隐私首选项策略控制

概述

随着macOS Mojave(10.14)的发布,Apple引入了让用户允许或限制跨应用程序数据请求的控件。随后,macOS Catalina(10.15)扩展了这个请求列表,使其包含诸如摄像头、照片、辅助功能、AppleEvents等权限。

例如,某些应用或服务可能需要用户的权限才能访问特定数据,甚至其他应用;类似于移动设备上请求的权限。用户必须同意,否则应用和服务可能无法运行。某些应用或服务(如辅助功能)甚至可能需要管理员权限才能授予访问权限,而标准用户无法手动授予这些权限。

通过在MDM中配置隐私首选项策略控制(PPPC),您可以远程管理这些安全首选项/权限。您可以代表用户允许或限制Mac应用程序请求的权限。

先决条件

配置文件设置

配置文件说明

描述
标识符 指定应用的唯一包标识符。
安装路径 如果使用非捆绑应用,则指定安装路径。
代码签名要求

在新安装的macOS 10.14或更高版本上运行以下命令以获取
代码签名要求,并在此处指定。
codesign --display -r - /path/to/app/binary

例如,如果要获取Desktop Central代理的代码签名要求,
运行以下命令并将=>后显示的输出指定为代码签名要求。

Command:
codesign --display -r - /Library/DesktopCentral_Agent/ManageEngine\ Desktop\ Central\ -\ Agent.app


Output:
designated => identifier "com.manageengine.ManageEngine-Desktop-Central---Agent"
                  and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /
                  exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] / exists */ and
                  certificate leaf[subject.OU] = TZ824L8Y37
静态代码验证 仅当应用或进程使动态代码签名要求无效时才启用此选项。默认禁用。
权限 允许的权限 代表用户指定准许的权限。
其他权限 未标记为允许的权限可设置为用户控制或受限。
为AppleEvents指定应用 如果应用或服务需要访问其他应用或服务的权限,请在AppleEvents下单独指定它们。
  • 您可以在一个策略内为多个应用配置PPPC。
  • 摄像机、麦克风和屏幕录制等权限不能由任何MDM授权访问。它们只能被限制或留给用户控制,这是默认选项。
版权所有 © 2023, 卓豪(中国)技术有限公司。保留一切权利。
ManageEngine卓豪 - IT管理 新体验