Intuneの macOS エンドポイント保護設定
重要
macOS エンドポイント保護テンプレートは非推奨になりました。 既存のポリシーは変更されませんが、このテンプレートを使用して新しいポリシーを作成することはできなくなります。 > 代わりに、次のいずれかのオプションを使用します。
- Filevault の ディスク暗号化 や ファイアウォール ポリシーなどのエンドポイント セキュリティ ポリシーを使用します。
- [設定] カタログを使用して、FileVault、ファイアウォール、およびシステム ポリシー制御 (ゲートキーパー) ペイロードの新しい構成ポリシーを作成します。 詳細については、「 macOS 設定カタログ」を参照してください。
この記事では、macOS を実行するデバイスに対して構成できるエンドポイント保護設定について説明します。 これらの設定は、Intuneのエンドポイント保護に macOS デバイス構成プロファイルを使用して構成します。
開始する前に
FileVault
Apple FileVault の設定の詳細については、Apple 開発者向けコンテンツの FDEFileVault に関するページを参照してください。
重要
macOS 10.15 以降では、FileVault 構成にはユーザーが承認した MDM 登録が必要です。
FileVault を有効にする
macOS 10.13 以降を実行するデバイスで、FileVault で XTS-AES 128 を使用して完全ディスク暗号化を 有効にすることができます 。
- 未構成 (既定値)
- はい
[FileVault を有効にする] が [はい] に設定されている場合、暗号化中にデバイスの個人用回復キーが生成され、そのキーに次の設定が適用されます。
個人用回復キーのエスクローの場所の説明
個人用回復キーを取得する方法と場所を説明する短いメッセージをユーザーに指定します。 このテキストは、パスワードを忘れた場合に個人用回復キーを入力するように求められたときに、サインイン画面に表示されるメッセージに挿入されます。
個人用回復キーのローテーション
デバイスの個人用回復キーをローテーションする頻度を指定します。 既定値の [未構成] または 1 ~ 12 か月の値を選択できます。
回復キーを非表示にする
FileVault 2 暗号化中に、デバイス ユーザーから個人用キーを非表示にすることを選択します。
- 未構成 (既定値) – 暗号化中に、個人キーがデバイス ユーザーに表示されます。
- はい - 暗号化中に、個人キーがデバイス ユーザーから非表示になります。
暗号化後、デバイス ユーザーは、暗号化された macOS デバイスの個人用回復キーを次の場所から表示できます。
- iOS/iPadOS ポータル サイト アプリ
- Intune アプリ
- ポータル サイト Web サイト
- Android ポータル サイト アプリ
キーを表示するには、アプリまたは Web サイトから、暗号化された macOS デバイスのデバイスの詳細に移動し、[ 回復キーの取得] を選択します。
サインアウト時にプロンプトを無効にする
サインアウト時に FileVault を有効にするよう要求するユーザーに対してプロンプトを表示しないようにします。[無効] に設定すると、サインアウト時のプロンプトが無効になり、代わりにサインイン時にユーザーにメッセージが表示されます。
- 未構成 (既定値)
- [はい ] - サインアウト時にプロンプトを無効にします。
バイパスが許可された回数
ユーザーがサインインするために FileVault が必要になる前に、ユーザーが FileVault を有効にするためのプロンプトを無視できる回数を設定します。
- [未構成] - 次のサインインが許可される前に、デバイスでの暗号化が必要です。
- 0 - ユーザーが次回デバイスにサインインするときに、デバイスに暗号化を要求します。
- 1 ~ 10 - ユーザーがデバイスで暗号化を要求する前に、1 ~ 10 回のプロンプトを無視できるようにします。
- 制限なし、常にプロンプト - ユーザーは FileVault を有効にするように求められますが、暗号化は必要ありません。
- 無効 - 機能を無効にします。
この設定の既定値は、[ サインアウト時にプロンプトを無効にする] の構成によって異なります。 [サインアウト時にプロンプトを無効にする ] が [未構成] に設定されている場合、この設定は既定で [未構成] に設定されます。 [サインアウト時にプロンプトを無効にする] が [はい] に設定されている場合、この設定の既定値は 1 で、[未構成] の値はオプションではありません。
ファイアウォール
ファイアウォールを使用して、ポートごとではなく、アプリケーションごとの接続を制御します。 アプリケーションごとの設定を使用すると、ファイアウォール保護の利点を簡単に得ることができます。 また、望ましくないアプリが、正当なアプリ用に開いているネットワーク ポートを制御できないようにするのにも役立ちます。
ファイアウォールを有効にする
macOS でファイアウォールを使用し、環境内での受信接続の処理方法を構成します。
- 未構成 (既定値)
- はい
すべての受信接続をブロックする
DHCP、Bonjour、IPSec などの基本的なインターネット サービスに必要な接続を除き、すべての受信接続をブロックします。 この機能により、ファイル共有や画面共有など、すべての共有サービスもブロックされます。 共有サービスを使用している場合は、この設定を [未構成] のままにします。
- 未構成 (既定値)
- ○
[ すべての受信接続をブロック する ] を [未構成] に設定すると、受信接続を受信できるアプリと受信できないアプリを構成できます。
許可されるアプリ: 受信接続を受信できるアプリの一覧を構成します。
バンドル ID でアプリを追加する: アプリの バンドル ID を 入力します。
アプリ バンドル ID を取得するには:
- ターミナル アプリと AppleScript: を使用します
osascript -e 'id of app "AppName"。 - Apple の Web サイトには、組み込みの Apple アプリの一覧があります。
- Intuneに追加されたアプリの場合は、Intune管理センターを使用できます。
- ターミナル アプリと AppleScript: を使用します
ストア アプリの追加: Intuneで以前に追加したストア アプリを選択します。 詳しくは、「Microsoft Intune にアプリを追加する」をご覧ください。
[アプリがブロックされました]: 受信接続がブロックされているアプリの一覧を構成します。
バンドル ID でアプリを追加する: アプリの バンドル ID を 入力します。
アプリ バンドル ID を取得するには:
- ターミナル アプリと AppleScript: を使用します
osascript -e 'id of app "AppName"。 - Apple の Web サイトには、組み込みの Apple アプリの一覧があります。
- Intuneに追加されたアプリの場合は、Intune管理センターを使用できます。
- ターミナル アプリと AppleScript: を使用します
ストア アプリの追加: Intuneで以前に追加したストア アプリを選択します。 詳しくは、「Microsoft Intune にアプリを追加する」をご覧ください。
ステルス モードを有効にする
コンピューターがプローブ要求に応答しないようにするには、ステルス モードを有効にします。 デバイスは、承認されたアプリの受信要求に引き続き応答します。 ICMP (ping) などの予期しない要求は無視されます。
- 未構成 (既定値)
- ○
閽
これらの場所からダウンロードしたアプリを許可する
アプリのダウンロード元に応じて、デバイスが起動できるアプリを制限します。 目的は、デバイスをマルウェアから保護し、信頼できるソースからのみアプリを許可することです。
- 未構成 (既定値)
- Mac の App Store
- Mac App Storeと特定された開発者
- どこでも
ユーザーが Gatekeeper をオーバーライドできないようにする
ユーザーが Gatekeeper 設定をオーバーライドできないようにし、ユーザーが Control をクリックしてアプリをインストールできないようにします。 有効にすると、ユーザーは Control キーを押しながらアプリをクリックしてインストールすることはできません。
- 未構成 (既定値) - ユーザーは Control キーを押しながらクリックしてアプリをインストールできます。
- [はい ] - ユーザーが Control キーを押しながらクリックしてアプリをインストールできないようにします。
次の手順
プロファイルを割り当て、その状態を監視します。
また、Windows 10 および Windows 11 デバイスでエンドポイント保護を構成することもできます。