Dela via


inställningar för slutpunktsskydd för macOS i Intune

Viktigt

Mallen för slutpunktsskydd i macOS har blivit inaktuell. Befintliga principer förblir oförändrade, men du kan inte längre skapa nya principer med den här mallen. > Använd i stället något av följande alternativ:

Den här artikeln visar de inställningar för slutpunktsskydd som du kan konfigurera för enheter som kör macOS. Du konfigurerar de här inställningarna med hjälp av en macOS-enhetskonfigurationsprofil för slutpunktsskydd i Intune.

Innan du börjar

Skapa en macOS-slutpunktsskyddsprofil.

FileVault

Mer information om Apple FileVault-inställningar finns i FDEFileVault i Apple-utvecklarinnehållet.

Viktigt

Från och med macOS 10.15 kräver FileVault-konfiguration användargodkänd MDM-registrering.

  • Aktivera FileVault

    Du kan aktivera fullständig diskkryptering med XTS-AES 128 med FileVault på enheter som kör macOS 10.13 och senare.

    • Inte konfigurerad (standard)
    • Ja

    När Aktivera FileVault har angetts till Ja genereras en personlig återställningsnyckel för enheten under krypteringen, och följande inställningar gäller för den nyckeln:

    • Beskrivning av depositionsplats för personlig återställningsnyckel

      Ange ett kort meddelande till användaren som förklarar hur och var de kan hämta sin personliga återställningsnyckel. Den här texten infogas i meddelandet som användaren ser på inloggningsskärmen när de uppmanas att ange sin personliga återställningsnyckel om ett lösenord glöms bort.

    • Rotation av personlig återställningsnyckel

      Ange hur ofta den personliga återställningsnyckeln för en enhet ska roteras. Du kan välja standardvärdet Inte konfigurerad eller värdet 1 till 12 månader.

    • Dölj återställningsnyckel

      Välj att dölja den personliga nyckeln från en enhetsanvändare under FileVault 2-kryptering.

      • Inte konfigurerad (standard) – Den personliga nyckeln är synlig för enhetsanvändaren under krypteringen.
      • Ja – Den personliga nyckeln är dold för enhetsanvändaren under krypteringen.

      Efter krypteringen kan enhetsanvändare visa sin personliga återställningsnyckel för en krypterad macOS-enhet från följande platser:

      • Företagsportalapp för iOS/iPadOS
      • Intune app
      • företagsportalens webbplats
      • Android-företagsportalapp

      Om du vill visa nyckeln går du till enhetsinformation för den krypterade macOS-enheten från appen eller webbplatsen och väljer Hämta återställningsnyckel.

    • Inaktivera fråga vid utloggning

      Förhindra uppmaningen till användaren som begär att de aktiverar FileVault när de loggar ut. När det är inställt på Inaktivera inaktiveras uppmaningen vid utloggning och i stället uppmanas användaren att göra det när de loggar in.

      • Inte konfigurerad (standard)
      • Ja – Inaktivera uppmaningen vid utloggning.
    • Antal gånger som tillåts kringgå

      Ange hur många gånger en användare kan ignorera uppmaningar om att aktivera FileVault innan FileVault krävs för att användaren ska kunna logga in.

      • Inte konfigurerad – Kryptering på enheten krävs innan nästa inloggning tillåts.
      • 0 – Kräv att enheter krypteras nästa gång en användare loggar in på enheten.
      • 1 till 10 – Tillåt att en användare ignorerar uppmaningen från 1 till 10 gånger innan kryptering krävs på enheten.
      • Ingen gräns, fråga alltid – Användaren uppmanas att aktivera FileVault men kryptering krävs aldrig.
      • Inaktivera – inaktiverar funktionen.

      Standardvärdet för den här inställningen beror på konfigurationen av Inaktivera fråga vid utloggning. När Inaktivera fråga vid utloggning är inställt på Inte konfigurerad, är den här inställningen standardinställningen Inte konfigurerad. När Inaktivera fråga vid utloggning är inställt på Ja är den här inställningen standardvärdet 1 och värdet Inte konfigurerad är inte ett alternativ.

Brandvägg

Använd brandväggen för att styra anslutningar per program i stället för per port. Genom att använda inställningar per program blir det enklare att få fördelarna med brandväggsskydd. Det hjälper också till att förhindra att oönskade appar tar kontroll över nätverksportar som är öppna för legitima appar.

  • Aktivera brandvägg

    Aktivera brandväggen på macOS och konfigurera sedan hur inkommande anslutningar hanteras i din miljö.

    • Inte konfigurerad (standard)
    • Ja
  • Blockera alla inkommande anslutningar

    Blockera alla inkommande anslutningar förutom de anslutningar som krävs för grundläggande Internettjänster, till exempel DHCP, Bonjour och IPSec. Den här funktionen blockerar även alla delningstjänster, till exempel fildelning och skärmdelning. Om du använder delningstjänster behåller du den här inställningen som Inte konfigurerad.

    • Inte konfigurerad (standard)
    • Ja

    När du anger Blockera alla inkommande anslutningar till Inte konfigurerad kan du sedan konfigurera vilka appar som kan eller inte kan ta emot inkommande anslutningar.

    Tillåtna appar: Konfigurera en lista över appar som tillåts ta emot inkommande anslutningar.

    Appar blockerade: Konfigurera en lista över appar som har blockerade inkommande anslutningar.

  • Aktivera dolt läge

    Om du vill förhindra att datorn svarar på avsökningsbegäranden aktiverar du dolt läge. Enheten fortsätter att svara på inkommande begäranden för auktoriserade appar. Oväntade begäranden, till exempel ICMP (ping), ignoreras.

    • Inte konfigurerad (standard)
    • Ja

Gatekeeper

  • Tillåt att appar laddas ned från dessa platser

    Begränsa vilka appar en enhet kan starta, beroende på varifrån apparna laddades ned. Avsikten är att skydda enheter från skadlig kod och endast tillåta appar från de källor som du litar på.

    • Inte konfigurerad (standard)
    • Mac App Store
    • Mac App Store och identifierade utvecklare
    • Någonstans
  • Tillåt inte att användaren åsidosätter Gatekeeper

    Hindrar användare från att åsidosätta gatekeeper-inställningen och förhindrar användare från att kontrollera och klicka för att installera en app. När den är aktiverad kan användarna inte kontrollera och klicka på någon app för att installera den.

    • Inte konfigurerad (standard) – Användare kan kontrollera och klicka för att installera appar.
    • Ja – Hindrar användare från att använda Kontrollklick för att installera appar.

Nästa steg

Tilldela sedan profilen och övervaka dess status.

Du kan också konfigurera slutpunktsskydd på Windows 10 och Windows 11 enheter.