セキュリティ設定
Jamf Pro サーバのセキュリティ設定によって、以下が可能になります。
-
証明書に基づく認証を有効にする。
-
プッシュ通知の有効設定
-
Privacy Preferences Policy Control Profile の自動インストール
-
Jamf 通知プロファイルを自動的にインストールします
-
SSL 証明実証の有効設定
-
パッケージ検証に Checksum を使用する条件を指定します。パッケージの検証を選択すると、パッケージのダウンロード後に検証を実行します。
-
マネージドコンピュータと Jamf Pro ホストサーバの最大 Clock Skew を指定します。
-
PreStage Imaging と Autorun Imaging の情報取得時にログイン認証を要求します。
Mac コンピュータが Jamf Pro サーバとの通信を試行する際に Jamf Pro の指定セキュリティ要件が満たされていない場合は、通信が停止されます。
Privacy Preferences Policy Control Profile の自動インストール
コンピュータを Jamf Pro に登録すると、そのコンピュータは自動的に Jamf Pro で管理されるようになります。これによって、コンピュータのリモート管理タスクを実行できるようになります。コンピュータ (macOS 10.14 以降) で実行するタスクによっては、Privacy Preferences Policy Control Profile をインストールし、ターゲットコンピュータのシステムファイルとプロセスへ Jamf 管理フレームワークがアクセスすることを許可する必要があります。
注: Privacy Preferences Policy Control Profile は、macOS 10.14 のセキュリティ機能の一部です。Privacy Preferences Policy Control Profile の詳細については、以下の Web サイトを参照してください。
https://support.apple.com/guide/mdm/mdm38df53c2a/
このオプションはデフォルトで有効化され、ユーザ認証 MDM ステータスのコンピュータ (macOS 10.14 以降) に Jamf Pro が Privacy Preferences Policy Control Profile を自動インストールすることを許可します。これによって、Jamf 管理フレームワークがコンピュータへインストールされ、コンピュータ管理およびコンピュータのリモート管理タスクの実行に必要となる、ターゲットコンピュータのシステムファイルおよびプロセスへのアクセスが可能になります。
この機能へアクセスするためには、Enable certificate-based authentication (証明書に基づく認証を有効にする) および Enable push notifications (プッシュ通知設定を有効にする) の設定を必ず有効にします。
Privacy Preferences Policy Control Profile のコンテンツに関する詳細は、ナレッジベース資料の「オーガニゼーションにおける macOS 10.14 のユーザデータ保護準備対策」内の「Privacy Preferences Policy Control Profile のコンテンツ」のセクションを参照してください。
Jamf 通知プロファイルを自動的にインストールする
Jamf Pro で Automatically install a Jamf Notifications profile (Jamf 通知プロファイルを自動的にインストールする) 設定を構成すると、Jamf 管理フレームワークと macOS 用 Jamf Self Service からの通知を自動的に有効にします。エンドユーザは、Self Service に初めてログインするときに通知を許可するように求められません。
このオプションはデフォルトで有効になっており、Jamf Pro は macOS 10.15 以降を搭載したコンピュータに通知プロファイルを自動的にインストールできます。
この機能へアクセスするためには、Enable certificate-based authentication (証明書に基づく認証を有効にする) および Enable push notifications (プッシュ通知設定を有効にする) の設定を必ず有効にします。
SSL 証明書の検証構成
Jamf Pro の SSL 証明書検証設定を構成することで、コンピュータは有効な SSL 証明書のあるホストサーバのみと通信するようになります。これによってコンピュータと偽サーバの通信を防ぎ、中間者攻撃を阻止できます。
SSL 証明書検証設定を構成する際は、以下の点に留意してください。
-
Jamf Pro に内蔵されている Apache Tomcat の自己署名方式証明書を使用する場合、必ず「Always except during enrollment (登録時以外は常に有効化する)」を選択してください。
-
内部 CA または信頼できるサードパーティーベンダーの SSL 証明書を使用する場合は、「Always (常に有効化する)」または「Always except during enrollment (登録時以外は常に有効化する)」を選択してください。現環境下のコンピュータが登録前に証明書を信頼するように構成されている場合、「Always (常に有効化する)」の使用を推奨します。
詳しくは、以下のナレッジベース資料を参照してください。
要件
プッシュ通知を有効にするには、Jamf Pro のプッシュ証明書が必要です。詳しくは、プッシュ証明書 を参照してください。
セキュリティ設定の構成
-
Jamf Pro にログインします。
-
ページ右上隅の Settings (設定)
をクリックします。 -
Computer Management (コンピュータ管理) をクリックします。
-
「コンピュータ管理-管理フレームワーク」のセクションでSecurity (セキュリティ)
をクリックします。 -
Edit (編集)
をクリックします。 -
領域で構成を行います。
-
Save (保存)
をクリックします。
関連情報
本ガイドの以下のセクションに関連情報が記載されています。
-
証明書
デバイス証明書と SSL 証明書について学びます。 -
SSL 証明書
Mac コンピュータが Jamf Pro サーバの ID 確認に使用する SSL 証明書の作成/アップロードの方法を確認します。 -
Checksum の計算
パッケージ検証に checksum を使用する方法、および数値を手動で算出する方法を学びます。
以下に挙げるナレッジベースの資料に関連情報が記載されています。
-
Certificate-Based Authentication for Mac Computers (Mac コンピュータの証明書に基づく認証)
Jamf Pro が証明書に基づく認証を使用して Mac コンピュータの ID 確認を行う方法を学びます。 -
Safely Configuring SSL Certificate Verification (SSL 証明書の安全な構成)
Jamf Pro で SSL 証明書検証を設定することがなぜ重要なのか、そして現環境をリスクにさらすことなくそれを実行する方法を学びます。