inställningar för slutpunktsskydd för macOS i Intune
Den här artikeln visar de inställningar för slutpunktsskydd som du kan konfigurera för enheter som kör macOS. Du konfigurerar de här inställningarna med hjälp av en macOS-enhetskonfigurationsprofil för slutpunktsskydd i Intune.
Innan du börjar
Skapa en macOS-slutpunktsskyddsprofil.
FileVault
Mer information om Apple FileVault-inställningar finns i FDEFileVault i Apple-utvecklarinnehållet.
Viktigt
Från och med macOS 10.15 kräver FileVault-konfiguration användargodkänd MDM-registrering.
Aktivera FileVault
Du kan aktivera fullständig diskkryptering med XTS-AES 128 med FileVault på enheter som kör macOS 10.13 och senare.
- Inte konfigurerad (standard)
- Ja
När Aktivera FileVault har angetts till Ja genereras en personlig återställningsnyckel för enheten under krypteringen, och följande inställningar gäller för den nyckeln:
Beskrivning av depositionsplats för personlig återställningsnyckel
Ange ett kort meddelande till användaren som förklarar hur och var de kan hämta sin personliga återställningsnyckel. Den här texten infogas i meddelandet som användaren ser på inloggningsskärmen när de uppmanas att ange sin personliga återställningsnyckel om ett lösenord glöms bort.
Rotation av personlig återställningsnyckel
Ange hur ofta den personliga återställningsnyckeln för en enhet ska roteras. Du kan välja standardvärdet Inte konfigurerad eller värdet 1 till 12 månader.
Dölj återställningsnyckel
Välj att dölja den personliga nyckeln från en enhetsanvändare under FileVault 2-kryptering.
- Inte konfigurerad (standard) – Den personliga nyckeln är synlig för enhetsanvändaren under krypteringen.
- Ja – Den personliga nyckeln är dold för enhetsanvändaren under krypteringen.
Efter krypteringen kan enhetsanvändare visa sin personliga återställningsnyckel för en krypterad macOS-enhet från följande platser:
- Företagsportalapp för iOS/iPadOS
- Intune app
- företagsportalens webbplats
- Android-företagsportalapp
Om du vill visa nyckeln går du till enhetsinformation för den krypterade macOS-enheten från appen eller webbplatsen och väljer Hämta återställningsnyckel.
Inaktivera fråga vid utloggning
Förhindra uppmaningen till användaren som begär att de aktiverar FileVault när de loggar ut. När det är inställt på Inaktivera inaktiveras uppmaningen vid utloggning och i stället uppmanas användaren att göra det när de loggar in.
- Inte konfigurerad (standard)
- Ja – Inaktivera uppmaningen vid utloggning.
Antal gånger som tillåts kringgå
Ange hur många gånger en användare kan ignorera uppmaningar om att aktivera FileVault innan FileVault krävs för att användaren ska kunna logga in.
- Inte konfigurerad – Kryptering på enheten krävs innan nästa inloggning tillåts.
- 0 – Kräv att enheter krypteras nästa gång en användare loggar in på enheten.
- 1 till 10 – Tillåt att en användare ignorerar uppmaningen från 1 till 10 gånger innan kryptering krävs på enheten.
- Ingen gräns, fråga alltid – Användaren uppmanas att aktivera FileVault men kryptering krävs aldrig.
- Inaktivera – inaktiverar funktionen.
Standardvärdet för den här inställningen beror på konfigurationen av Inaktivera fråga vid utloggning. När Inaktivera fråga vid utloggning är inställt på Inte konfigurerad, är den här inställningen standardinställningen Inte konfigurerad. När Inaktivera fråga vid utloggning är inställt på Ja är den här inställningen standardvärdet 1 och värdet Inte konfigurerad är inte ett alternativ.
Brandvägg
Använd brandväggen för att styra anslutningar per program i stället för per port. Genom att använda inställningar per program blir det enklare att få fördelarna med brandväggsskydd. Det hjälper också till att förhindra att oönskade appar tar kontroll över nätverksportar som är öppna för legitima appar.
Aktivera brandvägg
Aktivera brandväggen på macOS och konfigurera sedan hur inkommande anslutningar hanteras i din miljö.
- Inte konfigurerad (standard)
- Ja
Blockera alla inkommande anslutningar
Blockera alla inkommande anslutningar förutom de anslutningar som krävs för grundläggande Internettjänster, till exempel DHCP, Bonjour och IPSec. Den här funktionen blockerar även alla delningstjänster, till exempel fildelning och skärmdelning. Om du använder delningstjänster behåller du den här inställningen som Inte konfigurerad.
- Inte konfigurerad (standard)
- Ja
När du anger Blockera alla inkommande anslutningar till Inte konfigurerad kan du sedan konfigurera vilka appar som kan eller inte kan ta emot inkommande anslutningar.
Tillåtna appar: Konfigurera en lista över appar som tillåts ta emot inkommande anslutningar.
Lägg till appar efter paket-ID: Ange appens paket-ID .
Så här hämtar du appsamlings-ID:t:
- Använd Terminal-appen och AppleScript:
osascript -e 'id of app "AppName". - Apples webbplats har en lista över inbyggda Apple-appar.
- För appar som har lagts till i Intune kan du använda Intune administrationscenter.
- Använd Terminal-appen och AppleScript:
Lägg till store-app: Välj en store-app som du tidigare lade till i Intune. Mer information finns i Lägga till appar i Microsoft Intune.
Appar blockerade: Konfigurera en lista över appar som har blockerade inkommande anslutningar.
Lägg till appar efter paket-ID: Ange appens paket-ID .
Så här hämtar du appsamlings-ID:t:
- Använd Terminal-appen och AppleScript:
osascript -e 'id of app "AppName". - Apples webbplats har en lista över inbyggda Apple-appar.
- För appar som har lagts till i Intune kan du använda Intune administrationscenter.
- Använd Terminal-appen och AppleScript:
Lägg till store-app: Välj en store-app som du tidigare lade till i Intune. Mer information finns i Lägga till appar i Microsoft Intune.
Aktivera dolt läge
Om du vill förhindra att datorn svarar på avsökningsbegäranden aktiverar du dolt läge. Enheten fortsätter att svara på inkommande begäranden för auktoriserade appar. Oväntade begäranden, till exempel ICMP (ping), ignoreras.
- Inte konfigurerad (standard)
- Ja
Gatekeeper
Tillåt att appar laddas ned från dessa platser
Begränsa vilka appar en enhet kan starta, beroende på varifrån apparna laddades ned. Avsikten är att skydda enheter från skadlig kod och endast tillåta appar från de källor som du litar på.
- Inte konfigurerad (standard)
- Mac App Store
- Mac App Store och identifierade utvecklare
- Någonstans
Tillåt inte att användaren åsidosätter Gatekeeper
Hindrar användare från att åsidosätta gatekeeper-inställningen och förhindrar användare från att kontrollera och klicka för att installera en app. När den är aktiverad kan användarna inte kontrollera och klicka på någon app för att installera den.
- Inte konfigurerad (standard) – Användare kan kontrollera och klicka för att installera appar.
- Ja – Hindrar användare från att använda Kontrollklick för att installera appar.
Nästa steg
Tilldela profilen och övervaka dess status.
Du kan också konfigurera slutpunktsskydd på Windows 10 och Windows 11 enheter.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för