macOS Device Enrollment - registrace macOS zařízení do Intune

• What is device enrollment in Intune?
• Set up enrollment for macOS devices in Intune
• Deployment guide: Enroll macOS devices in Microsoft Intune

Zařízení s operačním systémem macOS, vlastněná organizací i osobní zařízení, můžeme registrovat (Enroll) do Intune a následně spravovat. Využívá se buď aplikace Company Portal nebo Apple Setup Assistant, která ověří uživatele a spustí registraci.

Pozn.: Setup Assistant je aplikace, která se spouští automaticky po nové instalaci macOS nebo když je nový (nebo vymazaný) Mac zapnut. Provede uživatele základním nastavením zařízení.

Pozn.: Apple Configurator je aplikace, která konfiguruje Apple zařízení. Intro to Apple Configurator

Metody pro registraci do Intune

Metody, které může vyvolat uživatel (zařízení se označí jako personally-owned):

• Bring-your-own-device (BYOD) - uživatel může využít web nebo aplikaci Company Portal, dojde k registraci do Azure AD a automaticky také do Intune

Metody, které používá administrátor (zařízení se označí jako company-owned):

• Apple Automated Device Enrollment (ADE) - pro zařízení zakoupená prostřednictvím Apple Business Manageru, automatická registrace zařízení proběhne na dálku (over-the-air), využívá se Setup Assistant
• Direct Enrollment (DE) - vytvoříme Apple Configurator profile, který vyexportujeme (.mobileconfig) a nainstalujeme na macOS zařízení, tato metoda nepřiřadí zařízení uživateli, takže nelze využít Company Portal, apod. (jde o zařízení typu kiosek), využívá Apple Configurator
• Device Enrollment Manager (DEM) - speciální účet, který má oprávnění zaregistrovat a spravovat více (1000) firemních zařízení, využívá aplikaci Company Portal, tato metoda nepřiřadí zařízení uživateli, Add device enrollment managers

Certifikát od Microsoft Intune MDM Device CA

Když se počítač registruje do Intune, tak se mu vystaví certifikát, podobně jako při registraci do Azure AD. Jméno certifikátu je Intune Device ID (to je jiné, než Azure AD Device ID) a je vystaven autoritou Microsoft Intune MDM Device CA, kořenová autorita je Microsoft Intune Root Certification Authority. Platnost je (cca) 1 rok a nalezneme jej v System Keychain.

Apple MDM Push Certificate

• Get an Apple MDM push certificate

První krok pro registraci zařízení s macOS (a také iOS a iPad) je vystavit Apple MDM push certifikát. Ten je potřeba pro správu macOS a iOS/iPadOS zařízení v Intune. Pro získání certifikátu se doporučuje použít obecný firemní účet (ne na uživatele).

Pozn.: Certifikát se musí každý rok obnovovat.

Ke konfiguraci certifikátu v Intune se dostaneme jednou z cest:

• Microsoft Endpoint Manager admin center- Devices - macOS - macOS enrollment - Apple MDM Push Certificate
• Microsoft Endpoint Manager admin center- Devices - Enroll devices - Apple enrollment - Apple MDM Push Certificate

Postup je uveden v dokumentaci a jednotlivé kroky jsou přímo na konfigurační stránce. Stručně jde o stažení žádosti (CSR), kterou použijeme pro vystavení certifikátu u Apple Create your MDM push Certificate. Musíme se přihlásit firemním Apple ID a to je svázáno s vystaveným certifikátem.

Obnova certifikátu (Renew)

Certifikát musíme každý rok obnovit. Postup je podobný jako při vystavení a navádí nás konfigurační stránka. Renew Apple MDM push certificate. Stáhneme žádost (CSR). U Apple se přihlásíme účtem, který vystavil původní certifikát. Najdeme starý certifikát a klikneme na Renew, nahrajeme CSR a vystavíme certifkát. Ten nahrajeme do Intune.

Registrace pomocí Company Portal - portálu společnosti

• Enroll your macOS device using the Company Portal app

Musíme nainstalovat aplikaci Company Portal, kterou můžeme stáhnout přes webový Company Portal nebo napřímo aka.ms/EnrollMyMac.

• spustíme aplikaci Company Portal
• přihlásíme se Azure AD účtem - Sign in
• nabídne se průvodce nastavením přístupu do organizace, zahájíme tlačítkem Begin (talčítko Postpone spustí aplikaci Company Portal bez registrace zařízení)
• zobrazí se informace o soukromí (privacy information), co firma může a nemůže vidět, pokračujeme Continue

• proběhne registrace zařízení do Azure AD

• nainstalujeme Management Profile - klikneme na Download profile

• otevře se v System Settings - Privacy & Security - Profiles (zobrazí se také notifikace)
• otevřeme stažený profil a nainstalujeme Install

• instalace profilu provede registraci zařízení do MDM (potvrdíme heslem), můžeme jej otevřít a zobrazit informaci o právech k zařízení
• vrátíme se do průvodce v Company Portal a ukončíme - Done

Automated Device Enrollment (ADE) - automatická registrace s Apple Business Manager

• Automatically enroll Macs with Apple Business Manager or Apple School Manager

Automatická registrace do Intune funguje pro nová nebo vymazaná (Wiped) macOS zařízení zakoupená prostřednictvím Apple enrollment programu (jako je Apple Business Manager nebo Apple School Manager). Nové zařízení můžeme poslat přímo zaměstnanci. Když se počítač zapne, tak se spustí pomocník s nastavením (Setup Assistant) a provede registraci zařízení do Intune. Použije se předkonfigurovaný registrační profil.

Během použití Setup Assistant se uživatel musí přihlásit Azure AD účtem (případně také pomocí Apple ID). Po dokončení je potřeba nainstalovat aplikaci Company Portal a přihlásit se. Tím se dokončí registrace zařízení do Azure AD a umožní využívat Conditional Access.

Intune se automaticky synchronizuje se společností Apple, aby získal informace o zařízeních z účtu enrollment programu. Potřebujeme mít přístup k Apple Business Manageru, kde jsou přiřazena naše zařízení.

Apple Business Manager

• Apple Business Manager Support

Pro využití Automated Device Enrollment potřebujeme mít organizaci registrovanou v Apple Business Manager (jiné varianty zde neřešíme). Nachází se na adrese business.apple.com, na kterou můžeme přistoupit pouze z podporovaných prohlížečů (na Windows jde o Chrome a Edge). Přihlašujeme se pomocí (účtu) Apple ID, které má administrátorská oprávnění (pro hlavní operace).

Aby byla naše Apple zařízení přidána do Apple Business Manager v době koupě, tak musíme nakupovat přímo od Apple nebo od Apple Authorized Reseller. Když nakupujeme od autorizovaného prodejce, tak se s ním musíme domluvíme. Předáme mu naše Organization ID, které nalezneme v profil - Preferences - Enrollment Information. Od něj získáme Reseller Number, které zadáme pod Devices (pokud ještě žádné vyplněné nemáme) nebo v profil - Preferences - MDM Server Assignment.

Pozn.: Autorizovaný prodejce může zařízení přidat i dodatečně (tedy třeba zařízení koupená před začátkem využívání MDM).

Enrollment Program Tokens

• Automatically enroll Macs with Apple Business Manager or Apple School Manager

Jako první musíme propojit Intune a Apple Business Manager. Využijeme k tomu certifikát a Apple Server Token.

Pozn.: Token se musí každý rok obnovovat.

• Microsoft Endpoint Manager admin center - Devices - macOS - macOS enrollment - Enrollment program tokens
• klikneme na Add
• zatrhneme I agree
• stáhneme certifikát Download your public key

• v podporovaném prohlížeči otevřeme Apple Business Manageru (můžeme využít link v průvodci)
• přihlásíme se firemním Apple ID, které bude naše společnost využívat pro obnovu a správu token
• vlevo dole klikneme na svůj profil - Preferences
• Your MDM Servers - Add
• pojmenujeme, třeba Intune MDM Server, a nahrajeme Intune veřejný klíč, uložíme Save
• stáhneme Server Token - Download Token
• klikneme na Default Device Assignment a nastavíme přiřazení zařízení zařízení k Intune MDM

• vrátíme se do Microsoft Endpoint Manager admin center
• zadáme Apple ID, pod kterým jsme stáhli token
• nahrajeme stažený serverový Apple token
• klikneme na Next a Create

Obnova tokenu (Renew)

Token musíme každý rok obnovit. Postup obsahuje část kroků jako při vystavení. Renew enrollment program token. Z Apple Business Manager stáhneme nový Server Token - Download Token (dostaneme upozornění, že nový token resetuje existující, takže jej musíme nahrát do MDM). V Intune otevřeme náš token (má status Expiring) a klikneme na Renew token. Nahrajeme nový token a dokončíme průvodce.

Apple Enrollment Profile

Poté vytvoříme Apple enrollment profile, který definuje prostředí při registraci (včetně obrazovek, které se použijí v Setup Assistant) a aplikuje politiky a nastavení na registrované zařízení.

• Microsoft Endpoint Manager admin center- Devices - macOS - macOS enrollment - Enrollment program tokens
• vybereme Token - Profiles - Create profile - macOS
• zadáme jméno (Firma macOS profile)
• Enroll with User Affinity - registrujeme s přiřazením uživatele
• Setup Assistant with modern authentication - (podporováno na macOS 10.15 a novější) pro přihlášení a registraci Azure AD účtem se použije moderní autentizace (je podporováno MFA), uživatel musí dokončit všechny obrazovky Pomocníka s nastavením (Setup Assistant) a přihlásit se k aplikaci Company Portal
• Locked enrollment - zabrání uživatelům zrušit registraci zařízení v Intune, pokud zapneme, tak nelze změnit bez vymazání zařízení
• Department Name, Department Phone - jméno oddělení a telefon, které mohou uživatelé využít pro získání podpory
• Setup Assistant screens - určujeme, které obrazovky Pomocníka s nastavením se během instalace zobrazí

Zobrazení synchronizovaných zařízení

Pod vytvořeným spojením s Apple Business Manager, které v Intune vidíme jako Token, si můžeme zobrazit zařízení, které se od Apple přenesla. Případně můžeme vyvolat synchronizaci.

• Microsoft Endpoint Manager admin center- Devices - macOS - macOS enrollment - Enrollment program tokens
• vybereme Token - Devices

Automatická registrace z pohledu uživatele

• Enroll your organization-provided macOS device in management

Pokud máme zařízení s macOS, které se přeneslo od Apple do Intune. Má přiřazený profil. Tak můžeme provést úvodní nastavení, kdy proběhne registrace do Intune. Může jít o nově pořízené zařízení nebo starší, kde jsme provedli reset/vymazání (Erase All Content and Settings).

Pozn.: Jednotlivé kroky se mohou lišit podle řady okolností. Které obrazovky Pomocníka s nastavením se zobrazují, určujeme v konfiguraci registračního profilu.

• zapneme zařízení, spustí se Setup Assistant
• zvolíme jazyk (Language)
• zvolíme zemi nebo region (Country or Region)
• zobrazí se informace o nastavení jazyka a klávesnice (Written and Spoken Languages)
• můžeme nastavit vlastnosti přístupnosti (Accessibility)
• připojíme se do Wi-Fi sítě (Select Your Wi-Fi Network)
• následuje obrazovka Remote Management, kde jsou informace, že naše společnost může automaticky konfigurovat zařízení
• při pokračování se zobrazí okno pro přihlášení Azure AD účtem, po úspěšném dokončení již uvidíme zařízení (s defaultním názvem) v Intune

• další kroky mohou být Data & Privacy, Migration Assistant, Sign In with Your Apple ID, Terms and Conditions, Create a Computer Account, Enable Location Services, Select Your Time Zone, Analytics, Screen Time, Siri, Touch ID, Choose Your Look
• nastartuje operační systém, můžeme počítač přejmenovat
• nyní je potřeba spustit Company Portal (pokud jej automaticky neinstalujeme z Intune, tak nejprve nainstalovat) a přihlásit se Azure AD účtem
• dostaneme informaci, že zařízení není registrované (možná za určitých podmínek proběhne automaticky), klikneme na Register a proběhne registrace zařízení do Azure AD

Vyvolání registrace na používaném zařízení

Stávající počítače, které již jsou nastavené a používané, můžeme také registrovat do Intune pomocí ADE. Musí být importované do Apple Business Manager a ručně vyvoláme registraci pod účtem správce:

sudo profiles renew -type enrollment

Musíme zadat heslo správce systému. Zobrazí se notifikace Device Enrollment, že daná firma může automaticky nakonfigurovat váš Mac. Přes notifikaci se dostaneme do nastavení Privacy & Security - Profiles, kde povolíme (Allow) firmě správu zařízení. Opět musíme zadat heslo správce systému. Pak se otevře stránka s přihlášením Azure AD účtem. Po úspěšném přihlášení se nainstaluje registrační profil a zařízení se zaregistruje do Intune. Pro registraci do Azure AD musíme spustit Company Portal a vyvolat registraci (Register).

Problém s přihlášením na obrazovce Remote Management

V registračním profilu nastavujeme, zda se má použít moderní ověření (Modern Authentication) nebo starší (Legacy). Podle toho se v Setup Assistant v kroku Remote Management zobrazí buď okno s moderním Microsoft přihlášením nebo pouze formulář na jméno a heslo. Například pokud vyžadujeme použití MFA, tak musíme použít moderní autentizaci.

Vyzkoušel jsem si i další problém, kdy měl testovací uživatel odebranou Intune licenci ze svého licenčního plánu. Po přihlášení Azure AD účtem se zobrazila pouze obecná chyba Something went wrong. V chybách registrace bylo opět pouze Unknown Error. Ale když se tento účet použil v Company Portal, tak již byla informace lepší, chyba zněla UserLicenseTypeInvalid.

Přidání počítače s Apple silicon do Apple Business Manager

• Apple Configurator User Guide

Některá zařízení si můžeme sami přidat do Apple Business Manager, i když nebyla koupena přímo od Apple nebo Apple Authorized Reseller (nebo nám je prodejce nepřidal), a využít Automated Device Enrollment. Mezi ně patří Macy s Apple procesorem (M1, M2). Postup je podrobně pospán v dokumentaci, zde jen zmínka.

Potřebujeme iPhone minimálně s iOS 15 a nainstalovanou aplikací Apple Configurator.

• počítač musíme spustit, aby nastartoval Setup Assistant (tedy nový nebo provést reset/vymazání)
• vybereme jazyk a zastavíme na kroku, kde se volí země nebo region
• přiblížíme k počítači iPhone se zapnutým (a nastaveným) Apple Configurator
• zobrazí se Add this Mac to Your Organization, kde naskenujeme obrazec
• proběhne přidání k našemu účtu v Apple Business Manager
• přihlásíme se do Apple Business Manager a přiřadíme zařízení k našemu Intune MDM Server

Zobrazení aplikovaných profilů - ověření, že je zařízení připojeno do Intune

V systémovém nastavení (System Settings) macOS vidíme, zda je zařízení spravované organizací. Vidíme aplikované profily správy a konfigurace (Management Profiles, Configuration Profiles). Při připojení do Intune se zde zobrazí povinný Management Profile, který můžeme otevřít a vidíme oprávnění, certifikát, apod.

• System Settings - Privacy & Security - Profiles

Zrušení registrace (odebrání) z Intune - Unenroll macOS device

• Remove device from Company Portal for macOS app

Administrátor může využít akci Retire v Microsoft Endpoint Manager admin center pro zrušení registrace zařízení.

Vlastník zařízení jej může odebrat z Intune pomocí aplikace Company Portal, pokud má odebrání povoleno (jinak je volba zašedlá).

• Devices - vybereme zařízení
• vedle něj klikneme na menu (tři tečky) a Remove
• potvrdíme odebrání

Účet počítače stále zůstane v Intune a zde jej musíme ručně smazat (Delete).