可以使用 macOS 自动设备注册 (ADE) 配置文件为管理员和用户帐户配置配置新注册的 macOS 设备,以及Microsoft本地管理员密码解决方案 (LAPS) 。 带 LAPS 的 macOS 帐户配置 是一组可选配置,可在具有和不使用用户设备相关性的新 macOS ADE 配置文件中使用。 这些帐户管理配置仅适用于新注册。
使用具有 LAPS 的 macOS 本地帐户配置时,使用具有强、加密和随机管理员密码(由 Intune 存储和加密)的本地管理员帐户预配设备。 同样,也可以在注册配置文件中预配本地标准用户帐户。 注册后,Intune每六个月自动轮换 LAPS 管理的管理员密码。 若要补充自动轮换,Intune具有足够权限的管理员可以使用 Intune 管理中心查看设备本地管理员帐户密码,并可以根据需要使用远程设备作手动轮换该密码。
管理员帐户Intune生成的密码为 15 个字符,混合使用小写字母和大写字母、数字和特殊符号。
由于仅在自动设备注册 (ADE) 期间启用带有 LAPS 的 macOS 本地帐户配置,因此以前注册的设备必须使用已启用 LAPS 的 ADE 配置文件重新 Intune注册,才能为管理员帐户的 LAPS 提供支持。
重要
当 macOS 设备使用配置的本地管理员帐户和目标密码配置文件通过 ADE 注册时,即使未启用 “下次身份验证时更改 ”,或者为“最大有效期 (天) ”设置了值,也会提示管理员密码重置。 这不会影响标准帐户。 我们已了解此问题。 解决方法是,在设备上重置后手动轮换管理员密码,使Intune和设备密码状态保持同步。
重要
由于平台限制,本地管理员帐户不会收到安全令牌。 注册后登录的第一个帐户会收到安全令牌,此时该令牌将始终是本地用户帐户。
提示
macOS LAPS 的Intune实现类似,但不同于 windows LAPS 的Intune支持。 有关 Intune 中的 Windows LAPS 的信息,请参阅本地管理员帐户。
先决条件
以下是使用 LAPS 解决方案配置 macOS 本地帐户的设备要求:
- macOS 12 及更高版本
- 设备必须从 Apple Business/School Manager 同步到Intune
- 设备必须通过 macOS ADE 注册配置文件向 Intune 注册
macOS LAPS 的基于角色的访问控制
信任查看或轮换已载入 macOS LAPS 设备的本地管理员帐户密码的管理员帐户必须具有以下Intune基于角色的访问控制 (RBAC) 权限:
类别: 注册计划:
- 将 “轮换 macOS 管理员密码” 设置为 “是”
- 将 “查看 macOS 管理员密码” 设置为 “是”
重要
注册计划的两个权限不包括在任何Intune内置角色或Intune管理员Microsoft Entra内置角色。 请改用自定义Intune角色将此权限分配给应具有这些功能的用户。
有关管理自动设备注册的 macOS 策略所需的权限和详细信息,请参阅 为 macOS 设置自动设备注册 (ADE) 。
配置帐户和密码选项
本部分提供有关 使用 LAPS 配置 macOS 本地帐户配置的详细信息,这在为 macOS 自动设备 注册创建 Apple 注册配置文件 过程的步骤 12 中完成, (ADE) 配置文件。
配置 macOS 自动设备注册配置文件时,“帐户设置”选项卡会显示用于配置本地管理员帐户和本地用户帐户的选项。 默认情况下,这些选项都设置为 “否”。
当为本地或管理员或用户帐户选项选择 “是 ”时,你将使用 LAPS 配置配置 macOS 本地管理员帐户,并为使用此注册配置文件注册的设备配置标准用户帐户。
使用 15 个字符创建唯一帐户密码,其中包含小写字母和大写字母、数字和特殊符号。
每当本地帐户配置的任何部分时, 默认情况下,“等待最终配置 ”设置始终在后端设置为 “是 ”。 设置此设置是因为帐户配置在设置助理期间发生。
本地管理员帐户
下面是可用配置选项的示例。 可通过某些设置名称后面的 “信息 ”图标访问其他详细信息。
管理员帐户用户名 - 指定帐户名称或使用下列受支持的变量之一动态创建名称。 默认情况下,此字段使用 管理员。
- {{serialNumber}} - 例如 ,F4KN99ZUG5V2
- {{partialupn}} - 例如 John.Dupont
- {{managedDeviceName}} - 例如, F2AL10ZUG4W2_14_4/15/2025_12:45PM
- {{onPremisesSamAccountName}} - 例如 JDoe
管理员帐户全名 - 指定帐户名称或使用下列受支持的变量之一动态创建名称。 默认情况下,此字段使用 管理员。
- {{username}} - 例如, John@contoso.com
- {{serialNumber}} - 例如 ,F4KN99ZUG5V2
- {{onPremisesSamAccountName}} - 例如 JDoe
在“用户 & 组”中隐藏 - 在登录窗口和“用户 & 组中隐藏管理员帐户”。 默认情况下,此设置设置为 “未配置”。
管理员帐户密码轮换期 (天) - 如果已配置,此设置将指定 (1-180 天) 之后自动轮换管理员帐户密码的时间段。 此轮换是每 180 天自动轮换一次的补充。
本地用户帐户
下面是有关可用选项的一些指南。 可通过某些设置名称后面的“信息”图标访问其他详细信息。
帐户类型 - 默认情况下,此设置设置为Standard以创建标准用户帐户。 如果未配置本地管理员帐户,则本地用户帐户类型设置为管理员,这是平台限制,因为设置任何 macOS 设备始终需要管理员帐户。
预填充帐户信息 - 如果要管理帐户名称或限制编辑,请将此选项设置为 “是 ”。
主帐户名称 - 指定帐户名称或使用下列受支持的变量之一动态创建名称。 如果“预填充帐户信息”设置为“未配置”,设置助手将使用此值来预填充“帐户名称”字段。 默认情况下,此字段使用 {{partialupn}} 变量。
- {{serialNumber}} - 例如 ,F4KN99ZUG5V2
- {{partialupn}} - 例如 John.Dupont
- {{managedDeviceName}} - 例如, F2AL10ZUG4W2_14_4/15/2025_12:45PM
- {{onPremisesSamAccountName}} - 例如 JDoe
主帐户全名 - 指定帐户的全名或使用以下变量之一动态创建名称。 如果“ 预填充帐户信息 ”设置为“ 未配置”,设置助手将使用此值来预填充“全名”字段。 默认情况下,此字段使用 {{username}} 变量:
- {{username}} - 例如, John@contoso.com
- {{serialNumber}} - 例如 ,F4KN99ZUG5V2
- {{onPremisesSamAccountName}} - 例如 JDoe
限制编辑 - 阻止最终用户编辑全名和帐户名。 默认情况下,此设置设置为 “未配置”。
查看帐户和密码详细信息
若要查看设备的本地管理员密码,必须为自己的帐户分配以下Intune RBAC 权限:
- 类别:将“查看 macOS 管理员密码”设置为“是”的注册计划
查看管理员帐户密码
- 在Microsoft Intune管理中心,转到“设备>”“macOS 设备>”,选择 macOS 设备以打开其“概述”窗格“>密码和密钥”。
在“ 密码和密钥 ”窗格中,可以在“ 本地管理员帐户 密码”部分下检索 macOS 设备的管理员密码。 还可以在此处查看上次手动或自动轮换密码的时间。
若要查看已注册的 macOS 设备是否具有Intune托管管理员密码(是否可以在控制台中成功检索密码),这意味着本地管理员帐户的密码由 Intune 管理。
手动轮换管理员帐户密码
LAPS 策略包括每六个月) 自动轮换一次帐户密码 (的计划。 除了计划的轮换之外,还可以使用“轮换本地管理员密码”Intune设备作,随时手动轮换设备密码。
若要使用此设备作,必须为你的帐户分配[Intune RBAC 权限] (#role-based-access-controls-for-macos-laps) :
- 类别:将轮换 macOS 管理员密码设置为“是”的注册计划
轮换管理员密码
在Microsoft Intune管理中心,转到“设备>”“macOS 设备>”,选择具有要轮换的帐户的 macOS 设备。
在“设备 概述 ”窗格中,从窗格顶部的选项列表中选择“ 轮换本地管理员密码”。
若要确认上次为设备轮换密码的日期,请从设备的“ 概述 ”窗格中:
- 展开 “监视 ”,然后选择“ 密码和密钥”。
- 在“ 密码和密钥 ”窗格中,可以找到上次轮换密码的日期和时间。
监视密码轮换
密码查看和轮换都创建Intune审核事件,你可以在Intune管理中心内查看这些事件。
在Microsoft Intune管理中心中,转到“租户管理>审核日志”。
查找以下条目:
- 获取 AdminAccountDto - 标识有人何时查看了管理员密码。
- rotateLocalAdminPassword ManagedDevice - 标识轮换管理员密码的时刻。
相关内容
- macOS 注册指南入门。
- 注册 macOS 设备后,可为 macOS 设备创建自定义设置。