Partager via

Paramètres de protection de point de terminaison macOS dans Intune

  • Article

Importante

Le modèle de protection de point de terminaison macOS a été déconseillé. Les stratégies existantes restent inchangées, mais vous ne pouvez plus en créer à l’aide de ce modèle. > Utilisez plutôt l’une des options suivantes :

  • Utilisez des stratégies de sécurité de point de terminaison telles que le chiffrement de disque pour FileVault ou la stratégie de pare-feu .
  • Utilisez le catalogue Paramètres pour créer de nouvelles stratégies de configuration pour les charges utiles FileVault, Firewall et System Policy Control (Gatekeeper). Pour plus d’informations, consultez catalogue de paramètres macOS.

Cet article présente les paramètres endpoint protection que vous pouvez configurer pour les appareils qui exécutent macOS. Vous configurez ces paramètres à l’aide d’un profil de configuration d’appareil macOS pour Endpoint Protection dans Intune.

Avant de commencer

Créez un profil de protection de point de terminaison macOS.

FileVault

Pour plus d’informations sur les paramètres d’Apple FileVault, consultez FDEFileVault dans le contenu du développeur Apple.

Importante

Depuis macOS 10.15, la configuration de FileVault nécessite une inscription GPM approuvée par l’utilisateur.

  • Activer FileVault

    Vous pouvez activer le chiffrement de disque complet à l’aide de XTS-AES 128 avec FileVault sur les appareils qui exécutent macOS 10.13 et versions ultérieures.

    • Non configuré (par défaut)
    • Oui

    Lorsque l’option Activer FileVault est définie sur Oui, une clé de récupération personnelle est générée pour l’appareil pendant le chiffrement, et les paramètres suivants s’appliquent à cette clé :

    • Description de l’emplacement d’entiercement de la clé de récupération personnelle

      Spécifiez un court message à l’utilisateur qui explique comment et où il peut récupérer sa clé de récupération personnelle. Ce texte est inséré dans le message que l’utilisateur voit sur son écran de connexion lorsqu’il est invité à entrer sa clé de récupération personnelle si un mot de passe est oublié.

    • Rotation de la clé de récupération personnelle

      Spécifiez la fréquence de rotation de la clé de récupération personnelle pour un appareil. Vous pouvez sélectionner la valeur par défaut Non configuré ou une valeur de 1 à 12 mois.

    • Masquer la clé de récupération

      Choisissez de masquer la clé personnelle d’un utilisateur d’appareil pendant le chiffrement FileVault 2.

      • Non configuré (par défaut) : la clé personnelle est visible par l’utilisateur de l’appareil pendant le chiffrement.
      • Oui : la clé personnelle est masquée à l’utilisateur de l’appareil pendant le chiffrement.

      Après le chiffrement, les utilisateurs de l’appareil peuvent afficher leur clé de récupération personnelle pour un appareil macOS chiffré à partir des emplacements suivants :

      • Application portail d’entreprise iOS/iPadOS
      • Application Intune
      • site web du portail d’entreprise
      • Application portail d’entreprise Android

      Pour afficher la clé, à partir de l’application ou du site web, accédez aux détails de l’appareil macOS chiffré et sélectionnez Obtenir la clé de récupération.

    • Désactiver l’invite de déconnexion

      Empêchez l’invite à l’utilisateur qui demande qu’il active FileVault lorsqu’il se déconnecte. Lorsqu’il est défini sur Désactiver, l’invite de déconnexion est désactivée et l’utilisateur est invité à se connecter.

      • Non configuré (par défaut)
      • Oui : désactivez l’invite lors de la déconnexion.

    • Nombre de fois autorisées à contourner

      Définissez le nombre de fois où un utilisateur peut ignorer les invites pour activer FileVault avant que FileVault ne soit requis pour que l’utilisateur se connecte.

      • Non configuré : le chiffrement sur l’appareil est requis avant que la prochaine connexion soit autorisée.
      • 0 - Exiger que les appareils chiffrent la prochaine fois qu’un utilisateur se connecte à l’appareil.
      • 1 à 10 : autoriser un utilisateur à ignorer l’invite de 1 à 10 fois avant d’exiger le chiffrement sur l’appareil.
      • Aucune limite, toujours demander : l’utilisateur est invité à activer FileVault, mais le chiffrement n’est jamais nécessaire.
      • Désactiver : désactive la fonctionnalité.

      La valeur par défaut de ce paramètre dépend de la configuration de l’invite Désactiver lors de la déconnexion. Lorsque Désactiver l’invite de déconnexion est défini sur Non configuré, ce paramètre est défini par défaut sur Non configuré. Lorsque Désactiver l’invite de déconnexion est défini sur Oui, ce paramètre est défini par défaut sur 1 et la valeur Non configuré n’est pas une option.

Pare-feu

Utilisez le pare-feu pour contrôler les connexions par application, plutôt que par port. L’utilisation des paramètres par application facilite l’obtention des avantages de la protection du pare-feu. Il permet également d’empêcher les applications indésirables de prendre le contrôle des ports réseau ouverts pour les applications légitimes.

  • Activer le pare-feu

    Activez l’utilisation du pare-feu sur macOS, puis configurez la façon dont les connexions entrantes sont gérées dans votre environnement.

    • Non configuré (par défaut)
    • Oui

  • Bloquer toutes les connexions entrantes

    Bloquez toutes les connexions entrantes, à l’exception des connexions requises pour les services Internet de base, tels que DHCP, Bonjour et IPSec. Cette fonctionnalité bloque également tous les services de partage, tels que le partage de fichiers et le partage d’écran. Si vous utilisez des services de partage, conservez ce paramètre sur Non configuré.

    • Non configuré (par défaut)
    • Oui

    Lorsque vous définissez Bloquer toutes les connexions entrantes sur Non configuré, vous pouvez configurer les applications qui peuvent ou ne peuvent pas recevoir les connexions entrantes.

    Applications autorisées : configurez une liste d’applications autorisées à recevoir des connexions entrantes.

    Applications bloquées : configurez une liste d’applications dont les connexions entrantes sont bloquées.

  • Activer le mode furtif

    Pour empêcher l’ordinateur de répondre aux demandes de détection, activez le mode furtif. L’appareil continue de répondre aux demandes entrantes pour les applications autorisées. Les requêtes inattendues, telles que ICMP (ping), sont ignorées.

    • Non configuré (par défaut)
    • Oui

Gardien

  • Autoriser les applications téléchargées à partir de ces emplacements

    Limitez les applications qu’un appareil peut lancer, en fonction de l’emplacement à partir duquel les applications ont été téléchargées. L’objectif est de protéger les appareils contre les programmes malveillants et d’autoriser les applications provenant uniquement des sources que vous approuvez.

    • Non configuré (par défaut)
    • Mac App Store
    • Mac App Store et développeurs identifiés
    • Quelque part

  • Ne pas autoriser l’utilisateur à remplacer Gatekeeper

    Empêche les utilisateurs de remplacer le paramètre Gatekeeper et empêche les utilisateurs de cliquer sur Ctrl pour installer une application. Quand cette option est activée, les utilisateurs ne peuvent pas cliquer sur une application pour l’installer.

    • Non configuré (par défaut) : les utilisateurs peuvent cliquer sur ctrl pour installer des applications.
    • Oui : empêche les utilisateurs d’utiliser ctrl-clic pour installer des applications.

Prochaines étapes

Attribuer le profil et suivre son état.

Vous pouvez également configurer endpoint Protection sur les appareils Windows 10 et Windows 11.