Udostępnij za pośrednictwem

Ustawienia ochrony punktu końcowego systemu macOS w Intune

  • Artykuł

Ważna

Szablon ochrony punktu końcowego systemu macOS został przestarzały. Istniejące zasady pozostają niezmienione, ale nie można już tworzyć nowych zasad przy użyciu tego szablonu. > Zamiast tego użyj jednej z następujących opcji:

  • Użyj zasad zabezpieczeń punktu końcowego, takich jak szyfrowanie dysków dla programu Filevault lub zasady zapory .
  • Użyj wykazu ustawień, aby utworzyć nowe zasady konfiguracji dla ładunków FileVault, Firewall i System Policy Control (Gatekeeper). Aby uzyskać więcej informacji, zobacz katalog ustawień systemu macOS.

W tym artykule przedstawiono ustawienia ochrony punktu końcowego, które można skonfigurować dla urządzeń z systemem macOS. Te ustawienia można skonfigurować przy użyciu profilu konfiguracji urządzenia z systemem macOS na potrzeby ochrony punktu końcowego w Intune.

Przed rozpoczęciem

Utwórz profil ochrony punktu końcowego systemu macOS.

FileVault

Aby uzyskać więcej informacji na temat ustawień programu Apple FileVault, zobacz FDEFileVault w zawartości dla deweloperów firmy Apple.

Ważna

W systemie macOS 10.15 konfiguracja usługi FileVault wymaga rejestracji mdm zatwierdzonej przez użytkownika.

  • Włączanie programu FileVault

    Szyfrowanie pełnego dysku można włączyć przy użyciu protokołu XTS-AES 128 z funkcją FileVault na urządzeniach z systemem macOS 10.13 lub nowszym.

    • Nie skonfigurowano (wartość domyślna)
    • Tak

    Gdy ustawienie Włącz funkcję FileVault ma wartość Tak, osobisty klucz odzyskiwania jest generowany dla urządzenia podczas szyfrowania, a następujące ustawienia dotyczą tego klucza:

    • Opis lokalizacji escrow osobistego klucza odzyskiwania

      Określ krótki komunikat dla użytkownika, który wyjaśnia, jak i gdzie może pobrać swój osobisty klucz odzyskiwania. Ten tekst jest wstawiany do komunikatu, który użytkownik widzi na ekranie logowania po wyświetleniu monitu o wprowadzenie osobistego klucza odzyskiwania, jeśli hasło zostanie zapomniane.

    • Rotacja osobistego klucza odzyskiwania

      Określ częstotliwość rotacji osobistego klucza odzyskiwania dla urządzenia. Możesz wybrać wartość domyślną Nieskonfigurowane lub wartość od 1 do 12 miesięcy.

    • Ukryj klucz odzyskiwania

      Wybierz, aby ukryć klucz osobisty przed użytkownikiem urządzenia podczas szyfrowania programu FileVault 2.

      • Nie skonfigurowano (wartość domyślna) — klucz osobisty jest widoczny dla użytkownika urządzenia podczas szyfrowania.
      • Tak — klucz osobisty jest ukryty przed użytkownikiem urządzenia podczas szyfrowania.

      Po szyfrowaniu użytkownicy urządzeń mogą wyświetlać swój osobisty klucz odzyskiwania dla zaszyfrowanego urządzenia z systemem macOS z następujących lokalizacji:

      • Aplikacja portalu firmy dla systemu iOS/iPadOS
      • aplikacja Intune
      • witryna internetowa portalu firmy
      • Aplikacja Portal firmy dla systemu Android

      Aby wyświetlić klucz z poziomu aplikacji lub witryny internetowej, przejdź do szczegółów urządzenia z zaszyfrowanym urządzeniem z systemem macOS i wybierz pozycję Pobierz klucz odzyskiwania.

    • Wyłącz monit podczas wylogowywania

      Uniemożliwiaj monit użytkownikowi, który żąda włączenia programu FileVault podczas wylogowywania się. Po ustawieniu opcji Wyłącz monit podczas wylogowywania jest wyłączony, a zamiast tego użytkownik jest monitowany po zalogowaniu się.

      • Nie skonfigurowano (wartość domyślna)
      • Tak — wyłącz monit podczas wylogowywania.

    • Liczba dozwolonych czasów obejścia

      Ustaw, ile razy użytkownik może ignorować monity o włączenie programu FileVault, zanim program FileVault będzie wymagany do zalogowania się użytkownika.

      • Nie skonfigurowano — szyfrowanie na urządzeniu jest wymagane przed zezwoleniem na następne logowanie.
      • 0 — Wymagaj od urządzeń szyfrowania przy następnym zalogowaniu się użytkownika do urządzenia.
      • Od 1 do 10 — umożliwia użytkownikowi zignorowanie monitu od 1 do 10 razy przed wymaganiem szyfrowania na urządzeniu.
      • Bez limitu, zawsze monituj — użytkownik jest monitowany o włączenie funkcji FileVault, ale szyfrowanie nigdy nie jest wymagane.
      • Wyłącz — wyłącza funkcję.

      Ustawienie domyślne dla tego ustawienia zależy od konfiguracji opcji Wyłącz monit podczas wylogowywania. Po wybraniu opcji Wyłącz monit podczas wylogowywania jest ustawiona wartość Nieskonfigurowane, to ustawienie domyślnie ma wartość Nieskonfigurowane. Gdy ustawienie Wyłącz monit podczas wylogowywania ma wartość Tak, to ustawienie jest domyślnie ustawione na wartość 1 , a wartość Nieskonfigurowane nie jest opcją.

Zapora

Użyj zapory do kontrolowania połączeń dla aplikacji, a nie dla każdego portu. Korzystanie z ustawień aplikacji ułatwia uzyskanie korzyści z ochrony zapory. Pomaga również uniemożliwić niepożądanym aplikacjom przejęcie kontroli nad portami sieciowymi, które są otwarte dla legalnych aplikacji.

  • Włączanie zapory

    Włącz użycie zapory w systemie macOS, a następnie skonfiguruj sposób obsługi połączeń przychodzących w środowisku.

    • Nie skonfigurowano (wartość domyślna)
    • Tak

  • Blokuj wszystkie połączenia przychodzące

    Blokuj wszystkie połączenia przychodzące z wyjątkiem połączeń wymaganych dla podstawowych usług internetowych, takich jak DHCP, Bonjour i IPSec. Ta funkcja blokuje również wszystkie usługi udostępniania, takie jak udostępnianie plików i udostępnianie ekranu. Jeśli używasz usług udostępniania, zachowaj to ustawienie jako Nie skonfigurowano.

    • Nie skonfigurowano (wartość domyślna)
    • Tak

    Po ustawieniu pozycji Blokuj wszystkie połączenia przychodzące na Wartość Nieskonfigurowane można skonfigurować aplikacje, które mogą lub nie mogą odbierać połączeń przychodzących.

    Dozwolone aplikacje: skonfiguruj listę aplikacji, które mogą odbierać połączenia przychodzące.

    Aplikacje zablokowane: skonfiguruj listę aplikacji, które mają zablokowane połączenia przychodzące.

  • Włączanie trybu niewidzialności

    Aby uniemożliwić komputerowi odpowiadanie na żądania sondowania, włącz tryb niewidzialności. Urządzenie nadal odpowiada na żądania przychodzące dla autoryzowanych aplikacji. Nieoczekiwane żądania, takie jak ICMP (ping), są ignorowane.

    • Nie skonfigurowano (wartość domyślna)
    • Tak

Portier

  • Zezwalaj na aplikacje pobrane z tych lokalizacji

    Ogranicz aplikacje, które urządzenie może uruchomić, w zależności od tego, skąd zostały pobrane aplikacje. Celem jest ochrona urządzeń przed złośliwym oprogramowaniem i zezwalanie na aplikacje tylko z zaufanych źródeł.

    • Nie skonfigurowano (wartość domyślna)
    • Mac App Store
    • Mac App Store i zidentyfikowani deweloperzy
    • Gdziekolwiek

  • Nie zezwalaj użytkownikowi na zastępowanie usługi Gatekeeper

    Uniemożliwia użytkownikom zastępowanie ustawienia Strażnik i uniemożliwia użytkownikom klikanie kontrolek w celu zainstalowania aplikacji. Po włączeniu użytkownicy nie mogą kontrolować kliknięcia żadnej aplikacji, aby ją zainstalować.

    • Nie skonfigurowano (ustawienie domyślne) — użytkownicy mogą kontrolować kliknięcie, aby zainstalować aplikacje.
    • Tak — uniemożliwia użytkownikom instalowanie aplikacji za pomocą kliknięcia kontrolki.

Następne kroki

Przypisz profil i monitoruj jego stan.

Program Endpoint Protection można również skonfigurować na urządzeniach Windows 10 i Windows 11.