Einstellungen der MDM-Payload „Richtliniensteuerung in der Systemeinstellung ‚Sicherheit‘“ für Apple-Geräte
Du kannst für Mac-Computer, die in einer Lösung für die Mobilgeräteverwaltung (MDM) registriert sind, die Payload „Richtliniensteuerung“ in der Systemeinstellung „Sicherheit“ konfigurieren; mit der Payload verwaltest du die Einstellungen in der Systemeinstellung „Sicherheit & Datenschutz“ im Bereich „Datenschutz“. Sind mehrere Payloads dieses Typs vorhanden, werden restriktivere Einstellungen verwendet. Für die Anwendung dieser Payload mit einer MDM-Lösung ist eine Betreuung erforderlich.
Die Payload „Richtliniensteuerung in der Systemeinstellung ‚Sicherheit‘“ unterstützt Folgendes. Weitere Informationen findest du unter Payload-Informationen.
Unterstützte Bestätigungsmethode: Erfordert Benutzerzustimmung.
Unterstützte Installationsmethode: Erfordert eine MDM-Lösung für die Installation.
Nicht unterstützte Payload-ID: com.apple.TCC.configuration-profile-policy
Unterstützte Betriebssysteme und Kanäle: macOS-Gerät.
Unterstützte Registrierungstypen: Geräteregistrierung, Automatische Geräteregistrierung.
Duplikate erlaubt: Wahr – mehr als eine Payload „Richtliniensteuerung in der Systemeinstellung ‚Sicherheit‘“ kann an ein Gerät gesendet werden.
Du kannst die Einstellungen in der folgenden Tabelle mit der Payload „Richtliniensteuerung in der Systemeinstellung ‚Sicherheit‘“ verwenden.
Allgemeine Einstellungen
Einstellung | Beschreibung | Erforderlich | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Bedienungshilfen | Erlaubt angegebenen Apps die Steuerung des Mac über Bedienungshilfen-APIs. | Nein | |||||||||
AppleEvents | Erlaubt angegebenen Apps, ein eingeschränktes AppleEvent an andere Prozesse zu senden. | Nein | |||||||||
Bluetooth | Erlaubt einer angegebenen App den Zugriff auf Bluetooth-Geräte. | Nein | |||||||||
Kalender | Gewährt angegebenen Apps Zugriff auf Ereignisinformationen, die von der App „Kalender“ verwaltet werden. | Nein | |||||||||
Kamera | Verweigert angegebenen Apps den Zugriff auf die Kamera. | Nein | |||||||||
Kontakte | Gewährt angegebenen Apps Zugriff auf Kontaktinformationen, die von der App „Kontakte“ verwaltet werden. | Nein | |||||||||
Schreibtischordner | Erlaubt angegebenen Apps den Zugriff auf den Schreibtischordner. | Nein | |||||||||
Ordner „Dokumente“ | Erlaubt angegebenen Apps den Zugriff auf den Ordner „Dokumente“. | Nein | |||||||||
Downloads-Ordner | Erlaubt angegebenen Apps den Zugriff auf den Ordner „Downloads“. | Nein | |||||||||
Eingabegeräte | Legt fest, welche angegebenen Apps speziellen Zugriff auf Eingabegeräte (Maus, Tastatur, Trackpad) erhalten. | Nein | |||||||||
Mediathek | Erlaubt angegebenen Apps den Zugriff auf Apple Music, Musik- und Videoaktivitäten und die Mediathek. | Nein | |||||||||
Mikrofon | Verweigert angegebenen Apps den Zugriff auf das Mikrofon. | Nein | |||||||||
Netzwerkvolumes | Erlaubt angegebenen Apps den Zugriff auf Dateien auf Netzwerkvolumes. | Nein | |||||||||
Fotos | Gewährt angegebenen Apps Zugriff auf Bilder, die von der App „Fotos“ in folgendem Ordner verwaltet werden: /Benutzer/Benutzername/Bilder/Fotos-Mediathek Hinweis: Wenn der Benutzer seine Fotomediathek an einen anderen Ort bewegt, wird sie nicht vor Apps geschützt. | Nein | |||||||||
Ereignis veröffentlichen | Erlaubt angegebenen Apps die Nutzung von CoreGraphics APIs zum Senden von CGEvents an den Systemereignis-Stream. | Nein | |||||||||
Erinnerungen | Gewährt angegebenen Apps Zugriff auf Informationen, die von der App „Erinnerungen“ verwaltet werden. | Nein | |||||||||
Entfernbare Volumes | Erlaubt angegebenen Apps den Zugriff auf Dateien auf entfernbaren Volumes. | Nein | |||||||||
Bildschirmaufnahme | Verweigert angegebenen Apps Zugriff zum Erfassen (Lesen) des Inhalts auf dem Bildschirm des Systems. Weitere Informationen findest du unter Payload-Beispiel für das Erlauben einer Bildschirmaufnahme für eine App. | Nein | |||||||||
Spracherkennung | Erlaubt angegebenen Apps die Nutzung der Spracherkennungsfunktion und das Senden von Sprachdaten an Apple. | Nein | |||||||||
Systemrichtlinie Alle Dateien | Gewährt angegebenen Apps Zugriff auf Daten wie Mail-, Nachrichten-, Safari- und Home-Daten, Time Machine-Backups sowie bestimmte Verwaltungseinstellungen für alle Benutzer des Mac. | Nein | |||||||||
Systemrichtlinie Administratordateien | Gewährt angegebenen Apps Zugriff auf einige Dateien, die von Systemadministratoren verwendet werden. | Nein | |||||||||
Einstellungen einer eigenen MDM-Payload für Apple-Geräte
Um einer App oder Binärdatei den Zugriff auf eine der Datenschutzklassen zu gewähren bzw. untersagen, kannst du eine eigene Payload erstellen, die folgende Anforderungen erfüllen muss:
Voraussetzung | Beschreibung | Beispiel | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
ID-Typ | Gib eine Paket-ID oder einen Dateipfad an. | Paket-ID | |||||||||
ID-Name oder Dateipfad | Lege den Namen der Paket-ID oder den tatsächlichen Dateipfad fest. | Paket-ID: com.MeineOrganisation.AppName Dateipfad: /Programme/App-Name | |||||||||
Erlauben oder ablehnen | Angeben, ob der App Zugriff gewährt oder untersagt wird. | Erlauben: Wahr Verweigern: Falsch | |||||||||
Voraussetzung für die Code-Signierung | Lege den tatsächlichen Wert der Code-Signierung fest. Öffne die App „Terminal“ und führe den folgenden Befehl aus, um den Wert abzurufen:
| App: Binär: Hinweis: Die speziellen Anforderungen für Apps und Binärdateien, die nicht von Apple bereitgestellt werden, sind möglicherweise sehr viel länger. Alle Angabe nach „designated =>“ sollten in deinem Profil enthalten sein. | |||||||||
Kommentar | Hier kann ein optionaler Kommentar hinzugefügt werden. | Erlaubt der App meiner Organisation, ohne Aufforderung an den Benutzer mit allen Dateien zu interagieren. | |||||||||
Ein vollständiges Beispiel dieser eigenen Payload enthält der Abschnitt Beispiele für eigene Payload in der Richtliniensteuerung in der Systemeinstellung „Sicherheit“. Werden nach der Erstellung und Implementierung deiner eigenen Payload weiterhin Aufforderungsfenster angezeigt, kannst du mit dem folgenden Befehl versuchen, die verantwortliche App oder Binärdatei, auf die der Zugriff erlaubt werden soll, in Echtzeit zu identifizieren:
log stream --debug --predicate 'subsystem == "com.apple.TCC" AND eventMessage BEGINSWITH "AttributionChain"'
Hinweis: Jeder MDM-Anbieter implementiert diese Einstellungen auf unterschiedliche Weise. In der Herstellerdokumentation zur jeweiligen MDM-Lösung wird beschrieben, wie Einstellungen für die Richtliniensteuerung in der Systemeinstellung „Sicherheit“ auf Geräte angewendet werden.