Richtlinien - Apple
- Apple-Richtlinien
- Apple-Richtlinie: Sperrcode
- Apple-Richtlinie: Einschränkungen
- Apple-Richtlinie: Apps & Profile
Apple-Richtlinien
Apple-Richtlinien definieren Verwaltungseinstellungen, die Cerberus Enterprise über MDM auf Apple-Geräte anwendet. Diese Einstellungen werden im Dashboard im Apple-Richtlinien-Editor konfiguriert.
Bevor Sie beginnen
Die Geräteverwaltung für Apple erfordert die Konfiguration von Apple Management (APNs). Lesen Sie bei Bedarf die Seite Apple Management setup (APNs).
Apple Policy Editor öffnen
Öffnen Sie im Dashboard Policies und klicken Sie auf Create new Apple policy. Um eine bestehende Apple Policy zu bearbeiten, klicken Sie auf die entsprechende Zeile in der Policies-Tabelle.
Editor-Layout
Der Apple Policy Editor ist als eine Reihe von erweiterbaren Abschnitten organisiert. Am oberen Seitenrand können Sie jederzeit Folgendes bearbeiten:
- Name (erforderlich)
- Id (schreibgeschützt)
- Beschreibung (optional)
Policy-Abschnitte
Die folgenden Abschnitte entsprechen den derzeit im Apple Policy Editor verfügbaren Panels:
- App-Management: Konfiguration von appbezogenen Einschränkungen und verwalteten Apps.
- Passcode-Einstellungen: Konfiguration von Passcode-Anforderungen und zugehörigen Regeln.
- Security: Steuerung von Funktionen wie Auto Unlock und biometrischem Entsperren.
- iCloud: Bestimmte iCloud-Dienste erlauben oder untersagen (Backup, Schlüsselbund-Synchronisierung, Private Relay usw.).
- Multimedia: Kamera und zugehörige Funktionen erlauben oder untersagen.
- Cellular: Steuerung von Mobilfunk-Einstellungen (App-Mobilfunkdaten, eSIM, Tarifänderungen).
- Networking: Steuerung von AirDrop/AirPrint/AirPlay und anderen Konnektivitätseinstellungen.
- Accounts: Einschränkung der Kontomodifikation und (optional) Konfiguration von Google- und Mail-Konten.
Viele Optionen im Apple Policy Editor enthalten einen Tooltip, der Anforderungen und unterstützte OS-Versionen dokumentiert.
Speichern, Löschen und zugehörige Geräte
Verwenden Sie Save policy, um Ihre Änderungen zu übernehmen. Die Schaltfläche ist deaktiviert, wenn keine ausstehenden Bearbeitungen vorliegen oder die Lizenz abgelaufen ist.
Beim Bearbeiten einer bestehenden Policy wird auf der Seite auch die Aktion Delete policy angezeigt. Der Editor kann am Ende eine Liste Associated devices anzeigen, damit Sie sehen können, wie viele Geräte die Policy derzeit verwenden.
Nächste Seiten
- Passcode: Konfiguration von Passcode-Anforderungen und zugehörigen Sicherheitsoptionen.
- Restrictions: Definition erlaubter Funktionen und Einschränkungen auf OS-Ebene.
- Apps & Profile: Konfiguration installierter Apps und Konfigurationsprofile.
Apple-Richtlinie: Sperrcode
Der Bereich Sperrcode-Einstellungen steuert die Anforderungen an den Gerätesperrcode und zugehörige Sicherheitsregeln (zum Beispiel Mindestlänge und Komplexität).
Optionen
Im Apple-Richtlinien-Editor werden Sperrcode-Optionen mithilfe einer Kombination aus Schaltern und numerischen Feldern konfiguriert. Viele Felder enthalten Tooltips, die unterstützte OS-Versionen und Anforderungen an die Aufsicht (Supervision) angeben.
Sperrcode-Schalter
- ChangeAtNextAuth: Erzwingt eine Passwortrücksetzung bei der nächsten Authentifizierung des Benutzers.
- RequireAlphanumericPasscode: Erfordert mindestens einen Buchstaben und eine Zahl.
- RequireComplexPasscode: Erfordert einen „komplexen“ Sperrcode (keine sich wiederholenden oder aufeinanderfolgenden Muster und mindestens ein nicht-alphanumerisches Zeichen).
- RequirePasscode: Erfordert einen Sperrcode ohne zusätzliche Anforderungen an Länge oder Qualität. Hinweis: Das Einstellen anderer Sperrcode-Optionen setzt implizit einen Sperrcode voraus.
Numerische Felder
- FailedAttemptsResetInMinutes: Minuten, bevor der Zähler für fehlgeschlagene Versuche zurückgesetzt wird (erfordert MaximumFailedAttempts).
- MaximumFailedAttempts: erlaubte fehlgeschlagene Versuche, bevor das Gerät gelöscht/gesperrt wird (Bereich: 2–11).
- MaximumGracePeriodInMinutes: wie lange das Gerät ohne Eingabe des Sperrcodes entsperrt bleiben kann (0 = keine).
- MaximumInactivityInMinutes: Inaktivitätszeit, bevor das Gerät gesperrt wird (Bereich: 0–15).
- MaximumPasscodeAgeInDays: maximales Alter des Sperrcodes vor einer erzwungenen Änderung (Bereich: 0–730).
- MinimumComplexCharacters: Mindestanzahl an „komplexen“ Zeichen (Bereich: 0–4).
- MinimumLength: Mindestlänge des Sperrcodes (Bereich: 0–16).
- PasscodeReuseLimit: Länge des Sperrcode-Verlaufs, um die Wiederverwendung alter Sperrcodes zu verhindern (Bereich: 1–50).
Apple-Richtlinie: Einschränkungen
Die Abschnitte „Einschränkungen“ steuern, welche Betriebssystem-Funktionen auf verwalteten Apple-Geräten erlaubt sind. Im Apple-Richtlinien-Editor werden diese Optionen als gruppierte Panels mit mehreren Schaltern angezeigt.
Viele Einschränkungen werden nur auf bestimmten OS-Versionen unterstützt und können eine Aufsicht (Supervision) der Geräte erfordern. Verwenden Sie die Tooltips im Dashboard für verbindliche Anforderungen.
Sicherheit
- Automatisches Entsperren erlauben
- Fingerabdruck zum Entsperren erlauben
- Ändern von Fingerabdruck/Touch ID erlauben
iCloud
- iCloud-Adressbuch erlauben
- iCloud-Backup erlauben
- iCloud-Lesezeichen erlauben
- iCloud-Kalender erlauben
- iCloud Schreibtisch und Dokumente erlauben
- iCloud-Dokumentensynchronisierung erlauben
- iCloud Freeform erlauben
- iCloud-Schlüsselbund-Synchronisierung erlauben
- iCloud Mail erlauben
- iCloud-Notizen erlauben
- iCloud-Fotobibliothek erlauben
- iCloud Private Relay erlauben
- iCloud-Erinnerungen erlauben
Multimedia
- Kamera erlauben
- Ändern der Freigabeoptionen erlauben
- Zugriff auf USB-Laufwerke über die Dateien-App erlauben
Mobilfunk
- Ändern der mobilen Daten pro App erlauben
- Ändern des Mobilfunktarifs erlauben
- Ändern der eSIM-Einstellungen erlauben
- Ausgehende eSIM-Transfers erlauben
Netzwerk
- AirDrop erlauben
- Eingehende AirPlay-Anfragen erlauben
- AirPrint erlauben
- Speichern von AirPrint-Anmeldedaten erlauben
- AirPrint iBeacon-Entdeckung erlauben
- Ändern der Bluetooth-Einstellungen erlauben
- Ändern der Bluetooth-Freigabe erlauben
- Zugriff auf Netzlaufwerke über die Dateien-App erlauben
- Ändern der Internetfreigabe erlauben
Konten (Einschränkung)
Das Panel „Konten“ enthält sowohl eine Einschränkung als auch (optional) die Kontokonfiguration. Der Schalter für die Einschränkung steuert, ob der Benutzer Systemkonten ändern kann.
- Ändern von Konten erlauben
Apple-Richtlinie: Apps & Profile
Dieser Abschnitt dokumentiert, wie verwaltete Anwendungen und Account-Payloads für Apple-Geräte konfiguriert werden.
App-Verwaltung
Das App-Verwaltung-Panel enthält sowohl allgemeine appbezogene Einschränkungen als auch eine Liste der verwalteten Apps.
Allgemeine App-Einschränkungen
- App Clips erlauben
- App-Installation erlauben
- App-Entfernung erlauben
- Automatische App-Downloads erlauben
- Ausblenden von Apps erlauben
- Sperren von Apps erlauben
- In-App-Käufe erlauben
Verwaltete Apps
Verwenden Sie Anwendung hinzufügen, um eine App zur Richtlinie hinzuzufügen. Jede verwaltete App wird als Karte angezeigt. Sie können die Karte erweitern, um ihre Einstellungen zu bearbeiten, oder die App über die Löschaktion entfernen.
- App Store ID: die App Store-Kennung der verwalteten App.
- Bundle ID: die App-Bundle-Kennung.
- Installationsverhalten: steuert, ob die App installiert bleiben muss oder vom Benutzer installiert/entfernt werden kann.
- Zuweisung: Typ der Lizenzzuweisung.
- VPP-Lizenz: VPP-Lizenztyp, der für die Installation über den App Store verwendet wird.
Konten
Das Konten-Panel ermöglicht es Ihnen, Konten zu konfigurieren, die auf verwaltete Geräte angewendet werden. Es enthält außerdem einen Schalter für Einschränkungen zur Kontomodifikation.
Einschränkung
- Kontomodifikation erlauben: Wenn deaktiviert, können Benutzer Konten wie Apple-Konten und Internetkonten nicht ändern.
Konten hinzufügen
Verwenden Sie Google-Konto hinzufügen oder Mail-Konto hinzufügen, um Konten-Payloads zur Richtlinie hinzuzufügen. Jedes Konto wird als Karte mit seinen Konfigurationsfeldern angezeigt.
Kontodaten von Benutzern
Sowohl Google- als auch Mail-Kontokarten bieten einen Schalter für Kontodaten von Benutzern. Wenn dieser aktiviert ist, wendet das System die Kontodaten auf Benutzerbasis an. Wenn er deaktiviert ist, geben Sie die Kontenidentität in der Richtlinie ein.
Google-Kontofelder
- Sichtbarer Name: der dem Benutzer für das Konto angezeigte Name.
- Google-E-Mail-Adresse: die E-Mail-Adresse des Benutzers.
- Vollständiger Name: der vollständige Name des Benutzers.
Mail-Kontofelder
Mail-Konten enthalten Identitätsfelder sowie die Konfiguration für ein- und ausgehende Server. Hostnamen sind erforderlich.
- Sichtbarer Name: der dem Benutzer für das Mail-Konto angezeigte Name.
- E-Mail-Adresse: die E-Mail-Adresse des Benutzers.
- Vollständiger Name: der vollständige Name des Benutzers.
Posteingangsserver
- Servertyp: Mail-Protokoll (zum Beispiel IMAP oder POP).
- Authentifizierungsmethode: Authentifizierungsmethode für den Server.
- IMAP-Pfadpräfix: wird nur angezeigt, wenn der Servertyp IMAP ist.
- Hostname: erforderlich.
- Port: Server-Port (1–65535).
Ausgangsserver
- Authentifizierungsmethode
- Hostname: erforderlich.
- Port: Server-Port (1–65535).
S/MIME-Optionen
Für Mail-Konten können Sie auch das S/MIME-Verschlüsselungs- und Signaturverhalten konfigurieren.
Verschlüsselung
- S/MIME-Verschlüsselung
- Identität durch Benutzer überschreibbar
- Schalter für Nachrichten-Verschlüsselung aktiviert
- Durch Benutzer überschreibbar
Signierung
- S/MIME-Signierung
- Identität durch Benutzer überschreibbar
- Durch Benutzer überschreibbar
Die Optionen für Konten und Einschränkungen enthalten Tooltips im Dashboard, die Voraussetzungen und unterstützte OS-Versionen dokumentieren.