Intune 中的 macOS 终结点保护设置
重要
macOS 终结点保护模板已弃用。 现有策略保持不变,但不能再使用此模板创建新策略。 > 请改为使用以下选项之一:
- 使用终结点安全策略,例如 Filevault 的 磁盘加密 或 防火墙 策略。
- 使用设置目录为 FileVault、防火墙和系统策略控制创建新的配置策略, (Gatekeeper) 有效负载。 有关详细信息,请参阅 macOS 设置目录。
本文介绍可为运行 macOS 的设备配置的终结点保护设置。 使用 macOS 设备配置文件在 Intune 中使用终结点保护来配置这些设置。
开始之前
FileVault
有关 Apple FileVault 设置的详细信息,请参阅 Apple 开发人员内容中的 FDEFileVault 。
重要
从 macOS 10.15 开始,FileVault 配置需要用户批准的 MDM 注册。
启用 FileVault
可以在运行 macOS 10.13 及更高版本的设备上使用 XTS-AES 128 和 FileVault 启用 完整磁盘加密。
- 未配置 (默认)
- 是
当 “启用 FileVault ”设置为 “是”时,会在加密期间为设备生成个人恢复密钥,并且以下设置适用于该密钥:
个人恢复密钥的托管位置说明
向用户指定一条简短消息,说明他们如何以及可在何处检索其个人恢复密钥。 当系统提示输入其个人恢复密钥(如果忘记密码)时,此文本将插入用户在其登录屏幕上看到的消息中。
个人恢复密钥轮换
指定设备的个人恢复密钥轮换频率。 可以选择默认值 “未配置”或值 1 到 12 个月。
隐藏恢复密钥
选择在 FileVault 2 加密期间对设备用户隐藏个人密钥。
- 未配置 (默认) – 个人密钥在加密期间对设备用户可见。
- 是 - 加密期间,个人密钥对设备用户隐藏。
加密后,设备用户可以从以下位置查看其已加密 macOS 设备的个人恢复密钥:
- iOS/iPadOS 公司门户应用
- Intune 应用
- 公司门户网站
- Android 公司门户应用
若要查看密钥,请从应用或网站转到加密 macOS 设备的设备详细信息,然后选择“ 获取恢复密钥”。
在注销时禁用提示
防止提示用户在注销时请求启用 FileVault。设置为“禁用”时,将禁用注销时的提示,而是在登录时提示用户。
- 未配置 (默认)
- 是 - 在注销时禁用提示。
允许绕过的次数
设置用户在需要 FileVault 登录之前可以忽略启用 FileVault 的提示的次数。
- 未配置 - 在允许下次登录之前,设备上需要加密。
- 0 - 要求设备在用户下次登录设备时加密。
- 1 到 10 - 允许用户在要求设备上加密之前忽略 1 到 10 次的提示。
- 无限制,始终提示 - 系统会提示用户启用 FileVault,但从不需要加密。
- 禁用 - 禁用该功能。
此设置的默认值取决于 注销时禁用提示的配置。当 “注销时禁用提示” 设置为 “未配置”时,此设置默认为“ 未配置”。 当 “注销时禁用提示” 设置为 “是”时,此设置默认为 1 ,值“ 未配置 ”不是选项。
防火墙
使用防火墙控制每个应用程序的连接,而不是每个端口的连接。 使用每个应用程序设置可以更轻松地获得防火墙保护的优势。 它还有助于防止不需要的应用控制为合法应用打开的网络端口。
启用防火墙
在 macOS 上转用防火墙,然后配置在环境中处理传入连接的方式。
- 未配置 (默认)
- 是
阻止所有传入连接
阻止除基本 Internet 服务(如 DHCP、Bonjour 和 IPSec)所需的连接之外的所有传入连接。 此功能还会阻止所有共享服务,例如文件共享和屏幕共享。 如果使用共享服务,请将此设置保留为 “未配置”。
- 未配置 (默认)
- 是
将 “阻止所有传入连接 ”设置为“ 未配置”时,可以配置哪些应用可以或不能接收传入连接。
允许的应用:配置允许接收传入连接的应用列表。
按捆绑包 ID 添加应用:输入应用的 捆绑 ID 。
若要获取应用捆绑包 ID,请执行以下操作:
- 使用终端应用和 AppleScript:
osascript -e 'id of app "AppName"
。 - 苹果的网站有一个 苹果内置应用列表。
- 对于添加到 Intune 的应用,可以使用 Intune 管理中心。
- 使用终端应用和 AppleScript:
添加应用商店应用:选择之前在Intune中添加的应用商店应用。 有关详细信息,请参阅将应用添加到 Microsoft Intune。
阻止的应用:配置阻止传入连接的应用列表。
按捆绑包 ID 添加应用:输入应用的 捆绑 ID 。
若要获取应用捆绑包 ID,请执行以下操作:
- 使用终端应用和 AppleScript:
osascript -e 'id of app "AppName"
。 - 苹果的网站有一个 苹果内置应用列表。
- 对于添加到 Intune 的应用,可以使用 Intune 管理中心。
- 使用终端应用和 AppleScript:
添加应用商店应用:选择之前在Intune中添加的应用商店应用。 有关详细信息,请参阅将应用添加到 Microsoft Intune。
启用隐藏模式
若要防止计算机响应探测请求,请启用隐藏模式。 设备继续响应已授权应用的传入请求。 忽略意外的请求,例如 ICMP (ping) 。
- 未配置 (默认)
- 是
把关
允许从这些位置下载的应用
限制设备可以启动的应用,具体取决于从何处下载应用。 目的是保护设备免受恶意软件的侵害,并仅允许来自你信任的源的应用。
- 未配置 (默认)
- Mac 应用商店
- Mac App Store和已识别的开发人员
- 无论何处
不允许用户替代 Gatekeeper
阻止用户重写 Gatekeeper 设置,并阻止用户通过 Control 单击安装应用。 启用后,用户无法通过 Control 单击任何应用进行安装。
- 未配置 (默认) - 用户可以控制单击以安装应用。
- 是 - 阻止用户使用 Control-click 安装应用。
后续步骤
还可以在Windows 10和Windows 11设备上配置终结点保护。