macOS 是 Apple Mac、iMac 和 Macbook 设备上的默认操作系统。虽然本指南不适用于任何特定版本的 macOS，英国官方最后一次在 iOS 10.15.1 上测试是在 2019 年 11 月。

一般建议

对于 macOS 设备的企业部署，应该：

• 决定您的组织将使用哪些 macOS 设备：

• 应首选具有 T2 安全处理器的设备，因为它们提供更好的全盘加密、更强的安全启动和更好的物理攻击抵抗力。安全擦除也更有效。

• macOS 设备通常会在首次发布后大约 6-7 年内收到软件更新。一旦设备过时或过时，它就不再接收更新。此时，您应该购买较新的设备。

• 使用推荐的网络架构之一来启用对企业服务的远程访问。

• 使用移动设备管理服务在您的 macOS 设备上配置、监控和实施技术控制。启用任何日志记录和监控功能。

• 使用Apple 商务管理 (ABM)通过零接触注册来注册和配置设备。使用零接触注册，MDM 可以配置为自动提供初始管理员帐户，用户将在设置助手期间创建非管理帐户。

• 考虑是否要在 macOS 上部署防病毒软件或其他安全软件。的组合关守设置和内置的XProtect服务通常是足够的，但在某些情况下，你可能要额外的保护。

设备配置

一旦选择了 MDM 服务、架构和应用程序方法，就应该开发一个设备配置，您可以应用该配置来实施技术控制。特别是，应该包括管理以下各项的策略：

• 生物识别技术的使用，以及密码和身份验证策略。对于没有T2 安全处理器的设备，我们建议您为用户帐户使用复杂的密码，因为它们直接保护磁盘加密密钥。

• 设置固件密码以帮助缓解各种物理攻击，包括冷启动和直接内存访问 (DMA)。

• 配置FileVault 加密设置以防止使用物理攻击提取数据。配置恢复密钥的托管，以便您可以重置忘记的密码。

• 外部接口保护，包括有线和无线外围设备（例如，在设备锁定时禁用 USB 附件）。

• 自动操作系统和应用程序更新。

• 如果需要 VPN，则内置 IKEv2虚拟专用网络 (VPN)。但是，macOS 上的任何内置 VPN 都不支持永远在线模式。

• 来自企业应用程序目录的用于工作的第三方应用程序，通过 MDM 交付。或者，您可以使用Munki 等工具来管理设备上的软件安装。

• 您在用户设备上使用 iCloud 帐户的方法，启用或禁用您需要的特定 iCloud 功能。