Параметры функций устройства Apple в Microsoft Intune

Макет начального экрана

Данная функция применяется к:

• iOS 9.3 или более поздней версии
• iPadOS 13.0 и более поздние версии
• Автоматическая регистрация устройств (защищенное)

Что необходимо знать

• Добавьте приложение только один раз в док-станцию, страницу, папку на странице или папку в док-станции. Если добавить одно и то же приложение в любых двух местах, оно не отображается на устройствах, и могут возникнуть ошибки отчетов.

  Например, если добавить приложение камеры в док-станцию и страницу, приложение камеры не отображается, а в отчетах может появиться ошибка для политики. Чтобы добавить приложение камеры в макет начального экрана, выберите только док-станцию или страницу, а не оба варианта.

• При применении макета начального экрана он перезаписывает любой определяемый пользователем макет. Поэтому рекомендуется использовать макеты начального экрана на устройствах без пользователей.

• На устройстве можно установить уже существующие приложения, которые не включены в конфигурацию макета начального экрана. Эти приложения отображаются в алфавитном порядке после настроенных приложений.

• При использовании параметров сетки "Домашний экран" для добавления страниц или добавления страниц и приложений в закрепление значки на начальном экране и страницах блокируются. Вы не можете перемещать или удалять их. Это может быть вызвано iOS/iPadOS и политиками MDM Apple.

• Веб-клипы iOS/iPadOS, которые необходимо открыть в управляемом браузере, не отображаются в порядке, указанном в политике макета начального экрана.

Начальный экран

Используйте эту функцию для добавления приложений. Вы можете увидеть, как выглядят эти приложения на страницах, на док-станции и в папках. Здесь также отображаются значки приложений. Приложения программы volume Purchase Program (VPP), бизнес-приложения и веб-ссылки (URL-адреса веб-приложений) заполняются из добавленных клиентских приложений.

• Размер сетки. Выберите подходящий размер сетки для начального экрана устройства. Приложение или папка занимают одно место в сетке. Если целевое устройство не поддерживает выбранный размер, некоторые приложения могут не соответствовать и будут отправлены в следующую доступную позицию на новой странице. Для справки:

  • iPhone 5 поддерживает 4 столбца x 5 строк
  • iPhone 6 и более поздних версий поддерживает 4 столбца x 6 строк
  • iPad поддерживает 5 столбцов x 6 строк

• +: нажмите кнопку добавить, чтобы добавить приложения.

• Создание папки или добавление приложений. Добавьте приложение или папку:

  • Приложение. Выберите существующие приложения в списке. Этот параметр добавляет приложения на начальный экран на устройствах. Если у вас нет приложений, выберите Добавить приложения в Intune.

    Вы также можете искать приложения по имени приложения, например authenticator или drive. Или выполните поиск по издателю приложения, например Майкрософт или Apple.

  • Папка: добавляет папку на начальный экран. Введите имя папки и выберите существующие приложения из списка, чтобы перейти в папку. Это имя папки отображается пользователям на их устройствах.

    Вы также можете искать приложения по имени приложения, например authenticator или drive. Или выполните поиск по издателю приложения, например Майкрософт или Apple.

    Приложения расположены слева направо в том же порядке, как показано ниже. Приложения можно перемещать в другие позиции. В папке может быть только одна страница. В качестве обхода добавьте в папку девять (9) или более приложений. Приложения автоматически перемещаются на следующую страницу. Вы можете добавить любое сочетание приложений VPP, веб-ссылок (веб-приложений), приложений магазина, бизнес-приложений и системных приложений.

Док

Добавьте до четырех (4) элементов для iPhone и до шести (6) элементов для iPad (приложения и папки вместе взятых) на док-станцию на экране. Многие устройства поддерживают меньше элементов. Например, устройства iPhone поддерживают до четырех элементов. Таким образом, отображаются только первые четыре добавленных элемента.

• +: нажмите кнопку добавить, чтобы добавить приложения или папки на док-станцию.

• Создание папки или добавление приложений. Добавьте приложение или папку:

  • Приложение. Выберите существующие приложения в списке. Этот параметр добавляет приложения на док-станцию на экране. Если у вас нет приложений, выберите Добавить приложения в Intune.

    Вы также можете искать приложения по имени приложения, например authenticator или drive. Или выполните поиск по издателю приложения, например Майкрософт или Apple.

  • Папка: добавляет папку на док-станцию на экране. Введите имя папки и выберите существующие приложения из списка, чтобы перейти в папку. Это имя папки отображается пользователям на их устройствах.

    Вы также можете искать приложения по имени приложения, например authenticator или drive. Или выполните поиск по издателю приложения, например Майкрософт или Apple.

    Приложения расположены слева направо в том же порядке, как показано ниже. Вы можете перемещать приложения на другие позиции. Если добавить больше приложений, чем может поместиться на странице, приложения автоматически перемещаются на другую страницу. В папку на док-станции можно добавить до 20 страниц. Вы можете добавить любое сочетание приложений VPP, веб-ссылок (веб-приложений), приложений магазина, бизнес-приложений и системных приложений.

Пример

В следующем примере на экране док-станции отображаются приложения Safari, Почта и Акции. Выбрано приложение Акции, чтобы отобразить его свойства:

При назначении политики iPhone док-станция выглядит следующим образом:

Уведомления приложения

Параметры, применяемые к: Автоматическая регистрация устройств (защищенное)

Добавить: добавить уведомления для приложений:

• Идентификатор пакета приложений. Введите идентификатор пакета приложений для приложения, которое вы хотите добавить.

  Чтобы получить идентификатор пакета приложения, выполните следующие действия:

  • Некоторые примеры см. в статье Идентификаторы пакетов для встроенных приложений iOS/iPadOS.
  • Для приложений, добавленных в Intune, можно использовать Центр администрирования Intune.

  Если задано значение Не настроено или оставить пустым, Intune не изменяет или не обновляет этот параметр.

• Имя приложения. Введите имя приложения, которое вы хотите добавить. Это имя используется для справки в Центре администрирования Microsoft Intune. Он не отображается на устройствах. Если задано значение Не настроено или оставить пустым, Intune не изменяет или не обновляет этот параметр.

• Издатель. Введите издателя добавляемого приложения. Это имя используется для справки в Центре администрирования Microsoft Intune. Он не отображается на устройствах. Если задано значение Не настроено или оставить пустым, Intune не изменяет или не обновляет этот параметр.

• Уведомления: включение или отключение отправки приложению уведомлений на устройства. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр.

  Если задано значение Включить, также настройте:

  • Показать в центре уведомлений. Включить позволяет приложению отображать уведомления в центре уведомлений устройства. Отключить запрещает приложению отображать уведомления в Центре уведомлений. Если задано значение Не настроено или оставить пустым, Intune не изменяет или не обновляет этот параметр.

  • Показать на экране блокировки: включить отображаются уведомления приложений на экране блокировки устройства. Отключить запрещает приложению отображать уведомления на экране блокировки. Если задано значение Не настроено или оставить пустым, Intune не изменяет или не обновляет этот параметр.

  • Тип оповещения: при разблокировке устройств выберите способ отображения уведомления. Доступны следующие параметры:

    • Нет: уведомление не отображается.
    • Баннер: кратко отображается баннер с уведомлением. Этот параметр также может называться временным баннером.
    • Модальное: отображается уведомление, и пользователи должны вручную закрыть его, прежде чем продолжать использовать устройство. Этот параметр также может называться постоянным баннером.

  • Значок значка приложения: Включить добавляет эмблему в значок приложения. Значок означает, что приложение отправило уведомление. При отключении значок приложения не добавляется в значок приложения. Если задано значение Не настроено, Intune не изменяет или не обновляет этот параметр.

  • Включить звуки. Включить воспроизведение звука при доставке уведомления. Отключить не воспроизводит звук при доставке уведомления. Если задано значение Не настроено, Intune не изменяет или не обновляет этот параметр.

  • Показать предварительные версии: отображается предварительный просмотр последних уведомлений приложения. Выберите время отображения предварительного просмотра. Выбранное значение переопределяет значение, настроенное пользователем на устройстве (параметры Уведомления >> показывают предварительные версии). Доступны следующие параметры:

    • Не настроено: Intune не изменяет или не обновляет этот параметр.
    • При разблокировке. Предварительная версия отображается только при разблокировке устройства.
    • Всегда: предварительный просмотр всегда отображается на экране блокировки.
    • Никогда: предварительный просмотр никогда не отображается.

    Этот параметр применяется к:

    • iOS/iPadOS 14.0 и более поздней версии

Связанные домены

В Intune вы можете:

• Добавьте множество связей между приложениями и доменами.
• Свяжите несколько доменов с тем же приложением.

Этот параметр применяется к:

• macOS 10.15 или более поздней версии.

Параметры применяются к: Регистрация устройств, утвержденная пользователем, и Автоматическая регистрация устройств

Эти параметры используют полезные данные AssociatedDomains.ConfigurationItem (открывается веб-сайт Apple).

• Связанные домены. Добавьте связь между доменом и приложением. Этот параметр предоставляет общий доступ к учетным данным для входа между приложением Contoso и веб-сайтом Contoso. Также введите:

  • Идентификатор приложения. Введите идентификатор приложения для связывания с веб-сайтом. Идентификатор приложения включает идентификатор команды и идентификатор пакета: TeamID.BundleID.

    Идентификатор команды — это буквенно-цифровая строка из 10 символов, созданная Apple для разработчиков приложений, например ABCDE12345. Дополнительные сведения см. в разделе Поиск идентификатора команды (открывается веб-сайт Apple).

    Идентификатор пакета однозначно идентифицирует приложение и обычно форматируется в обратной нотации доменного имени. Например, идентификатор пакета Finder — com.apple.finder.

    Чтобы получить идентификатор пакета, выполните следующие действия:

    • Откройте приложение Терминала и используйте AppleScript: osascript -e 'id of app "ExampleApp"'
    • Для приложений, добавленных в Intune, можно использовать Центр администрирования Intune.

  • Домены. Введите домен веб-сайта, который нужно связать с приложением. Домен включает тип службы и полное имя узла, например webcredentials:www.contoso.com.

    Вы можете сопоставить все поддомены связанного домена, введя *. (подстановочный знак звездочки и точку) перед началом домена. Период является обязательным. Точные домены имеют более высокий приоритет, чем домены с подстановочными знаками. Таким образом, шаблоны из родительских доменов сопоставляются, если совпадение не найдено в полном поддомене.

    Тип службы может быть следующим:

    • authsrv: расширение приложения для единого входа
    • applink: универсальная ссылка
    • webcredentials: автоматическое заполнение пароля

  • Включить прямые загрузки. Да скачивает данные домена непосредственно с устройства, а не через сеть доставки содержимого (CDN) Apple. Если задано значение Не настроено, Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может скачивать данные через сеть CDN Apple, выделенную для связанных доменов.

    Этот параметр применяется к:

    • macOS 11 и более поздней версии

Кэширование содержимого

При кэшировании содержимого сохраняется локальная копия содержимого. Другие устройства Apple могут получать эти сведения, не подключаясь к Интернету. Это кэширование ускоряет скачивание, сохраняя обновления программного обеспечения, приложения, фотографии и другое содержимое при первом скачивании. Так как приложения скачиваются один раз и предоставляются другим устройствам, учебные заведения и организации с большим количеством устройств экономят пропускную способность.

Этот параметр применяется к:

• macOS 10.13.4 и более поздней версии

Параметры применяются к: Все типы регистрации

Дополнительные сведения об этих параметрах см. в разделе Параметры полезных данных кэширования содержимого (открывается веб-сайт Apple).

Включить кэширование содержимого. Да включает кэширование содержимого, и пользователи не могут его отключить. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может отключить его.

• Тип содержимого для кэширования. Параметры:

  • Все содержимое: кэширует содержимое iCloud и общее содержимое.
  • Только содержимое пользователя: кэширует содержимое iCloud пользователя, включая фотографии и документы.
  • Только общее содержимое. Кэширует приложения и обновления программного обеспечения.

• Максимальный размер кэша. Введите максимальный объем дискового пространства (в байтах), используемый для кэширования содержимого. Если оставить пустым (по умолчанию) Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может задать для этого значения ноль (0) байтов, что обеспечивает неограниченное дисковое пространство для кэша.

  Убедитесь, что вы не превышаете свободное место на устройствах. Дополнительные сведения о емкости хранилища устройств см. в разделе Как iOS и macOS сообщают о емкости хранилища (открывается веб-сайт Apple).

• Расположение кэша. Введите путь для хранения кэшированного содержимого. Расположение по умолчанию — /Library/Application Support/Apple/AssetCache/Data. Не изменяйте это расположение.

  При изменении этого параметра кэшированное содержимое не перемещается в новое расположение. Чтобы переместить его автоматически, пользователям необходимо изменить расположениена устройстве (кэширование содержимогов параметрах>> системы).

• Порт. Введите номер TCP-порта на устройствах, чтобы кэш принимал запросы на скачивание и отправку с 0-65535. Введите ноль (0) (по умолчанию), чтобы использовать любой доступный порт.

• Блокировать подключение к Интернету и кэшировать общий доступ к содержимому. Также называется привязанным кэшированием. Да запрещает общий доступ к подключению к Интернету и запрещает общий доступ к кэшированному содержимому с устройств iOS/iPadOS, подключенных через USB к компьютеру Mac. Пользователи не могут включить этот параметр. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр.

• Включить общий доступ к подключению к Интернету: также называется привязанным кэшированием. Да разрешает общий доступ к подключению к Интернету и позволяет совместно использовать кэшированное содержимое с устройств iOS/iPadOS, подключенных через USB к компьютеру Mac. Пользователи не могут отключить этот параметр. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может отключить эту функцию.

  Этот параметр применяется к:

  • macOS 10.15.4 и более поздней версии

• Включение кэша для регистрации сведений о клиенте. Да регистрирует IP-адрес и номер порта устройств, запрашивающих содержимое. Если вы устраняете неполадки с устройством, этот файл журнала может помочь. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию операционная система может не записывать эти сведения в журнал.

• Всегда храните содержимое из кэша, даже если системе требуется место на диске для других приложений. Да сохраняет содержимое кэша и ничего не удаляется, даже если место на диске мало. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может автоматически очищать содержимое из кэша, если ей требуется место в хранилище для других приложений.

  Этот параметр применяется к:

  • macOS 10.15 или более поздней версии.

• Отображение оповещений о состоянии. Да отображает оповещения в виде системных уведомлений. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может не отображать эти оповещения в виде системных уведомлений.

  Этот параметр применяется к:

  • macOS 10.15 или более поздней версии.

• Запретить устройство в спящем режиме во время кэширования включено. Значение Да запрещает переход компьютера в спящий режим, когда кэширование включено. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить устройству спящий режим.

  Этот параметр применяется к:

  • macOS 10.15 или более поздней версии.

• Устройства для кэширования. Выберите устройства, которые могут кэшировать содержимое. Доступны следующие параметры:

  • Не настроено (по умолчанию): Intune не изменяет или не обновляет этот параметр.
  • Устройства, использующие одну и ту же локальную сеть. Кэш содержимого предлагает содержимое устройствам в той же непосредственной локальной сети. Содержимое не предоставляется устройствам в других сетях, включая устройства, доступные в кэше содержимого.
  • Устройства с одинаковым общедоступным IP-адресом. Кэш содержимого предлагает содержимое устройствам с одинаковым общедоступным IP-адресом. Содержимое не предоставляется устройствам в других сетях, включая устройства, доступные в кэше содержимого.
  • Устройства, использующие пользовательские локальные сети. Кэш содержимого предоставляет содержимое устройствам в заданных диапазонах IP-адресов.
    • Диапазоны прослушивания клиента. Введите диапазон IP-адресов, которые могут получать кэш содержимого.
  • Устройства, использующие пользовательские локальные сети с резервным хранилищем. Кэш содержимого предоставляет содержимое устройствам в диапазонах прослушивания, одноранговых диапазонах прослушивания и IP-адресах родителей.
    • Диапазоны прослушивания клиента. Введите диапазон IP-адресов, которые могут получать кэш содержимого.

• Пользовательские общедоступные IP-адреса. Введите диапазон общедоступных IP-адресов. Облачные серверы используют этот диапазон для сопоставления клиентских устройств с кэшами.

• Совместное использование содержимого с другими кэшами. Если в сети есть несколько кэшей содержимого, кэши содержимого на других устройствах автоматически становятся одноранговыми. Эти устройства могут обращаться к кэшированному программному обеспечению и совместно использовать их.

  Если запрошенный элемент недоступен в одном кэше содержимого, он проверяет его одноранговые узлы для элемента. Если элемент доступен, он загружается из кэша содержимого на одноранговом устройстве. Если он по-прежнему недоступен, кэш содержимого скачивает элемент из:

  • Родительский IP-адрес, если он настроен

    ИЛИ

  • Из Apple через Интернет

  Если доступно несколько кэшей содержимого, устройства автоматически выбирают правильный кэш содержимого.

  Доступны следующие параметры:

  • Не настроено (по умолчанию): Intune не изменяет или не обновляет этот параметр.

  • Кэши содержимого, использующие одни и те же локальные сети: кэш содержимого только одноранговые узлы с другими кэшами содержимого в той же непосредственной локальной сети.

  • Кэши содержимого, использующие один и тот же общедоступный IP-адрес: кэш контента только одноранговые узлы с другими кэшами содержимого на том же общедоступном IP-адресе.

  • Кэши содержимого с использованием пользовательских локальных сетей: кэш содержимого только одноранговые узлы с другими кэшами содержимого в диапазоне прослушивания IP-адресов, который вы вводите:

    • Диапазоны однорангового прослушивания. Введите начальные и конечные IP-адреса IPv4 или IPv6 для диапазона. Кэш содержимого отвечает только на запросы однорангового кэша из кэшей содержимого в диапазонах IP-адресов, которые вы вводите.
    • Диапазоны одноранговых фильтров. Введите начальные и конечные IP-адреса IPv4 или IPv6 для диапазона. Кэш содержимого фильтрует список одноранговых узлов, используя указанные диапазоны IP-адресов.

• Родительские IP-адреса. Введите локальный IP-адрес другого кэша содержимого, который нужно добавить в качестве родительского кэша. Ваш кэш отправляет и скачивает содержимое в эти кэши, а не отправляет или скачивает непосредственно из Apple. Добавьте родительский IP-адрес только один раз.

• Политика выбора родителей. При наличии большого количества родительских кэшей выберите способ выбора родительского IP-адреса. Доступны следующие параметры:

  • Не настроено (по умолчанию): Intune не изменяет или не обновляет этот параметр.
  • Циклический перебор. Используйте родительские IP-адреса по порядку. Этот вариант подходит для сценариев балансировки нагрузки.
  • Первый доступный. Всегда используйте первый доступный IP-адрес в списке.
  • Хэш. Создает хэш-значение для части пути запрошенного URL-адреса. Этот параметр гарантирует, что для одного и того же URL-адреса всегда используется один и тот же родительский IP-адрес.
  • Случайный: случайно используйте IP-адрес в списке. Этот вариант подходит для сценариев балансировки нагрузки.
  • Sticky available: всегда используйте первый IP-адрес в списке. Если он недоступен, используйте второй IP-адрес в списке. Продолжайте использовать второй IP-адрес, пока он не будет доступен, и т. д.

Сообщение на экране блокировки

Данная функция применяется к:

• iOS 9.3 и более поздние версии.
• iPadOS 13.0 и более поздние версии.

Параметры, применяемые к: Автоматическая регистрация устройств (защищенное)

• "Если потеряно, вернитесь к..." Сообщение. Если устройства потеряны или украдены, введите заметку, которая может помочь вернуть устройство в случае обнаружения. Вы можете ввести любой текст. Например, можно ввести If found, call Contoso at ....

  Вводимый текст отображается в окне входа и на экране блокировки на устройствах.

• Сведения о теге ресурса. Введите сведения о теге ресурса устройства. Например, введите Owned by Contoso Corp или Serial Number: {{serialnumber}}.

  Используйте маркеры устройства для добавления сведений об устройстве в эти поля. Например, чтобы отобразить серийный номер, введите Serial Number: {{serialnumber}} или Device ID: {{DEVICEID}}. На экране блокировки текст отображается примерно так: Serial Number 123456789ABC. При вводе переменных обязательно используйте фигурные скобки {{ }}.

  Поддерживаются следующие переменные сведений об устройстве. Пользовательский интерфейс не проверяет переменные и учитывает регистр. Если ввести неправильную переменную, вы увидите профили, сохраненные с неправильными входными данными. Например, если ввести {{DeviceID}} вместо {{deviceid}} или {{DEVICEID}}, то вместо уникального идентификатора устройства будет отображаться строка литерала. Обязательно введите правильные сведения. Поддерживаются все переменные в нижнем или верхнем регистре, но не сочетание.

  • {{AADDeviceId}}: Microsoft Entra идентификатор устройства
  • {{AccountId}}: Intune идентификатор клиента или идентификатор учетной записи
  • {{AccountName}}: Intune имя клиента или имя учетной записи
  • {{AppleId}}: Идентификатор Apple пользователя
  • {{Department}}: отдел, назначенный во время помощника по настройке
  • {{DeviceId}}: Intune идентификатор устройства
  • {{DeviceName}}: Intune имя устройства
  • {{domain}}: доменное имя
  • {{EASID}}: Идентификатор активной синхронизации Exchange
  • {{EDUUserType}}: тип пользователя
  • {{IMEI}}: IMEI устройства
  • {{mail}}: Email адрес пользователя
  • {{ManagedAppleId}}: управляемый идентификатор Apple пользователя
  • {{MEID}}: MEID устройства
  • {{partialUPN}}: префикс имени участника-пользователя перед символом @
  • {{SearchableDeviceKey}}: идентификатор ключа NGC
  • {{SerialNumber}}: серийный номер устройства
  • {{SerialNumberLast4Digits}}: последние 4 цифры серийного номера устройства
  • {{SIGNEDDEVICEID}}: большой двоичный объект идентификатора устройства, назначенный клиенту во время регистрации Корпоративный портал.
  • {{SignedDeviceIdWithUserId}}: большой двоичный объект с идентификатором устройства, назначенный клиенту с сопоставлением пользователей во время помощника по настройке Apple
  • {{UDID}}: UDID устройства
  • {{UDIDLast4Digits}}: последние 4 цифры UDID устройства
  • {{UserId}}: Intune идентификатор пользователя
  • {{UserName}}: имя пользователя
  • {{userPrincipalName}}: имя участника-пользователя

Элементы входа

Параметры применяются к: Все типы регистрации

• Добавление файлов, папок и пользовательских приложений, которые будут запускаться при входе. Добавьте путь к файлу, папке, пользовательскому приложению или системного приложения, которое открывается при входе пользователей на свои устройства. Также введите:

  • Путь к элементу. Введите путь к файлу, папке или приложению. Системные приложения или приложения, созданные или настроенные для вашей организации, обычно находятся в папке Applications с путем, похожим на /Applications/AppName.app.

    Вы можете добавить множество файлов, папок и приложений. Например, введите:

    • /Applications/Calculator.app
    • /Applications
    • /Applications/Microsoft Office/root/Office16/winword.exe
    • /Users/UserName/music/itunes.app

    При добавлении любого приложения, папки или файла обязательно введите правильный путь. Не все элементы находятся в папке Applications . Если пользователи перемещают элемент из одного расположения в другое, путь изменяется. Этот перемещенный элемент не открывается при входе пользователя.

  • Скрыть: выберите отображение или скрытие приложения. Доступны следующие параметры:

    • Не настроено (по умолчанию): Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может отображать элементы в списке Элементы входа "Пользователи & группы", а флажок скрыть не установлен.
    • Да. Скрывает приложение в списке Элементы входа "Пользователи & группы".

Окно входа в систему

Параметры применяются к: Все типы регистрации

Макет Windows

• Отображение дополнительных сведений в строке меню. Если выбрана область времени в строке меню, отображается имя узла и версия macOS. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ос может не отображать эти сведения в строке меню.

• Баннер. Введите сообщение, которое отображается на экране входа на устройствах. Например, введите сведения об организации, приветственное сообщение, потерянные и найденные сведения и т. д.

• Требовать текстовые поля имени пользователя и пароля. Выберите способ входа пользователей на устройства. Да требует, чтобы пользователи ввели имя пользователя и пароль. Если задано значение Не настроено, Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может потребовать от пользователей выбрать свое имя пользователя из списка, а затем ввести пароль.

  Если задано значение Не настроено, также введите:

  • Скрыть локальных пользователей. Да скрывает учетные записи локальных пользователей в списке пользователей, которые могут включать стандартные учетные записи и учетные записи администратора. Отображаются только сетевые и системные учетные записи пользователей. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может отображать локальные учетные записи пользователей в списке пользователей.
  • Скрыть мобильные учетные записи. Да скрывает мобильные учетные записи в списке пользователей. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может отображать мобильные учетные записи в списке пользователей. Некоторые мобильные учетные записи могут отображаться как пользователи сети.
  • Показать пользователей сети. Выберите Да , чтобы вывести список пользователей сети в списке пользователей. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может не отображать учетные записи сетевых пользователей в списке пользователей.
  • Скрыть администраторов компьютера. Значение Да скрывает учетные записи администраторов в списке пользователей. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может отображать учетные записи администраторов в списке пользователей.
  • Показать других пользователей. Выберите Да , чтобы получить список Другие пользователи в списке пользователей. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может не отображать другие учетные записи пользователей в списке пользователей.

Параметры питания экрана входа

• Скрыть кнопку завершения работы. Да скрывает кнопку завершения работы на экране входа. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию в ОС может отображаться кнопка завершения работы.
• Скрыть кнопку перезапуска. Да скрывает кнопку перезапуска на экране входа. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию в ОС может отображаться кнопка перезапуска.
• Скрыть кнопку спящего режима. Да скрывает кнопку спящего режима на экране входа. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию в ОС может отображаться кнопка спящего режима.
• Отключить вход пользователя из консоли. Да скрывает командную строку macOS, используемую для входа. Для обычных пользователей задайте для этого параметра значение Да. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить опытным пользователям выполнять вход с помощью командной строки macOS. Чтобы перейти в режим консоли, пользователи введите >console в поле Имя пользователя и должны пройти проверку подлинности в окне консоли.

Меню Apple

• Отключить завершение работы при входе в систему. Значение Да запрещает пользователям выбирать параметр Завершение работы после входа. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить пользователям выбирать пункт меню Завершение работы на устройствах.
• Отключить перезапуск при входе в систему. Значение Да запрещает пользователям выбирать параметр Перезапуск после входа. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить пользователям выбирать пункт меню Перезапуск на устройствах.
• Отключить питание при входе в систему. Значение Да запрещает пользователям выбирать параметр Выключение питания после входа. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить пользователям выбирать пункт меню Выключение питания на устройствах.
• Отключить выход при входе в систему (macOS 10.13 и более поздних версий). Значение Да запрещает пользователям выбирать параметр Выйти из системы после входа. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить пользователям выбирать пункт меню Выход на устройствах.
• Отключить экран блокировки при входе в систему (macOS 10.13 и более поздних версий). Значение Да запрещает пользователям выбирать параметр Экран блокировки после входа. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить пользователям выбирать пункт меню "Экран блокировки " на устройствах.

Единый вход

Параметры применяются к: Регистрация устройств, Автоматическая регистрация устройств (защищенное)

• Microsoft Entra атрибут имени пользователя: Intune ищет этот атрибут для каждого пользователя в Microsoft Entra ID. Intune затем заполняет соответствующее поле, например имя участника-пользователя, перед созданием XML-кода, установленного на устройствах. Доступны следующие параметры:

  • Не настроено: Intune не изменяет или не обновляет этот параметр. По умолчанию ОС запрашивает у пользователей имя участника Kerberos при развертывании профиля на устройствах. Для установки профилей единого входа mdm требуется имя субъекта.

  • Имя участника-пользователя. Имя участника-пользователя (UPN) анализируется следующим образом:

    

    Вы также можете перезаписать область текстом, который вы вводите в текстовое поле Область .

    Например, у Contoso есть несколько регионов, включая Европу, Азию и Северная Америка. Компания Contoso хочет, чтобы пользователи в Азии использовали единый вход, а приложению требуется имя участника-пользователя в username@asia.contoso.com формате . При выборе имени участника-пользователя область для каждого пользователя берется из Microsoft Entra ID, то есть contoso.com. Поэтому для пользователей в Азии выберите Имя участника-пользователя и введите asia.contoso.com. Имя участника-пользователя становится username@asia.contoso.com, а не username@contoso.com.

  • Intune идентификатор устройства: Intune автоматически выбирает идентификатор устройства Intune. По умолчанию:

    • Приложения должны использовать только идентификатор устройства. Но если приложение использует область и идентификатор устройства, введите область в текстовое поле Область .
    • Если используется идентификатор устройства, оставьте область пустой.

  • Azure AD идентификатор устройства: идентификатор устройства Microsoft Entra

  • Имя учетной записи SAM: Intune заполняет имя учетной записи локального диспетчера учетных записей безопасности (SAM).

• Область. Введите доменную часть URL-адреса. Например, введите contoso.com.

• URL-адреса. Добавьте все URL-адреса в организации, для которых требуется проверка подлинности пользователя с единым входом.

  Например, когда пользователь подключается к любому из этих сайтов, устройство iOS/iPadOS использует учетные данные единого входа. Пользователям больше не нужно вводить учетные данные. Если включена многофакторная проверка подлинности (MFA), пользователи должны ввести вторую проверку подлинности.

  Кроме того:

  • Эти URL-адреса должны иметь правильный формат FQDN. Apple требует, чтобы URL-адреса были в http://<yourURL.domain> формате .

  • Шаблоны сопоставления URL-адресов должны начинаться с или http://https://. Выполняется простое сопоставление строк, поэтому http://www.contoso.com/ префикс URL-адреса не соответствует http://www.contoso.com:80/. В iOS 10.0+ и iPadOS 13.0+ можно использовать один подстановочный знак * для ввода всех соответствующих значений. Например, http://*.contoso.com/ соответствует и http://store.contoso.com/http://www.contoso.com.

    http://.com Шаблоны и https://.com соответствуют всем URL-адресам HTTP и HTTPS соответственно.

• Приложения. Добавьте приложения на устройства пользователей, которые могут использовать единый вход.

  Массив AppIdentifierMatches должен содержать строки, соответствующие идентификаторам пакетов приложений. Эти строки могут быть точными совпадениями, например com.contoso.myapp, или ввести совпадение префикса в идентификаторе пакета с помощью * подстановочного знака. Подстановочный знак должен отображаться после символа точки (.) и может отображаться только один раз в конце строки, например com.contoso.*. При добавлении подстановочного знака любому приложению, идентификатор пакета которого начинается с префикса, предоставляется доступ к учетной записи.

  Используйте имя приложения , чтобы ввести понятное имя, которое поможет вам определить идентификатор пакета.

• Сертификат продления учетных данных. Если для проверки подлинности используются сертификаты (а не пароли), выберите существующий сертификат SCEP или PFX в качестве сертификата проверки подлинности. Как правило, этот сертификат является тем же сертификатом, который развертывается для пользователей для других профилей, таких как VPN, Wi-Fi или электронная почта.

Фильтр веб-содержимого

Параметры, применяемые к: Автоматическая регистрация устройств (защищенное)

Эти параметры используют параметры фильтра веб-содержимого Apple. Дополнительные сведения об этих параметрах см . на сайте Apple Platform Deployment (откроется веб-сайт Apple).

Тип фильтра. Выберите разрешение для определенных веб-сайтов. Доступны следующие параметры:

• Не настроено: Intune не изменяет или не обновляет этот параметр.

• Настройка URL-адресов. Используйте встроенный веб-фильтр Apple, который ищет термины для взрослых, включая ненормативную лексику и откровенный сексуальный язык. Этот параметр оценивает каждую веб-страницу по мере загрузки, а также определяет и блокирует неподходящее содержимое. Вы также можете добавить URL-адреса, которые не нужно проверять фильтром. Или заблокируйте определенные URL-адреса, независимо от параметров фильтра Apple.

  • Разрешенные URL-адреса. Добавьте URL-адреса, которые вы хотите разрешить. Эти URL-адреса обходят веб-фильтр Apple.

    Вводимые URL-адреса — это URL-адреса, которые вы не хотите оценивать с помощью веб-фильтра Apple. Эти URL-адреса не являются списком разрешенных веб-сайтов. Чтобы создать список разрешенных веб-сайтов, задайте для параметра Тип фильтразначение Только определенные веб-сайты.

  • Заблокированные URL-адреса. Добавьте URL-адреса, которые нужно запретить открывать, независимо от параметров веб-фильтра Apple.

• Только для определенных веб-сайтов (только для браузера Safari). Эти URL-адреса добавляются в закладки браузера Safari. Пользователям разрешено посещать только эти сайты; другие сайты не могут быть открыты. Используйте этот параметр, только если вы знаете точный список URL-адресов, к которым пользователи могут получить доступ.

  • URL-адрес: введите URL-адрес веб-сайта, который вы хотите разрешить. Например, введите https://www.contoso.com.
  • Путь к закладке. Apple изменила этот параметр. Все закладки переходят в папку Разрешенные сайты . Закладки не попадают в путь закладки, который вы вводите.
  • Заголовок: введите описательное название для закладки.

  Если вы не вводите URL-адреса, пользователи не смогут получить доступ к веб-сайтам, кроме microsoft.com, microsoft.netи apple.com. Intune автоматически разрешает эти URL-адреса.

Данная функция применяется к:

• iOS 13.0 и более поздние версии.
• iPadOS 13.0 и более поздние версии.

Параметры применяются к: Все типы регистрации

Данная функция применяется к:

• macOS 10.15 или более поздней версии.

Параметры применяются к: Регистрация устройств, утвержденная пользователем, и Автоматическая регистрация устройств

Все приложения, использующие приложение Microsoft Authenticator для проверки подлинности, по-прежнему получают единый вход с подключаемым модулем единого входа Майкрософт Enterprise для устройств Apple. Дополнительные сведения см. в статье Использование подключаемого модуля единого входа Майкрософт Enterprise на устройствах iOS/iPadOS.

Дополнительные сведения см. в статье Использование подключаемого модуля единого входа Майкрософт Enterprise на устройствах macOSOS.

• Включить режим общего устройства. Выберите Да, если вы развертываете подключаемый модуль единого входа Майкрософт Enterprise на устройствах iOS/iPadOS, настроенных для Microsoft Entra режиме общего устройства. Устройства в режиме общего доступа позволяют многим пользователям глобально входить в приложения, поддерживающие режим общего устройства, и выходить из него. Если задано значение Не настроено, Intune не изменяет или не обновляет этот параметр. По умолчанию устройства iOS/iPadOS не предназначены для совместного использования несколькими пользователями.

  Дополнительные сведения о режиме общего устройства и его включении см. в статье Общие сведения о режиме общего устройства.

  Этот параметр применяется к:

  • iOS/iPadOS 13.5 и более поздней версии

• iOS 13.0+ и iPadOS 13.0+

После успешного входа пользователей в приложение Authenticator им не будет предложено войти в другие приложения, использующие расширение единого входа. При первом открытии управляемых приложений, которые не используют расширение единого входа, пользователям будет предложено выбрать учетную запись, в которую выполнен вход.

• macOS Catalina 10.15 и более поздней версии

• Блокировать изменение пароля. Значение Да запрещает пользователям изменять пароли, используемые для входа в введенные вами домены. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить изменение пароля.

• Включить локальную синхронизацию паролей. Выберите Да, чтобы синхронизировать локальные пароли пользователей с Microsoft Entra ID. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может отключить синхронизацию паролей с Microsoft Entra ID.

  Используйте этот параметр в качестве альтернативы или резервного копирования для единого входа. Этот параметр не работает, если пользователи вошли в систему с помощью мобильной учетной записи Apple.

• Задержка настройки расширения Kerberos. Если задано значение Да, пользователю не будет предложено настроить расширение Kerberos, пока администратор не включит это расширение или не будет получен запрос Kerberos. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может сразу же предложить пользователю настроить расширение Kerberos.

  Этот параметр применяется к:

  • macOS 11 и более поздней версии

• Разрешить стандартные служебные программы Kerberos. Если задано значение Да, расширение Kerberos позволяет любым приложениям, введенным с идентификатором пакета приложений, управляемым приложениям и стандартным служебным программам Kerberos, таким как TicketViewer и klist, получать доступ к учетным данным и использовать их. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может не разрешать перечисленным приложениям доступ к учетным данным и их использование.

  Этот параметр применяется к:

  • macOS 12 или более поздних версий

• Запрос учетных данных. Если задано значение Да, учетные данные запрашивается при следующем сопоставлении запроса Kerberos или изменении состояния сети. Когда срок действия учетных данных истек или отсутствует, создаются новые учетные данные. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может не запрашивать новые учетные данные.

  Этот параметр применяется к:

  • macOS 12 или более поздних версий

• Требовать подключения LDAP для TLS. Если задано значение Да, подключения LDAP требуются для использования протокола TLS. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может не требовать подключения LDAP для использования TLS.

  Этот параметр применяется к:

  • macOS 11 и более поздней версии

• Требовать сложность пароля Active Directory. Выберите Да , чтобы принудительно использовать пароли пользователей в соответствии с требованиями к сложности паролей Active Directory. На устройствах этот параметр отображает всплывающее окно с проверка полями, чтобы пользователи видели, что выполняют требования к паролю. Это помогает пользователям узнать, что им нужно ввести для пароля. Дополнительные сведения см. в статье Пароль должен соответствовать требованиям к сложности. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может не требовать, чтобы пользователи соответствовали требованиям к паролю Active Directory.

• Минимальная длина пароля. Введите минимальное количество символов, которые могут создавать пароли пользователей. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может не применять минимальную длину пароля для пользователей.

• Ограничение на повторное использование паролей. Введите количество новых паролей от 1 до 24, которые используются, пока предыдущий пароль не будет повторно использован в домене. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может не применять ограничение на повторное использование пароля.

• Минимальный срок действия пароля (в днях): введите количество дней, в течение которых пароль используется в домене, прежде чем пользователи смогут изменить его. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может не применять минимальный возраст паролей, прежде чем их можно будет изменить.

• Уведомление об истечении срока действия пароля (в днях): введите число дней до истечения срока действия пароля, в течение которого пользователи получат уведомление об истечении срока действия пароля. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может использовать 15 дни.

• Срок действия пароля (в днях): введите число дней, в течение которых пароль устройства должен измениться. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию срок действия паролей операционной системы может никогда не истек.

• URL-адрес изменения пароля. Введите URL-адрес, который открывается при запуске смены пароля.

• Пользовательское имя пользователя: введите текст, заменяющий имя пользователя, указанное в расширении. Вы можете ввести имя, соответствующее названию вашей компании или организации. Например, можно ввести Contoso.

  Этот параметр применяется к:

  • macOS 11 и более поздней версии

• Использование расширения Kerberos. Выберите, как другие процессы используют учетные данные расширения Kerberos. Доступны следующие параметры:

  • Всегда: учетные данные расширения всегда используются, если имя субъекта-службы указано в разделе Домены. Он не используется, если вызывающее приложение не указано в списке Идентификаторы пакетов приложений.
  • Если не указано: учетные данные расширения используются только в том случае, если вызывающая служба не вводит другие учетные данные, а имя субъекта-службы указано в разделе Домены. Он не используется, если вызывающее приложение не указано в списке Идентификаторы пакетов приложений.
  • Kerberos по умолчанию: Intune не изменяет или не обновляет этот параметр. По умолчанию ОС использует стандартные процессы Kerberos для выбора учетных данных. Этот параметр совпадает с тем, что этот параметр не настраивается.

  Этот параметр применяется к:

  • macOS 11 и более поздней версии

• Сообщение о требованиях к паролю. Введите текстовую версию требований к паролю вашей организации, которая отображается пользователям. В сообщении показано, не требуются ли требования к сложности пароля Active Directory или не вводится минимальная длина пароля.

  Если задано значение Да, все существующие учетные записи пользователей очищаются с устройств. Чтобы избежать потери данных или предотвратить сброс к заводским настройкам, убедитесь, что вы понимаете, как этот параметр изменяет устройства.

  Дополнительные сведения о режиме общего устройства см. в статье Обзор режима общего устройства.

• Предпочтительный KDCs. Введите центры распространения ключей (KDCs), которые будут использоваться для трафика Kerberos в порядке предпочтения. Этот список используется, если серверы недоступны для обнаружения с помощью DNS. Если серверы доступны для обнаружения, список используется как для проверок подключения, так и для трафика Kerberos. Если серверы не отвечают, устройство использует обнаружение DNS.

  Этот параметр применяется к:

  • macOS 12 или более поздних версий

Фоновый рисунок

При назначении профиля без изображения устройствам, на которых уже есть образ, может возникнуть непредвиденное поведение. Например, вы создаете профиль без образа и назначаете его устройствам, на которых уже есть образ. В этом сценарии образ может измениться на значение по умолчанию устройства, или исходный образ может остаться на устройстве. Платформа MDM Apple контролирует и ограничивает это поведение.

Параметры, применяемые к: Автоматическая регистрация устройств (защищенное)

• Расположение отображения обоев. Выберите расположение на устройствах, где отображается изображение. Доступны следующие параметры:
  • Не настроено: Intune не изменяет или не обновляет этот параметр. Пользовательское изображение не добавляется на устройства. По умолчанию ОС может задать собственный образ.
  • Экран блокировки: добавляет изображение на экран блокировки.
  • Начальный экран: добавляет изображение на начальный экран.
  • Экран блокировки и начальный экран. Использует одно и то же изображение на экране блокировки и начальном экране.
• Изображение обои. Загрузите существующее .png, .jpg или .jpeg изображение, которое вы хотите использовать. Убедитесь, что размер файла меньше 750 КБ. Вы также можете удалить добавленное изображение.