Ustawienia ochrony punktu końcowego systemu macOS w Intune
W tym artykule przedstawiono ustawienia ochrony punktu końcowego, które można skonfigurować dla urządzeń z systemem macOS. Te ustawienia można skonfigurować przy użyciu profilu konfiguracji urządzenia z systemem macOS na potrzeby ochrony punktu końcowego w Intune.
Przed rozpoczęciem
Twórca profilu ochrony punktu końcowego systemu macOS.
FileVault
Aby uzyskać więcej informacji na temat ustawień programu Apple FileVault, zobacz FDEFileVault w zawartości dla deweloperów firmy Apple.
Ważna
W systemie macOS 10.15 konfiguracja usługi FileVault wymaga rejestracji mdm zatwierdzonej przez użytkownika.
Włączanie programu FileVault
Szyfrowanie pełnego dysku można włączyć przy użyciu protokołu XTS-AES 128 z funkcją FileVault na urządzeniach z systemem macOS 10.13 lub nowszym.
- Nie skonfigurowano (wartość domyślna)
- Tak
Gdy ustawienie Włącz funkcję FileVault ma wartość Tak, osobisty klucz odzyskiwania jest generowany dla urządzenia podczas szyfrowania, a następujące ustawienia dotyczą tego klucza:
Opis lokalizacji escrow osobistego klucza odzyskiwania
Określ krótki komunikat dla użytkownika, który wyjaśnia, jak i gdzie może pobrać swój osobisty klucz odzyskiwania. Ten tekst jest wstawiany do komunikatu, który użytkownik widzi na ekranie logowania po wyświetleniu monitu o wprowadzenie osobistego klucza odzyskiwania, jeśli hasło zostanie zapomniane.
Rotacja osobistego klucza odzyskiwania
Określ częstotliwość rotacji osobistego klucza odzyskiwania dla urządzenia. Możesz wybrać wartość domyślną Nieskonfigurowane lub wartość od 1 do 12 miesięcy.
Ukryj klucz odzyskiwania
Wybierz, aby ukryć klucz osobisty przed użytkownikiem urządzenia podczas szyfrowania programu FileVault 2.
- Nie skonfigurowano (wartość domyślna) — klucz osobisty jest widoczny dla użytkownika urządzenia podczas szyfrowania.
- Tak — klucz osobisty jest ukryty przed użytkownikiem urządzenia podczas szyfrowania.
Po szyfrowaniu użytkownicy urządzeń mogą wyświetlać swój osobisty klucz odzyskiwania dla zaszyfrowanego urządzenia z systemem macOS z następujących lokalizacji:
- Aplikacja portalu firmy dla systemu iOS/iPadOS
- aplikacja Intune
- witryna internetowa portalu firmy
- Aplikacja Portal firmy dla systemu Android
Aby wyświetlić klucz z poziomu aplikacji lub witryny internetowej, przejdź do szczegółów urządzenia z zaszyfrowanym urządzeniem z systemem macOS i wybierz pozycję Pobierz klucz odzyskiwania.
Wyłącz monit podczas wylogowywania
Uniemożliwiaj monit użytkownikowi, który żąda włączenia programu FileVault podczas wylogowywania się. Po ustawieniu opcji Wyłącz monit podczas wylogowywania jest wyłączony, a zamiast tego użytkownik jest monitowany po zalogowaniu się.
- Nie skonfigurowano (wartość domyślna)
- Tak — wyłącz monit podczas wylogowywania.
Liczba dozwolonych czasów obejścia
Ustaw, ile razy użytkownik może ignorować monity o włączenie programu FileVault, zanim program FileVault będzie wymagany do zalogowania się użytkownika.
- Nie skonfigurowano — szyfrowanie na urządzeniu jest wymagane przed zezwoleniem na następne logowanie.
- 0 — Wymagaj od urządzeń szyfrowania przy następnym zalogowaniu się użytkownika do urządzenia.
- Od 1 do 10 — umożliwia użytkownikowi zignorowanie monitu od 1 do 10 razy przed wymaganiem szyfrowania na urządzeniu.
- Bez limitu, zawsze monituj — użytkownik jest monitowany o włączenie funkcji FileVault, ale szyfrowanie nigdy nie jest wymagane.
- Wyłącz — wyłącza funkcję.
Ustawienie domyślne dla tego ustawienia zależy od konfiguracji opcji Wyłącz monit podczas wylogowywania. Po wybraniu opcji Wyłącz monit podczas wylogowywania jest ustawiona wartość Nieskonfigurowane, to ustawienie domyślnie ma wartość Nieskonfigurowane. Gdy ustawienie Wyłącz monit podczas wylogowywania ma wartość Tak, to ustawienie jest domyślnie ustawione na wartość 1 , a wartość Nieskonfigurowane nie jest opcją.
Zapory
Użyj zapory do kontrolowania połączeń dla aplikacji, a nie dla każdego portu. Korzystanie z ustawień aplikacji ułatwia uzyskanie korzyści z ochrony zapory. Pomaga również uniemożliwić niepożądanym aplikacjom przejęcie kontroli nad portami sieciowymi, które są otwarte dla legalnych aplikacji.
Włączanie zapory
Włącz użycie zapory w systemie macOS, a następnie skonfiguruj sposób obsługi połączeń przychodzących w środowisku.
- Nie skonfigurowano (wartość domyślna)
- Tak
Blokuj wszystkie połączenia przychodzące
Blokuj wszystkie połączenia przychodzące z wyjątkiem połączeń wymaganych dla podstawowych usług internetowych, takich jak DHCP, Bonjour i IPSec. Ta funkcja blokuje również wszystkie usługi udostępniania, takie jak udostępnianie plików i udostępnianie ekranu. Jeśli używasz usług udostępniania, zachowaj to ustawienie jako Nie skonfigurowano.
- Nie skonfigurowano (wartość domyślna)
- Tak
Po ustawieniu pozycji Blokuj wszystkie połączenia przychodzące na Wartość Nieskonfigurowane można skonfigurować aplikacje, które mogą lub nie mogą odbierać połączeń przychodzących.
Dozwolone aplikacje: skonfiguruj listę aplikacji, które mogą odbierać połączenia przychodzące.
Dodawanie aplikacji według identyfikatora pakietu: wprowadź identyfikator pakietu aplikacji.
Aby uzyskać identyfikator pakietu aplikacji:
- Użyj aplikacji Terminal i języka AppleScript:
osascript -e 'id of app "AppName". - Witryna internetowa firmy Apple zawiera listę wbudowanych aplikacji firmy Apple.
- W przypadku aplikacji dodanych do Intune możesz użyć centrum administracyjnego Intune.
- Użyj aplikacji Terminal i języka AppleScript:
Dodaj aplikację ze sklepu: wybierz aplikację ze sklepu, która została wcześniej dodana w Intune. Aby uzyskać więcej informacji, zobacz Dodawanie aplikacji do Microsoft Intune.
Aplikacje zablokowane: skonfiguruj listę aplikacji, które mają zablokowane połączenia przychodzące.
Dodawanie aplikacji według identyfikatora pakietu: wprowadź identyfikator pakietu aplikacji.
Aby uzyskać identyfikator pakietu aplikacji:
- Użyj aplikacji Terminal i języka AppleScript:
osascript -e 'id of app "AppName". - Witryna internetowa firmy Apple zawiera listę wbudowanych aplikacji firmy Apple.
- W przypadku aplikacji dodanych do Intune możesz użyć centrum administracyjnego Intune.
- Użyj aplikacji Terminal i języka AppleScript:
Dodaj aplikację ze sklepu: wybierz aplikację ze sklepu, która została wcześniej dodana w Intune. Aby uzyskać więcej informacji, zobacz Dodawanie aplikacji do Microsoft Intune.
Włączanie trybu niewidzialności
Aby uniemożliwić komputerowi odpowiadanie na żądania sondowania, włącz tryb niewidzialności. Urządzenie nadal odpowiada na żądania przychodzące dla autoryzowanych aplikacji. Nieoczekiwane żądania, takie jak ICMP (ping), są ignorowane.
- Nie skonfigurowano (wartość domyślna)
- Tak
Strażnika
Zezwalaj na aplikacje pobrane z tych lokalizacji
Ogranicz aplikacje, które urządzenie może uruchomić, w zależności od tego, skąd zostały pobrane aplikacje. Celem jest ochrona urządzeń przed złośliwym oprogramowaniem i zezwalanie na aplikacje tylko z zaufanych źródeł.
- Nie skonfigurowano (wartość domyślna)
- Mac App Store
- Mac App Store i zidentyfikowani deweloperzy
- Dowolnym miejscu
Nie zezwalaj użytkownikowi na zastępowanie usługi Gatekeeper
Uniemożliwia użytkownikom zastępowanie ustawienia Strażnik i uniemożliwia użytkownikom klikanie kontrolek w celu zainstalowania aplikacji. Po włączeniu użytkownicy nie mogą kontrolować kliknięcia żadnej aplikacji, aby ją zainstalować.
- Nie skonfigurowano (ustawienie domyślne) — użytkownicy mogą kontrolować kliknięcie, aby zainstalować aplikacje.
- Tak — uniemożliwia użytkownikom instalowanie aplikacji za pomocą kliknięcia kontrolki.
Następne kroki
Przypisz profil i monitoruj jego stan.
Program Endpoint Protection można również skonfigurować na urządzeniach Windows 10 i Windows 11.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla