Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Gäller för macOS
Den här artikeln beskriver hur du skapar en registreringsprincip för automatisk enhetsregistrering i macOS (ADE) i Microsoft Intune. En översikt över ADE och kravkonfiguration finns i Översikt över Automatisk enhetsregistrering för apple för macOS.
Obs!
Stegen i den här artikeln är desamma oavsett om du använder Apple Business eller Apple School Manager. För korthet hänvisar vi endast till Apple Business under stegen i den här artikeln, förutom när det är nödvändigt med förtydliganden.
Förhandskrav
Krav för enhetsplattform
Nya eller rensade macOS-enheter som köpts via Apple Business eller Apple School Manager.
Konfigurationskrav för klientorganisation
- Åtkomst till Apple Business-portalen eller Apple School Manager-portalen.
- En aktiv Apple-token (.p7m-fil). Anvisningar finns i Konfigurera en macOS ADE-token.
- Ett Apple MDM-pushcertifikat i Intune.
Tips
Automatisk enhetsregistrering tillämpar enhetskonfigurationer som en enhetsanvändare kanske inte kan ta bort. Rensa alla enheter före registreringen för att återställa dem till ett inaktuellt tillstånd.
När du registrerar macOS-enheter med ADE med användartillhörighet och installationsassistenten med modern autentisering måste användarna logga in på Företagsportal-appen med sina Microsoft Entra autentiseringsuppgifter för att slutföra enhetsregistreringen i Microsoft Entra ID. Information om hur du lägger till Företagsportal-appen på macOS-enheter finns i Lägg till Företagsportal för macOS-appen.
Skapa en registreringsprincip
Skapa en princip för automatisk enhetsregistrering i administrationscentret. Principen definierar registreringsupplevelsen för din organisations Mac-enheter och framtvingar registreringsprinciper och inställningar för registrering av enheter. Principen distribueras till tilldelade enheter över luften.
I slutet av den här proceduren kan du tilldela den här principen till Microsoft Entra enhetsgrupper.
I administrationscentret går du till Enhetsregistrering>.
Välj fliken macOS .
Under Massregistreringsmetoder väljer du Token för registreringsprogram.
Välj en token för registreringsprogram.
Välj Registreringsprinciper>Skapa princip>macOS.
Viktigt
Du måste tilldela en registreringsprincip till dina enheter innan enheterna blir aktiva. Vi rekommenderar att du anger en standardregistreringsprincip så snart som möjligt så att enheterna kan synkroniseras från Apple Business eller Apple School Manager och sedan aktivera dem genom automatisk enhetsregistrering. Om en enhet som du synkroniserade från Apple inte har tilldelats en registreringsprincip och någon aktiverar den för att konfigurera den misslyckas registreringen.
För Grundläggande anger du ett namn och en beskrivning för principen så att du kan skilja den från andra registreringsprinciper. Den här informationen är inte synlig för enhetsanvändare.
Tips
Du kan använda namnfältet för att skapa en dynamisk grupp i Microsoft Entra ID och automatiskt tilldela enheter till registreringsprincipen. Använd principnamnet för att definiera parametern enrollmentProfileName . Mer information finns i Microsoft Entra dynamiska grupper.
Välj Nästa.
På sidan Hanteringsinställningar konfigurerar du användartillhörighet. Användartillhörighet avgör om enheter registreras med eller utan en tilldelad användare. Dina alternativ:
Registrera utan användartillhörighet: Registrera enheter som inte är associerade med en enda användare. Välj det här alternativet för delade enheter och enheter som inte behöver komma åt lokala användardata. Den Företagsportal appen fungerar inte på de här typerna av enheter. Registrering utan användartillhörighet kallas även för registrering utan användartillhörighet.
Registrera med användartillhörighet: Registrera enheter som är associerade med en tilldelad användare. Välj det här alternativet för arbetsenheter som tillhör användare och om du vill kräva att användarna har Företagsportal app för att installera appar. Multifaktorautentisering (MFA) är tillgängligt med det här alternativet. Registrering med användartillhörighet kallas även registrering med en användare.
Alternativ 2 kräver fler konfigurationer. Användarna måste autentisera sig själva före registreringen för att bekräfta sin identitet. Välj någon av följande autentiseringsmetoder:
Installationsassistenten med modern autentisering (rekommenderas): Den här metoden kräver att användarna slutför alla installationsassistentens skärmar och loggar in på Företagsportal-appen med sina Microsoft Entra autentiseringsuppgifter innan de kan komma åt resurser. När de har loggat in på Företagsportal, enheten:
- Registrerar med Microsoft Entra ID.
- Läggs till i användarens enhetspost i Microsoft Entra ID.
- Kan utvärderas för enhetsefterlevnad.
- Får åtkomst till resurser som skyddas av villkorlig åtkomst.
Om användaren inte loggar in på Företagsportal för att slutföra registreringen omdirigeras de till Företagsportal-appen varje gång de försöker öppna en hanterad app med villkorlig åtkomstskydd.
Enheter som kör macOS 10.15 och senare kan använda den här metoden. Äldre macOS-enheter återgår till att använda den äldre installationsassistentmetoden. Mer information om hur du hämtar Företagsportal-appen till Mac-användare finns i Lägga till Företagsportal för macOS-appen.
Viktigt
Vi rekommenderar att du använder installationsassistenten med modern autentisering för dina Apple-enheter för ADE-scenarier (automatisk enhetsregistrering) med mappning mellan användare och enhet. Även om den äldre autentiseringen fortfarande är tillgänglig rekommenderar vi inte att den används.
- Installationsassistenten (äldre) (rekommenderas inte längre): Använd den äldre installationsassistenten om du vill att användarna ska uppleva den typiska välkomstupplevelsen för Apple-produkter. Den här metoden installerar förkonfigurerade standardinställningar när enheten registreras med Intune hantering. Om du använder Active Directory Federation Services (ADFS) (AD FS) och du använder installationsassistenten för autentisering krävs en WS-Trust 1.3 Användarnamn/Kombinerad slutpunkt. Mer information om hur du hämtar ADFS-slutpunkten finns i Get-ADfsEndpoint.
Await-konfigurationen ger en låst upplevelse i slutet av installationsassistenten för att säkerställa att dina mest kritiska enhetskonfigurationsprinciper är installerade på enheten. Den här inställningen tillämpas en gång under den färdiga apple-funktionen för automatisk enhetsregistrering i installationsassistenten. Enhetsanvändaren upplever det inte igen om de inte registrerar sin Mac igen.
Dina alternativ:
Ja: Precis innan startskärmen läses in pausar installationsassistenten och låter Intune checka in med enheten. Slutanvändarupplevelsen låse medan användarna väntar på slutgiltiga konfigurationer. Det här alternativet är standardkonfigurationen för nya registreringsprinciper.
Nej: Enheten släpps på startskärmen när installationsassistenten slutar, oavsett status för principinstallation. Enhetsanvändare kanske kan komma åt startskärmen eller ändra enhetsinställningarna innan alla principer installeras. Det här alternativet är standardkonfigurationen för befintliga registreringsprinciper.
Hur lång tid användarna hålls på skärmen Väntar på slutlig konfiguration varierar och beror på det totala antalet principer och appar som du tilldelar enheten. Användarna kan se hur enhetskonfigurationsprinciperna laddas ned i installationsassistenten medan de väntar. Ju fler principer och appar som tilldelas, desto längre väntetid. Installationsassistenten och Intune tillämpar inte en minsta eller högsta tidsgräns under den här delen av installationen. Under produktvalidering släpptes de flesta enheter som vi testade och kunde komma åt startskärmen inom 15 minuter. Om du aktiverar den här funktionen och arbetar med en Microsoft-partner eller en tjänst som inte kommer från Microsoft för att hjälpa dig att etablera enheter kan du berätta om potentialen för ökad etableringstid.
Den låsta upplevelsen stöds på Mac-datorer som kör macOS 10.11 eller senare. Det fungerar på Mac-datorer som är riktade mot nya eller befintliga registreringsprinciper som konfigurerats för följande scenarier:
- Registrering via installationsassistenten med modern autentisering
- Registrering med installationsassistenten (äldre)
- Registrering utan mappning mellan användare och enhet
Du kan framtvinga låst registrering för att förhindra att användare avregistrerar sina enheter från att Intune. Välj Ja för att inaktivera Mac-inställningarna i Systeminställningar och Terminal som gör att användarna kan ta bort hanteringsprincipen. När enheten har registrerats kan du inte ändra den här inställningen utan att rensa enheten.
Välj Nästa.
Du kan också konfigurera de lokala administratörs- och användarkontona på mål-Mac-datorer på sidan Kontoinställningar .
När en macOS-enhet som stöds registreras med Intune via en princip för automatisk enhetsregistrering (ADE) som konfigurerar den lokala administratören aktiveras enheten för lokal kontokonfiguration i macOS med Microsofts lokala administratörslösenordslösning (LAPS). Med den här funktionen får nyligen registrerade enheter ett unikt lokalt administratörskonto som har ett starkt, krypterat och slumpmässigt administratörslösenord (15 alfanumeriska tecken), som också lagras och krypteras av Intune. Efter registreringen roterar Intune automatiskt ett LAPS-hanterat administratörslösenord var sjätte månad som standard och stöder uppslag och manuell rotation av administratörslösenordet av Intune administratörer med tillräcklig behörighet.
Information om hur du konfigurerar och sedan hanterar den här funktionen finns i Konfigurera konfiguration av macOS-konto med LAPS.
Följande inställningar för det lokala användarkontot stöds på enheter som kör macOS 12 eller senare. Tänk på när du konfigurerar det primära kontot att det här kontot ska vara ett administratörskonto . Att ha minst ett administratörskonto är ett konfigurationskrav för Mac. Om du också konfigurerar det lokala administratörslösenordet via den här principen kan du läsa det lokala administratörskontot i artikeln Konfigurera macOS-kontokonfiguration med LAPS och sedan gå tillbaka hit.
Dina alternativ:
Skapa ett lokalt användarkonto: Välj Ja för att konfigurera inställningar för lokala användarkonton för mål-Mac-datorer. Välj Inte konfigurerad för att hoppa över alla konfigurationer av kontoinställningar.
Information om förfyllnadskonto: Standardkonfigurationen, Inte konfigurerad, kräver att enhetsanvändaren anger sitt kontoanvändarnamn och fullständiga namn i installationsassistenten. Om du vill fylla i kontoinformationen för dem i stället väljer du Ja. Ange sedan det primära kontonamnet och det fullständiga namnet:
Användarnamn för lokalt användarkonto:
- {{serialNumber}} – till exempel F4KN99ZUG5V2
- {{partialupn}} – till exempel John
- {{managedDeviceName}} – till exempel F2AL10ZUG4W2_14_4/15/2025_12:45PM
- {{OnPremisesSamAccountName}} – till exempel contoso\John
Fullständigt namn på lokalt användarkonto::
- {{username}} – till exempel John@contoso.com
- {{serialNumber}} – till exempel F4KN99ZUG5V2
- {{OnPremisesSamAccountName}} – till exempel contoso\John
Begränsa redigering: Standardkonfigurationen är inställd på Ja så att enhetsanvändare inte kan redigera kontonamnet och det fullständiga namnet som konfigurerats för dem. Om du vill tillåta att enhetsanvändare redigerar kontonamnet och det fullständiga namnet väljer du Inte konfigurerat. Om du bara använder installationsassistenten (äldre) för att registrera enheter som kör macOS 10.15 och senare kan du förvänta dig följande slutanvändarupplevelse:
- Ja: Skärmen för att skapa konto i installationsassistenten visas aldrig. I stället skapas det lokala användarkontot automatiskt baserat på de andra inställningskonfigurationerna, och lösenordet fylls i automatiskt från skärmen Microsoft Entra autentisering. Enhetsanvändaren kan inte redigera dessa fält.
- Inte konfigurerad: Skärmen för det lokala användarkontot visas för slutanvändaren i installationsassistenten och fylls i med de konfigurerade kontovärdena och lösenordet från skärmen Microsoft Entra autentisering. Enhetsanvändaren kan redigera dessa fält under installationsassistenten.
För att kontoinställningarna ska fungera som avsett måste din registreringsprincip ha följande konfigurationer:
- Användartillhörighet: Välj Registrera med användartillhörighet.
- Autentiseringsmetod: Välj Installationsassistenten med modern autentisering eller installationsassistent (äldre).
- Väntar på slutlig konfiguration: Välj Ja.
Lokala konton är beroende av den väntande slutliga konfigurationsfunktionen när de skapas. Om du konfigurerar inställningar för lokal administratör eller användarkonto är den här inställningen därför alltid aktiverad. Även om du inte trycker på den väntande slutgiltiga konfigurationsinställningen är den alltid aktiverad i bakgrunden och tillämpas på registreringsprincipen.
Välj Nästa.
På sidan Installationsassistenten konfigurerar du installationsassistentens upplevelse.
- Ange din avdelningsinformation så att användarna vet vem som ska kontaktas för support:
- Avdelningsnamn: Det här namnet visas när enhetsanvändare väljer Om konfiguration under aktiveringen.
- Avdelningstelefon: Det här telefonnumret visas när enhetsanvändare väljer Behöver hjälp under aktiveringen.
- Välj de skärmar i installationsassistenten som du vill visa eller dölja under enhetskonfigurationen. En beskrivning av alla skärmar finns i Skärmreferens för installationsassistenten (i den här artikeln). Dina alternativ:
- Dölj: Skärmen visas inte för användarna under enhetskonfigurationen. Efter enhetskonfigurationen kan användaren gå till sina enhetsinställningar för att konfigurera funktionen.
- Visa: Skärmen visas för användare under enhetskonfigurationen. Användaren kan fortfarande hoppa över skärmar som inte kräver omedelbara åtgärder. Efter enhetskonfigurationen kan användaren gå till sina enhetsinställningar för att konfigurera funktionen.
- Ange din avdelningsinformation så att användarna vet vem som ska kontaktas för support:
Välj Nästa.
Granska sammanfattningen av ändringarna och välj sedan Skapa för att slutföra skapandet av principen.
Skärmreferens för installationsassistenten
I följande tabell beskrivs skärmarna i installationsassistenten som visas under automatisk enhetsregistrering för Mac-datorer. Du kan visa eller dölja dessa skärmar på enheter som stöds under registreringen. Mer information om hur varje skärm för installationsassistenten påverkar användarupplevelsen finns i följande Apple-resurser:
- Guide för appleplattformsdistribution: Hantera installationsassistenten för Apple-enheter
- Dokumentation om Apple Developer: ShipKeys
| Skärmen Installationsassistent | Vad händer när det visas |
|---|---|
| Platstjänster | Visar installationsfönstret för platstjänster, där användare kan aktivera platstjänster på sin enhet. För macOS 10.11 och senare. |
| Återställ | Visar fönstret för appar och datakonfiguration. På den här skärmen kan användare som konfigurerar enheter återställa eller överföra data från iCloud Backup. För macOS 10.9-15.3. För macOS 15.4 och senare kan den här skärmen inte döljas och användaren får en avisering efter registreringen om att de inte kan överföra data från en annan enhet eftersom MDM styr inställningen. |
| Apple-ID | Visar konfigurationsfönstret för Apple ID, som ger användarna möjlighet att logga in med sitt Apple-ID och använda iCloud. För macOS 10.9 och senare. |
| Allmänna villkor | Visar fönstret Apple-villkor och kräver att användarna accepterar dem. För macOS 10.9 och senare. |
| Touch-ID och ansikts-ID | Visar fönstret för biometrisk konfiguration, som ger användarna möjlighet att konfigurera fingeravtryck eller ansiktsidentifiering på sina enheter. För macOS 10.12.4 och senare. |
| Apple Pay | Visar konfigurationsfönstret för Apple Pay, som ger användarna möjlighet att konfigurera Apple Pay på sina enheter. För macOS 10.12.4 och senare. |
| Siri | Visar siri-installationsfönstret för användare. För macOS 10.12 och senare. |
| Diagnostikdata | Visar diagnostikfönstret där användare kan välja att skicka diagnostikdata till Apple. För macOS 10.9 och senare. |
| Visningston | Visar installationsfönstret för visningstonen. Den här skärmen ger användarna möjlighet att aktivera sann tonvisning. För macOS 10.13.6 och senare. |
| FileVault | Visar filevault 2-krypteringsskärmen för användare. För macOS 10.10 och senare. |
| iCloud-diagnostik | Visar iCloud Analytics-skärmen för användare. För macOS 10.12.4 och senare. |
| Registrering | Visar registreringsskärmen för användare. För macOS 10.9 och senare. |
| iCloud-lagring | Visar iCloud-dokument och skrivbordsskärmen för användaren. För macOS 10.13.4 och senare. |
| Utseende | Visar fönstret utseende där användare kan välja ett utseendeläge. För macOS 10.14 och senare. |
| Skärmtid | Visar konfigurationsfönstret för macOS-skärmtid, en funktion som användare kan aktivera för att få insikter om skärmtid och app- och webbplatsaktivitet. För macOS 10.15 och senare. |
| Sekretess | Visar sekretesskonfigurationsfönstret för användaren. För macOS 10.13.4 och senare. |
| Hjälpmedel | Visar tillgänglighetskonfigurationsskärmen för användaren. Om den här skärmen är dold kan användaren inte använda funktionen voice over i macOS. Voice Over stöds på enheter som: – Kör macOS 11. – Är ansluten till internet med Ethernet. – Har ett serienummer i Apple School Manager eller Apple Business. |
| Automatisk upplåsning med Apple Watch | Visar fönstret macOS Unlock with Apple Watch (Lås upp med Apple Watch), där användarna kan konfigurera sin Apple Watch för att låsa upp sin Mac. För macOS 12.0 och senare. |
| Adressvillkor | Visar villkoren för adressfönstret, som ger användarna möjlighet att välja hur de vill åtgärdas i hela systemet: feminint, maskulint eller neutralt. Den här Apple-funktionen är tillgänglig för utvalda språk. Mer information finns i Ändra inställningar för språk & region på Mac (öppnar Apples webbplats). För macOS 13.0 och senare. |
| Tapeter | Visar skrivbordsunderläggsfönstret för macOS Sonoma när enheterna har slutfört en programvaruuppgradering. Om du döljer den här skärmen får enheterna standardunderlägget macOS Sonoma. För macOS 14.1 och senare. |
| Låsningsläge | Visar inställningsfönstret för låsningsläge för användare som har konfigurerat ett Apple-ID. För macOS 14.0 och senare. |
| Intelligens | Visar konfigurationsfönstret för Apple Intelligence, där användare kan konfigurera Apple Intelligence-funktioner. För macOS 15.0 och senare. |
| App Store | Visar fönstret Apple App Store. För macOS 11.1 och senare. |
| Programuppdatering | Visar den obligatoriska skärmen för programuppdatering. För macOS 15.4 och senare. |
| Ytterligare sekretessinställningar | Visar fönstret ytterligare sekretessinställningar. För macOS 26.0 och senare. |
| OS Showcase | Visar operativsystemets visningsfönster. För macOS 26.1 och senare. |
| Uppdateringen har slutförts | Visar fönstret programuppdateringen är klar. För macOS 26.1 och senare. |
| Komma igång | Visar fönstret Kom igång. För macOS 15.0 och senare. |
Tilldela en registreringsprincip till enheter
Tilldela en registreringsprincip till Apple-enheter.
- Gå tillbaka till Token för registreringsprogram och välj en token.
- Välj Enheter.
- Välj dina enheter i listan och välj sedan Tilldela princip.
- Välj en princip att tilldela och välj sedan Tilldela.
Du kan också välja en standardregistreringsprincip. Standardprincipen distribueras till alla registreringsenheter som är associerade med token.
- Gå tillbaka till Token för registreringsprogram och välj en token.
- Välj Ange standardprincip.
- Välj en princip och välj sedan Spara.
Nästa steg
- Information om hur du synkroniserar enheter, distribuerar enheter till användare och hanterar token finns i Hantera macOS ADE-enheter och token.
- Information om hur du förnyar eller tar bort din token för registreringsprogram finns i Konfigurera en macOS ADE-token.
- Använd Åtgärder för fjärrenheter i Microsoft Intune för att fjärrhantera registrerade Mac-datorer.