macOS-Gerätefeatureeinstellungen in Intune

Hinweis

Intune unterstützt möglicherweise mehr Einstellungen als die in diesem Artikel aufgeführten Einstellungen. Nicht alle Einstellungen sind dokumentiert und werden nicht dokumentiert. Um die Einstellungen anzuzeigen, die Sie konfigurieren können, erstellen Sie eine Gerätekonfigurationsrichtlinie, und wählen Sie Einstellungskatalog aus. Weitere Informationen finden Sie unter Einstellungskatalog.

Intune enthält integrierte Einstellungen zum Anpassen von Features auf Ihren macOS-Geräten. Administratoren können beispielsweise AirPrint-Drucker hinzufügen, auswählen, wie sich Benutzer anmelden, die Energiesteuerungen konfigurieren, die Authentifizierung mit einmaligem Anmelden verwenden und vieles mehr.

Verwenden Sie diese Features, um macOS-Geräte als Teil Ihrer MDM-Lösung (Mobile Device Management) zu steuern.

Diese Funktion gilt für:

  • macOS

In diesem Artikel werden diese Einstellungen beschrieben. Außerdem werden die Schritte zum Abrufen der IP-Adresse, des Pfads und des Ports von AirPrint-Druckern mithilfe der Terminal-App (Emulator) aufgeführt. Weitere Informationen zu Gerätefeatures finden Sie unter Hinzufügen von Einstellungen für iOS-/iPadOS- oder macOS-Gerätefeatures.

Bevor Sie beginnen

AirPrint

Einstellungen gelten für: Alle Registrierungstypen

  • AirPrint-Ziele: Geben Sie mindestens eine AirPrint-Druckerinformation ein, damit Benutzer von ihren Geräten drucken können:

    • IP-Adresse: Geben Sie die IPv4- oder IPv6-Adresse des Druckers ein. Geben Sie beispielsweise 10.0.0.1 ein. Wenn Sie Hostnamen zum Identifizieren von Druckern verwenden, können Sie die IP-Adresse abrufen, indem Sie den Drucker in der Terminal-App pingen. Abrufen der IP-Adresse und des Pfads (in diesem Artikel) enthält weitere Details.
    • Ressourcenpfad: Geben Sie den Ressourcenpfad des Druckers ein. Der Pfad ist in der Regel ipp/print für Drucker in Ihrem Netzwerk. Abrufen der IP-Adresse und des Pfads (in diesem Artikel) enthält weitere Details.
    • Port (iOS 11.0 und höher, iPadOS 13.0+): Geben Sie den Lauschport des AirPrint-Ziels ein. Wenn Sie diese Eigenschaft leer lassen, verwendet AirPrint den Standardport.
    • TLS erzwingen (iOS 11.0 und höher, iPadOS 13.0+): Ihre Optionen:
      • Deaktivieren (Standard): Transport Layer Security (TLS) wird beim Herstellen einer Verbindung mit AirPrint-Druckern nicht erzwungen.
      • Aktivieren: Sichert AirPrint-Verbindungen mit Transport Layer Security (TLS).
  • Importieren Sie eine durch Trennzeichen getrennte Datei (.csv), die eine Liste von AirPrint-Druckern enthält. Außerdem können Sie diese Liste exportieren , nachdem Sie AirPrint-Drucker in Intune hinzugefügt haben.

Abrufen der IP-Adresse und des Pfads

Zum Hinzufügen von AirPrinter-Servern benötigen Sie die IP-Adresse des Druckers, den Ressourcenpfad und den Port. Die folgenden Schritte zeigen, wie Sie diese Informationen abrufen.

  1. Öffnen Sie auf einem Mac, der eine Verbindung mit demselben lokalen Netzwerk (Subnetz) wie die AirPrint-Drucker herstellt, die Terminal-App (über /Applications/Utilities).

  2. Geben Sie in der Terminal-App ein ippfind, und drücken Sie die EINGABETASTE.

    Notieren Sie sich die Druckerinformationen. Es kann z. B. etwas wie ipp://myprinter.local.:631/ipp/port1zurückgeben. Der erste Teil ist der Name des Druckers. Der letzte Teil (ipp/port1) ist der Ressourcenpfad.

  3. Geben Sie in der Terminal-App ein ping myprinter.local, und drücken Sie die EINGABETASTE.

    Notieren Sie sich die IP-Adresse. Es kann z. B. etwas wie PING myprinter.local (10.50.25.21)zurückgeben.

  4. Verwenden Sie die Werte für IP-Adresse und Ressourcenpfad. In diesem Beispiel lautet 10.50.25.21die IP-Adresse , und der Ressourcenpfad ist /ipp/port1.

Zugeordnete Domänen

In Intune haben Sie folgende Möglichkeiten:

  • Fügen Sie viele App-zu-Domänen-Zuordnungen hinzu.
  • Ordnen Sie der gleichen App viele Domänen zu.

Diese Einstellung gilt für:

  • macOS 10.15 und neuer

Einstellungen gelten für: Vom Benutzer genehmigte Geräteregistrierung und automatisierte Geräteregistrierung

Diese Einstellungen verwenden die AssociatedDomains.ConfigurationItem-Nutzlast (öffnet die Website von Apple).

  • Zugeordnete Domänen: Fügen Sie eine Zuordnung zwischen Ihrer Domäne und einer App hinzu. Dieses Feature gibt Anmeldeinformationen zwischen einer Contoso-App und einer Contoso-Website gemeinsam. Geben Sie außerdem Folgendes ein:

    • App-ID: Geben Sie den App-Bezeichner der App ein, die einer Website zugeordnet werden soll. Der App-Bezeichner enthält die Team-ID und eine Bündel-ID: TeamID.BundleID.

      Die Team-ID ist eine 10-stellige alphanumerische Zeichenfolge (Buchstaben und Zahlen), die von Apple für Ihre App-Entwickler generiert wird, z. B ABCDE12345. . Suchen Sie Ihre Team-ID (öffnet die Website von Apple) enthält weitere Informationen.

      Die Bündel-ID identifiziert die App eindeutig und ist in der Regel in umgekehrter Domänennamennotation formatiert. Die Bündel-ID von Finder lautet z. B com.apple.finder. .

      So rufen Sie die Bündel-ID ab:

    • Domänen: Geben Sie die Websitedomäne ein, die einer App zugeordnet werden soll. Die Domäne enthält einen Diensttyp und einen vollqualifizierten Hostnamen wie webcredentials:www.contoso.com.

      Sie können alle Unterdomänen einer zugeordneten Domäne abgleichen, indem Sie (ein Sternchen und einen Punkt) vor dem Beginn der Domäne eingeben *. . Der Zeitraum ist erforderlich. Exakte Domänen haben eine höhere Priorität als Wildcarddomänen. Daher werden Muster aus übergeordneten Domänen abgeglichen , wenn keine Übereinstimmung in der vollqualifizierten Unterdomäne gefunden wird.

      Der Diensttyp kann wie folgt sein:

      • authsrv: App-Erweiterung für einmaliges Anmelden
      • applink: Universeller Link
      • webcredentials: Automatisches Ausfüllen von Kennwörtern
    • Direkte Downloads aktivieren: Ja lädt die Domänendaten direkt vom Gerät herunter, anstatt das Content Delivery Network (CDN) von Apple zu durchlaufen. Wenn diese Einstellung auf Nicht konfiguriert festgelegt ist, ändert oder aktualisiert Intune diese Einstellung nicht. Standardmäßig kann das Betriebssystem Daten über das CDN von Apple herunterladen, das für zugeordnete Domänen reserviert ist.

      Diese Einstellung gilt für:

      • macOS 11 und höher

Tipp

Öffnen Sie zur Problembehandlung auf Ihrem macOS-Gerät Systemeinstellungsprofile>. Vergewissern Sie sich, dass das von Ihnen erstellte Profil in der Geräteprofilliste enthalten ist. Wenn sie aufgeführt ist, stellen Sie sicher, dass die Konfiguration zugeordneter Domänen im Profil enthalten ist und die richtige App-ID und Domänen enthält.

Zwischenspeichern von Inhalten

Beim Zwischenspeichern von Inhalten wird eine lokale Kopie des Inhalts gespeichert. Andere Apple-Geräte können diese Informationen erhalten, ohne eine Verbindung mit dem Internet herzustellen. Diese Zwischenspeicherung beschleunigt Downloads, indem Softwareupdates, Apps, Fotos und andere Inhalte beim ersten Herunterladen gespeichert werden. Da Apps einmal heruntergeladen und für andere Geräte freigegeben werden, sparen Schulen und Organisationen mit vielen Geräten Bandbreite.

Hinweis

Verwenden Sie für diese Einstellungen nur ein Profil. Wenn Sie mehrere Profile mit diesen Einstellungen zuweisen, tritt ein Fehler auf.

Weitere Informationen zum Überwachen des Zwischenspeicherns von Inhalten finden Sie unter Anzeigen von Protokollen und Statistiken zum Zwischenspeichern von Inhalten (öffnet die Website von Apple).

Diese Einstellung gilt für:

  • macOS 10.13.4 und höher

Einstellungen gelten für: Alle Registrierungstypen

Weitere Informationen zu diesen Einstellungen finden Sie unter Einstellungen für die Inhaltszwischenspeicherung von Nutzdaten (öffnet die Website von Apple).

Zwischenspeichern von Inhalten aktivieren: Ja aktiviert die Zwischenspeicherung von Inhalten, und Benutzer können es nicht deaktivieren. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig kann es vom Betriebssystem deaktiviert werden.

  • Typ des zwischenzuspeichernden Inhalts: Ihre Optionen:

    • Alle Inhalte: Speichert iCloud-Inhalte und freigegebene Inhalte zwischen.
    • Nur Benutzerinhalte: Speichert die iCloud-Inhalte des Benutzers zwischen, einschließlich Fotos und Dokumenten.
    • Nur freigegebene Inhalte: Speichert Apps und Softwareupdates zwischen.
  • Maximale Cachegröße: Geben Sie den maximalen Speicherplatz (in Bytes) ein, der zum Zwischenspeichern von Inhalten verwendet wird. Wenn sie leer gelassen wird (Standard), ändert oder aktualisiert Intune diese Einstellung nicht. Standardmäßig legt das Betriebssystem diesen Wert möglicherweise auf null (0) Bytes fest, wodurch unbegrenzter Speicherplatz für den Cache bereitgestellt wird.

    Stellen Sie sicher, dass Sie den auf den Geräten verfügbaren Speicherplatz nicht überschreiten. Weitere Informationen zur Speicherkapazität von Geräten finden Sie unter So melden iOS- und macOS-Speicherkapazität (öffnet die Website von Apple).

  • Cachespeicherort: Geben Sie den Pfad zum Speichern des zwischengespeicherten Inhalts ein. Der Standardspeicherort ist /Library/Application Support/Apple/AssetCache/Data. Es wird empfohlen, diesen Speicherort nicht zu ändern.

    Wenn Sie diese Einstellung ändern, werden Ihre zwischengespeicherten Inhalte nicht an den neuen Speicherort verschoben. Um es automatisch zu verschieben, müssen Benutzer den Speicherort auf dem Gerät ändern (Systemeinstellungen: Zwischenspeichern vonInhalten>).>

  • Port: Geben Sie die TCP-Portnummer auf Geräten für den Cache ein, um Download- und Uploadanforderungen von 0 bis 65535 zu akzeptieren. Geben Sie null () (0Standard) ein, um den verfügbaren Port zu verwenden.

  • Internetverbindung blockieren und Inhaltsfreigabe zwischenspeichern: Wird auch als Tethered Caching bezeichnet. Ja verhindert die Freigabe von Internetverbindungen und verhindert die Freigabe von zwischengespeicherten Inhalten mit iOS-/iPadOS-Geräten, die per USB an ihren Mac angeschlossen sind. Benutzer können dieses Feature nicht aktivieren. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.

  • Gemeinsame Nutzung der Internetverbindung aktivieren: Wird auch als Tethered Caching bezeichnet. Ja ermöglicht die Freigabe von Internetverbindung und die Freigabe von zwischengespeicherten Inhalten mit iOS-/iPadOS-Geräten, die per USB an ihren Mac angeschlossen sind. Benutzer können dieses Feature nicht deaktivieren. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig deaktiviert das Betriebssystem dies möglicherweise.

    Diese Einstellung gilt für:

    • macOS 10.15.4 und höher
  • Cache zum Protokollieren von Clientdetails aktivieren: Ja protokolliert die IP-Adresse und Portnummer der Geräte, die Inhalte anfordern. Wenn Sie Geräteprobleme beheben, kann diese Protokolldatei hilfreich sein. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig protokolliert das Betriebssystem diese Informationen möglicherweise nicht.

  • Inhalte immer aus dem Cache behalten, auch wenn das System Speicherplatz für andere Apps benötigt: Ja behält den Cacheinhalt bei und stellt sicher, dass nichts gelöscht wird, auch wenn der Speicherplatz gering ist. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig löscht das Betriebssystem Inhalte möglicherweise automatisch aus dem Cache, wenn es Speicherplatz für andere Apps benötigt.

    Diese Einstellung gilt für:

    • macOS 10.15 und neuer
  • Statuswarnungen anzeigen: Ja zeigt Warnungen als Systembenachrichtigungen an. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig zeigt das Betriebssystem diese Warnungen möglicherweise nicht als Systembenachrichtigungen an.

    Diese Einstellung gilt für:

    • macOS 10.15 und neuer
  • Verhindern, dass das Gerät in den Ruhezustand versetzt wird, während die Zwischenspeicherung aktiviert ist: Ja verhindert, dass der Computer in den Standbymodus wechselt, wenn die Zwischenspeicherung aktiviert ist. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem möglicherweise den Ruhezustand des Geräts zu.

    Diese Einstellung gilt für:

    • macOS 10.15 und neuer
  • Zwischengespeicherte Geräte: Wählen Sie die Geräte aus, auf denen Inhalte zwischengespeichert werden können. Ihre Optionen:

    • Nicht konfiguriert (Standard): Intune ändert oder aktualisiert diese Einstellung nicht.
    • Geräte, die dasselbe lokale Netzwerk verwenden: Der Inhaltscache bietet Inhalte für Geräte im selben unmittelbaren lokalen Netzwerk an. Es werden keine Inhalte für Geräte in anderen Netzwerken angeboten, einschließlich Geräten, die über den Inhaltscache erreichbar sind.
    • Geräte, die dieselbe öffentliche IP-Adresse verwenden: Der Inhaltscache bietet Inhalte für Geräte an, die dieselbe öffentliche IP-Adresse verwenden. Es werden keine Inhalte für Geräte in anderen Netzwerken angeboten, einschließlich Geräten, die über den Inhaltscache erreichbar sind.
    • Geräte mit benutzerdefinierten lokalen Netzwerken: Der Inhaltscache stellt Inhalte für Geräte in den von Ihnen eingegebenen IP-Adressbereichen bereit.
      • Client-Lauschbereiche: Geben Sie den Ip-Adressbereich ein, der den Inhaltscache empfangen kann.
    • Geräte, die benutzerdefinierte lokale Netzwerke mit Fallback verwenden: Der Inhaltscache stellt Inhalte für Geräte in den Listenbereichen, Peer-Listenbereichen und übergeordneten IP-Adressen bereit.
      • Client-Lauschbereiche: Geben Sie den Ip-Adressbereich ein, der den Inhaltscache empfangen kann.
  • Benutzerdefinierte öffentliche IP-Adressen: Geben Sie einen Bereich öffentlicher IP-Adressen ein. Die Cloudserver verwenden diesen Bereich, um Clientgeräte mit Caches abzugleichen.

  • Freigeben von Inhalten für andere Caches: Wenn Ihr Netzwerk über mehrere Inhaltscaches verfügt, werden die Inhaltscaches auf anderen Geräten automatisch zu Peers. Diese Geräte können zwischengespeicherte Software abrufen und freigeben.

    Wenn ein angefordertes Element in einem Inhaltscache nicht verfügbar ist, überprüft es seine Peers auf das Element. Wenn das Element verfügbar ist, wird es aus dem Inhaltscache auf dem Peergerät heruntergeladen. Wenn es immer noch nicht verfügbar ist, lädt der Inhaltscache das Element aus folgenden Quellen herunter:

    • Eine übergeordnete IP-Adresse( sofern konfiguriert)

      ODER

    • Von Apple über das Internet

    Wenn mehr als ein Inhaltscache verfügbar ist, wählen Geräte automatisch den richtigen Inhaltscache aus.

    Ihre Optionen:

    • Nicht konfiguriert (Standard): Intune ändert oder aktualisiert diese Einstellung nicht.

    • Inhaltscaches, die dieselben lokalen Netzwerke verwenden: Inhaltscache nur Peers mit anderen Inhaltscaches im selben unmittelbaren lokalen Netzwerk.

    • Inhaltscaches mit der gleichen öffentlichen IP-Adresse: Inhaltscache nur Peers mit anderen Inhaltscaches unter derselben öffentlichen IP-Adresse.

    • Inhaltscaches mit benutzerdefinierten lokalen Netzwerken: Inhaltscache nur Peers mit anderen Inhaltscaches im von Ihnen eingegebenen IP-Adresslistenbereich:

      • Peer-Listenbereiche: Geben Sie die IPv4- oder IPv6-Start- und End-IP-Adressen für Ihren Bereich ein. Der Inhaltscache reagiert nur auf Peercacheanforderungen von Inhaltscaches in den von Ihnen eingegebenen IP-Adressbereichen.
      • Peerfilterbereiche: Geben Sie die IPv4- oder IPv6-Start- und End-IP-Adressen für Ihren Bereich ein. Der Inhaltscache filtert die Liste der Peers anhand der von Ihnen eingegebenen IP-Adressbereiche.
  • Übergeordnete IP-Adressen: Geben Sie die lokale IP-Adresse eines anderen Inhaltscaches ein, der als übergeordneter Cache hinzugefügt werden soll. Ihr Cache lädt Inhalte hoch und lädt sie in diese Caches herunter, anstatt direkt mit Apple hoch-/herunterladen zu müssen. Fügen Sie nur einmal eine übergeordnete IP-Adresse hinzu.

  • Richtlinie für die übergeordnete Auswahl: Wenn viele übergeordnete Caches vorhanden sind, wählen Sie aus, wie die übergeordnete IP-Adresse ausgewählt wird. Ihre Optionen:

    • Nicht konfiguriert (Standard): Intune ändert oder aktualisiert diese Einstellung nicht.
    • Roundrobin: Verwenden Sie die übergeordneten IP-Adressen in der richtigen Reihenfolge. Diese Option eignet sich für Lastenausgleichsszenarien.
    • Zuerst verfügbar: Verwenden Sie immer die erste verfügbare IP-Adresse in der Liste.
    • Hash: Erstellt einen Hashwert für den Pfadteil der angeforderten URL. Mit dieser Option wird sichergestellt, dass immer dieselbe übergeordnete IP-Adresse für dieselbe URL verwendet wird.
    • Zufällig: Verwenden Sie zufällig eine IP-Adresse in der Liste. Diese Option eignet sich für Lastenausgleichsszenarien.
    • Sticky verfügbar: Verwenden Sie immer die erste IP-Adresse in der Liste. Wenn sie nicht verfügbar ist, verwenden Sie die zweite IP-Adresse in der Liste. Verwenden Sie weiterhin die zweite IP-Adresse, bis sie nicht verfügbar ist usw.

Anmeldeelemente

Einstellungen gelten für: Alle Registrierungstypen

  • Fügen Sie die Dateien, Ordner und benutzerdefinierten Apps hinzu, die bei der Anmeldung gestartet werden: Fügen Sie den Pfad einer Datei, eines Ordners, einer benutzerdefinierten App oder einer System-App hinzu, die geöffnet wird, wenn sich Benutzer bei ihren Geräten anmelden. Geben Sie außerdem Folgendes ein:

    • Pfad des Elements: Geben Sie den Pfad zur Datei, zum Ordner oder zur App ein. System-Apps oder Für Ihre Organisation erstellte oder angepasste Apps befinden sich in der Applications Regel im Ordner mit einem Pfad ähnlich /Applications/AppName.app.

      Sie können viele Dateien, Ordner und Apps hinzufügen. Geben Sie z. B. Folgendes ein:

      • /Applications/Calculator.app
      • /Applications
      • /Applications/Microsoft Office/root/Office16/winword.exe
      • /Users/UserName/music/itunes.app

      Achten Sie beim Hinzufügen einer App, eines Ordners oder einer Datei darauf, den richtigen Pfad einzugeben. Nicht alle Elemente befinden sich im Applications Ordner. Wenn Benutzer ein Element von einem Speicherort an einen anderen verschieben, ändert sich der Pfad. Dieses verschobene Element wird nicht geöffnet, wenn sich der Benutzer anmeldet.

    • Ausblenden: Wählen Sie aus, ob die App ein- oder ausgeblendet werden soll. Ihre Optionen:

      • Nicht konfiguriert (Standard): Intune ändert oder aktualisiert diese Einstellung nicht. Standardmäßig zeigt das Betriebssystem möglicherweise Elemente in der Liste Anmeldeelemente für Benutzer & Gruppen an, wobei die Option ausblenden deaktiviert ist.
      • Ja: Blendet die App in der Liste Anmeldeelemente für Benutzer & Gruppen aus.

Anmeldefenster

Einstellungen gelten für: Alle Registrierungstypen

Windows-Layout

  • Zusätzliche Informationen in der Menüleiste anzeigen: Wenn der Zeitbereich auf der Menüleiste ausgewählt ist, zeigt Ja den Hostnamen und die macOS-Version an. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig zeigt das Betriebssystem diese Informationen möglicherweise nicht in der Menüleiste an.

  • Banner: Geben Sie eine Nachricht ein, die auf dem Anmeldebildschirm auf Geräten angezeigt wird. Geben Sie beispielsweise Informationen zu Ihrer Organisation, eine Begrüßungsnachricht, verlorene und gefundene Informationen usw. ein.

  • Textfelder für Benutzername und Kennwort erforderlich: Wählen Sie aus, wie sich Benutzer bei Geräten anmelden. Ja erfordert, dass Benutzer einen Benutzernamen und ein Kennwort eingeben. Wenn diese Einstellung auf Nicht konfiguriert festgelegt ist, ändert oder aktualisiert Intune diese Einstellung nicht. Standardmäßig erfordert das Betriebssystem möglicherweise, dass Benutzer ihren Benutzernamen aus einer Liste auswählen und dann ihr Kennwort eingeben.

    Wenn sie auf Nicht konfiguriert festgelegt ist, geben Sie auch Folgendes ein:

    • Lokale Benutzer ausblenden: Ja blendet die lokalen Benutzerkonten in der Benutzerliste aus, die die Standard- und Administratorkonten enthalten kann. Es werden nur die Netzwerk- und Systembenutzerkonten angezeigt. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig zeigt das Betriebssystem möglicherweise die lokalen Benutzerkonten in der Benutzerliste an.
    • Mobile Konten ausblenden: Ja blendet mobile Konten in der Benutzerliste aus. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig zeigt das Betriebssystem möglicherweise die mobilen Konten in der Benutzerliste an. Einige mobile Konten können als Netzwerkbenutzer angezeigt werden.
    • Netzwerkbenutzer anzeigen: Wählen Sie Ja aus, um die Netzwerkbenutzer in der Benutzerliste aufzulisten. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig zeigt das Betriebssystem die Netzwerkbenutzerkonten möglicherweise nicht in der Benutzerliste an.
    • Computeradministratoren ausblenden: Ja blendet die Administratorbenutzerkonten in der Benutzerliste aus. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig zeigt das Betriebssystem möglicherweise die Administratorbenutzerkonten in der Benutzerliste an.
    • Andere Benutzer anzeigen: Wählen Sie Ja aus, um andere Benutzer in der Benutzerliste aufzulisten. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig zeigt das Betriebssystem möglicherweise nicht die anderen Benutzerkonten in der Benutzerliste an.

Energieeinstellungen des Anmeldebildschirms

  • Schaltfläche zum Herunterfahren ausblenden: Ja blendet die Schaltfläche zum Herunterfahren auf dem Anmeldebildschirm aus. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig zeigt das Betriebssystem möglicherweise die Schaltfläche zum Herunterfahren an.
  • Schaltfläche "Neustart ausblenden": Ja blendet die Schaltfläche "Neustart" auf dem Anmeldebildschirm aus. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig zeigt das Betriebssystem möglicherweise die Schaltfläche "Neustart" an.
  • Ruhezustandsschaltfläche ausblenden: Ja blendet die Ruhezustandsschaltfläche auf dem Anmeldebildschirm aus. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig zeigt das Betriebssystem möglicherweise die Ruhezustandsschaltfläche an.
  • Benutzeranmeldung in der Konsole deaktivieren: Ja blendet die macOS-Befehlszeile aus, die für die Anmeldung verwendet wird. Legen Sie diese Einstellung für typische Benutzer auf Ja fest. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem fortgeschrittene Benutzer möglicherweise zu, sich über die macOS-Befehlszeile anzumelden. Um in den Konsolenmodus zu wechseln, geben >console Benutzer in das Feld Benutzername ein und müssen sich im Konsolenfenster authentifizieren.

Apple-Menü

  • Herunterfahren während der Anmeldung deaktivieren: Ja verhindert, dass Benutzer die Option Herunterfahren auswählen können, nachdem sie sich angemeldet haben. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem Benutzern möglicherweise zu, das Menüelement Herunterfahren auf Geräten auszuwählen.
  • Neustart während der Anmeldung deaktivieren: Ja verhindert, dass Benutzer die Option Neu starten auswählen können, nachdem sie sich angemeldet haben. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem Benutzern möglicherweise zu, das Menüelement Neu starten auf Geräten auszuwählen.
  • Deaktivieren der Ausschaltung während der Anmeldung: Ja verhindert, dass Benutzer die Option Ausschalten auswählen können, nachdem sie sich angemeldet haben. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem benutzern möglicherweise zu, das Menüelement Ausschalten auf Geräten auszuwählen.
  • Abmelden während der Anmeldung deaktivieren (macOS 10.13 und höher): Ja verhindert, dass Benutzer die Option Abmelden auswählen können, nachdem sie sich angemeldet haben. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem Benutzern möglicherweise zu, das Menüelement Abmelden auf Geräten auszuwählen.
  • Sperrbildschirm während der Anmeldung deaktivieren (macOS 10.13 und höher): Ja verhindert, dass Benutzer nach der Anmeldung die Option Sperrbildschirm auswählen können. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem benutzern möglicherweise zu, das Menüelement Sperrbildschirm auf Geräten auszuwählen.

App-Erweiterung für einmaliges Anmelden

Diese Einstellung gilt für:

  • macOS 10.15 und neuer

Hinweis

Auf macOS-Geräten können Sie Platform SSO verwenden, um einmaliges Anmelden (Single Sign-On, SSO) zu aktivieren. Weitere Informationen finden Sie unter Konfigurieren des einmaligen Anmeldens für Plattform für macOS-Geräte in Microsoft Intune.

Einstellungen gelten für: Vom Benutzer genehmigte Geräteregistrierung und automatisierte Geräteregistrierung

  • SSO-App-Erweiterungstyp: Wählen Sie den Typ der SSO-App-Erweiterung aus. Ihre Optionen:

    • Nicht konfiguriert: App-Erweiterungen werden nicht verwendet. Um eine App-Erweiterung zu deaktivieren, ändern Sie den SSO-App-Erweiterungstyp auf Nicht konfiguriert.

    • Microsoft Entra ID: Verwendet das Microsoft Entra ID Enterprise SSO-Plug-In, eine Umleitungs-SSO-App-Erweiterung. Dieses Plug-In bietet SSO für lokale Active Directory-Konten in allen macOS-Anwendungen, die das Feature für einmaliges Anmelden von Apple Enterprise unterstützen. Verwenden Sie diesen SSO-App-Erweiterungstyp, um SSO für Microsoft-Apps, Organisations-Apps und Websites zu aktivieren, die sich mit Microsoft Entra ID authentifizieren. Weitere Informationen findest du unter Verwenden des Microsoft Enterprise SSO-Plug-Ins auf macOSOS-Geräten.

      Das SSO-Plug-In fungiert als erweiterter Authentifizierungsbroker, der Sicherheits- und Benutzerfreundlichkeitsverbesserungen bietet.

      Wichtig

      Um einmaliges Anmelden mit dem App-Erweiterungstyp Microsoft Entra SSO zu erreichen, installieren Sie die macOS-Unternehmensportal-App auf Geräten. Die Unternehmensportal-App stellt das Microsoft Enterprise SSO-Plug-In an Geräte bereit. Die Einstellungen der MDM-SSO-App-Erweiterung aktivieren das Plug-In. Nachdem die Unternehmensportal-App und das SSO-App-Erweiterungsprofil auf Geräten installiert wurden, melden sich Benutzer mit ihren Anmeldeinformationen an und erstellen eine Sitzung auf ihren Geräten. Diese Sitzung wird für verschiedene Anwendungen verwendet, ohne dass benutzer sich erneut authentifizieren müssen.

      Weitere Informationen zur Unternehmensportal-App finden Sie unter Was geschieht, wenn Sie die Unternehmensportal-App installieren und Ihr macOS-Gerät bei Intune registrieren.

      Sie können auch die Unternehmensportal-App herunterladen.

    • Umleitung: Verwenden Sie eine generische, anpassbare Umleitungs-App-Erweiterung, um SSO mit modernen Authentifizierungsflows zu verwenden. Stellen Sie sicher, dass Sie die Erweiterung und die Team-ID für die App-Erweiterung Ihrer Organisation kennen.

    • Anmeldeinformationen: Verwenden Sie eine generische, anpassbare App-Erweiterung für Anmeldeinformationen, um SSO mit Challenge-and-Response-Authentifizierungsflows zu verwenden. Stellen Sie sicher, dass Sie die Erweiterungs-ID und die Team-ID für die SSO-App-Erweiterung Ihrer Organisation kennen.

    • Kerberos: Verwenden Sie die integrierte Kerberos-Erweiterung von Apple, die in macOS Catalina 10.15 und höher enthalten ist. Diese Option ist eine Kerberos-spezifische Version der App-Erweiterung für Anmeldeinformationen .

    Tipp

    Mit den Typen "Umleitung " und "Anmeldeinformationen " fügen Sie Ihre eigenen Konfigurationswerte hinzu, um die Erweiterung zu durchlaufen. Wenn Sie Anmeldeinformationen verwenden, sollten Sie die von Apple im Kerberos-Typ bereitgestellten integrierten Konfigurationseinstellungen verwenden.

  • Erweiterungs-ID (Umleitung, Anmeldeinformationen): Geben Sie den Paketbezeichner ein, der Ihre SSO-App-Erweiterung identifiziert, z. B com.apple.ssoexample. .

  • Team-ID (Umleitung, Anmeldeinformationen): Geben Sie den Teambezeichner Ihrer SSO-App-Erweiterung ein. Ein Teambezeichner ist eine 10-stellige alphanumerische Zeichenfolge (Zahlen und Buchstaben), die von Apple generiert wird, z. B ABCDE12345. .

    Suchen Sie Ihre Team-ID (öffnet die Website von Apple) enthält weitere Informationen.

  • Bereich (Anmeldeinformationen, Kerberos): Geben Sie den Namen Ihres Authentifizierungsbereichs ein. Der Bereichsname sollte groß geschrieben werden, z CONTOSO.COM. B. . In der Regel ist Ihr Bereichsname mit dem Namen Ihrer DNS-Domäne identisch, jedoch in Großbuchstaben.

  • Domänen (Anmeldeinformationen, Kerberos): Geben Sie die Domänen- oder Hostnamen der Websites ein, die sich über einmaliges Anmelden authentifizieren können. Wenn Ihre Website beispielsweise ist mysite.contoso.com, ist der mysite Hostname und .contoso.com der Domänenname. Wenn Benutzer eine Verbindung mit einer dieser Websites herstellen, übernimmt die App-Erweiterung die Authentifizierungsanforderung. Diese Authentifizierung ermöglicht Benutzern die Verwendung von Face ID, Touch ID oder Apple Pincode/Kennung für die Anmeldung.

    • Alle Domänen in ihren Intune-Profilen der App-Erweiterung für einmaliges Anmelden müssen eindeutig sein. Sie können eine Domäne in keinem Anmelde-App-Erweiterungsprofil wiederholen, auch wenn Sie verschiedene Typen von SSO-App-Erweiterungen verwenden.
    • Bei diesen Domänen wird die Groß-/Kleinschreibung nicht beachtet.
    • Die Domäne muss mit einem Punkt (.) beginnen.
  • URLs (nur Umleitung): Geben Sie die URL-Präfixe Ihrer Identitätsanbieter ein, in deren Namen die Umleitungs-App-Erweiterung SSO verwendet. Wenn Benutzer zu diesen URLs umgeleitet werden, greift die SSO-App-Erweiterung ein und fordert sie zur Eingabe von SSO auf.

    • Alle URLs in ihren Intune-Erweiterungsprofilen für einmaliges Anmelden müssen eindeutig sein. Sie können eine Domäne in keinem SSO-App-Erweiterungsprofil wiederholen, auch wenn Sie verschiedene Typen von SSO-App-Erweiterungen verwenden.
    • Die URLs müssen mit http:// oder https://beginnen.
  • Zusätzliche Konfiguration (Microsoft Entra-ID, Umleitung, Anmeldeinformationen): Geben Sie weitere erweiterungsspezifische Daten ein, die an die SSO-App-Erweiterung übergeben werden sollen:

    • Schlüssel: Geben Sie den Namen des Elements ein, das Sie hinzufügen möchten, z. B user name. .

    • Typ: Geben Sie den Datentyp ein. Ihre Optionen:

      • Zeichenfolge
      • Boolescher Wert: Geben Sie unter Konfigurationswert oder FalseeinTrue.
      • Ganze Zahl: Geben Sie unter Konfigurationswert eine Zahl ein.
    • Wert: Geben Sie die Daten ein.

  • Schlüsselbundverwendung blockieren (nur Kerberos): Ja verhindert, dass Kennwörter im Schlüsselbund gespeichert und gespeichert werden. Außerdem werden Benutzer nicht aufgefordert, ihr Kennwort zu speichern, und müssen das Kennwort erneut eingeben, wenn das Kerberos-Ticket abläuft. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem möglicherweise das Speichern und Speichern von Kennwörtern im Schlüsselbund zu. Benutzer werden nicht aufgefordert, ihr Kennwort erneut einzugeben, wenn das Ticket abläuft.

  • Face ID, Touch ID oder Kennung erforderlich (nur Kerberos): Ja zwingt Benutzer, ihre Face ID, Touch ID oder ihre Gerätekennung einzugeben, wenn die Anmeldeinformationen zum Aktualisieren des Kerberos-Tickets erforderlich sind. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig erfordert das Betriebssystem möglicherweise nicht, dass Benutzer Biometrie oder Gerätekennung verwenden, um das Kerberos-Ticket zu aktualisieren. Wenn Schlüsselbundverwendung blockieren auf Ja festgelegt ist, gilt diese Einstellung nicht.

  • Als Standardbereich festlegen (nur Kerberos): Wählen Sie Ja aus, um den von Ihnen eingegebenen Bereichswert als Standardbereich festzulegen. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig legt das Betriebssystem möglicherweise keinen Standardbereich fest.

    • Wenn Sie mehrere Kerberos SSO-App-Erweiterungen in Ihrer Organisation konfigurieren, wählen Sie Ja aus.
    • Wenn Sie mehrere Bereiche verwenden, wählen Sie Ja aus. Es legt den Bereichswert fest, den Sie als Standardbereich eingegeben haben.
    • Wenn Sie nur über einen Bereich verfügen, belassen Sie ihn Nicht konfiguriert (Standard).
  • AutoErmittlung blockieren (nur Kerberos): Wenn diese Einstellung auf Ja festgelegt ist, verwendet die Kerberos-Erweiterung nicht automatisch LDAP und DNS, um den Namen des Active Directory-Standorts zu bestimmen. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem möglicherweise zu, dass die Erweiterung automatisch den Namen des Active Directory-Standorts findet.

  • Nur verwaltete Apps zulassen (nur Kerberos): Wenn diese Option auf Ja festgelegt ist, erlaubt die Kerberos-Erweiterung nur verwaltete Apps und alle Apps, die mit der App-Bündel-ID eingegeben werden, den Zugriff auf die Anmeldeinformationen. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem möglicherweise zu, dass nicht verwaltete Apps auf die Anmeldeinformationen zugreifen.

    Diese Funktion gilt für:

    • macOS 12 und höher
  • Kennwortänderungen blockieren (nur Kerberos): Ja verhindert, dass Benutzer die Kennwörter ändern können, die sie für die Anmeldung bei den von Ihnen eingegebenen Domänen verwenden. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem möglicherweise Kennwortänderungen zu.

  • Lokale Kennwortsynchronisierung aktivieren (nur Kerberos): Wählen Sie Ja aus, um die lokalen Kennwörter Ihrer Benutzer mit Microsoft Entra ID zu synchronisieren. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig deaktiviert das Betriebssystem möglicherweise die Kennwortsynchronisierung mit der Microsoft Entra-ID.

    Verwenden Sie diese Einstellung als Alternative oder Sicherung für einmaliges Anmelden. Diese Einstellung funktioniert nicht, wenn Benutzer mit einem mobilen Apple-Konto angemeldet sind.

  • Kerberos-Erweiterungseinrichtung verzögern (nur Kerberos): Wenn diese Einstellung auf Ja festgelegt ist, wird der Benutzer erst dann zum Einrichten der Kerberos-Erweiterung aufgefordert, wenn die Erweiterung vom Administrator aktiviert oder eine Kerberos-Abfrage empfangen wird. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig fordert das Betriebssystem den Benutzer möglicherweise sofort auf, die Kerberos-Erweiterung einzurichten.

    Diese Funktion gilt für:

    • macOS 11 und höher
  • Standardmäßige Kerberos-Hilfsprogramme zulassen (nur Kerberos): Wenn diese Einstellung auf Ja festgelegt ist, ermöglicht die Kerberos-Erweiterung allen Apps, die mit der App-Paket-ID, verwalteten Apps und Standardmäßigen Kerberos-Hilfsprogrammen wie TicketViewer und klist eingegeben wurden, den Zugriff auf die Anmeldeinformationen und deren Verwendung. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem möglicherweise nicht zu, dass aufgelistete Apps auf die Anmeldeinformationen zugreifen und diese verwenden.

    Diese Funktion gilt für:

    • macOS 12 und höher
  • Anmeldeinformationen anfordern (nur Kerberos): Wenn diese Option auf Ja festgelegt ist, werden die Anmeldeinformationen bei der nächsten entsprechenden Kerberos-Anforderung oder Netzwerkstatusänderung angefordert. Wenn die Anmeldeinformationen abgelaufen sind oder fehlen, werden neue Anmeldeinformationen erstellt. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig fordert das Betriebssystem möglicherweise keine neuen Anmeldeinformationen an.

    Diese Funktion gilt für:

    • macOS 12 und höher
  • LDAP-Verbindungen für TLS erforderlich (nur Kerberos): Wenn diese Option auf Ja festgelegt ist, sind LDAP-Verbindungen erforderlich, um Transport Layer Security (TLS) zu verwenden. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig erfordert das Betriebssystem möglicherweise keine LDAP-Verbindungen, um TLS zu verwenden.

    Diese Funktion gilt für:

    • macOS 11 und höher
  • Komplexität von Active Directory-Kennwörtern erforderlich (nur Kerberos): Wählen Sie Ja aus, um zu erzwingen, dass Benutzerkennwörter die Anforderungen an die Kennwortkomplexität von Active Directory erfüllen. Auf Geräten zeigt diese Einstellung ein Popupfenster mit Kontrollkästchen an, damit Benutzer sehen, dass sie die Kennwortanforderungen erfüllen. Es hilft Benutzern zu wissen, was sie für das Kennwort eingeben müssen. Weitere Informationen finden Sie unter Kennwort muss komplexitätsanforderungen erfüllen. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig erfordert das Betriebssystem möglicherweise nicht, dass Benutzer die Kennwortanforderung von Active Directory erfüllen.

  • Minimale Kennwortlänge (nur Kerberos): Geben Sie die Mindestanzahl von Zeichen ein, aus denen Benutzerkennwörter bestehen können. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig erzwingt das Betriebssystem möglicherweise keine Mindestkennwortlänge für die Benutzer.

  • Grenzwert für die Wiederverwendung von Kennwörtern (nur Kerberos): Geben Sie die Anzahl der neuen Kennwörter von 1 bis 24 ein, die verwendet werden, bis ein vorheriges Kennwort in der Domäne wiederverwendet werden kann. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig erzwingt das Betriebssystem möglicherweise keinen Grenzwert für die Wiederverwendung von Kennwörtern.

  • Minimales Kennwortalter (Tage) (nur Kerberos): Geben Sie die Anzahl der Tage ein, in denen ein Kennwort für die Domäne verwendet wird, bevor Benutzer es ändern können. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig erzwingt das Betriebssystem möglicherweise kein Mindestalter von Kennwörtern, bevor sie geändert werden können.

  • Benachrichtigung zum Kennwortablauf (Tage) (nur Kerberos): Geben Sie die Anzahl der Tage ein, bevor ein Kennwort abläuft, damit Benutzer benachrichtigt werden, dass ihr Kennwort abläuft. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig verwendet das Betriebssystem möglicherweise 15 Tage.

  • Kennwortablauf (Tage) (nur Kerberos): Geben Sie die Anzahl der Tage ein, bevor sich das Gerätekennwort ändern muss. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig läuft das Betriebssystem kennwörter möglicherweise nie ab.

  • URL für Kennwortänderung (nur Kerberos): Geben Sie die URL ein, die geöffnet wird, wenn Benutzer eine Kerberos-Kennwortänderung starten.

  • Benutzerdefinierter Benutzername (nur Kerberos): Geben Sie den Text ein, der den in der Kerberos-Erweiterung angezeigten Benutzernamen ersetzt. Sie können einen Namen eingeben, der mit dem Namen Ihres Unternehmens oder Ihrer Organisation übereinstimmt. Sie können z. B. Contoso eingeben.

    Diese Funktion gilt für:

    • macOS 11 und höher
  • Verwendung der Kerberos-Erweiterung (nur Kerberos): Wählen Sie aus, wie andere Prozesse die Anmeldeinformationen der Kerberos-Erweiterung verwenden. Ihre Optionen:

    • Immer: Die Anmeldeinformationen der Erweiterung werden immer verwendet, wenn der SPN unter Domänen aufgeführt ist. Sie wird nicht verwendet, wenn die aufrufende App nicht unter App Bundle-IDs aufgeführt ist.
    • Wenn nicht angegeben: Die Anmeldeinformationen für die Erweiterung werden nur verwendet, wenn keine weiteren Anmeldeinformationen vom Aufrufer eingegeben werden und der SPN unter Domänen aufgeführt ist. Sie wird nicht verwendet, wenn die aufrufende App nicht unter App Bundle-IDs aufgeführt ist.
    • Kerberos-Standard: Intune ändert oder aktualisiert diese Einstellung nicht. Standardmäßig verwendet das Betriebssystem die Standardmäßigen Kerberos-Prozesse zum Auswählen von Anmeldeinformationen. Diese Option ist identisch mit der Konfiguration dieser Einstellung.

    Diese Funktion gilt für:

    • macOS 11 und höher
  • Prinzipalname (nur Kerberos): Geben Sie den Benutzernamen des Kerberos-Prinzipals ein. Sie müssen den Bereichsnamen nicht einschließen. In ist z. Buser@contoso.comuser. der Prinzipalname und contoso.com der Bereichsname.

    • Sie können auch Variablen im Prinzipalnamen verwenden, indem Sie geschweifte Klammern {{ }}eingeben. Geben Sie Username: {{username}}beispielsweise ein, um den Benutzernamen anzuzeigen.
    • Gehen Sie bei der Variablenersetzung vorsichtig vor, da Variablen auf der Benutzeroberfläche nicht überprüft werden und die Groß-/Kleinschreibung beachtet wird. Achten Sie darauf, die richtigen Informationen einzugeben.
  • Active Directory-Standortcode (nur Kerberos): Geben Sie den Namen des Active Directory-Standorts ein, den die Kerberos-Erweiterung verwenden soll. Möglicherweise müssen Sie diesen Wert nicht ändern, da die Kerberos-Erweiterung den Active Directory-Standortcode automatisch finden kann.

  • Cachename (nur Kerberos): Geben Sie den GSS-Namen (Generic Security Services) des Kerberos-Caches ein. Sie müssen diesen Wert höchstwahrscheinlich nicht festlegen.

  • Text des Anmeldefensters (nur Kerberos): Geben Sie den Text ein, der Benutzern im Kerberos-Anmeldefenster angezeigt wird.

    Diese Funktion gilt für:

    • macOS 11 und höher
  • Meldung zu Kennwortanforderungen (nur Kerberos): Geben Sie eine Textversion der Kennwortanforderungen Ihrer Organisation ein, die Benutzern angezeigt wird. Die Meldung wird angezeigt, wenn Sie die Anforderungen an die Kennwortkomplexität von Active Directory nicht benötigen oder keine Mindestkennwortlänge eingeben.

    Wenn diese Einstellung auf Ja festgelegt ist, werden alle vorhandenen Benutzerkonten von den Geräten zurückgesetzt. Um Datenverluste zu vermeiden oder eine Zurücksetzung auf Werkseinstellungen zu verhindern, stellen Sie sicher, dass Sie verstehen, wie diese Einstellung Ihre Geräte ändert.

    Weitere Informationen zum Modus für gemeinsam genutzte Geräte findest du unter Übersicht über den Modus für gemeinsam genutzte Geräte.

  • App-Bündel-IDs (Microsoft Entra-ID, Kerberos): Geben Sie die App-Bündelbezeichner ein, die einmaliges Anmelden auf Ihren Geräten verwenden sollen. Diesen Apps wird Zugriff auf das Kerberos Ticket Granting Ticket und das Authentifizierungsticket gewährt. Die Apps authentifizieren auch Benutzer bei Diensten, auf die sie zugreifen dürfen.

    Um die Bündel-ID einer App abzurufen, die zu Intune hinzugefügt wurde, können Sie das Intune Admin Center verwenden.

  • Domänenbereichszuordnung (nur Kerberos): Geben Sie die DOMÄNEN-DNS-Suffixe ein, die Ihrem Bereich zugeordnet werden sollen. Verwenden Sie diese Einstellung, wenn die DNS-Namen der Hosts nicht mit dem Bereichsnamen übereinstimmen. Sie müssen diese benutzerdefinierte Domänen-zu-Bereich-Zuordnung wahrscheinlich nicht erstellen.

  • PKINIT-Zertifikat (nur Kerberos): Wählen Sie das PKINIT-Zertifikat (Public Key Cryptography for Initial Authentication) aus, das für die Kerberos-Authentifizierung verwendet werden kann. Sie können zwischen PKCS - oder SCEP-Zertifikaten wählen, die Sie in Intune hinzufügen. Weitere Informationen zu Zertifikaten findest du unter Verwenden von Zertifikaten für die Authentifizierung in Microsoft Intune.

  • Bevorzugte KDCs (nur Kerberos): Geben Sie die Schlüsselverteilungszentren (Key Distribution Centers, KDCs) ein, die für Kerberos-Datenverkehr verwendet werden sollen. Diese Liste wird verwendet, wenn die Server nicht mithilfe von DNS auffindbar sind. Wenn die Server erkannt werden können, wird die Liste für beide Konnektivitätsprüfungen und zuerst für Kerberos-Datenverkehr verwendet. Wenn die Server nicht reagieren, verwendet das Gerät die DNS-Ermittlung.

    Diese Funktion gilt für:

    • macOS 12 und höher