Guia ponto a ponto para começar a utilizar os pontos finais do macOS
Com o Microsoft Intune, pode gerir e proteger pontos finais do macOS pertencentes à sua organização ou escola. Quando você ou a sua organização gerem os dispositivos, pode implementar as aplicações de que os seus utilizadores finais precisam, configurar as funcionalidades do dispositivo que pretende e utilizar políticas que ajudam a proteger os seus dispositivos & organização contra ameaças.
Este artigo se aplica ao:
- Dispositivos macOS pertencentes à sua organização
Este artigo é um guia ponto a ponto para ajudá-lo a começar a utilizar os pontos finais do macOS. Concentra-se em:
- Pontos finais geridos com o Apple Business Manager ou o Apple School Manager
- Dispositivos inscritos no Intune através da Inscrição Automatizada de Dispositivos com afinidade de utilizador. Normalmente, a afinidade de utilizador é utilizada para dispositivos com um utilizador principal.
Este artigo orienta-o através dos passos ponto a ponto para criar e gerir os pontos finais do macOS com o Microsoft Intune.
Como usar este guia
Este guia tem sete fases. Cada fase tem um conjunto de passos que ajudam a criar a configuração e implementação do ponto final do macOS. Cada fase baseia-se na fase anterior.
Conclua as fases e os passos por ordem. As fases incluem:
- Fase 1 – Configurar o seu ambiente
- Fase 2 – Inscrever um ponto final de teste
- Fase 3 – Proteger o ponto final do macOS
- Fase 4 – Aplicar personalizações específicas da organização
- Fase 5 – Configuração avançada opcional
- Fase 6 – Inscrever os pontos finais restantes do macOS
- Fase 7 – Suporte, manutenção e passos seguintes
No final deste guia, tem um ponto final do macOS inscrito no Intune e pronto para começar a validar nos seus cenários.
Fase 1 – Configurar o seu ambiente
Antes de criar o seu primeiro ponto final do macOS, existem alguns requisitos e funcionalidades de configuração que configura.
Nesta fase, vai verificar os requisitos, integrar o Intune com o Apple Business Manager (ou o Apple School Manager), configurar algumas funcionalidades e adicionar algumas aplicações ao Intune.
Etapa 1 – Requisitos de rede
✅ Configurar a sua rede
Para preparar e implementar com êxito o ponto final do macOS, o ponto final requer acesso a vários serviços públicos de Internet.
Inicie o teste em uma rede aberta. Em alternativa, na rede da sua organização, forneça acesso a todos os pontos finais listados em Pontos finais de rede do Microsoft Intune. Em seguida, pode utilizar a rede da sua organização para testar a configuração.
Se a sua rede sem fios necessitar de certificados, pode começar com uma ligação Ethernet durante os testes. A ligação Ethernet dá-lhe algum tempo para determinar a melhor abordagem para as ligações sem fios de que os dispositivos precisam.
Cuidado
A inspeção SSL pode fazer com que o acesso aos serviços Microsoft e Apple falhe. Para obter mais informações sobre os requisitos da Apple, aceda a Utilizar produtos Apple em redes empresariais.
Passo 2 – Inscrição e licenciamento
✅ Criar um novo grupo, configurar restrições de inscrição e atribuir licenças
Para preparar os pontos finais para a inscrição, tem de se certificar de que os pontos finais corretos são direcionados e de que os pontos finais estão corretamente licenciados.
Especificamente:
Criar um novo grupo.
Crie um novo grupo de teste do Microsoft Entra, como Utilizadores de MDM do Intune. Em seguida, adicione contas de utilizador de teste a este grupo. Para limitar quem pode inscrever dispositivos enquanto configura a configuração, direcione as configurações para este grupo.
Para criar um grupo do Microsoft Entra, utilize o centro de administração do Intune. Quando cria um grupo no Intune, está a criar um grupo do Entra. Não vês a marca Entra, mas é isso que estás a usar.
Para obter mais informações, aceda a Criar um grupo para gerir utilizadores no Intune.
Restrições de Inscrição
As restrições de inscrição permitem-lhe controlar os tipos de dispositivos que podem ser inscritos na gestão do Intune. Para que este guia seja bem-sucedido, numa restrição de inscrição, certifique-se de que a inscrição no macOS (MDM) é permitida, que é a configuração predefinida. Atribua esta restrição de inscrição ao novo grupo que criou.
Se necessário/pretendido, também pode impedir a inscrição de dispositivos específicos.
Para obter informações sobre como configurar as Restrições de Registro, confira Definir restrições de registro no Microsoft Intune.
Licenciamento
Os utilizadores que inscrevem dispositivos macOS necessitam de uma licença do Microsoft Intune ou do Microsoft Intune for Education. Para atribuir licenças, confira Atribuir licenças do Microsoft Intune. Atribua as licenças às contas de teste que criou.
Observação
Ambos os tipos de licenças geralmente são incluídos com pacotes de licenciamento, como o Microsoft 365 E3 (ou A3) e superior. Para obter mais informações, aceda a Comparar Planos do Microsoft 365 Enterprise.
Passo 3 – Adicionar o Certificado MDM da Apple
✅ Adicionar o certificado push com um ID Apple Gerido
Para gerir dispositivos macOS, a Apple requer que o inquilino do Intune seja configurado com um certificado push de MDM. Se atualmente gerir dispositivos iOS/iPadOS neste mesmo inquilino, este passo é concluído.
Certifique-se de que utiliza um ID Apple Gerido com a instância do Apple Business Manager (ou Apple School Manager).
Não utilize um ID Apple pessoal. A gestão do certificado do Serviço Apple Push Notification é fundamental ao longo da vida útil da sua solução de gestão de dispositivos. O acesso com um ID Apple pessoal pode ficar indisponível, uma vez que a equipa muda ao longo do tempo.
Para obter informações sobre como configurar um certificado push de MDM da Apple, aceda a Obter um certificado Push de MDM da Apple para o Intune.
Passo 4 – Adicionar o token de inscrição de dispositivos automatizados da Apple
✅ Ligar o token da Apple para Inscrição Automática de Dispositivos
Para gerir dispositivos inscritos através do Apple Business Manager (ou Apple School Manager), tem de configurar um token mdm e associar o token ao Intune.
Este token é necessário para a Inscrição Automatizada de Dispositivos (ADE) no Intune. O token:
- Permite que o Intune sincronize as informações do dispositivo ADE a partir da sua conta do Apple Business Manager (ou Apple School Manager).
- Permite que o Intune carregue perfis de inscrição para a Apple.
- Permite que o Intune atribua dispositivos a esses perfis.
Se atualmente gerir dispositivos iOS/iPadOS neste mesmo inquilino com a ADE, alguns destes passos poderão ser efetuados.
Para obter informações sobre como configurar o Apple Business Manager com o Intune, aceda a Inscrever dispositivos macOS – Apple Business Manager ou Apple School Manager.
Os passos de alto nível para configurar o Apple Business Manager (ou Apple School Manager) com o Intune são:
- Ligue o Intune ao Apple Business Manager (ou Ao Apple School Manager).
- No Intune, crie perfis ADE para o token do Apple Business Manager.
- No Apple Business Manager, atribua dispositivos à MDM do Intune.
- No Intune, atribua os perfis ADE aos seus dispositivos macOS.
Passo 5 – Dispositivos de destino
✅ Grupos específicos de destino com grupos de utilizadores, filtros do Intune ou grupos dinâmicos
Os dispositivos macOS com afinidade de utilizador podem ser direcionados para perfis e aplicações através de grupos de utilizadores ou dispositivos. Existem duas opções comuns para a forma como as organizações direcionam dinamicamente os dispositivos:
Opção 1 - Todos os grupos de dispositivos com um filtro de atribuição em enrollmentProfileName
Para aplicações e políticas críticas que têm de ser aplicadas imediatamente após a inscrição (definições de segurança, restrições, a aplicação Portal da Empresa), pode atribuir as políticas ao grupo incorporado Todos os Dispositivos do Intune. Crie um filtro de atribuição com o perfil de inscrição que criou no Passo 4 – Adicionar o token de inscrição de dispositivos automatizado da Apple.
As políticas e aplicações direcionadas para o grupo Todos os Dispositivos aplicam-se mais rapidamente após a inscrição do que os grupos dinâmicos. Nem todos os perfis de configuração (como scripts macOS) suportam filtros.
Para obter mais informações sobre filtros de atribuição, aceda a Criar filtros no Microsoft Intune.
Opção 2 – Grupo dinâmico microsoft Entra baseado em enrollmentProfileName
Para limitar as configurações deste guia aos dispositivos de teste que importa através do Apple Business Manager, crie um grupo dinâmico do Microsoft Entra. Em seguida, pode direcionar todas as suas configurações e aplicações para este grupo.
Selecione Grupos>Novo Grupo e introduza os seguintes detalhes:
- Tipo de grupo: Selecione Segurança.
- Nome do Grupo: introduza os pontos finais do macOS.
- Tipo de associação: selecione Dispositivo Dinâmico.
Para Membros de dispositivos dinâmicos, selecione Adicionar consulta dinâmica e introduza as seguintes propriedades:
- Propriedade: selecione enrollmentProfileName.
- Operador: selecione é igual a.
- Valor: introduza o nome do perfil de inscrição.
Selecione OK>Salvar>Criar.
Quando cria aplicações e políticas, pode direcionar as políticas para este novo grupo dinâmico do Microsoft Entra.
Observação
Após a ocorrência de alterações, os grupos dinâmicos podem demorar vários minutos a preencher. Nas grandes organizações, pode demorar mais tempo. Depois de criar um novo grupo, aguarde vários minutos antes de verificar se o dispositivo é membro do grupo.
Para obter mais informações sobre grupos dinâmicos para dispositivos, aceda a Regras de associação dinâmicas para grupos no Microsoft Entra ID: Regras para dispositivos.
Passo 6 – Configurar as definições iniciais e o início de sessão único (SSO)
✅ Otimizar a experiência de primeira execução
Com o Intune, pode otimizar a primeira experiência de execução com definições incorporadas no perfil de inscrição ADE. Especificamente, quando cria o perfil de inscrição, pode:
- Pré-configurar as informações do utilizador final no Assistente de Configuração.
- Utilize a funcionalidade de configuração final Aguardar . Esta funcionalidade impede que os utilizadores finais acedam a conteúdos restritos ou alterem as definições até serem aplicadas as políticas de configuração de dispositivos do Intune.
Para obter mais informações sobre esta funcionalidade e inscrição na ADE, aceda a Inscrever automaticamente Macs com o Apple Business Manager ou o Apple School Manager.
✅ Reduzir pedidos de início de sessão da aplicação com o SSO
No Intune, pode configurar definições que reduzem o número de pedidos de início de sessão recebidos por utilizadores finais ao utilizar aplicações, incluindo aplicações do Microsoft 365. Existem duas partes nesta configuração:
Parte 1 – utilize o plug-in SSO do Microsoft Enterprise para fornecer início de sessão único (SSO) a aplicações e sites que utilizam o Microsoft Entra ID para autenticação, incluindo aplicações do Microsoft 365.
Existem duas opções para configurar o SSO para Mac – plug-in SSO empresarial e SSO da Plataforma.
O plug-in SSO do Microsoft Enterprise para dispositivos Apple fornece início de sessão único (SSO) para contas Microsoft Entra no macOS em todas as aplicações que suportam a funcionalidade de início de sessão único empresarial da Apple.
Para criar estas políticas, no centro de administração do Intune, aceda a:
Dispositivos > Gerir dispositivos > Configuração > Criar > Novo catálogo > de definições de política > Autenticação > Extensível Início de Sessão Único (SSO): Adicionar e configurar as seguintes definições:
Nome Configuração Identificador da Extensão com.microsoft.CompanyPortalMac.ssoextension
Identificador de Equipe UBF8T346G9
Tipo Redirecionar URLs https://login.microsoftonline.com
https://login.microsoft.com
https://sts.windows.net
https://login.partner.microsoftonline.cn
https://login.chinacloudapi.cn
https://login.microsoftonline.us
https://login-us.microsoftonline.com
Configure as seguintes definições opcionais:
Chave Tipo Valor AppPrefixAllowList Cadeia de caracteres com.apple.,com.microsoft
browser_sso_interaction_enabled Número inteiro 1 disable_explicit_app_prompt Número inteiro 1
Para obter mais informações sobre o plug-in SSO enterprise, incluindo como criar a política, aceda a Configurar o plug-in SSO para MacOS Enterprise com o Intune.
Parte 2 – utilize o catálogo de definições do Intune para configurar as seguintes definições que reduzem os pedidos de início de sessão, incluindo o Microsoft AutoUpdate (MAU) e o Microsoft Office.
Dispositivos > Gerir dispositivos > Configuração > Criar > Novo catálogo > de Definições de política > Microsoft AutoUpdate (MAU): Adicionar e configurar as seguintes definições:
Reconhecer automaticamente a política de recolha de dados: selecione Reconhecer – enviar dados obrigatórios e opcionais.
Para obter mais informações sobre esta definição, aceda a Utilizar preferências para gerir controlos de privacidade do Office para Mac
Ativar Atualização Automática: selecione Verdadeiro.
Esta definição força o Microsoft AutoUpdate a ativar. Para obter mais informações sobre o Microsoft AutoUpdate, que atualiza o Microsoft 365 Apps e o Portal da Empresa, aceda a Implementar atualizações para o Office para Mac.
Dispositivos > Gerir dispositivos > Configuração > Criar > Novo catálogo > de definições de políticas > Microsoft Office > Microsoft Office: Adicionar e configurar as seguintes definições:
-
Endereço de E-mail de Ativação do Office: introduza
{{userprincipalname}}
. - Ativar o início de sessão automático: selecione Verdadeiro.
Estas definições simplificam o processo de início de sessão ao abrir aplicações do Office pela primeira vez. Para obter mais informações sobre estas definições, aceda a Definir preferências em todo o conjunto de aplicações para o Office para Mac.
-
Endereço de E-mail de Ativação do Office: introduza
Para obter mais informações sobre o catálogo de definições, incluindo como criar uma política, aceda a Utilizar o catálogo de definições para configurar definições no Microsoft Intune.
Passo 7 – Adicionar e atribuir aplicações obrigatórias
✅ Adicionar um conjunto mínimo de aplicações ao Intune
A sua organização pode ter algumas aplicações que os seus dispositivos macOS têm de ter. A sua organização pode exigir que estas aplicações sejam instaladas em todos os dispositivos geridos pelo Intune.
Neste passo, adicione estas aplicações ao Intune e atribua-as ao seu grupo.
Algumas aplicações obrigatórias incluem:
Aplicativo do Portal da Empresa
A Microsoft recomenda que implemente a aplicação Portal da Empresa do Intune em todos os dispositivos como uma aplicação necessária. A aplicação Portal da Empresa é o hub self-service para os utilizadores. Na aplicação Portal da Empresa, os utilizadores podem instalar aplicações, sincronizar o respetivo dispositivo com o Intune, verificar o estado de conformidade e muito mais.
A aplicação Portal da Empresa também é necessária para a extensão SSO que configura no Passo 6 – Configurar as definições iniciais e o início de sessão único (SSO) ( neste artigo).
Para implementar a aplicação Portal da Empresa como uma aplicação necessária, aceda a Adicionar o Portal da Empresa para a aplicação macOS.
Microsoft 365 Apps
As aplicações do Microsoft 365, como o Word, Excel, OneDrive e Outlook, podem ser facilmente implementadas em dispositivos através das aplicações incorporadas do Microsoft 365 para macOS no Intune.
Para implementar o Microsoft 365 Apps, aceda a:
Fase 2 – Inscrever um ponto final de teste
A fase seguinte inscreve um dispositivo macOS de teste no Intune. Esta fase permite-lhe familiarizar-se com os passos iniciais para que esteja pronto quando chegar a altura de inscrever todos os seus dispositivos macOS no Intune.
Para inscrever o ponto final macOS da sua primeira organização, certifique-se de que o dispositivo macOS é:
Os passos de alto nível para inscrever o primeiro ponto final do macOS com o Intune são:
Apagar ou repor o ponto final do macOS. Este passo é necessário para dispositivos existentes. Se inscrever um dispositivo macOS que já esteja configurado, o dispositivo é considerado um dispositivo pessoal. Por isso, tem de apagar ou repor o dispositivo antes de poder inscrevê-lo no Intune.
Para novos dispositivos que não estão configurados, pode ignorar este passo. Se não tiver a certeza se o dispositivo está configurado, reponha o dispositivo.
Aceda ao Assistente de Configuração.
Abra a aplicação Portal da Empresa e inicie sessão com a sua conta da organização (
user@contoso.com
).
Quando o utilizador inicia sessão, aplica-se a política de inscrição. Quando estiver concluído, o ponto final do macOS é inscrito no Intune.
Fase 3 – Proteger os pontos finais do macOS
Nesta fase, vai configurar definições e funcionalidades de segurança que ajudam a proteger os seus pontos finais, incluindo manter os dispositivos atualizados com atualizações.
Esta secção centra-se nas diferentes funcionalidades de segurança de pontos finais no Microsoft Intune, incluindo:
- Políticas de Conformidade e Acesso Condicional
- Microsoft Defender para Ponto de Extremidade
- Segurança do ponto final FileVault, Firewall e Gatekeeper
- Atualizações de software
- Conta de convidado
- Início de sessão inativo
- Utilitário de Avaliação do Mac
Políticas de Conformidade e Acesso Condicional
✅ Criar políticas de conformidade e impor a conformidade com o Acesso Condicional
As políticas de conformidade verificam as definições do dispositivo que configura e podem remediar algumas definições que não estão em conformidade. Por exemplo, pode criar políticas de conformidade que verificam a complexidade da palavra-passe, o estado de jailbreak, os níveis de ameaça, o estado de inscrição e muito mais.
Se existirem definições de configuração em conflito entre políticas de conformidade e outras políticas, a política de conformidade tem precedência. Para obter mais informações, aceda a Políticas de conformidade e configuração de dispositivos em conflito.
O Acesso Condicional pode ser utilizado para impor as políticas de conformidade que criar. Quando combinados, os utilizadores finais podem ser obrigados a inscrever os respetivos dispositivos e a cumprir uma norma de segurança mínima antes de acederem aos recursos da organização. Se um dispositivo não estiver em conformidade, pode bloquear o acesso aos recursos, como o e-mail, ou exigir que o utilizador inscreva o respetivo dispositivo e corrija o problema.
Observação
Para confirmar que está a impor os controlos de dispositivo adequados, trabalhe com a sua equipa que gere as suas políticas de Acesso Condicional do Entra.
Pode criar políticas de conformidade e acesso condicional no centro de administração do Intune.
Para obter mais informações, confira:
- Usar políticas de conformidade para definir regras para dispositivos gerenciados com o Intune
- Acesso Condicional e Intune
- Como exigir um dispositivo ou MFA compatível
- O que é o Acesso Condicional no Microsoft Entra ID?
Microsoft Defender para Ponto de Extremidade
✅ Utilizar o Microsoft Defender para Endpoint para a defesa contra ameaças
O Microsoft Defender para Endpoint é uma solução de defesa contra ameaças para dispositivos móveis que ajuda a proteger os seus dispositivos contra ameaças de segurança.
No Intune, pode ligar ao serviço Microsoft Defender para Endpoint, criar políticas do Intune com as definições do Microsoft Defender para Endpoint e, em seguida, implementar as políticas nos seus dispositivos.
Para obter mais informações, confira:
- Configurar o Microsoft Defender para Ponto de Extremidade no Intune
- Implementar o Microsoft Defender para Endpoint no macOS com o Microsoft Intune
Segurança de pontos finais incorporada
✅ Encriptar dispositivos com encriptação de disco FileVault
O FileVault é uma funcionalidade de encriptação de disco inteiro que ajuda a impedir o acesso não autorizado. As definições do FileVault estão incorporadas no catálogo de definições do Intune e estão disponíveis como políticas de conformidade.
Assim, pode configurar o FileVault, verificar a conformidade e implementar as políticas nos seus dispositivos.
Para criar estas políticas, no centro de administração do Intune, aceda a:
- Dispositivos > Gerir dispositivos > Configuração > Criar > Nova política > Catálogo > de Definições Encriptação de Disco Completa
- Dispositivos > Gerir dispositivos > Conformidade > Criar política > Segurança do sistema > Exigir encriptação de armazenamento de dados no dispositivo
Para obter mais informações sobre o FileVault, aceda a:
- Criptografar dispositivos macOS com a criptografia de disco FileVault com o Intune
- Utilizar o FileVault para encriptar o disco de arranque no seu Mac (abre o site da Apple)
✅ Configurar a firewall
A firewall é uma firewall de aplicações e ajuda a evitar ataques recebidos. As definições da firewall estão incorporadas no catálogo de definições do Intune e estão disponíveis como políticas de conformidade.
Assim, pode configurar a firewall, verificar a conformidade e implementar as políticas nos seus dispositivos.
Para criar estas políticas, no centro de administração do Intune, aceda a:
Dispositivos > Gerir dispositivos > Configuração > Criar > Novo catálogo de Definições de política>:
- Firewall de > Rede
- Preferências > de Segurança
Dispositivos > Gerir dispositivos > Conformidade > Criar política > Firewall de Segurança > do Sistema
Para obter mais informações sobre a firewall do macOS, aceda a:
- Política de firewall para segurança de pontos finais no Intune
- Alterar as definições da Firewall no Mac (abre o site da Apple)
✅ Configurar o Controlador de Chamadas
O Controlador de Chamadas garante que apenas o software fidedigno é executado no dispositivo. As definições do Controlador de Chamadas estão incorporadas no catálogo de definições do Intune e estão disponíveis como políticas de conformidade.
Assim, pode configurar o Controlador de Chamadas, verificar a conformidade e implementar as políticas nos seus dispositivos.
Para criar estas políticas, no centro de administração do Intune, aceda a:
Dispositivos > Gerir dispositivos > Configuração > Criar > Novo catálogo > de definições de políticas> Controlo de Política > de sistema:
- Permitir Programador Identificado: selecione Verdadeiro.
- Ativar Avaliação: selecione Verdadeiro.
Dispositivos > Gerir dispositivos > Configuração > Criar >Nova política> Catálogo > de definições Política de sistema > Política de sistema Gerida:
- Desativar Substituição: selecione Verdadeiro.
Dispositivos > Gerir dispositivos > Conformidade > Criar política > Controlador de Segurança > do Sistema
Para obter mais informações sobre o Controlador de Chamadas, aceda a:
- Utilizar o catálogo de definições para configurar definições no Microsoft Intune
- Proteção do controlador de chamadas e do runtime no macOS (abre o site da Apple)
Atualizações de software
✅ Configurar Atualizações de Software
Nos dispositivos, as atualizações de software são críticas e tem de determinar como as atualizações são instaladas. Tem algumas opções.
Quando configura estas definições, impõe e restringe o comportamento no nó Atualização de Software da aplicação >Definições no dispositivo.
Opção 1 – macOS 14.0 e dispositivos mais recentes (recomendado) – em dispositivos macOS 14.0 e mais recentes, utilize o catálogo de definições do Intune para criar uma política de atualizações de software gerida. Esta funcionalidade utiliza a gestão declarativa de dispositivos (DDM) da Apple e é a abordagem recomendada para atualizar dispositivos macOS.
Especificamente, no centro de administração do Intune, pode configurar as seguintes definições:
Dispositivos > Gerir dispositivos > Configuração > Criar > Nova política > Catálogo > de definições Atualização declarativa de Software de Gestão > de Dispositivos
Opcional - Em Dispositivos > Gerir dispositivos > Configuração > Criar > Nova política > Catálogo de definições > Restrições, pode utilizar as seguintes definições para atrasar quanto tempo após o lançamento de uma atualização que os utilizadores podem instalar manualmente as atualizações. Estas definições utilizam as definições de MDM da Apple:
- Atualização de Software Imposta Atraso de Instalação Diferida do SO Secundário: 0-30
- Atualização de Software Imposta – Atraso de Instalação Diferida do SO Principal: 0-30
- Atualização de Software Imposta Atraso de Instalação Não Diferida do SO: 0-30
As definições de Atualização de Software de Gestão > de Dispositivos Declarativa do Catálogo > de Definições têm precedência sobre as definições de Restrições do Catálogo > de Definições. Para obter mais informações, aceda a Precedência das definições na política de atualizações do macOS.
Opção 2 – macOS 13.0 e mais antigo (recomendado) – em dispositivos macOS 13.0 e mais antigos, pode utilizar uma combinação do catálogo de definições do Intune e uma política de atualizações de software do Intune. Estas funcionalidades utilizam as definições de MDM da Apple.
Especificamente, no centro de administração do Intune, pode configurar as seguintes definições:
Dispositivos > Gerir atualizações > Política de atualizações > do macOS da Apple
Dispositivos > Gerir dispositivos > Configuração > Criar > Nova política > Catálogo de definições > Atualização de Software
Algumas das definições em ambos os tipos de política (Atualizações de software vs. Catálogo de definições) podem sobrepor-se. Por isso, preste atenção ao que configura em cada política. As definições na política de atualizações do macOS têm precedência sobre as definições de Atualização de Software do Catálogo > de Definições. Para obter mais informações, aceda a Precedência das definições na política de atualizações do macOS.
Opção 3 (não recomendado) – os utilizadores finais instalam manualmente as atualizações. Esta abordagem depende dos utilizadores finais para decidir quando devem instalar as atualizações. Além disso, podem instalar uma atualização que a sua organização não aprova.
Para obter mais informações sobre como planear a estratégia de atualização do macOS, aceda ao Guia de planeamento de atualizações de software para dispositivos macOS geridos no Microsoft Intune.
Conta de convidado
✅ Desativar a conta de convidado
Deve desativar a conta de convidado nos pontos finais do macOS. Pode desativar a conta de convidado com o catálogo de definições do Intune:
-
Dispositivos > Gerir dispositivos > Configuração > Criar > Nova políticaDefinições > catálogo > Contas de contas>:
- Desativar Conta de Convidado: selecione Verdadeiro.
Tempo limite de inatividade
✅ Definir um tempo limite de inatividade
Ao utilizar o catálogo de definições do Intune, controla o período de tempo após a inatividade que o macOS pede para obter uma palavra-passe:
Dispositivos > Gerir dispositivos Configuração > Criar > Nova política > Catálogo > de definições Deteção de Ecrãs de Configuração > do > Sistema:
- Pedir Palavra-passe: selecione Verdadeiro.
-
Tempo de Inatividade do Windows de Início de Sessão: introduza algo como
300
, que é de 5 minutos. -
Pedir Atraso da Palavra-passe: introduza algo como
5
. - Nome do Módulo: introduza o nome do módulo screensaver, como Flurry.
Dispositivos > Gerir dispositivos Configuração > Criar > Nova política > Catálogo > de definições Deteção de Experiência > do UtilizadorEsutilizador>:
-
Tempo de Inatividade: introduza algo como
300
, que é 5 minutos. - Nome do Módulo: introduza o nome do módulo screensaver, como Flurry.
-
Tempo de Inatividade: introduza algo como
Para os seus dispositivos de computador e portátil, existem definições que podem ajudar a poupar energia:
Dispositivos > Gerir dispositivos Configuração > Criar > Novo catálogo > de definições de políticas > Sistema Configuração >> Poupança de Energia:
- Temporizador de Suspensão do Power > Display para Ambiente de Trabalho
- Temporizador de Suspensão do Ecrã de Bateria > do Portátil
- Temporizador de Suspensão do Power > Display do Portátil
Dica
Para localizar o nome do módulo screensaver, defina o screensaver, abra a aplicação Terminal e execute o seguinte comando:
defaults -currentHost read com.apple.screensaver
Utilitário de Avaliação do macOS
✅ Utilizar o Utilitário de Avaliação do macOS
O Utilitário de Avaliação do Mac confirma que o seu Mac tem a configuração e as definições recomendadas pela Apple. Para aceder ao Utilitário de Avaliação do Mac, inicie sessão em Apple Seed for IT (abre o site da Apple) >Recursos.
Fase 4 – Aplicar personalizações específicas da organização
Nesta fase, vai aplicar definições e aplicações específicas da organização e rever a configuração no local.
A fase ajuda-o a personalizar quaisquer funcionalidades específicas da sua organização. Repare nos vários componentes do macOS. Há seções para cada uma das seguintes áreas:
- Aplicativos
- Configuração do dispositivo para a estação de ancoragem, notificações, ficheiros de preferência & políticas personalizadas e padrão de fundo
- Nome do dispositivo
- Certificados
- Wi-Fi
Aplicativos
✅ Adicionar mais aplicações ao Intune
Na Fase 1 – Configurar o seu ambiente, adicionou algumas aplicações que os dispositivos têm de ter. Neste passo, adicione outras aplicações que podem melhorar a experiência ou produtividade do utilizador final.
Aplicações de linha de negócio (LOB)
No Intune, pode implementar aplicações LOB com as seguintes opções:
-
Adicione o pacote de aplicação (
.pkg
) ao Intune e utilize um script de shell para implementar a aplicação. Esta funcionalidade utiliza a Extensão de Gestão do Intune. Pode implementar pacotes e pacotes não assinados sem um payload e suporta scripts pré e pós-scripts. -
Adicione a imagem do disco da aplicação (
.dmg
) ao Intune e utilize a política do Intune para implementar a aplicação - Aplicações licenciadas com o Plano de Compra em Volume (VPP) da Apple e utilizam a política do Intune para implementar a aplicação
-
Adicione o pacote de aplicação (
.pkg
) ao Intune e utilize a política do Intune para implementar a aplicação
-
Adicione o pacote de aplicação (
Microsoft Edge
Pode implementar o Microsoft Edge em pontos finais do macOS com o tipo de implementação incorporado. Para obter mais informações, aceda a Adicionar o Microsoft Edge a dispositivos macOS com o Microsoft Intune.
Também pode configurar as definições do Microsoft Edge com o catálogo de definições do Intune:
- Dispositivos > Gerir dispositivos > Configuração > Criar > Novo catálogo > de definições de políticas > Microsoft Edge
Microsoft OneDrive
Na Fase 1 – Configurar o seu ambiente, adicionou aplicações do Microsoft 365, que incluem o Microsoft OneDrive. Por isso, se adicionou anteriormente o Microsoft OneDrive, não precisa de o adicionar novamente. Se não o adicionou anteriormente, também pode implementar o Microsoft OneDrive separadamente através de um pacote de aplicações transferido (
.pkg
).Também pode configurar as definições do Microsoft OneDrive com o catálogo de definições do Intune. Por exemplo, as seguintes definições podem aplicar-se à sua organização:
Dispositivos > Gerir dispositivos > Configuração > Criar > Novo catálogo > de definições de políticas > Microsoft Office > Microsoft OneDrive:
- Ative automaticamente e silenciosamente a funcionalidade Cópia de Segurança de Pastas (Movimentação de Pastas Conhecidas): introduza o seu <ID> de inquilino do Microsoft Entra.
- Ativar Ficheiros a Pedido: selecione Verdadeiro.
- Abrir ao iniciar sessão: selecione Verdadeiro.
Dispositivos > Gerir dispositivos > Configuração > Criar > Nova política > Catálogo de definições > Gestão de Aplicações Gestão > de Extensões NS:
-
Extensões Permitidas: introduza
com.microsoft.OneDrive.FinderSync
.
Se estiver a implementar a versão VPP do OneDrive, introduza
com.microsoft.OneDrive-Mac.FinderSync
.Durante a configuração do Microsoft OneDrive, é pedido aos utilizadores finais que permitam ícones de sincronização ao ativar a extensão de Sincronização do Finder. Existe um script de exemplo que pode configurar a extensão do finder para o utilizador. Para obter mais informações sobre o script, aceda aos exemplos do GitHub – Shell do Microsoft Intune.
-
Extensões Permitidas: introduza
Configuração do dispositivo
O catálogo de definições simplifica a forma como cria uma política e como pode ver todas as definições disponíveis. Em diferentes fases e passos neste guia, vai utilizar o catálogo de definições do Intune para configurar as funcionalidades e definições do dispositivo.
Por exemplo, utilizámos o catálogo de definições para configurar as seguintes áreas de funcionalidades:
- Definições do browser Microsoft Edge
- Microsoft AutoUpdate
- Microsoft Office
- Atualizações de software
- Experiência do Usuário
Existem muitas definições de dispositivo que pode configurar com o catálogo de definições, incluindo:
✅ Estação de Ancoragem
- Dispositivos > Gerir dispositivos > Configuração > Criar > Novo catálogo > de definições de políticas > Estação de Ancoragem da Experiência > do Utilizador
Também pode adicionar ou remover itens da estação de ancoragem com um exemplo de shell da dock do Microsoft Intune ou ferramentas de linha de comandos de parceiros, como o GitHub – DockUtil.
✅ Pedidos de notificação
Dispositivos > Gerir dispositivos > Configuração > Criar > Nova política > Catálogo de definições > Notificações > de Experiência > do Utilizador Definições de Notificação
Deve introduzir o ID do pacote para cada aplicação para a qual pretende controlar as notificações.
Para obter mais informações, aceda a Notificações Definições de payload mdm para dispositivos Apple (abre o site da Apple).
✅ Ficheiros de preferência e políticas personalizadas
Os ficheiros de preferência definem as propriedades ou definições da aplicação que pretende pré-configurar. No catálogo de definições do Intune, existem muitas definições incorporadas para aplicações, como o Microsoft Edge e o Microsoft Office. Por isso, poderá não precisar de um ficheiro de preferência.
A Microsoft recomenda que utilize as definições incorporadas no catálogo de definições. Se o catálogo de definições não tiver as definições necessárias, adicione um ficheiro de preferência ao Intune.
Para obter mais informações, aceda a Adicionar um ficheiro de lista de propriedades a dispositivos macOS com o Microsoft Intune
Os perfis personalizados foram concebidos para adicionar definições e funcionalidades do dispositivo que não estão incorporadas no Intune.
A Microsoft recomenda que utilize as definições incorporadas no catálogo de definições. Se o catálogo de definições não tiver as definições de que precisa, utilize um perfil personalizado.
Para obter mais informações, aceda a perfis personalizados.
✅ Padrão de fundo
Pode impor um padrão de fundo no macOS com uma combinação de um script de exemplo e o catálogo de definições:
-
Dispositivos > Gerir dispositivos Configuração > Criar > Nova política > Catálogo > de definições User Experience > Desktop:>
- Substituir Caminho da Imagem: "Introduza o <caminho da imagem>".
O ficheiro de imagem tem de existir no ponto final do macOS. Para transferir uma imagem a partir de uma localização na Web, pode utilizar um script de exemplo no Exemplo de shell de padrão de fundo GitHub – Microsoft Intune. Também pode utilizar uma ferramenta de pacote de aplicação para copiar um ficheiro e, em seguida, implementá-lo com a funcionalidade de implementação PKG não gerida .
Nome do dispositivo
✅ Mudar o nome dos dispositivos
Com um script de shell, pode mudar o nome dos dispositivos para incluir informações específicas, como o número de série do dispositivo combinado com o código de país/região.
Para obter mais informações, aceda a GitHub – Scripts do Microsoft Shell para mudar o nome dos dispositivos Mac.
Certificados
✅ Adicionar certificados para autenticação baseada em certificados
Se utilizar a autenticação baseada em certificados para uma experiência sem palavra-passe, pode utilizar o Intune para adicionar e implementar certificados.
Para obter mais informações, aceda a Tipos de certificado disponíveis no Microsoft Intune.
Wi-Fi
✅ Pré-configurar uma ligação Wi-Fi
Com o Intune, pode criar uma ligação Wi-Fi que inclua as suas informações de rede e, em seguida, implementar a ligação aos seus dispositivos macOS. Se os seus dispositivos se ligarem à organização através de Wi-Fi, crie uma política de ligação Wi-Fi.
Para obter mais informações, aceda a Configurar definições de Wi-Fi para dispositivos macOS no Microsoft Intune.
Fase 5 – Colocação em cache (opcional)
Existem algumas funcionalidades de colocação em cache que pode utilizar para ajudar a reduzir a largura de banda da rede.
✅ Utilizar a colocação em cache de conteúdos
Se tiver um grande número de dispositivos macOS ou iOS/iPadOS na sua rede, pode implementar a Cache de Conteúdos da Apple para ajudar a reduzir a largura de banda da Internet. A Cache de Conteúdos da Apple pode colocar em cache conteúdos alojados em serviços Apple, como Atualizações de Software e aplicações VPP.
Para obter mais informações, aceda a Introdução à colocação em cache de conteúdos (abre o site da Apple).
✅ AutoUpdate local cache
Muitas aplicações Microsoft no macOS são atualizadas com a aplicação Microsoft AutoUpdate. Esta aplicação pode referenciar um URL diferente para conteúdo.
Pode utilizar o Administrador de Cache do GitHub – Microsoft AutoUpdate para configurar uma cache local para o Microsoft AutoUpdate.
Para obter mais informações, aceda a GitHub - Microsoft AutoUpdate Cache Admin.
Fase 6 – Inscrever os pontos finais restantes do macOS
Até agora, criou a configuração e adicionou aplicações. Agora, está pronto para inscrever todos os pontos finais do macOS com uma política de Inscrição de Dispositivos Automatizada com o Microsoft Intune.
✅ Criar a política de Inscrição de Dispositivos Automatizada
A política de inscrição é atribuída ao novo grupo. Quando os dispositivos recebem a política de inscrição, o processo de inscrição é iniciado e a aplicação & políticas de configuração que criou são aplicadas.
Para obter mais informações sobre a Inscrição Automatizada de Dispositivos e para começar, aceda a Inscrever automaticamente Macs com o Apple Business Manager ou o Apple School Manager.
Fase 7 – Suporte, manutenção e passos seguintes
A fase final é suportar e manter os seus dispositivos macOS. Esta fase inclui a utilização de funcionalidades do Intune, como ajuda remota, monitorização dos certificados da Apple e muito mais.
O Intune gere dispositivos macOS com as capacidades de MDM do sistema operativo incorporado e o agente da Extensão de Gestão do Intune (IME).
Estes dois componentes oferecem funcionalidades separadas e comunicam com o dispositivo macOS através de canais diferentes. A inscrição é orquestrada através do Apple Business Manager, a MDM é orquestrada através do Serviço Apple Push Notification e o IME comunica diretamente com o Intune.
Para obter mais informações sobre a Extensão de Gestão do Intune, aceda a Compreender o agente de gestão do Microsoft Intune para macOS.
Manutenção da inscrição no macOS
✅ Renovar certificados da Apple e sincronizar tokens do ADE
Para que os seus dispositivos Mac mantenham a ligação ao Intune e continuem a inscrever-se, existem várias áreas importantes que deve verificar na consola periodicamente e tomar medidas conforme necessário:
Expiração do certificado do Serviço Apple Push Notification
O certificado do Serviço de Notificações Push da Apple tem de ser renovado anualmente. Quando este certificado expira, o Intune não consegue gerir os dispositivos inscritos com esse certificado. Certifique-se de que renova este certificado todos os anos.
Para obter mais informações, aceda a Obter um certificado Push de MDM da Apple para o Intune.
Expiração do certificado de Inscrição de Dispositivos Automatizada da Apple
Quando configura uma ligação entre o Apple Business Manager (ou o Apple School Manager) e o Intune, é utilizado um certificado. Este certificado tem de ser renovado anualmente. Se este certificado não for renovado, as alterações do Apple Business Manager (ou Apple School Manager) não poderão ser sincronizadas com o Intune.
Para obter mais informações, aceda a Inscrever dispositivos macOS – Apple Business Manager ou Apple School Manager.
Estado de sincronização da Inscrição de Dispositivos Automatizada da Apple
A Apple suspende a sincronização de tokens ADE quando os termos e condições forem alterados no Apple Business Manager (ou Apple School Manager). Podem mudar após uma versão principal do SO, mas pode acontecer em qualquer altura.
Deve monitorizar o estado da sincronização para quaisquer problemas que necessitem de atenção.
Para obter mais informações, aceda a sincronizar dispositivos geridos.
Ajuda Remota
✅ Ativar ajuda remota
A Ajuda Remota é uma solução baseada na cloud para ligações de suporte técnico seguras que utilizam controlos de acesso baseados em funções. Com a ligação, a equipa de suporte pode ligar-se remotamente a dispositivos de utilizador final.
Para obter mais informações, confira:
- Utilizar a Ajuda Remota no macOS para ajudar utilizadores autenticados
- Controle de acesso baseado em função (RBAC) com Microsoft Intune
Atributos personalizados
✅ Utilizar propriedades personalizadas para obter informações de relatórios
No Intune, pode utilizar scripts de shell para recolher propriedades personalizadas de dispositivos macOS geridos. Esta funcionalidade é uma excelente forma de obter informações de relatórios personalizadas.
Para obter mais informações, aceda a Utilizar scripts de shell em dispositivos macOS no Microsoft Intune.
Configurar o Apple Business Manager para o aprovisionamento automático de utilizadores
✅ Utilizar contas de utilizador entra para administração ABM e IDs Apple Geridos
O Microsoft Entra ID pode ser configurado para aprovisionar e desaprovisionar automaticamente utilizadores no Apple Business Manager (ABM) através do serviço de aprovisionamento Do Microsoft Entra.
Para obter mais informações, aceda a Tutorial: Configurar o Apple Business Manager para o aprovisionamento automático de utilizadores.