Intune 中的 macOS 终结点保护设置

重要

macOS 终结点保护模板已弃用。 现有策略保持不变,但不能再使用此模板创建新策略。 > 请改为使用以下选项之一:

  • 使用终结点安全策略,例如 Filevault 的 磁盘加密防火墙 策略。
  • 使用设置目录为 FileVault、防火墙和系统策略控制创建新的配置策略, (Gatekeeper) 有效负载。 有关详细信息,请参阅 macOS 设置目录

本文介绍可为运行 macOS 的设备配置的终结点保护设置。 使用 macOS 设备配置文件在 Intune 中使用终结点保护来配置这些设置。

开始之前

创建 macOS 终结点保护配置文件

FileVault

有关 Apple FileVault 设置的详细信息,请参阅 Apple 开发人员内容中的 FDEFileVault

重要

从 macOS 10.15 开始,FileVault 配置需要用户批准的 MDM 注册。

  • 启用 FileVault

    可以在运行 macOS 10.13 及更高版本的设备上使用 XTS-AES 128 和 FileVault 启用 完整磁盘加密。

    • 未配置 (默认)

    “启用 FileVault ”设置为 “是”时,会在加密期间为设备生成个人恢复密钥,并且以下设置适用于该密钥:

    • 个人恢复密钥的托管位置说明

      向用户指定一条简短消息,说明他们如何以及可在何处检索其个人恢复密钥。 当系统提示输入其个人恢复密钥(如果忘记密码)时,此文本将插入用户在其登录屏幕上看到的消息中。

    • 个人恢复密钥轮换

      指定设备的个人恢复密钥轮换频率。 可以选择默认值 “未配置”或值 112 个月。

    • 隐藏恢复密钥

      选择在 FileVault 2 加密期间对设备用户隐藏个人密钥。

      • 未配置 (默认) – 个人密钥在加密期间对设备用户可见。
      • - 加密期间,个人密钥对设备用户隐藏。

      加密后,设备用户可以从以下位置查看其已加密 macOS 设备的个人恢复密钥:

      • iOS/iPadOS 公司门户应用
      • Intune 应用
      • 公司门户网站
      • Android 公司门户应用

      若要查看密钥,请从应用或网站转到加密 macOS 设备的设备详细信息,然后选择“ 获取恢复密钥”。

    • 在注销时禁用提示

      防止提示用户在注销时请求启用 FileVault。设置为“禁用”时,将禁用注销时的提示,而是在登录时提示用户。

      • 未配置 (默认)
      • - 在注销时禁用提示。
    • 允许绕过的次数

      设置用户在需要 FileVault 登录之前可以忽略启用 FileVault 的提示的次数。

      • 未配置 - 在允许下次登录之前,设备上需要加密。
      • 0 - 要求设备在用户下次登录设备时加密。
      • 110 - 允许用户在要求设备上加密之前忽略 1 到 10 次的提示。
      • 无限制,始终提示 - 系统会提示用户启用 FileVault,但从不需要加密。
      • 禁用 - 禁用该功能。

      此设置的默认值取决于 注销时禁用提示的配置。当 “注销时禁用提示” 设置为 “未配置”时,此设置默认为“ 未配置”。 当 “注销时禁用提示” 设置为 “是”时,此设置默认为 1 ,值“ 未配置 ”不是选项。

防火墙

使用防火墙控制每个应用程序的连接,而不是每个端口的连接。 使用每个应用程序设置可以更轻松地获得防火墙保护的优势。 它还有助于防止不需要的应用控制为合法应用打开的网络端口。

  • 启用防火墙

    在 macOS 上转用防火墙,然后配置在环境中处理传入连接的方式。

    • 未配置 (默认)
  • 阻止所有传入连接

    阻止除基本 Internet 服务(如 DHCP、Bonjour 和 IPSec)所需的连接之外的所有传入连接。 此功能还会阻止所有共享服务,例如文件共享和屏幕共享。 如果使用共享服务,请将此设置保留为 “未配置”。

    • 未配置 (默认)

    “阻止所有传入连接 ”设置为“ 未配置”时,可以配置哪些应用可以或不能接收传入连接。

    允许的应用:配置允许接收传入连接的应用列表。

    • 按捆绑包 ID 添加应用:输入应用的 捆绑 ID

      若要获取应用捆绑包 ID,请执行以下操作:

    • 添加应用商店应用:选择之前在Intune中添加的应用商店应用。 有关详细信息,请参阅将应用添加到 Microsoft Intune

    阻止的应用:配置阻止传入连接的应用列表。

    • 按捆绑包 ID 添加应用:输入应用的 捆绑 ID

      若要获取应用捆绑包 ID,请执行以下操作:

    • 添加应用商店应用:选择之前在Intune中添加的应用商店应用。 有关详细信息,请参阅将应用添加到 Microsoft Intune

  • 启用隐藏模式

    若要防止计算机响应探测请求,请启用隐藏模式。 设备继续响应已授权应用的传入请求。 忽略意外的请求,例如 ICMP (ping) 。

    • 未配置 (默认)

把关

  • 允许从这些位置下载的应用

    限制设备可以启动的应用,具体取决于从何处下载应用。 目的是保护设备免受恶意软件的侵害,并仅允许来自你信任的源的应用。

    • 未配置 (默认)
    • Mac 应用商店
    • Mac App Store和已识别的开发人员
    • 无论何处
  • 不允许用户替代 Gatekeeper

    阻止用户重写 Gatekeeper 设置,并阻止用户通过 Control 单击安装应用。 启用后,用户无法通过 Control 单击任何应用进行安装。

    • 未配置 (默认) - 用户可以控制单击以安装应用。
    • - 阻止用户使用 Control-click 安装应用。

后续步骤

分配配置文件监视其状态

还可以在Windows 10和Windows 11设备上配置终结点保护。