ポリシー - Apple

• Appleのポリシー
• Appleのポリシー：パスコード
• Appleのポリシー：制限事項
• Appleのポリシー：アプリとプロファイル

Appleのポリシー

Appleのポリシーでは、Cerberus EnterpriseがMDMを通じてAppleデバイスに適用する管理設定が定義されています。これらの設定は、Appleポリシーエディターのダッシュボードから構成されます。

始める前に

Appleデバイスの管理には、Apple Management (APNs) の設定が必要です。必要に応じて、Apple Managementの設定 (APNs) のページを参照してください。

Apple ポリシー エディター を開きます。

ダッシュボードで、ポリシーを開き、「新しいAppleポリシーの作成」をクリックします。既存のAppleポリシーを編集するには、ポリシーテーブルの該当する行をクリックしてください。

編集レイアウト

Appleポリシーエディターは、展開可能なセクションのセットで構成されています。 ページの上部では、常に以下の項目を編集できます。

• 名前 (必須)
• ID (読み取り専用)
• 説明（オプション）

ポリシーに関するセクション

以下のセクションは、Apple Policy Editorで現在利用可能なパネルに対応しています。

• アプリ管理：アプリ関連の制限を設定し、管理対象のアプリを構成します。
• パスコード設定：パスコードの要件と関連ルールを設定します。
• セキュリティ：自動ロック解除や生体認証ロック解除などの機能を制御します。
• iCloud：特定のiCloudサービス（バックアップ、キーチェーン同期、プライベートリレーなど）の使用を許可または禁止します。
• メディア：カメラや関連機能の使用を許可または禁止します。
• モバイル通信：モバイル通信に関連する設定を制御します（アプリのモバイルデータ通信設定、eSIM、プラン変更など）。
• ネットワーク：AirDrop、AirPrint、AirPlayなどの接続設定やその他のネットワーク関連設定を制御します。
• アカウント：アカウントの変更を制限し、必要に応じてGoogleやメールアカウントの設定を行います。

Appleポリシーエディターの多くのオプションには、要件とサポートされているOSのバージョンを説明するツールヒントが含まれています。

保存、削除、および関連するデバイス。

ポリシーを保存して、変更を適用します。 編集内容がない場合、またはライセンスが期限切れの場合は、ボタンが無効になります。

既存のポリシーを編集する場合、画面には ポリシーの削除 という操作も表示されます。 エディタの最下部には、関連デバイス のリストを表示し、現在そのポリシーを使用しているデバイスの数を把握できるようにします。

次のページ

• パスコード：パスコードの設定要件および関連するセキュリティオプションを設定します。
• 制限事項：許可される機能やOSレベルの制限を定義します。
• アプリとプロファイル：インストールされているアプリと構成プロファイルを設定します。

Appleのポリシー：パスコード

パスコード設定 セクションでは、デバイスのパスコードに関する要件や関連するセキュリティルール（例えば、最小文字数や複雑さ）を設定します。

オプション

Apple Policy Editor では、パスコードの設定オプションを、トグルスイッチと数値入力フィールドを組み合わせて構成します。多くのフィールドには、サポートされている OS のバージョンや、管理要件を示すツールチップが表示されています。

パスコード設定の切り替えスイッチ

• 次回の認証時に変更を適用：ユーザーが次回認証を行う際に、パスワードの変更を強制します。
• 英数字パスコードの要件：少なくとも1つの英字と1つの数字を含むように必須とします。
• 複雑なパスコードの要件：繰り返しや連続したパターンを含まない「複雑な」パスコードを使用し、英数字以外の文字を少なくとも1つ含める必要があります。
• パスコード必須：追加の長さや品質要件なしに、パスコードを要求します。注意：他のパスコード設定を行うと、暗黙的にパスコードが要求されます。

数値フィールド

• FailedAttemptsResetInMinutes：ログイン失敗回数がリセットされるまでの分数（MaximumFailedAttemptsが必要）。
• MaximumFailedAttempts：デバイスが消去またはロックされる前に許容されるログイン失敗回数（範囲：2～11）。
• MaximumGracePeriodInMinutes：デバイスがパスコード入力なしで利用できる最大時間（分単位）（0を指定すると、機能が無効になります）。
• 最大非アクティブ時間（分）：デバイスがロックされるまでのアイドル時間（範囲：0～15）。
• MaximumPasscodeAgeInDays：パスコードの有効期限（日単位）。パスコードの有効期限がこれを超えると、再設定が強制されます（範囲：0～730）。
• MinimumComplexCharacters：パスコードに必要な「複雑な」文字の最小数（範囲：0～4）。
• 最小パスコード長：パスコードの最小文字数（範囲：0～16）。
• パスコード再利用制限：古いパスコードの再利用を防ぐためのパスコード履歴の長さ（範囲：1～50）。

Appleのポリシー：制限事項

「制限事項」セクションでは、管理対象のAppleデバイスで許可されるOSの機能を制御します。Appleポリシーエディターでは、これらのオプションは、複数のトグルスイッチが配置されたグループ化されたパネルとして表示されます。

多くの制限事項は、特定のOSバージョンでのみサポートされており、管理対象のデバイスが必要となる場合があります。要件については、ダッシュボードのツールチップを参照してください。

セキュリティ

• 自動ロック解除を許可
• 指紋認証によるロック解除を許可
• 指紋認証による変更を許可

iCloud

• iCloudアドレス帳へのアクセスを許可
• iCloudバックアップを許可
• iCloudブックマークの利用を許可
• iCloudカレンダーへのアクセスを許可
• iCloudのデスクトップとドキュメントへのアクセスを許可
• iCloudのドキュメント同期を許可
• iCloud Freeformの使用を許可
• iCloudキーチェーンの同期を許可
• iCloudメールの利用を許可
• iCloud Notesの使用を許可
• iCloud写真ライブラリへのアクセスを許可
• iCloudプライベートリレーへのアクセスを許可
• iCloudのリマインダーへのアクセスを許可

マルチメディア

• カメラの使用を許可
• ファイル共有の変更を許可
• USBストレージへのファイルアクセスを許可

モバイル回線

• アプリがモバイルデータ通信を使用できるように許可
• モバイルデータ通信の変更を許可
• eSIMの変更を許可
• eSIMの転送（送信）を許可

ネットワーク設定

• AirDropの使用を許可
• AirPlayの受信リクエストを許可
• AirPrintの使用を許可
• AirPrintの認証情報を保存することを許可
• AirPrint iBeacon の検出を許可する
• Bluetooth設定の変更を許可
• Bluetooth共有設定の変更を許可
• ファイル共有ネットワークドライブへのアクセスを許可
• インターネット共有の変更を許可

アカウント (制限)

アカウントパネルには、制限機能と、必要に応じてアカウント設定機能があります。制限のオン/オフ設定により、ユーザーがシステムアカウントを変更できるかどうかを制御できます。

• アカウントの変更を許可

Appleのポリシー：アプリとプロファイル

このセクションでは、Appleデバイス向けの管理対象アプリケーションとアカウント設定を構成する方法について説明します。

アプリ管理

「アプリ管理」の画面には、一般的なアプリ関連の設定と、管理対象のアプリケーションの一覧が表示されます。

一般的なアプリ制限

• アプリクリップの利用
• アプリのインストールを許可
• アプリのアンインストールを許可
• アプリの自動ダウンロードを許可
• アプリの非表示を許可
• アプリのロックを許可
• アプリ内課金の利用を許可

管理対象アプリ

アプリケーションの追加を使用して、ポリシーにアプリを追加します。管理対象の各アプリはカードとして表示されます。カードを展開して、設定を編集したり、削除アクションを使用してアプリを削除したりできます。

• App Store ID：管理対象アプリのApp Storeにおける識別子。
• バンドルID：アプリのバンドル識別子。
• インストール動作：アプリがインストールされたまま必要なのか、またはユーザーが自由にインストール/アンインストールできるかを制御します。
• ライセンス割り当て：ライセンスの割り当てタイプ。
• VPPライセンス：App Store経由でのインストールに使用されるVPPライセンスの種類。

アカウント

アカウント パネルでは、管理対象デバイスに適用されるアカウントを設定できます。また、アカウントの変更に関する制限を切り替えることができます。

制限事項

• アカウントの変更を許可する：無効にすると、ユーザーはAppleアカウントやインターネットアカウントなどのアカウントを変更できなくなります。

アカウントを追加する

Googleアカウントを追加、または、メールアカウントを追加して、ポリシーにアカウント情報を追加します。 各アカウントは、設定フィールドとともにカードとして表示されます。

ユーザーからのアカウント情報

GoogleおよびMailのアカウントカードには、ユーザーからのアカウント情報の切り替え機能があります。有効にすると、システムはユーザーごとにアカウント情報を適用します。無効にすると、ポリシーにアカウント情報を入力します。

Googleアカウントの項目

• 表示名：アカウントのユーザーに表示される名前。
• Googleのメールアドレス：ユーザーのメールアドレス。
• 氏名：ユーザーの氏名。

メールアカウントの項目

メールアカウントには、ID関連の項目に加え、受信/送信サーバーの設定が必要です。ホスト名を入力してください。

• 表示名：メールアカウントに対してユーザーに表示される名前です。
• メールアドレス：ユーザーのメールアドレスです。
• 氏名：ユーザーの氏名。

受信サーバー

• サーバーの種類: メールプロトコル (例: IMAPまたはPOP)。
• 認証方法: サーバーの認証に使用する認証方法。
• IMAPパスプレフィックス：サーバーの種類がIMAPの場合にのみ表示されます。
• ホスト名：必須項目です。
• ポート：サーバーポート（1～65535）。

送信先サーバー

• 認証方法
• ホスト名：必須項目です。
• ポート：サーバーポート（1～65535）。

S/MIME オプション

メールアカウントでは、S/MIMEによる暗号化と署名に関する設定も可能です。

暗号化

• S/MIME暗号化
• ユーザーが上書き可能なID
• メッセージごとのスイッチが有効
• ユーザーが設定を上書き可能

署名

• S/MIMEによる署名
• ユーザーが上書き可能なID
• ユーザーが設定を上書き可能

アカウントと制限に関するオプションには、ダッシュボードに表示されるツールチップがあり、必要な要件とサポートされているOSのバージョンが記載されています。