Apple 平台部署
- 歡迎
- Apple 平台部署簡介
- 新功能
-
-
- 「輔助使用」承載資料設定
- 「Active Directory 證書」承載資料設定
- AirPlay 承載資料設定
- 「AirPlay 保安」承載資料設定
- AirPrint 承載資料設定
- 「App 鎖定」承載資料設定
- 「相關網域」承載資料設定
- 「自動證書管理環境」(ACME)承載資料設定
- 「自主單一 App 模式」承載資料設定
- 「日曆」承載資料設定
- 「流動網絡」承載資料設定
- 「私人流動網絡」承載資料設定
- 「證書偏好設定」承載資料設定
- 「證書撤銷」承載資料設定
- 「證書透明度」承載資料設定
- 「證書」承載資料設定
- 「會議室顯示器」承載資料設定
- 「通訊錄」承載資料設定
- 「內容快取」承載資料設定
- 「目錄服務」承載資料設定
- 「DNS 代理」承載資料設定
- 「DNS 設定」承載資料設定
- Dock 承載資料設定
- 「網域」承載資料設定
- 「能源節約器」承載資料設定
- Exchange ActiveSync(EAS)承載資料設定
- Exchange Web Services(EWS)承載資料設定
- 「可延伸的單一登入」承載資料設定
- 「可延伸的單一登入 Kerberos」承載資料設定
- 「延伸功能」承載資料設定
- 「檔案保險箱」承載資料設定
- Finder 承載資料設定
- 「防火牆」承載資料設定
- 「字體」承載資料設定
- 「全域 HTTP 代理」承載資料設定
- 「Google 帳户」承載資料設定
- 「主畫面圖示排列」承載資料設定
- 「識別身份」承載資料設定
- 「身份偏好設定」承載資料設定
- 「核心延伸功能規則」承載資料設定
- LDAP 承載資料設定
- 「Lights Out 管理」承載資料設定
- 「鎖定畫面訊息」承載資料設定
- 「登入視窗」承載資料設定
- 管理式「登入項目」承載資料設定
- 「郵件」承載資料設定
- 「網絡使用規則」承載資料設定
- 「通知」承載資料設定
- 「分級保護控制」承載資料設定
- 「密碼」承載資料設定
- 「列印」承載資料設定
- 「私隱偏好設定規則控制項目」承載資料設定
- 「轉送」承載資料設定
- SCEP 承載資料設定
- 「保安」承載資料設定
- 「設定輔助程式」承載資料設定
- 「單一登入」承載資料設定
- 「智慧卡」承載資料設定
- 「已訂閲的日曆」承載資料設定
- 「系統延伸功能」承載資料設定
- 「系統轉移」承載資料設定
- 「時光機」承載資料設定
- 「電視遙控器」承載資料設定
- Web Clip 承載資料設定
- 「網頁內容過濾器」承載資料設定
- Xsan 承載資料設定
- 詞彙表
- 文件修正記錄
- 版權
設定 Mac 以使用智慧卡專用認證
macOS 支援智慧卡專用認證以強制使用智慧卡,其會將所有以密碼為基礎的認證停用。 此規則被套用至所有 Mac 電腦,且可以在用户沒有可用的智慧卡的情況下,使用豁免群組對個別用户進行變更。
智慧卡專用認證使用基於機器的強制執行
macOS 10.13.2 或較新版本支援智慧卡專用認證以強制使用智慧卡,其會將所有以密碼為基礎的認證停用,通常被稱為基於機器的強制執行。 如要運用此功能,必須使用流動裝置管理(MDM)解決方案,或使用以下指令建立智慧卡強制執行:
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool true如需設定 macOS 以使用智慧卡專用認證的更多資料,請參閲 Apple 支援文章:設定 macOS 以使用智慧卡專用認證。
使用基於用户的強制執行之智慧卡專用認證
基於用户的強制執行是透過指定可豁免智慧卡登入的用户組別來完成。 NotEnforcedGroup 包含定義本機或目錄組別名稱的字串值,其不會包括在智慧卡強制執行中。 這有時候會被稱為基於用户的強制執行,並向智慧卡服務提供用户專屬的粒度。 如要運用此功能,必須先使用流動裝置管理(MDM)解決方案,或使用以下指令來建立基於機器的強制執行:
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool true此外,該系統必須設定以允許未與智慧卡進行配對的用户使用他們的密碼登入:
sudo defaults write /Library/Preferences/com.apple.security.smartcard allowUnmappedUsers -int 1使用下方的 /private/etc/SmartcardLogin.plist 範例檔案作指引。 以 EXEMPT_GROUP 作為豁免組別的名稱。 只要用户是組別的指定成員,或該組別本身被指定豁免,由你加至此組別的任何用户皆會被豁免智慧卡登入。 驗證擁有權為根,且權限在編輯後設定為「全局可讀」。
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> </dict> <key>NotEnforcedGroup</key> <string>EXEMPT_GROUP</string></dict></plist>
感謝您提供意見。