セキュリティ
このセクションでは、Jamf Pro の主要なセキュリティ対策について説明します。
-
パスワード
-
通信プロトコル
-
公開鍵インフラストラクチャ
-
署名済みアプリケーション
パスワード
Jamf Pro ではマネージドコンピュータのアカウントを個別に保存でき、必要に応じてパスワードをリセットできます。
データベースに保存されたパスワードは、256-bit の標準 AES 暗号化アルゴリズムによって暗号化されます。
通信プロトコル
Jamf Pro にはセキュリティ機能が内蔵されています。Jamf Pro サーバ、他の Jamf Pro app、およびモバイルデバイスの間の接続は、Transport Layer Security (TLS) を使用して、Secure Sockets Layer (SSL) 経由で行われます。
Jamf Remote アプリケーションと Recon アプリケーションのネットワークスキャナは、Secure Shell (SSH) 経由またはリモートログインでコンピュータに接続します。
Secure Shell (SSH)
SSH は macOS 内蔵のネットワークセキュリティプロトコルです。詳しくは、以下を参照してください。
http://openssh.com/
Transport Layer Security (TLS)
TLS はインターネット通信のセキュリティプロトコルです。詳しくは、以下を参照してください。
http://tools.ietf.org/html/rfc5246
公開鍵インフラストラクチャ
Public key Infrastructure (PKI) 公開鍵インストラクチャは、デジタル証明書の取得、管理、保存、配布を実行する仕組みであり、公共ネットワーク上の安全なデータ交換を可能にします。
認証局
認証局 (CA) は、証明書に基づく認証に必要な証明書を署名、発行する信頼されたエンティティです。これは PKI の中心的なコンポーネントです。
Jamf Pro では、内蔵 CA の使用、または信頼のおける第三者機関 CA (DigiCert または Active Directory Certificate Services) との統合のほか、Simple Certificate Enrollment Protocol (SCEP) に対応する外部 CA へアクセスしている場合は、独自の PKI を作成できます。 認証局 (CA) を利用して、コンピュータやモバイルデバイスに証明書を発行することも可能です。
注: コンピュータへの証明書発行には外部の CA も利用できますが、デフォルトでは設定されていません。詳しくは、Jamf アカウント担当者にお問い合わせください。
Jamf Pro の認証局 (CA) に関する詳細については、PKI 証明書を参照してください。
Simple Certificate Enrollment Protocol
Simple Certificate Enrollment Protocol (SCEP) は、CA から証明書を獲得してマネージドモバイルデバイスへ配布し、大規模な証明書配布作業を容易にします。現環境下のコンピュータ/モバイルデバイスと SCEP サーバとの直接通信を避けるには、Jamf Pro でそれらの通信をプロキシする設定を構成します。これによって Jamf Pro は SCEP サーバと直接通信し、デバイスに必要な証明書を取得し、インストールできます。詳しくは、テクニカル資料「Enabling Jamf Pro as SCEP Proxy (Jamf Pro を SCEP プロキシとして有効化する)」を参照してください。
Jamf Pro にホストされた CA (「ビルトイン CA」) は SCEP をサポートします。所属するオーガニゼーションまたは第三者機関ベンダーがホストする外部 CA を使用する場合は、必ず SCEP 対応であることを確認してください。
証明書
Jamf Pro は以下の証明書を使用してセキュリティを確保します。
-
SSL Certificate —コンピュータやモバイルデバイスが偽サーバではない本物の Jamf Pro サーバと通信するには、有効な SSL 証明書が必要です。内蔵 CA で作成可能な SSL 証明書は、2048-bit の RSA 暗号化による安全な通信を確保します。
-
デバイス証明書 —Jamf Pro と通信する際、コンピュータやモバイルデバイスのアイデンティティを毎回検証できるようにします。
-
CA 証明書 —コンピュータと CA、モバイルデバイスと CA の間に信頼を確立します。
-
署名証明書 —Jamf Pro サーバ と Mac コンピュータ、および Jamf Pro サーバとモバイルデバイスの間でやり取りされるメッセージの署名に必要です。
-
プッシュ証明書 —Jamf Pro が Apple Push Notification service (APNs) と通信するには、有効なプッシュ証明書が必要です。
-
アンカー証明書 —SSL 証明書に対するモバイルデバイスとコンピュータの信頼を確立します。
署名済みアプリケーション
以下は、Jamf によって署名済みのアプリケーションです。
-
Composer
-
Jamf Admin
-
jamf バイナリ
-
Jamf Helper
-
Jamf Imaging
-
Jamf Remote
-
Jamf Self Service
-
Recon