Paramètres de protection de point de terminaison macOS dans Intune

Cet article présente les paramètres endpoint protection que vous pouvez configurer pour les appareils qui exécutent macOS. Vous configurez ces paramètres à l’aide d’un profil de configuration d’appareil macOS pour Endpoint Protection dans Intune.

Avant de commencer

Create un profil de protection de point de terminaison macOS.

FileVault

Pour plus d’informations sur les paramètres d’Apple FileVault, consultez FDEFileVault dans le contenu du développeur Apple.

Importante

Depuis macOS 10.15, la configuration de FileVault nécessite une inscription GPM approuvée par l’utilisateur.

• Activer FileVault

  Vous pouvez activer le chiffrement de disque complet à l’aide de XTS-AES 128 avec FileVault sur les appareils qui exécutent macOS 10.13 et versions ultérieures.

  • Non configuré (par défaut)
  • Oui

  Lorsque l’option Activer FileVault est définie sur Oui, une clé de récupération personnelle est générée pour l’appareil pendant le chiffrement, et les paramètres suivants s’appliquent à cette clé :

  • Description de l’emplacement d’entiercement de la clé de récupération personnelle

    Spécifiez un court message à l’utilisateur qui explique comment et où il peut récupérer sa clé de récupération personnelle. Ce texte est inséré dans le message que l’utilisateur voit sur son écran de connexion lorsqu’il est invité à entrer sa clé de récupération personnelle si un mot de passe est oublié.

  • Rotation de la clé de récupération personnelle

    Spécifiez la fréquence de rotation de la clé de récupération personnelle pour un appareil. Vous pouvez sélectionner la valeur par défaut Non configuré ou une valeur de 1 à 12 mois.

  • Masquer la clé de récupération

    Choisissez de masquer la clé personnelle d’un utilisateur d’appareil pendant le chiffrement FileVault 2.

    • Non configuré (par défaut) : la clé personnelle est visible par l’utilisateur de l’appareil pendant le chiffrement.
    • Oui : la clé personnelle est masquée à l’utilisateur de l’appareil pendant le chiffrement.

    Après le chiffrement, les utilisateurs de l’appareil peuvent afficher leur clé de récupération personnelle pour un appareil macOS chiffré à partir des emplacements suivants :

    • Application portail d’entreprise iOS/iPadOS
    • Application Intune
    • site web du portail d’entreprise
    • Application portail d’entreprise Android

    Pour afficher la clé, à partir de l’application ou du site web, accédez aux détails de l’appareil macOS chiffré et sélectionnez Obtenir la clé de récupération.

  • Désactiver l’invite de déconnexion

    Empêchez l’invite à l’utilisateur qui demande qu’il active FileVault lorsqu’il se déconnecte. Lorsqu’il est défini sur Désactiver, l’invite de déconnexion est désactivée et l’utilisateur est invité à se connecter.

    • Non configuré (par défaut)
    • Oui : désactivez l’invite lors de la déconnexion.

  • Nombre de fois autorisées à contourner

    Définissez le nombre de fois où un utilisateur peut ignorer les invites pour activer FileVault avant que FileVault ne soit requis pour que l’utilisateur se connecte.

    • Non configuré : le chiffrement sur l’appareil est requis avant que la prochaine connexion soit autorisée.
    • 0 - Exiger que les appareils chiffrent la prochaine fois qu’un utilisateur se connecte à l’appareil.
    • 1 à 10 : autoriser un utilisateur à ignorer l’invite de 1 à 10 fois avant d’exiger le chiffrement sur l’appareil.
    • Aucune limite, toujours demander : l’utilisateur est invité à activer FileVault, mais le chiffrement n’est jamais nécessaire.
    • Désactiver : désactive la fonctionnalité.

    La valeur par défaut de ce paramètre dépend de la configuration de l’invite Désactiver lors de la déconnexion. Lorsque Désactiver l’invite de déconnexion est défini sur Non configuré, ce paramètre est défini par défaut sur Non configuré. Lorsque Désactiver l’invite de déconnexion est défini sur Oui, ce paramètre est défini par défaut sur 1 et la valeur Non configuré n’est pas une option.

Pare-feu

Utilisez le pare-feu pour contrôler les connexions par application, plutôt que par port. L’utilisation des paramètres par application facilite l’obtention des avantages de la protection du pare-feu. Il permet également d’empêcher les applications indésirables de prendre le contrôle des ports réseau ouverts pour les applications légitimes.

• Activer le pare-feu

  Activez l’utilisation du pare-feu sur macOS, puis configurez la façon dont les connexions entrantes sont gérées dans votre environnement.

  • Non configuré (par défaut)
  • Oui

• Bloquer toutes les connexions entrantes

  Bloquez toutes les connexions entrantes, à l’exception des connexions requises pour les services Internet de base, tels que DHCP, Bonjour et IPSec. Cette fonctionnalité bloque également tous les services de partage, tels que le partage de fichiers et le partage d’écran. Si vous utilisez des services de partage, conservez ce paramètre sur Non configuré.

  • Non configuré (par défaut)
  • Oui

  Lorsque vous définissez Bloquer toutes les connexions entrantes sur Non configuré, vous pouvez configurer les applications qui peuvent ou ne peuvent pas recevoir les connexions entrantes.

  Applications autorisées : configurez une liste d’applications autorisées à recevoir des connexions entrantes.

  • Ajouter des applications par ID de bundle : entrez l’ID de bundle de l’application.

    Pour obtenir l’ID du bundle d’applications :

    • Utilisez l’application Terminal et AppleScript : osascript -e 'id of app "AppName".
    • Le site web d’Apple contient une liste d’applications Apple intégrées.
    • Pour les applications ajoutées à Intune, vous pouvez utiliser le centre d’administration Intune.

  • Ajouter une application du Store : sélectionnez une application du Store que vous avez ajoutée précédemment dans Intune. Pour plus d’informations, consultez Ajouter des applications à Microsoft Intune.

  Applications bloquées : configurez une liste d’applications dont les connexions entrantes sont bloquées.

  • Ajouter des applications par ID de bundle : entrez l’ID de bundle de l’application.

    Pour obtenir l’ID du bundle d’applications :

    • Utilisez l’application Terminal et AppleScript : osascript -e 'id of app "AppName".
    • Le site web d’Apple contient une liste d’applications Apple intégrées.
    • Pour les applications ajoutées à Intune, vous pouvez utiliser le centre d’administration Intune.

  • Ajouter une application du Store : sélectionnez une application du Store que vous avez ajoutée précédemment dans Intune. Pour plus d’informations, consultez Ajouter des applications à Microsoft Intune.

• Activer le mode furtif

  Pour empêcher l’ordinateur de répondre aux demandes de détection, activez le mode furtif. L’appareil continue de répondre aux demandes entrantes pour les applications autorisées. Les requêtes inattendues, telles que ICMP (ping), sont ignorées.

  • Non configuré (par défaut)
  • Oui

Gardien

• Autoriser les applications téléchargées à partir de ces emplacements

  Limitez les applications qu’un appareil peut lancer, en fonction de l’emplacement à partir duquel les applications ont été téléchargées. L’objectif est de protéger les appareils contre les programmes malveillants et d’autoriser les applications provenant uniquement des sources que vous approuvez.

  • Non configuré (par défaut)
  • Mac App Store
  • Mac App Store et développeurs identifiés
  • N' importe où

• Ne pas autoriser l’utilisateur à remplacer Gatekeeper

  Empêche les utilisateurs de remplacer le paramètre Gatekeeper et empêche les utilisateurs de cliquer sur Ctrl pour installer une application. Quand cette option est activée, les utilisateurs ne peuvent pas cliquer sur une application pour l’installer.

  • Non configuré (par défaut) : les utilisateurs peuvent cliquer sur ctrl pour installer des applications.
  • Oui : empêche les utilisateurs d’utiliser ctrl-clic pour installer des applications.

Prochaines étapes

Attribuer le profil et suivre son état.

Vous pouvez également configurer endpoint Protection sur les appareils Windows 10 et Windows 11.