Definições de dispositivos macOS para permitir ou restringir funcionalidades com o Intune
Observação
O Intune pode suportar mais definições do que as definições listadas neste artigo. Nem todas as definições estão documentadas e não serão documentadas. Para ver as definições que pode configurar, crie uma política de configuração de dispositivos e selecione Catálogo de Definições. Para obter mais informações, consulte Catálogo de Configurações.
Este artigo descreve as definições que pode controlar e restringir em dispositivos macOS. Como parte da sua solução de gestão de dispositivos móveis (MDM), utilize estas definições para permitir ou desativar funcionalidades, definir regras de palavra-passe e muito mais.
Esse recurso aplica-se a:
- macOS
Estas definições são adicionadas a um perfil de configuração de dispositivos no Intune e, em seguida, atribuídas ou implementadas nos seus dispositivos macOS.
Observação
A interface de utilizador pode não corresponder aos tipos de inscrição neste artigo. As informações neste artigo estão corretas. A interface de utilizador está a ser atualizada numa versão futura.
Dica
Estas definições utilizam as definições de restrição da Apple. Para obter mais informações sobre estas definições, consulte o site de definições de gestão de dispositivos móveis da Apple (abre o site da Apple).
Antes de começar
Criar um perfil de configuração de restrições de dispositivos macOS.
Observação
Estas definições aplicam-se a diferentes tipos de inscrição. Para obter mais informações sobre os diferentes tipos de inscrição, veja inscrição no macOS.
App Store, visualização de documentos, jogos
As definições aplicam-se a: Inscrição automatizada de dispositivos (supervisionado)
Bloquear a adição de amigos do Centro de Jogos: sim , impede os utilizadores de adicionarem amigos ao Centro de Jogos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir que os utilizadores adicionem amigos ao Game Center.
Esse recurso aplica-se a:
- macOS 10.13 e versões mais recentes
Bloquear Centro de Jogos: Sim desativa o Centro de Jogos e o ícone do Centro de Jogos é removido do ecrã principal. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode disponibilizar o Game Center aos utilizadores.
Esse recurso aplica-se a:
- macOS 10.13 e versões mais recentes
Bloquear jogos multijogador no Centro de Jogos: Sim impede jogos multijogador ao utilizar o Game Center. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir que os utilizadores joguem jogos multijogador.
Esse recurso aplica-se a:
- macOS 10.13 e versões mais recentes
Aplicativos internos
As definições aplicam-se a: Todos os tipos de inscrição
Bloquear o Preenchimento Automático do Safari: sim , desativa a funcionalidade de preenchimento automático no Safari nos dispositivos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir que os utilizadores alterem as definições de conclusão automática no browser.
Bloquear a utilização da câmara: Sim impede o acesso à câmara nos dispositivos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir o acesso à câmara do dispositivo.
O Intune só gere o acesso à câmara do dispositivo. Não tem acesso a imagens ou vídeos.
Bloquear o Apple Music: Sim reverte a aplicação Música para o modo clássico e desativa o serviço Música. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir a utilização da aplicação Apple Music.
Bloquear sugestões de destaque: Sim impede o Spotlight de devolver quaisquer resultados de uma pesquisa na Internet. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir que a pesquisa Spotlight se ligue à Internet e obtenha os resultados da pesquisa.
Bloquear a transferência de ficheiros com o Finder ou o iTunes: sim , desativa os serviços de partilha de ficheiros da aplicação. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir serviços de partilha de ficheiros de aplicação.
Esse recurso aplica-se a:
- macOS 10.13 e versões mais recentes
Cloud e armazenamento
As definições aplicam-se a: Todos os tipos de inscrição
Bloquear sincronização de Keychain do iCloud: sim , desativa a sincronização de credenciais armazenadas no Keychain para iCloud. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir que os utilizadores sincronizem estas credenciais.
Bloquear o Documento e a Sincronização de Dados do iCloud: sim impede o iCloud de sincronizar documentos e dados. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir a sincronização de documentos e chave-valor com o seu espaço de armazenamento do iCloud.
Bloquear Cópia de Segurança de Correio do iCloud: Sim impede que o iCloud seja sincronizado com a aplicação Correio do macOS. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir a sincronização de Correio com o iCloud.
Bloquear Cópia de Segurança de Contactos do iCloud: sim , impede o iCloud de sincronizar os contactos do dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir a sincronização de contactos com o iCloud.
Bloquear Cópia de Segurança do Calendário do iCloud: sim , impede que o iCloud seja sincronizado com a aplicação Calendário do macOS. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir a sincronização do Calendário com o iCloud.
Bloquear Cópia de Segurança de Lembretes do iCloud: Sim impede que o iCloud seja sincronizado com a aplicação Lembretes do macOS. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir a sincronização de Lembretes com o iCloud.
Bloquear Cópia de Segurança de Marcadores do iCloud: sim, impede o iCloud de sincronizar os Marcadores do dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir a sincronização de Marcadores com o iCloud.
Bloquear Cópia de Segurança de Notas do iCloud: Sim impede o iCloud de sincronizar as Notas do dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir a sincronização de Notas com o iCloud.
Bloquear cópia de segurança de Fotografias do iCloud: sim, desativa a Biblioteca de Fotografias do iCloud e impede que o iCloud sincronize as fotografias do dispositivo. Todas as fotografias não totalmente transferidas da Biblioteca de Fotografias do iCloud são removidas do armazenamento local nos dispositivos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir a sincronização de fotografias entre o dispositivo e a Biblioteca de Fotografias do iCloud.
Bloquear Entrega: esta funcionalidade permite que os utilizadores comecem a trabalhar num dispositivo macOS e, em seguida, continuem o trabalho que iniciaram noutro dispositivo iOS/iPadOS ou macOS. Sim impede a funcionalidade Handoff nos dispositivos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir esta funcionalidade em dispositivos.
Esse recurso aplica-se a:
- macOS 10.15 e mais recente
As definições aplicam-se a: Inscrição de dispositivos aprovada pelo utilizador, Inscrição automatizada de dispositivos (supervisionado)
Bloquear o Reencaminhamento Privado do iCloud: sim , desativa o Reencaminhamento Privado do iCloud. Quando desativada, a Apple não encripta o tráfego da Internet que sai do dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir esta funcionalidade, o que impede que redes e servidores monitorizem a atividade de um utilizador na Internet.
Esse recurso aplica-se a:
- macOS 12 e mais recente
Reencaminhamento Privado do iCloud (abre o site da Apple)
Dispositivos ligados
As definições aplicam-se a: Todos os tipos de inscrição
- Bloquear AirDrop: Sim impede a utilização do AirDrop em dispositivos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir a utilização da funcionalidade AirDrop para trocar conteúdos com dispositivos próximos.
- Bloquear o desbloqueio automático do Apple Watch: sim , impede que os utilizadores desbloqueiem o dispositivo macOS com o Apple Watch. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir que os utilizadores desbloqueiem o dispositivo macOS com o Apple Watch.
Domínios
As definições aplicam-se a: Todos os tipos de inscrição
- Domínios de E-mail não marcados: introduza um ou mais URLs de domínio de e-mail na lista. Quando os utilizadores enviam ou recebem um e-mail de um domínio diferente dos domínios que adicionou, o e-mail é marcado como não fidedigno na aplicação Correio do macOS.
Geral
As definições aplicam-se a: Todos os tipos de inscrição
Bloquear Pesquisa: Sim impede que o utilizador realce uma palavra e, em seguida, procure a definição no dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir a funcionalidade de pesquisa de definições.
Bloquear ditado: Sim impede os utilizadores de utilizarem entradas de voz para introduzir texto. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir que os utilizadores utilizem a entrada de ditado.
Bloquear a colocação em cache de conteúdo: sim impede a colocação em cache de conteúdos. A colocação em cache de conteúdos armazena dados de aplicações, dados do browser, transferências e muito mais localmente nos dispositivos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode ativar a colocação em cache de conteúdos.
Para obter mais informações sobre a colocação em cache de conteúdos no macOS, consulte Gerir a colocação em cache de conteúdos no Mac (abre outro site).
Esse recurso aplica-se a:
- macOS 10.13 e versões mais recentes
Bloquear capturas de ecrã e gravação de ecrã: Sim impede que os utilizadores guardem capturas de ecrã do ecrã. Também impede que a aplicação Classroom observe ecrãs remotos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir que os utilizadores capturem capturas de ecrã e permite que a aplicação Classroom veja ecrãs remotos.
As definições aplicam-se a: Inscrição de dispositivos aprovada pelo utilizador, Inscrição automatizada de dispositivos (supervisionado)
Diferir atualizações de software: esta definição permite-lhe diferir a visibilidade das atualizações de software nos dispositivos durante um máximo de 90 dias. Por exemplo, se a Apple lançar uma atualização do macOS numa data específica, é apresentado naturalmente nos dispositivos por volta da data de lançamento. Esta definição pode ocultar a atualização para que os utilizadores não a vejam assim que estiver disponível.
Esta definição não controla quando as atualizações são instaladas e não afeta as atualizações agendadas. As atualizações de criação de sementes são permitidas sem demora.
Para utilizar esta definição, selecione as atualizações de software que pretende atrasar. Suas opções:
- Não configurado (predefinição): o Intune não altera nem atualiza esta definição. Por predefinição, o SO pode mostrar atualizações de software recentemente lançadas aos utilizadores assim que forem lançadas.
- Principais atualizações de software do SO: as principais atualizações de software do SO, como o macOS 12, são diferidas por 30 dias por predefinição, salvo especificação em contrário no campo Atrasar visibilidade das principais atualizações de software do SO . Necessita do macOS 11.3 e mais recente.
- Atualizações de software de SO secundárias: por predefinição, as atualizações de software do SO secundário, como o macOS 12.x, são adiadas por predefinição, salvo especificação em contrário no campo Atrasar a visibilidade das atualizações de software do SO secundárias . Necessita do macOS 11.3 e mais recente.
- Atualizações de software não SO: as atualizações de software não SO, como as atualizações do Safari, são adiadas por predefinição durante 30 dias, salvo especificação em contrário no campo Atrasar visibilidade de atualizações de software não SO. Requer o macOS 11.0 e posterior.
Em seguida, introduza durante quanto tempo pretende atrasar cada tipo de atualização, de 1 a 90 dias. Por exemplo, se uma atualização do macOS estiver disponível a 1 de janeiro e a visibilidade Atraso estiver definida para 5 dias, a atualização não será apresentada como uma atualização disponível. No sexto dia após o lançamento, essa atualização fica disponível e os utilizadores são notificados para atualizar para a versão mais antiga disponível quando o atraso foi acionado. Suas opções:
Atrasar a visibilidade predefinida das atualizações de software: introduza o número de dias para atrasar todas as atualizações de software, de 1 a 90. Se não introduzir nada, as atualizações serão adiadas por 30 dias, por predefinição. O Intune substituirá este valor se optar por adiar individualmente as atualizações de software principais do SO, so menor ou não SO.
Atrasar a visibilidade das principais atualizações de software do SO: introduza o número de dias para atrasar todas as principais atualizações de software do SO, de 1 a 90. Se não introduzir nada, as atualizações serão adiadas por 30 dias, por predefinição. Este valor substitui o valor em Atrasar visibilidade predefinida das atualizações de software.
Esse recurso aplica-se a:
- macOS 11.3 e mais recente
Atrasar a visibilidade das atualizações de software do SO secundárias: introduza o número de dias para atrasar todas as atualizações de software do SO secundárias, de 1 a 90. Se não introduzir nada, as atualizações serão adiadas por 30 dias, por predefinição. Este valor substitui o valor em Atrasar visibilidade predefinida das atualizações de software.
Esse recurso aplica-se a:
- macOS 11.3 e mais recente
Atrasar a visibilidade das atualizações de software que não são do SO: introduza o número de dias para atrasar todas as atualizações de software que não são do SO, de 1 a 90. Se não introduzir nada, as atualizações serão adiadas por 30 dias, por predefinição. Este valor substitui o valor em Atrasar visibilidade predefinida das atualizações de software.
Esse recurso aplica-se a:
- macOS 11.0 e mais recente
Permitir bloqueio de ativação: Sim, ativa o Bloqueio de Ativação em dispositivos macOS supervisionados. O Bloqueio de Ativação dificulta a reativação de um dispositivo perdido ou roubado. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.
Esse recurso aplica-se a:
- macOS 10.15 ou posterior
As definições aplicam-se a: Inscrição automatizada de dispositivos
Desativar o AirPlay, ver o ecrã pela aplicação Classroom e a partilha de ecrã: sim , bloqueia o AirPlay e impede a partilha de ecrã para outros dispositivos. Também impede que os professores utilizem a aplicação Classroom para ver os ecrãs dos seus alunos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir que os professores vejam os ecrãs dos estudantes.
Para utilizar esta definição, defina a definição Bloquear capturas de ecrã e gravação de ecrã como Não configurado (são permitidas capturas de ecrã).
Permitir que a aplicação Classroom execute o AirPlay e visualize o ecrã sem pedir: Sim permite que os professores vejam os ecrãs dos seus alunos sem exigir que os alunos concordem. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode exigir que os estudantes concordem antes que os professores possam ver os ecrãs.
Para utilizar esta definição, defina a definição Bloquear capturas de ecrã e gravação de ecrã como Não configurado (são permitidas capturas de ecrã).
Exigir permissão ao professor para sair das aulas não geridas da aplicação Classroom: Sim força os alunos inscritos num curso não gerido do Classroom a obter a aprovação do professor para abandonarem o curso. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir que os estudantes saiam do curso sempre que o estudante escolher.
Permitir que o Classroom bloqueie o dispositivo sem pedir: Sim permite que os professores bloqueiem o dispositivo ou a aplicação de um estudante sem a aprovação do estudante. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode exigir que os estudantes concordem antes que os professores possam bloquear o dispositivo ou a aplicação.
Os alunos podem entrar automaticamente na aula do Classroom sem pedir: Sim permite que os alunos participem numa aula sem pedir ao professor. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode exigir a aprovação do professor para aderir a uma turma.
Bloquear a modificação do padrão de fundo: Sim impede que os utilizadores alterem o padrão de fundo do dispositivo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir que os utilizadores alterem o padrão de fundo.
Esse recurso aplica-se a:
- macOS 10.13 e versões mais recentes
Impedir que os utilizadores apaguem todos os conteúdos e definições no dispositivo: Sim desativa a opção de reposição em dispositivos supervisionados. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir que os utilizadores apaguem todos os conteúdos e definições no respetivo dispositivo.
Esse recurso aplica-se a:
- macOS 12 e mais recente
Senha
Estas definições utilizam o payload código de acesso (abre o site da Apple).
Importante
Em dispositivos macOS com a versão 10.14.2 e posterior (exceto todas as versões do macOS 10.15 Catalina), é pedido aos utilizadores que alterem a palavra-passe do dispositivo quando o dispositivo for atualizado para uma nova versão principal do SO. Esta atualização de palavra-passe ocorre uma vez. Depois de os utilizadores atualizarem a palavra-passe, todas as outras políticas de palavra-passe são impostas. Se for necessário um código de acesso em, pelo menos, uma política, este comportamento só ocorre para o utilizador do computador local.
Sempre que a política de palavras-passe for atualizada, todos os utilizadores que executem estas versões do macOS têm de alterar a palavra-passe, mesmo que a palavra-passe atual esteja em conformidade com os novos requisitos. Por exemplo, quando o seu dispositivo macOS é ativado após atualizar para uma nova versão principal do SO, como o Big Sur (macOS 11) ou Monterey (macOS 12), os utilizadores têm de alterar a palavra-passe do dispositivo antes de poderem iniciar sessão.
As definições aplicam-se a: Todos os tipos de inscrição
Exigir palavra-passe: Sim requer que os utilizadores introduzam uma palavra-passe para aceder aos dispositivos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode não necessitar de uma palavra-passe. Também não força restrições, como bloquear palavras-passe simples ou definir um comprimento mínimo.
Tipo de palavra-passe obrigatório: introduza o nível de complexidade de palavra-passe necessário que a sua organização necessita. Quando deixado em branco, o Intune não altera nem atualiza esta definição. Suas opções:
- Não configurado: utiliza a predefinição do dispositivo.
- Alfanumérico: inclui letras maiúsculas, letras minúsculas e carateres numéricos.
- Numérico: a palavra-passe só tem de ser números, como 123456789.
Esse recurso aplica-se a:
- macOS 10.10.3 e mais recente
Número de carateres não alfanuméricos na palavra-passe: introduza o número de carateres complexos necessários na palavra-passe, de 0 a 4. Um caráter complexo é um símbolo, como
?
. Quando deixado em branco ou definido como Não configurado, o Intune não altera nem atualiza esta definição.Comprimento mínimo da palavra-passe: introduza o comprimento mínimo que a palavra-passe tem de ter, de 4 a 16 carateres. Quando deixado em branco, o Intune não altera nem atualiza esta definição.
Bloquear palavras-passe simples: Sim impede a utilização de palavras-passe simples, como
0000
ou1234
. Quando o valor está em branco ou está definido como Não configurado, o Intune não altera nem atualiza esta definição. Por predefinição, o SO pode permitir palavras-passe simples.Máximo de minutos de inatividade até o ecrã bloquear: introduza o período de tempo em que os dispositivos têm de estar inativos antes de o ecrã ser bloqueado automaticamente. Por exemplo, introduza
5
para bloquear dispositivos após 5 minutos de inatividade. Quando o valor está em branco ou está definido como Não configurado, o Intune não altera nem atualiza esta definição.Máximo de minutos após o bloqueio de ecrã antes de a palavra-passe ser exigida: introduza o período de tempo em que os dispositivos têm de estar inativos antes de ser necessária uma palavra-passe para desbloqueá-la. Quando o valor está em branco ou está definido como Não configurado, o Intune não altera nem atualiza esta definição.
Expiração da palavra-passe (dias): introduza o número de dias até a palavra-passe do dispositivo ter de ser alterada, de 1 a 65535. Por exemplo, introduza
90
para expirar a palavra-passe após 90 dias. Quando a palavra-passe expirar, é pedido aos utilizadores que criem uma nova palavra-passe. Quando o valor está em branco ou está definido como Não configurado, o Intune não altera nem atualiza esta definição.Impedir a reutilização de palavras-passe anteriores: impedir que os utilizadores criem palavras-passe utilizadas anteriormente. Introduza o número de palavras-passe utilizadas anteriormente que não podem ser utilizadas, de 1 a 24. Por exemplo, introduza 5 para que os utilizadores não possam definir uma nova palavra-passe para a palavra-passe atual ou qualquer uma das quatro palavras-passe anteriores. Quando o valor está em branco, o Intune não altera nem atualiza esta definição.
Máximo de tentativas de início de sessão permitidas: introduza o número máximo de vezes que os utilizadores podem tentar iniciar sessão consecutivamente antes de o dispositivo bloquear a saída dos utilizadores, de 2 a 11. Quando este número é excedido, o dispositivo é bloqueado. Recomendamos que não defina este valor para um número baixo, como
2
ou3
. É comum os utilizadores introduzirem a palavra-passe errada. Recomendamos que defina para um valor mais alto.Por exemplo, introduza
5
para que os utilizadores possam introduzir a palavra-passe errada até cinco vezes. Após a quinta tentativa, o dispositivo é bloqueado. Se deixar este valor em branco ou não o alterar,11
será utilizado por predefinição.Após seis tentativas falhadas, o macOS força automaticamente um atraso de tempo antes de um código de acesso poder ser introduzido novamente. O atraso aumenta a cada tentativa. Defina a duração do Bloqueio para adicionar um atraso antes de poder introduzir o código de acesso seguinte.
Duração do bloqueio: introduza o número de minutos em que um bloqueio dura, de 0 a 10 0000. Durante o bloqueio do dispositivo, o ecrã de início de sessão está inativo e os utilizadores não conseguem iniciar sessão. Quando o bloqueio terminar, o utilizador pode tentar iniciar sessão novamente.
Se deixar este valor em branco ou não o alterar, os
30
minutos são utilizados por predefinição.Esta definição aplica-se a:
- macOS 10.10 e versões mais recentes
Impedir o utilizador de modificar o código de acesso: Sim impede que o código de acesso seja alterado, adicionado ou removido. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir a adição, alteração ou remoção de códigos de acesso.
Bloquear o Touch ID para desbloquear o dispositivo: sim impede a utilização de impressões digitais para desbloquear dispositivos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir que os utilizadores desbloqueiem o dispositivo com uma impressão digital.
Tempo limite (horas de inatividade): introduza um valor de horas inativas que os utilizadores têm de introduzir a palavra-passe, em vez do TouchID.
O período de inatividade padrão é de 48 horas. Após 48 horas de inatividade, o dispositivo solicita a senha, em vez de Touch ID.
Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode definir o tempo limite para 48 horas (172 800 segundos).
Esse recurso aplica-se a:
- macOS 12 e mais recente
Bloquear Preenchimento Automático de Palavras-passe: Sim impede a utilização da funcionalidade Palavras-passe de Preenchimento Automático no macOS. Escolher Sim também tem o seguinte impacto:
- Não é pedido aos utilizadores que utilizem uma palavra-passe guardada no Safari ou em quaisquer aplicações.
- As Palavras-passe Fortes Automáticas estão desativadas e as palavras-passe fortes não são sugeridas aos utilizadores.
Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir estas funcionalidades.
Bloquear pedidos de proximidade de palavras-passe: sim , impede que os dispositivos peçam palavras-passe de dispositivos próximos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir estes pedidos de palavra-passe.
Bloquear a partilha de palavras-passe: Sim impede a partilha de palavras-passe entre dispositivos através do AirDrop. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir a partilha de palavras-passe.
Preferências de privacidade
Em dispositivos macOS, as aplicações e os processos costumam pedir aos utilizadores para permitirem ou negarem o acesso às funcionalidades do dispositivo, como a câmara, o microfone, o calendário, a pasta Documentos e muito mais. Estas definições permitem aos administradores pré-aprovar ou pré-negar o acesso a estas funcionalidades do dispositivo. Quando configura estas definições, gere o consentimento de acesso a dados em nome dos seus utilizadores. As suas definições substituem as decisões anteriores.
O objetivo destas definições é reduzir o número de pedidos por aplicações e processos.
Esse recurso aplica-se a:
- macOS 10.14 e mais recente
- Algumas definições aplicam-se ao macOS 10.15 e mais recente.
- Estas definições aplicam-se apenas a dispositivos que tenham o perfil de preferências de privacidade instalado antes de serem atualizados.
Observação
Quando permite que as aplicações utilizem uma política, estas aplicações não são apresentadas nas Definições do sistema (Privacidade + Segurança) no dispositivo. Só são apresentadas as aplicações permitidas manualmente pelos utilizadores finais.
As definições aplicam-se a: Inscrição de dispositivos aprovada pelo utilizador, Inscrição de dispositivos automatizada
-
Aplicações e processos: adicione aplicações ou processos para configurar o acesso. Introduza também:
Nome: introduza um nome para a sua aplicação ou processo. Por exemplo, introduza
Microsoft Remote Desktop
ouMicrosoft 365
.Tipo de identificador: as suas opções:
- ID do Pacote: selecione esta opção para aplicações.
- Caminho: selecione esta opção para binários não agrupados, que é um processo ou executável.
As ferramentas auxiliares incorporadas num pacote de aplicações herdam automaticamente as permissões do respetivo pacote de aplicações incluído.
Identificador: introduza o ID do pacote de aplicações ou o caminho do ficheiro de instalação do processo ou executável. Por exemplo, digite
com.contoso.appname
.Para obter o ID do pacote de aplicações:
- Abra a aplicação Terminal e execute o
codesign
comando . Este comando identifica a assinatura de código. Assim, pode obter o ID do pacote e a assinatura de código em simultâneo. - Para aplicações adicionadas ao Intune, pode utilizar o centro de administração do Intune.
- Abra a aplicação Terminal e execute o
Requisito de código: introduza a assinatura de código para a aplicação ou processo.
É criada uma assinatura de código quando uma aplicação ou binário é assinado por um certificado de programador. Para localizar a designação, execute o
codesign
comando manualmente na aplicação Terminal:codesign --display -r - /path/to/app/binary
. A assinatura de código é tudo o que aparece depois de=>
.Ativar a validação de código estático: selecione Sim para a aplicação ou processo para validar estaticamente o requisito de código. Quando definido como Não configurado, o Intune não altera nem atualiza esta definição.
Ative esta definição apenas se o processo invalidar a respetiva assinatura de código dinâmico. Caso contrário, utilize Não configurado.
Bloquear Câmara: Sim impede que a aplicação aceda à câmara do sistema. Não pode permitir o acesso à câmara. Quando definido como Não configurado, o Intune não altera nem atualiza esta definição.
Bloquear Microfone: Sim impede que a aplicação aceda ao microfone do sistema. Não pode permitir o acesso ao microfone. Quando definido como Não configurado, o Intune não altera nem atualiza esta definição.
Bloquear gravação de ecrã: Sim impede a aplicação de capturar os conteúdos da apresentação do sistema. Não pode permitir o acesso à gravação de ecrã e à captura de ecrã. Quando definido como Não configurado, o Intune não altera nem atualiza esta definição.
Requer o macOS 10.15 e mais recente.
Bloquear a monitorização de entrada: sim , impede a aplicação de utilizar CoreGraphics e AS APIs HID para ouvir eventos CGEvents e HID de todos os processos. Sim também nega que as aplicações e os processos ouçam e recolham dados de dispositivos de entrada, como um rato, teclado ou trackpad. Não pode permitir o acesso às APIs CoreGraphics e HID.
Quando definido como Não configurado, o Intune não altera nem atualiza esta definição.
Requer o macOS 10.15 e mais recente.
Reconhecimento de voz: as suas opções:
- Não configurado: o Intune não altera nem atualiza essa configuração.
- Permitir: permite que a aplicação aceda ao reconhecimento de voz do sistema e permite o envio de dados de voz para a Apple.
- Bloquear: impede que a aplicação aceda ao reconhecimento de voz do sistema e impede o envio de dados de voz para a Apple.
Requer o macOS 10.15 e mais recente.
Acessibilidade: as suas opções:
- Não configurado: o Intune não altera nem atualiza essa configuração.
- Permitir: permite que a aplicação aceda à aplicação acessibilidade do sistema. Esta aplicação inclui legendas de áudio, texto sensível ao rato e controlo de voz.
- Bloquear: impede que a aplicação aceda à aplicação de Acessibilidade do sistema.
Contactos: as suas opções:
- Não configurado: o Intune não altera nem atualiza essa configuração.
- Permitir: permite que a aplicação aceda às informações de contacto geridas pela aplicação Contactos do sistema.
- Bloquear: impede que a aplicação aceda a estas informações de contacto.
Calendário: as suas opções:
- Não configurado: o Intune não altera nem atualiza essa configuração.
- Permitir: permite que a aplicação aceda a informações de calendário geridas pela aplicação Calendário do sistema.
- Bloco: impede que a aplicação aceda a estas informações do calendário.
Lembretes: as suas opções:
- Não configurado: o Intune não altera nem atualiza essa configuração.
- Permitir: permite que a aplicação aceda a informações de lembrete geridas pela aplicação Lembretes do sistema.
- Bloquear: impede que a aplicação aceda a estas informações de lembrete.
Fotografias: As suas opções:
- Não configurado: o Intune não altera nem atualiza essa configuração.
-
Permitir: permite que a aplicação aceda às imagens geridas pela aplicação Fotografias do sistema no
~/Pictures/.photoslibrary
. - Bloquear: impede que a aplicação aceda a estas imagens.
Biblioteca de multimédia: as suas opções:
- Não configurado: o Intune não altera nem atualiza essa configuração.
- Permitir: permite que a aplicação aceda ao Apple Music, à atividade de música e vídeo e à biblioteca de multimédia.
- Bloquear: impede que a aplicação aceda a este suporte de dados.
Requer o macOS 10.15 e mais recente.
Presença do fornecedor de ficheiros: as suas opções:
- Não configurado: o Intune não altera nem atualiza essa configuração.
- Permitir: permite que a aplicação aceda à aplicação Fornecedor de Ficheiros e saiba quando os utilizadores estão a utilizar ficheiros geridos pelo Fornecedor de Ficheiros. Uma aplicação fornecedor de ficheiros permite que outras aplicações do Fornecedor de Ficheiros acedam aos documentos e diretórios armazenados e geridos pela aplicação que contém.
- Bloquear: impede que a aplicação aceda à aplicação Fornecedor de Ficheiros.
Requer o macOS 10.15 e mais recente.
Acesso total ao disco: as suas opções:
- Não configurado: o Intune não altera nem atualiza essa configuração.
- Permitir: permite que a aplicação aceda a todos os ficheiros protegidos, incluindo ficheiros de administração do sistema. Aplique esta definição com cuidado.
- Bloco: impede que a aplicação aceda a estes ficheiros protegidos.
Ficheiros de administrador do sistema: as suas opções:
- Não configurado: o Intune não altera nem atualiza essa configuração.
- Permitir: permite que a aplicação aceda a alguns ficheiros utilizados na administração do sistema.
- Bloquear: impede que a aplicação aceda a estes ficheiros.
Pasta de ambiente de trabalho: as suas opções:
- Não configurado: o Intune não altera nem atualiza essa configuração.
- Permitir: permite que a aplicação aceda a ficheiros na pasta Ambiente de Trabalho do utilizador.
- Bloquear: impede que a aplicação aceda a estes ficheiros.
Requer o macOS 10.15 e mais recente.
Pasta Documentos: as suas opções:
- Não configurado: o Intune não altera nem atualiza essa configuração.
- Permitir: permite que a aplicação aceda a ficheiros na pasta Documentos do utilizador.
- Bloquear: impede que a aplicação aceda a estes ficheiros.
Requer o macOS 10.15 e mais recente.
Pasta transferências: as suas opções:
- Não configurado: o Intune não altera nem atualiza essa configuração.
- Permitir: permite que a aplicação aceda a ficheiros na pasta Transferências do utilizador.
- Bloquear: impede que a aplicação aceda a estes ficheiros.
Requer o macOS 10.15 e mais recente.
Volumes de rede: as suas opções:
- Não configurado: o Intune não altera nem atualiza essa configuração.
- Permitir: permite que a aplicação aceda a ficheiros em volumes de rede.
- Bloquear: impede que a aplicação aceda a estes ficheiros.
Requer o macOS 10.15 e mais recente.
Volumes amovíveis: as suas opções:
- Não configurado: o Intune não altera nem atualiza essa configuração.
- Permitir: permite que a aplicação aceda a ficheiros em volumes amovíveis, como um disco rígido.
- Bloquear: impede que a aplicação aceda a estes ficheiros.
Requer o macOS 10.15 e mais recente.
Eventos do sistema: as suas opções:
- Não configurado: o Intune não altera nem atualiza essa configuração.
- Permitir: permite que a aplicação utilize APIs CoreGraphics para enviar CGEvents para o fluxo de eventos do sistema.
- Bloco: impede a aplicação de utilizar AS APIs CoreGraphics para enviar CGEvents para o fluxo de eventos do sistema.
Eventos da Apple: esta definição permite que as aplicações enviem um evento restrito da Apple para outra aplicação ou processo. Selecione Adicionar para adicionar uma aplicação ou processo de receção. Introduza as seguintes informações da aplicação ou processo de receção:
Tipo de identificador: selecione ID do Pacote se o identificador de receção for uma aplicação. Selecione Caminho se o identificador de receção for um processo ou executável.
Identificador: introduza o ID do pacote de aplicações ou o caminho de instalação do processo que recebe um evento da Apple.
Requisito de código: introduza a assinatura de código para a aplicação ou processo de receção.
É criada uma assinatura de código quando uma aplicação ou binário é assinado por um certificado de programador. Para localizar a designação, execute o
codesign
comando manualmente na aplicação Terminal:codesign --display -r -/path/to/app/binary
. A assinatura de código é tudo o que aparece depois de=>
.Acesso: permitir que um Evento apple do macOS seja enviado para a aplicação ou processo de receção. Suas opções:
- Não configurado: o Intune não altera nem atualiza essa configuração.
- Permitir: permite que a aplicação ou processo envie o evento restrito da Apple para a aplicação ou processo de receção.
- Bloquear: impede que a aplicação ou o processo envie um evento restrito da Apple para a aplicação ou processo de receção.
Salve suas alterações.
Aplicativos restritos
As definições aplicam-se a: Todos os tipos de inscrição
As definições de aplicações restritas não impedem que os utilizadores instalem e abram aplicações específicas. Em vez disso, os dispositivos com aplicações restritas instaladas povoam o relatório Dispositivos com aplicações restritas no centro de administração do Intune (Monitorde Dispositivos>).
Tipo de lista de aplicações restritas: crie uma lista de aplicações que os utilizadores não têm permissão para instalar ou utilizar. Suas opções:
Não configurado (predefinição): o Intune não altera nem atualiza esta definição. Por predefinição, os utilizadores podem ter acesso às aplicações que atribuir e às aplicações incorporadas.
Aplicações aprovadas: liste as aplicações que os utilizadores têm permissão para instalar. Os utilizadores não podem instalar outras aplicações. Se os utilizadores instalarem aplicações que não são permitidas, é reportada no Intune. As aplicações geridas pelo Intune são automaticamente permitidas, incluindo a aplicação Portal da Empresa. Os utilizadores não são impedidos de instalar uma aplicação que não esteja na lista aprovada.
Se estiver instalada uma aplicação que não esteja na lista de aplicações aprovadas, a definição de aplicações restritas comunica um erro.
Aplicações proibidas: liste as aplicações (não geridas pelo Intune) que os utilizadores não têm permissão para instalar e executar. Os utilizadores não são impedidos de instalar uma aplicação proibida. Se um utilizador instalar uma aplicação a partir desta lista, é reportada no Intune.
Se estiver instalada uma aplicação que esteja na lista de aplicações proibidas, a definição de aplicações restritas comunica um erro.
Lista de aplicações: adicione aplicações à sua lista:
ID do Pacote de Aplicação: introduza o ID do pacote da aplicação. Pode adicionar aplicações incorporadas e aplicações de linha de negócio.
Para obter o ID do pacote:
- O site da Apple tem uma lista de aplicações apple incorporadas.
- Abra a aplicação Terminal e utilize o AppleScript (
osascript -e 'id of app "AppName"'
). - Para aplicações adicionadas ao Intune, pode utilizar o centro de administração do Intune.
Para localizar o URL de uma aplicação, abra a App Store do iTunes e procure a aplicação. Por exemplo, procure
Microsoft Remote Desktop
ouMicrosoft Word
. Selecione a aplicação e copie o URL. Também pode utilizar o iTunes para localizar a aplicação e, em seguida, utilizar a tarefa Copiar Ligação para obter o URL da aplicação.Nome da aplicação: introduza um nome amigável para o ajudar a identificar o ID do pacote. Por exemplo, digite
Intune Company Portal app
.Publicador: introduza o publicador da aplicação.
Importe um ficheiro CSV com detalhes sobre a aplicação, incluindo o URL. Utilize o
<app bundle ID>, <app name>, <app publisher>
formato . Em alternativa, exporte para criar uma lista de aplicações que adicionou, no mesmo formato.
Próximas etapas
Atribuir o perfil e monitorar seu status.
Também pode restringir as funcionalidades e definições do dispositivo em dispositivos iOS/iPadOS .