Apple-alustojen käyttöönotto
- Tervetuloa
- Johdanto Apple-alustojen käyttöönottoon
- Uudet ominaisuudet
-
- Johdatus laitehallinnan suojaukseen
- Pikaturvapäivitykset
- Laitteiden lukitseminen ja paikantaminen
- Laitteiden tyhjentäminen
- Aktivointilukitus
- Lisälaitteiden käyttöoikeuksien hallinta
- Salasanakäytäntöjen valvominen
- Pysyvien tunnisteiden käyttö
- Sisäisten verkkosuojausominaisuuksien käyttö
- Hallitun laitteen todennus
-
-
- Käyttöapu-tietosisällön asetukset
- Active Directory -varmenne ‑tietosisällön asetukset
- AirPlay-tietosisällön asetukset
- AirPlay-suojaus-tietosisällön asetukset
- AirPrint-tietosisällön asetukset
- Appilukitus‑tietosisällön asetukset
- Yhdistetyt domainit -tietosisällön asetukset
- Automated Certificate Management Environment (ACME) ‑tietosisällön asetukset
- Autonominen yhden apin tila ‑tietosisällön asetukset
- Kalenteri-tietosisällön asetukset
- Mobiiliverkko-tietosisällön asetukset
- Yksityisen mobiiliverkon tietosisältöasetukset
- Varmenneasetuksen tietosisältöasetukset
- Varmenteen kumoamisen tietosisältöasetukset
- Varmenteen läpinäkyvyyden tietosisältöasetukset
- Varmenteet-tietosisällön asetukset
- Neuvotteluhuoneen näyttö -tietosisällön asetukset
- Yhteystiedot-tietosisällön asetukset
- Sisältövälimuisti-tietosisällön asetukset
- Hakemistopalvelu-tietosisällön asetukset
- DNS-välipalvelin-tietosisällön asetukset
- DNS-asetukset-tietosisällön asetukset
- Dock-tietosisällön asetukset
- Domainit-tietosisällön asetukset
- Energiansäästäjä-tietosisällön asetukset
- Exchange ActiveSync (EAS) -tietosisällön asetukset
- Exchange Web Services (EWS) -tietosisällön asetukset
- Laajennettava kertakirjautuminen ‑tietosisällön asetukset
- Laajennettava kertakirjautumisen Kerberos ‑tietosisällön asetukset
- Laajennukset-tietosisällön asetukset
- FileVault-tietosisällön asetukset
- Finder-tietosisällön asetukset
- Palomuuri-tietosisällön asetukset
- Fontit-tietosisällön asetukset
- Yleinen HTTP-välipalvelin -tietosisällön asetukset
- Google-tilit-tietosisällön asetukset
- Koti-valikon asettelu -tietosisällön asetukset
- Henkilöllisyyden tietosisällön asetukset
- Identiteettiasetus-tietosisällön asetukset
- Kernel-laajennuskäytäntö-tietosisällön asetukset
- LDAP-tietosisällön asetukset
- Lights Out Management -tietosisällön asetukset
- Lukitun näytön viesti -tietosisällön asetukset
- Sisäänkirjautumisikkuna-tietosisällön asetukset
- Hallitut kirjautumiskohteet ‑tietosisällön asetukset
- Mail-tietosisällön asetukset
- Verkon käyttösäännöt -tietosisällön asetukset
- Ilmoitukset-tietosisällön asetukset
- Käyttörajoitukset-tietosisällön asetukset
- Pääsykoodi-tietosisällön asetukset
- Tulostus-tietosisällön asetukset
- Yksityisyysasetukset-käytännön ohjauksen tietosisältöasetukset
- Välitys-tietosisällön asetukset
- SCEP-tietosisällön asetukset
- Suojaus-tietosisällön asetukset
- Käyttöönottoapuri-tietosisällön asetukset
- Kertakirjautuminen-tietosisällön asetukset
- Älykortti-tietosisällön asetukset
- Tilatut kalenterit -tietosisällön asetukset
- Järjestelmälaajennukset-tietosisällön asetukset
- Järjestelmän siirtäminen -tietosisällön asetukset
- Time Machine -tietosisällön asetukset
- TV-kaukosäädin-tietosisällön asetukset
- Verkkoklipit-tietosisällön asetukset
- Verkkosisällön suodatin -tietosisällön asetukset
- Xsan-tietosisällön asetukset
-
- Deklaratiivinen appimääritys
- Todentamisen tunnistetietojen ja identiteetin deklaratiivinen resurssimäärittely
- Taustatehtävien hallinnan deklaratiivinen määritys
- Kalenterin deklaratiivinen määritys
- Varmenteiden deklaratiivinen määritys
- Yhteystietojen deklaratiivinen määritys
- Exchangen deklaratiivinen määritys
- Google-tilien deklaratiivinen määritys
- LDAP:n deklaratiivinen määritys
- Interaktiivisen vanhan profiilin deklaratiivinen määritys
- Vanhan profiilin deklaratiivinen määritys
- Mailin deklaratiivinen määritys
- Matematiikan ja Laskin-apin deklaratiivinen määritys
- Pääsykoodin deklaratiivinen määritys
- Pääsyavaimen todennuksen deklaratiivinen määritys
- Safari-laajennusten hallinnan deklaratiivinen määritys
- Näytönjaon deklaratiivinen määritys
- Palvelun asetustiedostojen deklaratiivinen määritys
- Ohjelmistopäivityksen deklaratiivinen määritys
- Ohjelmistopäivityksen asetusten deklaratiivinen määritys
- Tallennustilan hallinnan deklaratiivinen määritys
- Tilattujen kalenterien deklaratiivinen määritys
- Sanasto
- Dokumentin versiohistoria
- Copyright
Macin määrittäminen vain älykortilla tapahtuvaa todentamista varten
macOS tukee vain älykortilla todentamista älykortin pakollista käyttöä varten, mikä poistaa kaiken salasanapohjaisen todentamisen käytöstä. Tämä käytäntö koskee kaikkia Mac-tietokoneita, ja sitä voidaan muuttaa käyttäjäkohtaisesti käyttämällä poikkeusryhmää, mikäli käyttäjällä ei ole käytettävissään toimivaa älykorttia.
Vain älykortilla todentamisen laitepohjainen pakottaminen
macOS 10.13.2 tai uudempi tukee todentamista vain älykortilla, jotta älykortin käytöstä voidaan tehdä pakollista. Se poistaa käytöstä kaiken salasanapohjaisen todentamisen, ja siitä käytetään nimitystä laitepohjainen pakottaminen. Jotta tätä ominaisuutta voidaan hyödyntää, älykortin käytön pakottaminen on otettava käyttöön mobiililaitteiden hallintaratkaisulla (MDM) tai käyttämällä seuraavaa komentoa:
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool true
Jos haluat lisätietoja macOS:n määrittämisestä vain älykortilla todentamista varten, katso Applen tukiartikkeli Configure macOS for smart card-only authentication.
Vain älykortilla tapahtuva todentaminen käyttäen käyttäjäpohjaista pakottamista
Käyttäjäpohjaisessa pakottamisessa määritetään käyttäjäryhmä, jolle ei vaadita älykortilla kirjautumista. NotEnforcedGroup-ryhmä sisältää merkkijonoarvon, joka määrittää paikallisen tai hakemiston ryhmän, joka ei ole pakollisen älykortin käytön piirissä. Tätä kutsutaan joskus käyttäjäpohjaiseksi pakottamiseksi, ja sen avulla älykorttipalveluita voidaan säädellä käyttäjäkohtaisesti. Jotta tätä ominaisuutta voidaan hyödyntää, ensin on otettava käyttöön laitepohjainen pakottaminen mobiililaitteiden hallintaratkaisulla (MDM) tai käyttämällä seuraavaa komentoa:
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool true
Lisäksi järjestelmä täytyy määrittää sallimaan salasanalla kirjautuminen niille käyttäjille, joille ei ole liitetty älykorttia:
sudo defaults write /Library/Preferences/com.apple.security.smartcard allowUnmappedUsers -int 1
Käytä alla olevaa /private/etc/SmartcardLogin.plist-tiedoston esimerkkiä mallina. Käytä poikkeusryhmälle nimeä EXEMPT_GROUP. Tähän ryhmään lisätyn käyttäjän ei tarvitse kirjautua älykortilla, kunhan hänet on määritetty ryhmän jäseneksi ja ryhmä on määritetty muodostamaan poikkeus. Varmista muokkaamisen jälkeen, että omistaja on root ja että tiedosto on oikeuksistaan kaikkien luettava.
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>AttributeMapping</key>
<dict>
<key>dsAttributeString</key>
<string>dsAttrTypeStandard:AltSecurityIdentities</string>
<key>fields</key>
<array>
<string>NT Principal Name</string>
</array>
<key>formatString</key>
<string>Kerberos:$1</string>
</dict>
<key>NotEnforcedGroup</key>
<string>EXEMPT_GROUP</string>
</dict>
</plist>