Поделиться через

Параметры устройства macOS для разрешения или ограничения функций с помощью Intune

  • Статья

Примечание.

Intune может поддерживать больше параметров, чем параметры, перечисленные в этой статье. Не все параметры документированы и не будут документированы. Чтобы просмотреть параметры, которые можно настроить, создайте политику конфигурации устройств и выберите Каталог параметров. Дополнительные сведения см. в разделе Каталог параметров.

В этой статье описаны параметры, которые можно контролировать и ограничивать на устройствах macOS. В рамках решения для управления мобильными устройствами (MDM) используйте эти параметры, чтобы разрешить или отключить функции, задать правила паролей и многое другое.

Данная функция применяется к:

  • macOS

Эти параметры добавляются в профиль конфигурации устройства в Intune, а затем назначаются или развертываются на устройствах macOS.

Примечание.

Пользовательский интерфейс может не соответствовать типам регистрации, приведенным в этой статье. Сведения, приведенные в этой статье, верны. Пользовательский интерфейс обновляется в предстоящем выпуске.

Совет

В этих параметрах используются параметры ограничений Apple. Дополнительные сведения об этих параметрах см. на сайте Apple по управлению мобильными устройствами (откроется веб-сайт Apple).

Перед началом работы

Create профиль конфигурации ограничений устройств macOS.

Примечание.

Эти параметры применяются к разным типам регистрации. Дополнительные сведения о различных типах регистрации см. в разделе Регистрация macOS.

App Store, просмотр документации, игры

Параметры, применяемые к: Автоматическая регистрация устройств (защищенное)

  • Блокировать добавление друзей в Game Center. Да запрещает пользователям добавлять друзей в Game Center. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить пользователям добавлять друзей в Game Center.

    Данная функция применяется к:

    • macOS 10.13 и более поздние версии

  • Блокировать игровой центр. Да отключает Game Center, а значок Game Center удаляется с начального экрана. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может сделать Game Center доступным для пользователей.

    Данная функция применяется к:

    • macOS 10.13 и более поздние версии

  • Блокировать многопользовательские игры в Game Center. Да запрещает многопользовательские игры при использовании Game Center. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить пользователям играть в многопользовательские игры.

    Данная функция применяется к:

    • macOS 10.13 и более поздние версии

Встроенные приложения

Параметры применяются к: Все типы регистрации

  • Блокировать автозаполнение Safari. Значение Да отключает функцию автозаполнения в Safari на устройствах. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить пользователям изменять параметры автозаполнения в веб-браузере.

  • Блокировать использование камеры. Да запрещает доступ к камере на устройствах. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить доступ к камере устройства.

    Intune управляет доступом только к камере устройства. У него нет доступа к изображениям или видео.

  • Блокировать Apple Music. Да возвращает приложение "Музыка" в классический режим и отключает службу "Музыка". Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить использование приложения Apple Music.

  • Блокировать предложения в центре внимания. Да запрещает в центре внимания возвращать любые результаты поиска в Интернете. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить поиск в центре внимания для подключения к Интернету и получения результатов поиска.

  • Блокировать передачу файлов с помощью Finder или iTunes. Да отключает службы общего доступа к файлам приложений. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить службы общего доступа к файлам приложений.

    Данная функция применяется к:

    • macOS 10.13 и более поздние версии

Облако и хранилище

Параметры применяются к: Все типы регистрации

  • Блокировать синхронизацию цепочки ключей iCloud. Значение Да отключает синхронизацию учетных данных, хранящихся в цепочке ключей, с iCloud. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить пользователям синхронизировать эти учетные данные.

  • Блокировать синхронизацию документов и данных iCloud. Значение Да запрещает iCloud синхронизировать документы и данные. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить синхронизацию документов и ключей и значений в хранилище iCloud.

  • Блокировать резервное копирование почты iCloud. Значение Да запрещает синхронизацию iCloud с почтовым приложением macOS. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить синхронизацию почты с iCloud.

  • Блокировать резервное копирование контактов iCloud. Значение Да запрещает iCloud синхронизировать контакты устройства. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить синхронизацию контактов с помощью iCloud.

  • Блокировать резервное копирование календаря iCloud. Значение Да запрещает синхронизацию iCloud с приложением "Календарь" для macOS. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить синхронизацию календаря с iCloud.

  • Блокировать резервное копирование напоминаний iCloud. Значение Да запрещает синхронизацию iCloud с приложением напоминаний macOS. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить синхронизацию напоминаний с iCloud.

  • Блокировать резервное копирование закладок iCloud. Значение Да запрещает iCloud синхронизировать закладки устройства. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить синхронизацию закладок в iCloud.

  • Блокировать резервное копирование заметок iCloud. Значение Да запрещает iCloud синхронизировать заметки устройства. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить синхронизацию заметок с iCloud.

  • Блокировать резервное копирование фотографий iCloud. Да отключает библиотеку фотографий iCloud и запрещает iCloud синхронизировать фотографии устройств. Все фотографии, не загруженные из библиотеки фотографий iCloud, удаляются из локального хранилища на устройствах. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить синхронизацию фотографий между устройством и библиотекой фотографий iCloud.

  • Блокировать передачу. Эта функция позволяет пользователям начать работу на устройстве macOS, а затем продолжить работу на другом устройстве iOS,iPadOS или macOS. Значение Да запрещает функцию передачи на устройствах. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить эту функцию на устройствах.

    Данная функция применяется к:

    • macOS 10.15 или более поздней версии.

Параметры применяются к: регистрация устройств, утвержденная пользователем, автоматическая регистрация устройств (защищенное)

  • Блокировать приватный ретранслятор iCloud. Значение Да отключает частный ретранслятор iCloud. Если этот параметр отключен, Apple не шифрует интернет-трафик, покидающий устройство. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ос может разрешить эту функцию, которая запрещает сетям и серверам отслеживать действия пользователя через Интернет.

    Данная функция применяется к:

    • macOS 12 или более поздних версий

    Частный ретранслятор iCloud (открывается веб-сайт Apple)

Подключенные устройства

Параметры применяются к: Все типы регистрации

  • Блокировать AirDrop. Да запрещает использование AirDrop на устройствах. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить использовать функцию AirDrop для обмена содержимым с близлежащими устройствами.
  • Блокировать автоматическую разблокировку Apple Watch. Значение Да запрещает пользователям разблокировать устройство macOS с помощью Apple Watch. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить пользователям разблокировать устройство macOS с помощью Apple Watch.

Домены

Параметры применяются к: Все типы регистрации

  • Домены без пометок Email. Введите в список один или несколько URL-адресов доменов Email. Когда пользователи отправляют или получают сообщение из домена, отличного от добавленных доменов, в почтовом приложении macOS это сообщение помечается как ненадежное.

Общие указания

Параметры применяются к: Все типы регистрации

  • Блокировка подстановки. Да запрещает пользователю выделять слово, а затем искать его определение на устройстве. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить функцию поиска определений.

  • Блокировать диктовку. Да запрещает пользователям использовать голосовой ввод для ввода текста. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить пользователям использовать ввод диктовки.

  • Блокировать кэширование содержимого. Да запрещает кэширование содержимого. Кэширование содержимого сохраняет данные приложений, данные веб-браузера, загрузки и многое другое локально на устройствах. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может включить кэширование содержимого.

    Дополнительные сведения о кэшировании содержимого в macOS см. в статье Управление кэшированием содержимого в Mac (открывается другой веб-сайт).

    Данная функция применяется к:

    • macOS 10.13 и более поздние версии

  • Блокировать снимки экрана и запись экрана. Значение Да запрещает пользователям сохранять снимки экрана экрана. Кроме того, приложение Classroom не может наблюдать за удаленными экранами. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить пользователям делать снимки экрана, а приложение Classroom может просматривать удаленные экраны.

Параметры применяются к: регистрация устройств, утвержденная пользователем, автоматическая регистрация устройств (защищенное)

  • Отложить обновления программного обеспечения. Этот параметр позволяет отложить видимость обновлений программного обеспечения на устройствах до 90 дней. Например, если Apple выпускает обновление macOS в определенную дату, оно, естественно, отображается на устройствах в течение даты выпуска. Этот параметр может скрыть обновление, чтобы пользователи не видели его, как только оно будет доступно.

    Этот параметр не управляет установкой обновлений и не влияет на запланированные обновления. Обновления начальной сборки разрешены без задержек.

    Чтобы использовать этот параметр, выберите обновления программного обеспечения, которые требуется отложить. Доступны следующие параметры:

    • Не настроено (по умолчанию): Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может отображать недавно выпущенные обновления программного обеспечения для пользователей сразу после выпуска.
    • Основные обновления программного обеспечения ОС. Основные обновления программного обеспечения ОС, такие как macOS 12, по умолчанию откладываются на 30 дней, если иное не указано в поле Задержка видимости основных обновлений программного обеспечения ОС . Требуется macOS 11.3 и более поздней версии.
    • Незначительные обновления программного обеспечения ОС. Незначительные обновления программного обеспечения ОС, такие как macOS 12.x, по умолчанию откладываются на 30 дней, если иное не указано в поле Задержка отслеживания дополнительных обновлений программного обеспечения ОС . Требуется macOS 11.3 и более поздней версии.
    • Обновления программного обеспечения, отличные от ОС. Обновления программного обеспечения, отличные от ОС, такие как обновления Safari, по умолчанию откладываются на 30 дней, если в поле Задержка отслеживания обновлений программного обеспечения, отличных от ОС , не указано иное. Требуется macOS 11.0 и более поздних версий.

    Затем введите время задержки каждого типа обновления от 1 до 90 дней. Например, если обновление macOS доступно 1 января, а видимость задержки — 5 дней, то обновление не отображается как доступное обновление. На шестой день после выпуска это обновление становится доступным, и пользователи получают уведомление об обновлении до самой ранней версии, доступной при активации задержки. Доступны следующие параметры:

    • Задержка видимости обновлений программного обеспечения по умолчанию. Введите число дней для задержки всех обновлений программного обеспечения с 1 до 90. Если ничего не ввести, обновления будут отложены на 30 дней по умолчанию. Intune переопределит это значение, если вы решите по отдельности отложить основные обновления ОС, дополнительных ОС или не относящихся к ОС.

    • Задержка видимости основных обновлений программного обеспечения ОС. Введите число дней для задержки всех основных обновлений программного обеспечения ОС с 1 до 90. Если ничего не ввести, обновления будут отложены на 30 дней по умолчанию. Это значение переопределяет значение в разделе Задержка видимости обновлений программного обеспечения по умолчанию.

      Данная функция применяется к:

      • macOS 11.3 и более поздней версии

    • Задержка видимости незначительных обновлений программного обеспечения ОС. Введите число дней для задержки всех незначительных обновлений программного обеспечения ОС с 1 до 90. Если ничего не ввести, обновления будут отложены на 30 дней по умолчанию. Это значение переопределяет значение в разделе Задержка видимости обновлений программного обеспечения по умолчанию.

      Данная функция применяется к:

      • macOS 11.3 и более поздней версии

    • Задержка видимости обновлений программного обеспечения, отличных от ОС. Введите количество дней для задержки всех обновлений программного обеспечения, отличных от ОС, с 1 до 90. Если ничего не ввести, обновления будут отложены на 30 дней по умолчанию. Это значение переопределяет значение в разделе Задержка видимости обновлений программного обеспечения по умолчанию.

      Данная функция применяется к:

      • macOS 11.0 и более поздней версии

    • Разрешить блокировку активации. Да, включает блокировку активации на защищенных устройствах macOS. Блокировка активации затрудняет повторную активацию потерянного или украденного устройства. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр.

      Данная функция применяется к:

      • macOS 10.15 или более поздней версии

Параметры, применяемые к: Автоматическая регистрация устройств

  • Отключить AirPlay, просмотр экрана в приложении Classroom и общий доступ к экрану. Да блокирует AirPlay и запрещает общий доступ к экрану на других устройствах. Это также запрещает преподавателям использовать приложение Classroom для просмотра экранов своих учащихся. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может позволить преподавателям просматривать экраны своих учащихся.

    Чтобы использовать этот параметр, установите для параметра Блокировать снимки экрана и запись экрана значение Не настроено (снимки экрана разрешены).

  • Разрешить приложению Classroom выполнять AirPlay и просматривать экран без запроса. Да позволяет преподавателям просматривать экраны своих учащихся без необходимости согласия учащихся. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может потребовать, чтобы учащиеся согласились, прежде чем преподаватели увидят экраны.

    Чтобы использовать этот параметр, установите для параметра Блокировать снимки экрана и запись экрана значение Не настроено (снимки экрана разрешены).

  • Требовать разрешение преподавателя, чтобы оставить приложение Classroom неуправляемым классом. Да заставляет учащихся, зачисленных в неуправляемый курс Classroom, получить разрешение преподавателя на выход из курса. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить учащимся покинуть курс всякий раз, когда учащийся выберет.

  • Разрешить Классу блокировать устройство без запроса. Да позволяет преподавателям блокировать устройство или приложение учащегося без согласия учащегося. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может потребовать, чтобы учащиеся согласились, прежде чем преподаватели смогут заблокировать устройство или приложение.

  • Учащиеся могут автоматически присоединиться к классу Classroom без запроса: Да позволяет учащимся присоединиться к классу без запроса преподавателя. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ос может потребовать утверждения преподавателем для присоединения к классу.

  • Блокировка изменения обоих. Значение Да запрещает пользователям изменять обои устройства. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить пользователям изменять обои.

    Данная функция применяется к:

    • macOS 10.13 и более поздние версии

  • Запретить пользователям стирать все содержимое и параметры на устройстве. Да отключает параметр сброса на защищенных устройствах. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить пользователям удалять все содержимое и параметры на устройстве.

    Данная функция применяется к:

    • macOS 12 или более поздних версий

Пароль

Эти параметры используют полезные данные секретного кода (открывается веб-сайт Apple).

Важно!

  • На устройствах macOS под управлением 10.14.2 и более поздних версий (за исключением всех версий macOS 10.15 Catalina) пользователям предлагается изменить пароль устройства при обновлении устройства до новой основной версии ОС. Это обновление пароля происходит один раз. После обновления пароля пользователями применяются все другие политики паролей. Если секретный код требуется хотя бы в одной политике, это поведение происходит только для пользователя локального компьютера.

  • При обновлении политики паролей все пользователи, работающие с этими версиями macOS, должны изменить пароль, даже если текущий пароль соответствует новым требованиям. Например, когда устройство macOS включается после обновления до новой основной версии ОС, такой как Big Sur (macOS 11) или Monterey (macOS 12), пользователям необходимо изменить пароль устройства, прежде чем они смогут войти в систему.

Параметры применяются к: Все типы регистрации

  • Требовать пароль. Да требует, чтобы пользователи вводли пароль для доступа к устройствам. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию для ОС может не требоваться пароль. Кроме того, он не накладывает никаких ограничений, таких как блокировка простых паролей или установка минимальной длины.

    • Обязательный тип пароля. Введите требуемый уровень сложности пароля, необходимый вашей организации. Если оставить пустым, Intune не изменяет или не обновляет этот параметр. Доступны следующие параметры:

      • Не настроено. Использует устройство по умолчанию.
      • Буквенно-цифровой: включает прописные буквы, строчные буквы и числовые символы.
      • Числовой. Пароль должен быть только числами, например 123456789.

      Данная функция применяется к:

      • macOS 10.10.3 и более поздней версии

    • Количество символов, не являющихся буквенно-цифровыми символами в пароле. Введите количество сложных символов, необходимых в пароле, от 0 до 4. Сложный символ — это символ, например ?. Если оставить пустым или задать значение Не настроено, Intune не изменяет или не обновляет этот параметр.

    • Минимальная длина пароля. Введите минимальную длину пароля( от 4 до 16 символов). Если оставить пустым, Intune не изменяет или не обновляет этот параметр.

    • Блокировать простые пароли. Да запрещает использование простых паролей, таких как 0000 или 1234. Если значение пустое или имеет значение Не настроено, Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешать использование простых паролей.

    • Максимальное время бездействия в минутах до блокировки экрана. Введите время, в течение времени, когда экран будет автоматически заблокирован. Например, введите 5 , чтобы заблокировать устройства после 5 минут простоя. Если значение пустое или имеет значение Не настроено, Intune не изменяет или не обновляет этот параметр.

    • Максимальное количество минут после блокировки экрана до того, как потребуется пароль: введите период времени, в течение времени, когда устройства должны быть неактивны, прежде чем пароль потребуется для его разблокировки. Если значение пустое или имеет значение Не настроено, Intune не изменяет или не обновляет этот параметр.

    • Срок действия пароля (в днях): введите количество дней, в течение которых необходимо изменить пароль устройства, с 1 до 65535. Например, введите 90 , чтобы срок действия пароля истек через 90 дней. По истечении срока действия пароля пользователям предлагается создать новый пароль. Если значение пустое или имеет значение Не настроено, Intune не изменяет или не обновляет этот параметр.

    • Запретить повторное использование предыдущих паролей. Запретить пользователям создавать ранее использованные пароли. Введите количество ранее использовавшихся паролей, которые нельзя использовать( от 1 до 24). Например, введите значение 5, чтобы пользователи не могли задать новый пароль для текущего или любого из предыдущих четырех паролей. Если значение пустое, Intune не изменяет или не обновляет этот параметр.

    • Максимально допустимые попытки входа. Введите максимальное число попыток последовательного входа пользователей, прежде чем устройство заблокирует пользователей( от 2 до 11). При превышении этого числа устройство блокируется. Рекомендуется не задавать для этого значения низкое число, например 2 или 3. Обычно пользователи вводит неправильный пароль. Рекомендуется задать более высокое значение.

      Например, введите 5 , чтобы пользователи могли ввести неправильный пароль до пяти раз. После пятой попытки устройство блокируется. Если оставить это значение пустым или не изменить его, оно 11 будет использоваться по умолчанию.

      После шести неудачных попыток macOS автоматически принуждает к задержке времени, прежде чем секретный код можно будет ввести снова. Задержка увеличивается с каждой попыткой. Задайте длительность блокировки , чтобы добавить задержку перед вводом следующего секретного кода.

      • Длительность блокировки. Введите количество минут, в течение которых выполняется блокировка, от 0 до 10 0000. Во время блокировки устройства экран входа неактивен, и пользователи не могут войти в систему. Когда блокировка завершится, пользователь может повторить попытку входа.

        Если оставить это значение пустым или не изменить его, 30 по умолчанию используются минуты.

        Этот параметр применяется к:

        • macOS 10.10 и более поздние версии.

  • Запретить пользователю изменять секретный код. Да запрещает изменение, добавление или удаление секретного кода. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешать добавлять, изменять или удалять секретные коды.

  • Блокировать Touch ID для разблокировки устройства. Значение Да запрещает использование отпечатков пальцев для разблокировки устройств. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить пользователям разблокировать устройство с помощью отпечатка пальца.

  • Время ожидания (часы бездействия): введите значение неактивных часов, в которые пользователи должны ввести свой пароль, а не TouchID.

    Период бездействия по умолчанию — 48 часов. После 48 часов бездействия устройство запрашивает пароль, а не Touch ID.

    Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может установить время ожидания в 48 часов (172 800 секунд).

    Данная функция применяется к:

    • macOS 12 или более поздних версий

  • Блокировать автозаполнение пароля. Значение Да запрещает использование функции автозаполнения паролей в macOS. Выбор параметра Да также оказывает следующее влияние:

    • Пользователям не предлагается использовать сохраненный пароль в Safari или в каких-либо приложениях.
    • Автоматические надежные пароли отключены, а надежные пароли не предлагаются пользователям.

    Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить эти функции.

  • Блокировать запросы на близкое расположение паролей. Значение Да запрещает устройствам запрашивать пароли с близлежащих устройств. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить эти запросы паролей.

  • Блокировать общий доступ к паролям. Да запрещает совместное использование паролей между устройствами с помощью AirDrop. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить общий доступ к паролям.

Параметры конфиденциальности

На устройствах macOS приложения и процессы часто запрашивают у пользователей разрешение или запрет доступа к функциям устройств, таким как камера, микрофон, календарь, папка "Документы" и т. д. Эти параметры позволяют администраторам предварительно утвердить или запретить доступ к этим функциям устройства. При настройке этих параметров вы управляете согласием на доступ к данным от имени пользователей. Ваши параметры переопределяют предыдущие решения.

Цель этих параметров — уменьшить количество запросов приложений и процессов.

Данная функция применяется к:

  • macOS 10.14 и более поздней версии
  • Некоторые параметры применяются к macOS 10.15 и более поздней версии.
  • Эти параметры применяются только на устройствах с установленным профилем параметров конфиденциальности перед обновлением.

Примечание.

Если вы разрешаете приложения с помощью политики, эти приложения не отображаются в параметрах системы (конфиденциальность и безопасность) на устройстве. Отображаются только приложения, разрешенные пользователями вручную.

Параметры применяются к: регистрация устройств, утвержденная пользователем, автоматическая регистрация устройств

  • Приложения и процессы. Добавление приложений или процессов для настройки доступа. Также введите:

    • Имя. Введите имя приложения или процесса. Например, введите Microsoft Remote Desktop или Microsoft 365.

    • Тип идентификатора: ваши параметры:

      • Идентификатор пакета. Выберите этот параметр для приложений.
      • Путь. Выберите этот параметр для двоичных файлов без пакетов, которые являются процессом или исполняемым файлом.

      Вспомогательные средства, внедренные в пакет приложений, автоматически наследуют разрешения их включаемого пакета приложений.

    • Идентификатор. Введите идентификатор пакета приложения или путь к файлу установки процесса или исполняемого файла. Например, введите com.contoso.appname.

      Чтобы получить идентификатор пакета приложения, выполните следующие действия:

      • Откройте приложение Терминал и выполните codesign команду . Эта команда идентифицирует сигнатуру кода. Таким образом, идентификатор пакета и подпись кода можно получить одновременно.
      • Для приложений, добавленных в Intune, можно использовать Центр администрирования Intune.

    • Требование к коду. Введите сигнатуру кода для приложения или процесса.

      Подпись кода создается, когда приложение или двоичный файл подписывается сертификатом разработчика. Чтобы найти обозначение, выполните codesign команду вручную в приложении терминала: codesign --display -r - /path/to/app/binary. Сигнатура кода — это все, что отображается после =>.

    • Включить статическую проверку кода. Выберите Да для приложения или процесса для статической проверки требования к коду. Если задано значение Не настроено, Intune не изменяет или не обновляет этот параметр.

      Включите этот параметр, только если процесс делает недействительным его динамический сигнатуру кода. В противном случае используйте Параметр Не настроен.

    • Блокировать камеру. Значение Да запрещает приложению доступ к системной камере. Вы не можете разрешить доступ к камере. Если задано значение Не настроено, Intune не изменяет или не обновляет этот параметр.

    • Блокировать микрофон. Значение Да запрещает приложению доступ к системным микрофонам. Вы не можете разрешить доступ к микрофону. Если задано значение Не настроено, Intune не изменяет или не обновляет этот параметр.

    • Блокировать запись на экране. Да запрещает приложению записывать содержимое системного дисплея. Вы не можете разрешить доступ к записи и захвату экрана. Если задано значение Не настроено, Intune не изменяет или не обновляет этот параметр.

      Требуется macOS 10.15 и более поздней версии.

    • Мониторинг блокируемых входных данных. Да запрещает приложению использовать API CoreGraphics и HID для прослушивания событий CGEvents и HID из всех процессов. Да также запрещает приложениям и процессам прослушивать и собирать данные с устройств ввода, таких как мышь, клавиатура или трекпад. Вы не можете разрешить доступ к API CoreGraphics и HID.

      Если задано значение Не настроено, Intune не изменяет или не обновляет этот параметр.

      Требуется macOS 10.15 и более поздней версии.

    • Распознавание речи: ваши параметры:

      • Не настроено — Intune не изменяет или не обновляет этот параметр.
      • Разрешить: позволяет приложению получать доступ к системной системе распознавания речи и отправлять речевые данные в Apple.
      • Блокировать. Запрещает приложению доступ к системе распознавания речи и запрещает отправку речевых данных в Apple.

      Требуется macOS 10.15 и более поздней версии.

    • Специальные возможности: ваши параметры:

      • Не настроено — Intune не изменяет или не обновляет этот параметр.
      • Разрешить: позволяет приложению получить доступ к приложению со специальными возможностями системы. Это приложение включает в себя скрытые субтитры, текст при наведении указателя мыши и голосовое управление.
      • Блокировать. Запрещает приложению доступ к приложению со специальными возможностями системы.

    • Контакты: ваши варианты:

      • Не настроено — Intune не изменяет или не обновляет этот параметр.
      • Разрешить: позволяет приложению получать доступ к контактным данным, управляемым системным приложением "Контакты".
      • Блокировать. Запрещает приложению доступ к этой контактной информации.

    • Календарь: ваши параметры:

      • Не настроено — Intune не изменяет или не обновляет этот параметр.
      • Разрешить: позволяет приложению получать доступ к сведениям календаря, управляемым системным приложением "Календарь".
      • Блокировать. Запрещает приложению доступ к данным календаря.

    • Напоминания: ваши варианты:

      • Не настроено — Intune не изменяет или не обновляет этот параметр.
      • Разрешить: позволяет приложению получать доступ к информации о напоминаниях, управляемой системным приложением Напоминания.
      • Блокировать. Запрещает приложению доступ к этой информации напоминания.

    • Фотографии: Ваши варианты:

      • Не настроено — Intune не изменяет или не обновляет этот параметр.
      • Разрешить: позволяет приложению получать доступ к изображениям, управляемым системным приложением "Фотографии" в ~/Pictures/.photoslibrary.
      • Блокировать. Запрещает приложению доступ к этим изображениям.

    • Библиотека мультимедиа: ваши параметры:

      • Не настроено — Intune не изменяет или не обновляет этот параметр.
      • Разрешить. Позволяет приложению получать доступ к Apple Music, музыкальным и видеоматериалам, а также к библиотеке мультимедиа.
      • Блокировать. Запрещает приложению доступ к этому носителю.

      Требуется macOS 10.15 и более поздней версии.

    • Наличие поставщика файлов. Доступные варианты:

      • Не настроено — Intune не изменяет или не обновляет этот параметр.
      • Разрешить: позволяет приложению получить доступ к приложению поставщика файлов и знать, когда пользователи используют файлы, управляемые поставщиком файлов. Приложение поставщика файлов позволяет другим приложениям поставщика файлов получать доступ к документам и каталогам, хранящимся и управляемым содержащим приложением.
      • Блокировать. Запрещает приложению доступ к приложению поставщика файлов.

      Требуется macOS 10.15 и более поздней версии.

    • Полный доступ к диску: доступны следующие параметры:

      • Не настроено — Intune не изменяет или не обновляет этот параметр.
      • Разрешить: позволяет приложению получать доступ ко всем защищенным файлам, включая файлы системного администрирования. Примените этот параметр с осторожностью.
      • Блокировать. Запрещает приложению доступ к этим защищенным файлам.

    • Файлы системного администратора: ваши параметры:

      • Не настроено — Intune не изменяет или не обновляет этот параметр.
      • Разрешить: позволяет приложению получать доступ к некоторым файлам, используемым в системном администрировании.
      • Блокировать. Запрещает приложению доступ к этим файлам.

    • Папка рабочего стола: параметры:

      • Не настроено — Intune не изменяет или не обновляет этот параметр.
      • Разрешить: позволяет приложению получать доступ к файлам в папке "Рабочий стол" пользователя.
      • Блокировать. Запрещает приложению доступ к этим файлам.

      Требуется macOS 10.15 и более поздней версии.

    • Папка "Документы": доступные параметры:

      • Не настроено — Intune не изменяет или не обновляет этот параметр.
      • Разрешить: позволяет приложению получать доступ к файлам в папке "Документы" пользователя.
      • Блокировать. Запрещает приложению доступ к этим файлам.

      Требуется macOS 10.15 и более поздней версии.

    • Папка "Загрузки": доступные параметры:

      • Не настроено — Intune не изменяет или не обновляет этот параметр.
      • Разрешить: позволяет приложению получать доступ к файлам в папке "Загрузки" пользователя.
      • Блокировать. Запрещает приложению доступ к этим файлам.

      Требуется macOS 10.15 и более поздней версии.

    • Тома сети: доступны следующие параметры:

      • Не настроено — Intune не изменяет или не обновляет этот параметр.
      • Разрешить: позволяет приложению получать доступ к файлам на томах сети.
      • Блокировать. Запрещает приложению доступ к этим файлам.

      Требуется macOS 10.15 и более поздней версии.

    • Съемные тома. Возможные варианты:

      • Не настроено — Intune не изменяет или не обновляет этот параметр.
      • Разрешить: позволяет приложению получать доступ к файлам на съемных томах, таких как жесткий диск.
      • Блокировать. Запрещает приложению доступ к этим файлам.

      Требуется macOS 10.15 и более поздней версии.

    • Системные события: ваши параметры:

      • Не настроено — Intune не изменяет или не обновляет этот параметр.
      • Разрешить. Позволяет приложению использовать API CoreGraphics для отправки CGEvent в поток событий системы.
      • Блокировать. Запрещает приложению использовать API CoreGraphics для отправки событий CGEvent в поток системных событий.

    • События Apple. Этот параметр позволяет приложениям отправлять ограниченное событие Apple в другое приложение или процесс. Нажмите кнопку Добавить , чтобы добавить принимающее приложение или процесс. Введите следующие сведения о принимающем приложении или процессе:

      • Тип идентификатора: выберите Идентификатор пакета , если получающий идентификатор является приложением. Выберите Путь, если идентификатор получения является процессом или исполняемым файлом.

      • Идентификатор. Введите идентификатор пакета приложений или путь установки процесса, получающего событие Apple.

      • Требование к коду. Введите сигнатуру кода для принимающего приложения или процесса.

        Подпись кода создается, когда приложение или двоичный файл подписывается сертификатом разработчика. Чтобы найти обозначение, выполните codesign команду вручную в приложении терминала: codesign --display -r -/path/to/app/binary. Сигнатура кода — это все, что отображается после =>.

      • Доступ. Разрешите отправку события Apple для macOS в принимающее приложение или процесс. Доступны следующие параметры:

        • Не настроено: Intune не изменяет или не обновляет этот параметр.
        • Разрешить: позволяет приложению или процессу отправлять ограниченное событие Apple в принимающее приложение или процесс.
        • Блокировать. Запрещает приложению или процессу отправлять ограниченное событие Apple в принимающее приложение или процесс.

    • Сохраните внесенные изменения.

Ограниченные приложения

Параметры применяются к: Все типы регистрации

Параметры ограниченных приложений не запрещают пользователям устанавливать и открывать определенные приложения. Вместо этого устройства с установленными ограниченными приложениями заполняют отчет Устройства с ограниченными приложениями в Центре администрирования Intune (Монитор устройств>).

  • Тип списка ограниченных приложений: Create список приложений, которые пользователям не разрешено устанавливать или использовать. Доступны следующие параметры:

    • Не настроено (по умолчанию): Intune не изменяет или не обновляет этот параметр. По умолчанию пользователи могут иметь доступ к назначенным приложениям и встроенным приложениям.

    • Утвержденные приложения: список приложений, которые пользователи могут устанавливать. Пользователи не должны устанавливать другие приложения. Если пользователи устанавливают приложения, которые не разрешены, об этом сообщается в Intune. Приложения, управляемые Intune, автоматически разрешаются, включая приложение Корпоративный портал. Пользователям не запрещается устанавливать приложение, которое отсутствует в списке утвержденных.

      Если установлено приложение, которое отсутствует в списке утвержденных приложений, параметр ограниченных приложений сообщает об ошибке.

    • Запрещенные приложения: список приложений (не управляемых Intune), которые пользователи не могут устанавливать и запускать. Пользователям не запрещается устанавливать запрещенное приложение. Если пользователь устанавливает приложение из этого списка, оно отображается в Intune.

      Если установлено приложение, которое находится в списке запрещенных приложений, параметр ограниченных приложений сообщает об ошибке.

  • Список приложений: добавьте приложения в список:

    • Идентификатор пакета приложения. Введите идентификатор пакета приложения. Вы можете добавлять встроенные и бизнес-приложения.

      Чтобы получить идентификатор пакета, выполните следующие действия:

      Чтобы найти URL-адрес приложения, откройте App Store iTunes и найдите приложение. Например, выполните поиск по запросу Microsoft Remote Desktop или Microsoft Word. Выберите приложение и скопируйте URL-адрес. Вы также можете использовать iTunes для поиска приложения, а затем использовать задачу "Копировать ссылку" для получения URL-адреса приложения.

    • Имя приложения. Введите понятное имя, чтобы определить идентификатор пакета. Например, введите Intune Company Portal app.

    • Издатель. Введите издателя приложения.

  • Импортируйте CSV-файл с подробными сведениями о приложении, включая URL-адрес. <app bundle ID>, <app name>, <app publisher> Используйте формат . Или экспорт , чтобы создать список добавленных приложений в том же формате.

Дальнейшие действия

Назначьте профиль и отслеживайте его состояние.

Вы также можете ограничить возможности и параметры устройств на устройствах iOS/iPadOS .