Definições de funcionalidades do dispositivo macOS no Intune
Observação
O Intune pode suportar mais definições do que as definições listadas neste artigo. Nem todas as definições estão documentadas e não serão documentadas. Para ver as definições que pode configurar, crie uma política de configuração de dispositivos e selecione Catálogo de Definições. Para obter mais informações, consulte Catálogo de Configurações.
O Intune inclui definições incorporadas para personalizar funcionalidades nos seus dispositivos macOS. Por exemplo, os administradores podem adicionar impressoras AirPrint, escolher como os utilizadores iniciam sessão, configurar os controlos de energia, utilizar a autenticação de início de sessão único e muito mais.
Utilize estas funcionalidades para controlar os dispositivos macOS como parte da sua solução de gestão de dispositivos móveis (MDM).
Esse recurso aplica-se a:
- macOS
Este artigo descreve estas definições. Também lista os passos para obter o endereço IP, o caminho e a porta das impressoras AirPrint com a aplicação Terminal (emulador). Para obter mais informações sobre as funcionalidades do dispositivo, aceda a Adicionar definições de funcionalidades de dispositivos iOS/iPadOS ou macOS.
Antes de começar
Criar um perfil de configuração de funcionalidades de dispositivo macOS.
Estas definições aplicam-se a diferentes tipos de inscrição, com algumas definições a aplicarem-se a todas as opções de inscrição. Para obter mais informações sobre os diferentes tipos de inscrição, aceda à inscrição do macOS.
AirPrint
As definições aplicam-se a: Todos os tipos de inscrição
Destinos do AirPrint: introduza uma ou mais informações da impressora AirPrint para que os utilizadores possam imprimir a partir dos respetivos dispositivos:
-
Endereço IP: introduza o endereço IPv4 ou IPv6 da impressora. Por exemplo, digite
10.0.0.1
. Se utilizar nomes de anfitrião para identificar impressoras, pode obter o endereço IP ao enviar pings para a impressora na aplicação Terminal. Obtenha o endereço IP e o caminho (neste artigo) tem mais detalhes. -
Caminho do recurso: introduza o caminho do recurso da impressora. Normalmente, o caminho é
ipp/print
para impressoras na sua rede. Obtenha o endereço IP e o caminho (neste artigo) tem mais detalhes. - Porta (iOS 11.0+, iPadOS 13.0+): introduza a porta de escuta do destino do AirPrint. Se deixar esta propriedade em branco, o AirPrint utiliza a porta predefinida.
-
Force o TLS (iOS 11.0+, iPadOS 13.0+): as suas opções:
- Desativar (predefinição): o Transport Layer Security (TLS) não é imposto ao ligar a impressoras AirPrint.
- Ativar: protege as ligações AirPrint com o Transport Layer Security (TLS).
-
Endereço IP: introduza o endereço IPv4 ou IPv6 da impressora. Por exemplo, digite
Importe um ficheiro separado por vírgulas (.csv) que inclua uma lista de impressoras AirPrint. Além disso, depois de adicionar impressoras AirPrint no Intune, pode Exportar esta lista.
Obter o endereço IP e o caminho
Para adicionar servidores AirPrinter, precisa do endereço IP da impressora, do caminho do recurso e da porta. Os passos seguintes mostram-lhe como obter estas informações.
Num Mac que se ligue à mesma rede local (sub-rede) que as impressoras AirPrint, abra a aplicação Terminal (a partir de /Applications/Utilities).
Na aplicação Terminal, introduza
ippfind
e selecione Enter.Repare nas informações da impressora. Por exemplo, pode devolver algo como
ipp://myprinter.local.:631/ipp/port1
. A primeira parte é o nome da impressora. A última parte (ipp/port1
) é o caminho do recurso.Na aplicação Terminal, escreva
ping myprinter.local
e selecione Enter.Anote o endereço IP. Por exemplo, pode devolver algo como
PING myprinter.local (10.50.25.21)
.Utilize os valores do endereço IP e do caminho do recurso. Neste exemplo, o endereço IP é
10.50.25.21
e o caminho do recurso é/ipp/port1
.
Domínios associados
No Intune, pode:
- Adicione muitas associações de aplicação a domínio.
- Associar muitos domínios à mesma aplicação.
Esta definição aplica-se a:
- macOS 10.15 e mais recente
As definições aplicam-se a: Inscrição de dispositivos aprovada pelo utilizador e Inscrição de dispositivos automatizada
Estas definições utilizam o payload AssociatedDomains.ConfigurationItem (abre o site da Apple).
Domínios associados: adicione uma associação entre o seu domínio e uma aplicação. Esta funcionalidade partilha credenciais de início de sessão entre uma aplicação Contoso e um site da Contoso. Introduza também:
ID da Aplicação: introduza o identificador da aplicação a associar a um site. O identificador da aplicação inclui o ID da equipa e um ID do pacote:
TeamID.BundleID
.O ID de equipa é uma cadeia alfanumérica de 10 carateres (letras e números) gerada pela Apple para os programadores de aplicações, como
ABCDE12345
. Localize o seu ID de Equipa (abre o site da Apple) e obtenha mais informações.O ID do pacote identifica exclusivamente a aplicação e, normalmente, é formatado na notação de nome de domínio inverso. Por exemplo, o ID do pacote do Finder é
com.apple.finder
.Para obter o ID do pacote:
- Abra a aplicação Terminal e utilize o AppleScript:
osascript -e 'id of app "ExampleApp"'
- Para aplicações adicionadas ao Intune, pode utilizar o centro de administração do Intune.
- Abra a aplicação Terminal e utilize o AppleScript:
Domínios: introduza o domínio do site a associar a uma aplicação. O domínio inclui um tipo de serviço e um nome de anfitrião completamente qualificado, como
webcredentials:www.contoso.com
.Pode corresponder a todos os subdomínios de um domínio associado ao introduzir
*.
(um caráter universal asterisco e um ponto final) antes do início do domínio. O período é obrigatório. Os domínios exatos têm uma prioridade maior do que os domínios universais. Assim, os padrões dos domínios principais são correspondidos se não for encontrada uma correspondência no subdomínio completamente qualificado.O tipo de serviço pode ser:
- authsrv: extensão de aplicação de início de sessão único
- applink: ligação universal
- webcredentials: preenchimento automático de palavras-passe
Ativar transferências diretas: sim , transfere os dados de domínio diretamente a partir do dispositivo, em vez de passar pela rede de entrega de conteúdos (CDN) da Apple. Quando definido como Não configurado, o Intune não altera nem atualiza esta definição. Por predefinição, o SO pode transferir dados através da CDN da Apple dedicada aos Domínios Associados.
Esta definição aplica-se a:
- macOS 11 e mais recente
Dica
Para resolver problemas, no seu dispositivo macOS, abraPerfis de Preferências> do Sistema. Confirme que o perfil que criou está na lista de perfis de dispositivo. Se estiver listada, certifique-se de que a Configuração de Domínios Associados está no perfil e que inclui o ID e os domínios da aplicação corretos.
Colocação em cache de conteúdos
A colocação em cache de conteúdos guarda uma cópia local do conteúdo. Outros dispositivos Apple podem obter estas informações sem se ligarem à Internet. Esta colocação em cache acelera as transferências ao guardar atualizações de software, aplicações, fotografias e outros conteúdos da primeira vez que são transferidos. Uma vez que as aplicações são transferidas uma vez e partilhadas para outros dispositivos, escolas e organização com muitos dispositivos guardam largura de banda.
Observação
Utilize apenas um perfil para estas definições. Se atribuir múltiplos perfis com estas definições, ocorrerá um erro.
Para obter mais informações sobre como monitorizar a colocação em cache de conteúdos, aceda a Ver registos e estatísticas de colocação em cache de conteúdos (abre o site da Apple).
Esta definição aplica-se a:
- macOS 10.13.4 e mais recente
As definições aplicam-se a: Todos os tipos de inscrição
Para obter mais informações sobre estas definições, aceda a Definições de payload de Colocação em Cache de Conteúdo (abre o site da Apple).
Ativar a colocação em cache de conteúdos: sim , ativa a colocação em cache de conteúdos e os utilizadores não podem desativá-la. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode desativá-lo.
Tipo de conteúdo a colocar em cache: as suas opções:
- Todo o conteúdo: coloca em cache conteúdos e conteúdos partilhados do iCloud.
- Apenas conteúdo do utilizador: coloca em cache o conteúdo do iCloud do utilizador, incluindo fotografias e documentos.
- Apenas conteúdo partilhado: coloca aplicações em cache e atualizações de software.
Tamanho máximo da cache: introduza a quantidade máxima de espaço em disco (em bytes) utilizado para colocar conteúdo em cache. Quando deixado em branco (predefinição), o Intune não altera nem atualiza esta definição. Por predefinição, o SO pode definir este valor como zero (
0
) bytes, o que dá espaço ilimitado em disco à cache.Certifique-se de que não excede o espaço disponível nos dispositivos. Para obter mais informações sobre a capacidade de armazenamento de dispositivos, aceda a Como a capacidade de armazenamento de relatórios iOS e macOS (abre o site da Apple).
Localização da cache: introduza o caminho para armazenar o conteúdo em cache. A localização predefinida é
/Library/Application Support/Apple/AssetCache/Data
. Recomendamos que não altere esta localização.Se alterar esta definição, o conteúdo em cache não será movido para a nova localização. Para movê-la automaticamente, os utilizadores têm de alterar a localização no dispositivo (Colocação em Cache deConteúdos dePartilha> de Preferências> do Sistema).
Porta: introduza o número da porta TCP nos dispositivos para a cache aceitar pedidos de transferência e carregamento, de 0 a 65535. Introduza zero (
0
) (predefinição) para utilizar qualquer porta disponível.Bloquear a ligação à Internet e a partilha de conteúdos em cache: também conhecida como colocação em cache. Sim impede a partilha de ligações à Internet e impede a partilha de conteúdos em cache com dispositivos iOS/iPadOS ligados por USB ao respetivo Mac. Os utilizadores não podem ativar esta funcionalidade. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.
Ativar a partilha de ligações à Internet: também conhecida como colocação em cache com tethered. Sim , permite a partilha de ligações à Internet e permite a partilha de conteúdos em cache com dispositivos iOS/iPadOS ligados por USB ao respetivo Mac. Os utilizadores não podem desativar esta funcionalidade. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode desativar esta opção.
Esta definição aplica-se a:
- macOS 10.15.4 e mais recente
Ativar a cache para registar os detalhes do cliente: Sim regista o endereço IP e o número de porta dos dispositivos que pedem conteúdo. Se estiver a resolver problemas do dispositivo, este ficheiro de registo pode ajudar. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode não registar estas informações.
Manter sempre o conteúdo da cache, mesmo quando o sistema precisa de espaço em disco para outras aplicações: Sim mantém o conteúdo da cache e certifica-se de que nada é eliminado, mesmo quando o espaço em disco é baixo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode remover conteúdo da cache automaticamente quando precisar de espaço de armazenamento para outras aplicações.
Esta definição aplica-se a:
- macOS 10.15 e mais recente
Mostrar alertas de estado: Sim mostra alertas como notificações do sistema. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode não mostrar estes alertas como notificações do sistema.
Esta definição aplica-se a:
- macOS 10.15 e mais recente
Impedir que o dispositivo durma enquanto a colocação em cache está ativada: Sim impede o computador de entrar em suspensão quando a colocação em cache está ativada. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir que o dispositivo durma.
Esta definição aplica-se a:
- macOS 10.15 e mais recente
Dispositivos a colocar em cache: selecione os dispositivos que podem colocar conteúdo em cache. Suas opções:
- Não configurado (predefinição): o Intune não altera nem atualiza esta definição.
- Dispositivos que utilizam a mesma rede local: a cache de conteúdo oferece conteúdo aos dispositivos na mesma rede local imediata. Não são oferecidos conteúdos a dispositivos noutras redes, incluindo dispositivos acessíveis pela cache de conteúdo.
- Dispositivos que utilizam o mesmo endereço IP público: a cache de conteúdo oferece conteúdo a dispositivos com o mesmo endereço IP público. Não são oferecidos conteúdos a dispositivos noutras redes, incluindo dispositivos acessíveis pela cache de conteúdo.
-
Dispositivos que utilizam redes locais personalizadas: a cache de conteúdo fornece conteúdo aos dispositivos nos intervalos de IP introduzidos.
- Intervalos de escuta do cliente: introduza o intervalo de endereços IP que podem receber a cache de conteúdo.
-
Dispositivos que utilizam redes locais personalizadas com contingência: a cache de conteúdo fornece conteúdo a dispositivos nos intervalos de escuta, intervalos de escuta do elemento da rede e endereços IP principais.
- Intervalos de escuta do cliente: introduza o intervalo de endereços IP que podem receber a cache de conteúdo.
Endereços IP públicos personalizados: introduza um intervalo de endereços IP públicos. Os servidores da cloud utilizam este intervalo para corresponder os dispositivos cliente às caches.
Partilhar conteúdos com outras caches: quando a sua rede tem mais do que uma cache de conteúdo, os conteúdos são colocados em cache noutros dispositivos automaticamente. Estes dispositivos podem consultar e partilhar software em cache.
Quando um item pedido não está disponível numa cache de conteúdo, verifica os respetivos pares relativamente ao item. Se o item estiver disponível, será transferido a partir da cache de conteúdo no dispositivo ponto a ponto. Se ainda não estiver disponível, a cache de conteúdos transfere o item a partir de:
Um endereço IP principal, se estiverem configurados
OU,
Da Apple através da Internet
Quando está disponível mais do que uma cache de conteúdo, os dispositivos selecionam automaticamente a cache de conteúdo correta.
Suas opções:
Não configurado (predefinição): o Intune não altera nem atualiza esta definição.
Caches de conteúdo com as mesmas redes locais: a cache de conteúdo só contém elementos de rede com outras caches de conteúdo na mesma rede local imediata.
Caches de conteúdo com o mesmo endereço IP público: a cache de conteúdo só contém elementos de rede com outras caches de conteúdo no mesmo endereço IP público.
Caches de conteúdo através de redes locais personalizadas: apenas os elementos da cache de conteúdo com outras caches de conteúdo no intervalo de escuta de endereços IP introduzido:
- Intervalos de escuta do elemento da rede: introduza os endereços IP de início e de fim IPv4 ou IPv6 para o seu intervalo. A cache de conteúdo responde apenas a pedidos de cache ponto a ponto a partir de caches de conteúdo nos intervalos de endereços IP introduzidos.
- Intervalos de filtros de elemento da rede: introduza os endereços IP de início e de fim IPv4 ou IPv6 para o intervalo. A cache de conteúdo filtra a respetiva lista de elementos da rede através dos intervalos de endereços IP introduzidos.
Endereços IP principais: introduza o endereço IP local de outra cache de conteúdo para adicionar como uma cache principal. A cache carrega e transfere conteúdos para estas caches, em vez de carregar/transferir diretamente com a Apple. Adicione apenas um endereço IP principal uma vez.
Política de seleção principal: quando existirem muitas caches principais, selecione a forma como o endereço IP principal é escolhido. Suas opções:
- Não configurado (predefinição): o Intune não altera nem atualiza esta definição.
- Round robin: utilize os endereços IP principais por ordem. Esta opção é boa para cenários de balanceamento de carga.
- Primeiro disponível: utilize sempre o primeiro endereço IP disponível na lista.
- Hash: cria um valor hash para a parte do caminho do URL pedido. Esta opção garante que o mesmo endereço IP principal é sempre utilizado para o mesmo URL.
- Aleatório: utilize aleatoriamente um endereço IP na lista. Esta opção é boa para cenários de balanceamento de carga.
- Sticky disponível: utilize sempre o primeiro endereço IP na lista. Se não estiver disponível, utilize o segundo endereço IP na lista. Continue a utilizar o segundo endereço IP até não estar disponível, etc.
Itens de logon
As definições aplicam-se a: Todos os tipos de inscrição
Adicione os ficheiros, pastas e aplicações personalizadas que serão iniciados no início de sessão: adicione o caminho de um ficheiro, pasta, aplicação personalizada ou aplicação do sistema que é aberta quando os utilizadores iniciam sessão nos respetivos dispositivos. Introduza também:
Caminho do item: introduza o caminho para o ficheiro, pasta ou aplicação. Normalmente, as aplicações de sistema ou as aplicações criadas ou personalizadas para a
Applications
sua organização estão na pasta, com um caminho semelhante a/Applications/AppName.app
.Pode adicionar muitos ficheiros, pastas e aplicações. Por exemplo, digite:
/Applications/Calculator.app
/Applications
/Applications/Microsoft Office/root/Office16/winword.exe
/Users/UserName/music/itunes.app
Ao adicionar qualquer aplicação, pasta ou ficheiro, certifique-se de que introduz o caminho correto. Nem todos os itens estão na
Applications
pasta. Se os utilizadores moverem um item de uma localização para outra, o caminho será alterado. Este item movido não é aberto quando o utilizador inicia sessão.Ocultar: opte por mostrar ou ocultar a aplicação. Suas opções:
- Não configurado (predefinição): o Intune não altera nem atualiza esta definição. Por predefinição, o SO pode mostrar itens na lista Itens de início de sessão utilizadores & Grupos com a opção ocultar desmarcada.
- Sim: oculta a aplicação na lista de itens de início de sessão Utilizadores & Grupos.
Janela de entrada
As definições aplicam-se a: Todos os tipos de inscrição
Esquema do Windows
Mostrar informações adicionais na barra de menus: quando a área de tempo na barra de menus estiver selecionada, Sim mostra o nome do anfitrião e a versão do macOS. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode não mostrar estas informações na barra de menus.
Faixa: introduza uma mensagem apresentada no ecrã de início de sessão nos dispositivos. Por exemplo, introduza as informações da sua organização, uma mensagem de boas-vindas, informações perdidas e encontradas, etc.
Exigir campos de texto de nome de utilizador e palavra-passe: escolha a forma como os utilizadores iniciam sessão nos dispositivos. Sim requer que os utilizadores introduzam um nome de utilizador e uma palavra-passe. Quando definido como Não configurado, o Intune não altera nem atualiza esta definição. Por predefinição, o SO pode exigir que os utilizadores selecionem o respetivo nome de utilizador a partir de uma lista e, em seguida, escrevam a palavra-passe.
Quando estiver definido como Não configurado, introduza também:
- Ocultar utilizadores locais: Sim oculta as contas de utilizador local na lista de utilizadores, que podem incluir as contas de administrador e padrão. Só são apresentadas as contas de utilizador da rede e do sistema. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode mostrar as contas de utilizador local na lista de utilizadores.
- Ocultar contas móveis: Sim oculta as contas móveis na lista de utilizadores. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode mostrar as contas móveis na lista de utilizadores. Algumas contas móveis podem ser apresentadas como utilizadores de rede.
- Mostrar utilizadores de rede: selecione Sim para listar os utilizadores de rede na lista de utilizadores. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode não mostrar as contas de utilizador de rede na lista de utilizadores.
- Ocultar administradores do computador: Sim oculta as contas de utilizador administrador na lista de utilizadores. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode mostrar as contas de utilizador administrador na lista de utilizadores.
- Mostrar outros utilizadores: selecione Sim para listar Outros utilizadores na lista de utilizadores. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode não mostrar as outras contas de utilizador na lista de utilizadores.
Definições de energia do ecrã de início de sessão
- Botão Ocultar encerramento: Sim oculta o botão de encerramento no ecrã de início de sessão. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode mostrar o botão de encerramento.
- Ocultar botão de reinício: Sim oculta o botão reiniciar no ecrã de início de sessão. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode mostrar o botão reiniciar.
- Ocultar botão de suspensão: Sim oculta o botão de suspensão no ecrã de início de sessão. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode mostrar o botão de suspensão.
-
Desativar o início de sessão do utilizador na Consola: Sim oculta a linha de comandos do macOS utilizada para iniciar sessão. Para utilizadores típicos, defina esta definição como Sim. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir que os utilizadores avançados iniciem sessão com a linha de comandos do macOS. Para entrar no modo de consola, os utilizadores entram
>console
no campo Nome de utilizador e têm de se autenticar na janela da consola.
Apple Menu
- Desativar Encerrar durante a sessão iniciada: Sim impede que os utilizadores selecionem a opção Encerrar depois de iniciarem sessão. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir que os utilizadores selecionem o item de menu Encerrar nos dispositivos.
- Desativar Reiniciar durante a sessão iniciada: Sim impede os utilizadores de selecionarem a opção Reiniciar depois de iniciarem sessão. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir que os utilizadores selecionem o item de menu Reiniciar nos dispositivos.
- Desativar a opção Desligar com sessão iniciada: Sim impede que os utilizadores selecionem a opção Desligar depois de iniciarem sessão. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir que os utilizadores selecionem o item de menu Desligar nos dispositivos.
- Desativar Terminar Sessão com sessão iniciada (macOS 10.13 e posterior): Sim impede que os utilizadores selecionem a opção Terminar sessão depois de iniciarem sessão. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir que os utilizadores selecionem o item de menu Terminar sessão nos dispositivos.
- Desativar o Ecrã de Bloqueio com sessão iniciada (macOS 10.13 e posterior): Sim impede que os utilizadores selecionem a opção Ecrã de bloqueio depois de iniciarem sessão. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir que os utilizadores selecionem o item de menu Ecrã de bloqueio nos dispositivos.
Extensão do aplicativo de logon único
Esta definição aplica-se a:
- macOS 10.15 e mais recente
Observação
Em dispositivos macOS, pode utilizar o SSO da Plataforma para ativar o início de sessão único (SSO). Para obter mais informações, aceda a Configurar o SSO da Plataforma para dispositivos macOS no Microsoft Intune.
As definições aplicam-se a: Inscrição de dispositivos aprovada pelo utilizador e Inscrição de dispositivos automatizada
Tipo de extensão da aplicação SSO: escolha o tipo de extensão da aplicação SSO. Suas opções:
Não configurado: as extensões de aplicações não são utilizadas. Para desativar uma extensão de aplicação, mude o tipo de extensão da aplicação SSO para Não configurado.
Microsoft Entra ID: utiliza o plug-in microsoft Entra ID Enterprise SSO, que é uma extensão de aplicação SSO de tipo redirecionamento. Este plug-in fornece SSO para contas do Active Directory no local em todas as aplicações macOS que suportam a funcionalidade de início de sessão único enterprise da Apple . Utilize este tipo de extensão de aplicação SSO para ativar o SSO em aplicações da Microsoft, aplicações da organização e sites que se autenticam com o Microsoft Entra ID. Para obter mais informações, aceda a Utilizar o plug-in SSO do Microsoft Enterprise em dispositivos macOSOS.
O plug-in do SSO funciona como um mediador de autenticação avançado que oferece melhorias na segurança e na experiência do utilizador.
Importante
Para obter o SSO com o tipo de extensão da aplicação Microsoft Entra SSO, instale a aplicação Portal da Empresa do macOS nos dispositivos. A aplicação Portal da Empresa fornece o plug-in SSO do Microsoft Enterprise aos dispositivos. As definições da extensão da aplicação SSO mdm ativam o plug-in. Depois de a aplicação Portal da Empresa e o perfil de extensão da aplicação SSO serem instalados nos dispositivos, os utilizadores iniciam sessão com as respetivas credenciais e criam uma sessão nos respetivos dispositivos. Esta sessão é utilizada em diferentes aplicações sem exigir que os utilizadores se autentiquem novamente.
Para obter mais informações sobre a aplicação Portal da Empresa, aceda a O que acontece se instalar a aplicação Portal da Empresa e inscrever o seu dispositivo macOS no Intune.
Também pode transferir a aplicação Portal da Empresa.
Redirecionamento: utilize uma extensão de aplicação de redirecionamento genérica e personalizável para utilizar o SSO com fluxos de autenticação modernos. Certifique-se de que conhece a extensão e o ID de equipa da extensão da aplicação da sua organização.
Credencial: utilize uma extensão de aplicação de credenciais genérica e personalizável para utilizar o SSO com fluxos de autenticação de resposta e desafio. Certifique-se de que sabe o ID da extensão e o ID da equipa para a extensão da aplicação SSO da sua organização.
Kerberos: utilize a extensão Kerberos incorporada da Apple, que está incluída no macOS Catalina 10.15 e mais recente. Esta opção é uma versão específica de Kerberos da extensão da aplicação Credenciais .
Dica
Com os tipos de Redirecionamento e Credenciais , adiciona os seus próprios valores de configuração para passar pela extensão. Se estiver a utilizar a Credencial, considere utilizar as definições de configuração incorporadas fornecidas pela Apple no tipo Kerberos .
ID da Extensão (Redirecionamento, Credencial): introduza o identificador do pacote que identifica a extensão da aplicação SSO, como
com.apple.ssoexample
.ID da Equipa (Redirecionamento, Credencial): introduza o identificador da equipa da extensão da aplicação SSO. Um identificador de equipa é uma cadeia alfanumérica (números e letras) de 10 carateres gerada pela Apple, como
ABCDE12345
.Localize o seu ID de Equipa (abre o site da Apple) com mais informações.
Realm (Credential, Kerberos): introduza o nome do seu realm de autenticação. O nome do realm deve ser em maiúscula, como
CONTOSO.COM
. Normalmente, o nome do seu reino é o mesmo que o seu nome de domínio DNS, mas em maiúsculas.Domínios (Credenciais, Kerberos): introduza os nomes de domínio ou anfitrião dos sites que podem autenticar através do SSO. Por exemplo, se o seu site for
mysite.contoso.com
,mysite
então é o nome do anfitrião e.contoso.com
é o nome de domínio. Quando os utilizadores se ligam a qualquer um destes sites, a extensão da aplicação processa o desafio de autenticação. Esta autenticação permite que os utilizadores utilizem o Face ID, o Touch ID ou o pincode/código de acesso da Apple para iniciar sessão.- Todos os domínios nos perfis da extensão de aplicação de início de sessão único do Intune têm de ser exclusivos. Não pode repetir um domínio em nenhum perfil de extensão de aplicação de início de sessão, mesmo que esteja a utilizar diferentes tipos de extensões de aplicações SSO.
- Estes domínios não são sensíveis a maiúsculas e minúsculas.
- O domínio tem de começar com um ponto final (
.
).
URLs (Apenas redirecionamento): introduza os prefixos de URL dos seus fornecedores de identidade em cujo nome a extensão de aplicação de redirecionamento utiliza SSO. Quando os utilizadores são redirecionados para estes URLs, a extensão da aplicação SSO intervém e pede o SSO.
- Todos os URLs nos seus perfis de extensão de aplicação de início de sessão único do Intune têm de ser exclusivos. Não pode repetir um domínio em nenhum perfil de extensão de aplicação SSO, mesmo que esteja a utilizar diferentes tipos de extensões de aplicação SSO.
- Os URLs têm de começar com
http://
ouhttps://
.
Configuração adicional (ID do Microsoft Entra, Redirecionamento, Credencial): introduza mais dados específicos da extensão para passar para a extensão da aplicação SSO:
Chave: introduza o nome do item que pretende adicionar, como
user name
.Tipo: introduza o tipo de dados. Suas opções:
- Cadeia de caracteres
- Booleano: no valor de Configuração, introduza
True
ouFalse
. - Número inteiro: no valor Configuração, introduza um número.
Valor: introduza os dados.
Bloquear a utilização de keychain (apenas Kerberos): sim impede que as palavras-passe sejam guardadas e armazenadas no porta-chaves. Além disso, não é pedido aos utilizadores que guardem a palavra-passe e precisam de reintroduzir a palavra-passe quando o pedido Kerberos expirar. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir que as palavras-passe sejam guardadas e armazenadas no porta-chaves. Não é pedido aos utilizadores que reintroduzam a palavra-passe quando o pedido expirar.
Exigir o Face ID, Touch ID ou código de acesso (apenas Kerberos): sim força os utilizadores a introduzir o seu Face ID, Touch ID ou código de acesso do dispositivo quando a credencial for necessária para atualizar a permissão Kerberos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode não exigir que os utilizadores utilizem biometria ou código de acesso do dispositivo para atualizar a permissão Kerberos. Se a opção Bloquear utilização de keychain estiver definida como Sim, esta definição não se aplica.
Definir como realm predefinido (apenas Kerberos): selecione Sim para definir o valor realm que introduziu como o realm predefinido. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode não definir um realm predefinido.
- Se estiver a configurar várias extensões de aplicação SSO Kerberos na sua organização, selecione Sim.
- Se estiver a utilizar vários realms, selecione Sim. Define o valor realm que introduziu como o realm predefinido.
- Se tiver apenas um realm, deixe-o Não configurado (predefinição).
Bloquear a Deteção Automática (apenas Kerberos): quando definida como Sim, a extensão Kerberos não utiliza automaticamente LDAP e DNS para determinar o nome do site do Active Directory. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir que a extensão localize automaticamente o nome do site do Active Directory.
Permitir apenas aplicações geridas (apenas Kerberos): quando definida como Sim, a extensão Kerberos permite apenas aplicações geridas e quaisquer aplicações introduzidas com o ID do pacote de aplicações para aceder à credencial. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir que as aplicações não geridas acedam à credencial.
Esse recurso aplica-se a:
- macOS 12 e mais recente
Bloquear alterações de palavra-passe (apenas Kerberos): sim impede que os utilizadores alterem as palavras-passe que utilizam para iniciar sessão nos domínios introduzidos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir alterações de palavra-passe.
Ativar a sincronização de palavras-passe local (apenas Kerberos): selecione Sim para sincronizar as palavras-passe locais dos seus utilizadores com o Microsoft Entra ID. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode desativar a sincronização de palavras-passe com o Microsoft Entra ID.
Utilize esta definição como alternativa ou cópia de segurança do SSO. Esta definição não funciona se os utilizadores tiverem sessão iniciada com uma conta móvel da Apple.
Atrasar a configuração da extensão Kerberos (apenas Kerberos): quando definido como Sim, não é pedido ao utilizador que configure a extensão Kerberos até que a extensão seja ativada pelo administrador ou seja recebido um desafio Kerberos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode pedir imediatamente ao utilizador para configurar a extensão Kerberos.
Esse recurso aplica-se a:
- macOS 11 e mais recente
Permitir utilitários Kerberos padrão (apenas Kerberos): quando definido como Sim, a extensão Kerberos permite que todas as aplicações introduzidas com o ID do pacote de aplicações, as aplicações geridas e os utilitários Kerberos padrão, como o TicketViewer e o klist, acedam e utilizem a credencial. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode não permitir que as aplicações listadas acedam e utilizem a credencial.
Esse recurso aplica-se a:
- macOS 12 e mais recente
Credencial do pedido (apenas Kerberos): quando definida como Sim, a credencial é pedida no próximo desafio kerberos correspondente ou na alteração do estado da rede. Quando a credencial expirar ou estiver em falta, é criada uma nova credencial. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode não pedir uma nova credencial.
Esse recurso aplica-se a:
- macOS 12 e mais recente
Exigir ligações LDAP para TLS (apenas Kerberos): quando definida como Sim, as ligações LDAP são necessárias para utilizar o Transport Layer Security (TLS). Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode não exigir ligações LDAP para utilizar o TLS.
Esse recurso aplica-se a:
- macOS 11 e mais recente
Exigir complexidade de palavras-passe do Active Directory (apenas Kerberos): selecione Sim para forçar as palavras-passe de utilizador a cumprir os requisitos de complexidade de palavras-passe do Active Directory. Nos dispositivos, esta definição mostra uma janela de pop-up com caixas de verificação para que os utilizadores vejam que estão a preencher os requisitos de palavra-passe. Ajuda os utilizadores a saber o que precisam de introduzir para a palavra-passe. Para obter mais informações, aceda a A palavra-passe tem de cumprir os requisitos de complexidade. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode não exigir que os utilizadores cumpram o requisito de palavra-passe do Active Directory.
Comprimento mínimo da palavra-passe (apenas Kerberos): introduza o número mínimo de carateres que podem compor palavras-passe de utilizadores. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode não impor um comprimento mínimo de palavra-passe aos utilizadores.
Limite de reutilização de palavras-passe (apenas Kerberos): introduza o número de novas palavras-passe, de 1 a 24, que são utilizadas até que uma palavra-passe anterior possa ser reutilizada no domínio. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode não impor um limite de reutilização de palavra-passe.
Idade mínima da palavra-passe (apenas dias) (Apenas Kerberos): introduza o número de dias em que uma palavra-passe é utilizada no domínio antes de os utilizadores a poderem alterar. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode não impor uma idade mínima de palavras-passe antes de poderem ser alteradas.
Notificação de expiração de palavra-passe (apenas dias) (Apenas Kerberos): introduza o número de dias antes de expirar uma palavra-passe que os utilizadores recebem notificações de que a palavra-passe irá expirar. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode utilizar
15
dias.Expiração da palavra-passe (apenas dias) (Apenas Kerberos): introduza o número de dias antes de a palavra-passe do dispositivo ter de ser alterada. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO poderá nunca expirar palavras-passe.
URL de alteração de palavra-passe (apenas Kerberos): introduza o URL que é aberto quando os utilizadores iniciam uma alteração de palavra-passe Kerberos.
Nome de utilizador personalizado (apenas Kerberos): introduza o texto que substitui o nome de utilizador apresentado na extensão Kerberos. Pode introduzir um nome que corresponda ao nome da sua empresa ou organização. Por exemplo, você pode inserir
Contoso
.Esse recurso aplica-se a:
- macOS 11 e mais recente
Utilização da extensão Kerberos (apenas Kerberos): selecione a forma como outros processos utilizam a credencial da Extensão Kerberos. Suas opções:
- Sempre: a credencial da extensão é sempre utilizada se o SPN estiver listado em Domínios. Não é utilizada se a aplicação de chamada não estiver listada nos IDs do Pacote de Aplicações.
- Quando não for especificado: a credencial da extensão só é utilizada quando outra credencial não é introduzida pelo autor da chamada e o SPN é listado em Domínios. Não é utilizada se a aplicação de chamada não estiver listada nos IDs do Pacote de Aplicações.
- Predefinição do Kerberos: o Intune não altera nem atualiza esta definição. Por predefinição, o SO utiliza os processos Kerberos predefinidos para selecionar credenciais. Esta opção é a mesma que não configurar esta definição.
Esse recurso aplica-se a:
- macOS 11 e mais recente
Nome principal (apenas Kerberos): introduza o nome de utilizador do principal Kerberos. Não precisa de incluir o nome do reino. Por exemplo, em
user@contoso.com
,user
é o nome principal econtoso.com
é o nome do reino.- Também pode utilizar variáveis no nome principal ao introduzir parênteses
{{ }}
retos . Por exemplo, para mostrar o nome de utilizador, introduzaUsername: {{username}}
. - Tenha cuidado com a substituição de variáveis porque as variáveis não são validadas na IU e são sensíveis a maiúsculas e minúsculas. Certifique-se de que introduz as informações corretas.
- Também pode utilizar variáveis no nome principal ao introduzir parênteses
Código de site do Active Directory (apenas Kerberos): introduza o nome do site do Active Directory que a extensão Kerberos deve utilizar. Poderá não ter de alterar este valor, uma vez que a extensão Kerberos pode encontrar automaticamente o código do site do Active Directory.
Nome da cache (apenas Kerberos): introduza o nome dos Serviços de Segurança Genéricos (GSS) da cache kerberos. Provavelmente não precisa de definir este valor.
Texto da janela de início de sessão (apenas Kerberos): introduza o texto apresentado aos utilizadores na janela de início de sessão do Kerberos.
Esse recurso aplica-se a:
- macOS 11 e mais recente
Mensagem de requisitos de palavra-passe (apenas Kerberos): introduza uma versão de texto dos requisitos de palavra-passe da sua organização que seja apresentada aos utilizadores. A mensagem é apresentada se não precisar dos requisitos de complexidade da palavra-passe do Active Directory ou se não introduzir um comprimento mínimo de palavra-passe.
Quando definido como Sim, todas as contas de utilizador existentes são eliminadas dos dispositivos. Para evitar a perda de dados ou impedir uma reposição de fábrica, certifique-se de que compreende como esta definição altera os seus dispositivos.
Para obter mais informações sobre o modo de dispositivo partilhado, aceda a Descrição geral do modo de dispositivo partilhado.
IDs do pacote de aplicações (Microsoft Entra ID, Kerberos): introduza os identificadores do pacote de aplicações que devem utilizar o início de sessão único nos seus dispositivos. Estas aplicações têm acesso à Permissão de Concessão de Permissão kerberos e ao pedido de autenticação. As aplicações também autenticam os utilizadores em serviços aos quais estão autorizados a aceder.
Para obter o ID do pacote de uma aplicação adicionada ao Intune, pode utilizar o centro de administração do Intune.
Mapeamento de realm de domínio (apenas Kerberos): introduza os sufixos DNS do domínio que devem ser mapeados para o seu realm. Utilize esta definição quando os nomes DNS dos anfitriões não corresponderem ao nome do reino. Provavelmente, não precisa de criar este mapeamento de domínio para realm personalizado.
Certificado PKINIT (apenas Kerberos): selecione o certificado Criptografia de Chave Pública para Autenticação Inicial (PKINIT) que pode ser utilizado para a autenticação Kerberos. Pode escolher entre certificados PKCS ou SCEP que adicionar no Intune. Para obter mais informações sobre certificados, aceda a Utilizar certificados para autenticação no Microsoft Intune.
KDCs preferenciais (apenas Kerberos): introduza os Principais Centros de Distribuição (KDCs) a utilizar para o tráfego Kerberos por ordem de preferência. Esta lista é utilizada quando os servidores não são detetáveis através de DNS. Quando os servidores são detetáveis, a lista é utilizada para ambas as verificações de conectividade e utilizada primeiro para o tráfego Kerberos. Se os servidores não responderem, o dispositivo utiliza a deteção de DNS.
Esse recurso aplica-se a:
- macOS 12 e mais recente
Artigos relacionados
Configure as funcionalidades do dispositivo no iOS/iPadOS.