Einstellungen der Geräteverwaltungs-Payload „Richtliniensteuerung in der Systemeinstellung ‚Sicherheit‘“ für Apple-Geräte
Du kannst für Benutzer:innen, deren Mac bei einem Geräteverwaltungsdienst registriert ist, die Einstellungen für die Payload „Richtliniensteuerung in der Systemeinstellung ‚Sicherheit‘“ im Bereich „Datenschutz“ in der Systemeinstellung „Sicherheit & Datenschutz“ konfigurieren. Sind mehrere Payloads dieses Typs vorhanden, verwendet das Betriebssystem die restriktiveren Einstellungen. Die Betreuung ist erforderlich, wenn du diese Payload mithilfe eines Geräteverwaltungsdienstes anwendest.
Die Payload „Richtliniensteuerung in der Systemeinstellung ‚Sicherheit‘“ unterstützt Folgendes. Weitere Informationen findest du unter Payload-Informationen.
Unterstützte Bestätigungsmethode: Erfordert Benutzerzustimmung.
Unterstützte Installationsmethode: Für die Installation ist ein Geräteverwaltungsdienst erforderlich.
Nicht unterstützte Payload-ID: com.apple.TCC.configuration-profile-policy
Unterstützte Betriebssysteme und Kanäle: macOS-Gerät.
Unterstützte Registrierungsmethoden: Geräteregistrierung, Automatische Geräteregistrierung.
Duplikate erlaubt: Wahr – mehr als eine Payload „Richtliniensteuerung in der Systemeinstellung ‚Sicherheit‘“ kann an ein Gerät gesendet werden.
Du kannst die Einstellungen in der folgenden Tabelle mit der Payload „Richtliniensteuerung in der Systemeinstellung ‚Sicherheit‘“ verwenden.
Allgemeine Einstellungen
Einstellung | Beschreibung | Erforderlich | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Bedienungshilfen | Erlaubt angegebenen Apps die Steuerung des Mac über Bedienungshilfen-APIs. | Nein | |||||||||
AppleEvents | Erlaubt angegebenen Apps, ein eingeschränktes AppleEvent an andere Prozesse zu senden. | Nein | |||||||||
Bluetooth | Erlaubt einer angegebenen App den Zugriff auf Bluetooth-Geräte. | Nein | |||||||||
Kalender | Gewährt angegebenen Apps Zugriff auf Ereignisinformationen, die von der App „Kalender“ verwaltet werden. | Nein | |||||||||
Kamera | Verweigert angegebenen Apps den Zugriff auf die Kamera. | Nein | |||||||||
Kontakte | Gewährt angegebenen Apps Zugriff auf Kontaktinformationen, die von der App „Kontakte“ verwaltet werden. | Nein | |||||||||
Schreibtischordner | Erlaubt angegebenen Apps den Zugriff auf den Schreibtischordner. | Nein | |||||||||
Ordner „Dokumente“ | Erlaubt angegebenen Apps den Zugriff auf den Ordner „Dokumente“. | Nein | |||||||||
Downloads-Ordner | Erlaubt angegebenen Apps den Zugriff auf den Ordner „Downloads“. | Nein | |||||||||
Eingabegeräte | Legt fest, welche angegebenen Apps speziellen Zugriff auf Eingabegeräte (Maus, Tastatur, Trackpad) erhalten. | Nein | |||||||||
Mediathek | Erlaubt angegebenen Apps den Zugriff auf Apple Music, Musik- und Videoaktivitäten und die Mediathek. | Nein | |||||||||
Mikrofon | Verweigert angegebenen Apps den Zugriff auf das Mikrofon. | Nein | |||||||||
Netzwerkvolumes | Erlaubt angegebenen Apps den Zugriff auf Dateien auf Netzwerkvolumes. | Nein | |||||||||
Fotos | Gewährt angegebenen Apps Zugriff auf Bilder, die von der App „Fotos“ in folgendem Ordner verwaltet werden: /Benutzer/Benutzername/Bilder/Fotos-Mediathek Hinweis: Wenn der Benutzer seine Fotomediathek an einen anderen Ort bewegt, wird sie nicht vor Apps geschützt. | Nein | |||||||||
Ereignis veröffentlichen | Erlaubt angegebenen Apps die Nutzung von CoreGraphics APIs zum Senden von CGEvents an den Systemereignis-Stream. | Nein | |||||||||
Erinnerungen | Gewährt angegebenen Apps Zugriff auf Informationen, die von der App „Erinnerungen“ verwaltet werden. | Nein | |||||||||
Entfernbare Volumes | Erlaubt angegebenen Apps den Zugriff auf Dateien auf entfernbaren Volumes. | Nein | |||||||||
Bildschirmaufnahme | Verweigert angegebenen Apps Zugriff zum Erfassen (Lesen) des Inhalts auf dem Bildschirm des Systems. Weitere Informationen findest du unter Payload-Beispiel für das Erlauben einer Bildschirmaufnahme für eine App. | Nein | |||||||||
Spracherkennung | Erlaubt angegebenen Apps die Nutzung der Spracherkennungsfunktion und das Senden von Sprachdaten an Apple. | Nein | |||||||||
Systemrichtlinie Alle Dateien | Gewährt angegebenen Apps Zugriff auf Daten wie Mail-, Nachrichten-, Safari- und Home-Daten, Time Machine-Backups sowie bestimmte Verwaltungseinstellungen für alle Benutzer:innen des Mac. | Nein | |||||||||
Systemrichtlinie Administratordateien | Gewährt angegebenen Apps Zugriff auf einige Dateien, die von Systemadministratoren verwendet werden. | Nein | |||||||||
Einstellungen eigener Geräteverwaltungs-Payloads für Apple-Geräte
Um einer App oder Binärdatei den Zugriff auf eine der Datenschutzklassen zu gewähren bzw. untersagen, kannst du eine eigene Payload erstellen, die folgende Anforderungen erfüllen muss:
Voraussetzung | Beschreibung | Beispiel | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
ID-Typ | Gib eine Paket-ID oder einen Dateipfad an. | Paket-ID | |||||||||
ID-Name oder Dateipfad | Lege den Namen der Paket-ID oder den tatsächlichen Dateipfad fest. | Paket-ID: com.MeineOrganisation.AppName Dateipfad: /Programme/App-Name | |||||||||
Erlauben oder ablehnen | Angeben, ob der App Zugriff gewährt oder untersagt wird. | Erlauben: Wahr Verweigern: Falsch | |||||||||
Voraussetzung für die Code-Signierung | Lege den tatsächlichen Wert der Code-Signierung fest. Öffne die App „Terminal“ und führe den folgenden Befehl aus, um den Wert abzurufen:
| App: Binär: Hinweis: Die speziellen Anforderungen für Apps und Binärdateien, die nicht von Apple bereitgestellt werden, sind möglicherweise sehr viel länger. Alle Angabe nach „designated =>“ sollten in deinem Profil enthalten sein. | |||||||||
Kommentar | Hier kann ein optionaler Kommentar hinzugefügt werden. | Erlaubt der App meiner Organisation, ohne Aufforderung an den Benutzer mit allen Dateien zu interagieren. | |||||||||
Ein vollständiges Beispiel dieser eigenen Payload enthält der Abschnitt Beispiele für eigene Payload in der Richtliniensteuerung in der Systemeinstellung „Sicherheit“. Werden nach der Erstellung und Implementierung deiner eigenen Payload weiterhin Aufforderungsfenster angezeigt, kannst du mit dem folgenden Befehl versuchen, die verantwortliche App oder Binärdatei, auf die der Zugriff erlaubt werden soll, in Echtzeit zu identifizieren:
log stream --debug --predicate 'subsystem == "com.apple.TCC" AND eventMessage BEGINSWITH "AttributionChain"'
Hinweis: Jedes Entwicklungsteam eines Geräteverwaltungsdienstes implementiert diese Einstellungen auf unterschiedliche Weise. Wie verschiedene Einstellungen für „Richtliniensteuerung in der Systemeinstellung ‚Sicherheit‘“ auf Geräte angewendet werden, die deiner Verantwortung unterstehen, findest du in der Dokumentation des Geräteverwaltungsdienstes des Entwicklungsteams.