Implementação da Plataforma Apple
- Conheça a Implementação da Plataforma Apple
- Introdução à implementação da plataforma Apple
- Novidades
-
- Introdução ao gerenciamento da segurança de dispositivos
- Proteções Rápidas
- Bloquear e localizar dispositivos
- Apagamento de dispositivos
- Bloqueio de Ativação
- Gerenciar o acesso de acessórios
- Aplicar políticas de senha
- Usar tokens persistentes
- Usar recursos de segurança de rede integrados
- Atestado de Dispositivos Gerenciados
-
-
- Ajustes do payload de Acessibilidade
- Ajustes do payload de Certificado do Active Directory
- Ajustes do payload de AirPlay
- Ajustes do payload de Segurança do AirPlay
- Ajustes do payload de AirPrint
- Ajustes do payload de Bloqueio de App
- Ajustes do payload de Domínios Associados
- Ajustes do payload de Ambiente Automatizado de Gerenciamento de Certificados (ACME)
- Ajustes do payload de Modo de App Autônomo Único
- Ajustes do payload Calendário
- Ajustes do payload Celular
- Ajustes do payload de Rede Celular Privada
- Ajustes do payload de Preferência de Certificado
- Ajustes do payload de Certificate Revocation
- Ajustes do payload de Transparência de Certificado
- Ajustes do payload Certificados
- Ajustes do payload de Tela da Sala de Conferência
- Ajustes do payload de Contatos
- Ajustes do payload de Cache de Conteúdo
- Ajustes do payload de Serviço de Diretório
- Ajustes do payload de Proxy DNS
- Ajustes do payload de Ajustes de DNS
- Ajustes do payload do Dock
- Ajustes do payload de Domínios
- Ajustes do payload do Economizador de Energia
- Ajustes do payload do Exchange ActiveSync (EAS)
- Ajustes do payload do Exchange Web Services (EWS)
- Ajustes do payload de Início de Sessão Único Extensível
- Ajustes do payload de Início de Sessão Único Extensível com Kerberos
- Ajustes do payload Extensões
- Ajustes do payload FileVault
- Ajustes de payload do Finder
- Ajustes do payload Firewall
- Ajustes do payload de Fontes
- Ajustes do payload de Proxy HTTP Global
- Ajustes do payload de Contas do Google
- Ajustes do payload de Layout da Tela de Início
- Ajustes do payload Identificação
- Ajustes do payload de Preferência de Identidade
- Ajustes do payload Política de Extensão de Kernel
- Ajustes do payload LDAP
- Ajustes do payload de Gerenciamento Remoto
- Ajustes do payload de Mensagem da Tela Bloqueada
- Ajustes do payload Janela de Início de Sessão
- Ajustes do payload de Itens de Início Gerenciados
- Ajustes do payload do Mail
- Ajustes do payload de Regras de Uso de Rede
- Ajustes do payload de Notificações
- Ajustes do payload de Controles Parentais
- Ajustes do payload Código
- Ajustes do payload de Impressão
- Ajustes do payload Controle de Política das Preferências de Privacidade
- Ajustes do payload de Retransmissão
- Ajustes do payload SCEP
- Ajustes do payload Segurança
- Ajustes do payload do Assistente de Configuração
- Ajustes do payload Início de Sessão Único
- Ajustes do payload Smart Card
- Ajustes do payload Calendários Assinados
- Ajustes do payload de Extensões do Sistema
- Ajustes do payload de Migração do Sistema
- Ajustes do payload Time Machine
- Ajustes do payload TV Remote
- Ajustes do payload de Web Clips
- Ajustes do payload de Filtro de Conteúdo da Web
- Ajustes do payload Xsan
-
- Configuração declarativa de apps
- Declaração de credenciais de autenticação e ativos de identidade
- Gerenciamento de tarefas em segundo plano declarativo
- Configuração declarativa de Calendário
- Configuração declarativa de Certificados
- Configuração declarativa de Contatos
- Configuração declarativa do Exchange
- Configuração declarativa de Contas do Google
- Configuração declarativa de LDAP
- Configuração declarativa de perfil interativo Legado
- Configuração declarativa de perfil Legado
- Configuração declarativa de E-mail
- Configuração declarativa de Cálculos e do app Calculadora
- Configuração declarativa de Código
- Configuração declarativa de Atestado de Chave‑senha
- Configuração declarativa de gerenciamento de extensões do Safari
- Configuração declarativa de Compartilhamento de Tela
- Configuração declarativa de arquivos de configuração de serviços
- Configuração declarativa de Atualização de Software
- Configuração declarativa de ajustes de Atualização de Software
- Configuração declarativa de gerenciamento de armazenamento
- Configuração declarativa de Calendários Assinados
- Glossário
- Histórico de revisões do documento
- Copyright
Configurar o Mac para autenticação somente via smart card
O macOS é compatível com autenticação somente via smart card para o uso obrigatório de um smart card, o que desativa totalmente a autenticação por senha. Essa política é estabelecida em todos os computadores Mac e pode ser alterada individualmente por usuário, por meio de um grupo de exceção, no caso de um usuário não ter um smart card disponível.
Autenticação somente via smart card com exigência por máquina
O macOS 10.13.2 ou posterior é compatível com autenticação somente via smart card para o uso obrigatório de um smart card, o que desativa totalmente a autenticação por senha. Isso geralmente é chamado de exigência por máquina. Para o aproveitamento desse recurso, a exigência de smart card deve ser estabelecida usando uma solução MDM ou o comando a seguir:
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool true
Para obter instruções adicionais sobre a configuração do macOS para autenticação somente via smart card, consulte o artigo de Suporte da Apple Configure macOS for smart card-only authentication (em inglês).
Autenticação somente via smart card com exigência baseada no usuário
A exigência baseada no usuário é realizada pela especificação de um grupo de usuários isentos do início de sessão com smart card. NotEnforcedGroup contém um valor de string que define o nome de um grupo local ou de Diretório que não será incluído na exigência de smart card. Às vezes isso é chamado de exigência baseada no usuário e oferece uma especificidade por usuário aos serviços de smart card. Para o aproveitamento desse recurso, a exigência por máquina deve, primeiro, ser estabelecida usando uma solução MDM ou o comando a seguir:
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool true
Além disso, o sistema deve ser configurado de modo a permitir que usuários que não estejam emparelhados com um smart card iniciem uma sessão usando as suas senhas:
sudo defaults write /Library/Preferences/com.apple.security.smartcard allowUnmappedUsers -int 1
Use o exemplo de arquivo /private/etc/SmartcardLogin.plist abaixo como orientação. Use EXEMPT_GROUP para o nome do grupo usado para isenções. Todo usuário que você adiciona a esse grupo fica isento de iniciar a sessão com smart card, contanto que seja um membro especificado do grupo ou o grupo seja especificado como exceção. Verifique se a propriedade é root e se as permissões estão definidas como de leitura universal após a edição.
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>AttributeMapping</key>
<dict>
<key>dsAttributeString</key>
<string>dsAttrTypeStandard:AltSecurityIdentities</string>
<key>fields</key>
<array>
<string>NT Principal Name</string>
</array>
<key>formatString</key>
<string>Kerberos:$1</string>
</dict>
<key>NotEnforcedGroup</key>
<string>EXEMPT_GROUP</string>
</dict>
</plist>