Apple 기기의 개인정보 보호 환경설정 정책 제어 MDM 페이로드 설정
MDM(모바일 기기 관리) 솔루션에 등록된 Mac 컴퓨터에서 개인정보 기본 환경설정 정책 제어 페이로드 설정을 구성하여 보안 및 개인정보 환경설정의 개인정보 보호 패널에서 설정을 관리할 수 있습니다. 이 유형의 페이로드가 둘 이상 있는 경우, 더 많은 제한 설정이 사용됩니다. MDM을 사용하여 이 페이로드를 적용하려면 감독이 필요합니다.
개인정보 보호 환경설정 정책 제어 페이로드는 다음을 지원합니다. 자세한 정보는 페이로드 정보의 내용을 참조하십시오.
지원되는 승인 방법: 사용자 승인이 필요합니다.
지원되는 설치 방법: 설치 시 MDM 솔루션이 필요합니다.
지원되는 페이로드 식별자: com.apple.TCC.configuration-profile-policy
지원되는 운영 체제 및 채널: macOS 기기.
지원되는 등록 유형: 기기 등록 및 자동 기기 등록.
중복 허용: 참—둘 이상의 개인정보 보호 환경설정 정책 제어 페이로드만 기기로 전송될 수 있습니다.
개인정보 보호 환경설정 페이로드로 아래 표의 설정을 사용할 수 있습니다.
일반 설정
설정 | 설명 | 필수사항 | |||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
손쉬운 사용 | 특정 앱이 손쉬운 사용 API를 통해 Mac을 제어하도록 허용합니다. | 아니요 | |||||||||
AppleEvents | 특정 앱이 제한된 AppleEvent를 다른 프로세스로 보내도록 허용합니다. | 아니요 | |||||||||
Bluetooth | 특정한 앱이 Bluetooth 기기에 접근할 수 있도록 허용합니다. | 아니요 | |||||||||
캘린더 | 캘린더에 의해 관리되는 이벤트 정보에 특정 앱의 접근을 허용합니다. | 아니요 | |||||||||
카메라 | 특정 앱이 카메라에 접근할 수 없도록 합니다. | 아니요 | |||||||||
연락처 | 연락처 앱에 의해 관리되는 연락처 정보에 특정 앱의 접근을 허용합니다. | 아니요 | |||||||||
데스크탑 폴더 | 특정한 앱이 데스크탑 폴더에 접근할 수 있도록 허용합니다. | 아니요 | |||||||||
문서 폴더 | 특정한 앱이 문서 폴더에 접근할 수 있도록 허용합니다. | 아니요 | |||||||||
다운로드 폴더 | 특정한 앱이 다운로드 폴더에 접근할 수 있도록 허용합니다. | 아니요 | |||||||||
입력 기기 | 어느 승인된 앱이 입력 기기(마우스, 키보드, 트랙패드)에 특정한 접근 권한을 가질지 설정합니다. | 아니요 | |||||||||
미디어 보관함 | 특정한 앱이 Apple Music, 음악 및 비디오 활동, 미디어 보관함에 접근할 수 있도록 허용합니다. | 아니요 | |||||||||
마이크 | 특정한 앱이 마이크에 접근할 수 없도록 합니다. | 아니요 | |||||||||
네트워크 볼륨 | 특정한 앱이 네트워크 볼륨에 있는 파일에 접근할 수 있도록 허용합니다. | 아니요 | |||||||||
사진 | 사진 앱에 의해 관리되는 다음 위치의 사진에 특정 앱의 접근을 허용합니다. /사용자/사용자 이름/사진/사진 보관함 참고: 사용자가 사진 보관함을 다른 위치에 둘 경우 앱의 보호를 받지 못합니다. | 아니요 | |||||||||
이벤트 게시 | 특정 앱이 CoreGraphics API를 사용하여 시스템 이벤트 스트리밍으로 CGEvent를 보내도록 허용합니다. | 아니요 | |||||||||
미리 알림 | 미리 알림에 의해 관리되는 정보에 특정 앱의 접근을 허용합니다. | 아니요 | |||||||||
제거 가능한 볼륨 | 특정한 앱이 제거 가능한 볼륨에 있는 파일에 접근할 수 있도록 허용합니다. | 아니요 | |||||||||
화면 기록 | 특정한 앱이 시스템 디스플레이 콘텐츠 캡처(읽기) 데이터에 접근하지 못하게 합니다. 자세한 정보는 앱 페이로드 예시를 위한 화면 기록 허용하기를 참조하십시오. | 아니요 | |||||||||
음성 인식 | 특정한 앱이 시스템 음성 인식 기능을 사용하고 음성 데이터를 Apple에 전송하도록 허용합니다. | 아니요 | |||||||||
시스템 정책 모든 파일 | Mail, 메시지, Safari, 홈, Time Machine 백업과 같은 데이터 및 Mac의 모든 사용자용 관리 설정에 특정 앱의 접근을 허용합니다. | 아니요 | |||||||||
시스템 정책 관리 파일 | 시스템 관리자에 의해 사용되는 일부 파일에 특정 앱의 접근을 허용합니다. | 아니요 |
Apple 기기의 사용자화 MDM 페이로드 설정
앱 또는 바이너리가 데이터의 개인정보 보호 클래스 중 하나에 접근을 허용하거나 거절하도록 사용자화 페이로드를 생성할 수 있으며, 이때 다음 요구 사항을 충족해야 합니다.
요구 사항 | 설명 | 예 | |||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
식별자 유형 | 번들 ID 또는 파일 경로 중 하나를 지정합니다. | 번들 ID | |||||||||
식별자 이름 또는 파일 경로 | 번들 ID 이름 또는 실제 파일 경로를 지정합니다. | 번들 ID: com.MyOrganization.AppName 파일 경로: /Applications/AppName | |||||||||
허용 또는 거부 | 해당 앱의 접근을 허용할지 거절할지를 결정합니다. | 허용: 참 거부: 거짓 | |||||||||
코드 서명 요구 사항 | 실제 코드 서명 값을 지정합니다. 값을 가져오려면 터미널 앱을 열고 다음 명령을 실행하십시오.
| 앱: 바이너리: 참고: Apple이 제공하지 않는 앱 및 바이너리의 경우 훨씬 긴 지정된 요구 사항이 필요할 수 있습니다. ‘designated =>’ 뒤의 모든 내용은 프로필에 포함되어야 합니다. | |||||||||
설명 | 설명(선택사항)을 추가합니다. | 사용자에게 알림 없이 조직의 앱이 모든 파일과 상호 작용하도록 허용합니다. |
이 사용자 설정 페이로드의 전체 예시를 보려면 개인 정보 보호 환경설정 정책 제어 사용자 설정 페이로드 예시를 참조하십시오. 사용자 설정 페이로드를 구축 및 배포한 후에도 대화상자 지침이 보일 경우, 다음 명령을 사용하여 사용자가 접근 허용을 시도하는 책임지는 앱 또는 바이너리를 실시간으로 식별하도록 시도할 수 있습니다.
log stream --debug --predicate 'subsystem == "com.apple.TCC" AND eventMessage BEGINSWITH "AttributionChain"'
참고: 각 MDM 공급업체는 이러한 설정을 다르게 구현합니다. 개인정보 보호 환경설정 정책 제어 설정이 사용자의 기기에 적용되는 방식을 알아보려면 MDM 공급업체 문서를 참조하십시오.