Apple 平台部署
- 歡迎
- Apple 平台部署簡介
- 新功能
-
-
- 「輔助使用」承載資料設定
- 「Active Directory 憑證」承載資料設定
- AirPlay 承載資料設定
- 「AirPlay 安全性」承載資料設定
- AirPrint 承載資料設定
- 「App 鎖定」承載資料設定
- 「相關的網域」承載資料設定
- 「自動憑證管理環境」(ACME)承載資料
- 「自主單一 App 模式」承載資料設定
- 「行事曆」承載資料設定
- 「行動網路」承載資料設定
- 「私人行動網路」承載資料設定
- 「憑證偏好設定」承載資料設定
- 「憑證撤銷」承載資料設定
- 「憑證透明度」承載資料設定
- 「憑證」承載資料設定
- 「會議室顯示器」承載資料設定
- 「聯絡人」承載資料設定
- 「內容快取」承載資料設定
- 「目錄服務」承載資料設定
- 「DNS 代理伺服器」承載資料設定
- 「DNS 設定」承載資料設定
- Dock 承載資料設定
- 「網域」承載資料設定
- 「能源節約器」承載資料設定
- Exchange ActiveSync(EAS)承載資料設定
- Exchange Web Services(EWS)承載資料設定
- 「可延伸單一登入」承載資料設定
- 「可延伸單一登入 Kerberos」承載資料設定
- 「延伸功能」承載資料設定
- 「檔案保險箱」承載資料設定
- Finder 承載資料設定
- 「防火牆」承載資料設定
- 「字體」承載資料設定
- 「全域 HTTP 代理伺服器」承載資料設定
- 「Google 帳號」承載資料設定
- 「主畫面佈局」承載資料設定
- 識別身分承載資料設定
- 「身分偏好設定」承載資料設定
- 「核心延伸功能規則」承載資料設定
- LDAP 承載資料設定
- 「無人值守管理」承載資料設定
- 「鎖定畫面訊息」承載資料設定
- 登入視窗承載資料設定
- 「受管理登入項目」承載資料設定
- 郵件承載資料設定
- 「網路使用規則」承載資料設定
- 「通知」承載資料設定
- 「分級保護控制」承載資料設定
- 密碼承載資料設定
- 「列印」承載資料設定
- 「隱私權偏好設定規則控制」承載資料設定
- 「轉送」承載資料設定
- SCEP 承載資料設定
- 「安全性」承載資料設定
- 「設定輔助程式」承載資料設定
- 「單一登入」承載資料設定
- 「智慧卡」承載資料設定
- 「已訂閱的行事曆」承載資料設定
- 「系統延伸功能」承載資料設定
- 「系統移轉」承載資料設定
- 「時光機」承載資料設定
- 「電視遙控器」承載資料設定
- Web Clip 承載資料設定
- 「網頁內容過濾器」承載資料設定
- Xsan 承載資料設定
- 詞彙表
- 文件修改記錄
- 版權聲明
macOS 中的開機安全性
開機安全性規則可協助限制能啟動 Mac 的人員以及能用來啟動 Mac 的裝置。
配備 Apple 晶片之 Mac 的啟動磁碟安全性規則控制
不同於 Intel 架構式 Mac 電腦,配備 Apple 晶片之 Mac 上的安全性規則支援各個已安裝的作業系統。這表示在相同機器上可存在多個不同版本和安全性規則的已安裝 macOS 實例。基於此原因,作業系統選擇器已加入「開機安全性工具程式」中。
在配備 Apple 晶片的 Mac 電腦上,「開機安全性工具程式」會指出 macOS 的整體使用者設定安全性,例如 KEXT 開機或「系統完整保護」(SIP)的設定。若更改安全性設定會顯著讓安全性降低或讓系統更容易入侵,使用者必須按住電源按鈕才能重新開機進入 recoveryOS(如此一來惡意軟體無法觸發訊號,只有能夠實際存取的人才可以)進行更改。有鑑於此,配備 Apple 晶片的 Mac 也不需要(或支援)韌體密碼,所有重要變更皆已由使用者授權管制。如需更多 SIP 的相關資訊,請參閱「Apple 平台安全性」中的強制存取權限控制。
但是,組織可以透過使用 macOS 11.5 或以上版本中提供的 recoveryOS 密碼來防止取用 recoveryOS 環境,包括啟動選項螢幕。如需更多資訊,請參閱下方的 recoveryOS 密碼專區。
安全性規則
配備 Apple 晶片的 Mac 有三種安全性規則:
完整安全性:系統運作如同 iOS 和 iPadOS,且在安裝時只允許已知的可用最新開機軟體。
較低安全性:此規則層級允許系統執行較舊的 macOS 版本。因為較舊的 macOS 版本無可避免的會有未經修補的漏洞,此安全性模式的層級「較低」。此規則層級也需要手動設定才能無須搭配「Apple 校務管理」、「Apple 商務管理」或「Apple 商務必備」使用行動裝置管理(MDM)和「自動裝置註冊」即可支援開機核心延伸功能(KEXT)。
寬鬆安全性:此規則層級支援建立、簽署和啟動其本身自訂 XNU 核心的使用者。啟用「寬鬆安全性」模式前必須停用「系統完整保護」(SIP)。如需更多資訊,請參閱「Apple 平台安全性」中的系統完整保護。
如需更多安全性規則的相關資訊,請參閱「Apple 平台安全性」中的配備 Apple 晶片之 Mac 的啟動磁碟安全性規則控制。
recoveryOS 密碼
配備 Apple 晶片並使用 macOS 11.5 或以上版本的 Mac 支援搭配 SetRecoveryLock 指令使用 MDM 設定 recoveryOS 密碼。除非輸入 recoveryOS 密碼,使用者無法取用復原環境,包含開機選項畫面。recoveryOS 密碼只能使用 MDM 設定,並且 MDM 要更新或移除現有密碼,必須提供目前密碼。因為只能透過 MDM 設定、更新或移除 recoveryOS 密碼,因此從設定了 recoveryOS 密碼的 MDM 取消註冊 Mac 電腦也會移除密碼。MDM 管理者也可以驗證使用新 VerifyRecoveryLock 指令所設定的正確 recoveryOS 密碼。
【注意】設定 recoveryOS 密碼不會防止使用 Apple Configurator 透過「DFU 模式」恢復配備 Apple 晶片的 Mac 電腦,這也以加密方式將以前 Mac 上的資料呈現為無法取用。
開機安全性工具程式
在配備 Apple T2 安全晶片的 Intel 架構式 Mac 電腦上,「開機安全性工具程式」可處理許多安全性規則設定。開機時進入 recoveryOS 並從「工具程式」選單中選取「開機安全性工具程式」便可取用此工具程式並保護支援的安全性設定不讓攻擊者輕易操縱。
安全開機規則可設為以下三個設定中的其中一個:「完整安全性」、「中等安全性」和「無安全性」。「無安全性」會完全停用 Intel 處理器上的安全開機評估,並允許使用者隨時開機。
如需更多安全性規則的相關資訊,請參閱「Apple 平台安全性」中的開機安全性工具程式概覽。
韌體密碼工具程式
未配備 Apple 晶片的 Mac 電腦支援使用「韌體密碼」來阻止在特定 Mac 上對韌體設定進行非預期的修改。「韌體密碼」用於防止使用者選取替用開機模式,例如開機進入 recoveryOS 或「單一使用者」模式、從未授權的卷宗開機,或是開機進入「目標磁碟模式」。可以使用 firmwarepasswd 命令列工具、韌體密碼工具程式或 MDM 設定、更新或移除韌體密碼。若要讓 MDM 能夠更新或清除韌體密碼,MDM 必須先得知現有的密碼(若適用)。
【注意】設定韌體密碼不會防止使用 Apple Configurator 透過「DFU 模式」恢復 Apple T2 安全晶片韌體。回復 Mac 後,裝置上任何設定的韌體密碼都將被移除,內置儲存裝置的資料會被安全清除。