Wdrażanie na platformie Apple
- Witamy
- Wprowadzenie do wdrażania na platformie Apple
- Nowości
-
- O uaktualnieniach oprogramowania
- Proces uaktualniania oprogramowania
- Instalowanie i wymuszanie uaktualnień oprogramowania
- Używanie zarządzania urządzeniami do wdrażania uaktualnień oprogramowania
- Fazy wymuszania uaktualnienia oprogramowania Apple
- Testowanie uaktualnień oprogramowania przy użyciu programu AppleSeed for IT w wersji beta
-
- Wprowadzenie do dystrybucji zawartości
- Metody dystrybucji zawartości
- Zarządzanie danymi organizacji
- Zarządzanie rzeczami otwieranymi podczas logowania i zadaniami w tle na Macu
-
- Wprowadzenie do bezpieczeństwa zarządzania urządzeniami
- Pilne uaktualnienia zabezpieczeń
- Blokowanie i lokalizowanie urządzeń
- Wymazywanie urządzeń
- Blokada aktywacji
- Zarządzanie dostępem akcesoriów
- Wymuszanie zasad dotyczących haseł
- Używanie tokenów trwałych
- Używanie wbudowanych zabezpieczeń sieciowych
-
-
- Deklaratywne raporty o statusie
- Konfiguracja deklaratywna aplikacji
- Deklaracja danych uwierzytelniających i zasobów tożsamości
- Deklaratywne zarządzanie zadaniami w tle
- Konfiguracja deklaratywna Kalendarza
- Konfiguracja deklaratywna certyfikatów
- Konfiguracja deklaratywna Kontaktów
- Konfiguracja deklaratywna serwera Exchange
- Konfiguracja deklaratywna kont Google
- Konfiguracja deklaratywna LDAP
- Konfiguracja deklaratywna starszego profilu interaktywnego
- Konfiguracja deklaratywna starszego profilu
- Konfiguracja deklaratywna skrzynki pocztowej
- Konfiguracja deklaratywna ustawień matematycznych i aplikacji Kalkulator
- Konfiguracja deklaratywna kodu
- Konfiguracja deklaratywna atestacji klucza
- Konfiguracja deklaratywna zarządzania przeglądaniem w Safari
- Konfiguracja deklaratywna zarządzania rozszerzeniami Safari
- Konfiguracja deklaratywna udostępniania ekranu
- Konfiguracja deklaratywna plików konfiguracji usługi
- Konfiguracja deklaratywna uaktualnień oprogramowania
- Konfiguracja deklaratywna ustawień uaktualnień oprogramowania
- Konfiguracja deklaratywna zarządzania pamięcią masową
- Konfiguracja deklaratywna subskrybowanych kalendarzy
-
-
- Lista pakietów danych dla iPhone’a i iPada
- Lista pakietów danych dla Maca
- Lista pakietów danych dla Apple TV
- Lista pakietów danych dla Apple Watch
- Lista pakietów danych dla Apple Vision Pro
- Lista pakietów danych dla wspólnego iPada
- Lista pakietów danych dostępnych w aplikacji Apple Configurator dla Maca
-
- Ograniczenia obsługiwane przez iPhone'a i iPada
- Ograniczenia obsługiwane przez Maca
- Ograniczenia obsługiwane przez Apple TV
- Ograniczenia obsługiwane przez Apple Watch
- Ograniczenia obsługiwane przez Apple Vision Pro
- Ograniczenia na urządzeniach nadzorowanych
- Ograniczenia dostępne w aplikacji Apple Configurator dla Maca
-
- Ustawienia pakietu danych Accessibility
- Ustawienia pakietu danych Active Directory Certificate
- Ustawienia pakietu danych AirPlay
- Ustawienia pakietu danych AirPlay Security
- Ustawienia pakietu danych AirPrint
- Ustawienia pakietu danych App Lock
- Ustawienia pakietu danych Associated Domains
- Ustawienia pakietu danych automatycznego środowiska zarządzania certyfikatami (ACME)
- Ustawienia pakietu danych autonomicznego trybu jednej aplikacji
- Ustawienia pakietu danych Calendar
- Ustawienia pakietu danych Cellular
- Ustawienia pakietu danych Cellular Private Network
- Ustawienia pakietu danych Certificate Preference
- Ustawienia pakietu danych Certificate Revocation
- Ustawienia pakietu danych Certificate Transparency
- Ustawienia pakietu danych Certificates
- Ustawienia pakietu danych Conference Room Display
- Ustawienia pakietu danych Contacts
- Ustawienia pakietu danych Content Caching
- Ustawienia pakietu danych Directory Service
- Ustawienia pakietu danych DNS Proxy
- Ustawienia pakietu danych DNS Settings
- Ustawienia pakietu danych Dock
- Ustawienia pakietu danych Domains
- Ustawienia pakietu danych Energy Saver
- Ustawienia pakietu danych Exchange ActiveSync (EAS)
- Ustawienia pakietu danych Exchange Web Services
- Ustawienia pakietu danych Extensible Single Sign-on
- Ustawienia pakietu danych Extensible Single Sign-on Kerberos
- Ustawienia pakietu danych Extensions
- Ustawienia pakietu danych FileVault
- Ustawienia pakietu danych Finder
- Ustawienia pakietu danych Firewall
- Ustawienia pakietu danych Fonts
- Ustawienia pakietu danych Global HTTP Proxy
- Ustawienia pakietu danych Google Accounts
- Ustawienia pakietu danych Home Screen Layout
- Ustawienia pakietu danych Identification
- Ustawienia pakietu danych Identity Preference
- Ustawienia pakietu danych Kernel Extension Policy
- Ustawienia pakietu danych LDAP
- Ustawienia pakietu danych Lights Out Management
- Ustawienia pakietu danych Lock Screen Message
- Ustawienia pakietu danych Login Window
- Ustawienia pakietu danych Managed Login Items
- Ustawienia pakietu danych aplikacji Poczta
-
- Ustawienia Wi‑Fi
- Ustawienia interfejsu Ethernet
- Ustawienia dotyczące protokołów WEP, WPA, WPA2 oraz WPA2/WPA3
- Ustawienia Dynamic WEP, WPA Enterprise oraz WPA2 Enterprise
- Ustawienia EAP
- Ustawienia HotSpot 2.0
- Ustawienia połączeń typu Legacy Hotspot
- Ustawienia Cisco Fastlane
- Ustawienia konfiguracji serwerów proxy
- Ustawienia pakietu danych Network Usage Rules
- Ustawienia pakietu danych Notifications
- Ustawienia pakietu danych Parental Controls
- Ustawienia pakietu danych Passcode
- Ustawienia pakietu danych Printing
- Ustawienia pakietu danych Privacy Preferences Policy Control
- Ustawienia pakietu danych Relay
- Ustawienia pakietu danych SCEP
- Ustawienia pakietu danych Security
- Ustawienia pakietu danych Setup Assistant
- Ustawienia pakietu danych Single Sign-on
- Ustawienia pakietu danych Smart Card
- Ustawienia pakietu danych Subscribed Calendars
- Ustawienia pakietu danych System Extensions
- Ustawienia pakietu danych System Migration
- Ustawienia pakietu danych Time Machine
- Ustawienia pakietu danych TV Remote
- Ustawienia pakietu danych Web Clips
- Ustawienia pakietu danych Web Content Filter
- Ustawienia pakietu danych Xsan
-
- Słowniczek
- Historia zmian w dokumencie
- Prawa autorskie i znaki towarowe
Konfigurowanie Maca pod kątem uwierzytelniania wyłącznie przy użyciu karty inteligentnej
System macOS obsługuje funkcję uwierzytelniania wyłącznie przy użyciu karty inteligentnej. Wymusza ona konieczność używania karty inteligentnej i blokuje możliwość uwierzytelniania przy użyciu hasła. Zasada ta jest używana we wszystkich komputerach Mac i może być modyfikowana dla poszczególnych użytkowników przy użyciu grupy wykluczeń — w sytuacji, gdy dany użytkownik nie ma działającej karty inteligentnej.
Uwierzytelnianie wyłącznie przy użyciu karty inteligentnej z wymuszaniem opartym o urządzenie (MBE)
Komputery Mac z systemem macOS 10.13.2 lub nowszym obsługują funkcję uwierzytelniania wyłącznie przy użyciu karty inteligentnej. Blokuje ona możliwość uwierzytelniania przy użyciu hasła i określana jest jako machine based enforcement (wymuszenie oparte o urządzenie). Korzystanie z tej funkcji wymaga najpierw włączenia obowiązkowego uwierzytelniania za pomocą kart inteligentnych, używając usługi zarządzania urządzeniami lub następującego polecenia:
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool trueAby uzyskać dodatkowe instrukcje dotyczące konfigurowania systemu macOS do uwierzytelniania wyłącznie przy użyciu kart inteligentnych, zobacz artykuł Wsparcia Apple: Configure macOS for smart card-only authentication (Konfigurowanie systemu macOS do uwierzytelniania wyłącznie przy użyciu kart inteligentnych).
Uwierzytelnianie wyłącznie przy użyciu karty inteligentnej z wymuszaniem opartym o użytkownika (UBE)
Wymuszanie oparte o użytkownika implementowane jest przez zdefiniowanie grupy użytkowników wykluczonych z logowania przy użyciu karty inteligentnej. NotEnforcedGroup zawiera wartość ciągu definiującą nazwę grupy lokalnej lub grupy z serwera katalogowego, która ma zostać wykluczona z obowiązkowego wymuszenia użycia karty inteligentnej. Umożliwia to konfigurowanie usług karty inteligentnej na poziomie użytkownika. Korzystanie z tej funkcji wymaga najpierw włączenia wymuszenia opartego o urządzenie przy użyciu usługi zarządzania urządzeniami lub następującego polecenia:
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool trueDodatkowo konfiguracja systemu musi umożliwiać użytkownikom niepołączonym w parę z kartą inteligentną na logowanie się przy użyciu hasła:
sudo defaults write /Library/Preferences/com.apple.security.smartcard allowUnmappedUsers -int 1Jako wzoru użyj przedstawionego poniżej przykładowego pliku /private/etc/SmartcardLogin.plist. Użyj EXEMPT_GROUP jako nazwy grupy używanej do wykluczeń. Dowolny użytkownik dodany do tej grupy jest wykluczony z logowania przy użyciu karty inteligentnej — pod warunkiem, że należy do tej grupy lub sama grupa podana jest w wykluczeniu. Po dokonaniu edycji pliku upewnij się, że jako właściciel ustawiony jest użytkownik root, a uprawnienia umożliwiają odczyt przez dowolnego użytkownika.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> </dict> <key>NotEnforcedGroup</key> <string>EXEMPT_GROUP</string></dict></plist>