セキュリティ設定
FileVault(macOS)
FileVault は、macOS デバイスにフルディスク暗号化(XTS-AES-128)を提供します。有効にすると、起動ディスクが暗号化され、起動時にパスワードによるロック解除が必要になります。
個人復旧キー
FileVault を有効にすると、個人復旧キーが生成されます。このキーは、ユーザーがログインパスワードを忘れた場合にディスクのロックを解除できます。キーは安全に保管するため、MDM サーバーにエスクローする必要があります。
機関復旧キー
機関復旧キーは、公開鍵ベースの復旧メカニズムです。対応する秘密鍵は組織が保持し、IT 部門がユーザーの個人キーなしで FileVault 暗号化デバイスのロックを解除できるようにします。
設定
| キー | 型 | 説明 |
|---|---|---|
Defer | Boolean | ユーザーのログアウトまで FileVault の有効化を延期します |
DeferDontAskAtAuth | Boolean | FileVault のログインプロンプトを非表示にします |
ShowRecoveryKey | Boolean | 個人復旧キーをユーザーに表示します |
OutputPath | String | 復旧キーのエスクローペイロードが書き込まれるパス |
ファイアウォール(macOS)
macOS には、アプリケーションごとに受信接続を制御する組み込みのアプリケーションファイアウォールが含まれています。
ファイアウォールの有効化
アプリケーションファイアウォールを有効にし、不審な受信接続をブロックします。
ステルスモード
有効にすると、デバイスは閉じたポートへのプローブ(ICMP ping など)に応答しなくなり、ネットワーク上で認識されにくくなります。
アプリ固有のルール
特定のアプリケーションに対する受信接続を許可またはブロックします。ルールはバンドル識別子で定義できます。
| キー | 型 | 説明 |
|---|---|---|
EnableFirewall | Boolean | macOS アプリケーションファイアウォールを有効にします |
BlockAllIncoming | Boolean | 必須サービスを除くすべての受信接続をブロックします |
EnableStealthMode | Boolean | ステルスモードを有効にします(プローブに応答しない) |
Applications | Array | アプリごとのファイアウォールルールを持つアプリケーションのリスト |
証明書
信頼されたルート証明書および中間証明書をデバイスにインストールします。これは以下に不可欠です:
- 内部 PKI 信頼チェーン
- 証明書ベースの認証
- TLS インスペクションとコンテンツフィルタリング
- Wi-Fi および VPN の証明書信頼
設定
| キー | 型 | 説明 |
|---|---|---|
PayloadCertificateFileName | String | 証明書のファイル名 |
PayloadContent | Data | Base64 エンコードされた証明書データ(DER または PEM) |
PayloadCertificateUUID | String | 証明書ペイロードの一意識別子 |
証明書は、信頼(システム信頼ストアに追加)または非信頼(キーチェーンに追加されるがデフォルトでは信頼されない)としてマークできます。
SCEP
Simple Certificate Enrollment Protocol(SCEP)は、証明書の発行と更新を自動化します。デバイスは SCEP サーバーに証明書を要求し、手動による証明書配布を不要にします。
設定
| キー | 型 | 説明 |
|---|---|---|
URL | String | SCEP サーバーの URL |
Name | String | 証明書のサブジェクト名テンプレート |
Subject | Array | 証明書のサブジェクト属性(例:CN、O、C) |
Challenge | String | 登録用のワンタイムチャレンジパスワード |
KeySize | Integer | RSA キーサイズ(1024、2048、4096) |
KeyType | String | キーアルゴリズム(RSA または ECDSA) |
KeyUsage | Integer | キー使用法フラグ(digitalSignature、keyEncipherment) |
Retries | Integer | 失敗時の再試行回数 |
RetryDelay | Integer | 再試行間の秒数 |
ワークフロー
- デバイスがローカルでキーペアを生成
- デバイスが PKCS#10 証明書署名要求(CSR)を SCEP サーバーに送信
- SCEP サーバーがチャレンジを検証し、証明書を発行
- デバイスが発行された証明書をインストール
- デバイスが同じ SCEP URL を使用して有効期限前に証明書を更新
シングルアプリモード
シングルアプリモード(SAM)は、デバイスを単一のアプリケーションのみの実行に制限し、事実上のキオスクを作成します。アプリを終了するには、パスコードまたは MDM コマンドが必要です。
設定
| キー | 型 | 説明 |
|---|---|---|
AllowTouchScreenRotate | Boolean | キオスクモードでの画面回転を許可します |
AllowAutoLock | Boolean | デバイスの自動ロックを許可します |
AllowLockScreen | Boolean | ロック画面へのアクセスを許可します |
AllowVolumeButtons | Boolean | 音量ボタンの使用を許可します |
AllowRingerSwitch | Boolean | 着信音スイッチの使用を許可します(iOS) |
AutonomousSingleAppModePermittedAppIDs | Array | SAM に自律的に移行できるアプリのバンドル ID |
ユースケース
- POS(販売時点情報管理)端末
- デジタルサイネージ
- 試験監督
- 図書館のカタログ端末
- 患者受付キオスク
プライバシー設定(macOS)
macOS のプライバシー設定ポリシー制御(PPPC)は、アプリのシステムプライバシーコントロールへのアクセスを管理します。これにより、ユーザーがシステム設定で手動でアクセス許可を承認する必要がなくなります。
対応プライバシーサービス
| サービス | 説明 |
|---|---|
AddressBook | 連絡先へのアクセス |
Calendar | カレンダーへのアクセス |
Reminders | リマインダーへのアクセス |
Photos | 写真ライブラリへのアクセス |
Camera | カメラへのアクセス |
Microphone | マイクへのアクセス |
Accessibility | アクセシビリティ API へのアクセス |
PostEvent | システム全体のイベント投稿 |
SystemPolicyAllFiles | フルディスクアクセス |
SystemPolicySysAdminFiles | システム管理ファイルへのアクセス |
DesktopFolder | デスクトップフォルダへのアクセス |
DocumentsFolder | 書類フォルダへのアクセス |
DownloadsFolder | ダウンロードフォルダへのアクセス |
FileProviderPresence | ファイルプロバイダドメインへのアクセス |
設定
| キー | 型 | 説明 |
|---|---|---|
CodeRequirement | String | アプリのコード署名要件(例:identifier "com.example.app" and anchor apple generic) |
Identifier | String | アプリのバンドル識別子 |
IdentifierType | String | bundleID または path |
StaticCodeValidation | Boolean | アクセスを許可する前にアプリのコード署名を検証します |
Allowed | Boolean | true で許可、false で拒否 |
例
<dict>
<key>CodeRequirement</key>
<string>identifier "com.microsoft.teams" and anchor apple generic</string>
<key>Identifier</key>
<string>com.microsoft.teams</string>
<key>IdentifierType</key>
<string>bundleID</string>
<key>StaticCodeValidation</key>
<true/>
<key>Allowed</key>
<true/>
</dict>