Share via


instellingen voor macOS-eindpuntbeveiliging in Intune

Belangrijk

De macOS-sjabloon voor eindpuntbeveiliging is afgeschaft. Bestaande beleidsregels blijven ongewijzigd, maar u kunt geen nieuw beleid meer maken met behulp van deze sjabloon. > Gebruik in plaats daarvan een van de volgende opties:

  • Gebruik eindpuntbeveiligingsbeleidsregels zoals schijfversleuteling voor Filevault of Firewallbeleid .
  • Gebruik de catalogus Instellingen om nieuwe configuratiebeleidsregels te maken voor Payloads van FileVault, Firewall en System Policy Control (Gatekeeper). Zie macOS-instellingencatalogus voor meer informatie.

In dit artikel vindt u de instellingen voor eindpuntbeveiliging die u kunt configureren voor apparaten waarop macOS wordt uitgevoerd. U configureert deze instellingen met behulp van een macOS-apparaatconfiguratieprofiel voor eindpuntbeveiliging in Intune.

Voordat u begint

Maak een macOS-eindpuntbeveiligingsprofiel.

FileVault

Zie FDEFileVault in de apple-inhoud voor ontwikkelaars voor meer informatie over de instellingen van Apple FileVault.

Belangrijk

Vanaf macOS 10.15 is voor de FileVault-configuratie door de gebruiker goedgekeurde MDM-inschrijving vereist.

  • FileVault inschakelen

    U kunt Volledige schijfversleuteling inschakelen met XTS-AES 128 met FileVault op apparaten met macOS 10.13 en hoger.

    • Niet geconfigureerd (standaard)
    • Ja

    Wanneer FileVault inschakelen is ingesteld op Ja, wordt er tijdens de versleuteling een persoonlijke herstelsleutel voor het apparaat gegenereerd en zijn de volgende instellingen van toepassing op die sleutel:

    • Beschrijving van de escrowlocatie van persoonlijke herstelsleutel

      Geef een kort bericht op voor de gebruiker waarin wordt uitgelegd hoe en waar ze hun persoonlijke herstelsleutel kunnen ophalen. Deze tekst wordt ingevoegd in het bericht dat de gebruiker ziet op het aanmeldingsscherm wanneer wordt gevraagd om de persoonlijke herstelsleutel in te voeren als een wachtwoord is vergeten.

    • Rotatie van persoonlijke herstelsleutel

      Geef op hoe vaak de persoonlijke herstelsleutel voor een apparaat wordt geroteerd. U kunt de standaardwaarde Niet geconfigureerd of een waarde van 1 tot 12 maanden selecteren.

    • Herstelsleutel verbergen

      Kies ervoor om de persoonlijke sleutel voor een apparaatgebruiker te verbergen tijdens FileVault 2-versleuteling.

      • Niet geconfigureerd (standaard): de persoonlijke sleutel is zichtbaar voor de gebruiker van het apparaat tijdens de versleuteling.
      • Ja : de persoonlijke sleutel wordt verborgen voor de gebruiker van het apparaat tijdens de versleuteling.

      Na versleuteling kunnen apparaatgebruikers hun persoonlijke herstelsleutel voor een versleuteld macOS-apparaat bekijken vanaf de volgende locaties:

      • iOS-/iPadOS-bedrijfsportal-app
      • Intune-app
      • bedrijfsportalwebsite
      • Android-bedrijfsportal-app

      Als u de sleutel wilt weergeven, gaat u vanuit de app of website naar apparaatdetails van het versleutelde macOS-apparaat en selecteert u herstelsleutel ophalen.

    • Prompt bij afmelden uitschakelen

      Voorkom dat de gebruiker wordt gevraagd om FileVault in te schakelen wanneer deze zich afmeldt. Wanneer deze optie is ingesteld op Uitschakelen, wordt de prompt bij afmelden uitgeschakeld en wordt de gebruiker gevraagd om zich aan te melden.

      • Niet geconfigureerd (standaard)
      • Ja : schakel de prompt bij het afmelden uit.
    • Aantal keren dat is toegestaan om te omzeilen

      Stel het aantal keren in dat een gebruiker prompts om FileVault in te schakelen kan negeren voordat FileVault is vereist voor de gebruiker om zich aan te melden.

      • Niet geconfigureerd : versleuteling op het apparaat is vereist voordat de volgende aanmelding is toegestaan.
      • 0 - Vereisen dat apparaten worden versleuteld wanneer een gebruiker zich de volgende keer aanmeldt bij het apparaat.
      • 1 tot 10 : hiermee staat u toe dat een gebruiker de prompt van 1 tot 10 keer negeert voordat versleuteling op het apparaat wordt vereist.
      • Geen limiet, altijd vragen : de gebruiker wordt gevraagd FileVault in te schakelen, maar versleuteling is nooit vereist.
      • Uitschakelen : hiermee schakelt u de functie uit.

      De standaardinstelling voor deze instelling is afhankelijk van de configuratie van de prompt Uitschakelen bij afmelden. Wanneer Prompt uitschakelen bij afmelden is ingesteld op Niet geconfigureerd, wordt deze instelling standaard ingesteld op Niet geconfigureerd. Wanneer Prompt bij afmelden uitschakelen is ingesteld op Ja, wordt deze instelling standaard ingesteld op 1 en is de waarde Niet geconfigureerd geen optie.

Firewall

Gebruik de firewall om verbindingen per toepassing te beheren in plaats van per poort. Als u instellingen per toepassing gebruikt, kunt u gemakkelijker profiteren van de voordelen van firewallbeveiliging. Het helpt ook voorkomen dat ongewenste apps de controle overnemen over netwerkpoorten die openstaan voor legitieme apps.

  • Firewall inschakelen

    Schakel het gebruik van firewall in macOS in en configureer vervolgens hoe binnenkomende verbindingen worden verwerkt in uw omgeving.

    • Niet geconfigureerd (standaard)
    • Ja
  • Alle binnenkomende verbindingen blokkeren

    Alle binnenkomende verbindingen blokkeren, behalve de verbindingen die vereist zijn voor eenvoudige internetservices, zoals DHCP, Bonjour en IPSec. Deze functie blokkeert ook alle services voor delen, zoals Bestandsdeling en Scherm delen. Als u services voor delen gebruikt, houdt u deze instelling op Niet geconfigureerd.

    • Niet geconfigureerd (standaard)
    • Ja

    Wanneer u Alle binnenkomende verbindingen blokkeren instelt op Niet geconfigureerd, kunt u vervolgens configureren welke apps binnenkomende verbindingen wel of niet kunnen ontvangen.

    Toegestane apps: configureer een lijst met apps die binnenkomende verbindingen mogen ontvangen.

    Apps geblokkeerd: configureer een lijst met apps waarvoor binnenkomende verbindingen zijn geblokkeerd.

  • Verborgen modus inschakelen

    Als u wilt voorkomen dat de computer reageert op testaanvragen, schakelt u de verborgen modus in. Het apparaat blijft binnenkomende aanvragen voor geautoriseerde apps beantwoorden. Onverwachte aanvragen, zoals ICMP (ping), worden genegeerd.

    • Niet geconfigureerd (standaard)
    • Ja

Portier

  • Apps die zijn gedownload vanaf deze locaties toestaan

    Beperk de apps die een apparaat kan starten, afhankelijk van waar de apps zijn gedownload. De bedoeling is om apparaten te beschermen tegen malware en alleen apps toe te staan van de bronnen die u vertrouwt.

    • Niet geconfigureerd (standaard)
    • Mac App Store
    • Mac App Store en geïdentificeerde ontwikkelaars
    • Ergens
  • Gebruiker niet toestaan Gatekeeper te overschrijven

    Hiermee voorkomt u dat gebruikers de gatekeeper-instelling overschrijven en voorkomen dat gebruikers op Control klikken om een app te installeren. Wanneer deze optie is ingeschakeld, kunnen gebruikers niet op een app klikken en op Control klikken om deze te installeren.

    • Niet geconfigureerd (standaard): gebruikers kunnen Control ingedrukt houden en klikken om apps te installeren.
    • Ja : hiermee voorkomt u dat gebruikers control gebruiken en klikken om apps te installeren.

Volgende stappen

Wijs het profiel toe en controleer de status ervan.

U kunt ook endpoint protection configureren op Windows 10- en Windows 11-apparaten.