macOS固有の設定
ログインウィンドウ
ログインウィンドウは、macOSでユーザーが最初に目にする画面です。MDMでその外観と動作をカスタマイズできます。
ユーザーの表示/非表示
ログイン画面に表示するユーザーを制御します。非表示にしたユーザーは、ユーザー名を入力してログインする必要があります。
| キー | 型 | 説明 |
|---|---|---|
HideAdminUsers | Boolean | 管理者アカウントをログインウィンドウから非表示にする |
HideLocalUsers | Boolean | ローカル(ネットワーク以外の)ユーザーアカウントを非表示にする |
HideMobileAccounts | Boolean | モバイルアカウントユーザーを非表示にする |
IncludeAllNetworkUsers | Boolean | すべてのネットワークユーザーをログイン画面に表示する |
ShowFullName | Boolean | 短い名前ではなくフルネームを表示する |
ShowOtherUsers | Boolean | 手動でユーザー名を入力するための「その他」オプションを表示する |
ログインバナー
ログインウィンドウにカスタムメッセージを表示します。通常は法的通知や利用規定に使用します。
| キー | 型 | 説明 |
|---|---|---|
BannerText | String | ログインプロンプトの上に表示するカスタムテキスト |
ログインウィンドウの動作
| キー | 型 | 説明 |
|---|---|---|
DisableScreenLockImmediate | Boolean | ログインウィンドウからの即時画面ロックを無効にする |
DisableAutomaticLogin | Boolean | 自動ログインを無効にする(セキュリティ推奨) |
LoginWindowText | String | ログインウィンドウの下部に表示するフッターテキスト |
ShutDownDisabled | Boolean | シャットダウンボタンを非表示にする |
RestartDisabled | Boolean | 再起動ボタンを非表示にする |
SleepDisabled | Boolean | スリープボタンを非表示にする |
例
<dict>
<key>HideAdminUsers</key>
<false/>
<key>HideLocalUsers</key>
<false/>
<key>HideMobileAccounts</key>
<true/>
<key>BannerText</key>
<string>This system is for authorized use only.</string>
<key>ShutDownDisabled</key>
<false/>
<key>RestartDisabled</key>
<false/>
</dict>Dock
Dockの設定は、macOSのDockの外観、動作、固定アプリケーションを制御します。
Dockアイテム
Dockに表示するアプリケーションとフォルダを指定します。アイテムはバンドル識別子またはパスで定義します。
| キー | 型 | 説明 |
|---|---|---|
static-apps | Array | Dockに固定するアプリケーションのリスト |
static-others | Array | Dockに固定するフォルダまたはファイルパスのリスト |
static-only | Boolean | ユーザーがDockアイテムを追加または削除できないようにする |
Dockのサイズと位置
| キー | 型 | 説明 |
|---|---|---|
tilesize | Integer | Dockアイコンのサイズ(ピクセル、1~128) |
magnification | Boolean | ホバー時のアイコン拡大を有効にする |
largesize | Integer | 拡大時のアイコンサイズ(ピクセル) |
orientation | String | Dockの位置:left、bottom、またはright |
mineffect | String | 最小化アニメーション:genieまたはscale |
minimize-to-application | Boolean | ウィンドウをDockではなくアプリアイコンに最小化する |
自動非表示
| キー | 型 | 説明 |
|---|---|---|
autohide | Boolean | Dockを自動的に非表示/表示する |
autohide-delay | Float | Dockが自動非表示になるまでの遅延時間(秒) |
autohide-modifier | String | 自動非表示が有効なときにDockを表示する修飾キー |
例
<dict>
<key>static-apps</key>
<array>
<string>/Applications/Safari.app</string>
<string>/Applications/Mail.app</string>
<string>/Applications/Calendar.app</string>
<string>/Applications/Microsoft Teams.app</string>
</array>
<key>static-others</key>
<array>
<string>/Applications</string>
<string>~/Downloads</string>
</array>
<key>static-only</key>
<false/>
<key>tilesize</key>
<integer>48</integer>
<key>orientation</key>
<string>bottom</string>
<key>autohide</key>
<true/>
</dict>省エネルギー
電源管理設定は、ディスプレイのスリープ、コンピュータのスリープ、およびウェイク動作を制御します。
電源設定
| キー | 型 | 説明 |
|---|---|---|
Desktop | Dictionary | デバイスがAC電源に接続されているときの電源設定 |
Portable | Dictionary | デバイスがバッテリー電源で動作しているときの電源設定 |
DestroyFVKeyOnStandby | Boolean | スタンバイ時にFileVaultキーを破棄してセキュリティを強化する |
デスクトップ(AC電源)
| キー | 型 | 説明 |
|---|---|---|
DisplaySleepTimer | Integer | ディスプレイがスリープするまでの分数(0 = なし) |
DiskSleepTimer | Integer | ディスクがスリープするまでの分数(0 = なし) |
SleepDisabled | Boolean | コンピュータのスリープを防止する |
PowerNap | Boolean | Power Napを有効にする(スリープ中のバックグラウンド更新) |
WakeOnLAN | Boolean | ネットワークアクティビティでデバイスを起動する |
AutomaticRestartOnPowerLoss | Boolean | 停電後に自動的に再起動する |
ポータブル(バッテリー電源)
デスクトップと同じキーを、デバイスがバッテリーで動作しているときに適用します。
例
<dict>
<key>Desktop</key>
<dict>
<key>DisplaySleepTimer</key>
<integer>15</integer>
<key>DiskSleepTimer</key>
<integer>30</integer>
<key>SleepDisabled</key>
<false/>
<key>WakeOnLAN</key>
<true/>
</dict>
<key>Portable</key>
<dict>
<key>DisplaySleepTimer</key>
<integer>5</integer>
<key>DiskSleepTimer</key>
<integer>15</integer>
<key>SleepDisabled</key>
<false/>
</dict>
</dict>ソフトウェアアップデート
macOSがソフトウェアアップデートを確認、ダウンロード、インストールする方法を制御します。
アップデート動作
| キー | 型 | 説明 |
|---|---|---|
AllowPreReleaseInstallation | Integer | ベータソフトウェアのインストールを制御:0 = 許可しない、1 = 許可する、2 = 本番環境のみ許可 |
AutomaticCheckEnabled | Boolean | 自動アップデートチェックを有効にする |
AutomaticDownload | Boolean | アップデートを自動的にダウンロードする(インストールにはユーザーの承認が必要) |
ConfigDataInstall | Boolean | 設定データのアップデートを自動的にインストールする |
CriticalUpdateInstall | Boolean | セキュリティアップデートとシステムデータファイルを自動的にインストールする |
AutomaticallyInstallMacOSUpdates | Boolean | メジャーなmacOSアップデートを自動的にインストールする |
AutomaticallyInstallAppUpdates | Boolean | App Storeアプリのアップデートを自動的にインストールする |
DeferUpdates | Boolean | 設定可能な期間、ユーザーへのアップデート表示を延期する |
DeferPeriod | Integer | アップデートを延期する日数(1~90) |
延期ポリシー
延期により、IT部門はAppleがアップデートをリリースした後、エンドユーザーに届く前にテスト用に遅延させることができます。
| キー | 型 | 説明 |
|---|---|---|
DeferMajorPeriod | Integer | メジャーなmacOSアップデートを延期する日数 |
DeferMinorPeriod | Integer | マイナーなmacOSアップデートを延期する日数 |
DeferNonOSPeriod | Integer | OS以外のアップデート(Safari、XProtectなど)を延期する日数 |
例
<dict>
<key>AutomaticCheckEnabled</key>
<true/>
<key>AutomaticDownload</key>
<true/>
<key>ConfigDataInstall</key>
<true/>
<key>CriticalUpdateInstall</key>
<true/>
<key>AutomaticallyInstallMacOSUpdates</key>
<false/>
<key>DeferUpdates</key>
<true/>
<key>DeferPeriod</key>
<integer>30</integer>
</dict>システム拡張機能
システム拡張機能は、カーネル拡張機能に代わる最新の仕組みです。ユーザースペースで動作し、コードをカーネルに読み込むことなく、ネットワーク、エンドポイントセキュリティ、ドライバ機能を提供します。
システム拡張機能の許可
システム拡張機能は、ユーザーが明示的に許可するか、MDMで事前承認する必要があります。各拡張機能は、バンドル識別子とチーム識別子で識別されます。
| キー | 型 | 説明 |
|---|---|---|
AllowedSystemExtensions | Dictionary | チーム識別子から許可された拡張機能バンドル識別子の配列へのマップ |
AllowedTeamIdentifier | String | 拡張機能開発者のApple Developer Team ID |
AllowedBundleIdentifier | String | システム拡張機能のバンドル識別子 |
システム拡張機能の種類
| 種類 | 説明 |
|---|---|
Network Extension | VPN、コンテンツフィルタリング、DNSプロキシ、ネットワークプロキシ |
Endpoint Security Extension | ファイル、プロセス、ネットワークイベントの監視 |
DriverKit Extension | ユーザースペースで動作するハードウェアドライバ |
Serial Extension | シリアルデバイスアクセス |
例
<dict>
<key>AllowedSystemExtensions</key>
<dict>
<key>ABC123DEFG</key>
<array>
<string>com.example.vpn.networkextension</string>
<string>com.example.security.endpoint</string>
</array>
</dict>
</dict>カーネル拡張機能
レガシーなカーネル拡張機能(kext)はカーネルスペースで動作します。Appleはカーネル拡張機能を非推奨とし、システム拡張機能への移行を推奨していますが、一部のサードパーティソフトウェアでは依然として必要です。
カーネル拡張機能の許可
カーネル拡張機能は、チーム識別子またはバンドル識別子で明示的に許可する必要があります。
| キー | 型 | 説明 |
|---|---|---|
AllowUserOverrides | Boolean | ユーザーが追加のカーネル拡張機能を承認できるようにする |
AllowedTeamIdentifiers | Array | kextが許可されるApple Developer Team IDのリスト |
AllowedKernelExtensions | Dictionary | チーム識別子から許可されたkextバンドル識別子の配列へのマップ |
例
<dict>
<key>AllowUserOverrides</key>
<true/>
<key>AllowedTeamIdentifiers</key>
<array>
<string>ABC123DEFG</string>
</array>
<key>AllowedKernelExtensions</key>
<dict>
<key>ABC123DEFG</key>
<array>
<string>com.example.legacy.driver</string>
</array>
</dict>
</dict>ログイン項目
ログイン項目は、ユーザーがログインしたときに自動的に起動するアプリケーション、バックグラウンドサービス、スクリプトです。
管理対象ログイン項目
MDMは、管理対象macOSデバイスのログイン項目を追加、削除、または強制できます。
| キー | 型 | 説明 |
|---|---|---|
AutoLaunchedApplicationDictionary | Array | ユーザーログイン時に起動するアプリケーションのリスト |
Hide | Boolean | 起動時にアプリケーションウィンドウを非表示にする |
Path | String | アプリケーションへの完全なファイルシステムパス |
BundleIdentifier | String | アプリケーションのバンドル識別子 |
バックグラウンドログイン項目
macOSは、表示可能なUIなしで実行されるバックグラウンドログイン項目(起動エージェント)もサポートしています。
| キー | 型 | 説明 |
|---|---|---|
BackgroundLoginItems | Array | ログイン時に起動するバックグラウンドサービスのリスト |
BundleIdentifier | String | バックグラウンドサービスのバンドル識別子 |
Hide | Boolean | サービスをユーザーから隠す |
例
<dict>
<key>AutoLaunchedApplicationDictionary</key>
<array>
<dict>
<key>Hide</key>
<false/>
<key>Path</key>
<string>/Applications/Microsoft Teams.app</string>
</dict>
<dict>
<key>Hide</key>
<true/>
<key>Path</key>
<string>/Applications/CompanyPortal.app</string>
</dict>
</array>
</dict>