Definições de proteção de ponto final do macOS no Intune

Este artigo mostra-lhe as definições de proteção de ponto final que pode configurar para dispositivos que executam o macOS. Configura estas definições utilizando um perfil de configuração do dispositivo macOS para proteção de pontos finais no Intune.

Antes de começar

Crie um perfil de proteção para ponto final do macOS.

FileVault

Para obter mais informações sobre as definições do Apple FileVault, consulte o FDEFileVault no conteúdo do desenvolvedor da Apple.

Importante

A partir do macOS 10.15, a configuração FileVault requer inscrição de MDM aprovada pelo utilizador.

• Ativar o FileVault

  Pode ativar a encriptação completa do disco utilizando o XTS-AES 128 com o FileVault em dispositivos que executam o macOS 10.13 e posteriormente.

  • Não configurado (padrão)
  • Sim

  Quando o Enable FileVault é definido como Sim, é gerada uma chave de recuperação pessoal para o dispositivo durante a encriptação e as seguintes definições aplicam-se a essa tecla:

  • Descrição da localização da localização do depósito da chave de recuperação pessoal

    Especifique uma mensagem curta para o utilizador que explique como e onde podem recuperar a sua chave de recuperação pessoal. Este texto é inserido na mensagem que o utilizador vê no seu sinal no ecrã quando solicitado a introduzir a sua chave de recuperação pessoal se uma palavra-passe for esquecida.

  • Rotação da chave de recuperação pessoal

    Especifique com que frequência a chave de recuperação pessoal de um dispositivo irá rodar. Pode selecionar o padrão de Não configurado, ou um valor de 1 a 12 meses.

  • Ocultar chave de recuperação

    Opte por esconder a chave pessoal de um utilizador do dispositivo durante a encriptação FileVault 2.

    • Não configurado (padrão)– A chave pessoal é visível para o utilizador do dispositivo durante a encriptação.
    • Sim - A chave pessoal é escondida do utilizador do dispositivo durante a encriptação.

    Após a encriptação, os utilizadores do dispositivo podem ver a sua chave de recuperação pessoal para um dispositivo macOS encriptado a partir dos seguintes locais:

    • aplicativo porta portal da empresa iOS/iPadOS
    • App Intune
    • site do portal da empresa
    • Aplicativo do portal da empresa Android

    Para ver a chave, a partir da app ou website, aceda aos detalhes do dispositivo do dispositivo macOS encriptado e selecione obter a chave de recuperação.

  • Desativar o pedido na assinatura

    Evite o pedido ao utilizador que solicita que ativa o FileVault quando assinarem. Quando definido para Desativar, a solicitação na sedção é desativada e, em vez disso, o utilizador é solicitado quando iniciar a sação.

    • Não configurado (padrão)
    • Sim - Desative o pedido na sação.

  • Número de vezes permitido para contornar

    Descreva o número de vezes que um utilizador pode ignorar as solicitações para ativar o FileVault antes de o FileVault ser necessário para que o utilizador faça o seu sismo.

    • Não configurado - A encriptação no dispositivo é necessária antes da próxima sessão de inserção ser permitida.
    • 0 - Exigir que os dispositivos criptografem da próxima vez que um utilizador se inscreve no dispositivo.
    • 1 a 10 - Deixe que o utilizador ignore a solicitação de 1 a 10 vezes antes de necessitar de encriptação no dispositivo.
    • Sem limite, sempre rápido - O utilizador é solicitado para ativar o FileVault, mas a encriptação nunca é necessária.

    O predefinição desta definição depende da configuração da solicitação de desativação na assinatura. Quando o pedido de desativação no sinal de saída estiver definido para Não configurado, esta definição não está configurada. Quando o pedido de desativação no sinal de saída está definido para Sim, esta definição predefinida para 1 e um valor de Não configurado não é uma opção.

Firewall

Utilize a firewall para controlar ligações por aplicação e não por porta. Utilizar definições por aplicação torna mais fácil obter as vantagens de proteção da firewall. Também ajuda a impedir que aplicações indesejáveis controlem as portas da rede que estão abertas para as aplicações legítimas.

• Ativar firewall

  Rode o Firewall no macOS e, em seguida, configuure a forma como as ligações de entrada são manuseadas no seu ambiente.

  • Não configurado (padrão)
  • Sim

• Bloquear todas as ligações a receber

  Bloqueie todas as ligações recebidas, exceto as ligações necessárias para serviços básicos de Internet, tais como DHCP, Bonjour e IPSec. Esta funcionalidade também bloqueia todos os serviços de partilha, tal como a Partilha de Ficheiros e a Partilha de Ecrãs. Se estiver a utilizar serviços de partilha, mantenha esta definição como Não configurado.

  • Não configurado (padrão)
  • Sim

  Quando definir Bloquear todas as ligações de entrada para Não configurar, pode então configurar quais as aplicações que podem ou não receber ligações recebidas.

  Aplicações permitidas: Configure uma lista de aplicações que são permitidas para receber ligações recebidas.

  • Adicione aplicativos por iD pacote: Introduza o iD do pacote da aplicação. O site da Apple tem uma lista de aplicações apple incorporadas.
  • Adicionar app de loja: Selecione uma aplicação de loja que anteriormente adicionou no Intune. Para obter mais informações, veja Adicionar aplicações ao Microsoft Intune.

  Apps bloqueadas: Configure uma lista de aplicações que têm ligações de entrada bloqueadas.

  • Adicione aplicativos por iD pacote: Introduza o iD do pacote da aplicação. O site da Apple tem uma lista de aplicações apple incorporadas.
  • Adicionar app de loja: Selecione uma aplicação de loja que anteriormente adicionou no Intune. Para obter mais informações, veja Adicionar aplicações ao Microsoft Intune.

• Ativar o modo stealth

  Para evitar que o computador responda a pedidos de sondagem, ative o modo de stealth. O dispositivo continua a responder a pedidos recebidos de aplicações autorizadas. São ignorados pedidos inesperados, tais como o protocolo ICMP (ping).

  • Não configurado (padrão)
  • Sim

Controlador de chamadas

• Permitir aplicações descarregadas a partir destes locais

  Limite as aplicações que um dispositivo pode lançar, dependendo de onde as aplicações foram descarregadas. A intenção é proteger os dispositivos contra malware, e permitir aplicações apenas a partir das fontes em que confia.

  • Não configurado (padrão)
  • Mac App Store
  • Mac App Store e programadores identificados
  • Em qualquer lugar

• Não permita que o utilizador sobreponha o Gatekeeper

  Impede que os utilizadores sobreduam a definição do Gatekeeper e impede que os utilizadores cliquem no Control para instalar uma aplicação. Quando estiver ativado, os utilizadores podem manter a tecla Ctrl premida e clicar em qualquer aplicação e instalá-la.

  • Não configurado (predefinido)- Os utilizadores podem controlar o clique para instalar aplicações.
  • Sim - Impede que os utilizadores utilizem o Control-click para instalarem aplicações.

Passos seguintes

Atribua o perfil e monitorize o respetivo estado.

Também pode configurar a proteção do ponto final em Windows 10 e dispositivos mais recentes.