Appleデバイスの「プライバシー」環境設定ポリシー制御MDMペイロードの設定
MDM(モバイルデバイス管理)ソリューションに登録されているMacコンピュータの「プライバシー」環境設定ポリシー制御ペイロードの設定を構成して、「セキュリティとプライバシー」環境設定の「プライバシー」パネルにある設定を管理できます。このタイプのペイロードが複数ある場合は、より厳しい設定が適用されます。MDMを使用してこのペイロードを適用するには、監視が必要です。
「プライバシー」環境設定ポリシー制御ペイロードは、以下に対応しています。詳しくは、ペイロード情報を参照してください。
利用可能な承認方法: ユーザの承認が必要です。
利用可能なインストール方法: インストールにはMDMソリューションが必要です。
利用可能なペイロード識別子: com.apple.TCC.configuration-profile-policy
対応しているオペレーティングシステムおよびチャンネル: macOSデバイス。
利用可能な登録タイプ: デバイス登録、自動デバイス登録。
重複を許可: True。「プライバシー」環境設定ポリシー制御ペイロードはデバイスに複数配信できます。
「プライバシー」環境設定ペイロードでは以下の表の設定を使用できます。
一般設定
設定 | 説明 | 必須 | |||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
アクセシビリティ | 指定したアプリがアクセシビリティAPI経由でMacを操作することを許可します。 | いいえ | |||||||||
AppleEvents | 指定したアプリが制限対象のAppleEventを別のプロセスに送信することを許可します。 | いいえ | |||||||||
Bluetooth | 指定したアプリがBluetoothデバイスにアクセスすることを許可します。 | いいえ | |||||||||
カレンダー | 指定したアプリが「カレンダー」で管理されているイベント情報にアクセスすることを許可します。 | いいえ | |||||||||
カメラ | 指定したアプリがカメラにアクセスすることを拒否するために使用します。 | いいえ | |||||||||
連絡先 | 指定したアプリが「連絡先」で管理されている連絡先情報にアクセスすることを許可します。 | いいえ | |||||||||
「デスクトップ」フォルダ | 指定したアプリが「デスクトップ」フォルダにアクセスすることを許可します。 | いいえ | |||||||||
「書類」フォルダ | 指定したアプリが「書類」フォルダにアクセスすることを許可します。 | いいえ | |||||||||
「ダウンロード」フォルダ | 指定したアプリが「ダウンロード」フォルダにアクセスすることを許可します。 | いいえ | |||||||||
入力装置 | どの承認済みアプリに入力装置(マウス、キーボード、トラックパッド)への特定のアクセスを許可するかを設定します。 | いいえ | |||||||||
メディアライブラリ | 指定したアプリがApple Music、ミュージックとビデオのアクティビティ、およびメディアライブラリにアクセスすることを許可します。 | いいえ | |||||||||
マイク | 指定したアプリがマイクにアクセスすることを拒否します。 | いいえ | |||||||||
ネットワークボリューム | 指定したアプリがネットワークボリューム上のファイルにアクセスすることを許可します。 | いいえ | |||||||||
写真 | 指定したアプリが写真アプリで管理されている以下のイメージにアクセスすることを許可します: /ユーザ/ユーザ名/ピクチャ/写真ライブラリ 注記: ユーザが写真ライブラリをほかの場所に置いている場合は、アプリから保護されません。 | いいえ | |||||||||
イベントを送信 | 指定したアプリがCoreGraphics APIを使用してCGEventをシステムイベントストリームに送信することを許可します。 | いいえ | |||||||||
リマインダー | 指定したアプリが「リマインダー」で管理されている情報にアクセスすることを許可します。 | いいえ | |||||||||
リムーバブルボリューム | 指定したアプリがリムーバブルボリューム上のファイルにアクセスすることを許可します。 | いいえ | |||||||||
画面収録 | 指定したアプリがシステムディスプレイのコンテンツをキャプチャする(読み取る)ことを拒否します。 詳しくは、「アプリペイロードの画面収録を許可する例」を参照してください。 | いいえ | |||||||||
音声認識 | 指定したアプリがシステムの音声認識機能を使用したり音声データをAppleに送信したりすることを許可します。 | いいえ | |||||||||
システムポリシー(すべてのファイル) | 指定したアプリがMac上のすべてのユーザのメール、メッセージ、Safari、ホーム、Time Machineバックアップ、および特定の管理設定などのデータにアクセスすることを許可します。 | いいえ | |||||||||
システムポリシー(管理者用ファイル) | 指定したアプリが管理者用の一部のファイルにアクセスすることを許可します。 | いいえ |
AppleデバイスのカスタムMDMペイロードの設定
アプリまたはバイナリがデータのいずれかのプライバシークラスにアクセスすることを許可または禁止するには、カスタムペイロードを作成し、以下の要件を満たす必要があります:
要件 | 説明 | 例 | |||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
識別子のタイプ | バンドルIDまたはファイルパスのいずれかを指定します。 | バンドルID | |||||||||
識別子の名前またはファイルパス | バンドルID名または実際のファイルパスを指定します。 | バンドルID: com.MyOrganization.AppName ファイルパス: /アプリケーション/アプリケーション名 | |||||||||
許可または拒否 | アプリにアクセスを許可するか禁止するかを指定します。 | 許可: True 拒否: False | |||||||||
コード署名要件 | 実際のコード署名値を指定します。値を取得するには、ターミナルアプリを開き、以下のコマンドを実行します:
| アプリ: バイナリ: 注記: Apple以外から提供されたアプリおよびバイナリの指定要件は、さらに長くなることがあります。「designated =>」よりあとの文字列をプロファイルに含めてください。 | |||||||||
コメント | 任意でコメントを追加します。 | 自分の組織のアプリがユーザに確認を求めずにすべてのファイルを操作することを許可します。 |
カスタムペイロードの完全な例については、「プライバシー」環境設定ポリシー制御のカスタムペイロードの例を参照してください。カスタムペイロードを作成して導入したあとで、まだ確認のダイアログが表示される場合は、以下のコマンドを使って、アクセスを許可しようとしている該当アプリまたはバイナリの特定をリアルタイムで試みることができます:
log stream --debug --predicate 'subsystem == "com.apple.TCC" AND eventMessage BEGINSWITH "AttributionChain"'
注記: 各MDMベンダーは、これらの設定を異なる方法で実装します。お使いのデバイスで適用される「プライバシー」環境設定ポリシー制御設定については、MDMベンダーの資料を参照してください。