nastavení ochrany koncových bodů macOS v Intune

Důležité

Šablona ochrany koncového bodu macOS je zastaralá. Stávající zásady zůstanou beze změny, ale pomocí této šablony už nemůžete vytvářet nové zásady. > Místo toho použijte jednu z následujících možností:

• Použijte zásady zabezpečení koncového bodu, jako je šifrování disku pro Filevault nebo zásady brány firewall .
• Pomocí katalogu Nastavení vytvořte nové zásady konfigurace pro datové části FileVault, Firewall a Řízení systémových zásad (Gatekeeper). Další informace najdete v katalogu nastavení macOS.

Tento článek popisuje nastavení ochrany koncových bodů, která můžete nakonfigurovat pro zařízení se systémem macOS. Tato nastavení nakonfigurujete pomocí konfiguračního profilu zařízení s macOS pro ochranu koncových bodů v Intune.

Než začnete

Vytvořte profil ochrany koncového bodu macOS.

FileVault

Další informace o nastavení Apple FileVault najdete v tématu FDEFileVault v obsahu apple pro vývojáře.

Důležité

Od verze macOS 10.15 vyžaduje konfigurace FileVault registraci MDM schválenou uživatelem.

• Povolit FileVault

  Úplné šifrování disku můžete povolit pomocí XTS-AES 128 s FileVaultem na zařízeních se systémem macOS 10.13 a novějším.

  • Nenakonfigurováno (výchozí)
  • Ano

  Pokud je možnost Povolit FileVault nastavená na Ano, během šifrování se pro zařízení vygeneruje osobní obnovovací klíč a pro tento klíč platí následující nastavení:

  • Popis umístění úschovy osobního obnovovacího klíče

    Zadejte krátkou zprávu pro uživatele, která vysvětluje, jak a kde může načíst osobní obnovovací klíč. Tento text se vloží do zprávy, kterou uživatel uvidí na přihlašovací obrazovce po zobrazení výzvy k zadání osobního obnovovacího klíče, pokud heslo zapomenete.

  • Obměně osobního obnovovacího klíče

    Určete, jak často se bude osobní obnovovací klíč zařízení obměňovat. Můžete vybrat výchozí hodnotu Nenakonfigurováno nebo hodnotu 1 až 12 měsíců.

  • Skrýt obnovovací klíč

    Zvolte skrytí osobního klíče před uživatelem zařízení během šifrování FileVault 2.

    • Nenakonfigurováno (výchozí) – Osobní klíč se uživateli zařízení zobrazí během šifrování.
    • Ano – osobní klíč je během šifrování před uživatelem zařízení skrytý.

    Po šifrování můžou uživatelé zařízení zobrazit svůj osobní obnovovací klíč pro šifrované zařízení s macOS z následujících umístění:

    • Aplikace Portál společnosti pro iOS/iPadOS
    • Intune aplikace
    • web portálu společnosti
    • Aplikace Portál společnosti pro Android

    Pokud chcete klíč zobrazit, přejděte v aplikaci nebo webu na podrobnosti o zařízení se šifrovaným macOS a vyberte Získat obnovovací klíč.

  • Zakázat výzvu při odhlášení

    Zabrání zobrazení výzvy uživateli, který požádá o povolení služby FileVault, když se odhlásí. Pokud je nastavená možnost Zakázat, výzva při odhlášení je zakázaná a místo toho se uživateli zobrazí výzva při přihlášení.

    • Nenakonfigurováno (výchozí)
    • Ano – zakažte výzvu při odhlášení.

  • Počet povolených vynechání

    Nastavte, kolikrát může uživatel ignorovat výzvy k povolení funkce FileVault, než se vyžaduje FileVault, aby se mohl přihlásit.

    • Nenakonfigurováno – Před povolením dalšího přihlášení se vyžaduje šifrování na zařízení.
    • 0 – Vyžadovat, aby zařízení zašifrovaná při příštím přihlášení uživatele k zařízení.
    • 1 až 10 – Umožňuje uživateli ignorovat výzvu 1 až 10krát, než bude vyžadovat šifrování na zařízení.
    • Bez omezení, vždy se zobrazí výzva – Uživateli se zobrazí výzva k povolení fileVault, ale šifrování se nikdy nevyžaduje.
    • Zakázat – Zakáže funkci.

    Výchozí nastavení pro toto nastavení závisí na konfiguraci výzvy k zakázání při odhlášení. Pokud je možnost Zakázat výzvu při odhlášenínastavená na Nenakonfigurováno, toto nastavení se ve výchozím nastavení nastaví na Nenakonfigurováno. Pokud je možnost Zakázat výzvu při odhlášení nastavená na Ano, toto nastavení je výchozí hodnota 1 a hodnota Nenakonfigurováno není možné.

Brána firewall

Použijte bránu firewall k řízení připojení pro jednotlivé aplikace, nikoli pro jednotlivé porty. Použití nastavení pro jednotlivé aplikace usnadňuje získání výhod ochrany firewallem. Pomáhá také zabránit nežádoucím aplikacím v převzetí kontroly nad síťovými porty, které jsou otevřené pro legitimní aplikace.

• Povolit bránu firewall

  Zapněte používání brány firewall v systému macOS a pak nakonfigurujte způsob zpracování příchozích připojení ve vašem prostředí.

  • Nenakonfigurováno (výchozí)
  • Ano

• Blokovat všechna příchozí připojení

  Blokovat všechna příchozí připojení s výjimkou připojení vyžadovaných pro základní internetové služby, jako jsou DHCP, Bonjour a IPSec. Tato funkce také blokuje všechny služby sdílení, jako je sdílení souborů a sdílení obrazovky. Pokud používáte služby sdílení, ponechte toto nastavení jako Nenakonfigurováno.

  • Nenakonfigurováno (výchozí)
  • Ano

  Když nastavíte Blokovat všechna příchozí připojení na Nenakonfigurováno, můžete pak nakonfigurovat, které aplikace můžou nebo nemůžou přijímat příchozí připojení.

  Povolené aplikace: Nakonfigurujte seznam aplikací, které můžou přijímat příchozí připojení.

  • Přidání aplikací podle ID sady prostředků: Zadejte ID sady prostředků aplikace.

    Id sady aplikací získáte tak, že:

    • Použijte aplikaci Terminál a AppleScript: osascript -e 'id of app "AppName".
    • Web společnosti Apple obsahuje seznam integrovaných aplikací Apple.
    • Pro aplikace přidané do Intune můžete použít Centrum pro správu Intune.

  • Přidat aplikaci pro Store: Vyberte aplikaci pro Store, kterou jste dříve přidali v Intune. Další informace najdete v tématu Přidání aplikací do Microsoft Intune.

  Blokované aplikace: Nakonfigurujte seznam aplikací, které mají zablokovaná příchozí připojení.

  • Přidání aplikací podle ID sady prostředků: Zadejte ID sady prostředků aplikace.

    Id sady aplikací získáte tak, že:

    • Použijte aplikaci Terminál a AppleScript: osascript -e 'id of app "AppName".
    • Web společnosti Apple obsahuje seznam integrovaných aplikací Apple.
    • Pro aplikace přidané do Intune můžete použít Centrum pro správu Intune.

  • Přidat aplikaci pro Store: Vyberte aplikaci pro Store, kterou jste dříve přidali v Intune. Další informace najdete v tématu Přidání aplikací do Microsoft Intune.

• Povolit neviditelný režim

  Pokud chcete zabránit tomu, aby počítač reagoval na požadavky na sondování, povolte neviditelný režim. Zařízení bude dál odpovídat na příchozí žádosti o autorizované aplikace. Neočekávané požadavky, například ICMP (ping), se ignorují.

  • Nenakonfigurováno (výchozí)
  • Ano

Vrátný

• Povolit aplikace stahované z těchto umístění

  Omezte aplikace, které zařízení může spouštět, podle toho, odkud se aplikace stáhly. Záměrem je chránit zařízení před malwarem a povolovat aplikace jenom ze zdrojů, kterým důvěřujete.

  • Nenakonfigurováno (výchozí)
  • mac App Store
  • Mac App Store a identifikované vývojáře
  • Kdekoliv

• Nepovolit uživateli přepsat Gatekeeper

  Zabrání uživatelům v přepsání nastavení Gatekeeperu a zabrání uživatelům v tom, aby klikli na Control a nainstalovali aplikaci. Pokud je tato možnost povolená, nemůžou uživatelé stisknutou stisknutou stisknutou tlačítkem Ctrl žádnou aplikaci nainstalovat.

  • Nenakonfigurováno (výchozí) – Uživatelé můžou instalovat aplikace kliknutím se stisknutou tlačítkem Ctrl.
  • Ano – Zabrání uživatelům v instalaci aplikací pomocí kliknutí se stisknutou stisknutou tlačítkem Ctrl.

Další kroky

Přiřaďte profil a sledujte jeho stav.

Můžete také nakonfigurovat ochranu koncových bodů na zařízeních Windows 10 a Windows 11.