Definições de carga útil de MDM do controlo das normas das preferências de privacidade para dispositivos Apple
Pode configurar definições de carga útil do controlo das normas das preferências de privacidade em computadores Mac registados numa solução de gestão de dispositivos móveis (MDM) para gerir as definições no painel Privacidade do painel de preferências Segurança e Privacidade. Se houver várias cargas úteis deste tipo, são usadas as definições mais restritivas. A aplicação desta carga útil com a solução MDM requer supervisão.
A carga útil do controlo das normas das preferências de privacidade suporta o seguinte. Encontrará informação adicional em Informação sobre a carga útil.
Método de aprovação suportado: requer a aprovação do utilizador.
Método de instalação suportado: requer uma solução MDM para a instalação.
Identificador de carga útil suportado: com.apple.TCC.configuration-profile-policy
Sistemas operativos e canais compatíveis: dispositivo macOS.
Tipos de registo suportados: registo do dispositivo, registo automático de dispositivos.
Duplicados permitidos: verdadeiro — várias cargas úteis do controlo das normas das preferências de privacidade podem ser entregues a um dispositivo.
É possível usar as definições das tabelas abaixo com a carga útil de preferências de privacidade.
Definições gerais
Definição | Descrição | Necessário | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Accessibility (Acessibilidade) | Permite que aplicações especificadas controlem o Mac através de API de Acessibilidade. | Não | |||||||||
AppleEvents | Permite que aplicações especificadas enviem um AppleEvent restrito a outro processo. | Não | |||||||||
Bluetooth | Permite que uma aplicação especificada aceda a dispositivos Bluetooth. | Não | |||||||||
Calendar (Calendário) | Permite que aplicações especificadas acedam a informações de eventos geridas pela aplicação Calendário. | Não | |||||||||
Camera (Câmara) | Use para negar o acesso de aplicações especificadas à câmara. | Não | |||||||||
Contacts (Contactos) | Permite que aplicações especificadas acedam a informações de contacto geridas pela aplicação Contactos. | Não | |||||||||
Desktop Folder (Pasta Secretária) | Permite que aplicações especificadas acedam à pasta Secretária. | Não | |||||||||
Documents Folder (Pasta Documentos) | Permite que aplicações especificadas acedam à pasta Documentos. | Não | |||||||||
Downloads Folder (Pasta para descargas) | Permite que aplicações especificadas acedam à pasta Descargas. | Não | |||||||||
Input devices (Dispositivos de entrada) | Defina que aplicações aprovadas têm acesso a dispositivos de entrada (rato, teclado, trackpad). | Não | |||||||||
Media library (Biblioteca de multimédia) | Permite que aplicações especificadas acedam a Apple Music, a atividade de música e vídeo, e à biblioteca multimédia. | Não | |||||||||
Microphone (Microfone) | Negue o acesso de aplicações especificadas ao microfone. | Não | |||||||||
Network volumes (Volumes de rede) | Permite que aplicações especificadas acedam a ficheiros em volumes de rede. | Não | |||||||||
Photos (Fotografias) | Permite que aplicações especificadas acedam a imagens geridas pela aplicação Fotografias em: /Utilizadores/nome de utilizador/Imagens/Biblioteca de fotografias Nota: se o utilizador colocar a biblioteca de fotografias noutro lado, não será protegida das aplicações. | Não | |||||||||
Post Event (Pós-evento) | Permite que aplicações especificadas usem API CoreGraphics para enviar CGEvents à sequência de eventos do sistema. | Não | |||||||||
Reminders (Lembretes) | Permite que aplicações especificadas acedam a informações geridas pela aplicação Lembretes. | Não | |||||||||
Removable volumes (Volumes amovíveis) | Permite que aplicações especificadas acedam a ficheiros em volumes amovíveis. | Não | |||||||||
Screen recording (Gravação de ecrã) | Rejeite o acesso de aplicações especificadas à captura (leitura) dos conteúdos do monitor do sistema. Encontrará informação adicional em Permitir a gravação de ecrã para um exemplo de carga útil da aplicação. | Não | |||||||||
Speech recognition (Reconhecimento de voz) | Permite que aplicações especificadas usem a funcionalidade de reconhecimento de fala do sistema e enviem dados de fala à Apple. | Não | |||||||||
System Policy All Files (Todos os ficheiros das normas do sistema) | Permite que aplicações especificadas acedam a dados como Mail, Mensagens, Safari, Casa, cópias de segurança do Time Machine e determinadas definições administrativas para todos os utilizadores do Mac. | Não | |||||||||
System Policy administrator files (Ficheiros de administrador das normas do sistema) | Permite que aplicações especificadas acedam a alguns ficheiros usados por administradores do sistema. | Não | |||||||||
Definições de carga útil de MDM personalizada para dispositivos Apple
Para autorizar ou desautorizar o acesso de uma aplicação ou um binário às classes de privacidade de dados, pode criar uma carga útil personalizada que tem de cumprir os seguintes requisitos:
Requisito | Descrição | Exemplo | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
The type of identifier (O tipo de identificador) | Especifique o bundleID ou caminho de ficheiro. | ID de pacote | |||||||||
Identifier name or file path (Nome de identificador ou caminho de ficheiro) | Especifica o nome da ID do pacote ou o caminho de ficheiro efetivo. | ID de pacote: com.aminhaorganização.nomedaaplicação Caminho do ficheiro: /Aplicações/Nomedaaplicação | |||||||||
Allow or deny (Permitir ou negar) | Especifique se aplicação tem ou não permissão para aceder. | Permitir: Verdadeiro Recusar: Falso | |||||||||
The code signing requirement (O requisito de assinatura de código) | Especifica o valor efetivo de assinatura de código. Para obter o valor, abra a aplicação Terminal e execute o seguinte comando:
| Aplicação: Binário: Nota: os binários e aplicações não fornecidos pela Apple poderão ter requisitos designados muito mais longos. Tudo após “designated =>” deve ser incluído no perfil. | |||||||||
Comment (Comentário) | Adicionar um comentário opcional. | Permite que a aplicação da minha organização interaja com todos os ficheiros sem pedir permissão ao utilizador. | |||||||||
Encontrará um exemplo completo desta carga útil personalizada em Exemplos de carga útil personalizada do controlo das normas das preferências de privacidade. Se depois de ter criado e implementado a carga útil personalizada ainda continuar a ver caixas de diálogo, pode usar o seguinte comando para experimentar identificar — em tempo real — a aplicação ou o binário responsável ao qual está a tentar autorizar o acesso:
log stream --debug --predicate 'subsystem == "com.apple.TCC" AND eventMessage BEGINSWITH "AttributionChain"'
Nota: cada fornecedor de MDM implementa essas definições de forma diferente. Para saber como as várias definições de controlo das normas das preferências de privacidade são aplicadas aos seus dispositivos, consulte a documentação do seu fornecedor de MDM.