Driftsättning av Apple-plattformar
- Välkommen
- Introduktion till driftsättning av Apple-plattformar
- Nyheter
-
- Introduktion till enhetshanteringssäkerhet
- Snabba säkerhetssvar
- Låsa och hitta enheter
- Radering av enheter
- Aktiveringslås
- Hantera åtkomst till tillbehör
- Genomdriva lösenordspolicyer
- Använda beständiga token
- Använda inbyggda funktioner för nätverkssäkerhet
- Hanterad enhetsattestering
-
-
- Inställningar för nyttolasten Accessibility
- Inställningar för nyttolasten Active Directory Certificate
- Inställningar för nyttolasten AirPlay
- Inställningar för nyttolasten AirPlay Security
- Inställningar för nyttolasten AirPrint
- Inställningar för nyttolasten App Lock
- Inställningar för nyttolasten Associated Domains
- Inställningar för nyttolasten Automated Certificate Management Environment (ACME)
- Inställningar för nyttolasten Autonomous Single App Mode
- Inställningar för nyttolasten Calendar
- Inställningar för nyttolasten Cellular
- Inställningar för nyttolasten Cellular Private Network
- Inställningar för nyttolasten Certificate Preference
- Inställningar för nyttolasten Certificates Revocation
- Inställningar för nyttolasten Certificate Transparency
- Inställningar för nyttolasten Certificates
- Inställningar för nyttolasten Conference Room Display
- Inställningar för nyttolasten Contacts
- Inställningar för nyttolasten Content Caching
- Inställningar för nyttolasten Directory Service
- Inställningar för nyttolasten DNS Proxy
- Inställningar för nyttolasten DNS Settings
- Inställningar för nyttolasten Dock
- Inställningar för nyttolasten Domains
- Inställningar för nyttolasten Energy Saver
- Inställningar för nyttolasten Exchange ActiveSync (EAS)
- Inställningar för nyttolasten Exchange Web Services (EWS)
- Inställningar för nyttolasten Extensible Single Sign-on
- Inställningar för nyttolasten Extensible Single Sign-on Kerberos
- Inställningar för nyttolasten Extensions
- Inställningar för nyttolasten FileVault
- Inställningar för nyttolasten Finder
- Inställningar för nyttolasten Firewall
- Inställningar för nyttolasten Fonts
- Inställningar för nyttolasten Global HTTP Proxy
- Inställningar för nyttolasten Google Accounts
- Inställningar för nyttolasten Home Screen Layout
- Inställningar för nyttolasten Identification
- Inställningar för nyttolasten Identity Preference
- Inställningar för nyttolasten Kernel Extension Policy
- Inställningar för nyttolasten LDAP
- Inställningar för nyttolasten Lights Out Management
- Inställningar för nyttolasten Lock Screen Message
- Inställningar för nyttolasten Login Window
- Inställningar för nyttolasten Managed Login Items
- Inställningar för nyttolasten Mail
- Inställningar för nyttolasten Network Usage Rules
- Inställningar för nyttolasten Notifications
- Inställningar för nyttolasten Parental Controls
- Inställningar för nyttolasten Passcode
- Inställningar för nyttolasten Printing
- Inställningar för nyttolasten Privacy Preferences Policy Control
- Inställningar för nyttolasten Relay
- Inställningar för nyttolasten SCEP
- Inställningar för nyttolasten Security
- Inställningar för nyttolasten Setup Assistant
- Inställningar för nyttolasten Single Sign-on
- Inställningar för nyttolasten Smart Card
- Inställningar för nyttolasten Subscribed Calendars
- Inställningar för nyttolasten System Extensions
- Inställningar för nyttolasten System Migration
- Inställningar för nyttolasten Time Machine
- Inställningar för nyttolasten TV Remote
- Inställningar för nyttolasten Web Clips
- Inställningar för nyttolasten Web Content Filter
- Inställningar för nyttolasten Xsan
-
- Deklarativ appkonfiguration
- Autentiseringsuppgifter och deklaration för identitetsresurser
- Deklarativ konfiguration för hantering av bakgrundsåtgärder
- Deklarativ Calendar-konfiguration
- Deklarativ Certificates-konfiguration
- Deklarativ Contacts-konfiguration
- Deklarativ Exchange-konfiguration
- Deklarativ Google Accounts-konfiguration
- Deklarativ LDAP-konfiguration
- Deklarativ Legacy interactive profile-konfiguration
- Deklarativ Legacy profile-konfiguration
- Deklarativ Mail-konfiguration
- Deklarativ konfiguration för matematik och Kalkylator-appen
- Deklarativ Passcode-konfiguration
- Deklarativ Passkey Attestation-konfiguration
- Deklarativ konfiguration för hantering av Safari-tillägg
- Deklarativ Screen Sharing-konfiguration
- Deklarativ konfiguration för Service-konfigurationsfiler
- Deklarativ Software Update-konfiguration
- Deklarativ konfiguration för Software Update-inställningar
- Deklarativ konfiguration för hantering av lagring
- Deklarativ Subscribed Calendars-konfiguration
- Ordlista
- Dokumentets revisionshistorik
- Copyright
Konfigurera en Mac för autentisering endast med smarta kort
macOS stöder autentisering med obligatorisk användning av ett smart kort, vilket avaktiverar all lösenordsbaserad autentisering. Den här policyn upprättas för alla Mac-datorer och kan ändras för enskilda användare genom att använda en undantagsgrupp ifall en användare inte har tillgång till ett fungerande smart kort.
Autentisering endast med smarta kort och maskinbaserad genomdrivning
macOS 10.13.2 eller senare stöder autentisering med obligatorisk användning av ett smart kort, vilket avaktiverar all lösenordsbaserad autentisering – det här kallas ofta maskinbaserad genomdrivning. För att kunna dra nytta av den här funktionen måste obligatorisk användning av smarta kort genomdrivas med en MDM-lösning eller genom att använda följande kommando:
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool trueYtterligare anvisningar om att konfigurera macOS för autentisering endast med smarta kort finns i Apple Support-artikeln Configure macOS for smart card-only authentication.
Autentisering endast med smarta kort och användarbaserad genomdrivning
Användarbaserad genomdrivning åstadkoms genom att ange en användargrupp som undantas från inloggning med smarta kort. NotEnforcedGroup innehåller ett strängvärde som definierar namnet på en kataloggrupp eller en lokal grupp som inte ingår vid genomdrivning av obligatorisk användning av smarta kort. Det här kallas ibland för användarbaserad genomdrivning och ger kontroll på användarnivå för smarta korttjänster. För att kunna dra nytta av den här funktionen måste maskinbaserad genomdrivning först upprättas med en MDM-lösning eller genom att använda följande kommando:
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool trueDessutom måste systemet konfigureras så att det tillåter användare som inte är parkopplade med ett smart kort att logga in med sitt lösenord:
sudo defaults write /Library/Preferences/com.apple.security.smartcard allowUnmappedUsers -int 1Använd exempelfilen /private/etc/SmartcardLogin.plist nedan som vägledning. Använd EXEMPT_GROUP som namn på den grupp som används till undantag. Användare du lägger till i den här gruppen undantas från kravet på inloggning med ett smart kort, förutsatt att de är specificerade medlemmar i gruppen eller gruppen som sådan är specificerad för undantag. Kontrollera att ägaren är ”root” och att behörigheterna är inställda som ”world readable” efter redigering.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> </dict> <key>NotEnforcedGroup</key> <string>EXEMPT_GROUP</string></dict></plist>