Intune 中的 macOS 终结点保护设置

重要

macOS 终结点保护模板已弃用。 现有策略保持不变，但不能再使用此模板创建新策略。 > 请改为使用以下选项之一：

• 使用终结点安全策略，例如 Filevault 的 磁盘加密 或 防火墙 策略。
• 使用设置目录为 FileVault、防火墙和系统策略控制创建新的配置策略， (Gatekeeper) 有效负载。 有关详细信息，请参阅 macOS 设置目录。

本文介绍可为运行 macOS 的设备配置的终结点保护设置。 使用 macOS 设备配置文件在 Intune 中使用终结点保护来配置这些设置。

开始之前

创建 macOS 终结点保护配置文件。

FileVault

有关 Apple FileVault 设置的详细信息，请参阅 Apple 开发人员内容中的 FDEFileVault 。

重要

从 macOS 10.15 开始，FileVault 配置需要用户批准的 MDM 注册。

• 启用 FileVault

  可以在运行 macOS 10.13 及更高版本的设备上使用 XTS-AES 128 和 FileVault 启用 完整磁盘加密。

  • 未配置 (默认)
  • 是

  当 “启用 FileVault ”设置为 “是”时，会在加密期间为设备生成个人恢复密钥，并且以下设置适用于该密钥：

  • 个人恢复密钥的托管位置说明

    向用户指定一条简短消息，说明他们如何以及可在何处检索其个人恢复密钥。 当系统提示输入其个人恢复密钥（如果忘记密码）时，此文本将插入用户在其登录屏幕上看到的消息中。

  • 个人恢复密钥轮换

    指定设备的个人恢复密钥轮换频率。 可以选择默认值 “未配置”或值 1 到 12 个月。

  • 隐藏恢复密钥

    选择在 FileVault 2 加密期间对设备用户隐藏个人密钥。

    • 未配置 (默认) – 个人密钥在加密期间对设备用户可见。
    • 是 - 加密期间，个人密钥对设备用户隐藏。

    加密后，设备用户可以从以下位置查看其已加密 macOS 设备的个人恢复密钥：

    • iOS/iPadOS 公司门户应用
    • Intune 应用
    • 公司门户网站
    • Android 公司门户应用

    若要查看密钥，请从应用或网站转到加密 macOS 设备的设备详细信息，然后选择“ 获取恢复密钥”。

  • 在注销时禁用提示

    防止提示用户在注销时请求启用 FileVault。设置为“禁用”时，将禁用注销时的提示，而是在登录时提示用户。

    • 未配置 (默认)
    • 是 - 在注销时禁用提示。

  • 允许绕过的次数

    设置用户在需要 FileVault 登录之前可以忽略启用 FileVault 的提示的次数。

    • 未配置 - 在允许下次登录之前，设备上需要加密。
    • 0 - 要求设备在用户下次登录设备时加密。
    • 1 到 10 - 允许用户在要求设备上加密之前忽略 1 到 10 次的提示。
    • 无限制，始终提示 - 系统会提示用户启用 FileVault，但从不需要加密。
    • 禁用 - 禁用该功能。

    此设置的默认值取决于 注销时禁用提示的配置。当 “注销时禁用提示” 设置为 “未配置”时，此设置默认为“ 未配置”。 当 “注销时禁用提示” 设置为 “是”时，此设置默认为 1 ，值“ 未配置 ”不是选项。

防火墙

使用防火墙控制每个应用程序的连接，而不是每个端口的连接。 使用每个应用程序设置可以更轻松地获得防火墙保护的优势。 它还有助于防止不需要的应用控制为合法应用打开的网络端口。

• 启用防火墙

  在 macOS 上转用防火墙，然后配置在环境中处理传入连接的方式。

  • 未配置 (默认)
  • 是

• 阻止所有传入连接

  阻止除基本 Internet 服务（如 DHCP、Bonjour 和 IPSec）所需的连接之外的所有传入连接。 此功能还会阻止所有共享服务，例如文件共享和屏幕共享。 如果使用共享服务，请将此设置保留为 “未配置”。

  • 未配置 (默认)
  • 是

  将 “阻止所有传入连接 ”设置为“ 未配置”时，可以配置哪些应用可以或不能接收传入连接。

  允许的应用：配置允许接收传入连接的应用列表。

  • 按捆绑包 ID 添加应用：输入应用的 捆绑 ID 。

    若要获取应用捆绑包 ID，请执行以下操作：

    • 使用终端应用和 AppleScript： osascript -e 'id of app "AppName"。
    • 苹果的网站有一个 苹果内置应用列表。
    • 对于添加到 Intune 的应用，可以使用 Intune 管理中心。

  • 添加应用商店应用：选择之前在Intune中添加的应用商店应用。 有关详细信息，请参阅将应用添加到 Microsoft Intune。

  阻止的应用：配置阻止传入连接的应用列表。

  • 按捆绑包 ID 添加应用：输入应用的 捆绑 ID 。

    若要获取应用捆绑包 ID，请执行以下操作：

    • 使用终端应用和 AppleScript： osascript -e 'id of app "AppName"。
    • 苹果的网站有一个 苹果内置应用列表。
    • 对于添加到 Intune 的应用，可以使用 Intune 管理中心。

  • 添加应用商店应用：选择之前在Intune中添加的应用商店应用。 有关详细信息，请参阅将应用添加到 Microsoft Intune。

• 启用隐藏模式

  若要防止计算机响应探测请求，请启用隐藏模式。 设备继续响应已授权应用的传入请求。 忽略意外的请求，例如 ICMP (ping) 。

  • 未配置 (默认)
  • 是

把关

• 允许从这些位置下载的应用

  限制设备可以启动的应用，具体取决于从何处下载应用。 目的是保护设备免受恶意软件的侵害，并仅允许来自你信任的源的应用。

  • 未配置 (默认)
  • Mac 应用商店
  • Mac App Store和已识别的开发人员
  • 无论何处

• 不允许用户替代 Gatekeeper

  阻止用户重写 Gatekeeper 设置，并阻止用户通过 Control 单击安装应用。 启用后，用户无法通过 Control 单击任何应用进行安装。

  • 未配置 (默认) - 用户可以控制单击以安装应用。
  • 是 - 阻止用户使用 Control-click 安装应用。

后续步骤

分配配置文件并监视其状态。

还可以在Windows 10和Windows 11设备上配置终结点保护。