Appleプラットフォーム導入
- ようこそ
- Appleプラットフォーム導入の概要
- 新機能
-
-
- アクセシビリティペイロードの設定
- Active Directory証明書ペイロードの設定
- AirPlayペイロードの設定
- AirPlayセキュリティペイロードの設定
- AirPrintペイロードの設定
- App Lockペイロードの設定
- 関連ドメインペイロードの設定
- 自動証明書管理環境(ACME)ペイロードの設定
- 自律的シングルアプリモードペイロードの設定
- カレンダーペイロードの設定
- モバイルデータ通信ペイロードの設定
- モバイル通信プライベートネットワークペイロードの設定
- 証明書プリファレンスペイロードの設定
- 証明書失効ペイロードの設定
- CT(証明書の透明性)ペイロードの設定
- 証明書ペイロードの設定
- 会議室のディスプレイペイロードの設定
- 連絡先ペイロードの設定
- コンテンツキャッシュペイロードの設定
- ディレクトリサービスペイロードの設定
- DNSプロキシペイロードの設定
- DNS設定ペイロードの設定
- Dockペイロードの設定
- ドメインペイロードの設定
- 省エネルギーペイロードの設定
- Exchange ActiveSync(EAS)ペイロードの設定
- Exchange Web Services(EWS)ペイロードの設定
- 拡張シングルサインオンペイロードの設定
- 拡張シングルサインオンKerberosペイロードの設定
- 機能拡張ペイロードの設定
- FileVaultペイロードの設定
- Finderペイロードの設定
- ファイアウォールペイロードの設定
- フォントペイロードの設定
- グローバルHTTPプロキシペイロードの設定
- Googleアカウントペイロードの設定
- ホーム画面レイアウトペイロードの設定
- 識別子ペイロードの設定
- 識別プリファレンスペイロードの設定
- カーネル機能拡張ポリシーペイロードの設定
- LDAPペイロードの設定
- LOM(Lights Out Management)ペイロードの設定
- ロック画面のメッセージペイロードの設定
- ログインウインドウペイロードの設定
- 管理対象ログイン項目ペイロードの設定
- メールペイロードの設定
- ネットワーク使用ルールペイロードの設定
- 通知ペイロードの設定
- ペアレンタルコントロールペイロードの設定
- パスコードペイロードの設定
- プリントペイロードの設定
- 「プライバシー」環境設定ポリシー制御ペイロードの設定
- リレーペイロードの設定
- SCEPペイロードの設定
- セキュリティペイロードの設定
- 設定アシスタントペイロードの設定
- シングルサインオンペイロードの設定
- スマートカードペイロードの設定
- 照会カレンダーペイロードの設定
- システム機能拡張ペイロードの設定
- システム移行ペイロードの設定
- Time Machineペイロードの設定
- TV Remoteペイロードの設定
- Webクリップペイロードの設定
- Webコンテンツフィルタペイロードの設定
- Xsanペイロードの設定
-
- 宣言型アプリ構成
- 認証資格情報と識別情報アセット宣言
- バックグラウンドタスク管理宣言型
- カレンダー宣言型構成
- 証明書宣言型構成
- 連絡先宣言型構成
- Exchange宣言型構成
- Googleアカウント宣言型構成
- LDAP宣言型構成
- レガシー対話型プロファイル宣言型構成
- レガシープロファイル宣言型構成
- メール宣言型構成
- 計算および計算機アプリ宣言型構成
- パスコード宣言型構成
- パスキー認証宣言型構成
- Safari機能拡張の管理の宣言型構成
- 画面共有宣言型構成
- サービス構成ファイル宣言型構成
- ソフトウェアアップデート宣言型構成
- ソフトウェアアップデート設定の宣言型構成
- ストレージ管理宣言型構成
- 照会カレンダー宣言型構成
- 用語集
- 資料の改訂履歴
- 著作権
Appleデバイスの自動証明書管理環境(ACME)MDMペイロードの設定
モバイルデバイス管理(MDM)ソリューションに登録されているAppleデバイス用に認証局(CA)から証明書を取得するように、ACME証明書ペイロードを構成できます。ACME(自動証明書管理環境)はSCEPに代わる最新のプロトコルで、証明書の要求とインストールのためのプロトコルです。管理対象デバイスの認証を使用する場合は、ACMEを使用する必要があります。
ACME証明書ペイロードは、以下に対応しています。詳しくは、ペイロード情報を参照してください。
利用可能なペイロード識別子: com.apple.security.acme
対応しているオペレーティングシステムおよびチャンネル: iOS、iPadOS、共有iPadデバイス、macOSデバイス、macOSユーザ、tvOS、watchOS 10、visionOS 1.1。
利用可能な登録タイプ: ユーザ登録、デバイス登録、自動デバイス登録。
重複を許可: True。ACME証明書ペイロードはデバイスに複数配信できます。
ACME証明書ペイロードでは以下の表の設定を使用できます。
設定 | 説明 | 必須 | |||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
クライアント識別子 | 特定のデバイスを識別する一意の文字列。サーバは、複数の証明書を発行することを防ぐために、これをアンチリプレイ値として使用することがあります。また、この識別子は、デバイスが企業インフラストラクチャから発行された有効なクライアント識別子にアクセスできることをACMEサーバに示します。これは、ACMEサーバがデバイスを信頼するかどうかを判断するのに役立ちます。しかし、攻撃者がクライアント識別子を傍受できるリスクがあるため、比較的弱い指標です。 | はい | |||||||||
URL | https://を含むACMEサーバのアドレス。 | はい | |||||||||
拡張鍵用途 | 値は文字列の配列です。各文字列はドット表記によるOIDです。例えば、[”1.3.6.1.5.5.7.3.2”, “1.3.6.1.5.5.7.3.4”]はクライアント認証とメール保護を表します。 | いいえ | |||||||||
HardwareBound | 追加した場合、秘密鍵はデバイスにバインドされます。Secure Enclaveが鍵ペアを生成し、秘密鍵はシステム鍵と暗号化によってエンタングルされます。これにより、システムが秘密鍵を書き出すのを防ぐことができます。 追加した場合、KeyTypeはECSECPrimeRandomである必要があり、KeySizeは256または384である必要があります。) | はい | |||||||||
鍵のタイプ | 生成する鍵ペアのタイプ:
| はい | |||||||||
鍵のサイズ | KeySizeの有効値は、KeyTypeおよびHardwareBoundの値によって異なります。 | はい | |||||||||
サブジェクト | デバイスは、ACMEサーバが発行する証明書に対して、このサブジェクトを要求します。ACMEサーバは、発行する証明書のこのフィールドを上書きするか無視することができます。OIDおよび値の配列として表されるX.500名の表現。例えば、/C=US/O=Apple Inc./CN=foo/1.2.5.3=barは、次のように変換されます: [ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], ..., [ [ “1.2.5.3”, “bar” ] ] ] | いいえ | |||||||||
サブジェクト代替名のタイプ | ACMEサーバの代替名のタイプを指定します。タイプは、「RFC 822名」、「DNS名」、および「URI」(Uniform Resource Identifier)です。URL(Uniform Resource Locator)、URN(Uniform Resource Name)、またはその両方を指定できます。 | いいえ | |||||||||
使用のフラグ | この値はビットフィールドです。 ビット0x01はデジタル署名を表します。 ビット0x10は鍵共有を表します。 デバイスは、ACMEサーバが発行する証明書に対して、この鍵を要求します。ACMEサーバは、発行する証明書のこのフィールドを上書きするか無視することができます。 | いいえ | |||||||||
認証 | trueの場合、デバイスはACMEサーバにデバイスと生成された鍵を記述した認証を提供します。サーバはこの認証を、鍵がデバイスにバインドされており、認証にリストされている特性がデバイスに存在する強力な証拠として使用できます。サーバは、要求された証明書を発行するかどうかを決めるために、これをトラストスコアの一部として使用できます。 認証がtrueの場合、HardwareBoundもtrueである必要があります。 | いいえ |
注記: 各MDMベンダーは、これらの設定を異なる方法で実装します。お使いのデバイスで適用されるさまざまなACME証明書設定については、MDMベンダーの資料を参照してください。