Appleプラットフォーム導入
- ようこそ
- Appleプラットフォーム導入の概要
- 新機能
-
-
- アクセシビリティペイロードの設定
- Active Directory証明書ペイロードの設定
- AirPlayペイロードの設定
- AirPlayセキュリティペイロードの設定
- AirPrintペイロードの設定
- App Lockペイロードの設定
- 関連ドメインペイロードの設定
- 自動証明書管理環境(ACME)ペイロードの設定
- 自律的シングルアプリモードペイロードの設定
- カレンダーペイロードの設定
- モバイルデータ通信ペイロードの設定
- モバイル通信プライベートネットワークペイロードの設定
- 証明書プリファレンスペイロードの設定
- 証明書失効ペイロードの設定
- CT(証明書の透明性)ペイロードの設定
- 証明書ペイロードの設定
- 会議室のディスプレイペイロードの設定
- 連絡先ペイロードの設定
- コンテンツキャッシュペイロードの設定
- ディレクトリサービスペイロードの設定
- DNSプロキシペイロードの設定
- DNS設定ペイロードの設定
- Dockペイロードの設定
- ドメインペイロードの設定
- 省エネルギーペイロードの設定
- Exchange ActiveSync(EAS)ペイロードの設定
- Exchange Web Services(EWS)ペイロードの設定
- 拡張シングルサインオンペイロードの設定
- 拡張シングルサインオンKerberosペイロードの設定
- 機能拡張ペイロードの設定
- FileVaultペイロードの設定
- Finderペイロードの設定
- ファイアウォールペイロードの設定
- フォントペイロードの設定
- グローバルHTTPプロキシペイロードの設定
- Googleアカウントペイロードの設定
- ホーム画面レイアウトペイロードの設定
- 識別子ペイロードの設定
- 識別プリファレンスペイロードの設定
- カーネル機能拡張ポリシーペイロードの設定
- LDAPペイロードの設定
- LOM(Lights Out Management)ペイロードの設定
- ロック画面のメッセージペイロードの設定
- ログインウインドウペイロードの設定
- 管理対象ログイン項目ペイロードの設定
- メールペイロードの設定
- ネットワーク使用ルールペイロードの設定
- 通知ペイロードの設定
- ペアレンタルコントロールペイロードの設定
- パスコードペイロードの設定
- プリントペイロードの設定
- 「プライバシー」環境設定ポリシー制御ペイロードの設定
- リレーペイロードの設定
- SCEPペイロードの設定
- セキュリティペイロードの設定
- 設定アシスタントペイロードの設定
- シングルサインオンペイロードの設定
- スマートカードペイロードの設定
- 照会カレンダーペイロードの設定
- システム機能拡張ペイロードの設定
- システム移行ペイロードの設定
- Time Machineペイロードの設定
- TV Remoteペイロードの設定
- Webクリップペイロードの設定
- Webコンテンツフィルタペイロードの設定
- Xsanペイロードの設定
-
- 宣言型アプリ構成
- 認証資格情報と識別情報アセット宣言
- バックグラウンドタスク管理宣言型
- カレンダー宣言型構成
- 証明書宣言型構成
- 連絡先宣言型構成
- Exchange宣言型構成
- Googleアカウント宣言型構成
- LDAP宣言型構成
- レガシー対話型プロファイル宣言型構成
- レガシープロファイル宣言型構成
- メール宣言型構成
- 計算および計算機アプリ宣言型構成
- パスコード宣言型構成
- パスキー認証宣言型構成
- Safari機能拡張の管理の宣言型構成
- 画面共有宣言型構成
- サービス構成ファイル宣言型構成
- ソフトウェアアップデート宣言型構成
- ソフトウェアアップデート設定の宣言型構成
- ストレージ管理宣言型構成
- 照会カレンダー宣言型構成
- 用語集
- 資料の改訂履歴
- 著作権
スマートカード認証を使えるようにMacを設定する
macOSは、スマートカードの使用を必須にするスマートカード認証をサポートしています。この場合、パスワードを使用するすべての認証が無効になります。このポリシーはすべてのMacコンピュータ間で確立され、ユーザが有効なスマートカードを使用できない場合は、除外グループを使用してユーザ単位で変更できます。
マシンベースの適用を使用するスマートカード認証
macOS 10.13.2以降では、スマートカードの使用を必須にするスマートカード認証に対応しています。この場合、パスワードを使用するすべての認証が無効になります。これはマシンベースの適用と呼ばれることもあります。この機能を利用するには、モバイルデバイス管理(MDM)ソリューションを使用するか次のコマンドを使用して、スマートカードの必須適用を確立する必要があります:
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool truemacOSでスマートカード認証を構成する手順について詳しくは、Appleのサポート記事「スマートカード認証を使えるようにmacOSを設定する」を参照してください。
ユーザベースの適用を使用するスマートカード認証
ユーザベースの適用を実現するには、スマートカードログインから除外されるユーザグループを指定します。NotEnforcedGroupには、スマートカードの必須適用に含めないローカルまたはディレクトリグループの名前を定義する文字列値が含まれています。これは「ユーザベースの適用」と呼ばれることもあり、スマートカードサービスをユーザ単位で細かく制御できます。この機能を利用するには、最初にモバイルデバイス管理(MDM)ソリューションを使用するか次のコマンドを使用して、マシンベースの適用を確立する必要があります:
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool trueさらに、スマートカードとペアリングされていないユーザが自分のパスワードを使用してログインできるようにシステムを構成する必要があります:
sudo defaults write /Library/Preferences/com.apple.security.smartcard allowUnmappedUsers -int 1以下の「/private/etc/SmartcardLogin.plist」ファイルの例をガイダンスとして使用してください。除外に使用されるグループの名前には、EXEMPT_GROUPを使用します。ユーザがこのグループの指定メンバーである場合、またはグループ自体が除外されるよう指定されている場合、このグループに追加したすべてのユーザがスマートカードログインから除外されます。編集後、所有権がrootになっていて、アクセス権が「world readable」に設定されていることを確認します。
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> </dict> <key>NotEnforcedGroup</key> <string>EXEMPT_GROUP</string></dict></plist>