Impostazioni di endpoint protection macOS in Intune
Importante
Il modello di endpoint protection macOS è stato deprecato. I criteri esistenti rimangono invariati, ma non è più possibile creare nuovi criteri usando questo modello. > Usare invece una delle opzioni seguenti:
- Usare i criteri di sicurezza degli endpoint, ad esempio la crittografia del disco per Filevault o i criteri del firewall .
- Usare il catalogo Impostazioni per creare nuovi criteri di configurazione per i payload FileVault, Firewall e Controllo criteri di sistema (Gatekeeper). Per altre informazioni, vedere catalogo delle impostazioni di macOS.
Questo articolo illustra le impostazioni di Endpoint Protection che è possibile configurare per i dispositivi che eseguono macOS. Per configurare queste impostazioni, usare un profilo di configurazione del dispositivo macOS per Endpoint Protection in Intune.
Prima di iniziare
Creare un profilo di endpoint protection macOS.
FileVault
Per altre informazioni sulle impostazioni di Apple FileVault, vedere FDEFileVault nel contenuto per sviluppatori Apple.
Importante
A partire da macOS 10.15, la configurazione di FileVault richiede la registrazione MDM approvata dall'utente.
Abilitare FileVault
È possibile abilitare Crittografia dischi completi usando XTS-AES 128 con FileVault nei dispositivi che eseguono macOS 10.13 e versioni successive.
- Non configurato (impostazione predefinita)
- Sì
Quando Enable FileVault è impostato su Sì, viene generata una chiave di ripristino personale per il dispositivo durante la crittografia e a tale chiave si applicano le impostazioni seguenti:
Descrizione della posizione del deposito della chiave di ripristino personale
Specificare un breve messaggio per l'utente che spiega come e dove recuperare la chiave di ripristino personale. Questo testo viene inserito nel messaggio visualizzato dall'utente nella schermata di accesso quando viene richiesto di immettere la chiave di ripristino personale se una password viene dimenticata.
Rotazione della chiave di ripristino personale
Specificare la frequenza di rotazione della chiave di ripristino personale per un dispositivo. È possibile selezionare il valore predefinito Non configurato o un valore compreso tra 1 e 12 mesi.
Nascondere la chiave di ripristino
Scegliere di nascondere la chiave personale a un utente del dispositivo durante la crittografia FileVault 2.
- Non configurata (impostazione predefinita): la chiave personale è visibile all'utente del dispositivo durante la crittografia.
- Sì : la chiave personale viene nascosta all'utente del dispositivo durante la crittografia.
Dopo la crittografia, gli utenti del dispositivo possono visualizzare la chiave di ripristino personale per un dispositivo macOS crittografato dalle posizioni seguenti:
- App portale aziendale iOS/iPadOS
- Intune'app
- sito Web del portale aziendale
- App portale aziendale Android
Per visualizzare la chiave, dall'app o dal sito Web passare ai dettagli del dispositivo macOS crittografato e selezionare Recupera chiave di ripristino.
Disabilitare la richiesta al momento della disconnessione
Impedisci la richiesta all'utente che richiede di abilitare FileVault quando si disconnette. Se impostato su Disabilita, il prompt al momento della disconnessione è disabilitato e, al momento dell'accesso, all'utente viene richiesto di eseguire l'accesso.
- Non configurato (impostazione predefinita)
- Sì : disabilita la richiesta al momento della disconnessione.
Numero di volte in cui è consentito ignorare
Impostare il numero di volte in cui un utente può ignorare le richieste per abilitare FileVault prima che FileVault sia necessario per consentire all'utente di accedere.
- Non configurato : la crittografia nel dispositivo è necessaria prima che sia consentito l'accesso successivo.
- 0 - Richiedere ai dispositivi di crittografare la prossima volta che un utente accede al dispositivo.
- Da 1 a 10 : consente a un utente di ignorare la richiesta da 1 a 10 volte prima di richiedere la crittografia nel dispositivo.
- Nessun limite, richiesta sempre richiesta : all'utente viene richiesto di abilitare FileVault, ma la crittografia non è mai necessaria.
- Disabilita : disabilita la funzionalità.
L'impostazione predefinita per questa impostazione dipende dalla configurazione di Disabilita richiesta al momento della disconnessione. Quando Disabilita la richiesta di disconnessione è impostata su Non configurato, questa impostazione è impostata su Non configurato per impostazione predefinita. Quando Disabilita la richiesta di disconnessione è impostata su Sì, questa impostazione è impostata su 1 e il valore Non configurato non è un'opzione.
Firewall
Usare il firewall per controllare le connessioni per ogni applicazione, anziché per ogni porta. L'uso delle impostazioni per applicazione semplifica l'uso dei vantaggi della protezione del firewall. Consente inoltre di impedire alle app indesiderate di assumere il controllo delle porte di rete aperte per le app legittime.
Abilitare il firewall
Attivare l'uso del firewall in macOS e quindi configurare la modalità di gestione delle connessioni in ingresso nell'ambiente.
- Non configurato (impostazione predefinita)
- Sì
Bloccare tutte le connessioni in ingresso
Bloccare tutte le connessioni in ingresso, ad eccezione delle connessioni necessarie per i servizi Internet di base, ad esempio DHCP, Bonjour e IPSec. Questa funzionalità blocca anche tutti i servizi di condivisione, ad esempio Condivisione file e Condivisione schermo. Se si usano servizi di condivisione, mantenere questa impostazione come Non configurata.
- Non configurato (impostazione predefinita)
- Sì
Quando si imposta Blocca tutte le connessioni in ingresso su Non configurate, è possibile configurare quali app possono o non possono ricevere connessioni in ingresso.
App consentite: configurare un elenco di app che possono ricevere connessioni in ingresso.
Aggiungere app in base all'ID bundle: immettere l'ID bundle dell'app.
Per ottenere l'ID bundle dell'app:
- Usare l'app Terminale e AppleScript:
osascript -e 'id of app "AppName"
. - Il sito Web di Apple include un elenco di app Apple predefinite.
- Per le app aggiunte a Intune, è possibile usare l'interfaccia di amministrazione Intune.
- Usare l'app Terminale e AppleScript:
Aggiungi app dello Store: selezionare un'app dello Store aggiunta in precedenza in Intune. Per altre informazioni, vedere Aggiungere app a Microsoft Intune.
App bloccate: configurare un elenco di app con connessioni in ingresso bloccate.
Aggiungere app in base all'ID bundle: immettere l'ID bundle dell'app.
Per ottenere l'ID bundle dell'app:
- Usare l'app Terminale e AppleScript:
osascript -e 'id of app "AppName"
. - Il sito Web di Apple include un elenco di app Apple predefinite.
- Per le app aggiunte a Intune, è possibile usare l'interfaccia di amministrazione Intune.
- Usare l'app Terminale e AppleScript:
Aggiungi app dello Store: selezionare un'app dello Store aggiunta in precedenza in Intune. Per altre informazioni, vedere Aggiungere app a Microsoft Intune.
Abilitare la modalità invisibile
Per impedire al computer di rispondere alle richieste di probe, abilitare la modalità invisibile. Il dispositivo continua a rispondere alle richieste in ingresso per le app autorizzate. Le richieste impreviste, ad esempio ICMP (ping), vengono ignorate.
- Non configurato (impostazione predefinita)
- Sì
Portiere
Consenti le app scaricate da queste posizioni
Limitare le app che un dispositivo può avviare, a seconda della posizione da cui sono state scaricate le app. Lo scopo è proteggere i dispositivi da malware e consentire alle app solo le origini attendibili.
- Non configurato (impostazione predefinita)
- Mac App Store
- Mac App Store e gli sviluppatori identificati
- In qualsiasi luogo
Non consentire all'utente di eseguire l'override di Gatekeeper
Impedisce agli utenti di eseguire l'override dell'impostazione Gatekeeper e impedisce agli utenti di fare clic su Control per installare un'app. Se abilitata, gli utenti non possono fare clic su un'app per installarla.
- Non configurato (impostazione predefinita): gli utenti possono controllare e fare clic per installare le app.
- Sì : impedisce agli utenti di usare Control-click per installare le app.
Passaggi successivi
Assegnare il profilo e monitorarne lo stato.
È anche possibile configurare Endpoint Protection nei dispositivi Windows 10 e Windows 11.