Configurările sarcinii MDM de control al politicii pentru preferințele Intimitate pentru dispozitivele Apple
Puteți defini configurările sarcinii Controlul politicii pentru preferințele Intimitate pe computere Mac înscrise într-o soluție de gestionare a dispozitivelor mobile (MDM) pentru a gestiona configurările din panoul Intimitate al preferințelor Securitate și intimitate. Dacă există mai multe sarcini de acest tip, sunt utilizate configurările mai restrictive. Aplicarea acestei sarcini utilizând MDM necesită supervizare.
Sarcina Controlul politicii pentru preferințele Intimitate acceptă următoarele. Pentru mai multe informații, consultați Informațiile sarcinii.
Metodă de aprobare acceptată: Necesită aprobarea utilizatorului.
Metodă de instalare acceptată: Necesită o soluție MDM pentru instalare.
Identificator acceptat pentru sarcină: com.apple.TCC.configuration-profile-policy
Sisteme de operare și canale compatibile: dispozitiv macOS.
Tipuri de înscriere acceptate: înscrierea dispozitivelor, înscrierea automată a dispozitivelor.
Duplicate permise: Adevărat - mai multe sarcini Controlul politicii pentru preferințele Intimitate pot fi livrate unui dispozitiv.
Puteți utiliza configurările din tabelele de mai jos cu sarcina Preferințe Intimitate.
Configurări generale
Configurare | Descriere | Obligatoriu | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Accesibilitate | Le permite aplicațiilor specificate să controleze Mac-ul prin API-urile Accesibilitate. | Nu | |||||||||
AppleEvents | Le permite aplicațiilor specificate să trimită un AppleEvent restricționat către alt proces. | Nu | |||||||||
Bluetooth | Permite unei aplicații specificate să acceseze dispozitive Bluetooth. | Nu | |||||||||
Calendar | Le permite aplicațiilor specificate să acceseze informațiile despre evenimente gestionate de aplicația Calendar. | Nu | |||||||||
Camera | Utilizați pentru a le interzice aplicațiilor specificate să acceseze camera. | Nu | |||||||||
Contacts | Le permite aplicațiilor specificate să acceseze informațiile de contact gestionate de aplicația Contacte. | Nu | |||||||||
Desktop Folder | Le permite aplicațiilor specificate să acceseze dosarul Desktop. | Nu | |||||||||
Documents Folder | Le permite aplicațiilor specificate să acceseze dosarul Documente. | Nu | |||||||||
Downloads Folder | Le permite aplicațiilor specificate să acceseze dosarul Descărcări. | Nu | |||||||||
Input devices | Configurați aplicațiile aprobate care au acces specificat la dispozitivele de intrare (maus, tastatură, trackpad). | Nu | |||||||||
Media library | Le permite aplicațiilor specificate să acceseze Apple Music, activitatea legată de muzică și video și biblioteca multimedia. | Nu | |||||||||
Microphone | Interziceți aplicațiilor specificate să acceseze microfonul. | Nu | |||||||||
Network volumes | Le permite aplicațiilor specificate să acceseze fișiere de pe volumele de rețea. | Nu | |||||||||
Photos | Le permite aplicațiilor specificate să acceseze imaginile gestionate de aplicația Poze de la: /Utilizatori/nume-de-utilizator/Imagini/Bibliotecă foto Notă: Dacă utilizatorul își salvează biblioteca foto în altă parte, aceasta nu va fi protejată împotriva aplicațiilor. | Nu | |||||||||
Post Event | Le permite aplicațiilor specificate să utilizeze API-urile CoreGraphics pentru a trimite CGEvents în fluxul evenimentelor de sistem. | Nu | |||||||||
Reminders | Le permite aplicațiilor specificate să acceseze informațiile gestionate de aplicația Mementouri. | Nu | |||||||||
Removable volumes | Le permite aplicațiilor specificate să acceseze fișiere de pe volumele amovibile. | Nu | |||||||||
Screen recording | Le interzice aplicațiilor specificate accesul pentru a captura (citi) conținutul afișajului sistemului. Pentru mai multe informații, consultați Permiterea înregistrării ecranului pentru un exemplu de sarcină pentru aplicație. | Nu | |||||||||
Speech recognition | Le permite aplicațiilor specificate să utilizeze funcționalitatea de recunoaștere vocală a sistemului și să trimită date vocale la Apple. | Nu | |||||||||
System Policy All Files | Le permite aplicațiilor specificate să acceseze date, cum ar fi backupuri Mail, Mesaje, Safari, Locuință, Time Machine și unele configurări administrative pentru toți utilizatorii Mac-ului. | Nu | |||||||||
System Policy administrator files | Le permite aplicațiilor specificate să acceseze unele fișiere utilizate de administratorii de sistem. | Nu | |||||||||
Configurările unei sarcini MDM personalizate pentru dispozitivele Apple
Pentru a permite sau interzice unei aplicații sau unui binar să acceseze una dintre clasele de date pentru intimitate, puteți crea o sarcină personalizată și trebuie să respectați următoarele cerințe:
Cerință | Descriere | Exemplu | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Tipul de identificator | Specificați ID-ul pachetului sau calea fișierului. | ID pachet | |||||||||
Nume identificatorului sau calea fișierului | Specificați numele ID-ului pachetului sau calea efectivă a fișierului. | ID pachet: com.MyOrganization.AppName Cale fișier: /Aplicații/NumeAplicație | |||||||||
Permite sau refuză | Specificați dacă aplicației i se permite sau i se refuză accesul. | Permiteți: True Refuzați: False | |||||||||
Cerința de semnare a codului | Specificați valoarea efectivă de semnare a codului. Pentru a obține valoarea, deschideți aplicația Terminal și executați următoarea comandă:
| Aplicație: Binar: Notă: Este posibil ca aplicațiile și binarele nefurnizate de Apple să aibă cerințe designated mult mai lungi. Tot ce apare după “designated =>” trebuie inclus în profilul dvs. | |||||||||
Comentariu | Adăugați un comentariu opțional. | Îi permite aplicației organizației să interacționeze cu toate fișierele, fără o solicitare către utilizator. | |||||||||
Pentru a vedea un exemplu complet al acestei sarcini personalizate, consultați Exemple de sarcină personalizată a controlului politicii pentru preferințele Intimitate. După ce ați construit și implementat sarcina dvs. personalizată, dacă vedeți în continuare solicitări ale ferestrei de dialog, puteți utiliza următoarea comandă pentru a încerca să identificați în timp real aplicația sau binarul responsabil la care încercați să permiteți accesul:
log stream --debug --predicate 'subsystem == "com.apple.TCC" AND eventMessage BEGINSWITH "AttributionChain"'
Notă: Fiecare furnizor MDM implementează aceste configurări în mod diferit. Pentru a afla cum sunt aplicate diferitele configurări Controlul politicii pentru preferințele Intimitate pentru dispozitivele dvs., consultați documentația oferită de furnizorul soluției MDM.