Intune 中的macOS端點保護設定

重要事項

macOS Endpoint Protection 範本已被取代。 現有的原則保持不變，但您無法再使用此範本建立新的原則。 > 請改用下列其中一個選項：

• 使用端點安全策略，例如 Filevault 的 磁碟加密 或 防火牆 原則。
• 使用 [設定] 目錄來建立 FileVault、Firewall 和 System Policy Control (Gatekeeper) 承載的新設定原則。 如需詳細資訊，請參閱 macOS設定目錄。

本文說明您可以為執行 macOS 的裝置設定的端點保護設定。 您可以在 Intune 中使用macOS裝置組態設定檔進行端點保護，以設定這些設定。

開始之前

建立 macOS Endpoint Protection 配置檔。

FileVault

如需 Apple FileVault 設定的詳細資訊，請參閱 Apple 開發人員內容中的 FDEFileVault 。

重要事項

從 macOS 10.15 開始，FileVault 設定需要使用者核准的 MDM 註冊。

• 啟用 FileVault

  您可以在執行 macOS 10.13 和更新版本的裝置上使用 XTS-AES 128 搭配 FileVault 來啟 用完整磁碟加密。

  • 未設定 默 認 ()
  • 是

  當 [啟用 FileVault ] 設定為 [ 是] 時，會在加密期間為裝置產生個人修復密鑰，並將下列設定套用至該金鑰：

  • 個人修復金鑰的委付位置描述

    指定簡短訊息給使用者，說明他們如何以及在何處擷取其個人修復密鑰。 當系統提示您在忘記密碼時輸入其個人修復金鑰時，此文字會插入使用者在其登入畫面上看到的訊息中。

  • 個人修復金鑰輪替

    指定裝置的個人修復金鑰旋轉頻率。 您可以選取 [ 未設定] 的預設值，或 1 到 12 個月的值。

  • 隱藏修復金鑰

    選擇在 FileVault 2 加密期間隱藏裝置使用者的個人金鑰。

    • 未設定 (預設) – 裝置使用者會在加密期間看到個人密鑰。
    • 是 -個人金鑰會在加密期間向裝置用戶隱藏。

    加密之後，裝置使用者可以從下列位置檢視其加密macOS裝置的個人修復密鑰：

    • iOS/iPadOS 公司入口網站應用程式
    • Intune 應用程式
    • 公司入口網站
    • Android 公司入口網站應用程式

    若要檢視金鑰，請從應用程式或網站移至加密 macOS 裝置的裝置詳細數據，然後選 取 [取得修復金鑰]。

  • 停用註銷時的提示

    防止使用者在註銷時要求他們啟用 FileVault 的提示。當設定為 [停用] 時，會停用註銷時的提示，而會在使用者登入時收到提示。

    • 未設定 默 認 ()
    • 是 - 停用註銷時的提示。

  • 允許略過的次數

    在使用者需要 FileVault 登入之前，設定使用者可以忽略提示以啟用 FileVault 的次數。

    • 未設定 - 在允許下一次登入之前，需要在裝置上加密。
    • 0 - 下次使用者登入裝置時，需要裝置加密。
    • 1 到 10 - 允許使用者在裝置上要求加密之前，先忽略 1 到 10 次的提示。
    • 沒有限制，一律提示 - 系統會提示使用者啟用 FileVault，但永遠不需要加密。
    • 停用 - 停用功能。

    此設定的預設值取決於註銷 時停用提示的設定。當 [註銷時停用提示 ] 設定為 [ 未設定] 時，此設定預設為 [未設定]。 當 [註銷時停用提示 ] 設定為 [ 是] 時，此設定預設為 1 ，而 [ 未設定 ] 的值不是選項。

防火牆

使用防火牆來控制每個應用程式的連線，而不是每個埠的連線。 使用個別應用程式設定可讓您更輕鬆地獲得防火牆保護的優點。 它也有助於防止不想要的應用程式控制針對合法應用程式開啟的網路埠。

• 啟用防火牆

  在macOS上使用防火牆，然後設定在環境中處理連入連線的方式。

  • 未設定 默 認 ()
  • 是

• 封鎖所有連入連線

  封鎖所有連入連線，但基本因特網服務所需的連線除外，例如 DHCP、Bonjour 和 IPSec。 此功能也會封鎖所有共用服務，例如檔案共享和屏幕共用。 如果您使用共用服務，請將此設定保持為 [未設定]。

  • 未設定 默 認 ()
  • 是

  當您將 [封鎖所有連入連線 ] 設定為 [ 未設定] 時，您可以設定哪些應用程式可以或無法接收傳入連線。

  允許的應用程式：設定允許接收連入連線的應用程式清單。

  • 依套件組合標識碼新增應用程式：輸入應用程式的 套件組合標識 碼。

    若要取得應用程式套件組合識別碼：

    • 使用終端機應用程式和 AppleScript： osascript -e 'id of app "AppName"。
    • Apple 的網站有 內建 Apple 應用程式的清單。
    • 針對新增至 Intune 的應用程式，您可以使用 Intune 系統管理中心。

  • 新增市集應用程式：選取您先前在 Intune 中新增的市集應用程式。 如需詳細資訊，請參閱將應用程式新增至 Microsoft Intune。

  封鎖的應用程式：設定封鎖連入連線的應用程式清單。

  • 依套件組合標識碼新增應用程式：輸入應用程式的 套件組合標識 碼。

    若要取得應用程式套件組合識別碼：

    • 使用終端機應用程式和 AppleScript： osascript -e 'id of app "AppName"。
    • Apple 的網站有 內建 Apple 應用程式的清單。
    • 針對新增至 Intune 的應用程式，您可以使用 Intune 系統管理中心。

  • 新增市集應用程式：選取您先前在 Intune 中新增的市集應用程式。 如需詳細資訊，請參閱將應用程式新增至 Microsoft Intune。

• 啟用隱形模式

  若要防止計算機回應探查要求，請啟用隱形模式。 裝置會繼續回應授權應用程式的傳入要求。 系統會忽略非預期的要求，例如ICMP (ping) 。

  • 未設定 默 認 ()
  • 是

把關

• 允許從這些位置下載的應用程式

  根據下載應用程式的位置，限制裝置可以啟動的應用程式。 其目的是要保護裝置免於遭受惡意代碼攻擊，並只允許來自您信任來源的應用程式。

  • 未設定 默 認 ()
  • Mac App Store
  • Mac App Store 和識別的開發人員
  • 無論何處

• 不允許使用者覆寫閘道守衛

  防止使用者覆寫 Gatekeeper 設定，並防止使用者按兩下 [控制] 來安裝應用程式。 啟用時，使用者無法按兩下 [控制] 按下任何應用程式來安裝它。

  • 未設定 (預設) - 使用者可以按下 [控制] 以安裝應用程式。
  • 是 - 防止使用者使用 [按兩下控件] 安裝應用程式。

後續步驟

指派設定檔 並 監視其狀態。

您也可以在 Windows 10 和 Windows 11 裝置上設定端點保護。