隐私偏好策略控制
随着 macOS Mojave (10.14) 的发布,Apple 引入了允许用户允许或限制跨应用数据请求的控制。随后,macOS Catalina (10.15) 将这些请求扩展到了包括摄像头、照片、辅助功能、AppleEvents 等权限。
例如,某些应用或服务可能需要用户授权才能访问特定数据甚至其他应用;类似于移动设备上的权限请求。用户必须提供同意,否则应用和服务 可能无法正常工作。某些应用或服务如辅助功能甚至可能需要管理员权限来 授予访问权限,普通用户无法手动授予该权限。
在 MDM 中配置隐私偏好策略控制(PPPC)可以让您远程管理这些安全偏好/权限。您可以代表用户允许或限制 Mac 应用请求的权限。
前提条件
- 受管的 Mac 设备必须运行 macOS 10.14 或更高版本。
配置文件说明
| 配置文件规格 | 描述 |
|---|---|
| 标识符 | 指定应用的唯一 bundle 标识符。 |
| 安装路径 | 如果使用非捆绑应用,请指定安装路径。 |
| 代码签名要求 | 在全新安装的 macOS 10.14 或更高版本上运行以下命令以获取 代码签名要求,并在此指定。 codesign --display -r - /path/to/app/binary 例如,如果您想获取 Endpoint Central 代理的代码签名要求, 运行以下命令,并将其 => 后显示的输出指定为代码签名要求。 => 作为代码签名要求。 命令: codesign --display -r - /Library/DesktopCentral_Agent/ManageEngine\ Desktop\ Central\ -\ Agent.app
输出: designated => identifier "com.manageengine.ManageEngine-Desktop-Central---Agent" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] / exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] / exists */ and certificate leaf[subject.OU] = TZ824L8Y37 |
| 静态代码验证 | 仅当应用或进程使动态代码签名要求失效时启用此项。默认情况下,此项为禁用。 |
| 权限 | 允许的权限 指定您希望代表用户提供同意的权限。 其他权限 未标记为允许的权限可以设置为用户控制或受限。 |
| 为 AppleEvents 指定应用 | 如果应用或服务需要访问其他应用或服务的权限,请单独在 AppleEvents 下指定它们。 |
- 您可以在单个策略中为多个应用配置 PPPC。
- 摄像头、麦克风和屏幕录制等权限无法通过任何 MDM 获得访问权限。这些权限只能被限制或设置为用户控制,默认选项为用户控制。
跳转到