Ajustes do payload MDM de Controle de Política das Preferências de Privacidade em dispositivos Apple
Você pode configurar os ajustes do payload de Controle de Política das Preferências de Privacidade em computadores Mac registrados em uma solução de gerenciamento de dispositivos móveis (MDM) para gerenciar os ajustes no painel Privacidade das preferências de “Segurança e Privacidade”. Se houver mais de um payload desse tipo, serão usados os ajustes mais restritivos. A aplicação deste payload usando MDM exige supervisão.
O payload de Controle de Política das Preferências de Privacidade é compatível com os itens a seguir. Para obter mais informações, consulte Informações do payload.
Método de aprovação compatível: requer aprovação do usuário.
Método de instalação compatível: requer uma solução MDM para instalação.
Identificador de payload compatível: com.apple.TCC.configuration-profile-policy
Sistemas operacionais compatíveis e canais: dispositivo macOS.
Tipos de registro compatíveis: Registro de Dispositivo, Registro de Dispositivo Automatizado.
Duplicatas permitidas: Verdadeiro — mais de um payload de Controle de Política das Preferências de Privacidade pode ser entregue a um dispositivo.
Você pode usar os ajustes das tabelas abaixo com o payload de Preferências de Privacidade.
Ajustes gerais
Ajuste | Descrição | Obrigatório | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Acessibilidade | Permite que apps específicos controlem o Mac via APIs de Acessibilidade. | Não | |||||||||
AppleEvents | Permite que apps específicos enviem um AppleEvent restrito para outro processo. | Não | |||||||||
Bluetooth | Permite que um app específico acesse dispositivos Bluetooth. | Não | |||||||||
Calendário | Permite que apps específicos acessem informações de eventos gerenciados pelo Calendário. | Não | |||||||||
Câmera | Use para negar o acesso de apps específicos à câmera. | Não | |||||||||
Contatos | Permite que apps específicos acessem informações de contatos gerenciados pelo Contatos. | Não | |||||||||
Desktop Folder | Permite que apps específicos acessem a pasta Mesa. | Não | |||||||||
Documents Folder | Permite que apps específicos acessem a pasta Documentos. | Não | |||||||||
Downloads Folder | Permite que apps específicos acessem a pasta Downloads. | Não | |||||||||
Input devices | Defina quais apps aprovados têm acesso específico a dispositivos de entrada (mouse, keyboard, trackpad). | Não | |||||||||
Media library | Permite que apps específicos acessem o Apple Music, atividades de músicas e vídeos, e a biblioteca de mídia. | Não | |||||||||
Microfone | Negue o acesso de apps específicos ao microfone. | Não | |||||||||
Network volumes | Permite que apps específicos acessem arquivos em volumes de rede. | Não | |||||||||
Fotos | Permite que apps específicos acessem imagens gerenciadas pelo app Fotos em: /Usuários/nome do usuário/Fotos/Biblioteca do Fotos Nota: se o usuário tiver colocado sua biblioteca de fotos em outro lugar, ela não estará protegida de apps. | Não | |||||||||
Publicar Evento | Permite que apps específicos usem APIs CoreGraphics para enviar CGEvents à transmissão de eventos do sistema. | Não | |||||||||
Lembretes | Permite que apps específicos acessem informações gerenciadas pelo Lembretes. | Não | |||||||||
Removable volumes | Permite que apps específicos acessem arquivos em volumes removíveis. | Não | |||||||||
Screen recording | Negue o acesso de apps específicos à captura (leitura) do conteúdo da tela do sistema. Para obter mais informações, consulte o Exemplo do payload de permissão de gravação da tela para um app. | Não | |||||||||
Speech recognition | Permite que apps específicos usem o recurso de Reconhecimento de Fala do sistema e enviem dados de fala à Apple. | Não | |||||||||
Todos os Arquivos da Política do Sistema | Permite que apps especificados acessem dados como Mail, Mensagens, Safari, Casa, backups do Time Machine e alguns ajustes administrativos para todos os usuários no Mac. | Não | |||||||||
Arquivos de administrador da Política do Sistema | Permite que apps específicos acessem alguns arquivos usados por administradores do sistema. | Não | |||||||||
Ajustes do payload MDM Personalizado em dispositivos Apple
Para permitir ou não que um app ou binário acesse uma das classes de dados de privacidade, você pode criar um payload personalizado que precisa atender aos seguintes requisitos:
Requisito | Descrição | Exemplo | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
O tipo do identificador | Especifique o bundleID ou o caminho do arquivo. | ID do Pacote | |||||||||
Nome do identificador ou caminho do arquivo | Especifique o nome do ID do pacote ou o caminho do arquivo. | ID do Pacote: com.MinhaOrganização.NomeDoApp Caminho do arquivo: /Applications/NomeDoApp | |||||||||
Permitir ou negar | Especifique se o app tem acesso ou não. | Permitir: Verdadeiro Não Permitir: Falso | |||||||||
O requisito de assinatura de código | Especifique o valor de assinatura de código. Para obter o valor, abra o app terminal e execute o comando a seguir:
| App: Binário: Nota: apps e binários não fornecidos pela Apple podem ter requisitos designados muito mais longos. Tudo o que estiver depois de “designated =>” deve ser incluído no seu perfil. | |||||||||
Comentário | Adicione um comentário opcional. | Permite que o app da minha organização interaja com todos os arquivos sem perguntar ao usuário. | |||||||||
Para ver um exemplo completo deste payload personalizado, consulte Exemplos do payload personalizado de Controle de Política das Preferências de Privacidade. Depois de ter construído e implantado o payload personalizado, se ainda estiver vendo diálogos com perguntas, você pode usar o comando seguinte para tentar identificar (em tempo real) o app ou binário responsável para o qual você está tentando conceder acesso:
log stream --debug --predicate 'subsystem == "com.apple.TCC" AND eventMessage BEGINSWITH "AttributionChain"'
Nota: cada fornecedor de MDM implementa esses ajustes de maneira diferente. Para saber como os ajustes de Controle de Política das Preferências de Privacidade são aplicados aos seus dispositivos, consulte a documentação do fornecedor do MDM.