nastavení ochrany koncových bodů macOS v Intune
Tento článek popisuje nastavení ochrany koncových bodů, která můžete nakonfigurovat pro zařízení se systémem macOS. Tato nastavení nakonfigurujete pomocí konfiguračního profilu zařízení s macOS pro ochranu koncových bodů v Intune.
Než začnete
Create profil ochrany koncových bodů macOS.
FileVault
Další informace o nastavení Apple FileVault najdete v tématu FDEFileVault v obsahu apple pro vývojáře.
Důležité
Od verze macOS 10.15 vyžaduje konfigurace FileVault registraci MDM schválenou uživatelem.
Povolit FileVault
Úplné šifrování disku můžete povolit pomocí XTS-AES 128 s FileVaultem na zařízeních se systémem macOS 10.13 a novějším.
- Nenakonfigurováno (výchozí)
- Ano
Pokud je možnost Povolit FileVault nastavená na Ano, během šifrování se pro zařízení vygeneruje osobní obnovovací klíč a pro tento klíč platí následující nastavení:
Popis umístění úschovy osobního obnovovacího klíče
Zadejte krátkou zprávu pro uživatele, která vysvětluje, jak a kde může načíst osobní obnovovací klíč. Tento text se vloží do zprávy, kterou uživatel uvidí na přihlašovací obrazovce po zobrazení výzvy k zadání osobního obnovovacího klíče, pokud heslo zapomenete.
Obměně osobního obnovovacího klíče
Určete, jak často se bude osobní obnovovací klíč zařízení obměňovat. Můžete vybrat výchozí hodnotu Nenakonfigurováno nebo hodnotu 1 až 12 měsíců.
Skrýt obnovovací klíč
Zvolte skrytí osobního klíče před uživatelem zařízení během šifrování FileVault 2.
- Nenakonfigurováno (výchozí) – Osobní klíč se uživateli zařízení zobrazí během šifrování.
- Ano – osobní klíč je během šifrování před uživatelem zařízení skrytý.
Po šifrování můžou uživatelé zařízení zobrazit svůj osobní obnovovací klíč pro šifrované zařízení s macOS z následujících umístění:
- Aplikace Portál společnosti pro iOS/iPadOS
- Intune aplikace
- web portálu společnosti
- Aplikace Portál společnosti pro Android
Pokud chcete klíč zobrazit, přejděte v aplikaci nebo webu na podrobnosti o zařízení se šifrovaným macOS a vyberte Získat obnovovací klíč.
Zakázat výzvu při odhlášení
Zabrání zobrazení výzvy uživateli, který požádá o povolení služby FileVault, když se odhlásí. Pokud je nastavená možnost Zakázat, výzva při odhlášení je zakázaná a místo toho se uživateli zobrazí výzva při přihlášení.
- Nenakonfigurováno (výchozí)
- Ano – zakažte výzvu při odhlášení.
Počet povolených vynechání
Nastavte, kolikrát může uživatel ignorovat výzvy k povolení funkce FileVault, než se vyžaduje FileVault, aby se mohl přihlásit.
- Nenakonfigurováno – Před povolením dalšího přihlášení se vyžaduje šifrování na zařízení.
- 0 – Vyžadovat, aby zařízení zašifrovaná při příštím přihlášení uživatele k zařízení.
- 1 až 10 – Umožňuje uživateli ignorovat výzvu 1 až 10krát, než bude vyžadovat šifrování na zařízení.
- Bez omezení, vždy se zobrazí výzva – Uživateli se zobrazí výzva k povolení fileVault, ale šifrování se nikdy nevyžaduje.
- Zakázat – Zakáže funkci.
Výchozí nastavení pro toto nastavení závisí na konfiguraci výzvy k zakázání při odhlášení. Pokud je možnost Zakázat výzvu při odhlášenínastavená na Nenakonfigurováno, toto nastavení se ve výchozím nastavení nastaví na Nenakonfigurováno. Pokud je možnost Zakázat výzvu při odhlášení nastavená na Ano, toto nastavení je výchozí hodnota 1 a hodnota Nenakonfigurováno není možné.
Brány firewall
Použijte bránu firewall k řízení připojení pro jednotlivé aplikace, nikoli pro jednotlivé porty. Použití nastavení pro jednotlivé aplikace usnadňuje získání výhod ochrany firewallem. Pomáhá také zabránit nežádoucím aplikacím v převzetí kontroly nad síťovými porty, které jsou otevřené pro legitimní aplikace.
Povolit bránu firewall
Zapněte používání brány firewall v systému macOS a pak nakonfigurujte způsob zpracování příchozích připojení ve vašem prostředí.
- Nenakonfigurováno (výchozí)
- Ano
Blokovat všechna příchozí připojení
Blokovat všechna příchozí připojení s výjimkou připojení vyžadovaných pro základní internetové služby, jako jsou DHCP, Bonjour a IPSec. Tato funkce také blokuje všechny služby sdílení, jako je sdílení souborů a sdílení obrazovky. Pokud používáte služby sdílení, ponechte toto nastavení jako Nenakonfigurováno.
- Nenakonfigurováno (výchozí)
- Ano
Když nastavíte Blokovat všechna příchozí připojení na Nenakonfigurováno, můžete pak nakonfigurovat, které aplikace můžou nebo nemůžou přijímat příchozí připojení.
Povolené aplikace: Nakonfigurujte seznam aplikací, které můžou přijímat příchozí připojení.
Přidání aplikací podle ID sady prostředků: Zadejte ID sady prostředků aplikace.
Id sady aplikací získáte tak, že:
- Použijte aplikaci Terminál a AppleScript:
osascript -e 'id of app "AppName". - Web společnosti Apple obsahuje seznam integrovaných aplikací Apple.
- Pro aplikace přidané do Intune můžete použít Centrum pro správu Intune.
- Použijte aplikaci Terminál a AppleScript:
Přidat aplikaci pro Store: Vyberte aplikaci pro Store, kterou jste dříve přidali v Intune. Další informace najdete v tématu Přidání aplikací do Microsoft Intune.
Blokované aplikace: Nakonfigurujte seznam aplikací, které mají zablokovaná příchozí připojení.
Přidání aplikací podle ID sady prostředků: Zadejte ID sady prostředků aplikace.
Id sady aplikací získáte tak, že:
- Použijte aplikaci Terminál a AppleScript:
osascript -e 'id of app "AppName". - Web společnosti Apple obsahuje seznam integrovaných aplikací Apple.
- Pro aplikace přidané do Intune můžete použít Centrum pro správu Intune.
- Použijte aplikaci Terminál a AppleScript:
Přidat aplikaci pro Store: Vyberte aplikaci pro Store, kterou jste dříve přidali v Intune. Další informace najdete v tématu Přidání aplikací do Microsoft Intune.
Povolit neviditelný režim
Pokud chcete zabránit tomu, aby počítač reagoval na požadavky na sondování, povolte neviditelný režim. Zařízení bude dál odpovídat na příchozí žádosti o autorizované aplikace. Neočekávané požadavky, například ICMP (ping), se ignorují.
- Nenakonfigurováno (výchozí)
- Ano
Serveru gatekeeper
Povolit aplikace stahované z těchto umístění
Omezte aplikace, které zařízení může spouštět, podle toho, odkud se aplikace stáhly. Záměrem je chránit zařízení před malwarem a povolovat aplikace jenom ze zdrojů, kterým důvěřujete.
- Nenakonfigurováno (výchozí)
- mac App Store
- Mac App Store a identifikované vývojáře
- Kdekoli
Nepovolit uživateli přepsat Gatekeeper
Zabrání uživatelům v přepsání nastavení Gatekeeperu a zabrání uživatelům v tom, aby klikli na Control a nainstalovali aplikaci. Pokud je tato možnost povolená, nemůžou uživatelé stisknutou stisknutou stisknutou tlačítkem Ctrl žádnou aplikaci nainstalovat.
- Nenakonfigurováno (výchozí) – Uživatelé můžou instalovat aplikace kliknutím se stisknutou tlačítkem Ctrl.
- Ano – Zabrání uživatelům v instalaci aplikací pomocí kliknutí se stisknutou stisknutou tlačítkem Ctrl.
Další kroky
Přiřaďte profil a sledujte jeho stav.
Můžete také nakonfigurovat ochranu koncových bodů na zařízeních Windows 10 a Windows 11.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro