Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Van toepassing op macOS
In dit artikel wordt beschreven hoe u een inschrijvingsbeleid maakt voor automatische apparaatinschrijving van macOS (ADE) in Microsoft Intune. Zie Overzicht van automatische apparaatinschrijving van Apple voor macOS voor een overzicht van ADE en vereiste instellingen.
Opmerking
De stappen in dit artikel zijn hetzelfde, ongeacht of u Apple Business of Apple School Manager gebruikt. Kortheidshalve verwijzen we alleen naar Apple Business in de stappen in dit artikel, behalve wanneer dit nodig is.
Vereisten
Vereisten voor apparaatplatform
Nieuwe of gewiste macOS-apparaten die zijn aangeschaft via Apple Business of Apple School Manager.
Vereisten voor tenantconfiguratie
- Toegang tot de Apple Business-portal of de Apple School Manager-portal.
- Een actief Apple-token (.p7m-bestand). Zie Een macOS ADE-token instellen voor stappen.
- Een Apple MDM-pushcertificaat in Intune.
Tip
Automatische apparaatinschrijving past apparaatconfiguraties toe die een apparaatgebruiker mogelijk niet kan verwijderen. Wis alle apparaten vóór de inschrijving om ze terug te keren naar een out-of-box-status.
Wanneer u macOS-apparaten registreert met ADE met gebruikersaffiniteit en Configuratieassistent met moderne verificatie, moeten gebruikers zich aanmelden bij de Bedrijfsportal-app met hun Microsoft Entra referenties om de apparaatregistratie in Microsoft Entra ID te voltooien. Zie De Bedrijfsportal voor macOS-app toevoegen om de Bedrijfsportal-app toe te voegen aan macOS-apparaten.
Een inschrijvingsbeleid maken
Maak een geautomatiseerd apparaatinschrijvingsbeleid in het beheercentrum. Het beleid definieert de inschrijvingservaring voor de Mac-apparaten van uw organisatie en dwingt inschrijvingsbeleid en -instellingen af op registratieapparaten. Het beleid wordt via de air geïmplementeerd op toegewezen apparaten.
Aan het einde van deze procedure kunt u dit beleid toewijzen aan Microsoft Entra apparaatgroepen.
Ga in het beheercentrum naar Inschrijving van apparaten>.
Selecteer het tabblad macOS .
Selecteer onder Bulkinschrijvingsmethodende optie Tokens voor het inschrijvingsprogramma.
Selecteer een token voor het inschrijvingsprogramma.
Selecteer Inschrijvingsbeleid>Beleid maken>macOS.
Belangrijk
U moet een inschrijvingsbeleid toewijzen aan uw apparaten voordat de apparaten actief worden. U wordt aangeraden zo snel mogelijk een standaardinschrijvingsbeleid in te stellen, zodat apparaten die vanuit Apple Business of Apple School Manager worden gesynchroniseerd en vervolgens worden ingeschakeld, correct kunnen worden ingeschreven via geautomatiseerde apparaatinschrijving. Als aan een apparaat dat u hebt gesynchroniseerd vanuit Apple geen inschrijvingsbeleid is toegewezen en iemand het apparaat inschakelt om het in te stellen, mislukt de inschrijving.
Voer bij Basisbeginselen een naam en beschrijving in voor het beleid, zodat u het kunt onderscheiden van andere inschrijvingsbeleidsregels. Deze details zijn niet zichtbaar voor apparaatgebruikers.
Tip
U kunt het naamveld gebruiken om een dynamische groep in Microsoft Entra ID te maken en apparaten automatisch toe te wijzen aan het inschrijvingsbeleid. Gebruik de beleidsnaam om de parameter enrollmentProfileName te definiëren. Zie dynamische groepen Microsoft Entra voor meer informatie.
Selecteer Volgende.
Configureer gebruikersaffiniteit op de pagina Beheerinstellingen. Gebruikersaffiniteit bepaalt of apparaten worden ingeschreven met of zonder toegewezen gebruiker. Uw opties:
Inschrijven zonder gebruikersaffiniteit: apparaten inschrijven die niet aan één gebruiker zijn gekoppeld. Kies deze optie voor gedeelde apparaten en apparaten die geen toegang nodig hebben tot lokale gebruikersgegevens. De Bedrijfsportal-app werkt niet op dit type apparaten. Inschrijven zonder gebruikersaffiniteit wordt ook wel registratie zonder gebruiker genoemd.
Inschrijven met gebruikersaffiniteit: apparaten inschrijven die zijn gekoppeld aan een toegewezen gebruiker. Kies deze optie voor zakelijke apparaten die deel uitmaken van gebruikers en als u wilt vereisen dat gebruikers de Bedrijfsportal-app hebben om apps te installeren. Meervoudige verificatie (MFA) is beschikbaar met deze optie. Inschrijven met gebruikersaffiniteit wordt ook wel inschrijven met een gebruiker genoemd.
Voor optie 2 zijn meer configuraties vereist. Gebruikers moeten zichzelf verifiëren voordat ze worden ingeschreven om hun identiteit te bevestigen. Selecteer een van de volgende verificatiemethoden:
Configuratieassistent met moderne verificatie (aanbevolen): voor deze methode moeten gebruikers alle schermen van configuratieassistent voltooien en zich aanmelden bij de Bedrijfsportal-app met hun Microsoft Entra referenties voordat ze toegang hebben tot resources. Nadat ze zich hebben aangemeld bij Bedrijfsportal, gaat het apparaat:
- Registreert bij Microsoft Entra ID.
- Wordt toegevoegd aan de apparaatrecord van de gebruiker in Microsoft Entra ID.
- Kan worden geëvalueerd op apparaatcompatibiliteit.
- Krijgt toegang tot resources die worden beveiligd door voorwaardelijke toegang.
Als de gebruiker zich niet aanmeldt bij de Bedrijfsportal om de registratie te voltooien, wordt deze omgeleid naar de Bedrijfsportal app telkens wanneer ze een beheerde app met beveiliging voor voorwaardelijke toegang proberen te openen.
Apparaten met macOS 10.15 en hoger kunnen deze methode gebruiken. Oudere macOS-apparaten worden teruggezet op het gebruik van de verouderde methode Setup Assistant. Zie De Bedrijfsportal voor macOS-app toevoegen voor meer informatie over het verkrijgen van de Bedrijfsportal-app voor Mac-gebruikers.
Belangrijk
We raden u aan Configuratieassistent te gebruiken met moderne verificatie voor uw Apple-apparaten voor ADE-scenario's (geautomatiseerde apparaatinschrijving) met gebruikersaffiniteit voor apparaten. Hoewel het gebruik van de verouderde verificatie beschikbaar blijft, raden we het gebruik ervan af.
- Configuratieassistent (verouderd) (niet meer aanbevolen): gebruik de verouderde configuratieassistent als u wilt dat gebruikers de typische out-of-box-ervaring voor Apple-producten ervaren. Met deze methode worden vooraf geconfigureerde standaardinstellingen geïnstalleerd wanneer het apparaat wordt ingeschreven met Intune-beheer. Als u Active Directory Federation Services gebruikt en Configuratieassistent gebruikt om te verifiëren, is een WS-Trust 1.3 Gebruikersnaam/Gemengd eindpunt vereist. Zie Get-ADfsEndpoint voor meer informatie over het ophalen van het ADFS-eindpunt.
Wachten op de definitieve configuratie maakt een vergrendelde ervaring mogelijk aan het einde van Configuratieassistent om ervoor te zorgen dat uw meest kritieke apparaatconfiguratiebeleid op het apparaat wordt geïnstalleerd. Deze instelling wordt eenmaal toegepast tijdens de out-of-box automatische apparaatinschrijving van Apple in Configuratieassistent. De gebruiker van het apparaat ervaart dit niet opnieuw, tenzij hij of zij zijn Mac opnieuw registreert.
Uw opties:
Ja: Net voordat het startscherm wordt geladen, wordt setup assistant onderbroken en kan Intune inchecken met het apparaat. De eindgebruikerservaring wordt vergrendeld terwijl gebruikers wachten op definitieve configuraties. Deze optie is de standaardconfiguratie voor nieuw inschrijvingsbeleid.
Nee: het apparaat wordt vrijgegeven aan het startscherm wanneer De Configuratieassistent wordt beëindigd, ongeacht de status van de beleidsinstallatie. Apparaatgebruikers kunnen mogelijk toegang krijgen tot het startscherm of apparaatinstellingen wijzigen voordat alle beleidsregels zijn geïnstalleerd. Deze optie is de standaardconfiguratie voor bestaande inschrijvingsbeleidsregels.
De hoeveelheid tijd die gebruikers worden vastgehouden op het scherm Wachten op definitieve configuratie varieert en is afhankelijk van het totale aantal beleidsregels en apps dat u aan het apparaat toewijst. Gebruikers kunnen zien dat het apparaatconfiguratiebeleid wordt gedownload in Configuratieassistent terwijl ze wachten. Hoe meer beleidsregels en apps zijn toegewezen, hoe langer de wachttijd. Configuratieassistent en Intune geen minimale of maximale tijdslimiet afdwingen tijdens dit gedeelte van de installatie. Tijdens de productvalidatie zijn de meeste apparaten die we hebben getest, uitgebracht en hebben ze binnen 15 minuten toegang tot het startscherm. Als u deze functie inschakelt en met een Microsoft-partner of niet-Microsoft-service werkt om u te helpen bij het inrichten van apparaten, vertelt u hen over de mogelijkheid voor een langere inrichtingstijd.
De vergrendelde ervaring wordt ondersteund op Macs met macOS 10.11 of hoger. Het werkt op Macs met nieuw of bestaand inschrijvingsbeleid dat is ingesteld voor deze scenario's:
- Inschrijving via Configuratieassistent met moderne verificatie
- Inschrijving met Configuratieassistent (verouderd)
- Inschrijving zonder gebruikersaffiniteit voor apparaten
U kunt vergrendelde inschrijving afdwingen om te voorkomen dat gebruikers de registratie van hun apparaten bij Intune ongedaan maken. Selecteer Ja om de Mac-instellingen in Systeemvoorkeuren en Terminal uit te schakelen waarmee gebruikers het beheerbeleid kunnen verwijderen. Nadat het apparaat is ingeschreven, kunt u deze instelling niet wijzigen zonder het apparaat te wissen.
Selecteer Volgende.
Optioneel kunt u op de pagina Accountinstellingen de lokale beheerders- en gebruikersaccounts configureren op doel-Macs.
Wanneer een ondersteund macOS-apparaat wordt ingeschreven met Intune via een beleid voor automatische apparaatinschrijving (ADE) waarmee de lokale beheerder wordt geconfigureerd, wordt het apparaat ingeschakeld voor configuratie van lokale macOS-accounts met de oplossing voor lokaal beheerderswachtwoord (LAPS) van Microsoft. Met deze mogelijkheid ontvangen nieuw ingeschreven apparaten een uniek lokaal beheerdersaccount met een sterk, versleuteld en gerandomiseerd beheerderswachtwoord (15 alfanumerieke tekens), dat ook wordt opgeslagen en versleuteld door Intune. Na de inschrijving roteert Intune standaard elke zes maanden automatisch een door LAPS beheerd beheerderswachtwoord en ondersteunt het opzoeken en handmatig draaien van het beheerderswachtwoord door Intune beheerders met voldoende machtigingen.
Voor meer informatie over het configureren en vervolgens beheren van deze mogelijkheid raadpleegt u Configuratie van macOS-account instellen met LAPS.
De volgende instellingen voor het lokale gebruikersaccount worden ondersteund op apparaten met macOS 12 of hoger. Houd er tijdens het configureren van het primaire account rekening mee dat dit account een beheerdersaccount wordt. Het hebben van ten minste één beheerdersaccount is een Mac-installatievereiste. Als u ook het lokale beheerderswachtwoord via dit beleid configureert, raadpleegt u lokaal beheerdersaccount in het artikel MacOS-accountconfiguratie instellen met LAPS en keert u hier terug.
Uw opties:
Een lokaal gebruikersaccount maken: selecteer Ja om de instellingen van het lokale gebruikersaccount te configureren voor doel-Macs. Selecteer Niet geconfigureerd om alle configuraties van accountinstellingen over te slaan.
Accountgegevens vooraf invullen: voor de standaardconfiguratie , Niet geconfigureerd, moet de gebruiker van het apparaat de gebruikersnaam en volledige naam van het account invoeren in Configuratieassistent. Als u de accountgegevens voor hen vooraf wilt invullen, selecteert u Ja. Voer vervolgens de naam van het primaire account en de volledige naam in:
Gebruikersnaam van lokaal gebruikersaccount:
- {{serialNumber}} - bijvoorbeeld F4KN99ZUG5V2
- {{partialupn}} - bijvoorbeeld Jan
- {{managedDeviceName}} - bijvoorbeeld F2AL10ZUG4W2_14_4/15/2025_12:45PM
- {{OnPremisesSamAccountName}} - bijvoorbeeld contoso\John
Volledige naam van lokaal gebruikersaccount::
- {{username}} - bijvoorbeeld John@contoso.com
- {{serialNumber}} - bijvoorbeeld F4KN99ZUG5V2
- {{OnPremisesSamAccountName}} - bijvoorbeeld contoso\John
Bewerken beperken: de standaardconfiguratie is ingesteld op Ja , zodat apparaatgebruikers de accountnaam en volledige naam die voor hen zijn geconfigureerd, niet kunnen bewerken. Als u wilt toestaan dat apparaatgebruikers de accountnaam en volledige naam kunnen bewerken, selecteert u Niet geconfigureerd. Als u alleen configuratieassistent (verouderd) gebruikt om apparaten met macOS 10.15 en hoger in te schrijven, kunt u de volgende eindgebruikerservaring verwachten:
- Ja: het scherm voor het maken van een account in Configuratieassistent wordt nooit weergegeven. In plaats daarvan wordt het lokale gebruikersaccount automatisch gemaakt op basis van de andere instellingsconfiguraties en wordt het wachtwoord automatisch ingevuld vanuit het Microsoft Entra verificatiescherm. De gebruiker van het apparaat kan deze velden niet bewerken.
- Niet geconfigureerd: het scherm van het lokale gebruikersaccount wordt weergegeven aan de eindgebruiker in configuratieassistent en wordt gevuld met de geconfigureerde accountwaarden en het wachtwoord van het Microsoft Entra verificatiescherm. De gebruiker van het apparaat kan deze velden bewerken tijdens configuratieassistent.
Accountinstellingen werken alleen zoals bedoeld als uw inschrijvingsbeleid de volgende configuraties heeft:
- Gebruikersaffiniteit: selecteer Inschrijven met Gebruikersaffiniteit.
- Verificatiemethode: selecteer Configuratieassistent met moderne verificatie of Configuratieassistent (verouderd).
- Wachten op de definitieve configuratie: selecteer Ja.
Lokale accounts zijn afhankelijk van de functie Wacht op de definitieve configuratie wanneer ze worden gemaakt. Als u instellingen voor lokale beheerders- of gebruikersaccounts configureert, is deze instelling daarom altijd ingeschakeld. Zelfs als u de configuratie-instelling wachten niet aanraakt, wordt deze altijd op de achtergrond ingeschakeld en toegepast op het inschrijvingsbeleid.
Selecteer Volgende.
Configureer op de pagina Configuratieassistent de configuratieassistent-ervaring.
- Voer uw afdelingsgegevens in, zodat gebruikers weten met wie ze contact kunnen opnemen voor ondersteuning:
- Afdelingsnaam: deze naam wordt weergegeven wanneer apparaatgebruikers Tijdens de activering Over configuratie selecteren.
- Afdelingstelefoon: dit telefoonnummer wordt weergegeven wanneer apparaatgebruikers Hulp nodig hebben tijdens de activering selecteren.
- Selecteer de schermen van de configuratieassistent die u wilt weergeven of verbergen tijdens de installatie van het apparaat. Zie Schermreferentie voor configuratieassistent (in dit artikel) voor een beschrijving van alle schermen. Uw opties:
- Verbergen: het scherm wordt niet weergegeven voor gebruikers tijdens de installatie van het apparaat. Nadat het apparaat is ingesteld, kan de gebruiker naar de apparaatinstellingen gaan om de functie in te stellen.
- Weergeven: het scherm wordt weergegeven voor gebruikers tijdens de installatie van het apparaat. De gebruiker kan nog steeds schermen overslaan waarvoor geen onmiddellijke actie is vereist. Nadat het apparaat is ingesteld, kan de gebruiker naar de apparaatinstellingen gaan om de functie in te stellen.
- Voer uw afdelingsgegevens in, zodat gebruikers weten met wie ze contact kunnen opnemen voor ondersteuning:
Selecteer Volgende.
Bekijk het overzicht van de wijzigingen en selecteer vervolgens Maken om het maken van het beleid te voltooien.
Schermreferentie voor Configuratieassistent
In de volgende tabel worden de schermen van de configuratieassistent beschreven die worden weergegeven tijdens automatische apparaatinschrijving voor Macs. U kunt deze schermen tijdens de inschrijving weergeven of verbergen op ondersteunde apparaten. Zie deze Apple-resources voor meer informatie over hoe elk scherm van de configuratieassistent van invloed is op de gebruikerservaring:
- Implementatiehandleiding voor Apple Platform: Configuratieassistent beheren voor Apple-apparaten
- Documentatie voor Apple Developer: ShipKeys
| Scherm Configuratieassistent | Wat gebeurt er wanneer deze zichtbaar is |
|---|---|
| Locatieservices | Toont het installatievenster van locatieservices, waar gebruikers locatieservices op hun apparaat kunnen inschakelen. Voor macOS 10.11 en hoger. |
| Herstellen | Toont het deelvenster apps en gegevens instellen. Op dit scherm kunnen gebruikers die apparaten instellen gegevens herstellen of overdragen vanuit iCloud Backup. Voor macOS 10.9-15.3. Voor macOS 15.4 en hoger kan dit scherm niet worden verborgen en ontvangt de gebruiker na de inschrijving een waarschuwing dat ze geen gegevens van een ander apparaat kunnen overdragen omdat MDM de instelling beheert. |
| Apple-id | Toont het deelvenster Apple ID-installatie, waarin gebruikers de optie hebben om zich aan te melden met hun Apple ID en iCloud te gebruiken. Voor macOS 10.9 en hoger. |
| Voorwaarden | Toont het deelvenster Voorwaarden van Apple en vereist dat gebruikers deze accepteren. Voor macOS 10.9 en hoger. |
| Touch ID en Face ID | Toont het deelvenster biometrische instellingen, waarmee gebruikers de mogelijkheid hebben om vingerafdruk- of gezichtsidentificatie op hun apparaten in te stellen. Voor macOS 10.12.4 en hoger. |
| Apple Pay | Toont het deelvenster Apple Pay-installatie, waarin gebruikers apple pay kunnen instellen op hun apparaten. Voor macOS 10.12.4 en hoger. |
| Siri | Toont het siri-installatievenster voor gebruikers. Voor macOS 10.12 en hoger. |
| Diagnostische gegevens | Toont het deelvenster Diagnostische gegevens waar gebruikers zich kunnen aanmelden om diagnostische gegevens naar Apple te verzenden. Voor macOS 10.9 en hoger. |
| Weergavetoon | Hiermee wordt het installatievenster voor de weergavetoon weergegeven. Dit scherm biedt gebruikers de mogelijkheid om true tone display in te schakelen. Voor macOS 10.13.6 en hoger. |
| FileVault | Toont het versleutelingsscherm van FileVault 2 voor gebruikers. Voor macOS 10.10 en hoger. |
| Diagnostische gegevens van iCloud | Toont het scherm iCloud Analytics voor gebruikers. Voor macOS 10.12.4 en hoger. |
| Registratie | Toont het registratiescherm voor gebruikers. Voor macOS 10.9 en hoger. |
| iCloud-opslag | Toont het scherm iCloud-documenten en -bureaublad voor de gebruiker. Voor macOS 10.13.4 en hoger. |
| Uiterlijk | Toont het weergavevenster waarin gebruikers een weergavemodus kunnen selecteren. Voor macOS 10.14 en hoger. |
| Schermtijd | Toont het installatievenster van macOS-schermtijd, een functie die gebruikers kunnen inschakelen om inzicht te krijgen in schermtijd en app- en websiteactiviteit. Voor macOS 10.15 en hoger. |
| Privacy | Hiermee wordt het deelvenster privacyinstellingen weergegeven aan de gebruiker. Voor macOS 10.13.4 en hoger. |
| Toegankelijkheid | Hiermee wordt het scherm voor het instellen van toegankelijkheid weergegeven aan de gebruiker. Als dit scherm is verborgen, kan de gebruiker de functie macOS Voice Over niet gebruiken. Voice Over wordt ondersteund op apparaten die: - macOS 11 uitvoeren. - zijn verbonden met internet via Ethernet. - Een serienummer hebben in Apple School Manager of Apple Business. |
| Automatisch ontgrendelen met Apple Watch | Toont het deelvenster macOS Ontgrendelen met Apple Watch, waar gebruikers hun Apple Watch kunnen configureren om hun Mac te ontgrendelen. Voor macOS 12.0 en hoger. |
| Adresvoorwaarden | Toont de termen van het adresvenster, waarmee gebruikers de mogelijkheid hebben om te kiezen hoe ze in het hele systeem willen worden aangepakt: vrouwelijk, mannelijk of neutraal. Deze Apple-functie is beschikbaar voor bepaalde talen. Zie Instellingen voor taal & regio wijzigen op Mac (hiermee opent u de Apple-website) voor meer informatie. Voor macOS 13.0 en hoger. |
| Wallpaper | Toont het installatievenster met de achtergrond van macOS Sonoma nadat apparaten een software-upgrade hebben voltooid. Als u dit scherm verbergt, krijgen apparaten de standaardachtergrond met macOS Sonoma. Voor macOS 14.1 en hoger. |
| Vergrendelingsmodus | Hiermee wordt het installatievenster voor de vergrendelingsmodus weergegeven aan gebruikers die een Apple ID hebben ingesteld. Voor macOS 14.0 en hoger. |
| Intelligence | Toont het deelvenster Apple Intelligence-configuratie, waar gebruikers Apple Intelligence-functies kunnen configureren. Voor macOS 15.0 en hoger. |
| App Store | Hiermee wordt het deelvenster Apple App Store weergegeven. Voor macOS 11.1 en hoger. |
| Software-update | Hiermee wordt het scherm voor verplichte software-updates weergegeven. Voor macOS 15.4 en hoger. |
| Aanvullende privacyinstellingen | Hiermee wordt het deelvenster met aanvullende privacyinstellingen weergegeven. Voor macOS 26.0 en hoger. |
| OS Showcase | Toont het showcasevenster van het besturingssysteem. Voor macOS 26.1 en hoger. |
| Bijwerken is voltooid | Toont het deelvenster Software-update voltooid. Voor macOS 26.1 en hoger. |
| Aan de slag | Hiermee wordt het deelvenster Aan de slag weergegeven. Voor macOS 15.0 en hoger. |
Een inschrijvingsbeleid toewijzen aan apparaten
Een inschrijvingsbeleid toewijzen aan Apple-apparaten.
- Ga terug naar inschrijvingsprogrammatokens en selecteer een token.
- Selecteer Apparaten.
- Kies uw apparaten in de lijst en selecteer vervolgens Beleid toewijzen.
- Kies een beleid dat u wilt toewijzen en selecteer vervolgens Toewijzen.
U kunt desgewenst een standaardinschrijvingsbeleid selecteren. Het standaardbeleid wordt geïmplementeerd op alle apparaten die aan het token zijn gekoppeld.
- Ga terug naar inschrijvingsprogrammatokens en selecteer een token.
- Selecteer Standaardbeleid instellen.
- Kies een beleid en selecteer vervolgens Opslaan.
Volgende stappen
- Zie MacOS ADE-apparaten en -tokens beheren om apparaten te synchroniseren, apparaten naar gebruikers te distribueren en tokens te beheren.
- Zie Een macOS ADE-token instellen als u het token voor het inschrijvingsprogramma wilt vernieuwen of verwijderen.
- Gebruik Acties voor externe apparaten in Microsoft Intune om ingeschreven Macs op afstand te beheren.