Skip to main content
Jamf Nation, hosted by Jamf, is the largest Apple IT management community in the world. Dialog with your fellow IT professionals, gain insight about Apple device deployments, share best practices and bounce ideas off each other. Join the conversation.

Préparer votre entreprise aux nouvelles fonctions de protection des données utilisateur sous macOS 10.14

Remarque : Depuis Jamf Pro 10.9, vous pouvez configurer le profil de contrôle des règles des préférences de confidentialité en tant qu’entité (payload) distincte dans les profils de configuration de l’ordinateur. Cette entité vous permet de configurer les réglages pour autoriser ou refuser l’accès à des applications et services dans le panneau des préférences Sécurité et confidentialité d’un ordinateur cible.

Aperçu

Cet article détaille les protections présentes dans macOS Mojave 10.14 ou version ultérieure et relatives aux données utilisateur, qui sont gérées par la structure de sécurité étendue d’Apple, Transparency Consent and Control (TCC). Les entreprises peuvent utiliser la gestion des appareils mobiles (MDM) pour gérer ces préférences de sécurité à distance avec la nouvelle entité (payload) de contrôle des règles des préférences de confidentialité d’Apple sous macOS 10.14 ou version ultérieure.

Cet article contient des informations sur les éléments suivants :

  • Nouvelles protections des données utilisateur sous macOS 10.14 ou version ultérieure : informations sur les nouvelles protections des données utilisateur et leurs implications pour les utilisateurs finaux et les administrateurs Jamf Pro
  • Validation préalable de la structure de gestion Jamf : exigences et contenus du profil de contrôle des règles des préférences de confidentialité installé automatiquement, et ressources permettant de créer un profil de configuration personnalisé
  • Validation préalable des événements Apple : informations pour les administrateurs Jamf Pro utilisant des Apple Scripts, qui pourront avoir besoin de valider la structure de gestion Jamf pour communiquer avec les applications et les services intégrés exploitant le service des événements Apple.

Les nouvelles protections des données utilisateur sous macOS 10.14 ou version ultérieure

Sous macOS 10.14 ou version ultérieure, l’accès à certaines données d’application d’utilisateurs nécessitera l’accord de l’utilisateur.

Les utilisateurs peuvent donner leur accord préalable aux apps en les ajoutant à la catégorie « Accès complet au disque » du volet « Sécurité et confidentialité » des Préférences système. En ajoutant ces apps, l’utilisateur autorise l’accès à toutes les données sensibles, sans en être préalablement informé. Pour réaliser cette procédure dans les Préférences système, il est nécessaire de fournir un identifiant d’administrateur.

Il est également possible d’accorder ces accès à distance par le biais du MDM grâce à la nouvelle entité de contrôle des règles des préférences de confidentialité de macOS 10.14 ou version ultérieure.

Implications pour les utilisateurs

Sous macOS 10.14 ou version ultérieure, les apps essayant d’accéder à des données d’apps et fichiers protégés peuvent demander à l’utilisateur s’il leur autorise ou leur refuse l’accès. Si le développeur de l’app a ajouté des chaînes d’objectifs au fichier Info.plist pour justifier cette demande d’accès aux données, elles apparaîtront dans le même message.

Les apps compilées avec d’anciennes versions de Xcode pourront ne pas afficher de description de l’utilisation pour le message.

Implications pour les administrateurs Jamf Pro

Les administrateurs Jamf Pro doivent se préparer à rencontrer les comportements suivants sous macOS 10.14 ou version ultérieure :

  • Certaines règles exécutées via Self Service pourront afficher un message demandant aux utilisateurs d’autoriser ou de refuser l’exécution de « jamfAgent ».
  • Certaines règles exécutées via Terminal pourront afficher un message demandant aux utilisateurs d’autoriser ou de refuser l’exécution de « Terminal ».
  • Certaines règles exécutées par le binaire Jamf en arrière-plan pourront provoquer une erreur. Il est possible que ces dysfonctionnements soient signalés par erreur comme des réussites.

Entité de contrôle des règles des préférences de confidentialité

Les entreprises peuvent utiliser la gestion des appareils mobiles pour gérer les préférences de sécurité à distance avec la nouvelle entité de contrôle des règles des préférences de confidentialité d’Apple sous macOS 10.14 ou version ultérieure.

L’entité de contrôle des règles des préférences de confidentialité contrôle les clés de dictionnaire du service de confidentialité suivantes :

  • Carnet d’adresses
  • Calendrier
  • Rappels
  • Photos
  • Appareil photo
  • Microphone
  • Accessibilité
  • PostEvent
  • SystemPolicyAllFiles
  • SystemPolicySysAdminFiles
  • AppleEvents

Pour autoriser ou refuser l’accès d’une app ou d’un binaire à l’une des clés de dictionnaire du service de confidentialité, vous pouvez créer une entité comportant les éléments suivants :

Clé de dictionnaire Description
Identifiant Une valeur d’identification unique pour l’app ou le service. Utilisez un identifiant de bundle pour les apps ou le chemin d’installation du binaire
Type d’identifiant Il doit s’agir de l’identifiant de bundle ou du chemin du fichier, selon s’il s’agit d’un bundle d’apps ou du binaire.
Exigences en termes de code Une valeur unique basée sur le certificat du développeur et utilisée pour signer l’app ou le service. Cette valeur est accessible par le biais de la commande « codesign – display -r - ».
Code statique Facultatif : Si une app a déjà été définie sur Allow=True avec les services utilisant /usr/bin/log mais continue à envoyer des messages d’avertissement, il se peut que vous deviez passer la valeur en true. Sur true, elle valide statiquement les exigences relatives au code de l’app ou du service sur le disque dur. Sur false, elle vérifie la mémoire interne de l’app pendant son exécution. Cette méthode est employée uniquement si le processus ne valide pas la signature de code dynamique. Le réglage par défaut est false.
Autorisé Booléen : Si défini sur true, l’accès est accordé. Si défini sur false, l’accès est refusé. La valeur false prévaut sur toute valeur définie par un utilisateur dans les Préférences système auparavant.

Signature du code obligatoire et identifiants de bundle

Les administrateurs Jamf Pro choisissant de créer un profil de configuration personnalisé doivent intégrer l’exigence de signature de code et l’identifiant de bundle pour que l’app autorise l’accès aux données utilisateur protégées. Pour avoir accès à la signature de code obligatoire et à l’identifiant de bundle (si nécessaire), vous devez exécuter les commandes codesign suivantes :

  • codesign -dr - /Applications/Application.app
  • codesign -dr - /path/to/binary

Consultez les tableaux suivants pour voir des exemples :

Entrée Sortie
codesign -dr - /usr/local/bin/jamf Executable=/usr/local/jamf/bin/jamf
designated => identifier "com.jamfsoftware.jamf" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] / exists / and certificate leaf[field.1.2.840.113635.100.6.1.13] / exists / and certificate leaf[subject.OU] = "483DWKW443"
codesign -dr - /Library/Application\ Support/JAMF/Jamf.app Executable=/Library/Application Support/JAMF/Jamf.app/Contents/MacOS/Jamf
designated => identifier "com.jamf.management.Jamf" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] / exists / and certificate leaf[field.1.2.840.113635.100.6.1.13] / exists / and certificate leaf[subject.OU] = "483DWKW443"

Utilisez les éléments suivants en tant que signature de code :

"identifier "com.jamfsoftware.jamf" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] / exists / and certificate leaf[field.1.2.840.113635.100.6.1.13] / exists / and certificate leaf[subject.OU] = "483DWKW443" "

Remarque : SI le développeur de l’app modifie son certificat de signature de code, le profil existant sera invalidé et il faudra créer un nouveau profil intégrant la nouvelle signature de code.

Identification des processus et des apps essayant d’accéder aux données

Pour identifier l’app ou le binaire auquel vous souhaitez accorder un accès aux données, exécutez la commande suivante :
/usr/bin/log stream --debug --predicate 'subsystem == "com.apple.TCC" AND eventMessage BEGINSWITH "AttributionChain"'

Pour afficher l’historique des accès aux données, exécutez la commande suivante :
/usr/bin/log show --predicate 'subsystem == "com.apple.TCC"' | grep Prompting

Accord préalable pour la structure de gestion Jamf

Les administrateurs Jamf Pro peuvent valider au préalable la structure de gestion Jamf avec le profil de configuration du contrôle des règles des préférences de confidentialité. Ce profil sera automatiquement installé sur Jamf Pro 10.7.1 ou version ultérieure.

Les administrateurs Jamf Pro peuvent également créer leur propre profil de configuration à l’aide des informations du volet Contrôle des règles des préférences de confidentialité d’un profil de configuration pour ordinateurs.

Exigences

Pour installer le profil de contrôle des règles des préférences de confidentialité sur des ordinateurs, vous devez respecter les conditions suivantes :

  • MDM approuvé par l’utilisateur.
  • Les ordinateurs cibles équipés de macOS 10.14 ou version ultérieure
  • Les notifications push activé

Si l’installation est refusée par un système MDM non approuvé par l’utilisateur, le profil restera en file d’attente et réessaiera automatiquement de s’installer dès que l’ordinateur bénéficiera d’un statut MDM approuvé par l’utilisateur. Pour en savoir plus sur le MDM approuvé par l’utilisateur et Jamf Pro, consultez l’article de la base de connaissances Jamf Pro intitulé Gérer une solution MDM approuvée par l’utilisateur.

Remarque : Si votre entreprise utilise un binaire jamf sans solution MDM approuvée par l’utilisateur pour assurer la gestion, vous ne pourrez pas installer ce profil de configuration avec la commande des profils ou en cliquant manuellement sur le profil. Il devra être envoyé en mode push via la solution MDM depuis un serveur MDM approuvé par l’utilisateur.

Contenus du profil de contrôle des règles des préférences de confidentialité

Pour approuver cette structure de gestion Jamf avec macOS 10.14 ou version ultérieure, le service Systems Policy All Files doit avoir approuvé les trois apps et processus suivants :

  • jamf agent
  • jamf binary
  • jamf.app

Le fichier .mobileconfig suivant permet d’approuver ces apps et ces processus. Il est similaire au profil de configuration qui s’installera automatiquement sur les ordinateurs sous macOS 10.14 ou version ultérieure et Jamf Pro 10.7.1 ou version ultérieure.

Remarque : Si plusieurs entités de ce type sont installées, les réglages les plus restrictifs seront appliqués entre les entités.

<key>Services</key>
                        <dict>
                                <key>SystemPolicyAllFiles</key>
                                <array>
                                        <dict>
                                                <key>Comment</key>
                                                <string>Allow jamfAgent to access all files</string>
                                                <key>Identifier</key>
                                                <string>/usr/local/jamf/bin/jamfAgent</string>
                                                <key>IdentifierType</key>
                                                <string>path</string>
                                                <key>Allowed</key>
                                                <true/>
                                                <key>CodeRequirement</key>
                                                <string>identifier "com.jamfsoftware.jamfAgent" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = "483DWKW443"</string>
                                        </dict>
                                        <dict>
                                                <key>Comment</key>
                                                <string>Allow jamf binary to access all files</string>
                                                <key>Identifier</key>
                                                <string>/usr/local/jamf/bin/jamf</string>
                                                <key>IdentifierType</key>
                                                <string>path</string>
                                                <key>Allowed</key>
                                                <true/>
                                                <key>CodeRequirement</key>
                                                <string>identifier "com.jamfsoftware.jamf" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = "483DWKW443"</string>
                                        </dict>
                                        <dict>
                                                <key>Comment</key>
                                                <string>Allow Jamf.app access to all files</string>
                                                <key>Identifier</key>
                                                <string>com.jamf.management.Jamf</string>
                                                <key>IdentifierType</key>
                                                <string>bundleID</string>
                                                <key>Allowed</key>
                                                <true/>
                                                <key>CodeRequirement</key>
                                                <string>identifier "com.jamf.management.Jamf" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = "483DWKW443"</string>
                                        </dict>
                                </array>
                        </dict>

Installation automatique du profil de contrôle des règles des préférences de confidentialité

Un profil de configuration qui fournit une validation préalable de la structure de gestion Jamf sera automatiquement installé dans Jamf Pro 10.7.1 ou version ultérieure. L’option Installer automatiquement un profil de Contrôle des règles des Préférences de confidentialité (macOS 10.14 ou version ultérieure) est activée par défaut dans les réglages de sécurité après la mise à niveau vers Jamf Pro 10.7.1 ou version ultérieure. Pour accéder à cette fonctionnalité, rendez-vous dans Réglages > Gestion des ordinateurs > Sécurité.

Lorsque cette option est activée dans les réglages de sécurité, Jamf Pro 10.7.1 (ou version ultérieure) récupérera automatiquement la version macOS des ordinateurs gérés à l’ouverture de session. Cela permet à Jamf Pro de détecter instantanément si un ordinateur a été mis à niveau vers macOS 10.14 ou version ultérieure et de lancer l’installation du profil de contrôle des règles des préférences de confidentialité. La détection automatique de la version du système d’exploitation à l’ouverture de session s’applique uniquement lors de l’installation automatique du profil via l’option proposée dans les réglages de sécurité. Elle n’est pas appliquée dans le cas d’un déploiement manuel d’un profil de configuration personnalisé.

Création d’un profil de configuration personnalisé

Depuis Jamf Pro 10.9, vous pouvez configurer le profil de contrôle des règles des préférences de confidentialité en tant qu’entité (payload) distincte dans les profils de configuration de l’ordinateur. Cette entité vous permet de configurer les réglages pour autoriser ou refuser l’accès à des applications et services dans le panneau des préférences Sécurité et confidentialité d’un ordinateur cible. Pour accéder à ces réglages, sélectionnez Ordinateurs > Profils de configuration, puis utilisez l’entité de contrôle des règles des préférences de confidentialité afin de gérer ces réglages.

Remarque : Si le profil de configuration est déployé manuellement sur un ordinateur équipé de macOS 10.13 (ou version ultérieure), il ne pourra pas être réappliqué une fois l’ordinateur mis à niveau vers macOS 10.14. Le profil de configuration devra être déployé à nouveau après la mise à niveau vers macOS 10.14 ou version ultérieure.

Validation préalable des événements Apple

Les administrateurs Jamf Pro utilisant des workflows AppleScript nécessitant une interaction avec l’utilisateur devront peut-être approuver la structure de gestion Jamf pour communiquer avec les applications et les services intégrés ayant recours au service des événements Apple dans l’entité de contrôle des règles des préférences de confidentialité. Pour pouvoir utiliser le service des événements Apple, les administrateurs Jamf Pro doivent fournir le type d’identifiant et répondre aux exigences de code aussi bien pour l’application d’envoi que pour celle de réception.

Les services et les apps intégrés standard recevant des événements Apple nécessaires pour l’interaction avec les utilisateurs sont les suivants :

Événements système : - Identifiant de récepteur : com.apple.systemevents
- Type d’identifiant de récepteur : Identifiant de bundle
- Exigences de code du récepteur : identifier "com.apple.systemevents" and anchor apple
SystemUIServer: - Identifiant de récepteur : com.apple.systemuiserver
- Type d’identifiant de récepteur : Identifiant de bundle
- Exigences de code du récepteur : identifier "com.apple.systemuiserver" and anchor apple
Finder: - Identifiant de récepteur : com.apple.finder
- Type d’identifiant de récepteur : Identifiant de bundle
- Exigences de code du récepteur : identifier "com.apple.finder" and anchor apple

Le référentiel GitHub de Jamf suivant permet de télécharger un profil de configuration prédéterminé pour approuver la structure de gestion Jamf et ces trois services Apple : https://github.com/jamf/JamfPrivacyPreferencePolicyControlProfiles. Uploadez le profil de configuration dans Jamf Pro 10.7.1 (ou version ultérieure).

Remarque : Vous pouvez uploader ce profil non signé vers Jamf Pro. Dans ce cas, il générera automatiquement les valeurs UUID de l’entité.

En outre, une app open source conçue par Jamf pour la communauté Apple peut vous aider au niveau des exigences d’identification nécessaires pour autoriser les apps à fonctionner au sein de la structure de contrôle des règles des préférences de confidentialité. Cette app est également disponible dans le référentiel GitHub de Jamf : https://github.com/jamf/PPPC-Utility.

Remarque : Vous pouvez uploader une entité de contrôle des règles des préférences de confidentialité non signée vers Jamf Pro en utilisant l’API.

Informations supplémentaires

Like Comment

Jamf wants to hear your feedback around Jamf Pro: LDAP Servers and Reports!