Appleプラットフォーム導入
- ようこそ
- Appleプラットフォーム導入の概要
- 新機能
-
-
- アクセシビリティペイロードの設定
- Active Directory証明書ペイロードの設定
- AirPlayペイロードの設定
- AirPlayセキュリティペイロードの設定
- AirPrintペイロードの設定
- App Lockペイロードの設定
- 関連ドメインペイロードの設定
- 自動証明書管理環境(ACME)ペイロードの設定
- 自律的シングルアプリモードペイロードの設定
- カレンダーペイロードの設定
- モバイルデータ通信ペイロードの設定
- モバイル通信プライベートネットワークペイロードの設定
- 証明書プリファレンスペイロードの設定
- 証明書失効ペイロードの設定
- CT(証明書の透明性)ペイロードの設定
- 証明書ペイロードの設定
- 会議室のディスプレイペイロードの設定
- 連絡先ペイロードの設定
- コンテンツキャッシュペイロードの設定
- ディレクトリサービスペイロードの設定
- DNSプロキシペイロードの設定
- DNS設定ペイロードの設定
- Dockペイロードの設定
- ドメインペイロードの設定
- 省エネルギーペイロードの設定
- Exchange ActiveSync(EAS)ペイロードの設定
- Exchange Web Services(EWS)ペイロードの設定
- 拡張シングルサインオンペイロードの設定
- 拡張シングルサインオンKerberosペイロードの設定
- 機能拡張ペイロードの設定
- FileVaultペイロードの設定
- Finderペイロードの設定
- ファイアウォールペイロードの設定
- フォントペイロードの設定
- グローバルHTTPプロキシペイロードの設定
- Googleアカウントペイロードの設定
- ホーム画面レイアウトペイロードの設定
- 識別子ペイロードの設定
- 識別プリファレンスペイロードの設定
- カーネル機能拡張ポリシーペイロードの設定
- LDAPペイロードの設定
- LOM(Lights Out Management)ペイロードの設定
- ロック画面のメッセージペイロードの設定
- ログインウインドウペイロードの設定
- 管理対象ログイン項目ペイロードの設定
- メールペイロードの設定
- ネットワーク使用ルールペイロードの設定
- 通知ペイロードの設定
- ペアレンタルコントロールペイロードの設定
- パスコードペイロードの設定
- プリントペイロードの設定
- 「プライバシー」環境設定ポリシー制御ペイロードの設定
- リレーペイロードの設定
- SCEPペイロードの設定
- セキュリティペイロードの設定
- 設定アシスタントペイロードの設定
- シングルサインオンペイロードの設定
- スマートカードペイロードの設定
- 照会カレンダーペイロードの設定
- システム機能拡張ペイロードの設定
- システム移行ペイロードの設定
- Time Machineペイロードの設定
- TV Remoteペイロードの設定
- Webクリップペイロードの設定
- Webコンテンツフィルタペイロードの設定
- Xsanペイロードの設定
-
- 宣言型アプリ構成
- 認証資格情報と識別情報アセット宣言
- バックグラウンドタスク管理宣言型
- カレンダー宣言型構成
- 証明書宣言型構成
- 連絡先宣言型構成
- Exchange宣言型構成
- Googleアカウント宣言型構成
- LDAP宣言型構成
- レガシー対話型プロファイル宣言型構成
- レガシープロファイル宣言型構成
- メール宣言型構成
- 計算および計算機アプリ宣言型構成
- パスコード宣言型構成
- パスキー認証宣言型構成
- Safari機能拡張の管理の宣言型構成
- 画面共有宣言型構成
- サービス構成ファイル宣言型構成
- ソフトウェアアップデート宣言型構成
- ソフトウェアアップデート設定の宣言型構成
- ストレージ管理宣言型構成
- 照会カレンダー宣言型構成
- 用語集
- 資料の改訂履歴
- 著作権
Macで対応しているスマートカード機能
macOS 10.15以降には、以下の機能の組み込みサポートが含まれています:
認証: LoginWindow、PKINIT、SSH、スクリーンセーバ、Safari、認可ダイアログ、およびCryptoTokenKitに対応した他社製アプリ
署名: 「メール」、およびCryptoTokenKitに対応した他社製アプリ
暗号化: 「メール」、「キーチェーンアクセス」、およびCryptoTokenKitに対応した他社製アプリ
注記: 組織でmacOS 10.15より前の他社製ソフトウェアを使用している場合、レガシーのtokend
の対応は無効になり、tokend
を使用したソリューションは利用できなくなったことに留意してください。
PIVカードのプロビジョニング
macOSでスマートカードを使用するには、スロット9a(PIV認証)および9d(鍵管理)に適切な証明書が入力されている必要があります。オプションで、メールまたは書類の署名などの機能が必要な場合は、証明書がスロット9c(デジタル署名)にプロビジョニングされている必要があります。
Active Directoryとの属性マッチング(後述します)を使用する場合は、PIV認証の証明書の「NTプリンシパル名」とActive Directoryの「dsAttrTypeStandard:AltSecurityIdentities」属性が一致している必要があります(大文字/小文字を区別)。
認証
スマートカードを2ファクタ認証に使用することができます。2ファクタには、「ユーザが持っているもの」(カード)と、カードのロックを解除するための「ユーザが知っていること」(PIN)が含まれます。macOS 10.12.4以降には、スマートカードおよびログイン認証と、Safariを使ったWebサイトへのクライアント証明書に基づく認証のネイティブ対応が含まれています。また、macOSでは、鍵のペア(PKINIT)を使用してKerberos対応サービスにシングルサインオンするKerberos認証にも対応しています。
注記: 証明書認証と暗号化用の鍵がシステムのログインに使用される場合は、この両方でスマートカードが適切にプロビジョニングされていることを確認してください。キーチェーンパスワードをラッピングするために暗号化鍵が使用されます。暗号化鍵がないと、キーチェーンが繰り返し要求されます。
デジタル署名と暗号化
メールアプリでは、デジタル署名して暗号化したメッセージを送信できます。この機能を使用するには、対応スマートカードで接続されたPIVトークン上にあるデジタル署名および暗号化証明書で、大文字/小文字を区別するメールアドレスのサブジェクトまたはサブジェクト代替名が必要です。設定されているメールアカウントが、接続されているPIVトークン上のデジタル署名または暗号化証明書のメールアドレスと一致する場合、「メール」の新規メッセージのツールバーにメール署名ボタンが自動的に表示されます。ロックされたカギのアイコンが表示される場合、メッセージが宛先の公開鍵で暗号化されて送信されることを示しています。
キーチェーンのラッピング
アカウントのログインの場合、キーチェーンパスワードのラッピング機能を動作させるには、暗号化鍵(Key Management Keyとも呼ばれます)が存在する必要があります。Key Management Keyがないと、ログインセッション中にユーザに対してログインキーチェーンのパスワードが繰り返し要求されるため、ユーザの操作性が低下します。また、このパスワードの使用は、スマートカードが必須の環境において問題となることがあります。ユーザがスマートカードを使用してログインするときにKey Management Keyが指定されていると、キーチェーンの動作はパスワードに基づくログインと同様になり、ユーザはログインキーチェーンのパスワードを繰り返し要求されません。
スマートカードペイロード
Apple Developer Webサイトの「スマートカードペイロード」(英語)には、スマートカードに関するモバイルデバイス管理(MDM)の対応情報が含まれています。スマートカードサポートには、スマートカードの許可、スマートカードの適用、ユーザごとにスマートカードを1つペアリング、証明書信頼チェック、トークン削除アクション(スクリーンセーバロック)の機能が含まれます。
注記: MDMベンダーはスマートカードペイロードを実装することもできます。スマートカードペイロードに対応しているかどうかについては、MDMベンダーの資料を参照してください。