ポリシー - Apple
Appleポリシー
Appleポリシーは、Cerberus EnterpriseがMDMを介してAppleデバイスに適用する管理設定を定義します。これらの設定は、ダッシュボードのAppleポリシーエディタから構成されます。
始める前に
Apple デバイスの管理には、Apple Management (APNs) の設定が必要です。必要に応じて、Apple Management setup (APNs)> ページをお読みください。
Apple Policy Editorを開く
ダッシュボードでポリシーを開き、新しいAppleポリシーを作成をクリックします。既存のAppleポリシーを編集するには、ポリシーテーブル内の該当する行をクリックしてください。
エディターのレイアウト
Apple Policy Editorは、展開可能なセクションのセットで構成されています。ページ上部では、常に以下の項目を編集できます:
- 名前 (必須)
- ID (読み取り専用)
- 説明 (任意)
ポリシーセクション
以下のセクションは、現在Apple Policy Editorで利用可能なパネルに対応しています。
- アプリ管理: アプリ関連の制限および管理対象アプリを設定します。
- パスコード設定: パスコードの要件および関連するルールを設定します。
- セキュリティ: 自動ロック解除や生体認証によるロック解除などの機能を制御します。
- iCloud: 特定のiCloudサービス(バックアップ、キーチェーン同期、プライベートリレーなど)の許可または禁止を設定します。
- マルチメディア: カメラおよび関連機能の許可/禁止を設定します。
- セルラー: セルラー関連の設定(アプリのセルラーデータ設定、eSIM、プラン変更など)を制御します。
- ネットワーク: AirDrop、AirPrint、AirPlay、およびその他の接続設定を制御します。
- アカウント: アカウントの変更を制限し、(オプションで)Googleアカウントおよびメールアカウントを設定します。
Apple Policy Editorの多くのオプションには、要件やサポートされているOSバージョンを記載したツールチップが表示されます。
保存、削除、および関連デバイス
変更を適用するには、ポリシーを保存を使用します。保留中の編集がない場合、またはライセンスの期限が切れている場合、ボタンは無効になります。
既存のポリシーを編集する場合、ページにはポリシーの削除アクションも表示されます。また、エディターの下部には関連デバイスリストが表示される場合があり、現在そのポリシーを使用しているデバイスの数を確認できます。
次のページ
- パスコード:パスコードの要件および関連するセキュリティオプションを設定します。
- 制限:許可される機能およびOSレベルの制限を定義します。
- アプリとプロファイル:インストール済みアプリおよび構成プロファイルの設定。
Appleポリシー:パスコード
パスコード設定 セクションでは、デバイスのパスコード要件および関連するセキュリティルール(最小文字数や複雑さなど)を制御します。
オプション
Apple Policy Editorでは、トグルと数値入力フィールドを組み合わせてパスコードのオプションを設定します。多くのフィールドには、サポートされているOSバージョンや管理(Supervision)要件を示すツールチップが含まれています。
パスコードの切り替え設定
- ChangeAtNextAuth: ユーザーが次回認証する際に、パスワードのリセットを強制します。
- RequireAlphanumericPasscode: 少なくとも1つの英字と1つの数字を必須にします。
- RequireComplexPasscode: 「複雑な」パスコード(繰り返しのパターンや連続した数字・文字を禁止し、少なくとも1つの非英数字文字を含む)を必須にします。
- RequirePasscode: 追加の長さや複雑さの要件なしに、パスコードを必須にします。注:他のパスコード設定項目を有効にすると、暗黙的にパスコードが必須となります。
数値入力フィールド
- FailedAttemptsResetInMinutes: 失敗回数カウンターがリセットされるまでの時間(分)(MaximumFailedAttemptsの設定が必要です)。
- MaximumFailedAttempts: デバイスが消去またはロックされるまでに許可される失敗回数(範囲:2–11)。
- MaximumGracePeriodInMinutes: パスコードを入力せずにデバイスのロックを解除できる時間(分)(0 = なし)。
- MaximumInactivityInMinutes: デバイスがロックされるまでのアイドル時間(範囲:0–15)。
- MaximumPasscodeAgeInDays: パスコードの変更を強制するまでの最大日数(範囲:0–730)。
- MinimumComplexCharacters: 「複雑な」文字の最小数(範囲:0–4)。
- MinimumLength: パスコードの最小文字数(範囲:0–16)。
- PasscodeReuseLimit: 過去のパスコードの再利用を防止するための履歴保持数(範囲:1–50)。
Appleポリシー:制限事項
制限事項セクションでは、管理対象のAppleデバイスで許可されるOS機能が制御されます。Apple Policy Editorでは、これらのオプションは複数の切り替えスイッチを備えたグループ化されたパネルとして表示されます。
多くの制限事項は特定のOSバージョンでのみサポートされており、管理(Supervision)が必要な場合があります。正確な要件については、ダッシュボードのツールチップを確認してください。
セキュリティ
- 自動ロック解除を許可
- 指紋によるロック解除を許可
- 指紋設定の変更を許可
iCloud
- iCloudアドレス帳の同期を許可
- iCloudバックアップを許可
- iCloudブックマークの同期を許可
- iCloudカレンダーの同期を許可
- iCloudのデスクトップと書類を許可
- iCloud書類の同期を許可
- iCloud Freeformを許可
- iCloudキーチェーンの同期を許可
- iCloud Mailを許可
- iCloudメモの同期を許可
- iCloud写真ライブラリの同期を許可
- iCloudプライベートリレーを許可
- iCloudリマインダーの同期を許可
マルチメディア
- カメラの使用を許可
- ファイル共有設定の変更を許可
- ファイルアプリによるUSBドライブへのアクセスを許可
セルラー
- アプリのモバイルデータ通信設定の変更を許可
- モバイル通信プランの変更を許可
- eSIM設定の変更を許可
- eSIMの転送を許可
ネットワーク
- AirDropを許可
- AirPlayの受信リクエストを許可
- AirPrintを許可
- AirPrintの認証情報保存を許可
- AirPrintのiBeacon検出を許可
- Bluetooth設定の変更を許可
- Bluetooth共有設定の変更を許可
- ファイルアプリによるネットワークドライブへのアクセスを許可
- インターネット共有設定の変更を許可
アカウント(制限事項)
アカウントパネルには、制限事項と(オプションで)アカウント設定が含まれています。制限の切り替えスイッチは、ユーザーがシステムアカウントを変更できるかどうかを制御します。
- アカウントの変更を許可
Appleポリシー:アプリとプロファイル
このセクションでは、Appleデバイス用の管理対象アプリケーションおよびアカウントペイロードの設定方法について説明します。
アプリ管理
アプリ管理 パネルには、アプリ全般に関する制限事項と管理対象アプリのリストの両方が含まれています。
アプリ全般の制限事項
- App Clipsを許可
- アプリのインストールを許可
- アプリの削除を許可
- アプリの自動ダウンロードを許可
- アプリの非表示を許可
- アプリのロックを許可
- アプリ内課金を許可
管理対象アプリ
ポリシーにアプリを追加するには、アプリケーションの追加 を使用します。各管理対象アプリはカードとして表示されます。カードを展開して設定を編集したり、削除アクションを使用してアプリを削除したりできます。
- App Store ID: 管理対象アプリのApp Store識別子。
- Bundle ID: アプリのバンドル識別子。
- インストール動作: アプリをインストールしたままにする必要があるか、またはユーザーがアプリをインストール/削除できるかを制御します。
- 割り当て: ライセンスの割り当てタイプ。
- VPPライセンス: App Store経由のインストールに使用されるVPPライセンスの種類。
アカウント
アカウント パネルでは、管理対象デバイスに適用されるアカウントを設定できます。また、アカウントの変更に関する制限の切り替えスイッチも含まれています。
制限事項
- アカウントの変更を許可: 無効にすると、ユーザーはAppleアカウントやインターネットアカウントなどのアカウントを変更できなくなります。
アカウントの追加
ポリシーにアカウントペイロードを追加するには、Googleアカウントの追加 または メールアカウントの追加 を使用します。各アカウントは、設定フィールドを含むカードとして表示されます。
ユーザーからのアカウント認証情報
Googleアカウントおよびメールアカウントのカードには、どちらも ユーザーからのアカウント認証情報 の切り替えスイッチがあります。有効にすると、システムはユーザーごとにアカウント認証情報を適用します。無効にすると、ポリシー内にアカウントのアイデンティティを入力します。
Googleアカウントのフィールド
- 表示名: ユーザーに表示されるアカウント名。
- Googleメールアドレス: ユーザーのメールアドレス。
- フルネーム: ユーザーの氏名。
メールアカウントのフィールド
メールアカウントには、アイデンティティ・フィールドに加えて、送受信サーバーの設定が含まれます。ホスト名は必須です。
- 表示名: ユーザーに表示されるメールアカウント名。
- メールアドレス: ユーザーのメールアドレス。
- フルネーム: ユーザーの氏名。
受信サーバー
- サーバータイプ: メールプロトコル(例:IMAPまたはPOP)。
- 認証方法: サーバーの認証方法。
- IMAPパスプレフィックス: サーバータイプがIMAPの場合にのみ表示されます。
- ホスト名: 必須項目。
- ポート: サーバーポート (1–65535)。
送信サーバー
- 認証方法
- ホスト名: 必須項目。
- ポート: サーバーポート (1–65535)。
S/MIMEオプション
メールアカウントでは、S/MIMEによる暗号化および署名の動作を構成することもできます。
暗号化
- S/MIME暗号化
- ユーザーによるアイデンティティの上書きを許可
- メッセージごとの切り替えを有効化
- ユーザーによる上書きを許可
署名
- S/MIME署名
- ユーザーによるアイデンティティの上書きを許可
- ユーザーによる上書きを許可
アカウントおよび制限のオプションには、前提条件やサポートされているOSバージョンを説明するツールチップがダッシュボード内に含まれています。