Definições de proteção de ponto final do macOS no Intune
Importante
O modelo de proteção de ponto final do macOS foi preterido. As políticas existentes permanecem inalteradas, mas já não pode criar novas políticas com este modelo. > Em vez disso, utilize uma das seguintes opções:
- Utilize políticas de segurança de Ponto final, como encriptação de disco para Filevault ou Política de firewall .
- Utilize o catálogo definições para criar novas políticas de configuração para payloads FileVault, Firewall e System Policy Control (Gatekeeper). Para obter mais informações, veja catálogo de definições do macOS.
Este artigo mostra-lhe as definições de proteção de ponto final que pode configurar para dispositivos que executam o macOS. Pode configurar estas definições com um perfil de configuração de dispositivo macOS para proteção de ponto final no Intune.
Antes de começar
Crie um perfil de proteção de ponto final do macOS.
FileVault
Para obter mais informações sobre as definições do Apple FileVault, consulte FDEFileVault no conteúdo do programador da Apple.
Importante
A partir do macOS 10.15, a configuração do FileVault requer a inscrição MDM aprovada pelo utilizador.
Ativar FileVault
Pode ativar a Encriptação de Disco Completa através do XTS-AES 128 com o FileVault em dispositivos com o macOS 10.13 e posterior.
- Não configurado (predefinição)
- Sim
Quando Ativar FileVault estiver definido como Sim, é gerada uma chave de recuperação pessoal para o dispositivo durante a encriptação e as seguintes definições aplicam-se a essa chave:
Descrição da localização da caução da chave de recuperação pessoal
Especifique uma breve mensagem para o utilizador que explica como e onde pode obter a chave de recuperação pessoal. Este texto é inserido na mensagem que o utilizador vê no ecrã de início de sessão quando lhe for pedido para introduzir a chave de recuperação pessoal se uma palavra-passe for esquecida.
Rotação da chave de recuperação pessoal
Especifique a frequência com que a chave de recuperação pessoal de um dispositivo irá rodar. Pode selecionar a predefinição Não configurado ou um valor de 1 a 12 meses.
Ocultar chave de recuperação
Opte por ocultar a chave pessoal de um utilizador do dispositivo durante a encriptação FileVault 2.
- Não configurado (predefinição) – a chave pessoal é visível para o utilizador do dispositivo durante a encriptação.
- Sim – a chave pessoal está oculta do utilizador do dispositivo durante a encriptação.
Após a encriptação, os utilizadores de dispositivos podem ver a respetiva chave de recuperação pessoal para um dispositivo macOS encriptado a partir das seguintes localizações:
- Aplicação do portal da empresa para iOS/iPadOS
- Aplicativo do Intune
- site do portal da empresa
- Aplicação do portal da empresa para Android
Para ver a chave, a partir da aplicação ou site, aceda aos detalhes do dispositivo do dispositivo macOS encriptado e selecione Obter chave de recuperação.
Desativar pedido ao terminar sessão
Impeça o pedido ao utilizador que pede que ative o FileVault quando terminar sessão. Quando definida como Desativar, o pedido de início de sessão é desativado e, em vez disso, é pedido ao utilizador quando inicia sessão.
- Não configurado (predefinição)
- Sim – desative o pedido ao terminar sessão.
Número de vezes que é permitido ignorar
Defina o número de vezes que um utilizador pode ignorar pedidos para ativar o FileVault antes de o FileVault ser necessário para o utilizador iniciar sessão.
- Não configurado – a encriptação no dispositivo é necessária antes de o início de sessão seguinte ser permitido.
- 0 - Exigir que os dispositivos encriptem da próxima vez que um utilizador iniciar sessão no dispositivo.
- 1 a 10 - Permita que um utilizador ignore o pedido de 1 a 10 vezes antes de exigir a encriptação no dispositivo.
- Sem limite, solicite sempre – é pedido ao utilizador para ativar o FileVault, mas a encriptação nunca é necessária.
- Desativar – desativa a funcionalidade.
A predefinição desta definição depende da configuração do pedido Desativar ao terminar sessão. Quando Desativar pedido ao terminar sessão estiver definido como Não configurado, esta predefinição é Não configurada. Quando Desativar pedido ao terminar sessão estiver definido como Sim, esta predefinição é 1 e um valor de Não configurado não é uma opção.
Firewall
Utilize a firewall para controlar as ligações por aplicação, em vez de por porta. A utilização de definições por aplicação facilita a obtenção dos benefícios da proteção da firewall. Também ajuda a impedir que aplicações indesejáveis assumam o controlo das portas de rede abertas para aplicações legítimas.
Habilitar Firewall
Utilize a Firewall no macOS e, em seguida, configure a forma como as ligações de entrada são processadas no seu ambiente.
- Não configurado (predefinição)
- Sim
Bloquear todas as ligações recebidas
Bloqueie todas as ligações de entrada, exceto as ligações necessárias para serviços Básicos da Internet, como DHCP, Bonjour e IPSec. Esta funcionalidade também bloqueia todos os serviços de partilha, como Partilha de Ficheiros e Partilha de Ecrã. Se estiver a utilizar serviços de partilha, mantenha esta definição como Não configurada.
- Não configurado (predefinição)
- Sim
Quando define Bloquear todas as ligações de entrada como Não configurado, pode configurar as aplicações que podem ou não receber ligações recebidas.
Aplicações permitidas: configure uma lista de aplicações com permissão para receber ligações de entrada.
Adicionar aplicações por ID do pacote: introduza o ID do pacote da aplicação.
Para obter o ID do pacote de aplicações:
- Utilize a aplicação Terminal e o AppleScript:
osascript -e 'id of app "AppName"
. - O site da Apple tem uma lista de aplicações apple incorporadas.
- Para aplicações adicionadas a Intune, pode utilizar o centro de administração do Intune.
- Utilize a aplicação Terminal e o AppleScript:
Adicionar aplicação da loja: selecione uma aplicação da loja que tenha adicionado anteriormente no Intune. Para obter mais informações, confira Adicionar aplicativos ao Microsoft Intune.
Aplicações bloqueadas: configure uma lista de aplicações com ligações de entrada bloqueadas.
Adicionar aplicações por ID do pacote: introduza o ID do pacote da aplicação.
Para obter o ID do pacote de aplicações:
- Utilize a aplicação Terminal e o AppleScript:
osascript -e 'id of app "AppName"
. - O site da Apple tem uma lista de aplicações apple incorporadas.
- Para aplicações adicionadas a Intune, pode utilizar o centro de administração do Intune.
- Utilize a aplicação Terminal e o AppleScript:
Adicionar aplicação da loja: selecione uma aplicação da loja que tenha adicionado anteriormente no Intune. Para obter mais informações, confira Adicionar aplicativos ao Microsoft Intune.
Ativar o modo furtivo
Para impedir que o computador responda a pedidos de pesquisa, ative o modo furtivo. O dispositivo continua a responder a pedidos recebidos de aplicações autorizadas. Os pedidos inesperados, como ICMP (ping), são ignorados.
- Não configurado (predefinição)
- Sim
Controlador de Chamadas
Permitir aplicações transferidas a partir destas localizações
Limite as aplicações que um dispositivo pode iniciar, dependendo de onde as aplicações foram transferidas. A intenção é proteger os dispositivos contra software maligno e permitir aplicações apenas das origens em que confia.
- Não configurado (predefinição)
- Mac App Store
- Mac App Store e programadores identificados
- Em qualquer lugar
Não permitir que o utilizador substitua o Controlador de Chamadas
Impede que os utilizadores substituam a definição do Controlador de Chamadas e impede que os utilizadores cliquem no controlo para instalar uma aplicação. Quando ativada, os utilizadores não podem Controlar e clicar em nenhuma aplicação para instalá-la.
- Não configurado (predefinição) – os utilizadores podem Controlar e clicar para instalar aplicações.
- Sim - Impede que os utilizadores utilizem Controlo-clique para instalar aplicações.
Próximas etapas
Atribuir o perfil e monitorar seu status.
Também pode configurar o endpoint protection em dispositivos Windows 10 e Windows 11.