Настройка блокировки восстановления на устройствах macOS в Microsoft Intune

Блокировка восстановления помогает защитить устройства macOS от несанкционированной переустановки и очистки. При добавлении политики блокировки восстановления Intune автоматически создает надежный случайный пароль и задает его на устройстве.

При настройке этой функции:

• Пользователи должны ввести пароль для доступа к среде секции восстановления на устройстве.
• Пароль необходим для обновления или удаления существующего пароля.
• Пароль можно сбросить автоматически с помощью интервала смены на основе времени.
• Доступ к экрану Параметры запуска защищен.

Используйте каталог параметров Intune, чтобы настроить блокировку восстановления на устройствах macOS. После настройки политики назначьте ее устройствам macOS.

После настройки и назначения политики можно использовать действия устройства для смены секретного кода блокировки восстановления.

Дополнительные сведения о паролях recoveryOS и безопасности при запуске см . в статье Безопасность при запуске в macOS (открывается веб-сайт Apple).

Эта статья относится к:

• macOS

Предварительные условия

Создание политики блокировки восстановления

Чтобы создать политику блокировки восстановления в каталоге параметров, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Intune.

2. Выберите Устройства>Управление устройствами>Конфигурация>Создать>Новая политика.

3. Укажите следующие свойства:

   • Платформа: выберите macOS.
   • Тип профиля: выберите Каталог параметров.

4. Нажмите Создать.

5. В разделе Основные укажите следующие свойства.

   • Имя. Введите описательное имя для профиля. Назначьте имена профилям, чтобы позже их можно было легко найти. Например, хорошее имя профиля — Включить блокировку восстановления.
   • Описание: введите описание профиля. Этот необязательный параметр, но мы рекомендуем его использовать.

6. Нажмите кнопку Далее.

7. В разделе Параметры конфигурации выберите Добавить параметры и выполните поиск по запросу Блокировка восстановления. Выберите категорию Пароль блокировки восстановления , выберите Выбрать все эти параметры, а затем закройте средство выбора параметров.

   

8. Настройка параметров блокировки восстановления:

   • Включить пароль блокировки восстановления. Выберите Включено , чтобы включить функцию блокировки восстановления на устройстве.

   • Расписание смены паролей блокировки восстановления. Введите количество месяцев до автоматического сброса пароля блокировки восстановления с 1 до 12 месяцев.

     Когда срабатывает расписание, Intune обновляет пароль на устройстве и безопасно сохраняет его в Центре администрирования Intune.

     Обязательно установите расписание, соответствующее требованиям безопасности вашей организации. Более короткий интервал смены повышает безопасность, так как снижает риск утечки пароля. Он также может увеличить число обращений в службу поддержки, если пользователям требуется часто получать доступ к разделу восстановления.

9. Нажмите кнопку Далее. В разделе Теги области выберите Далее.

   Теги области являются необязательными и в этом примере не используются. Дополнительные сведения о тегах область и их действиях см. в статье Использование управления доступом на основе ролей (RBAC) и область тегов для распределенной ИТ-службы.

10. В разделе Назначения щелкните Далее.

    Назначения являются необязательными и в этом примере не используются. В рабочей среде выберите Добавить группы. Выберите группу Microsoft Entra, включающую пользователей или устройства, которые должны получать эту политику. Сведения и рекомендации по назначению политик см. в разделе Назначение профилей пользователей и устройств в Microsoft Intune.

11. В разделе Просмотр и создание просмотрите сводку изменений. Нажмите Создать.

    При создании профиля политика автоматически назначается выбранным пользователям или группам. Если вы не выбрали пользователей или группы, ваша политика создается, но она не развертывается.

    Вразделе Конфигурацияустройств> новая политика отображается в списке.

Мониторинг состояния блокировки восстановления и просмотр пароля

При назначении политики устройствам можно отслеживать ее состояние с помощью отчета о состоянии параметра per.

Если включена блокировка восстановления, вы можете просмотреть пароль в отчете в разделе Пароли и ключи>Пароль блокировки восстановления.

Использование действия смены секретного кода устройства с блокировкой восстановления

Вы можете использовать действие смены секретного кода устройства для блокировки восстановления, чтобы сбросить пароль блокировки восстановления по запросу. Это действие полезно, если пользователь забыл свой пароль или вы хотите заранее сменить пароль за пределами расписания смены, заданного в политике.

1. В центре администрирования Intune выберите Устройства>Все устройства> выберите устройство macOS.
2. Выберите Смена секретного кода блокировки восстановления.
3. Подтвердите действие.

Дополнительные сведения см. в статье Смена действия секретного кода устройства с блокировкой восстановления.

Удаление пароля блокировки восстановления

Чтобы удалить пароль блокировки восстановления с устройства, можно использовать следующие параметры:

• Вариант 1. При отмене регистрации устройства с Intune пароль блокировки восстановления автоматически удаляется с устройства.
• Вариант 2. При отмене назначения устройства из политики Intune пытается очистить пароль блокировки восстановления.

Связанные материалы

• Настройка параметров с помощью каталога параметров Intune
• Распространенные задачи, которые можно выполнить с помощью каталога параметров