configuración de la protección de puntos de conexión de macOS en Intune

En este artículo se muestran las opciones de endpoint protection que puede configurar para los dispositivos que ejecutan macOS. Estas opciones se configuran mediante un perfil de configuración de dispositivo macOS para endpoint protection en Intune.

Antes de empezar

Cree un perfil de endpoint protection de macOS.

FileVault

Para obtener más información sobre la configuración de Apple FileVault, consulte FDEFileVault en el contenido para desarrolladores de Apple.

Importante

A partir de macOS 10.15, la configuración de FileVault requiere la inscripción de MDM aprobada por el usuario.

  • Habilitación de FileVault

    Puede habilitar el cifrado de disco completo mediante XTS-AES 128 con FileVault en dispositivos que ejecutan macOS 10.13 y versiones posteriores.

    • No configurado (valor predeterminado)

    Cuando Habilitar FileVault se establece en , se genera una clave de recuperación personal para el dispositivo durante el cifrado y se aplica la siguiente configuración a esa clave:

    • Descripción de la ubicación de custodia de la clave de recuperación personal

      Especifique un mensaje corto al usuario que explique cómo y dónde puede recuperar su clave de recuperación personal. Este texto se inserta en el mensaje que el usuario ve en la pantalla de inicio de sesión cuando se le pide que escriba su clave de recuperación personal si se olvida una contraseña.

    • Rotación de clave de recuperación personal

      Especifique la frecuencia con la que girará la clave de recuperación personal de un dispositivo. Puede seleccionar el valor predeterminado No configurado o un valor de 1 a 12 meses.

    • Ocultar clave de recuperación

      Elija ocultar la clave personal de un usuario del dispositivo durante el cifrado de FileVault 2.

      • No configurado (valor predeterminado): la clave personal es visible para el usuario del dispositivo durante el cifrado.
      • : la clave personal está oculta al usuario del dispositivo durante el cifrado.

      Después del cifrado, los usuarios del dispositivo pueden ver su clave de recuperación personal para un dispositivo macOS cifrado desde las siguientes ubicaciones:

      • Aplicación del portal de empresa de iOS/iPadOS
      • Aplicación de Intune
      • sitio web del portal de empresa
      • Aplicación del portal de empresa de Android

      Para ver la clave, desde la aplicación o el sitio web, vaya a los detalles del dispositivo macOS cifrado y seleccione Obtener clave de recuperación.

    • Deshabilitación del símbolo del sistema al cerrar la sesión

      Evite el aviso al usuario que solicita que habilite FileVault cuando cierre la sesión. Cuando se establece en Deshabilitar, el símbolo del sistema en el cierre de sesión está deshabilitado y, en su lugar, se le pide al usuario que inicie sesión.

      • No configurado (valor predeterminado)
      • : deshabilite el mensaje al cerrar la sesión.
    • Número de veces que se permite omitir

      Establezca el número de veces que un usuario puede omitir los mensajes para habilitar FileVault antes de que fileVault sea necesario para que el usuario inicie sesión.

      • No configurado : el cifrado en el dispositivo es necesario antes de permitir el siguiente inicio de sesión.
      • 0 : requerir que los dispositivos cifren la próxima vez que un usuario inicie sesión en el dispositivo.
      • 1 a 10 : permitir que un usuario ignore el símbolo del sistema de 1 a 10 veces antes de requerir cifrado en el dispositivo.
      • Sin límite, siempre se le pide al usuario que habilite FileVault, pero el cifrado nunca es necesario.
      • Deshabilitar : deshabilita la característica.

      El valor predeterminado de esta configuración depende de la configuración de Deshabilitar símbolo del sistema al cerrar la sesión. Cuando Deshabilitar símbolo del sistema al cerrar la sesión está establecido en No configurado, este valor predeterminado es No configurado. Cuando Deshabilitar símbolo del sistema al cerrar sesión está establecido en , este valor predeterminado es 1 y un valor de No configurado no es una opción.

Firewall

Use el firewall para controlar las conexiones por aplicación, en lugar de por puerto. El uso de la configuración por aplicación facilita la obtención de las ventajas de la protección del firewall. También ayuda a evitar que las aplicaciones no deseadas tomen el control de los puertos de red que están abiertos para aplicaciones legítimas.

  • Habilitar el firewall

    Active el uso del firewall en macOS y configure cómo se controlan las conexiones entrantes en su entorno.

    • No configurado (valor predeterminado)
  • Bloquear todas las conexiones entrantes

    Bloquee todas las conexiones entrantes excepto las conexiones necesarias para los servicios básicos de Internet, como DHCP, Bonjour e IPSec. Esta característica también bloquea todos los servicios de uso compartido, como el uso compartido de archivos y el uso compartido de pantalla. Si usa servicios de uso compartido, mantenga esta configuración como No configurada.

    • No configurado (valor predeterminado)

    Al establecer Bloquear todas las conexiones entrantes en No configurado, puede configurar qué aplicaciones pueden o no pueden recibir conexiones entrantes.

    Aplicaciones permitidas: configure una lista de aplicaciones que puedan recibir conexiones entrantes.

    • Agregar aplicaciones por id. de lote: escriba el identificador de agrupación de la aplicación. En dispositivos macOS, puede obtener el identificador de agrupación mediante la aplicación Terminal y AppleScript: osascript -e 'id of app "AppName". El sitio web de Apple tiene una lista de aplicaciones de Apple integradas.
    • Agregar aplicación de tienda: seleccione una aplicación de la tienda que agregó anteriormente en Intune. Para más información, vea Agregar aplicaciones a Microsoft Intune.

    Aplicaciones bloqueadas: configure una lista de aplicaciones que tienen bloqueadas las conexiones entrantes.

    • Agregar aplicaciones por id. de lote: escriba el identificador de agrupación de la aplicación. En dispositivos macOS, puede obtener el identificador de agrupación mediante la aplicación Terminal y AppleScript: osascript -e 'id of app "AppName". El sitio web de Apple tiene una lista de aplicaciones de Apple integradas.
    • Agregar aplicación de tienda: seleccione una aplicación de la tienda que agregó anteriormente en Intune. Para más información, vea Agregar aplicaciones a Microsoft Intune.
  • Habilitación del modo sigiloso

    Para evitar que el equipo responda a las solicitudes de sondeo, habilite el modo sigiloso. El dispositivo sigue respondiendo a las solicitudes entrantes para las aplicaciones autorizadas. Se omiten las solicitudes inesperadas, como ICMP (ping).

    • No configurado (valor predeterminado)

Portero

  • Permitir aplicaciones descargadas desde estas ubicaciones

    Limite las aplicaciones desde las que se puede iniciar un dispositivo, en función de dónde se descargaron las aplicaciones. La intención es proteger los dispositivos contra malware y permitir aplicaciones solo de los orígenes en los que confía.

    • No configurado (valor predeterminado)
    • Mac App Store
    • Mac App Store y desarrolladores identificados
    • Dondequiera
  • No permitir que el usuario invalide Gatekeeper

    Impide que los usuarios invaliden la configuración de Gatekeeper e impide que los usuarios haga clic en Control para instalar una aplicación. Cuando está habilitada, los usuarios no pueden hacer clic con control en ninguna aplicación para instalarla.

    • No configurado (valor predeterminado): los usuarios pueden hacer clic con control para instalar aplicaciones.
    • : impide que los usuarios usen Control y haga clic para instalar aplicaciones.

Siguientes pasos

Asigne el perfil y supervise el estado.

También puede configurar endpoint protection en dispositivos Windows 10 y Windows 11.