Configuración de la carga útil de administración de dispositivos Control de la política de preferencias de privacidad para dispositivos Apple
Puedes establecer la configuración de la carga útil Control de la política de preferencias de privacidad para los usuarios de una Mac inscrita en un servicio de administración de dispositivos para administrar las opciones del panel Privacidad de la configuración de Seguridad y privacidad. Si hay más de una carga de este tipo, el sistema operativo usará las configuraciones más restrictivas. Si aplicas esta carga útil mediante un servicio de administración de dispositivos, es necesario que el dispositivo esté supervisado.
La carga útil Control de la política de preferencias de privacidad es compatible con las siguientes funciones; para obtener más información, consulta Información de la carga útil.
Método de aprobación compatible: requiere la aprobación del usuario.
Método de instalación compatible: Requiere un servicio de administración de dispositivos para instalarse.
Identificador de carga útil compatible: com.apple.TCC.configuration-profile-policy
Sistemas operativos y canales compatibles: canal Dispositivo en macOS.
Métodos de inscripción compatibles: perfil Inscripción de dispositivos y perfil Inscripción de dispositivos automatizada.
Duplicados permitidos: verdadero; se pueden enviar varias cargas útiles Control de la política de preferencias de privacidad a un dispositivo.
Puedes usar las configuraciones de las siguientes tablas con la carga útil Preferencias de privacidad.
Configuración general
Configuración | Descripción | Necesario | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Accesibilidad | Permite que las apps especificadas puedan controlar la Mac a través de API de Accesibilidad. | No | |||||||||
AppleEvents | Permite que las apps especificadas puedan enviar un AppleEvent restringido a otro proceso. | No | |||||||||
Bluetooth | Permite que una app especificada acceda a dispositivos Bluetooth. | No | |||||||||
Calendario | Permite que las apps especificadas puedan acceder a la información de los eventos administrada por Calendario. | No | |||||||||
Cámara | Se usa para denegar el acceso a la cámara a las apps especificadas. | No | |||||||||
Contactos | Permite que las apps especificadas puedan acceder a los datos de contacto administrados por Contactos. | No | |||||||||
Carpeta Escritorio | Permite que las apps especificadas accedan a la carpeta Escritorio. | No | |||||||||
Carpeta Documentos | Permite que las apps especificadas accedan a la carpeta Documentos. | No | |||||||||
Carpeta Descargas | Permite que las apps especificadas accedan a la carpeta Descargas. | No | |||||||||
Dispositivos de entrada | Establece qué apps aprobadas tienen acceso específico a los dispositivos de entrada (mouse, teclado y trackpad). | No | |||||||||
Biblioteca de contenido | Permite que las apps especificadas accedan a Apple Music, a la actividad de video y música, y a la biblioteca de contenido. | No | |||||||||
Micrófono | Deniega el acceso al micrófono a las apps especificadas. | No | |||||||||
Volúmenes de red | Permite que las apps especificadas accedan a los archivos que están en los volúmenes de red. | No | |||||||||
Fotos | Permite que las apps especificadas puedan acceder a las imágenes administradas por la app Fotos en: /Usuarios/nombre_usuario/Imágenes/Fototeca Nota: si el usuario puso su fototeca en otra ubicación, no estará protegida de las apps. | No | |||||||||
Publicar evento | Permite que las apps especificadas puedan usar API de CoreGraphics para enviar CGEvents a la secuencia de eventos del sistema. | No | |||||||||
Recordatorios | Permite que las apps especificadas puedan acceder a la información administrada por Recordatorios. | No | |||||||||
Volúmenes extraíbles | Permite que las apps especificadas accedan a los archivos que están en los volúmenes extraíbles. | No | |||||||||
Grabación de pantalla | Deniega el acceso a la captura (lectura) de contenidos de la pantalla del sistema a las apps especificadas. Para obtener más información, consulta el ejemplo de Permitir la grabación de pantalla para una carga útil de app. | No | |||||||||
Reconocimiento de voz | Permite que las apps especificadas usen la función de reconocimiento de voz del sistema y que envíen datos de voz a Apple. | No | |||||||||
Política del sistema de todos los archivos | Permite que las apps especificadas puedan acceder a datos como Mail, Mensajes, Safari, Casa, copias de seguridad de Time Machine y algunas configuraciones administrativas de todos los usuarios de la Mac. | No | |||||||||
Política del sistema de los archivos de administrador | Permite que las apps especificadas puedan acceder a algunos archivos que usan los administradores del sistema. | No | |||||||||
Configuraciones de carga útil personalizadas de la administración de dispositivos para dispositivos Apple
Para permitir o no permitir que una app o binario pueda acceder a una de las clases de privacidad de datos, puedes crear una carga útil personalizada que debe cumplir con los siguientes requisitos:
Requisito | Descripción | Ejemplo | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
El tipo de identificador | Especifica el bundleID o la ruta de archivo. | ID de paquete | |||||||||
Nombre de identificador o ruta de archivo | Especifica el nombre del ID de paquete o la ruta de archivo real. | ID de paquete: com.MiOrganización.NombreApp Ruta de archivo: /Aplicaciones/NombreApp | |||||||||
Permitir o denegar | Especifica si se permite o deniega el acceso a la app. | Permitir: verdadero Denegar: falso | |||||||||
El requisito de firma de código | Especifica el valor real de la firma del código. Para obtener el valor, abre la app Terminal y ejecuta el siguiente comando:
| App: Binario: Nota: es posible que las apps y los binarios no proporcionados por Apple tengan unos requisitos designados mucho más largos. Todo lo que aparece después de “designated =>” debería estar incluido en tu perfil. | |||||||||
Comentario | Agrega un comentario opcional. | Permite que la app de mi organización pueda interactuar con todos los archivos sin avisar al usuario. | |||||||||
Para ver un ejemplo completo de esta carga personalizada, consulta Ejemplos de la carga útil Control de la política de preferencias de privacidad personalizada. Después de haber creado e implementado tu carga personalizada, si sigues viendo cuadros de diálogo, puedes usar el siguiente comando para intentar identificar —en tiempo real— la app o binario responsable que está intentando permitir que acceda a:
log stream --debug --predicate 'subsystem == "com.apple.TCC" AND eventMessage BEGINSWITH "AttributionChain"'
Nota: cada desarrollador de servicios de administración de dispositivos implementa esta configuración de manera diferente. Para obtener información sobre cómo se aplica la configuración de Control de la política de preferencias de privacidad a tus dispositivos, consulta la documentación del servicio de administración de dispositivos de tu desarrollador.