Réglages des données utiles MDM Contrôle de politique de préférences Confidentialité pour les appareils Apple
Vous pouvez configurer les réglages des données utiles « Contrôle de politique de préférences Confidentialité » pour les ordinateurs Mac inscrits à une solution de gestion des appareils mobiles (MDM), afin de gérer les réglages dans la sous-fenêtre Confidentialité des préférences « Sécurité et confidentialité ». S’il existe plusieurs données utiles de ce type, les réglages les plus restrictifs sont utilisés. L’application de ces données utiles via une solution MDM requiert la supervision.
Les données utiles « Contrôle de politique de préférences Confidentialité » prennent en charge ce qui suit. Pour plus d’informations, consultez la section Informations relatives aux données utiles.
Méthode d’autorisation prise en charge : Nécessite l’approbation de l’utilisateur.
Méthode d’installation prise en charge : Nécessite une solution MDM pour l’installer.
Identifiant des données utiles pris en charge : com.apple.TCC.configuration-profile-policy
Systèmes d’exploitation et canaux pris en charge : Appareil macOS.
Types d’inscriptions prises en charge : Inscription d’appareils, Inscription automatisée d’appareils.
Doublons autorisés : Vrai, plusieurs ensembles de données utiles « Contrôle de politique de préférences Confidentialité » peuvent être fournis à un appareil.
Vous pouvez utiliser les réglages des tableaux ci-dessous avec les données utiles des préférences Confidentialité.
Réglages Général
Réglage | Description | Requis | |||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
Accessibilité | Autorise les apps indiquées à contrôler le Mac via des API d’accessibilité. | Non | |||||||||
AppleEvents | Autorise les apps indiquées à envoyer un AppleEvent restreint à un autre processus. | Non | |||||||||
Bluetooth | Autorise une app particulière à accéder aux appareils Bluetooth. | Non | |||||||||
Calendrier | Autorise les apps indiquées à accéder aux informations relatives aux évènements gérées par Calendrier. | Non | |||||||||
Appareil | Sert à refuser l’accès des apps indiquées à l’appareil photo. | Non | |||||||||
Contacts | Autorise les apps indiquées à accéder à des coordonnées gérées par Contacts. | Non | |||||||||
Dossier Bureau | Autorise des apps spécifiées à accéder au dossier Bureau. | Non | |||||||||
Dossier Documents | Autorise des apps spécifiées à accéder au dossier Documents. | Non | |||||||||
Dossier Téléchargements | Autorise des apps spécifiées à accéder au dossier Téléchargements. | Non | |||||||||
Périphériques d’entrée | Définissez quelles apps approuvées possèdent un accès spécifié aux périphériques d’entrée (souris, clavier, trackpad). | Non | |||||||||
Bibliothèque multimédia | Autorise les apps spécifiées à accéder à Apple Music, à l’activité musicale et vidéo et à la bibliothèque multimédia. | Non | |||||||||
Microphone | Refuser l’accès des apps indiquées au micro. | Non | |||||||||
Volume de réseau | Autorise des apps spécifiées à accéder à des fichiers sur des volumes de réseau. | Non | |||||||||
Photos | Autorise les apps indiquées à accéder aux images gérées par l’app Photos dans : /Utilisateurs/nom d’utilisateur/Images/Photothèque Remarque : si l’utilisateur place sa photothèque ailleurs, elle ne sera pas protégée des apps. | Non | |||||||||
Publier un évènement | Autorise les apps indiquées à utiliser des API CoreGraphics pour envoyer des CGEvents à la diffusion de l’évènement système. | Non | |||||||||
Rappels | Autorise les apps indiquées à accéder aux informations gérées par Calendrier. | Non | |||||||||
Volumes amovibles | Autorise des apps spécifiées à accéder à des fichiers sur des volumes amovibles. | Non | |||||||||
Enregistrement de l’écran | Empêche aux apps spécifiées d’accéder à la capture (lecture) du contenu de l’écran du système. Pour en savoir plus, consultez la rubrique Autorisation des enregistrements d’écran pour les exemples de données utiles d’une app. | Non | |||||||||
Reconnaissance vocale | Autorise les apps spécifiées à utiliser la fonctionnalité « Reconnaissance vocale » et à envoyer des données relatives à Apple. | Non | |||||||||
Tous les fichiers de Politique système | Autorise les apps indiquées à accéder à des données telles que Mail, Messages, Safari, Home, les sauvegardes Time Machine et certains réglages administratifs pour tous les utilisateurs du Mac. | Non | |||||||||
Fichiers d’administrateur de Politique système | Autorise les apps indiquées à accéder à certains fichiers utilisés par les administrateurs système. | Non |
Réglages des données utiles MDM Personnaliser pour les appareils Apple
Pour autoriser ou non une app ou un binaire à accéder à l’une des classes de confidentialité de données, vous pouvez créer des données utiles personnalisées et devez respecter les exigences suivantes :
Obligatoire | Description | Exemple | |||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
Le type d’identifiant | Indiquez un identifiant de paquet ou un emplacement de fichier. | Identifiant de paquet | |||||||||
Nom d’identifiant ou emplacement de fichier | Indiquez le nom de l’identifiant de paquet ou l’emplacement du fichier. | ID du paquet : com.MonEntreprise.NomApp Emplacement du fichier : /Applications/NomApp | |||||||||
Permettre ou refuser | Indiquez si l’accès est autorisé ou refusé pour l’app. | Autoriser : Vrai Refuser : Faux | |||||||||
L’exigence en matière de signature de code | Indiquez la valeur de la signature de code. Pour obtenir la valeur, ouvrez l’app Terminal et exécutez la commande suivante :
| App : Binaire : Remarque : les apps et les binaires non fournis par Apple peuvent posséder des exigences désignées bien plus longues. Tout ce qui suit “désigné =>” doit être inclus dans votre profil. | |||||||||
Commenter | Ajouter un commentaire facultatif. | Autorise l’app de mon organisation à interagir avec tous les fichiers, sans que cela soit demandé à l’utilisateur. |
Pour afficher un exemple complet de ces données utiles personnalisées, consultez Exemples de données utiles personnalisées Contrôle de politique de préférences Confidentialité. Une fois que vous avez créé et déployé vos données utiles personnalisées, si des zones de dialogue s’affichent toujours, vous pouvez utiliser la commande suivante pour essayer d’identifier, en temps réel, l’app ou le binaire responsable auquel vous essayez d’accorder l’accès :
log stream --debug --predicate 'subsystem == "com.apple.TCC" AND eventMessage BEGINSWITH "AttributionChain"'
Remarque : chaque fournisseur de solution MDM met en œuvre ces réglages de sa propre façon. Pour découvrir comment les réglages « Contrôle de politique de préférences Confidentialité » sont appliqués à vos appareils, consultez la documentation de votre fournisseur de solution MDM.