою личность. Выберите один из следующих способов проверки подлинности:
Помощник по настройке с современной проверкой подлинности (рекомендуется). Этот метод требует, чтобы пользователи завершили все экраны помощника по настройке и войдите в приложение Корпоративный портал, используя свои Microsoft Entra учетные данные, прежде чем они смогут получить доступ к ресурсам. После входа в Корпоративный портал устройство:
- Регистрируется с помощью Microsoft Entra ID.
- Добавляется в запись устройства пользователя в Microsoft Entra ID.
- Может быть оценена на соответствие устройств.
- Получает доступ к ресурсам, защищенным условным доступом.
Если пользователь не входит в Корпоративный портал для завершения регистрации, он будет перенаправляться в приложение Корпоративный портал каждый раз, когда он пытается открыть управляемое приложение с защитой условного доступа.
Этот метод можно использовать на устройствах под управлением macOS 10.15 и более поздних версий. Старые устройства macOS возвращаются к использованию устаревшего метода помощника по настройке. Дополнительные сведения о том, как получить приложение Корпоративный портал для пользователей Mac, см. в статье Добавление приложения Корпоративный портал для macOS.
Важно!
Мы рекомендуем использовать помощник по настройке с современной проверкой подлинности для устройств Apple для сценариев ADE (автоматическая регистрация устройств) с сопоставлением пользователей. Хотя использование устаревшей проверки подлинности остается доступным, мы не рекомендуем использовать ее.
- Помощник по настройке (устаревшая версия) (больше не рекомендуется): используйте устаревший помощник по настройке, если вы хотите, чтобы пользователи пользовались стандартным интерфейсом для продуктов Apple. Этот метод устанавливает стандартные предварительно настроенные параметры, когда устройство регистрируется с помощью управления Intune. Если вы используете службы федерации Active Directory (AD FS) и выполняете проверку подлинности с помощью помощника по настройке, требуется конечная точка WS-Trust 1.3 в режиме "Имя пользователя/смешанный". Дополнительные сведения о получении конечной точки ADFS см. в разделе Get-ADfsEndpoint.
Ожидание окончательной конфигурации включает заблокированный интерфейс в конце помощника по настройке, чтобы убедиться, что на устройстве установлены наиболее важные политики конфигурации устройства. Этот параметр применяется один раз во время автоматической регистрации устройств Apple в помощнике по настройке. Пользователь устройства не будет испытывать его снова, если он не повторно зарегистрировать свой Mac.
Доступны следующие параметры:
Да. Непосредственно перед загрузкой начального экрана помощник по настройке приостанавливает работу и позволяет Intune проверка с устройством. Взаимодействие с конечными пользователями блокируется, пока пользователи ожидают окончательных конфигураций. Этот параметр является конфигурацией по умолчанию для новых политик регистрации.
Нет. Устройство освобождается на начальном экране после завершения работы помощника по настройке, независимо от состояния установки политики. Пользователи устройств могут получить доступ к начальнму экрану или изменить параметры устройства до установки всех политик. Этот параметр является конфигурацией по умолчанию для существующих политик регистрации.
Время, в течение которого пользователи находятся на экране ожидания окончательной конфигурации, зависит от общего количества политик и приложений, назначенных устройству. Пользователи могут просматривать скачивание политик конфигурации устройств в помощнике по настройке по мере ожидания. Чем больше назначенных политик и приложений, тем больше время ожидания. Помощник по настройке и Intune не применяют минимальное или максимальное ограничение времени во время этой части установки. Во время проверки продукта большинство протестированных устройств были выпущены и получили доступ к начальной странице в течение 15 минут. Если вы включили эту функцию и работаете с партнером Майкрософт или службой сторонних поставщиков, чтобы помочь вам подготовить устройства, сообщите им о возможности увеличения времени подготовки.
Заблокированный интерфейс поддерживается на компьютерах Mac под управлением macOS 10.11 или более поздней версии. Он работает на компьютерах Mac с новыми или существующими политиками регистрации, настроенными для следующих сценариев:
- Регистрация с помощью помощника по настройке с современной проверкой подлинности
- Регистрация с помощью помощника по настройке (устаревшая версия)
- Регистрация без сопоставления пользователей и устройств
Вы можете применить заблокированную регистрацию, чтобы запретить пользователям отменять регистрацию устройств с Intune. Выберите Да , чтобы отключить параметры Mac в системных настройках и терминале, которые позволяют пользователям удалять политику управления. После регистрации устройства вы не сможете изменить этот параметр без очистки устройства.
Нажмите кнопку Далее.
При необходимости на странице Параметры учетной записи можно настроить учетные записи локального администратора и пользователей на целевых компьютерах Mac.
Когда поддерживаемое устройство macOS регистрируется с помощью Intune с помощью политики автоматической регистрации устройств (ADE), которая настраивает локального администратора, устройство включается для настройки локальной учетной записи macOS с помощью решения microsoft local admin password solution (LAPS). Благодаря этой возможности вновь зарегистрированные устройства получают уникальную учетную запись локального администратора с надежным, зашифрованным и случайным паролем администратора (15 буквенно-цифровых символов), который также хранится и шифруется Intune. После регистрации Intune автоматически сменяет пароль администратора, управляемый LAPS, каждые шесть месяцев по умолчанию и поддерживает поиск и смену пароля администратора вручную Intune администраторами с достаточными разрешениями.
Сведения о настройке и последующем управлении этой возможностью см . в статье Настройка конфигурации учетной записи macOS с помощью LAPS.
Следующие параметры для локальной учетной записи пользователя поддерживаются на устройствах под управлением macOS 12 или более поздней версии. При настройке основной учетной записи следует помнить, что эта учетная запись будет учетной записью администратора . Наличие по крайней мере одной учетной записи администратора является обязательным требованием для установки Mac. Если вы также настраиваете пароль локального администратора с помощью этой политики, ознакомьтесь с учетной записью локального администратора в статье Настройка конфигурации учетной записи macOS с помощью LAPS , а затем вернитесь сюда.
Доступны следующие параметры:
Создание локальной учетной записи пользователя. Выберите Да , чтобы настроить параметры учетной записи локального пользователя для целевых компьютеров Mac. Выберите Не настроено, чтобы пропустить все конфигурации параметров учетной записи.
Сведения о предварительной заполнении учетной записи. Конфигурация по умолчанию не настроена, требует, чтобы пользователь устройства ввел имя пользователя и полное имя учетной записи в помощнике по настройке. Чтобы предварительно заполнить сведения об учетной записи для них, нажмите кнопку Да. Затем введите имя основной учетной записи и полное имя:
Имя пользователя локальной учетной записи пользователя:
- {{serialNumber}} — например, F4KN99ZUG5V2
- {{partialupn}} — например, Джон
- {{managedDeviceName}} — например, F2AL10ZUG4W2_14_4/15/2025_12:45PM
- {{OnPremisesSamAccountName}} — например, contoso\John
Полное имя учетной записи локального пользователя:
- {{username}} — например, John@contoso.com
- {{serialNumber}} — например, F4KN99ZUG5V2
- {{OnPremisesSamAccountName}} — например, contoso\John
Ограничение редактирования. Конфигурация по умолчанию имеет значение Да , чтобы пользователи устройств не могли изменять имя учетной записи и полное имя, настроенные для них. Чтобы разрешить пользователям устройства изменять имя учетной записи и полное имя, выберите Не настроено. Если вы используете только помощник по настройке (устаревшую версию) для регистрации устройств под управлением macOS 10.15 и более поздних версий, вы можете ожидать следующее взаимодействие с конечным пользователем:
- Да. Экран создания учетной записи в помощнике по настройке никогда не отображается. Вместо этого учетная запись локального пользователя автоматически создается на основе других конфигураций параметров, а пароль автоматически заполняется на экране Microsoft Entra проверки подлинности. Пользователь устройства не может изменить эти поля.
- Не настроено. Экран учетной записи локального пользователя отображается для конечного пользователя в помощнике по настройке и заполняется настроенными значениями учетной записи и паролем на экране проверки подлинности Microsoft Entra. Пользователь устройства может изменять эти поля во время помощника по настройке.
Чтобы параметры учетной записи работали должным образом, политика регистрации должна иметь следующие конфигурации:
- Сходство пользователей. Выберите Зарегистрировать с сопоставлением пользователей.
- Метод проверки подлинности. Выберите Помощник по настройке с современной проверкой подлинности или Помощник по настройке (устаревшая версия).
- Ожидание окончательной конфигурации: выберите Да.
Локальные учетные записи зависят от функции ожидания окончательной конфигурации при их создании. В результате при настройке параметров учетной записи локального администратора или пользователя этот параметр всегда включен. Даже если вы не касаетесь параметра ожидания окончательной конфигурации, он всегда включается в фоновом режиме и применяется к политике регистрации.
Нажмите кнопку Далее.
На странице Помощник по настройке настройте интерфейс помощника по настройке.
- Введите сведения о отделе, чтобы пользователи знали, к кому обращаться за поддержкой:
- Название отдела: это имя отображается, когда пользователи устройств выбирают сведения о конфигурации во время активации.
- Телефон отдела. Этот номер телефона отображается, когда пользователи устройств выбирают нужная помощь во время активации.
- Выберите экраны помощника по настройке, которые нужно отобразить или скрыть во время настройки устройства. Описание всех экранов см. в справочнике по экрану помощника по настройке (в этой статье). Доступны следующие параметры:
- Скрыть. Экран не отображается для пользователей во время настройки устройства. После настройки устройства пользователь может перейти к параметрам устройства, чтобы настроить эту функцию.
- Показать: экран отображается для пользователей во время настройки устройства. Пользователь по-прежнему может пропускать экраны, которые не требуют немедленного действия. После настройки устройства пользователь может перейти к параметрам устройства, чтобы настроить эту функцию.
- Введите сведения о отделе, чтобы пользователи знали, к кому обращаться за поддержкой:
Нажмите кнопку Далее.
Просмотрите сводку изменений и нажмите кнопку Создать , чтобы завершить создание политики.
Справочник по экрану помощника по настройке
В следующей таблице описаны экраны помощника по настройке, отображаемые при автоматической регистрации устройств для Mac. Эти экраны можно отобразить или скрыть на поддерживаемых устройствах во время регистрации. Дополнительные сведения о том, как каждый экран помощника по настройке влияет на взаимодействие с пользователем, см. в следующих ресурсах Apple:
- Руководство по развертыванию платформы Apple. Управление помощником по настройке для устройств Apple
- Документация для разработчиков Apple: ShipKeys
| Экран помощника по настройке | Что происходит при отображении |
|---|---|
| Службы определения местонахождения | Показывает панель настройки служб определения местоположения, где пользователи могут включить службы определения местоположения на своем устройстве. Для macOS 10.11 и более поздних версий. |
| Восстановление | Отображает область "Приложения и настройка данных". На этом экране пользователи, настроивающие устройства, могут восстанавливать или передавать данные из iCloud Backup. Для macOS 10.9–15.3. В macOS 15.4 и более поздних версиях этот экран нельзя скрыть, и после регистрации пользователь получает предупреждение о том, что он не может передать данные с другого устройства, так как mdm управляет параметром. |
| Apple ID | Отображает панель настройки Apple ID, в которой пользователям предоставляется возможность входа с помощью идентификатора Apple ID и использования iCloud. Для macOS 10.9 и более поздней версии. |
| Условия | Отображает область условий Apple и требует, чтобы пользователи приняли их. Для macOS 10.9 и более поздней версии. |
| Touch ID и Face ID | Отображает панель биометрической настройки, в которой пользователи могут настроить идентификацию отпечатков пальцев или лиц на своих устройствах. Для macOS 10.12.4 и более поздней версии. |
| Apple Pay | Отображает панель настройки Apple Pay, в которой пользователи могут настроить Apple Pay на своих устройствах. Для macOS 10.12.4 и более поздней версии. |
| Siri | Отображает область настройки Siri для пользователей. Для macOS 10.12 и более поздних версий. |
| Данные диагностики | Показывает панель диагностика, где пользователи могут согласиться на отправку диагностических данных в Apple. Для macOS 10.9 и более поздней версии. |
| Тон дисплея | Отображает панель настройки для тона отображения. На этом экране пользователи могут включить отображение истинного тона. Для macOS 10.13.6 и более поздних версий. |
| FileVault | Отображает экран шифрования FileVault 2 для пользователей. Для macOS 10.10 и более поздней версии. |
| Диагностика iCloud | Отображает экран iCloud Analytics для пользователей. Для macOS 10.12.4 и более поздней версии. |
| Регистрация | Отображает экран регистрации для пользователей. Для macOS 10.9 и более поздней версии. |
| Хранилище iCloud | Отображает экран "Документы iCloud" и "Рабочий стол" для пользователя. Для macOS 10.13.4 и более поздней версии. |
| Внешний вид | Показывает область внешнего вида, где пользователи могут выбрать режим внешнего вида. Для macOS 10.14 и более поздних версий. |
| Экранное время | Показывает панель настройки экранного времени macOS, включаемую пользователями функцию для получения аналитических сведений о действиях в режиме экранного времени, а также о действиях приложений и веб-сайтов. Для macOS 10.15 и более поздних версий. |
| Конфиденциальность | Отображает область настройки конфиденциальности для пользователя. Для macOS 10.13.4 и более поздней версии. |
| Специальные возможности | Отображает экран настройки специальных возможностей для пользователя. Если этот экран скрыт, пользователь не может использовать функцию голосовой связи macOS. Voice Over поддерживается на устройствах, которые: – устройства под управлением macOS 11; – устройства, подключенные к Интернету по протоколу Ethernet; — Иметь серийный номер в Apple School Manager или Apple Business. |
| Автоматическая разблокировка с помощью Apple Watch | Показывает панель разблокировки macOS с помощью Apple Watch, где пользователи могут настроить Apple Watch для разблокировки Mac. Для macOS 12.0 и более поздних версий. |
| Условия адреса | Показывает условия области адресов, в которой пользователи могут выбрать, как они должны быть рассмотрены в системе: женский, мужской или нейтральный. Эта функция Apple доступна для различных языков. Дополнительные сведения см. в разделе Изменение параметров языка & региона на Компьютере Mac (откроется веб-сайт Apple). Для macOS 13.0 и более поздних версий. |
| Фоновый рисунок | Отображает панель настройки обоев Sonoma macOS после завершения обновления программного обеспечения устройств. Если скрыть этот экран, устройства получат обои "Сонома" по умолчанию для macOS. Для macOS 14.1 и более поздних версий. |
| Режим блокировки | Отображает область настройки режима блокировки для пользователей, настроивших идентификатор Apple ID. Для macOS 14.0 и более поздних версий. |
| Аналитика | Показывает панель настройки Apple Intelligence, где пользователи могут настраивать функции Apple Intelligence. Для macOS 15.0 и более поздних версий. |
| App Store | Отображает панель App Store Apple. Для macOS 11.1 и более поздних версий. |
| Обновление программного обеспечения | Отображает экран обязательного обновления программного обеспечения. Для macOS 15.4 и более поздних версий. |
| Дополнительные параметры конфиденциальности | Отображает панель дополнительных параметров конфиденциальности. Для macOS 26.0 и более поздних версий. |
| Демонстрация ОС | Отображает область демонстрации ОС. Для macOS 26.1 и более поздних версий. |
| Обновление завершено | Отображает панель завершения обновления программного обеспечения. Для macOS 26.1 и более поздних версий. |
| Начало работы | Отображает панель "Начало работы". Для macOS 15.0 и более поздних версий. |
Назначение политики регистрации устройствам
Назначьте политику регистрации устройствам Apple.
- Вернитесь в раздел Маркеры программы регистрации и выберите маркер.
- Выберите Устройства.
- Выберите свои устройства в списке, а затем выберите Назначить политику.
- Выберите политику для назначения и нажмите кнопку Назначить.
При необходимости можно выбрать политику регистрации по умолчанию. Политика по умолчанию развертывается на всех устройствах регистрации, связанных с маркером.
- Вернитесь в раздел Маркеры программы регистрации и выберите маркер.
- Выберите Задать политику по умолчанию.
- Выберите политику и нажмите кнопку Сохранить.
Дальнейшие действия
- Сведения о синхронизации устройств, распределении устройств среди пользователей и управлении маркерами см. в статье Управление устройствами и маркерами ADE для macOS.
- Сведения о продлении или удалении маркера программы регистрации см. в статье Настройка маркера ADE для macOS.
- Используйте удаленные действия устройств в Microsoft Intune для удаленного управления зарегистрированными компьютерами Mac.