Параметры защиты конечных точек macOS в Intune

В этой статье показаны параметры защиты конечных точек, которые можно настроить для устройств под управлением macOS. Эти параметры настраивается с помощью профиля конфигурации устройства macOS для защиты конечных точек в Intune.

Перед началом работы

Create профиль защиты конечной точки macOS.

FileVault

Дополнительные сведения о параметрах Apple FileVault см. в разделе FDEFileVault в содержимом для разработчиков Apple.

Важно!

С версии macOS 10.15 для конфигурации FileVault требуется регистрация MDM, утвержденная пользователем.

• Включение FileVault

  Полное шифрование дисков можно включить с помощью XTS-AES 128 с FileVault на устройствах под управлением macOS 10.13 и более поздних версий.

  • Не настроено (по умолчанию)
  • Да

  Если параметр Включить FileVault имеет значение Да, во время шифрования для устройства создается личный ключ восстановления, и к нему применяются следующие параметры:

  • Описание расположения депонирования личного ключа восстановления

    Укажите пользователю короткое сообщение, в котором объясняется, как и где можно получить личный ключ восстановления. Этот текст вставляется в сообщение, которое пользователь видит на экране входа при запросе на ввод личного ключа восстановления, если пароль забыт.

  • Смена личного ключа восстановления

    Укажите частоту смены личного ключа восстановления для устройства. Можно выбрать значение по умолчанию Не настроено или значение от 1 до 12 месяцев.

  • Скрытие ключа восстановления

    Выберите, чтобы скрыть личный ключ от пользователя устройства во время шифрования FileVault 2.

    • Не настроено (по умолчанию) — личный ключ отображается пользователю устройства во время шифрования.
    • Да — личный ключ скрыт от пользователя устройства во время шифрования.

    После шифрования пользователи устройств могут просматривать свой личный ключ восстановления для зашифрованного устройства macOS из следующих расположений:

    • Приложение корпоративного портала iOS/iPadOS
    • Приложение Intune
    • веб-сайт корпоративного портала
    • Приложение корпоративного портала Android

    Чтобы просмотреть ключ, в приложении или на веб-сайте перейдите к сведениям об устройстве зашифрованного устройства macOS и выберите получить ключ восстановления.

  • Отключение запроса при выходе из системы

    Запретить пользователю запрос на включение FileVault при выходе. Если задано значение Отключить, запрос при выходе отключается, а вместо этого пользователю будет предложено выполнить вход.

    • Не настроено (по умолчанию)
    • Да — отключить запрос при выходе.

  • Количество раз, разрешенных для обхода

    Задайте количество случаев, когда пользователь может игнорировать запросы на включение FileVault, прежде чем FileVault потребуется для входа пользователя.

    • Не настроено — шифрование на устройстве требуется, прежде чем будет разрешен следующий вход.
    • 0 — требовать, чтобы устройства шифровыылись при следующем входе пользователя на устройство.
    • От 1 до 10 — разрешить пользователю игнорировать запрос от 1 до 10 раз, прежде чем требовать шифрования на устройстве.
    • Нет ограничений, всегда запрашивает — пользователю предлагается включить FileVault, но шифрование никогда не требуется.
    • Отключить — отключает функцию.

    Значение по умолчанию для этого параметра зависит от конфигурации параметра Отключить запрос при выходе. Если параметр Отключить запрос при выходе имеет значение Не настроено, этот параметр по умолчанию имеет значение Не настроено. Если параметр Отключить запрос при выходе имеет значение Да, этот параметр по умолчанию имеет значение 1 , а значение Не настроено не является параметром.

Брандмауэр

Используйте брандмауэр для управления подключениями для каждого приложения, а не для порта. Использование параметров для каждого приложения упрощает получение преимуществ защиты брандмауэра. Это также помогает предотвратить получение нежелательными приложениями контроля над сетевыми портами, открытыми для законных приложений.

• Включить брандмауэр

  Включите брандмауэр в macOS и настройте способ обработки входящих подключений в вашей среде.

  • Не настроено (по умолчанию)
  • Да

• Блокировка всех входящих подключений

  Блокировать все входящие подключения, кроме подключений, необходимых для базовых служб Интернета, таких как DHCP, Bonjour и IPSec. Эта функция также блокирует все службы общего доступа, такие как общий доступ к файлам и общий доступ к экрану. Если вы используете службы общего доступа, оставьте этот параметр как Не настроено.

  • Не настроено (по умолчанию)
  • Да

  Если для параметра Блокировать все входящие подключениязадано значение Не настроено, можно настроить, какие приложения могут или не могут получать входящие подключения.

  Разрешенные приложения. Настройте список приложений, которым разрешено получать входящие подключения.

  • Добавление приложений по идентификатору пакета. Введите идентификатор пакета приложения.

    Чтобы получить идентификатор пакета приложения, выполните следующие действия:

    • Используйте приложение Терминала и AppleScript: osascript -e 'id of app "AppName".
    • На веб-сайте Apple есть список встроенных приложений Apple.
    • Для приложений, добавленных в Intune, можно использовать Центр администрирования Intune.

  • Добавить приложение магазина. Выберите приложение магазина, добавленное ранее в Intune. Дополнительные сведения см. в статье Добавление приложений в Microsoft Intune.

  Заблокированные приложения. Настройте список приложений, для которых заблокированы входящие подключения.

  • Добавление приложений по идентификатору пакета. Введите идентификатор пакета приложения.

    Чтобы получить идентификатор пакета приложения, выполните следующие действия:

    • Используйте приложение Терминала и AppleScript: osascript -e 'id of app "AppName".
    • На веб-сайте Apple есть список встроенных приложений Apple.
    • Для приложений, добавленных в Intune, можно использовать Центр администрирования Intune.

  • Добавить приложение магазина. Выберите приложение магазина, добавленное ранее в Intune. Дополнительные сведения см. в статье Добавление приложений в Microsoft Intune.

• Включение скрытого режима

  Чтобы предотвратить реагирование компьютера на запросы проверки, включите невидимый режим. Устройство продолжает отвечать на входящие запросы для авторизованных приложений. Непредвиденные запросы, такие как ICMP (ping), игнорируются.

  • Не настроено (по умолчанию)
  • Да

Привратника

• Разрешить скачивание приложений из этих расположений

  Ограничьте приложения, которые может запускать устройство, в зависимости от того, откуда они были скачаны. Цель состоит в том, чтобы защитить устройства от вредоносных программ и разрешить приложения только из источников, которым вы доверяете.

  • Не настроено (по умолчанию)
  • Выпуск из магазина приложений Mac App Store
  • Mac App Store и идентифицированных разработчиков
  • Любом месте

• Не разрешайте пользователю переопределять Gatekeeper

  Запрещает пользователям переопределять параметр Привратника и запрещает пользователям щелкать по клавише Control для установки приложения. Если этот параметр включен, пользователи не смогут щелкнуть любое приложение, чтобы установить его, щелкнув элемент Control.

  • Не настроено (по умолчанию) — пользователи могут щелкнуть элемент Control для установки приложений.
  • Да — запрещает пользователям использовать control-click для установки приложений.

Дальнейшие действия

Назначьте профиль и отслеживайте его состояние.

Вы также можете настроить защиту конечных точек на Windows 10 и Windows 11 устройствах.