Condividi tramite

Guida end-to-end per iniziare a usare gli endpoint macOS

  • Articolo

Usando Microsoft Intune, è possibile gestire e proteggere gli endpoint macOS di proprietà dell'organizzazione o dell'istituto di istruzione. Quando l'utente o l'organizzazione gestisce i dispositivi, è possibile distribuire le app necessarie agli utenti finali, configurare le funzionalità del dispositivo desiderate e usare criteri che consentono di proteggere i dispositivi &'organizzazione dalle minacce.

Questo articolo si applica a:

  • Dispositivi macOS di proprietà dell'organizzazione

Questo articolo è una guida end-to-end che consente di iniziare a usare gli endpoint macOS. Si concentra su:

  • Endpoint gestiti con Apple Business Manager o Apple School Manager
  • Dispositivi registrati in Intune con registrazione automatica dei dispositivi con affinità utente. L'affinità utente viene in genere usata per i dispositivi con un utente primario.

Questo articolo illustra i passaggi end-to-end per creare e gestire gli endpoint macOS usando Microsoft Intune.

Come usare questa guida

Questa guida ha sette fasi. Ogni fase include un set di passaggi che consentono di compilare la configurazione e la distribuzione dell'endpoint macOS. Ogni fase si basa sulla fase precedente.

Diagramma che riepiloga tutte le fasi di onboarding dei dispositivi macOS, inclusi test, registrazione, protezione, distribuzione dei criteri e supporto dei dispositivi tramite Microsoft Intune

Completare le fasi e i passaggi in ordine. Le fasi includono:

Alla fine di questa guida si ha un endpoint macOS registrato in Intune e pronto per iniziare a eseguire la convalida negli scenari.

Fase 1: configurare l'ambiente

Prima di compilare il primo endpoint macOS, sono presenti alcuni requisiti e funzionalità di configurazione configurati.

In questa fase si verificano i requisiti, si integrano Intune con Apple Business Manager (o Apple School Manager), si configurano alcune funzionalità e si aggiungono alcune app a Intune.

Diagramma che elenca i passaggi per configurare l'ambiente per supportare i dispositivi macOS in Microsoft Intune, inclusi i requisiti netowrk, i certificati, la configurazione dell'accesso Single Sign-On e altro ancora

Passaggio 1 - Requisiti di rete

Configurare la rete

Per preparare e distribuire correttamente l'endpoint macOS, l'endpoint richiede l'accesso a diversi servizi Internet pubblici.

  • Avviare i test in una rete aperta. In alternativa, nella rete dell'organizzazione fornire l'accesso a tutti gli endpoint elencati in Endpoint di rete per Microsoft Intune. È quindi possibile usare la rete dell'organizzazione per testare la configurazione.

  • Se la rete wireless richiede certificati, è possibile iniziare con una connessione Ethernet durante i test. La connessione Ethernet offre tempo per determinare l'approccio migliore per le connessioni wireless necessarie ai dispositivi.

Attenzione

L'ispezione SSL può causare errori di accesso ai servizi Microsoft e Apple. Per altre informazioni sui requisiti di Apple, vedere Usare i prodotti Apple nelle reti aziendali.

Passaggio 2 - Registrazione e licenze

Creare un nuovo gruppo, configurare le restrizioni di registrazione e assegnare licenze

Per preparare gli endpoint per la registrazione, è necessario assicurarsi che gli endpoint corretti siano destinati e che gli endpoint siano concessi in licenza correttamente.

In particolare:

  • Creare un nuovo gruppo

    Creare un nuovo gruppo di test Microsoft Entra, ad esempio Intune utenti MDM. Aggiungere quindi account utente di test a questo gruppo. Per limitare gli utenti che possono registrare i dispositivi durante la configurazione, impostare come destinazione le configurazioni per questo gruppo.

    Per creare un gruppo Microsoft Entra, usare l'interfaccia di amministrazione Intune. Quando si crea un gruppo in Intune, si crea un gruppo Entra. Non viene visualizzato il marchio Entra, ma è quello che si sta usando.

    Per altre informazioni, vedere Creare un gruppo per gestire gli utenti in Intune.

  • Restrizioni di registrazione

    Le restrizioni di registrazione consentono di controllare i tipi di dispositivi che possono essere registrati nella gestione Intune. Affinché questa guida abbia esito positivo, in una restrizione di registrazione, verificare che sia consentita la registrazione macOS (MDM), ovvero la configurazione predefinita. Assegnare questa restrizione di registrazione al nuovo gruppo creato.

    Se necessario o desiderato, è anche possibile impedire la registrazione di dispositivi specifici.

    Per informazioni sulla configurazione delle restrizioni di registrazione, vedere Impostare le restrizioni di registrazione in Microsoft Intune.

  • Licenze

    Gli utenti che registrano dispositivi macOS richiedono una licenza Microsoft Intune o Microsoft Intune per Education. Per assegnare licenze, passare a Assegna licenze Microsoft Intune. Assegnare le licenze agli account di test creati.

    Nota

    Entrambi i tipi di licenze sono in genere inclusi nei bundle di licenza, ad esempio Microsoft 365 E3 (o A3) e versioni successive. Per altre informazioni, vedere Confrontare Microsoft 365 Enterprise piani.

Passaggio 3- Aggiungere il certificato MDM Apple

Aggiungere il certificato push con un ID Apple gestito

  • Per gestire i dispositivi macOS, Apple richiede che il tenant Intune sia configurato con un certificato push MDM. Se attualmente si gestiscono dispositivi iOS/iPadOS nello stesso tenant, questo passaggio viene eseguito.

  • Assicurarsi di usare un ID Apple gestito con l'istanza di Apple Business Manager (o Apple School Manager).

    Non usare un ID Apple personale. La gestione del certificato del servizio di notifica push Apple è fondamentale per tutta la durata della soluzione di gestione dei dispositivi. L'accesso con un ID Apple personale può diventare non disponibile, in quanto il personale cambia nel tempo.

Per informazioni sulla configurazione di un certificato push MDM Apple, vedere Ottenere un certificato push MDM Apple per Intune.

Passaggio 4: Aggiungere il token di registrazione automatica del dispositivo Apple

Collegare il token Apple per la registrazione automatica dei dispositivi

Per gestire i dispositivi registrati tramite Apple Business Manager (o Apple School Manager), è necessario configurare un token MDM e collegare il token con Intune.

Questo token è necessario per la registrazione automatica del dispositivo (ADE) in Intune. Token:

  • Consente Intune di sincronizzare le informazioni sul dispositivo ADE dall'account Apple Business Manager (o Apple School Manager).
  • Consente Intune di caricare i profili di registrazione in Apple.
  • Consente Intune di assegnare i dispositivi a tali profili.

Se attualmente si gestiscono dispositivi iOS/iPadOS nello stesso tenant usando ADE, alcuni di questi passaggi potrebbero essere eseguiti.

Per informazioni sulla configurazione di Apple Business Manager con Intune, vedere Registrare i dispositivi macOS - Apple Business Manager o Apple School Manager.

I passaggi generali per configurare Apple Business Manager (o Apple School Manager) con Intune sono:

  1. Connettersi Intune ad Apple Business Manager (o Apple School Manager).
  2. In Intune creare profili ADE per il token di Apple Business Manager.
  3. In Apple Business Manager assegnare i dispositivi al Intune MDM.
  4. In Intune assegnare i profili ADE ai dispositivi macOS.

Passaggio 5 - Dispositivi di destinazione

Gruppi specifici di destinazione che usano gruppi di utenti, filtri Intune o gruppi dinamici

I dispositivi macOS con affinità utente possono essere destinati a profili e app che usano gruppi di utenti o dispositivi. Esistono due opzioni comuni per il modo in cui le organizzazioni hanno come destinazione dinamicamente i dispositivi:

  • Opzione 1: tutti i dispositivi vengono raggruppati con un filtro di assegnazione in enrollmentProfileName

    Per le app e i criteri critici che devono essere applicati immediatamente dopo la registrazione (impostazioni di sicurezza, restrizioni, app Portale aziendale), è possibile assegnare i criteri al gruppo predefinito Intune Tutti i dispositivi. Creare un filtro di assegnazione usando il profilo di registrazione creato nel passaggio 4- Aggiungere il token di registrazione automatica del dispositivo Apple.

    I criteri e le app destinati al gruppo Tutti i dispositivi vengono applicati più velocemente dopo la registrazione rispetto ai gruppi dinamici. Non tutti i profili di configurazione (ad esempio gli script macOS) supportano i filtri.

    Per altre informazioni sui filtri di assegnazione, vedere Creare filtri in Microsoft Intune.

  • Opzione 2: Microsoft Entra gruppo dinamico basato su enrollmentProfileName

    Per limitare le configurazioni di questa guida ai dispositivi di test importati tramite Apple Business Manager, creare un gruppo di Microsoft Entra dinamico. È quindi possibile indirizzare tutte le configurazioni e le app a questo gruppo.

    1. Aprire l'interfaccia di amministrazione Microsoft Intune.

    2. Selezionare Gruppi>Nuovo gruppo e immettere i dettagli seguenti:

      • Tipo di gruppo: selezionare Sicurezza.
      • Nome gruppo: immettere gli endpoint macOS.
      • Tipo di appartenenza: selezionare Dispositivo dinamico.

    3. Per Membri del dispositivo dinamico selezionare Aggiungi query dinamica e immettere le proprietà seguenti:

      • Proprietà: selezionare enrollmentProfileName.
      • Operatore: selezionare uguale a.
      • Valore: immettere il nome del profilo di registrazione.

    4. Selezionare OK>Salva>crea.

    Quando si creano app e criteri, è possibile assegnare i criteri a questo nuovo gruppo di Microsoft Entra dinamico.

    Nota

    Dopo aver apportato modifiche, il popolamento dei gruppi dinamici può richiedere alcuni minuti. Nelle organizzazioni di grandi dimensioni può richiedere più tempo. Dopo aver creato un nuovo gruppo, attendere alcuni minuti prima di verificare se il dispositivo è un membro del gruppo.

    Per altre informazioni sui gruppi dinamici per i dispositivi, vedere Regole di appartenenza dinamica per i gruppi in Microsoft Entra ID: Regole per i dispositivi.

Passaggio 6: Configurare le impostazioni iniziali e l'accesso Single Sign-On (SSO)

Ottimizzare l'esperienza di prima esecuzione

Usando Intune, è possibile ottimizzare la prima esperienza di esecuzione usando le impostazioni predefinite all'interno del profilo di registrazione di AdE. In particolare, quando si crea il profilo di registrazione, è possibile:

  • Preconfigurare le informazioni sull'utente finale in Assistente configurazione.
  • Usare la funzionalità di configurazione finale Await . Questa funzionalità impedisce agli utenti finali di accedere al contenuto con restrizioni o modificare le impostazioni fino a quando non vengono applicati i criteri di configurazione del dispositivo Intune.

Per altre informazioni su questa funzionalità e la registrazione ad ADE, vedere Registrare automaticamente i Mac con Apple Business Manager o Apple School Manager.

Ridurre i prompt di accesso all'app con SSO

In Intune è possibile configurare impostazioni che riducono il numero di richieste di accesso che gli utenti finali ricevono quando usano le app, incluse le app di Microsoft 365. Questa configurazione include due parti:

  • Parte 1: usare il plug-in SSO di Microsoft Enterprise per fornire l'accesso Single Sign-On (SSO) ad app e siti Web che usano Microsoft Entra ID per l'autenticazione, incluse le app di Microsoft 365.

    Sono disponibili due opzioni per configurare l'accesso Single Sign-On per Mac - Plug-in Enterprise SSO e Platform SSO.

    Il plug-in SSO di Microsoft Enterprise per dispositivi Apple fornisce l'accesso Single Sign-On (SSO) per gli account Microsoft Entra in macOS in tutte le applicazioni che supportano la funzionalità Enterprise Single Sign-On di Apple.

    Per creare questi criteri, nell'interfaccia di amministrazione Intune passare a:

    • Dispositivi > Gestisci dispositivi > Configurazione > Crea > nuovi criteri > Impostazioni catalogo > Autenticazione > Extensible Single Sign On (SSO):Aggiungere e configurare le impostazioni seguenti:

      Nome Configurazione
      Identificatore di estensione com.microsoft.CompanyPortalMac.ssoextension
      Identificatore del team UBF8T346G9
      Tipo Reindirizzare
      URL https://login.microsoftonline.com
      https://login.microsoft.com
      https://sts.windows.net
      https://login.partner.microsoftonline.cn
      https://login.chinacloudapi.cn
      https://login.microsoftonline.us
      https://login-us.microsoftonline.com

    • Configurare le impostazioni facoltative seguenti:

      Chiave Tipo Valore
      AppPrefixAllowList Stringa com.apple.,com.microsoft
      browser_sso_interaction_enabled Numero intero 1
      disable_explicit_app_prompt Numero intero 1

    Per altre informazioni sul plug-in Enterprise SSO, incluso come creare i criteri, vedere Configurare il plug-in SSO di macOS Enterprise con Intune.

  • Parte 2: usare il catalogo delle impostazioni di Intune per configurare le impostazioni seguenti che riducono i prompt di accesso, inclusi Microsoft AutoUpdate (MAU) e Microsoft Office.

    • Dispositivi > Gestisci dispositivi > Configurazione > Crea > nuovo catalogo > impostazioni criteri > Microsoft AutoUpdate (MAU):Aggiungere e configurare le impostazioni seguenti:

    • Dispositivi > Gestire i dispositivi Configurazione Crea nuovo catalogo > impostazioni criteri > Microsoft Office > Microsoft Office: Aggiungere e configurare le impostazioni seguenti:>>>

      • Indirizzo Email attivazione di Office: immettere {{userprincipalname}}.
      • Abilita accesso automatico: selezionare True.

      Queste impostazioni semplificano il processo di accesso quando si aprono le app di Office per la prima volta. Per altre informazioni su queste impostazioni, vedere Impostare le preferenze a livello di suite per Office per Mac.

    Per altre informazioni sul catalogo delle impostazioni, incluso come creare un criterio, vedere Usare il catalogo delle impostazioni per configurare le impostazioni in Microsoft Intune.

Passaggio 7 - Aggiungere e assegnare app must-have

Aggiungere un set minimo di app a Intune

L'organizzazione potrebbe avere alcune app che i dispositivi macOS devono avere. L'organizzazione può richiedere l'installazione di queste app in tutti i dispositivi gestiti da Intune.

In questo passaggio aggiungere queste app a Intune e assegnarle al gruppo.

Alcune app must-have includono:

Fase 2: registrare un endpoint di test

La fase successiva registra un dispositivo macOS di test in Intune. Questa fase consente di acquisire familiarità con i passaggi iniziali in modo da essere pronti quando è il momento di registrare tutti i dispositivi macOS in Intune.

Diagramma che elenca i passaggi per registrare un dispositivo macOS di test usando Microsoft Intune, tra cui la registrazione di un dispositivo, l'assegnazione di un profilo e altro ancora

Per registrare il primo endpoint macOS dell'organizzazione, assicurarsi che il dispositivo macOS sia:

I passaggi generali per registrare il primo endpoint macOS con Intune sono:

  1. Cancellare o reimpostare l'endpoint macOS. Questo passaggio è necessario per i dispositivi esistenti. Se si registra un dispositivo macOS già configurato, il dispositivo viene considerato un dispositivo personale. È quindi necessario cancellare o reimpostare il dispositivo prima di registrarlo in Intune.

    Per i nuovi dispositivi non configurati, è possibile ignorare questo passaggio. Se non si è certi che il dispositivo sia configurato, reimpostare il dispositivo.

  2. Passare all'Assistente configurazione.

  3. Aprire l'app Portale aziendale e accedere con l'account dell'organizzazione (user@contoso.com).

Quando l'utente accede, si applicano i criteri di registrazione. Al termine, l'endpoint macOS viene registrato in Intune.

Fase 3: proteggere gli endpoint macOS

In questa fase vengono configurate le impostazioni di sicurezza e le funzionalità che consentono di proteggere gli endpoint, tra cui mantenere aggiornati i dispositivi con gli aggiornamenti.

Diagramma che elenca i passaggi per proteggere i dispositivi macOS usando criteri di conformità, aggiornamenti software e altro ancora in Microsoft Intune

Questa sezione è incentrata sulle diverse funzionalità di sicurezza degli endpoint in Microsoft Intune, tra cui:

  • Criteri di conformità e accesso condizionale
  • Microsoft Defender per endpoint
  • Sicurezza degli endpoint FileVault, Firewall e Gatekeeper
  • Aggiornamenti software
  • Account guest
  • Accesso inattivo
  • Utilità di valutazione Mac

Criteri di conformità e accesso condizionale

Creare criteri di conformità e applicare la conformità con l'accesso condizionale

  • I criteri di conformità verificano le impostazioni del dispositivo configurate e possono correggere alcune impostazioni non conformi. Ad esempio, è possibile creare criteri di conformità che controllano la complessità delle password, lo stato jailbroken, i livelli di minaccia, lo stato di registrazione e altro ancora.

    Se sono presenti impostazioni di configurazione in conflitto tra i criteri di conformità e altri criteri, i criteri di conformità hanno la precedenza. Per altre informazioni, vedere Conformità e criteri di configurazione dei dispositivi in conflitto.

  • L'accesso condizionale può essere usato per applicare i criteri di conformità creati. Se combinati, agli utenti finali può essere richiesto di registrare i propri dispositivi e soddisfare uno standard di sicurezza minimo prima di accedere alle risorse dell'organizzazione. Se un dispositivo non è conforme, è possibile bloccare l'accesso alle risorse, ad esempio la posta elettronica, o richiedere all'utente di registrare il dispositivo e risolvere il problema.

Nota

Per verificare di applicare i controlli del dispositivo appropriati, collaborare con il team che gestisce i criteri di accesso condizionale di Entra.

È possibile creare criteri di conformità e accesso condizionale nell'interfaccia di amministrazione Intune.

Per altre informazioni, vedere:

Microsoft Defender per endpoint

Usare Microsoft Defender per endpoint per la difesa dalle minacce

Microsoft Defender per endpoint è una soluzione di difesa dalle minacce per dispositivi mobili che consente di proteggere i dispositivi dalle minacce alla sicurezza.

In Intune è possibile connettersi al servizio Microsoft Defender per endpoint, creare criteri di Intune usando le impostazioni di Microsoft Defender per endpoint e quindi distribuire i criteri nei dispositivi.

Per altre informazioni, vedere:

Sicurezza degli endpoint incorporata

Crittografare i dispositivi con crittografia del disco FileVault

FileVault è una funzionalità di crittografia su disco intero che consente di impedire l'accesso non autorizzato. Le impostazioni di FileVault sono integrate nel catalogo delle impostazioni di Intune e sono disponibili come criteri di conformità.

È quindi possibile configurare FileVault, verificare la conformità e distribuire i criteri nei dispositivi.

Per creare questi criteri, nell'interfaccia di amministrazione Intune passare a:

  • Dispositivi > Gestire i dispositivi > Configurazione > Crea > nuovi criteri > Impostazioni catalogo > Crittografia dischi completi
  • Dispositivi > Gestire i dispositivi > Conformità > Creare criteri > Sicurezza > del sistema Richiedere la crittografia dell'archiviazione dati nel dispositivo

Per altre informazioni su FileVault, vedere:

Configurare il firewall

Il firewall è un firewall dell'applicazione e consente di evitare attacchi in ingresso. Le impostazioni del firewall sono integrate nel catalogo delle impostazioni di Intune e sono disponibili come criteri di conformità.

È quindi possibile configurare il firewall, verificare la conformità e distribuire i criteri nei dispositivi.

Per creare questi criteri, nell'interfaccia di amministrazione Intune passare a:

  • Dispositivi > Gestire i dispositivi > Configurazione > Crea > nuovo catalogo impostazioni criteri>:

    • Firewall di rete >
    • Preferenze di sicurezza >

  • Dispositivi > Gestire i dispositivi > Conformità > Creare criteri > Firewall di sicurezza del > sistema

Per altre informazioni sul firewall macOS, vedere:

Configurare Gatekeeper

Gatekeeper assicura che nel dispositivo venga eseguito solo il software attendibile. Le impostazioni di Gatekeeper sono integrate nel catalogo delle impostazioni di Intune e sono disponibili come criteri di conformità.

È quindi possibile configurare Gatekeeper, verificare la conformità e distribuire i criteri nei dispositivi.

Per creare questi criteri, nell'interfaccia di amministrazione Intune passare a:

  • Dispositivi > Gestire i dispositivi > Configurazione > Crea >nuovi criteri> Impostazioni catalogo > Criteri di sistema > Controllo dei criteri di sistema:

    • Consenti sviluppatore identificato: selezionare True.
    • Abilita valutazione: selezionare True.

  • Dispositivi > Gestire i dispositivi > Configurazione > Creare >nuovi criteri> Impostazioni catalogo > Criteri di sistema Criteri di sistema > gestiti:

    • Disabilita override: selezionare True.

  • Dispositivi > Gestire i dispositivi > Conformità > Creare criteri > Di sicurezza del > sistema Gatekeeper

Per altre informazioni su Gatekeeper, vedere:

Aggiornamenti software

Configurare software Aggiornamenti

Nei dispositivi, gli aggiornamenti software sono critici ed è necessario determinare come vengono installati gli aggiornamenti. Sono disponibili alcune opzioni.

Quando si configurano queste impostazioni, è necessario applicare e limitare il comportamento nel nodo Aggiornamento software dell'app >Impostazioni nel dispositivo.

  • Opzione 1 - macOS 14.0 e dispositivi più recenti (scelta consigliata): nei dispositivi macOS 14.0 e versioni successive usare il catalogo delle impostazioni di Intune per creare un criterio di aggiornamento software gestito. Questa funzionalità usa la gestione dichiarativa dei dispositivi (DDM) di Apple ed è l'approccio consigliato per aggiornare i dispositivi macOS.

    In particolare, nell'interfaccia di amministrazione Intune configurare le impostazioni seguenti:

    • Dispositivi > Gestire i dispositivi > Configurazione > Crea > nuovo catalogo > impostazioni criteri > Aggiornamento software dichiarativo Gestione dispositivi >

    • Facoltativo: in Dispositivi > Gestisci dispositivi > Configurazione > Crea > nuove impostazioni dei > criteri Restrizioni del catalogo>, è possibile usare le impostazioni seguenti per ritardare il tempo dopo il rilascio di un aggiornamento per consentire agli utenti di installare manualmente gli aggiornamenti. Queste impostazioni usano le impostazioni MDM di Apple:

      • Aggiornamento software forzato Ritardo installazione posticipata del sistema operativo secondario: 0-30
      • Ritardo di installazione posticipata dell'aggiornamento software principale del sistema operativo: 0-30
      • Aggiornamento software applicato ritardo di installazione non posticipato del sistema operativo: 0-30

      Le impostazioni del catalogo > dichiarativo Gestione dispositivi > aggiornamento software hanno la precedenza sulle impostazioni Restrizioni catalogo > impostazioni. Per altre informazioni, vedere Criteri di precedenza delle impostazioni negli aggiornamenti macOS.

  • Opzione 2 - macOS 13.0 e versioni precedenti (scelta consigliata): nei dispositivi macOS 13.0 e versioni precedenti è possibile usare una combinazione del catalogo delle impostazioni di Intune e dei criteri di aggiornamento software Intune. Queste funzionalità usano le impostazioni MDM di Apple.

    In particolare, nell'interfaccia di amministrazione Intune è possibile configurare le impostazioni seguenti:

    • Dispositivi > Gestire gli aggiornamenti > Dei criteri aggiornamenti > di Apple per macOS

    • Dispositivi > Gestire i dispositivi > Configurazione > Crea > nuovo catalogo > impostazioni criteri > Aggiornamento software

    Alcune delle impostazioni in entrambi i tipi di criteri (aggiornamenti software e catalogo delle impostazioni) possono sovrapporsi. Prestare quindi attenzione a ciò che si configura in ogni criterio. Le impostazioni nei criteri di aggiornamento macOS hanno la precedenza sulle impostazioni di Aggiornamento software del catalogo > delle impostazioni. Per altre informazioni, vedere Criteri di precedenza delle impostazioni negli aggiornamenti macOS.

  • Opzione 3 (non consigliata): gli utenti finali installano manualmente gli aggiornamenti. Questo approccio si basa sugli utenti finali per decidere quando installare gli aggiornamenti. Inoltre, possono installare un aggiornamento che l'organizzazione non approva.

Per altre informazioni sulla pianificazione della strategia di aggiornamento macOS, vedere Guida alla pianificazione degli aggiornamenti software per i dispositivi macOS gestiti in Microsoft Intune.

Account guest

Disabilitare l'account guest

È consigliabile disabilitare l'account guest negli endpoint macOS. È possibile disabilitare l'account guest usando il catalogo delle impostazioni di Intune:

  • Dispositivi > Gestire i dispositivi > Configurazione > Crea > nuovi criteri > Impostazioni catalogo > Account > account:
    • Disabilita account guest: selezionare True.

Timeout di inattività

Impostare un timeout di inattività

Usando il catalogo delle impostazioni di Intune, è possibile controllare il periodo di tempo dopo l'inattività in cui macOS richiede una password:

  • Dispositivi > Gestire i dispositivi > Configurazione > Crea > nuovi criteri > Impostazioni catalogo > Configurazione > sistema Screensaver:

    • Richiedi password: selezionare True.
    • Tempo di inattività di Windows di accesso: immettere un valore simile 300a , ovvero 5 minuti.
    • Richiedi ritardo password: immettere un valore simile 5a .
    • Nome modulo: immettere il nome del modulo screensaver, ad esempio Flurry.

  • Dispositivi > Gestisci dispositivi > Configurazione > Crea > nuovo catalogo > impostazioni criteri > User Experience > Screensaver Utente:

    • Tempo di inattività: immettere un valore simile 300a , ovvero 5 minuti.
    • Nome modulo: immettere il nome del modulo screensaver, ad esempio Flurry.

  • Per i dispositivi desktop e portatili, sono disponibili impostazioni che consentono di risparmiare energia:

    Dispositivi > Gestire i dispositivi > Configurazione > Crea > nuovi criteri > Impostazioni catalogo > Configurazione > sistema Risparmio energia:

    • Timer di sospensione di Power > Display desktop
    • Timer di sospensione del display di alimentazione > della batteria del portatile
    • Timer di sospensione dello schermo di alimentazione > del portatile

Consiglio

Per trovare il nome del modulo screensaver, impostare lo screensaver, aprire l'app Terminale ed eseguire il comando seguente:

defaults -currentHost read com.apple.screensaver

Utilità di valutazione macOS

Usare l'utilità di valutazione macOS

L'utilità di valutazione Mac conferma che il Mac ha la configurazione e le impostazioni consigliate da Apple. Per accedere all'utilità di valutazione Mac, accedere a Apple Seed for IT (apre il sito Web di Apple).>

Fase 4- Applicare personalizzazioni specifiche dell'organizzazione

In questa fase si applicano le impostazioni e le app specifiche dell'organizzazione e si esamina la configurazione locale.

Diagramma che elenca alcune funzionalità per personalizzare i dispositivi macOS usando app, impostazioni del dispositivo, certificati e altro ancora usando Microsoft Intune

La fase consente di personalizzare tutte le funzionalità specifiche dell'organizzazione. Si notino i vari componenti di macOS. Sono disponibili sezioni per ognuna delle aree seguenti:

  • App
  • Configurazione del dispositivo per il dock, notifiche, file di preferenze & criteri personalizzati e sfondo
  • Nome dispositivo
  • Certificati
  • Wi-Fi

App

Aggiungere altre app a Intune

Nella fase 1- Configurare l'ambiente sono state aggiunte alcune app che i dispositivi devono avere. In questo passaggio aggiungere altre app che possono migliorare l'esperienza o la produttività dell'utente finale.

Configurazione dispositivo

Il catalogo delle impostazioni semplifica la creazione di un criterio e la visualizzazione di tutte le impostazioni disponibili. In diverse fasi e passaggi di questa guida si usa il catalogo delle impostazioni di Intune per configurare le funzionalità e le impostazioni dei dispositivi.

Ad esempio, è stato usato il catalogo delle impostazioni per configurare le aree di funzionalità seguenti:

  • Impostazioni del browser Microsoft Edge
  • Microsoft AutoUpdate
  • Microsoft Office
  • Aggiornamenti software
  • Esperienza utente

Esistono molte impostazioni del dispositivo che è possibile configurare usando il catalogo delle impostazioni, tra cui:

Darsena

  • Dispositivi > Gestisci dispositivi > Configurazione > Crea > nuovo catalogo > impostazioni criteri > Dock esperienza > utente

È anche possibile aggiungere o rimuovere elementi dal dock usando un esempio di shell del dock di GitHub - Microsoft Intune o strumenti della riga di comando del partner come GitHub - DockUtil.

Richieste di notifica

  • Dispositivi > Gestire la configurazione > dei dispositivi > Creare > un nuovo catalogo > di impostazioni dei criteri > Impostazioni notifiche esperienza > utente Impostazioni > di notifica

    È consigliabile immettere l'ID bundle per ogni applicazione per cui si desidera controllare le notifiche.

Per altre informazioni, vedere Impostazioni del payload MDM notifiche per i dispositivi Apple (apre il sito Web di Apple).

File di preferenze e criteri personalizzati

  • I file di preferenza definiscono le proprietà o le impostazioni dell'app che si desidera preconfigurare. Nel catalogo delle impostazioni Intune sono disponibili molte impostazioni predefinite per le app, ad esempio Microsoft Edge e Microsoft Office. Potrebbe quindi non essere necessario un file di preferenze.

    Microsoft consiglia di usare le impostazioni predefinite nel catalogo delle impostazioni. Se il catalogo delle impostazioni non include le impostazioni necessarie, aggiungere un file di preferenze a Intune.

    Per altre informazioni, vedere Aggiungere un file di elenco di proprietà ai dispositivi macOS usando Microsoft Intune

  • I profili personalizzati sono progettati per aggiungere impostazioni e funzionalità del dispositivo che non sono integrate in Intune.

    Microsoft consiglia di usare le impostazioni predefinite nel catalogo delle impostazioni. Se il catalogo delle impostazioni non include le impostazioni necessarie, usare un profilo personalizzato.

    Per altre informazioni, passare a profili personalizzati.

Sfondo

È possibile applicare uno sfondo in macOS usando una combinazione di uno script di esempio e il catalogo delle impostazioni:

  • Dispositivi > Gestisci dispositivi > Configurazione > Crea > nuovo catalogo > impostazioni criteri > Desktop esperienza > utente:
    • Eseguire l'override di Percorso immagine: 'Immettere il <percorso dell'immagine>'.

Il file di immagine deve esistere nell'endpoint macOS. Per scaricare un'immagine da un percorso Web, è possibile usare uno script di esempio in GitHub - Microsoft Intune esempio di shell dello sfondo. È anche possibile usare uno strumento di pacchetto dell'app per copiare un file e quindi distribuirlo usando la funzionalità di distribuzione PKG non gestita .

Nome dispositivo

Rinominare i dispositivi

Usando uno script della shell, è possibile rinominare i dispositivi in modo da includere informazioni specifiche, ad esempio il numero di serie del dispositivo combinato con il codice paese/area geografica.

Per altre informazioni, vedere GitHub - Script di Microsoft Shell per rinominare i dispositivi Mac.

Certificati

Aggiungere certificati per l'autenticazione basata su certificati

Se si usa l'autenticazione basata su certificati per un'esperienza senza password, è possibile usare Intune per aggiungere e distribuire certificati.

Per altre informazioni, vedere Tipi di certificato disponibili in Microsoft Intune.

Wi-Fi

Preconfigurare una connessione Wi-Fi

Usando Intune, è possibile creare una connessione Wi-Fi che includa le informazioni di rete e quindi distribuire la connessione ai dispositivi macOS. Se i dispositivi si connettono all'organizzazione tramite Wi-Fi, creare un criterio di connessione Wi-Fi.

Per altre informazioni, vedere Configurare le impostazioni di Wi-Fi per i dispositivi macOS in Microsoft Intune.

Fase 5 - Memorizzazione nella cache (facoltativo)

Esistono alcune funzionalità di memorizzazione nella cache che è possibile usare per ridurre la larghezza di banda di rete.

Diagramma che descrive l'uso della memorizzazione nella cache del contenuto e dell'app cache locale AutoUpdate nei dispositivi macOS tramite Microsoft Intune

Usare la memorizzazione nella cache del contenuto

Se si dispone di un numero elevato di dispositivi macOS o iOS/iPadOS nella rete, è possibile distribuire Apple Content Cache per ridurre la larghezza di banda Internet. Cache contenuto Apple può memorizzare nella cache il contenuto ospitato nei servizi Apple, ad esempio Software Aggiornamenti e app VPP.

Per altre informazioni, vedere Introduzione alla memorizzazione nella cache dei contenuti (apre il sito Web di Apple).

AutoUpdate local cache

Molte app Microsoft in macOS vengono aggiornate usando l'applicazione Microsoft AutoUpdate. Questa app può fare riferimento a un URL diverso per il contenuto.

È possibile usare la Amministrazione cache GitHub - Microsoft AutoUpdate per configurare una cache locale per Microsoft AutoUpdate.

Per altre informazioni, vedere GitHub - Microsoft AutoUpdate Cache Amministrazione.For more information, go to GitHub - Microsoft AutoUpdate Cache Amministrazione.

Fase 6: registrare gli endpoint macOS rimanenti

Finora è stata creata la configurazione e sono state aggiunte app. A questo punto è possibile registrare tutti gli endpoint macOS con criteri di registrazione automatica dei dispositivi usando Microsoft Intune.

Diagramma che indica di registrare tutti gli endpoint macOS con un criterio registrazione automatica dei dispositivi usando Microsoft Intune

Creare i criteri di registrazione automatica dei dispositivi

I criteri di registrazione vengono assegnati al nuovo gruppo. Quando i dispositivi ricevono i criteri di registrazione, viene avviato il processo di registrazione e vengono applicati i criteri di configurazione dell'app & creati.

Per altre informazioni sulla registrazione automatica dei dispositivi e per iniziare, vedere Registrare automaticamente i Mac con Apple Business Manager o Apple School Manager.

Fase 7: supporto, manutenzione e passaggi successivi

La fase finale consiste nel supportare e gestire i dispositivi macOS. Questa fase include l'uso di funzionalità Intune, ad esempio la Guida remota, il monitoraggio dei certificati Apple e altro ancora.

Diagramma che elenca i passaggi per supportare e gestire i dispositivi macOS, tra cui l'uso della Guida remota, l'aggiunta di attributi personalizzati e la configurazione di Apple Business Manager tramite Microsoft Intune

Intune gestisce i dispositivi macOS usando le funzionalità MDM del sistema operativo predefinito e l'agente IME (Intune Management Extension).

Questi due componenti offrono funzionalità separate e comunicano con il dispositivo macOS tramite canali diversi. La registrazione viene orchestrata tramite Apple Business Manager, MDM viene orchestrata tramite il servizio di notifica push Apple e l'IME comunica direttamente con Intune.

Diagramma che mostra come macOS MDM e l'estensione Managemnt Intune interagiscono per supportare la gestione dei dispositivi macOS tramite Microsoft Intune

Per altre informazioni sull'estensione di gestione Intune, vedere Informazioni sull'agente di gestione Microsoft Intune per macOS.

Manutenzione della registrazione macOS

Rinnovare i certificati Apple e sincronizzare i token ADE

Per consentire ai dispositivi Mac di mantenere la connessione a Intune e continuare la registrazione, è necessario archiviare periodicamente nella console diverse aree importanti e intervenire in base alle esigenze:

  • Scadenza del certificato del servizio di notifica push Apple

    Il certificato del servizio di notifica push di Apple deve essere rinnovato ogni anno. Alla scadenza di questo certificato, Intune non è in grado di gestire i dispositivi registrati con tale certificato. Assicurarsi di rinnovare il certificato ogni anno.

    Per altre informazioni, vedere Ottenere un certificato Apple MDM Push per Intune.

  • Scadenza del certificato Apple Automated Device Enrollment

    Quando si configura una connessione tra Apple Business Manager (o Apple School Manager) e Intune, viene usato un certificato. Questo certificato deve essere rinnovato ogni anno. Se questo certificato non viene rinnovato, le modifiche apportate da Apple Business Manager (o Apple School Manager) non possono essere sincronizzate con Intune.

    Per altre informazioni, vedere Registrare i dispositivi macOS - Apple Business Manager o Apple School Manager.

  • Stato di sincronizzazione della registrazione automatica dei dispositivi di Apple

    Apple sospende la sincronizzazione dei token ADE quando i termini e le condizioni vengono modificati in Apple Business Manager (o Apple School Manager). Possono cambiare dopo una versione principale del sistema operativo, ma possono verificarsi in qualsiasi momento.

    È consigliabile monitorare lo stato di sincronizzazione per eventuali problemi che richiedono attenzione.

    Per altre informazioni, vedere Sincronizzare i dispositivi gestiti.

Assistenza remota

Abilitare la Guida remota

Assistenza remota è una soluzione basata sul cloud per proteggere le connessioni all'help desk che usano controlli di accesso in base al ruolo. Con la connessione, il personale di supporto può connettersi in remoto ai dispositivi degli utenti finali.

Per altre informazioni, vedere:

Attributi personalizzati

Usare proprietà personalizzate per ottenere informazioni sulla creazione di report

In Intune è possibile usare script della shell per raccogliere proprietà personalizzate da dispositivi macOS gestiti. Questa funzionalità è un ottimo modo per ottenere informazioni sulla creazione di report personalizzate.

Per altre informazioni, vedere Usare gli script della shell nei dispositivi macOS in Microsoft Intune.

Configurare Apple Business Manager per il provisioning utenti automatico

Usare gli account utente Entra per l'amministrazione di ABM e gli ID Apple gestiti

Microsoft Entra ID può essere configurato per effettuare automaticamente il provisioning e il deprovisioning degli utenti ad Apple Business Manager (ABM) usando il servizio di provisioning Microsoft Entra.

Per altre informazioni, vedere Esercitazione: Configurare Apple Business Manager per il provisioning utenti automatico.