设备控制
macOS支持易于实施和管理的灵活安全策略和配置。这使组织能够保护企业信息,并确保员工满足企业要求,即使他们使用的电脑是他们自己提供的——例如,作为“自带设备”(BYOD)计划的一部分。
企业可以使用密码保护、配置文件和第三方MDM解决方案等资源来管理大量设备,并确保企业数据的安全,即使员工在他们的个人Mac电脑上访问这些数据。
密码保护
在使用Touch ID的Mac电脑上,密码的最小长度为8个字符。总是建议使用长而复杂的密码,因为它们更难被猜测或攻击
管理员可以使用 MDM 或要求用户手动安装配置文件来强制执行复杂的密码和其他策略。 macOS 密码策略有效负载安装需要管理员密码。
有关MDM设置中每个策略的详细信息,请参阅《Apple 平台部署》中的MDM部分。
配置执行
配置概要文件是一个XML文件,允许管理员将配置信息分发到Mac计算机。如果用户删除配置文件,该配置文件定义的所有设置也将被删除。管理员可以通过将策略绑定到Wi-Fi和数据访问来加强设置。例如,配置文件中提供了邮件配置,也可以指定设备密码策略。除非密码符合管理员的要求,否则用户将无法访问邮件。
macOS配置文件包含许多可以指定的设置,包括:
• 密码策略
• 设备功能限制(例如,禁用相机)
• Wi-Fi 或 VPN 设置
• 邮件或交换服务器设置
• LDAP 目录服务设置
• 凭证和密钥
• 凭据和密钥
• 软件更新 有关配置文件的当前列表,请参阅配置文件参考.
可以对配置文件进行签名和加密,以验证其来源、确保其完整性并保护其内容。配置文件也可以锁定在Mac上,以完全防止删除它们,或只允许删除密码。在 MDM 解决方案中注册 Mac 的配置文件可以删除——但这样做也会删除托管配置信息、数据和应用程序。
用户可以安装从Safari下载、通过邮件消息发送或使用MDM解决方案通过无线方式发送的配置文件。当用户在DEP或Apple School Manager中设置Mac时,计算机将下载并自动安装用于MDM注册的配置文件
MDM
macOS 对 MDM 的支持使企业能够安全地配置和管理在其组织中扩展 Mac、iPhone、iPad 和 Apple TV 部署。DM功能基于现有的macOS技术,如配置文件、无线注册和 Apple Push Notification服务(APN)。例如,,APN用于唤醒设备,这样它就可以通过安全连接直接与MDM解决方案通信。APN不传送任何机密或专有信息。
使用MDM, IT部门可以在企业环境中注册Mac计算机,无线配置和更新设置,监控企业策略的遵从性,甚至可以远程擦除或锁定管理的Mac计算机。
设备注册
设备注册,Apple 校园教务管理和 Apple 部署程序的一部分,提供了一种快速、简化的方式来部署 Mac电脑,这些电脑是组织直接从苹果或通过参与的苹果授权经销商购买的
组织可以在 MDM 中自动注册计算机,而无需在用户拿到计算机之前亲自接触或准备它们。注册后,管理员登录到程序网站并将程序链接到他们的MDM 解决方案。然后他们购买的计算机可以自动分配了 MDM 解决方案。注册Mac后,任何MDM指定的配置、限制或控件都会自动安装。电脑和苹果服务器之间的所有通信在传输过程中都使用HTTPS (SSL)加密。
用户的安装过程可以通过删除安装助手中的特定步骤来进一步简化,因此用户可以快速启动和运行。管理员还可以控制用户是否可以从计算机中删除MDM配置文件,并确保从一开始就设置设备限制。一旦计算机被打开并激活,它就会加入到组织的MDM解决方案中——所有管理设置、应用程序和书籍都将被安装。注意,并非所有国家或地区都支持设备注册。
有关更多信息,请参阅 Apple 部署计划获得帮助。
限制
管理员可以启用或在某些情况下禁用限制,以阻止用户访问设备的特定应用程序、服务或功能。限制被发送到配置概要文件中的限制有效负载中的设备。限制适用于macOS、iOS和tvOS设备。
远程擦除和远程锁定
Mac电脑可以被管理员或用户远程删除。即时远程擦除仅在Mac启用FileVault时可用。当MDM或iCloud触发远程擦除命令时,计算机会发送确认信息并执行擦除。使用远程锁定,MDM要求对Mac应用6位密码,在输入这个密码之前,任何用户都被锁定。
