Configurações de proteção de ponto de extremidade macOS no Intune

Este artigo mostra as configurações de proteção do ponto de extremidade que você pode configurar para dispositivos que executam o macOS. Você configura essas configurações usando um perfil de configuração de dispositivo macOS para proteção de ponto de extremidade em Intune.

Antes de começar

Crie um perfil de proteção de ponto de extremidade macOS.

FileVault

Para obter mais informações sobre as configurações do Apple FileVault, consulte FDEFileVault no conteúdo do desenvolvedor da Apple.

Importante

A partir do macOS 10.15, a configuração FileVault exige o registro de MDM aprovado pelo usuário.

  • Habilitar FileVault

    Você pode habilitar a Criptografia de Disco Completo usando o XTS-AES 128 com FileVault em dispositivos que executam o macOS 10.13 e posterior.

    • Não configurado (padrão)
    • Sim

    Quando Enable FileVault é definido como Sim, uma chave de recuperação pessoal é gerada para o dispositivo durante a criptografia e as seguintes configurações se aplicam a essa chave:

    • Descrição do local do escrow da chave de recuperação pessoal

      Especifique uma mensagem curta para o usuário que explica como e onde ele pode recuperar sua chave de recuperação pessoal. Esse texto é inserido na mensagem que o usuário vê na tela de entrada quando solicitado a inserir sua chave de recuperação pessoal se uma senha for esquecida.

    • Rotação de chave de recuperação pessoal

      Especifique com que frequência a chave de recuperação pessoal de um dispositivo será girada. Você pode selecionar o padrão de Não configurado ou um valor de 1 a 12 meses.

    • Ocultar chave de recuperação

      Escolha ocultar a chave pessoal de um usuário de dispositivo durante a criptografia FileVault 2.

      • Não configurada (padrão) – a chave pessoal fica visível para o usuário do dispositivo durante a criptografia.
      • Sim - A chave pessoal está oculta do usuário do dispositivo durante a criptografia.

      Após a criptografia, os usuários do dispositivo podem exibir sua chave de recuperação pessoal para um dispositivo macOS criptografado nos seguintes locais:

      • Aplicativo portal da empresa iOS/iPadOS
      • Aplicativo do Intune
      • site do portal da empresa
      • Aplicativo portal da empresa Android

      Para exibir a chave, no aplicativo ou site, acesse os detalhes do dispositivo do dispositivo macOS criptografado e selecione obter a chave de recuperação.

    • Desabilitar prompt na saída

      Evite o prompt para o usuário que solicita que ele habilite FileVault quando ele sair. Quando definido como Desabilitar, o prompt na saída é desabilitado e, em vez disso, o usuário é solicitado quando ele entra.

      • Não configurado (padrão)
      • Sim – desabilite o prompt na saída.
    • Número de vezes permitido para ignorar

      Defina o número de vezes que um usuário pode ignorar prompts para habilitar FileVault antes que FileVault seja necessário para que o usuário entre.

      • Não configurado – a criptografia no dispositivo é necessária antes que a próxima entrada seja permitida.
      • 0 – Exigir que os dispositivos criptografem na próxima vez que um usuário entrar no dispositivo.
      • 1 a 10 – Permitir que um usuário ignore o prompt de 1 a 10 vezes antes de exigir criptografia no dispositivo.
      • Sem limite, sempre solicitar – o usuário é solicitado a habilitar o FileVault, mas a criptografia nunca é necessária.
      • Desabilitar – Desabilita o recurso.

      O padrão para essa configuração depende da configuração de Desabilitar prompt na saída. Quando Desabilitar prompt na saída é definido como Não configurado, essa configuração é padrão como Não configurada. Quando Desabilitar prompt na saída é definido como Sim, essa configuração é padrão como 1 e um valor de Não configurado não é uma opção.

Firewall

Use o firewall para controlar conexões por aplicativo, em vez de por porta. O uso de configurações por aplicativo facilita a obtenção dos benefícios da proteção contra firewall. Ele também ajuda a impedir que aplicativos indesejáveis assumissem o controle das portas de rede que estão abertas para aplicativos legítimos.

  • Habilitar Firewall

    Ative o uso do Firewall no macOS e configure como as conexões de entrada são tratadas em seu ambiente.

    • Não configurado (padrão)
    • Sim
  • Bloquear todas as conexões de entrada

    Bloqueie todas as conexões de entrada, exceto as conexões necessárias para serviços básicos da Internet, como DHCP, Bonjour e IPSec. Esse recurso também bloqueia todos os serviços de compartilhamento, como Compartilhamento de Arquivos e Compartilhamento de Tela. Se você estiver usando serviços de compartilhamento, mantenha essa configuração como Não configurada.

    • Não configurado (padrão)
    • Sim

    Ao definir Bloquear todas as conexões de entrada como Não configuradas, você pode configurar quais aplicativos podem ou não receber conexões de entrada.

    Aplicativos permitidos: configure uma lista de aplicativos que podem receber conexões de entrada.

    • Adicionar aplicativos por ID do pacote: insira a ID do pacote do aplicativo. Em dispositivos macOS, você pode obter a ID do pacote usando o aplicativo Terminal e o AppleScript: osascript -e 'id of app "AppName". O site da Apple tem uma lista de aplicativos internos da Apple.
    • Adicionar aplicativo de loja: selecione um aplicativo de loja que você adicionou anteriormente no Intune. Para obter mais informações, confira Adicionar aplicativos ao Microsoft Intune.

    Aplicativos bloqueados: configure uma lista de aplicativos que têm conexões de entrada bloqueadas.

    • Adicionar aplicativos por ID do pacote: insira a ID do pacote do aplicativo. Em dispositivos macOS, você pode obter a ID do pacote usando o aplicativo Terminal e o AppleScript: osascript -e 'id of app "AppName". O site da Apple tem uma lista de aplicativos internos da Apple.
    • Adicionar aplicativo de loja: selecione um aplicativo de loja que você adicionou anteriormente no Intune. Para obter mais informações, confira Adicionar aplicativos ao Microsoft Intune.
  • Habilitar o modo furtivo

    Para impedir que o computador responda às solicitações de sondagem, habilite o modo furtivo. O dispositivo continua respondendo a solicitações de entrada para aplicativos autorizados. Solicitações inesperadas, como ICMP (ping), são ignoradas.

    • Não configurado (padrão)
    • Sim

Gatekeeper

  • Permitir aplicativos baixados desses locais

    Limitar os aplicativos dos quais um dispositivo pode ser iniciado, dependendo de onde os aplicativos foram baixados. A intenção é proteger os dispositivos contra malware e permitir aplicativos somente das fontes em que você confia.

    • Não configurado (padrão)
    • Mac App Store
    • Mac App Store e os desenvolvedores identificados
    • Onde
  • Não permitir que o usuário substitua o Gatekeeper

    Impede que os usuários substituam a configuração do Gatekeeper e impede que os usuários cliquem em Controle para instalar um aplicativo. Quando habilitados, os usuários não podem controlar nenhum aplicativo para instalá-lo.

    • Não configurado (padrão) – os usuários podem controlar o clique para instalar aplicativos.
    • Sim – impede que os usuários usem o Control-click para instalar aplicativos.

Próximas etapas

Atribuir o perfil e monitorar seu status.

Você também pode configurar a proteção de ponto de extremidade em dispositivos Windows 10 e Windows 11.