Teilen über

macOS Endpoint Protection-Einstellungen in Intune

  • Artikel

Wichtig

Die macOS Endpoint Protection-Vorlage ist veraltet. Vorhandene Richtlinien bleiben unverändert, aber Sie können mit dieser Vorlage keine neuen Richtlinien mehr erstellen. > Verwenden Sie stattdessen eine der folgenden Optionen:

  • Verwenden Sie Endpunktsicherheitsrichtlinien wie Datenträgerverschlüsselung für Filevault oder Firewallrichtlinie .
  • Verwenden Sie den Einstellungskatalog, um neue Konfigurationsrichtlinien für FileVault-, Firewall- und Systemrichtliniensteuerungs-Nutzlasten (Gatekeeper) zu erstellen. Weitere Informationen finden Sie unter macOS-Einstellungskatalog.

In diesem Artikel werden die Endpoint Protection-Einstellungen beschrieben, die Sie für Geräte mit macOS konfigurieren können. Sie konfigurieren diese Einstellungen mithilfe eines macOS-Gerätekonfigurationsprofils für Endpoint Protection in Intune.

Bevor Sie beginnen

Erstellen Sie ein macOS Endpoint Protection-Profil.

FileVault

Weitere Informationen zu den Apple FileVault-Einstellungen finden Sie unter FDEFileVault im Apple-Entwicklerinhalt.

Wichtig

Ab macOS 10.15 erfordert die FileVault-Konfiguration eine vom Benutzer genehmigte MDM-Registrierung.

  • Aktivieren von FileVault

    Sie können die vollständige Datenträgerverschlüsselung mit XTS-AES 128 mit FileVault auf Geräten aktivieren , auf denen macOS 10.13 und höher ausgeführt wird.

    • Nicht konfiguriert (Standard)
    • Ja

    Wenn FileVault aktivieren auf Ja festgelegt ist, wird während der Verschlüsselung ein persönlicher Wiederherstellungsschlüssel für das Gerät generiert, und die folgenden Einstellungen gelten für diesen Schlüssel:

    • Beschreibung des Treuhandspeicherorts des persönlichen Wiederherstellungsschlüssels

      Geben Sie eine kurze Nachricht an den Benutzer an, in der erläutert wird, wie und wo er seinen persönlichen Wiederherstellungsschlüssel abrufen kann. Dieser Text wird in die Nachricht eingefügt, die dem Benutzer auf dem Anmeldebildschirm angezeigt wird, wenn er aufgefordert wird, seinen persönlichen Wiederherstellungsschlüssel einzugeben, wenn ein Kennwort vergessen wird.

    • Rotation des persönlichen Wiederherstellungsschlüssels

      Geben Sie an, wie häufig der persönliche Wiederherstellungsschlüssel für ein Gerät rotiert wird. Sie können den Standardwert Nicht konfiguriert oder einen Wert von 1 bis 12 Monaten auswählen.

    • Wiederherstellungsschlüssel ausblenden

      Wählen Sie aus, dass der persönliche Schlüssel während der FileVault 2-Verschlüsselung für einen Gerätebenutzer ausgeblendet werden soll.

      • Nicht konfiguriert (Standard): Der persönliche Schlüssel ist für den Gerätebenutzer während der Verschlüsselung sichtbar.
      • Ja : Der persönliche Schlüssel wird während der Verschlüsselung für den Gerätebenutzer ausgeblendet.

      Nach der Verschlüsselung können Gerätebenutzer ihren persönlichen Wiederherstellungsschlüssel für ein verschlüsseltes macOS-Gerät an den folgenden Speicherorten anzeigen:

      • iOS/iPadOS-Unternehmensportal-App
      • Intune-App
      • Unternehmensportal-Website
      • Android-Unternehmensportal-App

      Um den Schlüssel anzuzeigen, wechseln Sie in der App oder Website zu Den Gerätedetails des verschlüsselten macOS-Geräts, und wählen Sie Wiederherstellungsschlüssel abrufen aus.

    • Eingabeaufforderung beim Abmelden deaktivieren

      Verhindern Sie die Aufforderung an den Benutzer, der anfordert, FileVault zu aktivieren, wenn er sich abmeldet. Bei Festlegung auf Deaktivieren ist die Eingabeaufforderung bei der Abmeldung deaktiviert, und stattdessen wird der Benutzer bei der Anmeldung aufgefordert.

      • Nicht konfiguriert (Standard)
      • Ja : Deaktivieren Sie die Eingabeaufforderung bei der Abmeldung.

    • Anzahl der zulässigen Umgehungen

      Legen Sie fest, wie oft ein Benutzer Aufforderungen zum Aktivieren von FileVault ignorieren kann, bevor FileVault für die Anmeldung des Benutzers erforderlich ist.

      • Nicht konfiguriert : Die Verschlüsselung auf dem Gerät ist erforderlich, bevor die nächste Anmeldung zulässig ist.
      • 0 – Geräte müssen bei der nächsten Anmeldung eines Benutzers beim Gerät verschlüsselt werden.
      • 1 bis 10 : Erlauben Sie es einem Benutzer, die Eingabeaufforderung 1- bis 10-mal zu ignorieren, bevor eine Verschlüsselung auf dem Gerät erforderlich ist.
      • Kein Limit, immer auffordern : Der Benutzer wird aufgefordert, FileVault zu aktivieren, aber eine Verschlüsselung ist nie erforderlich.
      • Deaktivieren : Deaktiviert das Feature.

      Die Standardeinstellung für diese Einstellung hängt von der Konfiguration von Eingabeaufforderung beim Abmelden deaktivieren ab. Wenn Aufforderung beim Abmelden deaktivieren auf Nicht konfiguriert festgelegt ist, wird diese Einstellung standardmäßig auf Nicht konfiguriert festgelegt. Wenn Aufforderung beim Abmelden deaktivieren auf Ja festgelegt ist, ist diese Einstellung standardmäßig auf 1 festgelegt, und der Wert Nicht konfiguriert ist keine Option.

Firewall

Verwenden Sie die Firewall, um Verbindungen pro Anwendung und nicht pro Port zu steuern. Die Verwendung von Anwendungsspezifischen Einstellungen erleichtert die Nutzung der Vorteile des Firewallschutzes. Außerdem wird verhindert, dass unerwünschte Apps die Kontrolle über Netzwerkports übernehmen, die für legitime Apps geöffnet sind.

  • Firewall aktivieren

    Verwenden Sie die Firewall unter macOS, und konfigurieren Sie dann, wie eingehende Verbindungen in Ihrer Umgebung behandelt werden.

    • Nicht konfiguriert (Standard)
    • Ja

  • Alle eingehenden Verbindungen blockieren

    Blockieren Sie alle eingehenden Verbindungen mit Ausnahme der Verbindungen, die für grundlegende Internetdienste wie DHCP, Bonjour und IPSec erforderlich sind. Dieses Feature blockiert auch alle Freigabedienste, z. B. Dateifreigabe und Bildschirmfreigabe. Wenn Sie Freigabedienste verwenden, behalten Sie diese Einstellung nicht konfiguriert bei.

    • Nicht konfiguriert (Standard)
    • Ja

    Wenn Sie Alle eingehenden Verbindungen blockieren auf Nicht konfiguriert festlegen, können Sie konfigurieren, welche Apps eingehende Verbindungen empfangen können oder nicht.

    Zulässige Apps: Konfigurieren Sie eine Liste der Apps, die eingehende Verbindungen empfangen dürfen.

    Blockierte Apps: Konfigurieren Sie eine Liste von Apps, für die eingehende Verbindungen blockiert sind.

  • Aktivieren des stealth-Modus

    Um zu verhindern, dass der Computer auf Testanforderungen reagiert, aktivieren Sie den stealth-Modus. Das Gerät beantwortet weiterhin eingehende Anforderungen für autorisierte Apps. Unerwartete Anforderungen, z. B. ICMP (Ping), werden ignoriert.

    • Nicht konfiguriert (Standard)
    • Ja

Pförtner

  • Von diesen Speicherorten heruntergeladene Apps zulassen

    Beschränken Sie die Apps, die ein Gerät starten kann, je nachdem, wo die Apps heruntergeladen wurden. Die Absicht besteht darin, Geräte vor Schadsoftware zu schützen und Apps nur aus den Quellen zuzulassen, denen Sie vertrauen.

    • Nicht konfiguriert (Standard)
    • Mac App Store
    • Mac App Store und identifizierte Entwickler
    • Irgendwohin

  • Nicht zulassen, dass Der Benutzer Gatekeeper überschreibt

    Verhindert, dass Benutzer die Gatekeeper-Einstellung außer Kraft setzen, und verhindert, dass Benutzer mit der CTRL-MAUSTASTE klicken, um eine App zu installieren. Wenn diese Option aktiviert ist, können Benutzer keine App mit ctrl-klicken, um sie zu installieren.

    • Nicht konfiguriert (Standardeinstellung): Benutzer können mit der CTRL-Maustaste klicken, um Apps zu installieren.
    • Ja : Verhindert, dass Benutzer bei der Installation von Apps die Ctrl-Klick-Option verwenden.

Nächste Schritte

Weisen Sie das Profil zu, und überwachen Sie seinen Status.

Sie können Endpoint Protection auch auf Windows 10- und Windows 11-Geräten konfigurieren.