Skip to content

セキュリティ設定

FileVault(macOS)

FileVault は、macOS デバイスにフルディスク暗号化(XTS-AES-128)を提供します。有効にすると、起動ディスクが暗号化され、起動時にパスワードによるロック解除が必要になります。

個人復旧キー

FileVault を有効にすると、個人復旧キーが生成されます。このキーは、ユーザーがログインパスワードを忘れた場合にディスクのロックを解除できます。キーは安全に保管するため、MDM サーバーにエスクローする必要があります。

機関復旧キー

機関復旧キーは、公開鍵ベースの復旧メカニズムです。対応する秘密鍵は組織が保持し、IT 部門がユーザーの個人キーなしで FileVault 暗号化デバイスのロックを解除できるようにします。

設定

キー説明
DeferBooleanユーザーのログアウトまで FileVault の有効化を延期します
DeferDontAskAtAuthBooleanFileVault のログインプロンプトを非表示にします
ShowRecoveryKeyBoolean個人復旧キーをユーザーに表示します
OutputPathString復旧キーのエスクローペイロードが書き込まれるパス

ファイアウォール(macOS)

macOS には、アプリケーションごとに受信接続を制御する組み込みのアプリケーションファイアウォールが含まれています。

ファイアウォールの有効化

アプリケーションファイアウォールを有効にし、不審な受信接続をブロックします。

ステルスモード

有効にすると、デバイスは閉じたポートへのプローブ(ICMP ping など)に応答しなくなり、ネットワーク上で認識されにくくなります。

アプリ固有のルール

特定のアプリケーションに対する受信接続を許可またはブロックします。ルールはバンドル識別子で定義できます。

キー説明
EnableFirewallBooleanmacOS アプリケーションファイアウォールを有効にします
BlockAllIncomingBoolean必須サービスを除くすべての受信接続をブロックします
EnableStealthModeBooleanステルスモードを有効にします(プローブに応答しない)
ApplicationsArrayアプリごとのファイアウォールルールを持つアプリケーションのリスト

証明書

信頼されたルート証明書および中間証明書をデバイスにインストールします。これは以下に不可欠です:

  • 内部 PKI 信頼チェーン
  • 証明書ベースの認証
  • TLS インスペクションとコンテンツフィルタリング
  • Wi-Fi および VPN の証明書信頼

設定

キー説明
PayloadCertificateFileNameString証明書のファイル名
PayloadContentDataBase64 エンコードされた証明書データ(DER または PEM)
PayloadCertificateUUIDString証明書ペイロードの一意識別子

証明書は、信頼(システム信頼ストアに追加)または非信頼(キーチェーンに追加されるがデフォルトでは信頼されない)としてマークできます。

SCEP

Simple Certificate Enrollment Protocol(SCEP)は、証明書の発行と更新を自動化します。デバイスは SCEP サーバーに証明書を要求し、手動による証明書配布を不要にします。

設定

キー説明
URLStringSCEP サーバーの URL
NameString証明書のサブジェクト名テンプレート
SubjectArray証明書のサブジェクト属性(例:CN、O、C)
ChallengeString登録用のワンタイムチャレンジパスワード
KeySizeIntegerRSA キーサイズ(1024、2048、4096)
KeyTypeStringキーアルゴリズム(RSA または ECDSA
KeyUsageIntegerキー使用法フラグ(digitalSignature、keyEncipherment)
RetriesInteger失敗時の再試行回数
RetryDelayInteger再試行間の秒数

ワークフロー

  1. デバイスがローカルでキーペアを生成
  2. デバイスが PKCS#10 証明書署名要求(CSR)を SCEP サーバーに送信
  3. SCEP サーバーがチャレンジを検証し、証明書を発行
  4. デバイスが発行された証明書をインストール
  5. デバイスが同じ SCEP URL を使用して有効期限前に証明書を更新

シングルアプリモード

シングルアプリモード(SAM)は、デバイスを単一のアプリケーションのみの実行に制限し、事実上のキオスクを作成します。アプリを終了するには、パスコードまたは MDM コマンドが必要です。

設定

キー説明
AllowTouchScreenRotateBooleanキオスクモードでの画面回転を許可します
AllowAutoLockBooleanデバイスの自動ロックを許可します
AllowLockScreenBooleanロック画面へのアクセスを許可します
AllowVolumeButtonsBoolean音量ボタンの使用を許可します
AllowRingerSwitchBoolean着信音スイッチの使用を許可します(iOS)
AutonomousSingleAppModePermittedAppIDsArraySAM に自律的に移行できるアプリのバンドル ID

ユースケース

  • POS(販売時点情報管理)端末
  • デジタルサイネージ
  • 試験監督
  • 図書館のカタログ端末
  • 患者受付キオスク

プライバシー設定(macOS)

macOS のプライバシー設定ポリシー制御(PPPC)は、アプリのシステムプライバシーコントロールへのアクセスを管理します。これにより、ユーザーがシステム設定で手動でアクセス許可を承認する必要がなくなります。

対応プライバシーサービス

サービス説明
AddressBook連絡先へのアクセス
Calendarカレンダーへのアクセス
Remindersリマインダーへのアクセス
Photos写真ライブラリへのアクセス
Cameraカメラへのアクセス
Microphoneマイクへのアクセス
Accessibilityアクセシビリティ API へのアクセス
PostEventシステム全体のイベント投稿
SystemPolicyAllFilesフルディスクアクセス
SystemPolicySysAdminFilesシステム管理ファイルへのアクセス
DesktopFolderデスクトップフォルダへのアクセス
DocumentsFolder書類フォルダへのアクセス
DownloadsFolderダウンロードフォルダへのアクセス
FileProviderPresenceファイルプロバイダドメインへのアクセス

設定

キー説明
CodeRequirementStringアプリのコード署名要件(例:identifier "com.example.app" and anchor apple generic
IdentifierStringアプリのバンドル識別子
IdentifierTypeStringbundleID または path
StaticCodeValidationBooleanアクセスを許可する前にアプリのコード署名を検証します
AllowedBooleantrue で許可、false で拒否

xml
<dict>
    <key>CodeRequirement</key>
    <string>identifier "com.microsoft.teams" and anchor apple generic</string>
    <key>Identifier</key>
    <string>com.microsoft.teams</string>
    <key>IdentifierType</key>
    <string>bundleID</string>
    <key>StaticCodeValidation</key>
    <true/>
    <key>Allowed</key>
    <true/>
</dict>

MIT ライセンスの下で公開