Réglages de l’entité de GAM Contrôle de politique des préférences Confidentialité pour appareils Apple
Vous pouvez configurer les réglages de l’entité Contrôle de politique des préférences Confidentialité sur les ordinateurs Mac inscrits à une solution de gestion des appareils mobiles (GAM) pour gérer les réglages de la sous-fenêtre Confidentialité des préférences Sécurité et confidentialité. S’il existe plus d’une entité de ce type, les réglages les plus restrictifs sont utilisés. L’application de cette entité à l’aide de la GAM nécessite une supervision.
L’entité Contrôle de politique des préférences Confidentialité prend en charge les éléments ci-après. Pour plus d’informations, consultez Informations sur l’entité.
Méthode d’approbation prise en charge : Nécessite l’approbation de l’utilisateur.
Méthode d’installation prise en charge : L’installation d’une solution de GAM est nécessaire.
Identifiant de l’entité prise en charge : com.apple.TCC.configuration-profile-policy
Systèmes d’exploitation et canaux pris en charge : appareil macOS
Types d’inscription compatibles : inscription d’appareils, inscription automatisée des appareils
Doublons autorisés : True : plus d’une entité Contrôle de politique des préférences Confidentialité peut être distribuée à un appareil.
Vous pouvez utiliser les réglages des tableaux ci-dessous avec l’entité Contrôle de politique des préférences Confidentialité.
Réglages Général
Réglage | Description | Obligatoire | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Accessibilité | Autorise les apps indiquées à contrôler le Mac à l’aide des API d’accessibilité. | Non | |||||||||
AppleEvents | Autorise les apps indiquées à envoyer un AppleEvent restreint à un autre processus. | Non | |||||||||
Bluetooth | Autorise une app précise à accéder aux appareils Bluetooth. | Non | |||||||||
Calendrier | Autorise les apps indiquées à accéder aux renseignements des événements gérés par Calendrier. | Non | |||||||||
Appareil photo | À utiliser pour interdire à des apps précises d’accéder à la caméra. | Non | |||||||||
Contacts | Autorise les apps indiquées à accéder aux coordonnées gérées par Contacts. | Non | |||||||||
Dossier Bureau | Autorise les apps indiquées à accéder au dossier Bureau. | Non | |||||||||
Dossier Documents | Autorise les apps indiquées à accéder au dossier Documents. | Non | |||||||||
Dossier Téléchargements | Autorise les apps indiquées à accéder au dossier Téléchargements. | Non | |||||||||
Appareils d’entrée | Pour régler les apps approuvées qui ont l’accès indiqué aux appareils d’entrée (souris, clavier, pavé tactile). | Non | |||||||||
Bibliothèque multimédia | Autorise les apps indiquées à accéder à Apple Music, à l’activité musicale et vidéo, et à la bibliothèque multimédia. | Non | |||||||||
Micro | Pour interdire aux apps indiquées d’accéder au micro. | Non | |||||||||
Volumes réseau | Autorise les apps indiquées à accéder aux fichiers sur les volumes réseau. | Non | |||||||||
Photos | Autorise les apps indiquées à accéder aux images gérées par l’app Photos dans : /Utilisateurs/nom d’utilisateur/Images/Photos Library Remarque : Si l’utilisateur déplace sa photothèque, elle ne sera pas protégée contre les apps. | Non | |||||||||
Publier un événement | Autorise les apps indiquées à utiliser les API CoreGraphics à envoyer des CGEvents au flux d’événements du système. | Non | |||||||||
Rappels | Autorise les apps indiquées à accéder aux renseignements gérés par Rappels. | Non | |||||||||
Volumes amovibles | Autorise les apps indiquées à accéder aux fichiers sur les volumes amovibles. | Non | |||||||||
Enregistrement d’écran | Pour interdire aux apps indiquées de capturer (lire) le contenu de l’affichage système. Pour en savoir plus, consultez l’exemple d’autorisation d’enregistrement d’écran d’une entité d’app. | Non | |||||||||
Reconnaissance vocale | Autorise les apps indiquées à utiliser la fonctionnalité de reconnaissance vocale du système et à envoyer des données vocales à Apple. | Non | |||||||||
Tous les fichiers de politique système | Autorise les apps indiquées à accéder aux données comme Mail, Messages, Safari, Domicile, les sauvegardes Time Machine et certains réglages administratifs pour tous les utilisateurs du Mac. | Non | |||||||||
Fichiers administrateurs de politique système | Autorise les apps indiquées à accéder à certains fichiers utilisés par les administrateurs système. | Non | |||||||||
Réglages de l’entité de GAM personnalisée pour appareils Apple
Pour autoriser ou interdire à une app ou à un fichier binaire d’accéder à une des classes de confidentialité de données, vous pouvez créer une entité personnalisée qui doit respecter les exigences suivantes :
Condition | Description | Exemple | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Type de l’identifiant | Indiquez s’il s’agit d’un identifiant de paquet ou d’un chemin d’accès au fichier. | Identifiant de paquet | |||||||||
Nom ou chemin d’accès de l’identifiant | Indiquez le nom ou le chemin d’accès actuel de l’identifiant de paquet. | Identifiant de paquet : com.MonOrganisation.NomApp Chemin d’accès au fichier : /Applications/NomApp | |||||||||
Autoriser ou refuser | Indiquez si l’accès de l’app est autorisé ou refusé. | Autoriser : True Refuser : False | |||||||||
L’exigence de signature du code | Indiquez la valeur actuelle de signature du code. Pour obtenir la valeur, ouvrez l’app Terminal et exécutez la commande suivante :
| App : Binaire : Remarque : Les exigences désignées des apps et des fichiers binaires non fournis par Apple pourraient être beaucoup plus longues. Tout ce qui se trouve après « designated => » devrait être inclus dans votre profil. | |||||||||
Commentaire | Ajoutez un commentaire facultatif. | Autorise l’app de votre organisation à interagir avec tous les fichiers sans interaction avec l’utilisateur. | |||||||||
Pour consulter un exemple complet de cette entité personnalisée, référez-vous à la rubrique Exemples d’une entité personnalisée Contrôle de politique des préférences Confidentialité. Une fois que votre entité personnalisée est créée et déployée, si des boîtes de dialogue s’affichent toujours, vous pouvez utiliser la commande suivante pour tenter d’identifier, en temps réel, l’app ou le fichier binaire responsable dont vous essayez d’autoriser l’accès :
log stream --debug --predicate 'subsystem == "com.apple.TCC" AND eventMessage BEGINSWITH "AttributionChain"'
Remarque : Chaque fournisseur de GAM met en œuvre ces réglages différemment. Pour découvrir comment les différents réglages du contrôle de politique des préférences Confidentialité sont appliqués à vos appareils, consultez la documentation de votre fournisseur de GAM.