Erstellen eines PPPC-Profils (Privacy Preferences Policy Control)

Was ist PPPC?

Die Richtliniensteuerung in der Systemeinstellung "Datenschutz" (PPPC) in macOS unterstützt Administratoren bei der Verwaltung von App-Berechtigungen und beim Schutz von Benutzerdaten. Mit einem PPPC-Profil können Sie den Zugriff von Apps auf Systemdienste wie Kamera, Mikrofon und Dateisysteme vorab genehmigen, wodurch die manuelle Benutzergenehmigung entfällt und der Bereitstellungsprozess vereinfacht wird.

Funktionsweise von PPPC- und TCC-Kontrollen

Aufgrund der Datenschutzanforderungen von Apple ist für den Zugriff auf Kamera-, Mikrofon- und Bildschirmaufzeichnungen immer eine Benutzerinteraktion erforderlich, um die Genehmigung zu erteilen.

Ab macOS Mojave (10.14) können Sie mit der PPPC-Payload von Apple TCC-Einstellungen (Transparency, Consent, and Control) konfigurieren, die für den Schutz von Benutzerinformationen von entscheidender Bedeutung sind. PPPC-Profile geben Administratoren die Möglichkeit, den App-Zugriff auf Systemdienste wie Kamera, Mikrofon und Dateisysteme vorab zu genehmigen oder zu verweigern. Administratoren erstellen diese Profile mithilfe von XML-Dateien, die die Berechtigungen, Bundle-IDs und Codeanforderungen der einzelnen Apps angeben. Nach der Erstellung werden diese Profile über MDM bereitgestellt, wodurch die Einstellungen auf registrierte macOS Geräte angewendet werden.

Bestimmen, welche Apps ein Datenschutzprofil benötigen

Gehen Sie folgendermaßen vor, um festzustellen, ob Ihre App zusätzliche Datenschutzberechtigungen benötigt. Beachten Sie, dass die Einstellungsbereiche je nach macOS Version variieren können.

Für macOS 13 Ventura oder höher

1. Installieren Sie Ihre App auf einem Testgerät oder einem macOS virtuellen Computer.

2. Starten Sie die App, und achten Sie auf alle angezeigten Dialogfelder der Benutzeroberfläche, z. B. diejenigen, die den Zugriff auf Barrierefreiheitsfunktionen oder den Ordner "Downloads" anfordern.

3. Navigieren Sie zu den Systemeinstellungen und klicken Sie auf Datenschutz & Sicherheit.

4. Wählen Sie auf der rechten Seite eine Option aus, z. B. Barrierefreiheit. Wenn Ihre App hier aufgeführt ist, bedeutet dies, dass die App diese PPPC-Berechtigung benötigt. 

5. Klicken Sie mit der rechten Maustaste auf die aufgelistete App und wählen Sie Im Finder anzeigen. Der Finder wird mit der ausgewählten App gestartet. Sie können die Anwendung per Drag & Drop in Terminal ziehen, um den vollständigen Pfad zu erhalten, der im nächsten Schritt verwendet wird. 

Für macOS Versionen vor macOS 13 Ventura

1. Installieren Sie Ihre App auf einem Testgerät oder einem macOS virtuellen Computer.

2. Starten Sie die App, und achten Sie auf alle angezeigten Dialogfelder der Benutzeroberfläche, z. B. diejenigen, die den Zugriff auf Barrierefreiheitsfunktionen oder den Ordner "Downloads" anfordern.

3. Navigieren Sie zu den Systemeinstellungen und klicken Sie auf Sicherheit & Datenschutz.

4. Wählen Sie die Registerkarte Datenschutz aus. 

5. Wählen Sie auf der rechten Seite eine Option aus, z. B. Barrierefreiheit. Wenn Ihre App hier aufgeführt ist, bedeutet dies, dass die App diese PPPC-Berechtigung benötigt. 

6. Klicken Sie mit der rechten Maustaste auf die aufgelistete App und wählen Sie Im Finder anzeigen. Der Finder wird mit der ausgewählten App gestartet. Sie können die Anwendung per Drag & Drop in Terminal ziehen, um den vollständigen Pfad zu erhalten, der im nächsten Schritt verwendet wird. 

Bestimmen der Kennungs- und Codeanforderung

Um ein PPPC-Profil zu erstellen, müssen Sie die Codeanforderung und die Kennung der Anwendung kennen. Diese Informationen können ganz einfach über Terminal auf einem Mac gesammelt werden, auf dem die Anwendung installiert ist.

1. Starten Sie Terminal auf einem macOS Gerät, auf dem die Anwendung installiert ist.

2. Führen Sie den folgenden Befehl aus, und ersetzen Sie dabei /Applications/zoom.us.app durch den Pfad zu Ihrer Anwendung.

   codesign -dr - "/Applications/zoom.us.app"

3. Wenn die Ausgabeergebnisse angezeigt werden, kopieren Sie den gesamten Text nach den Zeichen => . Kopieren Sie keine nachfolgenden oder führenden Leerzeichen. Diese Ausgabe ist die Codeanforderung. Der Teil zwischen den Anführungszeichen, z. B. "us.zoom.xos", ist der Identifikator. 

Konfigurieren eines Datenschutzprofils mit Kandji

Nachdem Sie Ihre Anwendungsinformationen gesammelt haben, können Sie ein Datenschutzprofil in der Kandji -Web-App erstellen.

Datenschutzeinstellungen, die über MDM bereitgestellt werden, werden nicht in der grafischen Benutzeroberfläche in den Systemeinstellungen angezeigt.

1. Navigieren Sie in der linken Navigationsleiste zu Library.

2. Klicken Sie auf die Schaltfläche Neu hinzufügen in der oberen rechten Ecke.

3. Suchen Sie dieLibrary Item Datenschutz  .

4. Klicken Sie auf Hinzufügen und konfigurieren. 

5. Geben Sie Ihrem Profil einen aussagekräftigen Namen.

6. Wählen Sie die Blueprint, die Sie einbeziehen möchten, aus der Dropdown-Liste Blueprint aus. Sie können diese Library Item aus dem Assignment Map selbst zu einem Assignment Map hinzufügen.

7. Konfigurieren Sie optional Zuweisungsregeln. 

8. Wenn Ihre Ausgabe einen Bezeichner im ersten Teil der Codeanforderung enthält, lassen Sie den Bezeichnertyp auf Bundle ID festgelegt. Wählen Sie andernfalls Pfad aus.

9. Fügen Sie den Bezeichner ein, der sich im ersten Teil der Codeanforderung befindet. 

   • Wenn Sie oben Pfad ausgewählt haben, geben Sie den Pfad für das Profil ein.

10. Fügen Sie die vollständige Codeanforderung ein, die Sie aus Terminal kopiert haben. Stellen Sie sicher, dass die Codeanforderung keine führenden oder nachfolgenden Leerzeichen enthält. Unnötige Zeichen können die Bereitstellung des Profils verhindern.

11. Aktivieren Sie optional das Kontrollkästchen Codeanforderung statisch überprüfen . Diese Option wird nur verwendet, wenn der Prozess seine dynamische Codesignatur ungültig macht.

12. Wählen Sie eine Option aus der Dropdown-Liste App oder Dienst aus. 

    • Diese Auswahl hängt von den Anforderungen der Anwendung ab. Weitere Informationen finden Sie im Abschnitt Determine Which Apps Need a Privacy Profile dieses Handbuchs.

13. Bei Bedarf können Sie einem PPPC-Profil zusätzlichen App-Zugriff hinzufügen, indem Sie auf App-Zugriff hinzufügen klicken. 

14. Klicken Sie in der unteren rechten Ecke auf Speichern.