Ajustes de carga de MDM “Control de la política de preferencias de privacidad” para dispositivos Apple
Puedes configurar los ajustes de la carga útil “Control de la política de preferencias de privacidad” en ordenadores Mac inscritos en una solución de gestión de dispositivos móviles (MDM) para gestionar los ajustes del panel Privacidad del panel de preferencias “Seguridad y privacidad”. Si hay más de una carga útil de este tipo, se aplicarán los ajustes más restrictivos. La aplicación de esta la carga útil mediante MDM requiere supervisión.
La carga “Control de la política de preferencias de privacidad” requiere lo siguiente. Para obtener más información, consulta Información de carga útil.
Método de aprobación compatible: Requiere aprobación del usuario.
Método de instalación compatible: Requiere una solución MDM para instalarlo.
Identificador de carga compatible: com.apple.TCC.configuration-profile-policy
Sistemas operativos compatibles y canales: Dispositivo macOS.
Tipos de inscripciones admitidas: Inscripción de dispositivos, Inscripción automatizada de dispositivos.
Se permiten duplicados: True (verdadero): se puede entregar a un dispositivo más de una carga útil “Control de la política de preferencias de privacidad”.
Con la carga útil “Preferencias de privacidad” puedes usar los ajustes de las tablas siguientes.
Ajustes generales
Ajuste | Descripción | Obligatorio | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Accesibilidad | Permite que las apps especificadas puedan controlar el Mac a través de API de Accesibilidad. | No | |||||||||
AppleEvents | Permite que las apps especificadas puedan enviar un AppleEvent restringido a otro proceso. | No | |||||||||
Bluetooth | Permite que una app especificada acceda a dispositivos Bluetooth. | No | |||||||||
Calendario | Permite que las apps especificadas puedan acceder a la información de los eventos gestionada por Calendario. | No | |||||||||
Cámara | Se usa para denegar el acceso a la cámara a las apps especificadas. | No | |||||||||
Contactos | Permite que las apps especificadas puedan acceder a los datos de contacto gestionados por Contactos. | No | |||||||||
Carpeta Escritorio | Permite que las apps especificadas puedan acceder a la carpeta Escritorio. | No | |||||||||
Carpeta Documentos | Permite que las apps especificadas puedan acceder a la carpeta Documentos. | No | |||||||||
Carpeta Descargas | Permite que las apps especificadas puedan acceder a la carpeta Descargas. | No | |||||||||
Dispositivos de entrada | Establecer qué apps aprobadas tienen acceso específico a los dispositivos de entrada (ratón, teclado, trackpad). | No | |||||||||
Biblioteca multimedia | Permite a las apps especificadas acceder a Apple Music, a las actividades de música y vídeo, y a la biblioteca multimedia. | No | |||||||||
Micrófono | Denegar el acceso al micrófono a las apps especificadas. | No | |||||||||
Volúmenes de red | Permite que las apps especificadas puedan acceder a archivos situados en volúmenes de red. | No | |||||||||
Fotos | Permite que las apps especificadas puedan acceder a las imágenes gestionadas por la app Fotos en: /Usuarios/nombre_usuario/Imágenes/Fototeca Nota: Si el usuario puso su fototeca en otra ubicación, no estará protegida de las apps. | No | |||||||||
Publicar evento | Permite que las apps especificadas puedan usar API de CoreGraphics para enviar CGEvents a la secuencia de eventos del sistema. | No | |||||||||
Recordatorios | Permite que las apps especificadas puedan acceder a la información gestionada por Recordatorios. | No | |||||||||
Volúmenes extraíbles | Permite que las apps especificadas puedan acceder a archivos situados en volúmenes extraíbles. | No | |||||||||
Grabación de pantalla | Denegar a las apps especificadas el acceso para capturar (leer) el contenido de la pantalla del sistema. Para obtener más información, consulta Permitir la grabación de la pantalla para ver un ejemplo de carga útil de una app. | No | |||||||||
Reconocimiento de voz | Permite que las apps especificadas utilicen la función de reconocimiento de voz del sistema y envíen datos de voz a Apple. | No | |||||||||
Política del sistema de todos los archivos | Permite que las apps especificadas puedan acceder a datos como Mail, Mensajes, Safari, Casa, copias de seguridad de Time Machine y algunos ajustes administrativos de todos los usuarios del Mac. | No | |||||||||
Política del sistema de los archivos de administrador | Permite que las apps especificadas puedan acceder a algunos archivos que usan los administradores del sistema. | No | |||||||||
Personalizar los ajustes de carga de MDM para dispositivos Apple
Para permitir o no permitir que una app o binario pueda acceder a una de las clases de privacidad de datos, puedes crear una carga útil personalizada que debe cumplir los siguientes requisitos:
Requisito | Descripción | Ejemplo | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
El tipo de identificador | Especifica el bundleID o la ruta de archivo. | ID de paquete | |||||||||
Nombre de identificador o ruta de archivo | Especifica el nombre del ID de paquete o la ruta de archivo real. | ID de paquete: com.MiOrganización.NombreApp Ruta de archivo: /Aplicaciones/NombreApp | |||||||||
Permitir o denegar | Especifica si se permite o deniega el acceso a la app. | Permitir: Verdadero Denegar: Falso | |||||||||
El requisito de firma de código | Especifica el valor real de la firma del código. Para obtener el valor, abre la app Terminal y ejecuta el siguiente comando:
| App: Binario: Nota: Es posible que las apps y los binarios no proporcionados por Apple tengan unos requisitos designados mucho más largos. Todo lo que aparece después de “designated =>” debería estar incluido en tu perfil. | |||||||||
Comentario | Añade un comentario opcional. | Permite que la app de mi organización pueda interactuar con todos los archivos sin avisar al usuario. | |||||||||
Para ver un ejemplo completo de esta carga útil personalizada, consulta Ejemplos de carga útil del control de la política de preferencias de privacidad. Después de haber creado e implementado tu carga útil personalizada, si sigues viendo cuadros de diálogo, puedes usar el siguiente comando para intentar identificar, en tiempo real, la app o binario responsable que está intentando permitir que acceda a:
log stream --debug --predicate 'subsystem == "com.apple.TCC" AND eventMessage BEGINSWITH "AttributionChain"'
Nota: Cada proveedor de MDM implementa estos ajustes de forma diferente. Para ver cómo se aplican los ajustes de “Control de la política de preferencias de privacidad” a tus dispositivos, consulta la documentación de tu proveedor de MDM.