Configuración de la carga útil de MDM Control de la política de preferencias de privacidad en dispositivos Apple
Puedes establecer la configuración de la carga útil Control de la política de preferencias de privacidad en computadoras Mac inscritas en una solución de administración de dispositivos móviles (MDM) para administrar la configuración del panel Privacidad del panel de preferencias Seguridad y privacidad. Si hay más de una carga de este tipo, se aplicarán las configuraciones más restrictivas. La aplicación de esta carga útil utilizando una solución MDM requiere de supervisión.
La carga útil Control de la política de preferencias de privacidad es compatible con las siguientes funciones; para obtener más información, consulta Información de la carga útil.
Método de aprobación compatible: requiere la aprobación del usuario.
Método de instalación compatible: requiere una solución de MDM para la instalación.
Identificador de carga útil compatible: com.apple.TCC.configuration-profile-policy
Sistemas operativos y canales compatibles: canal Dispositivo en macOS.
Tipos de inscripción compatibles: perfil Inscripción de dispositivos y perfil Inscripción de dispositivos automatizada.
Duplicados permitidos: verdadero; se pueden enviar varias cargas útiles Control de la política de preferencias de privacidad a un dispositivo.
Puedes usar las configuraciones de las siguientes tablas con la carga útil Preferencias de privacidad.
Configuración general
Configuración | Descripción | Necesario | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Accesibilidad | Permite que las apps especificadas puedan controlar la Mac a través de API de Accesibilidad. | No | |||||||||
AppleEvents | Permite que las apps especificadas puedan enviar un AppleEvent restringido a otro proceso. | No | |||||||||
Bluetooth | Permite que una app especificada acceda a dispositivos Bluetooth. | No | |||||||||
Calendario | Permite que las apps especificadas puedan acceder a la información de los eventos administrada por Calendario. | No | |||||||||
Cámara | Se usa para denegar el acceso a la cámara a las apps especificadas. | No | |||||||||
Contactos | Permite que las apps especificadas puedan acceder a los datos de contacto administrados por Contactos. | No | |||||||||
Carpeta Escritorio | Permite que las apps especificadas accedan a la carpeta Escritorio. | No | |||||||||
Carpeta Documentos | Permite que las apps especificadas accedan a la carpeta Documentos. | No | |||||||||
Carpeta Descargas | Permite que las apps especificadas accedan a la carpeta Descargas. | No | |||||||||
Dispositivos de entrada | Establece qué apps aprobadas tienen acceso específico a los dispositivos de entrada (mouse, teclado y trackpad). | No | |||||||||
Biblioteca de contenido | Permite que las apps especificadas accedan a Apple Music, a la actividad de video y música, y a la biblioteca de contenido. | No | |||||||||
Micrófono | Deniega el acceso al micrófono a las apps especificadas. | No | |||||||||
Volúmenes de red | Permite que las apps especificadas accedan a los archivos que están en los volúmenes de red. | No | |||||||||
Fotos | Permite que las apps especificadas puedan acceder a las imágenes administradas por la app Fotos en: /Usuarios/nombre_usuario/Imágenes/Fototeca Nota: si el usuario puso su fototeca en otra ubicación, no estará protegida de las apps. | No | |||||||||
Publicar evento | Permite que las apps especificadas puedan usar API de CoreGraphics para enviar CGEvents a la secuencia de eventos del sistema. | No | |||||||||
Recordatorios | Permite que las apps especificadas puedan acceder a la información administrada por Recordatorios. | No | |||||||||
Volúmenes extraíbles | Permite que las apps especificadas accedan a los archivos que están en los volúmenes extraíbles. | No | |||||||||
Grabación de pantalla | Deniega el acceso a la captura (lectura) de contenidos de la pantalla del sistema a las apps especificadas. Para obtener más información, consulta el ejemplo de Permitir la grabación de pantalla para una carga útil de app. | No | |||||||||
Reconocimiento de voz | Permite que las apps especificadas usen la función de reconocimiento de voz del sistema y que envíen datos de voz a Apple. | No | |||||||||
Política del sistema de todos los archivos | Permite que las apps especificadas puedan acceder a datos como Mail, Mensajes, Safari, Casa, copias de seguridad de Time Machine y algunas configuraciones administrativas de todos los usuarios de la Mac. | No | |||||||||
Política del sistema de los archivos de administrador | Permite que las apps especificadas puedan acceder a algunos archivos que usan los administradores del sistema. | No | |||||||||
Personalizar la configuración de la carga útil de MDM en dispositivos Apple
Para permitir o no permitir que una app o binario pueda acceder a una de las clases de privacidad de datos, puedes crear una carga útil personalizada que debe cumplir con los siguientes requisitos:
Requisito | Descripción | Ejemplo | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
El tipo de identificador | Especifica el bundleID o la ruta de archivo. | ID de paquete | |||||||||
Nombre de identificador o ruta de archivo | Especifica el nombre del ID de paquete o la ruta de archivo real. | ID de paquete: com.MiOrganización.NombreApp Ruta de archivo: /Aplicaciones/NombreApp | |||||||||
Permitir o denegar | Especifica si se permite o deniega el acceso a la app. | Permitir: verdadero Denegar: falso | |||||||||
El requisito de firma de código | Especifica el valor real de la firma del código. Para obtener el valor, abre la app Terminal y ejecuta el siguiente comando:
| App: Binario: Nota: es posible que las apps y los binarios no proporcionados por Apple tengan unos requisitos designados mucho más largos. Todo lo que aparece después de “designated =>” debería estar incluido en tu perfil. | |||||||||
Comentario | Agrega un comentario opcional. | Permite que la app de mi organización pueda interactuar con todos los archivos sin avisar al usuario. | |||||||||
Para ver un ejemplo completo de esta carga personalizada, consulta Ejemplos de la carga útil Control de la política de preferencias de privacidad personalizada. Después de haber creado e implementado tu carga personalizada, si sigues viendo cuadros de diálogo, puedes usar el siguiente comando para intentar identificar —en tiempo real— la app o binario responsable que está intentando permitir que acceda a:
log stream --debug --predicate 'subsystem == "com.apple.TCC" AND eventMessage BEGINSWITH "AttributionChain"'
Nota: cada proveedor de soluciones de MDM implementa esta configuración de manera diferente. Para obtener información sobre cómo aplicar a tus dispositivos las diferentes opciones de la configuración Control de la política de preferencias de privacidad, consulta la documentación de tu proveedor de MDM.