Instellingen voor de MDM-payload 'Regelaar voor voorkeurenpaneel 'Privacy'' voor Apple apparaten
Je kunt instellingen configureren voor de payload 'Regelaar voor voorkeurenpaneel 'Privacy'' op Mac-computers die bij een MDM-oplossing (Mobile Device Management) zijn ingeschreven om de instellingen in het paneel 'Privacy' van de voorkeuren voor 'Beveiliging en privacy' te beheren. Als er meerdere payloads van dit type zijn, worden de strengste instellingen gebruikt. Voor het toepassen van deze payload met MDM is toezicht vereist.
De payload 'Regelaar voor voorkeurenpaneel 'Privacy'' ondersteunt het volgende. Zie Payloadinformatie voor meer informatie.
Ondersteunde goedkeuringsmethode: Hiervoor is goedkeuring van de gebruiker vereist.
Ondersteunde installatiemethode: Moet met een MDM-oplossing worden geïnstalleerd.
ID ondersteunde payload: com.apple.TCC.configuration-profile-policy
Ondersteunde besturingssystemen en kanalen: macOS-apparaat.
Ondersteunde inschrijvingstypen: apparaatinschrijving, automatische apparaatinschrijving.
Duplicaten toegestaan: Waar: Er kunnen meerdere payloads 'Regelaar voor voorkeurenpaneel 'Privacy'' worden aangeboden aan een apparaat.
De instellingen in de onderstaande tabel kunnen worden gebruikt met de payload 'Regelaar voor voorkeurenpaneel 'Privacy''.
Algemene instellingen
Instelling | Beschrijving | Vereist | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Toegankelijkheid | Hiermee sta je specifieke apps toe om de Mac te besturen via Toegankelijkheids-API's. | Nee | |||||||||
AppleEvents | Hiermee sta je specifieke apps toe om een AppleEvent waarvoor beperkingen zijn ingesteld, naar een ander proces te sturen. | Nee | |||||||||
Bluetooth | Hiermee geef je een specifieke app toegang tot Bluetooth-apparaten. | Nee | |||||||||
Agenda | Hiermee geef je specifieke apps toegang tot activiteitgegevens beheerd in Agenda. | Nee | |||||||||
Camera | Hiermee weiger je specifieke apps toegang tot de camera. | Nee | |||||||||
Contacten | Hiermee geef je specifieke apps toegang tot contactgegevens beheerd in Contacten. | Nee | |||||||||
Map 'Bureaublad' | Hiermee geef je specifieke apps toegang tot de map 'Bureaublad'. | Nee | |||||||||
Map 'Documenten' | Hiermee geef je specifieke apps toegang tot de map 'Documenten'. | Nee | |||||||||
Map 'Downloads' | Hiermee geef je specifieke apps toegang tot de map 'Downloads'. | Nee | |||||||||
Invoerapparaten | Hiermee stel je in welke goedgekeurde apps toegang hebben tot invoerapparaten (muis, toetsenbord, trackpad). | Nee | |||||||||
Mediabibliotheek | Hiermee geef je specifieke apps toegang tot Apple Music, muziek- en video-activiteit en de mediabibliotheek. | Nee | |||||||||
Microfoon | Hiermee weiger je specifieke apps toegang tot de microfoon. | Nee | |||||||||
Netwerkvolumes | Hiermee geef je specifieke apps toegang tot bestanden op netwerkvolumes. | Nee | |||||||||
Foto's | Hiermee geef je specifieke apps toegang tot afbeeldingen beheerd in Foto's in: /Gebruikers/gebruikersnaam/Afbeeldingen/Foto's-bibliotheek Opmerking: Als de gebruiker de fotobibliotheek heeft verplaatst, wordt deze niet tegen apps beschermd. | Nee | |||||||||
Publiceer gebeurtenis | Hiermee sta je specifieke apps toe om CoreGraphics-API's te gebruiken om CGEvents naar de systeemgebeurtenissenstroom te sturen. | Nee | |||||||||
Herinneringen | Hiermee geef je specifieke apps toegang tot gegevens beheerd in Herinneringen. | Nee | |||||||||
Verwijderbare volumes | Hiermee geef je specifieke apps toegang tot bestanden op verwijderbare volumes. | Nee | |||||||||
Schermopname | Hiermee geef je specifieke apps geen toestemming om de inhoud van het scherm van het systeem vast te leggen (te lezen). Zie Voorbeeld van een payload voor het toestaan van schermopnamen voor een app voor meer informatie. | Nee | |||||||||
Spraakherkenning | Hiermee geef je specifieke apps toestemming om de spraakherkenningsvoorziening van het systeem te gebruiken en om spraakgegevens naar Apple te sturen. | Nee | |||||||||
Systeembeleid alle bestanden | Hiermee geef je specifieke apps toegang tot gegevens van onder meer Mail, Berichten, Safari, Woning, Time Machine-back‑ups en bepaalde beheerinstellingen voor alle gebruikers op de Mac. | Nee | |||||||||
Systeembeleid beheerdersbestanden | Hiermee geef je specifieke apps toegang tot bepaalde bestanden die door systeembeheerders worden gebruikt. | Nee | |||||||||
Instellingen voor de MDM-payload 'Aangepast' voor Apple apparaten
Om een app of binair bestand toegang tot een van de privacygegevensklassen toe te staan of te weigeren, kun je een aangepaste payload aanmaken die het volgende moet bevatten:
Vereist | Beschrijving | Voorbeeld | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Het type ID | Dit kan een bundel-ID of bestandspad zijn. | Bundel-ID | |||||||||
ID-naam of bestandspad | Geef de bundel-ID-naam of het daadwerkelijke bestandspad op. | Bundel-ID: com.MijnOrganisatie.AppNaam Bestandspad: /Apps/AppNaam | |||||||||
Toestaan of niet toestaan | Geef aan of de app al dan niet toegang krijgt. | Sta toe: Waar Weiger: Onwaar | |||||||||
Vereiste voor codeondertekening | Geef de daadwerkelijke codeondertekeningswaarde op. Om deze waarde te weten te komen, open je de app Terminal en voer je het volgende commando uit:
| App: Binair bestand: Opmerking: Apps en binaire bestanden die niet van Apple afkomstig zijn, hebben mogelijk veel langere vereisten. Alles na "designated =>" moet in je profiel worden opgenomen. | |||||||||
Opmerking | Voeg eventueel een opmerking toe. | Hierdoor kan de app van mijn organisatie alle bestanden verwerken zonder tussenkomst van de gebruiker. | |||||||||
Zie Voorbeelden van een aangepaste payload voor 'Regelaar voor voorkeurenpaneel 'Privacy'' voor een compleet voorbeeld van deze aangepaste payload. Als er nog steeds prompts verschijnen nadat je de aangepaste payload hebt aangemaakt en geïmplementeerd, kun je het volgende commando gebruiken om in realtime de app of het binaire bestand te zoeken waartoe je toegang wilt geven:
log stream --debug --predicate 'subsystem == "com.apple.TCC" AND eventMessage BEGINSWITH "AttributionChain"'
Opmerking: Elke MDM-leverancier implementeert deze instellingen op een andere manier. Als je wilt weten hoe de instellingen voor de payload 'Regelaar voor voorkeurenpaneel 'Privacy'' op je apparaten worden toegepast, raadpleeg je de documentatie van je MDM-leverancier.