Položky nastavení MDM v datové části Privacy Preferences Policy Control pro zařízení Apple
Pomocí položek v datové části Privacy Preferences Policy Control můžete na počítačích Mac zaregistrovaných ve službě správy mobilních zařízení (MDM) nakonfigurovat správu voleb na panelu Soukromí v předvolbách Zabezpečení a soukromí. Pokud existuje více datových částí tohoto typu, použijí se přísnější nastavení. Při použití této datové části prostřednictvím MDM je vyžadován dohled.
Datová část Privacy Preferences Policy Control podporuje následující položky. Další informace najdete v části Informace o datových částech.
Podporovaná metoda schvalování: Je nutné schválení uživatelem.
Podporovaná metoda instalace: K instalaci je nutná služba MDM.
Podporovaný identifikátor datové části: com.apple.TCC.configuration-profile-policy
Podporované operační systémy a kanály: macOS zařízení.
Podporované typy registrace: registrace zařízení, automatická registrace zařízení.
Povolení duplikátů: Ano – jedno zařízení může obdržet více datových částí Privacy Preferences Policy Control.
V datové části Privacy Preferences lze použít položky nastavení uvedené v následujících tabulkách.
Obecná nastavení
Nastavení | Popis | Povinná | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Zpřístupnění | Umožňuje vybraným aplikacím ovládat Mac prostřednictvím API pro zpřístupnění. | Ne | |||||||||
AppleEvents | Povolí vybraným aplikacím posílat omezené události AppleEvent do jiného procesu. | Ne | |||||||||
Bluetooth | Povolí vybraným aplikacím přístup k Bluetooth zařízením. | Ne | |||||||||
Kalendář | Povolí vybraným aplikacím přístup k událostem spravovaným aplikací Kalendář. | Ne | |||||||||
Kamera | Umožňuje zakázat vybraným aplikacím přistup k fotoaparátu. | Ne | |||||||||
Kontakty | Povolí vybraným aplikacím přístup ke kontaktním údajům spravovaným aplikací Kontakty. | Ne | |||||||||
Desktop Folder | Povolí vybraným aplikacím přístup ke složce Plocha | Ne | |||||||||
Documents Folder | Povolí vybraným aplikacím přístup ke složce Dokumenty. | Ne | |||||||||
Downloads Folder | Povolí vybraným aplikacím přístup ke složce Stahování. | Ne | |||||||||
Input devices | Určuje, které schválené aplikace mají nastaven přístup k vstupním zařízením (myš, klávesnice, trackpad). | Ne | |||||||||
Media library | Povolí vybraným aplikacím přístup k aplikaci Hudba, informacím o aktivitě hudby a videí a knihovně médií. | Ne | |||||||||
Mikrofon | Umožňuje zakázat vybraným aplikacím přistup k mikrofonu. | Ne | |||||||||
Network volumes | Povolí vybraným aplikacím přístup k souborům na síťových svazcích. | Ne | |||||||||
Fotky | Povolí vybraným aplikacím přístup k obrázkům spravovaným aplikací Fotky v umístění: /Uživatelé/jméno uživatele/Obrázky/Knihovna fotografií Poznámka: Pokud uživatelé umístí knihovnu fotografií jinam, nebude před přístupem z aplikací chráněna. | Ne | |||||||||
Post Event | Povolí vybraným aplikacím používat API CoreGraphics k posílání událostí CGEvents do streamu systémových událostí. | Ne | |||||||||
Reminders | Povolí vybraným aplikacím přístup k datům spravovaným aplikací Připomínky. | Ne | |||||||||
Removable volumes | Povolí vybraným aplikacím přístup k souborům na výměnných svazcích. | Ne | |||||||||
Screen recording | Umožňuje zakázat vybraným aplikacím snímat (číst) obsah monitoru počítače. Další informace viz Povolení záznamu obrazovky pro příklad datové části pro aplikaci. | Ne | |||||||||
Speech recognition | Povolí vybraným aplikacím používat rozpoznávání řeči a posílat data řeči společnosti Apple. | Ne | |||||||||
System Policy All Files | Povolí vybraným aplikacím přístup k datům Mailu, Zpráv, Safari, Domácnosti, zálohám v Time Machine a některým správcovským nastavením u všech uživatelů Macu. | Ne | |||||||||
System Policy administrator files | Povolí vybraným aplikacím přístup k některým souborům používaným správci systému. | Ne | |||||||||
Položky nastavení MDM v datové části Custom pro zařízení Apple
Pokud chcete povolit nebo zakázat přístup některé aplikace nebo binárního souboru k jedné ze tříd soukromí dat, můžete vytvořit vlastní datovou část, která musí splňovat následující požadavky:
Požadavek | Popis | Příklad | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Typ identifikátoru | Zadejte bundleID nebo cestu k souboru. | ID balíku | |||||||||
Název identifikátoru nebo cesta k souboru | Zadejte identifikační název balíku nebo skutečnou cestu k souboru. | ID balíku: com.MyOrganization.AppName Cesta k souboru: /Aplikace/AppName | |||||||||
Povolit nebo odepřít | Určete, zda bude aplikaci povolen nebo odepřen přístup. | Povolit: Pravda Zakázat: Nepravda | |||||||||
Požadavek na podepsání kódu | Zadejte skutečnou hodnotu podepsání kódu. Chcete-li hodnotu načíst, otevřete aplikaci Terminál a spusťte následující příkaz:
| Aplikace: Binární soubor: Poznámka: Aplikace a binární soubory, které nebyly poskytnuty společností Apple, mohou mít mnohem delší určené požadavky. Vše, co následuje za „designated =>“ by mělo být zahrnuto ve vašem profilu. | |||||||||
Comment | Můžete přidat nepovinný komentář. | Povolí aplikacím organizace interakci se všemi soubory bez zobrazení výzvy uživateli. | |||||||||
Úplný příklad této datové části viz Příklady vlastní datové části Privacy Preferences Policy Control. Když se vám po sestavení a nasazení vlastní datové části boudou nadále zobrazovat dialogové výzvy, můžete aplikaci nebo binární soubor, kterému se pokoušíte udělit přístup, identifikovat v reálném čase pomocí následujícího příkazu:
log stream --debug --predicate 'subsystem == "com.apple.TCC" AND eventMessage BEGINSWITH "AttributionChain"'
Poznámka: Implementace těchto položek nastavení se u různých dodavatelů MDM liší. Informace o tom, jak se položky nastavení Privacy Preferences Policy Control uplatní u vašich zařízení, najdete v dokumentaci od dodavatele služby MDM.