Compartilhar via


Guia de implantação: gerenciar dispositivos macOS no Microsoft Intune

Acesso seguro a emails, dados e aplicativos de trabalho em dispositivos macOS. Este artigo orienta você nas tarefas específicas do macOS para ajudá-lo a habilitar o gerenciamento de dispositivo móvel do Intune para macOS, a configurar políticas e a implantar aplicativos.

Pré-requisitos

Complete os seguintes pré-requisitos para habilitar o gerenciamento de dispositivo macOS no Intune:

Para obter informações sobre Microsoft Intune funções e permissões, veja RBAC com Microsoft Intune. As funções de Administrador Global e Administrador Intune Microsoft Entra têm direitos totais no Microsoft Intune. O Administrador Global tem mais permissões do que as necessárias para muitas tarefas de gestão de dispositivos no Microsoft Intune. Recomendamos que utilize a função com menos privilégios necessária para concluir tarefas. Por exemplo, a função com menos privilégios que pode concluir tarefas de inscrição de dispositivos é o Gestor de Políticas e Perfis, uma função de Intune incorporada.

Confira informações mais detalhadas sobre como fazer a configuração inicial, carregar ou fazer transferências para o Microsoft Intune no guia de Implantação da instalação do Intune.

Planeje sua implantação

Use o guia de Planejamento do Microsoft Intune para definir as metas de gerenciamento de dispositivo, os cenários de caso de uso e os requisitos. Ele também vai ajudá-lo a planejar a distribuição, a comunicação, o suporte, o teste e a validação. Por exemplo, como o aplicativo do Portal da Empresa para macOS não está disponível na App Store, é recomendável ter um plano de comunicação para que os usuários finais saibam como instalar o Portal da Empresa e registrar seus dispositivos.

Registrar dispositivos

Configure os métodos de registro e a experiência para os dispositivos macOS pessoais e os de propriedade da empresa. Esta etapa garante que os dispositivos recebam as políticas e as configurações do Intune depois de se registrarem. O Intune dá suporte ao registro BYOD (Traga seu próprio dispositivo), ao registro de dispositivo automatizado da Apple e ao registro direto para dispositivos corporativos. Para obter informações sobre cada método de registro e como escolher o ideal para sua organização, confira o Guia de registro de dispositivo macOS para Microsoft Intune.

Tarefa Detalhe
Configurar o registro de dispositivos de propriedade do usuário (BYOD) Complete os pré-requisitos neste artigo para habilitar o registro de dispositivos de propriedade do usuário. Você também vai encontrar os recursos e os links de registro para compartilhar com os usuários de dispositivos de maneira que eles tenham suporte ao longo de toda a experiência de registro. Esse método de registro destina-se a organizações que têm políticas de BYOD (Traga seu próprio dispositivo). O BYOD permite que as pessoas usem seus dispositivos pessoais para assuntos relacionadas ao trabalho.
Configurar o ADE (Registro de Dispositivo Automatizado) da Apple Configure uma experiência de registro integrada que automatiza o registro em dispositivos corporativos adquiridos por meio do Apple School Manager ou do Apple Business Manager. Esse método é ideal para organizações que têm um grande número de dispositivos a serem registrados, pois elimina a necessidade de acessar e configurar cada dispositivo individualmente.
Configurar o registro direto para dispositivos corporativos Configure uma experiência de registro para dispositivos corporativos que não são afiliados a um único usuário, como dispositivos usados em um espaço compartilhado ou em um estabelecimento comercial. O registro direto não apaga o dispositivo, portanto, é ideal usá-lo quando os dispositivos não precisam de acesso aos dados do usuário local. Você precisará transferir diretamente o perfil de registro para o Mac, o que requer uma conexão USB com um computador Mac executando o Apple Configurator.
Adicione um gerenciador de registro de dispositivo As pessoas designadas como DEM (gerenciadores de registro de dispositivo) podem registrar até mil dispositivos corporativos móveis por vez. As contas DEM são úteis em organizações que registram e preparam os dispositivos antes de entregá-los aos usuários.
Identifique os dispositivos como dispositivos de propriedade corporativa Você pode atribuir status de propriedade corporativa a dispositivos para habilitar mais recursos de gerenciamento e identificação no Intune. O status de propriedade corporativa não pode ser atribuído aos dispositivos registrados pelo Apple Business Manager.
Altere a propriedade do dispositivo Depois que um dispositivo tiver sido registrado, você poderá alterar seu rótulo no Intune para propriedade corporativa ou pessoal. Esse ajuste altera a maneira como você pode gerenciar o dispositivo.
Solucionar problemas de registro Solucione problemas e encontre resoluções para problemas que ocorrem durante o registro.

Criar regras de conformidade

Crie políticas de conformidade para definir as regras e condições que os usuários e os dispositivos devem atender para acessar seus recursos protegidos. Assim que você garante que os dispositivos que acessam os dados atendem aos seus padrões. Intune marca os dispositivos que ficam aquém dos seus requisitos como não conformes e efetuam ações (como enviar uma notificação ao utilizador, restringir o acesso ou limpar o dispositivo) de acordo com as suas configurações.

Se você criar uma política de acesso condicional, ela pode funcionar junto com os resultados de conformidade do dispositivo para bloquear o acesso a recursos de dispositivos sem conformidade. Para obter uma explicação detalhada sobre políticas de conformidade e como começar, consulte Usar as políticas de conformidade para definir regras aos dispositivos gerenciados com o Intune.

Tarefa Detalhe
Criar uma política de conformidade Obtenha orientações passo a passo sobre como criar e atribuir uma política de conformidade a grupos de usuários e de dispositivos.
Adicionar ações de não conformidade Escolha o que acontece quando os dispositivos não atendem mais às condições da sua política de conformidade. Você pode editar a política posteriormente para adicionar ações de não conformidade ao configurar essa política.
Crie uma política de acesso condicional com base no dispositivo ou no aplicativo Especifique o aplicativo ou os serviços que você deseja proteger e defina as condições de acesso.
Bloquear o acesso a aplicativos que não usam autenticação moderna Crie uma política de acesso condicional com base no aplicativo para bloquear aplicativos que usam métodos de autenticação diferentes de OAuth2, por exemplo, os aplicativos que usam autenticação básica e baseada em formulário. No entanto, antes de bloquear o acesso, inicie sessão no Microsoft Entra ID e reveja o relatório de atividade dos métodos de autenticação para ver se os utilizadores estão a utilizar a autenticação básica para aceder a coisas essenciais que esqueceu ou que desconhece. Por exemplo, itens como quiosques de calendário de salas de reunião usam autenticação básica.

Definir as configurações do dispositivo

Use o Microsoft Intune para habilitar ou desabilitar configurações e recursos em dispositivos macOS usados para trabalhar. Para configurar e impor essas configurações, crie um perfil de configuração de dispositivo e atribua o perfil aos grupos na sua organização.

Tarefa Detalhe
Criar um perfil de dispositivo no Microsoft Intune Saiba mais sobre os diferentes tipos de perfis de dispositivo que você pode criar para sua organização.
Configurar recursos do dispositivo Configure os recursos e as funcionalidades comuns do macOS. Para obter uma descrição das configurações nessa área, consulte a referência de recursos do dispositivo.
Configurar o perfil de Wi-Fi Esse perfil permite que as pessoas localizem e se conectem à rede Wi-Fi da sua organização. Para obter uma descrição das configurações nesta área, consulte a referência de configurações do Wi-Fi.
Configurar perfil de rede com fio Esse perfil permite que pessoas em computadores desktop se conectem à rede com fio da sua organização. Confira uma descrição das configurações nessa área na referência de rede com fio.
Configurar o Perfil VPN Configure uma opção de VPN segura, como o Microsoft Tunnel, para pessoas que se conectam à rede da sua organização. Para obter uma descrição das configurações nessa área, consulte a referência de configurações do VPN.
Restringir recursos do dispositivo Proteja os usuários contra distrações e acessos não autorizados limitando os recursos do dispositivo que eles podem usar no trabalho ou na escola. Confira uma descrição das configurações nessa área na referência de restrições de dispositivo.
Configurar perfil personalizado Adicione e atribua as configurações e recursos do dispositivo que não são integrados ao Intune.
Adicionar e gerenciar extensões macOS Adicione extensões de kernel e de sistema que permitem que os usuários instalem extensões de aplicativo que ampliam as funcionalidades nativas do sistema operacional. Confira uma descrição das configurações nessa área na referência de extensões macOS.
Personalizar a identidade visual e a experiência de registro Personalize o Portal da Empresa Intune e a experiência do aplicativo Microsoft Intune com as próprias palavras, marca, preferências de tela e informações de contato da sua organização.

Configure a Segurança do Ponto de Extremidade

Use os recursos de segurança do ponto de extremidade do Intune para configurar a segurança do dispositivo e gerenciar tarefas de segurança para aparelhos em risco.

Tarefa Detalhe
Gerenciar dispositivos com recursos de segurança do ponto de extremidade Use as configurações de segurança do ponto de extremidade no Intune para gerenciar efetivamente a segurança do dispositivo e corrigir os problemas dos dispositivos.
Usar o Acesso Condicional para limitar o acesso ao Microsoft Tunnel Use as políticas de acesso condicional para bloquear o acesso do dispositivo ao gateway de VPN do Microsoft Tunnel.
Adicionar configurações da Proteção dos pontos de extremidade Configure os recursos de segurança comuns do Endpoint Protection, incluindo Firewall, Gatekeeper e FileVault. Confira uma descrição das configurações nessa área na referência de configurações do Endpoint Protection.

Configure os métodos de autenticação segura

Configure métodos de autenticação no Intune para garantir que apenas pessoas autorizadas acessem seus recursos internos. O Intune dá suporte à autenticação multifator, a certificados e a credenciais derivadas. Os certificados também são usados para assinatura e criptografia de email usando S/MIME.

Tarefa Detalhe
Exigir MFA (autenticação multifator) Exija que as pessoas forneçam duas formas de credenciais no momento da inscrição.
Criar um perfil de certificado confiável Crie e implante um perfil de certificado confiável antes de criar um perfil de certificado SCEP, PKCS ou PKCS importado. O perfil de certificado confiável implanta o certificado raiz confiável para dispositivos e usuários usando certificados SCEP, PKCS e PKCS importados.
Usar certificados SCEP com o Intune Saiba o que é necessário para usar certificados SCEP com o Intune e configurar a infraestrutura necessária. Depois de fazer isso, você pode criar um perfil de certificado SCEP ou configurar uma autoridade de certificação de terceiros com o SCEP.
Usar certificados PKCS com o Intune Configure a infraestrutura necessária (como conectores de certificado locais), exporte um certificado PKCS e adicione certificados a um perfil de configuração de dispositivo do Intune.
Usar certificados PKCS importados com o Intune Configure os certificados PKCS importados, que permitem que você Configure e use S/MIME para criptografar e-mails.

Implante os aplicativos

Ao configurar aplicativos e políticas de aplicativos, pense nos requisitos de sua organização, como as plataformas às quais você oferece suporte, as tarefas que as pessoas realizam, o tipo de aplicativos de que precisam para concluir essas tarefas e quem precisa delas. Você pode usar o Intune para gerenciar todo o dispositivo (incluindo aplicativos) ou para gerenciar somente aplicativos.

Tarefa Detalhe
Adicionar aplicativo do Portal da Empresa do Intune Saiba como colocar o Portal da Empresa nos dispositivos ou como instruir os usuários a fazer isso por conta própria.
Adicionar o Microsoft Edge Adicione e atribua o Microsoft Edge no Intune.
Adicionar o Microsoft 365 Adicione e atribua aplicativos do Microsoft 365 no Intune.
Adicionar aplicativos de linha de negócios Adicione e atribua aplicativos LOB (de linha de negócios) do macOS no Intune.
Atribuir aplicativos aos grupos Depois de adicionar aplicativos ao Intune, atribua-os a usuários e dispositivos.
Incluir e excluir atribuições de aplicativo Controle o acesso e a disponibilidade de um aplicativo incluindo e excluindo os grupos selecionados da atribuição.
Usar scripts de shell em dispositivos macOS Use scripts de shell para estender os recursos de gerenciamento de dispositivo no Intune para além do oferecido pelo sistema operacional macOS.

Execute as ações remotas

Depois que os dispositivos são configurados, você pode usar as ações remotas no Intune para gerenciar e solucionar problemas dos dispositivos macOS remotamente. Os artigos a seguir apresentam a você as ações remotas no Intune. Se uma ação está ausente ou desabilitada no portal, não há suporte para ela no macOS.

Tarefa Detalhe
Executar ação remota em dispositivos Aprenda a fazer busca detalhada, gerenciar remotamente e solucionar problemas de dispositivos individuais no Intune. Este artigo lista todas as ações remotas disponíveis no Intune e links para esses procedimentos.
Usar o TeamViewer para administrar remotamente dispositivos do Intune Este tópico mostra como configurar o TeamViewer no Intune e como administrar um dispositivo remotamente.
Usar tarefas de segurança para exibir ameaças e vulnerabilidades Integre o Intune com o Microsoft Defender para Ponto de Extremidade para aproveitar as vantagens do gerenciamento de vulnerabilidade e ameaças do Defender e use o Intune para corrigir o ponto fraco do ponto de extremidade identificado pelo recurso de gerenciamento de vulnerabilidade do Defender.

Próximas etapas