Параметри набору даних MDM Privacy Preferences Policy Control
Ви можете конфігурувати параметри набору даних Privacy Preferences Policy Control (Керування політикою параметрів приватності) на комп’ютерах Mac, які зареєстровано в рішенні MDM (керування мобільними пристроями), щоб керувати параметрами на вкладці «Приватність» панелі «Безпека та приватність». Якщо є декілька наборів даних цього типу, застосовується більш суворе обмеження. Застосування цього набору даних за допомогою MDM потребує нагляду.
Набір даних Privacy Preferences Policy Control (Керування політикою параметрів приватності) підтримує таке. Докладну інформацію наведено в статті Інформація набору даних.
Підтримуваний метод схвалення: потрібне схвалення користувача.
Підтримуваний метод інсталювання: потрібне рішення MDM для інсталювання.
Підтримуваний ідентифікатор набору даних: com.apple.TCC.configuration-profile-policy
Підтримувані операційні системи та канали: Пристрій macOS.
Підтримувані типи реєстрації: реєстрація пристрою, автоматизована реєстрація пристрою.
Дублікати дозволено: Так — пристрою може бути доставлено більш ніж один набір даних Privacy Preferences Policy Control (Керування політикою параметрів приватності).
З набором даних Privacy Preferences Policy Control (Керування політикою параметрів приватності) можна використовувати параметри, наведені в таблиці нижче.
Загальні параметри
Параметр | Опис | Обов’язково | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Доступність | Дозволяє окремим програмам керувати комп’ютером Mac через API доступності. | Ні | |||||||||
AppleEvents (Події AppleEvent) | Дозволяє окремим програмам надсилати обмежений AppleEvent іншому процесу. | Ні | |||||||||
Bluetooth | Дозволяє вказаній програмі доступ до пристроїв Bluetooth. | Ні | |||||||||
Календар | Дозволяє окремим програмам доступ до даних подій, якими керує програма «Календар». | Ні | |||||||||
Камера | Використовується для заборони доступу до камери для вибраних програм. | Ні | |||||||||
Контакти | Дозволяє окремим програмам доступ до даних контактів, якими керує програма «Контакти». | Ні | |||||||||
Desktop Folder (Папка робочого столу) | Дозволяє окремим програмам доступ до папки «Робочий стіл». | Ні | |||||||||
Documents Folder (Папка «Документи») | Дозволяє окремим програмам доступ до папки «Документи». | Ні | |||||||||
Downloads Folder (Папка «Викачане») | Дозволяє окремим програмам доступ до папки «Викачане». | Ні | |||||||||
Input devices (Пристрої вводу) | Укажіть, які зі схвалених програм матимуть доступ до вказаних пристроїв вводу (миша, клавіатура, трекпед). | Ні | |||||||||
Media library (Медіатека) | Дозволяє окремим програмам доступ до Apple Music, роботи з музикою й відео та до медіатеки. | Ні | |||||||||
Microphone (Мікрофон) | Заборона доступу до мікрофона для вказаних програм. | Ні | |||||||||
Network volumes (Мережеві томи) | Дозволяє окремим програмам доступ до мережевих томів. | Ні | |||||||||
Фотографії | Дозволяє окремим програмам доступ до зображень, якими керує програма «Фотографії», у папці: /Користувачі/ім’я користувача/Зображення/Бібліотека програми «Фотографії» Примітка. Якщо користувач зберігає свою фототеку в іншій папці, вона не буде захищена від програм. | Ні | |||||||||
Post Event (Опублікувати подію) | Дозволяє окремим програмам використовувати API CoreGraphics, щоб надсилати CGEvent у потік системних подій. | Ні | |||||||||
Нагадування | Дозволяє окремим програмам доступ до даних, якими керує програма «Нагадування». | Ні | |||||||||
Removable volumes (Знімні томи) | Дозволяє окремим програмам доступ до знімних томів. | Ні | |||||||||
Screen recording (Запис екрана) | Заборонити окремим програмам доступ для знімання (читання) вмісту системного дисплея. Більше інформації наведено в прикладі того, як дозволити запис екрана для програми. | Ні | |||||||||
Speech recognition (Розпізнавання мовлення) | Дозволяє окремим програмам використовувати системну функцію розпізнавання мовлення й надсилати дані в Apple. | Ні | |||||||||
System Policy All Files (Усі файли політики системи) | Дозволяє окремим програмам доступ до даних Пошти, Повідомлень, Safari, Дому, резервних копій Time Machine і певних адміністративних параметрів для всіх користувачів цього Mac. | Ні | |||||||||
System Policy administrator files (Файли адміністратора політики системи) | Дозволяє окремим програмам доступ до певних файлів, якими користуються системні адміністратори. | Ні | |||||||||
Параметри набору даних MDM Custom для пристроїв Apple
Щоб дозволити або заборонити програмі чи бінарному файлу доступ до одного з класів конфіденційності даних, можна створити власний набір даних із такими вимогами:
Вимога | Опис | Приклад | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
The type of identifier (Тип ідентифікатора) | Укажіть ідентифікатор bundle ID або шлях до файлу. | Ідентифікатор пакета | |||||||||
Identifier name or file path (Назва ідентифікатора або шлях до файлу) | Укажіть ідентифікатор пакета або фактичний шлях до файлу. | Ідентифікатор пакета: com.MyOrganization.AppName Шлях до файлу: /Applications/AppName | |||||||||
Allow (Дозволити) або Deny (Заборонити) | Укажіть, дозволено чи заборонено доступ для програми. | Allow: Так Відмовити: Ні | |||||||||
The code signing requirement (Вимога підписання коду) | Укажіть фактичне значення підпису коду. Щоб отримати значення, відкрийте Термінал і виконайте таку команду:
| Програма: Бінарний файл: Примітка. Програми та бінарні файли, не надані компанією Apple, можуть мати значно довші визначені вимоги. Усе, що вказано після «designated =>», має бути у вашому профілі. | |||||||||
Comment (Коментар) | Можна додати коментар (необов’язково). | Дозволяє нашій програмі взаємодіяти з усіма файлами, не запитуючи користувача. | |||||||||
Щоб переглянути повний приклад цього спеціального набору даних, дивіться статтю Приклади власного набору даних для керування політикою настроювання конфіденційності. Якщо діалогові вікна з’являються й після створення та розгортання власного набору даних, ви можете спробувати в реальному часі виявити програму чи двійковий код, до якого ви намагаєтеся дозволити доступ, за допомогою такої команди:
log stream --debug --predicate 'subsystem == "com.apple.TCC" AND eventMessage BEGINSWITH "AttributionChain"'
Примітка. Кожен постачальник MDM реалізує ці параметри по-різному. Щоб дізнатися, як різні параметри Privacy Preferences Policy Control (Керування політикою параметрів приватності) застосовуються до ваших пристроїв, зверніться до документації постачальника MDM.