Paramètres d’appareil macOS pour autoriser ou restreindre les fonctionnalités à l’aide d’Intune
Remarque
Intune peut prendre en charge davantage de paramètres que les paramètres répertoriés dans cet article. Tous les paramètres ne sont pas documentés et ne le seront pas. Pour afficher les paramètres que vous pouvez configurer, créez une stratégie de configuration d’appareil, puis sélectionnez Catalogue de paramètres. Pour plus d’informations, accédez à Catalogue des paramètres.
Cet article décrit les paramètres que vous pouvez contrôler et restreindre sur les appareils macOS. Dans le cadre de votre solution de gestion des appareils mobiles (GPM), utilisez ces paramètres pour autoriser ou désactiver des fonctionnalités, définir des règles de mot de passe, etc.
Cette fonctionnalité s’applique à :
- macOS
Ces paramètres sont ajoutés à un profil de configuration d’appareil dans Intune, puis affectés ou déployés sur vos appareils macOS.
Remarque
L’interface utilisateur peut ne pas correspondre aux types d’inscription de cet article. Les informations contenues dans cet article sont correctes. L’interface utilisateur est mise à jour dans une prochaine version.
Conseil
Ces paramètres utilisent les paramètres de restriction d’Apple. Pour plus d’informations sur ces paramètres, consultez le site des paramètres de gestion des appareils mobiles d’Apple (ouvre le site web d’Apple).
Avant de commencer
Créez un profil de configuration des restrictions d’appareil macOS.
Remarque
Ces paramètres s’appliquent à différents types d’inscription. Pour plus d’informations sur les différents types d’inscription, consultez Inscription macOS.
App Store, affichage de documents, jeux
Les paramètres s’appliquent à : Inscription automatisée des appareils (supervisée)
Bloquer l’ajout d’amis Game Center : Oui empêche les utilisateurs d’ajouter des amis à Game Center. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser les utilisateurs à ajouter des amis à Game Center.
Cette fonctionnalité s’applique à :
- macOS 10.13 et versions ultérieures
Bloquer Game Center : Oui désactive Game Center, et l’icône Game Center est supprimée de l’écran d’accueil. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut rendre Game Center disponible pour les utilisateurs.
Cette fonctionnalité s’applique à :
- macOS 10.13 et versions ultérieures
Bloquer les jeux multijoueurs dans Game Center : Oui empêche les jeux multijoueurs lors de l’utilisation de Game Center. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser les utilisateurs à jouer à des jeux multijoueurs.
Cette fonctionnalité s’applique à :
- macOS 10.13 et versions ultérieures
Applications intégrées
Les paramètres s’appliquent à : Tous les types d’inscription
Bloquer le remplissage automatique Safari : Oui désactive la fonctionnalité de remplissage automatique dans Safari sur les appareils. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser les utilisateurs à modifier les paramètres de saisie semi-automatique dans le navigateur web.
Bloquer l’utilisation de l’appareil photo : Oui empêche l’accès à la caméra sur les appareils. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser l’accès à la caméra de l’appareil.
Intune gère uniquement l’accès à la caméra de l’appareil. Il n’a pas accès aux images ou vidéos.
Bloquer Apple Music : Oui rétablit l’application Musique en mode classique et désactive le service Musique. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser l’utilisation de l’application Apple Music.
Bloquer les suggestions à la une : Oui empêche Spotlight de renvoyer les résultats d’une recherche sur Internet. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser la recherche Spotlight à se connecter à Internet et à obtenir les résultats de la recherche.
Bloquer le transfert de fichiers à l’aide du Finder ou d’iTunes : Oui désactive les services de partage de fichiers d’application. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser les services de partage de fichiers d’application.
Cette fonctionnalité s’applique à :
- macOS 10.13 et versions ultérieures
Cloud et stockage
Les paramètres s’appliquent à : Tous les types d’inscription
Bloquer la synchronisation du trousseau iCloud : Oui désactive la synchronisation des informations d’identification stockées dans le trousseau sur iCloud. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser les utilisateurs à synchroniser ces informations d’identification.
Bloquer la synchronisation des documents et des données iCloud : Oui empêche iCloud de synchroniser des documents et des données. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser la synchronisation de document et clé-valeur dans votre espace de stockage iCloud.
Bloquer la sauvegarde de messagerie iCloud : Oui empêche iCloud de se synchroniser avec l’application macOS Mail. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser la synchronisation de messagerie vers iCloud.
Bloquer la sauvegarde des contacts iCloud : Oui empêche iCloud de synchroniser les contacts de l’appareil. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser la synchronisation des contacts à l’aide d’iCloud.
Bloquer la sauvegarde du calendrier iCloud : Oui empêche iCloud de se synchroniser avec l’application Calendrier macOS. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser la synchronisation du calendrier sur iCloud.
Bloquer la sauvegarde de rappel iCloud : Oui empêche iCloud de se synchroniser avec l’application Rappels macOS. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser la synchronisation des rappels sur iCloud.
Bloquer la sauvegarde des signets iCloud : Oui empêche iCloud de synchroniser les signets de l’appareil. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser la synchronisation des signets sur iCloud.
Bloquer la sauvegarde des notes iCloud : Oui empêche iCloud de synchroniser l’appareil Notes. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser la synchronisation des notes sur iCloud.
Bloquer la sauvegarde des photos iCloud : Oui désactive la bibliothèque de photos iCloud et empêche iCloud de synchroniser les photos de l’appareil. Toutes les photos qui ne sont pas entièrement téléchargées à partir de la photothèque iCloud sont supprimées du stockage local sur les appareils. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser la synchronisation des photos entre l’appareil et la photothèque iCloud.
Bloquer le transfert : cette fonctionnalité permet aux utilisateurs de commencer à travailler sur un appareil macOS, puis de poursuivre le travail qu’ils ont démarré sur un autre appareil iOS/iPadOS ou macOS. Oui empêche la fonctionnalité Transfert sur les appareils. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser cette fonctionnalité sur les appareils.
Cette fonctionnalité s’applique à :
- macOS 10.15 et ultérieur
Les paramètres s’appliquent à : Inscription d’appareil approuvée par l’utilisateur, Inscription automatisée des appareils (supervisée)
Bloquer iCloud Private Relay : Oui désactive iCloud Private Relay. Lorsqu’il est désactivé, Apple ne chiffre pas le trafic Internet quittant l’appareil. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser cette fonctionnalité, ce qui empêche les réseaux et les serveurs de surveiller l’activité d’un utilisateur sur Internet.
Cette fonctionnalité s’applique à :
- macOS 12 et les plus nouveaux
Relais privé iCloud (ouvre le site web d’Apple)
Appareils connectés
Les paramètres s’appliquent à : Tous les types d’inscription
- Bloquer AirDrop : Oui empêche l’utilisation d’AirDrop sur les appareils. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser l’utilisation de la fonctionnalité AirDrop pour échanger du contenu avec des appareils à proximité.
- Bloquer le déverrouillage automatique de l’Apple Watch : Oui empêche les utilisateurs de déverrouiller leur appareil macOS avec leur Apple Watch. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut permettre aux utilisateurs de déverrouiller leur appareil macOS avec leur Apple Watch.
Domaines
Les paramètres s’appliquent à : Tous les types d’inscription
- Domaines de messagerie non marqués : entrez une ou plusieurs URL de domaine de messagerie dans la liste. Lorsque les utilisateurs envoient ou reçoivent un e-mail à partir d’un domaine autre que les domaines que vous avez ajoutés, l’e-mail est marqué comme non approuvé dans l’application de messagerie macOS.
Généralités
Les paramètres s’appliquent à : Tous les types d’inscription
Bloquer la recherche : Oui empêche l’utilisateur de mettre en surbrillance un mot, puis de rechercher sa définition sur l’appareil. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser la fonctionnalité de recherche de définition.
Bloquer la dictée : Oui empêche les utilisateurs d’utiliser l’entrée vocale pour entrer du texte. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser les utilisateurs à utiliser l’entrée de dictée.
Bloquer la mise en cache du contenu : Oui empêche la mise en cache du contenu. La mise en cache du contenu stocke les données d’application, les données de navigateur web, les téléchargements, etc. localement sur les appareils. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut activer la mise en cache du contenu.
Pour plus d’informations sur la mise en cache du contenu sur macOS, consultez Gérer la mise en cache du contenu sur Mac (ouvre un autre site web).
Cette fonctionnalité s’applique à :
- macOS 10.13 et versions ultérieures
Bloquer les captures d’écran et l’enregistrement d’écran : Oui empêche les utilisateurs d’enregistrer des captures d’écran de l’affichage. Cela empêche également l’application Classroom d’observer les écrans distants. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut permettre aux utilisateurs de capturer des captures d’écran et permettre à l’application Classroom d’afficher les écrans distants.
Les paramètres s’appliquent à : Inscription d’appareil approuvée par l’utilisateur, Inscription automatisée des appareils (supervisée)
Différer les mises à jour logicielles : ce paramètre vous permet de différer la visibilité des mises à jour logicielles sur les appareils pendant jusqu’à 90 jours. Par exemple, si Apple publie une mise à jour macOS à une date spécifique, elle s’affiche naturellement sur les appareils autour de la date de publication. Ce paramètre peut masquer la mise à jour afin que les utilisateurs ne la voient pas dès qu’elle est disponible.
Ce paramètre ne contrôle pas le moment où les mises à jour sont installées et n’a pas d’impact sur les mises à jour planifiées. Les mises à jour de build de départ sont autorisées sans délai.
Pour utiliser ce paramètre, sélectionnez les mises à jour logicielles que vous souhaitez retarder. Les options disponibles sont les suivantes :
- Non configuré (valeur par défaut) : Intune ne modifie pas ou ne met pas à jour ce paramètre. Par défaut, le système d’exploitation peut afficher les mises à jour logicielles nouvellement publiées aux utilisateurs dès qu’elles sont publiées.
- Principales mises à jour logicielles du système d’exploitation : les principales mises à jour logicielles du système d’exploitation, telles que macOS 12, sont différées pendant 30 jours par défaut, sauf indication contraire dans le champ Retarder la visibilité des principales mises à jour logicielles du système d’exploitation . Nécessite macOS 11.3 et versions ultérieures.
- Mises à jour logicielles mineures du système d’exploitation : les mises à jour logicielles mineures du système d’exploitation, telles que macOS 12.x, sont différées pendant 30 jours par défaut, sauf indication contraire dans le champ Retarder la visibilité des mises à jour logicielles mineures du système d’exploitation . Nécessite macOS 11.3 et versions ultérieures.
- Mises à jour logicielles non-système d’exploitation : les mises à jour logicielles non-système d’exploitation, telles que les mises à jour Safari, sont différées pendant 30 jours par défaut, sauf indication contraire dans le champ Retarder la visibilité des mises à jour logicielles non du système d’exploitation . Nécessite macOS 11.0 et versions ultérieures.
Entrez ensuite la durée pendant laquelle vous souhaitez retarder chaque type de mise à jour, de 1 à 90 jours. Par exemple, si une mise à jour macOS est disponible le 1er janvier et que La visibilité différée est définie sur 5 jours, la mise à jour n’est pas affichée en tant que mise à jour disponible. Le sixième jour suivant la publication, cette mise à jour devient disponible et les utilisateurs sont avertis de mettre à jour vers la version la plus ancienne disponible lorsque le délai a été déclenché. Les options disponibles sont les suivantes :
Retarder la visibilité par défaut des mises à jour logicielles : entrez le nombre de jours pour retarder toutes les mises à jour logicielles, de 1 à 90. Si vous n’entrez rien, les mises à jour seront différées pendant 30 jours, par défaut. Intune remplacera cette valeur si vous choisissez de retarder individuellement les mises à jour principales du système d’exploitation, du système d’exploitation secondaire ou des logiciels non-système d’exploitation.
Retarder la visibilité des principales mises à jour logicielles du système d’exploitation : entrez le nombre de jours pour retarder toutes les principales mises à jour logicielles du système d’exploitation, de 1 à 90. Si vous n’entrez rien, les mises à jour seront différées pendant 30 jours, par défaut. Cette valeur remplace la valeur dans Retarder la visibilité par défaut des mises à jour logicielles.
Cette fonctionnalité s’applique à :
- macOS 11.3 et versions ultérieures
Retarder la visibilité des mises à jour logicielles mineures du système d’exploitation : entrez le nombre de jours pendant lesquels différer toutes les mises à jour logicielles mineures du système d’exploitation, de 1 à 90. Si vous n’entrez rien, les mises à jour seront différées pendant 30 jours, par défaut. Cette valeur remplace la valeur dans Retarder la visibilité par défaut des mises à jour logicielles.
Cette fonctionnalité s’applique à :
- macOS 11.3 et versions ultérieures
Retarder la visibilité des mises à jour logicielles non-système d’exploitation : entrez le nombre de jours pendant lesquels différer toutes les mises à jour logicielles non-système d’exploitation, de 1 à 90. Si vous n’entrez rien, les mises à jour seront différées pendant 30 jours, par défaut. Cette valeur remplace la valeur dans Retarder la visibilité par défaut des mises à jour logicielles.
Cette fonctionnalité s’applique à :
- macOS 11.0 et versions ultérieures
Autoriser le verrouillage d’activation : Oui, active le verrouillage d’activation sur les appareils macOS supervisés. Le verrou d’activation rend plus difficile la réactivation d’un appareil perdu ou volé. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre.
Cette fonctionnalité s’applique à :
- macOS 10.15 ou version ultérieure
Les paramètres s’appliquent à : Inscription automatisée des appareils
Désactiver AirPlay, afficher l’écran par application Classroom et le partage d’écran : Oui bloque AirPlay et empêche le partage d’écran avec d’autres appareils. Cela empêche également les enseignants d’utiliser l’application Classroom pour voir les écrans de leurs étudiants. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut permettre aux enseignants de voir les écrans de leurs étudiants.
Pour utiliser ce paramètre, définissez le paramètre Bloquer les captures d’écran et l’enregistrement d’écran sur Non configuré (les captures d’écran sont autorisées).
Autoriser l’application Classroom à effectuer AirPlay et à afficher l’écran sans invite : Oui permet aux enseignants de voir les écrans de leurs étudiants sans demander aux étudiants d’accepter. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut exiger que les étudiants acceptent avant que les enseignants puissent voir les écrans.
Pour utiliser ce paramètre, définissez le paramètre Bloquer les captures d’écran et l’enregistrement d’écran sur Non configuré (les captures d’écran sont autorisées).
Exiger l’autorisation de l’enseignant pour quitter les classes non gérées de l’application Classroom : Oui force les étudiants inscrits à un cours Classroom non géré à obtenir l’approbation de l’enseignant pour quitter le cours. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser les étudiants à quitter le cours chaque fois que l’étudiant le souhaite.
Autoriser Classroom à verrouiller l’appareil sans invite : Oui permet aux enseignants de verrouiller l’appareil ou l’application d’un étudiant sans l’approbation de l’étudiant. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut exiger que les étudiants acceptent avant que les enseignants puissent verrouiller l’appareil ou l’application.
Les étudiants peuvent automatiquement rejoindre la classe Classroom sans invite : Oui permet aux étudiants de rejoindre une classe sans demander à l’enseignant. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut nécessiter l’approbation de l’enseignant pour rejoindre une classe.
Bloquer la modification du papier peint : Oui empêche les utilisateurs de modifier le papier peint de l’appareil. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut permettre aux utilisateurs de modifier le papier peint.
Cette fonctionnalité s’applique à :
- macOS 10.13 et versions ultérieures
Empêcher les utilisateurs d’effacer tout le contenu et les paramètres sur l’appareil : Oui désactive l’option de réinitialisation sur les appareils supervisés. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut permettre aux utilisateurs d’effacer tout le contenu et les paramètres de leur appareil.
Cette fonctionnalité s’applique à :
- macOS 12 et les plus nouveaux
Mot de passe
Ces paramètres utilisent la charge utile du code secret (ouvre le site web d’Apple).
Importante
Sur les appareils macOS exécutant 10.14.2 et versions ultérieures (à l’exception de toutes les versions de macOS 10.15 Catalina), les utilisateurs sont invités à modifier le mot de passe de l’appareil lorsque l’appareil se met à jour vers une nouvelle version majeure du système d’exploitation. Cette mise à jour de mot de passe se produit une seule fois. Une fois que les utilisateurs ont mis à jour le mot de passe, toutes les autres stratégies de mot de passe sont appliquées. Si un code secret est requis dans au moins une stratégie, ce comportement se produit uniquement pour l’utilisateur de l’ordinateur local.
Chaque fois que la stratégie de mot de passe est mise à jour, tous les utilisateurs exécutant ces versions macOS doivent modifier le mot de passe, même si le mot de passe actuel est conforme aux nouvelles exigences. Par exemple, lorsque votre appareil macOS s’allume après la mise à niveau vers une nouvelle version majeure du système d’exploitation comme Big Sur (macOS 11) ou Monterey (macOS 12), les utilisateurs doivent modifier le mot de passe de l’appareil avant de pouvoir se connecter.
Les paramètres s’appliquent à : Tous les types d’inscription
Exiger un mot de passe : Oui oblige les utilisateurs à entrer un mot de passe pour accéder aux appareils. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut ne pas nécessiter de mot de passe. Il ne force pas non plus les restrictions, telles que le blocage des mots de passe simples ou la définition d’une longueur minimale.
Type de mot de passe requis : entrez le niveau de complexité de mot de passe requis par votre organisation. Lorsqu’il n’est pas vide, Intune ne modifie pas ou ne met pas à jour ce paramètre. Les options disponibles sont les suivantes :
- Non configuré : utilise la valeur par défaut de l’appareil.
- Alphanumérique : inclut des majuscules, des lettres minuscules et des caractères numériques.
- Numérique : le mot de passe doit être uniquement des nombres, tels que 123456789.
Cette fonctionnalité s’applique à :
- macOS 10.10.3 et versions ultérieures
Nombre de caractères non alphanumériques dans le mot de passe : entrez le nombre de caractères complexes requis dans le mot de passe, compris entre 0 et 4. Un caractère complexe est un symbole, tel que
?
. Si ce paramètre n’est pas défini ou n’est pas défini sur Non configuré, Intune ne modifie pas ou ne met pas à jour ce paramètre.Longueur minimale du mot de passe : entrez la longueur minimale du mot de passe, comprise entre 4 et 16 caractères. Lorsqu’il n’est pas vide, Intune ne modifie pas ou ne met pas à jour ce paramètre.
Bloquer les mots de passe simples : Oui empêche l’utilisation de mots de passe simples, tels que
0000
ou1234
. Lorsque la valeur est vide ou définie sur Non configuré, Intune ne modifie pas ou ne met pas à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser des mots de passe simples.Nombre maximal de minutes d’inactivité avant le verrouillage de l’écran : entrez la durée pendant laquelle les appareils doivent être inactifs avant que l’écran ne soit automatiquement verrouillé. Par exemple, entrez
5
pour verrouiller les appareils après 5 minutes d’inactivité. Lorsque la valeur est vide ou définie sur Non configuré, Intune ne modifie pas ou ne met pas à jour ce paramètre.Nombre maximal de minutes après le verrouillage de l’écran avant que le mot de passe ne soit requis : entrez la durée pendant laquelle les appareils doivent être inactifs avant qu’un mot de passe ne soit requis pour le déverrouiller. Lorsque la valeur est vide ou définie sur Non configuré, Intune ne modifie pas ou ne met pas à jour ce paramètre.
Expiration du mot de passe (jours) : entrez le nombre de jours jusqu’à ce que le mot de passe de l’appareil soit modifié, de 1 à 65535. Par exemple, entrez
90
pour faire expirer le mot de passe après 90 jours. Lorsque le mot de passe expire, les utilisateurs sont invités à créer un nouveau mot de passe. Lorsque la valeur est vide ou définie sur Non configuré, Intune ne modifie pas ou ne met pas à jour ce paramètre.Empêcher la réutilisation des mots de passe précédents : empêchez les utilisateurs de créer des mots de passe précédemment utilisés. Entrez le nombre de mots de passe précédemment utilisés qui ne peuvent pas être utilisés, compris entre 1 et 24. Par exemple, entrez 5 afin que les utilisateurs ne puissent pas définir un nouveau mot de passe sur leur mot de passe actuel ou sur l’un de leurs quatre mots de passe précédents. Lorsque la valeur est vide, Intune ne modifie pas ou ne met pas à jour ce paramètre.
Nombre maximal de tentatives de connexion autorisées : entrez le nombre maximal de tentatives de connexion consécutives que les utilisateurs peuvent essayer de se connecter avant que l’appareil ne verrouille les utilisateurs, de 2 à 11. Lorsque ce nombre est dépassé, l’appareil est verrouillé. Nous vous recommandons de ne pas définir cette valeur sur un nombre faible, par
2
exemple ou3
. Il est courant que les utilisateurs entrent un mot de passe incorrect. Nous vous recommandons de définir sur une valeur plus élevée.Par exemple, entrez
5
afin que les utilisateurs puissent entrer le mot de passe incorrect jusqu’à cinq fois. Après la cinquième tentative, l’appareil est verrouillé. Si vous laissez cette valeur vide ou si vous ne la modifiez pas,11
est utilisé par défaut.Après six tentatives ayant échoué, macOS force automatiquement un délai avant qu’un code secret puisse être entré à nouveau. Le délai augmente à chaque tentative. Définissez la durée du verrouillage pour ajouter un délai avant la saisie du code secret suivant.
Durée du verrouillage : entrez le nombre de minutes pendant lesquelles un verrouillage dure entre 0 et 10 000. Pendant un verrouillage d’appareil, l’écran de connexion est inactif et les utilisateurs ne peuvent pas se connecter. Une fois le verrouillage terminé, l’utilisateur peut essayer de se reconnecter.
Si vous laissez cette valeur vide ou si vous ne la modifiez pas, les
30
minutes sont utilisées par défaut.Ce paramètre s’applique à :
- macOS 10.10 et ultérieur
Empêcher l’utilisateur de modifier le code secret : Oui empêche la modification, l’ajout ou la suppression du code secret. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser l’ajout, la modification ou la suppression de codes secrets.
Bloquer touch ID pour déverrouiller l’appareil : Oui empêche l’utilisation d’empreintes digitales pour déverrouiller les appareils. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut permettre aux utilisateurs de déverrouiller l’appareil à l’aide d’une empreinte digitale.
Délai d’expiration (heures d’inactivité) : entrez une valeur d’heures inactives pendant lesquelles les utilisateurs doivent entrer leur mot de passe, au lieu de TouchID.
La période d’inactivité par défaut est de 48 heures. Après 48 heures d’inactivité, l’appareil demande le mot de passe au lieu de l’ID tactile.
Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut définir le délai d’expiration sur 48 heures (172 800 secondes).
Cette fonctionnalité s’applique à :
- macOS 12 et les plus nouveaux
Bloquer le remplissage automatique du mot de passe : Oui empêche l’utilisation de la fonctionnalité de remplissage automatique des mots de passe sur macOS. Le choix de Oui a également l’impact suivant :
- Les utilisateurs ne sont pas invités à utiliser un mot de passe enregistré dans Safari ou dans des applications.
- Les mots de passe forts automatiques sont désactivés et les mots de passe forts ne sont pas suggérés aux utilisateurs.
Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser ces fonctionnalités.
Bloquer les demandes de proximité de mot de passe : Oui empêche les appareils de demander des mots de passe à partir d’appareils proches. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser ces demandes de mot de passe.
Bloquer le partage de mot de passe : Oui empêche le partage de mots de passe entre les appareils à l’aide d’AirDrop. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser le partage des mots de passe.
Préférences de confidentialité
Sur les appareils macOS, les applications et les processus invitent souvent les utilisateurs à autoriser ou refuser l’accès aux fonctionnalités de l’appareil, telles que l’appareil photo, le microphone, le calendrier, le dossier Documents, etc. Ces paramètres permettent aux administrateurs de pré-approuver ou de refuser l’accès à ces fonctionnalités d’appareil. Lorsque vous configurez ces paramètres, vous gérez le consentement d’accès aux données au nom de vos utilisateurs. Vos paramètres remplacent leurs décisions précédentes.
L’objectif de ces paramètres est de réduire le nombre d’invites par les applications et les processus.
Cette fonctionnalité s’applique à :
- macOS 10.14 et versions ultérieures
- Certains paramètres s’appliquent à macOS 10.15 et versions ultérieures.
- Ces paramètres s’appliquent uniquement aux appareils sur ant le profil de préférences de confidentialité installé avant la mise à niveau.
Remarque
Lorsque vous autorisez des applications à l’aide d’une stratégie, ces applications ne sont pas affichées dans les paramètres système (Confidentialité + Sécurité) sur l’appareil. Seules les applications autorisées manuellement par les utilisateurs finaux sont affichées.
Les paramètres s’appliquent à : Inscription d’appareil approuvée par l’utilisateur, Inscription automatisée des appareils
-
Applications et processus : ajoutez des applications ou des processus pour configurer l’accès. Entrez également :
Nom : entrez un nom pour votre application ou processus. Par exemple, entrez
Microsoft Remote Desktop
ouMicrosoft 365
.Type d’identificateur : Vos options :
- ID de bundle : sélectionnez cette option pour les applications.
- Chemin : sélectionnez cette option pour les fichiers binaires non groupés, qui sont un processus ou un exécutable.
Les outils d’assistance incorporés dans un bundle d’applications héritent automatiquement des autorisations de leur offre groupée d’applications englobante.
Identificateur : entrez l’ID du bundle d’applications ou le chemin du fichier d’installation du processus ou de l’exécutable. Par exemple, entrez
com.contoso.appname
.Pour obtenir l’ID du bundle d’applications :
- Ouvrez l’application Terminal et exécutez la
codesign
commande . Cette commande identifie la signature de code. Vous pouvez donc obtenir simultanément l’ID d’offre groupée et la signature de code. - Pour les applications ajoutées à Intune, vous pouvez utiliser le Centre d’administration Intune.
- Ouvrez l’application Terminal et exécutez la
Exigence de code : entrez la signature de code pour l’application ou le processus.
Une signature de code est créée lorsqu’une application ou un fichier binaire est signé par un certificat de développeur. Pour trouver la désignation, exécutez la
codesign
commande manuellement dans l’application Terminal :codesign --display -r - /path/to/app/binary
. La signature de code est tout ce qui apparaît après=>
.Activer la validation du code statique : choisissez Oui pour l’application ou le processus afin de valider statiquement l’exigence du code. Lorsqu’il est défini sur Non configuré, Intune ne modifie pas ou ne met pas à jour ce paramètre.
Activez ce paramètre uniquement si le processus invalide sa signature de code dynamique. Sinon, utilisez Non configuré.
Bloquer la caméra : Oui empêche l’application d’accéder à la caméra système. Vous ne pouvez pas autoriser l’accès à la caméra. Lorsqu’il est défini sur Non configuré, Intune ne modifie pas ou ne met pas à jour ce paramètre.
Bloquer le microphone : Oui empêche l’application d’accéder au microphone système. Vous ne pouvez pas autoriser l’accès au microphone. Lorsqu’il est défini sur Non configuré, Intune ne modifie pas ou ne met pas à jour ce paramètre.
Bloquer l’enregistrement de l’écran : Oui empêche l’application de capturer le contenu de l’affichage système. Vous ne pouvez pas autoriser l’accès à l’enregistrement d’écran et à la capture d’écran. Lorsqu’il est défini sur Non configuré, Intune ne modifie pas ou ne met pas à jour ce paramètre.
Nécessite macOS 10.15 et versions ultérieures.
Bloquer la surveillance des entrées : Oui empêche l’application d’utiliser CoreGraphics et les API HID pour écouter les événements CGEvents et HID de tous les processus. Oui empêche également les applications et les processus d’écouter et de collecter des données à partir des périphériques d’entrée, tels qu’une souris, un clavier ou un pavé tactile. Vous ne pouvez pas autoriser l’accès aux API CoreGraphics et HID.
Lorsqu’il est défini sur Non configuré, Intune ne modifie pas ou ne met pas à jour ce paramètre.
Nécessite macOS 10.15 et versions ultérieures.
Reconnaissance vocale : vos options :
- Non configuré : Intune ne change pas ni ne met à jour ce paramètre.
- Autoriser : permet à l’application d’accéder à la reconnaissance vocale système et d’envoyer des données vocales à Apple.
- Bloquer : empêche l’application d’accéder à la reconnaissance vocale système et empêche l’envoi de données vocales à Apple.
Nécessite macOS 10.15 et versions ultérieures.
Accessibilité : vos options :
- Non configuré : Intune ne change pas ni ne met à jour ce paramètre.
- Autoriser : permet à l’application d’accéder à l’application d’accessibilité système. Cette application inclut les sous-titres, le texte de pointage et le contrôle vocal.
- Bloquer : empêche l’application d’accéder à l’application d’accessibilité système.
Contacts : Vos options :
- Non configuré : Intune ne change pas ni ne met à jour ce paramètre.
- Autoriser : permet à l’application d’accéder aux informations de contact gérées par l’application Contacts système.
- Bloquer : empêche l’application d’accéder à ces informations de contact.
Calendrier : vos options :
- Non configuré : Intune ne change pas ni ne met à jour ce paramètre.
- Autoriser : permet à l’application d’accéder aux informations de calendrier gérées par l’application calendrier système.
- Bloquer : empêche l’application d’accéder à ces informations de calendrier.
Rappels : Vos options :
- Non configuré : Intune ne change pas ni ne met à jour ce paramètre.
- Autoriser : permet à l’application d’accéder aux informations de rappel gérées par l’application système Rappels.
- Bloquer : empêche l’application d’accéder à ces informations de rappel.
Photos : Vos options :
- Non configuré : Intune ne change pas ni ne met à jour ce paramètre.
-
Autoriser : permet à l’application d’accéder aux images gérées par l’application système Photos dans
~/Pictures/.photoslibrary
. - Bloquer : empêche l’application d’accéder à ces images.
Bibliothèque multimédia : Vos options :
- Non configuré : Intune ne change pas ni ne met à jour ce paramètre.
- Autoriser : permet à l’application d’accéder à Apple Music, à l’activité musicale et vidéo et à la bibliothèque multimédia.
- Bloquer : empêche l’application d’accéder à ce média.
Nécessite macOS 10.15 et versions ultérieures.
Présence du fournisseur de fichiers : vos options :
- Non configuré : Intune ne change pas ni ne met à jour ce paramètre.
- Autoriser : permet à l’application d’accéder à l’application Fournisseur de fichiers et de savoir quand les utilisateurs utilisent des fichiers gérés par le fournisseur de fichiers. Une application fournisseur de fichiers permet à d’autres applications de fournisseur de fichiers d’accéder aux documents et répertoires stockés et gérés par l’application contenante.
- Bloquer : empêche l’application d’accéder à l’application Fournisseur de fichiers.
Nécessite macOS 10.15 et versions ultérieures.
Accès complet au disque : vos options :
- Non configuré : Intune ne change pas ni ne met à jour ce paramètre.
- Autoriser : permet à l’application d’accéder à tous les fichiers protégés, y compris les fichiers d’administration système. Appliquez ce paramètre avec précaution.
- Bloquer : empêche l’application d’accéder à ces fichiers protégés.
Fichiers d’administration système : vos options :
- Non configuré : Intune ne change pas ni ne met à jour ce paramètre.
- Autoriser : permet à l’application d’accéder à certains fichiers utilisés dans l’administration système.
- Bloquer : empêche l’application d’accéder à ces fichiers.
Dossier du bureau : Vos options :
- Non configuré : Intune ne change pas ni ne met à jour ce paramètre.
- Autoriser : permet à l’application d’accéder aux fichiers dans le dossier Bureau de l’utilisateur.
- Bloquer : empêche l’application d’accéder à ces fichiers.
Nécessite macOS 10.15 et versions ultérieures.
Dossier Documents : Vos options :
- Non configuré : Intune ne change pas ni ne met à jour ce paramètre.
- Autoriser : permet à l’application d’accéder aux fichiers du dossier Documents de l’utilisateur.
- Bloquer : empêche l’application d’accéder à ces fichiers.
Nécessite macOS 10.15 et versions ultérieures.
Dossier Téléchargements : Vos options :
- Non configuré : Intune ne change pas ni ne met à jour ce paramètre.
- Autoriser : permet à l’application d’accéder aux fichiers du dossier Téléchargements de l’utilisateur.
- Bloquer : empêche l’application d’accéder à ces fichiers.
Nécessite macOS 10.15 et versions ultérieures.
Volumes réseau : vos options :
- Non configuré : Intune ne change pas ni ne met à jour ce paramètre.
- Autoriser : permet à l’application d’accéder aux fichiers sur les volumes réseau.
- Bloquer : empêche l’application d’accéder à ces fichiers.
Nécessite macOS 10.15 et versions ultérieures.
Volumes amovibles : vos options :
- Non configuré : Intune ne change pas ni ne met à jour ce paramètre.
- Autoriser : permet à l’application d’accéder aux fichiers sur des volumes amovibles, tels qu’un disque dur.
- Bloquer : empêche l’application d’accéder à ces fichiers.
Nécessite macOS 10.15 et versions ultérieures.
Événements système : vos options :
- Non configuré : Intune ne change pas ni ne met à jour ce paramètre.
- Autoriser : permet à l’application d’utiliser les API CoreGraphics pour envoyer des événements CGEvent au flux d’événements système.
- Bloquer : empêche l’application d’utiliser les API CoreGraphics pour envoyer des événements CGEvent au flux d’événements système.
Événements Apple : ce paramètre permet aux applications d’envoyer un événement Apple restreint à une autre application ou processus. Sélectionnez Ajouter pour ajouter une application ou un processus de réception. Entrez les informations suivantes de l’application ou du processus de réception :
Type d’identificateur : sélectionnez ID de bundle si l’identificateur de réception est une application. Sélectionnez Chemin si l’identificateur de réception est un processus ou un exécutable.
Identificateur : entrez l’ID du bundle d’applications ou le chemin d’installation du processus de réception d’un événement Apple.
Configuration requise du code : entrez la signature de code pour l’application ou le processus de réception.
Une signature de code est créée lorsqu’une application ou un fichier binaire est signé par un certificat de développeur. Pour trouver la désignation, exécutez la
codesign
commande manuellement dans l’application Terminal :codesign --display -r -/path/to/app/binary
. La signature de code est tout ce qui apparaît après=>
.Accès : autoriser l’envoi d’un événement Apple macOS à l’application ou au processus de réception. Les options disponibles sont les suivantes :
- Non configuré : Intune ne change pas ni ne met à jour ce paramètre.
- Autoriser : permet à l’application ou au processus d’envoyer l’événement Apple restreint à l’application ou au processus de réception.
- Bloquer : empêche l’application ou le processus d’envoyer un événement Apple restreint à l’application ou au processus de réception.
Enregistrez les changements apportés.
Applications restreintes
Les paramètres s’appliquent à : Tous les types d’inscription
Les paramètres des applications restreintes n’empêchent pas les utilisateurs d’installer et d’ouvrir des applications spécifiques. Au lieu de cela, les appareils avec des applications restreintes installées remplissent le rapport Appareils avec applications restreintes dans le Centre d’administration Intune (Moniteur d’appareils>).
Type de liste d’applications restreintes : créez une liste d’applications que les utilisateurs ne sont pas autorisés à installer ou à utiliser. Les options disponibles sont les suivantes :
Non configuré (valeur par défaut) : Intune ne modifie pas ou ne met pas à jour ce paramètre. Par défaut, les utilisateurs peuvent avoir accès aux applications que vous attribuez et aux applications intégrées.
Applications approuvées : répertorie les applications que les utilisateurs sont autorisés à installer. Les utilisateurs ne doivent pas installer d’autres applications. Si les utilisateurs installent des applications qui ne sont pas autorisées, cela est signalé dans Intune. Les applications gérées par Intune sont automatiquement autorisées, y compris l’application Portail d’entreprise. Les utilisateurs ne sont pas empêchés d’installer une application qui ne figure pas dans la liste approuvée.
Si une application qui ne figure pas dans la liste des applications approuvées est installée, le paramètre applications restreintes signale une erreur.
Applications interdites : répertorie les applications (non gérées par Intune) que les utilisateurs ne sont pas autorisés à installer et à exécuter. Les utilisateurs ne sont pas empêchés d’installer une application interdite. Si un utilisateur installe une application à partir de cette liste, elle est signalée dans Intune.
Si une application qui figure dans la liste des applications interdites est installée, le paramètre applications restreintes signale une erreur.
Liste des applications : ajoutez des applications à votre liste :
ID du bundle d’applications : entrez l’ID de bundle de l’application. Vous pouvez ajouter des applications intégrées et des applications métier.
Pour obtenir l’ID d’offre groupée :
- Le site web d’Apple contient une liste d’applications Apple intégrées.
- Ouvrez l’application Terminal et utilisez AppleScript (
osascript -e 'id of app "AppName"'
). - Pour les applications ajoutées à Intune, vous pouvez utiliser le Centre d’administration Intune.
Pour rechercher l’URL d’une application, ouvrez l’App Store iTunes et recherchez l’application. Par exemple, recherchez
Microsoft Remote Desktop
ouMicrosoft Word
. Sélectionnez l’application, puis copiez l’URL. Vous pouvez également utiliser iTunes pour rechercher l’application, puis utiliser la tâche Copier le lien pour obtenir l’URL de l’application.Nom de l’application : entrez un nom convivial pour vous aider à identifier l’ID d’offre groupée. Par exemple, entrez
Intune Company Portal app
.Éditeur : entrez l’éditeur de l’application.
Importez un fichier CSV avec des détails sur l’application, y compris l’URL. Utilisez le
<app bundle ID>, <app name>, <app publisher>
format . Vous pouvez également exporter pour créer une liste d’applications que vous avez ajoutées, dans le même format.
Prochaines étapes
Attribuer le profil et suivre son état.
Vous pouvez également restreindre les fonctionnalités et les paramètres de l’appareil sur les appareils iOS/iPadOS .