Intune中 macOS 设置的设备符合性设置

本文列出并介绍了可在 Intune 中在 macOS 设备上配置的不同符合性设置。 作为移动设备管理 (MDM) 解决方案的一部分,请使用这些设置设置设置最低或最高操作系统版本、将密码设置为过期等。

此功能适用于:

  • macOS

作为Intune管理员,使用这些符合性设置来帮助保护组织资源。 若要详细了解合规性策略及其用途,请参阅 设备合规性入门

开始之前

注意

无用户 macOS 设备不支持设备符合性评估。

设备运行状况

  • 需要系统完整性保护
    • 未配置 (默认) - 不会评估此设置是否符合性或不符合性。
    • 需要 - 要求 macOS 设备具有 系统完整性保护 (打开 Apple 网站) 启用。

设备属性

  • 所需的最低操作系统
    不符合最低 OS 版本要求的设备被视为不符合要求。 设备用户可以查看链接,其中包含有关如何升级的信息,并可以选择升级其设备。 之后,他们可以访问组织资源。

  • 允许的最大 OS 版本
    当设备使用的 OS 版本高于规则中的版本时,将阻止对组织资源的访问。 要求设备用户与其 IT 管理员联系。 在规则更改以允许 OS 版本之前,设备无法访问组织资源。

  • 最低操作系统内部版本
    当 Apple 发布安全更新时,内部版本号通常会更新,而不是操作系统版本。 使用此功能在设备上输入允许的最小内部版本号。 对于 Apple 快速安全响应更新,请输入补充内部版本,例如 22E772610a

  • 最大 OS 内部版本
    当 Apple 发布安全更新时,内部版本号通常会更新,而不是操作系统版本。 使用此功能输入设备上允许的最大内部版本号。 对于 Apple 快速安全响应更新,请输入补充内部版本,例如 22E772610a

系统安全设置

Password

  • 需要密码才能解锁设备

    • 未配置 (默认)
    • 需要 用户必须输入密码才能访问其设备。
  • 简单密码

    • 未配置 (默认) - 用户可以创建密码,例如 12341111
    • 阻止 - 用户无法创建简单密码,例如 12341111
  • 最短密码长度
    输入密码必须具有的最小位数或字符数。

  • 密码类型
    选择密码是否应仅包含 数字 字符,或者是否应混合使用数字和其他字符 (字母数字) 。

  • 密码中的非字母数字字符数
    输入密码中必须包含的最小特殊字符数,例如 &#%!、 等。

    设置更高的数字需要用户创建更复杂的密码。

  • 最长经过多少分钟的非活动状态后需要提供密码
    输入用户必须重新输入其密码之前的空闲时间。

  • 密码过期(天数)
    选择密码过期前的天数,并且必须创建一个新密码。

  • 阻止重用的曾用密码数
    输入以前使用过的不能使用的密码数。

重要

在 macOS 设备上更改密码要求时,该要求只有在用户下次更改其密码时才会生效。 例如,如果将密码长度限制设置为 8 位数字,而 macOS 设备当前具有 6 位密码,则设备将一直合规,直到用户下次更新设备上的密码。

加密

  • 对设备上的数据存储进行加密
    • 未配置 (默认)
    • 需要 - 使用 “需要” 加密设备上的数据存储。

设备安全性

防火墙可保护设备免受未经授权的网络访问。 可以使用防火墙控制每个应用程序的连接。

  • 防火墙

    • 未配置 (默认) - 此设置使防火墙处于关闭状态,并且允许网络流量 (不阻止) 。
    • 启用 - 使用 “启用” 来帮助保护设备免受未经授权的访问。 启用此功能可以处理传入的 Internet 连接并使用隐藏模式。
  • 传入连接

    • 未配置 (默认) - 允许传入连接和共享服务。
    • 阻止 - 阻止除基本 Internet 服务(如 DHCP、Bonjour 和 IPSec)所需的连接之外的所有传入网络连接。 此设置还会阻止所有共享服务,包括屏幕共享、远程访问、iTunes 音乐共享等。
  • 隐藏模式

    • 未配置 (默认) - 此设置使隐藏模式处于关闭状态。
    • 启用 - 启用隐藏模式,以防止设备响应探测请求,而探测请求可能会成为我的恶意用户。 启用后,设备将继续响应授权应用的传入请求。

把关

有关详细信息,请参阅 macOS 上的 Gatekeeper (打开 Apple 网站) 。

  • 允许从这些位置下载的应用
    允许从不同位置在设备上安装受支持的应用程序。 你的位置选项:

    • 未配置 (默认) - 网关守卫选项不会影响合规性或不符合性。
    • Mac App Store - 仅安装适用于 Mac 应用商店的应用。 无法从第三方安装应用,也不能从标识的开发人员安装应用。 如果用户选择 Gatekeeper 在 Mac App Store外部安装应用,则设备被视为不符合要求。
    • Mac App Store和已识别的开发人员 - 为 Mac 应用商店安装应用,并从已识别的开发人员安装应用。 macOS 会检查开发人员的身份,并执行一些其他检查来验证应用的完整性。 如果用户选择 Gatekeeper 来安装这些选项之外的应用,则设备被视为不符合要求。
    • 随处 - 应用可以从任何位置安装,并且可由任何开发人员安装。 此选项最不安全。

后续步骤