Intune中 macOS 设置的设备符合性设置
本文列出并介绍了可在 Intune 中在 macOS 设备上配置的不同符合性设置。 作为移动设备管理 (MDM) 解决方案的一部分,请使用这些设置设置设置最低或最高操作系统版本、将密码设置为过期等。
此功能适用于:
- macOS
作为Intune管理员,使用这些符合性设置来帮助保护组织资源。 若要详细了解合规性策略及其用途,请参阅 设备合规性入门。
开始之前
- 若要详细了解合规性策略及其用途,请参阅 设备合规性入门。
- 若要创建 macOS 设备符合性策略,请参阅在 Microsoft Intune 中创建符合性策略。 对于 “平台”,请选择“ macOS”。
注意
无用户 macOS 设备不支持设备符合性评估。
设备运行状况
-
需要系统完整性保护
- 未配置 (默认) - 不会评估此设置是否符合性或不符合性。
- 需要 - 要求 macOS 设备具有 系统完整性保护 (打开 Apple 网站) 启用。
设备属性
所需的最低操作系统
不符合最低 OS 版本要求的设备被视为不符合要求。 设备用户可以查看链接,其中包含有关如何升级的信息,并可以选择升级其设备。 之后,他们可以访问组织资源。允许的最大 OS 版本
当设备使用的 OS 版本高于规则中的版本时,将阻止对组织资源的访问。 要求设备用户与其 IT 管理员联系。 在规则更改以允许 OS 版本之前,设备无法访问组织资源。最低操作系统内部版本
当 Apple 发布安全更新时,内部版本号通常会更新,而不是操作系统版本。 使用此功能在设备上输入允许的最小内部版本号。 对于 Apple 快速安全响应更新,请输入补充内部版本,例如22E772610a
。最大 OS 内部版本
当 Apple 发布安全更新时,内部版本号通常会更新,而不是操作系统版本。 使用此功能输入设备上允许的最大内部版本号。 对于 Apple 快速安全响应更新,请输入补充内部版本,例如22E772610a
。
系统安全设置
Password
需要密码才能解锁设备
- 未配置 (默认)
- 需要 用户必须输入密码才能访问其设备。
简单密码
- 未配置 (默认) - 用户可以创建密码,例如 1234 或 1111。
- 阻止 - 用户无法创建简单密码,例如 1234 或 1111。
最短密码长度
输入密码必须具有的最小位数或字符数。密码类型
选择密码是否应仅包含 数字 字符,或者是否应混合使用数字和其他字符 (字母数字) 。密码中的非字母数字字符数
输入密码中必须包含的最小特殊字符数,例如&
#
%
!
、 等。设置更高的数字需要用户创建更复杂的密码。
最长经过多少分钟的非活动状态后需要提供密码
输入用户必须重新输入其密码之前的空闲时间。密码过期(天数)
选择密码过期前的天数,并且必须创建一个新密码。阻止重用的曾用密码数
输入以前使用过的不能使用的密码数。
重要
在 macOS 设备上更改密码要求时,该要求只有在用户下次更改其密码时才会生效。 例如,如果将密码长度限制设置为 8 位数字,而 macOS 设备当前具有 6 位密码,则设备将一直合规,直到用户下次更新设备上的密码。
加密
-
对设备上的数据存储进行加密
- 未配置 (默认)
- 需要 - 使用 “需要” 加密设备上的数据存储。
设备安全性
防火墙可保护设备免受未经授权的网络访问。 可以使用防火墙控制每个应用程序的连接。
防火墙
- 未配置 (默认) - 此设置使防火墙处于关闭状态,并且允许网络流量 (不阻止) 。
- 启用 - 使用 “启用” 来帮助保护设备免受未经授权的访问。 启用此功能可以处理传入的 Internet 连接并使用隐藏模式。
传入连接
- 未配置 (默认) - 允许传入连接和共享服务。
- 阻止 - 阻止除基本 Internet 服务(如 DHCP、Bonjour 和 IPSec)所需的连接之外的所有传入网络连接。 此设置还会阻止所有共享服务,包括屏幕共享、远程访问、iTunes 音乐共享等。
隐藏模式
- 未配置 (默认) - 此设置使隐藏模式处于关闭状态。
- 启用 - 启用隐藏模式,以防止设备响应探测请求,而探测请求可能会成为我的恶意用户。 启用后,设备将继续响应授权应用的传入请求。
把关
有关详细信息,请参阅 macOS 上的 Gatekeeper (打开 Apple 网站) 。
允许从这些位置下载的应用
允许从不同位置在设备上安装受支持的应用程序。 你的位置选项:- 未配置 (默认) - 网关守卫选项不会影响合规性或不符合性。
- Mac App Store - 仅安装适用于 Mac 应用商店的应用。 无法从第三方安装应用,也不能从标识的开发人员安装应用。 如果用户选择 Gatekeeper 在 Mac App Store外部安装应用,则设备被视为不符合要求。
- Mac App Store和已识别的开发人员 - 为 Mac 应用商店安装应用,并从已识别的开发人员安装应用。 macOS 会检查开发人员的身份,并执行一些其他检查来验证应用的完整性。 如果用户选择 Gatekeeper 来安装这些选项之外的应用,则设备被视为不符合要求。
- 随处 - 应用可以从任何位置安装,并且可由任何开发人员安装。 此选项最不安全。