マネージドコンピュータのセキュリティ設定

Jamf Pro は、コンピュータのセキュリティ設定を管理するための複数のオプションを提供します。

FileVault 2 管理オプション

以下のオプションは、マネージドコンピュータで FileVault 2 を管理するために利用できます。

構成:
  • ディスク暗号化の構成
  • セキュリティとプライバシーの payload を使用した macOS 構成プロファイル
レポート:
  • インベントリの高度検索
  • 「FileVault 2 適格」基準を使用する Smart Computer Group
  • 「FileVault 2 ステータス」基準を使用する Smart Computer Group
修復:
  • 個人用 (「個別」とも呼ばれる) リカバリキーをアップデートするためのパッケージを含むポリシー
  • 機関用リカバリキーをアップデートするためのパッケージを含むポリシー
  • FileVault 2 を有効にしたユーザを追加または削除するポリシー (macOS 10.10~10.12.x のみ)

System Integrity Protection (SIP) オプション

以下の System Integrity Protection (SIP) オプションは、Jamf Pro によって管理されるコンピュータで利用できます。

レポート:
  • インベントリ情報の表示時の System Integrity Protection (SIP) のステータス
  • インベントリの高度検索
  • 「System Integrity Protection (SIP)」基準を使用するスマートグループ

Gatekeeper オプション

以下の Gatekeeper オプションは、Jamf Pro によって管理されるコンピュータで利用できます。

構成:
  • セキュリティとプライバシーの payload を使用した コンピュータ構成プロファイル
レポート:
  • インベントリ情報の表示時の Gatekeeper のステータス
  • インベントリの高度検索
  • 「Gatekeeper」基準を使用するスマートグループ

XProtect 定義のバージョンオプション

以下の XProtect 定義のバージョンオプションは、Jamf Pro によって管理されるコンピュータで利用できます。

レポート:
  • インベントリ情報の表示時にコンピュータにインストールされている XProtect 定義のバージョン
  • インベントリの高度検索
  • 「XProtect 定義のバージョン」基準を使用する Smart Computer Group

System Integrity Protection (SIP)、Gatekeeper および XProtect 定義のバージョンの詳細については、資料「Apple の macOS セキュリティ機能についての Jamf Pro のレポート機能」を参照してください。

パッチ管理オプション

パッチ管理には、以下のツールを利用できます。

レポート:

コンピュータのインベントリレポートはデフォルトで利用可能であり、現在の構成 (OS バージョン/ビルド、アプリケーションバージョン/ビルド、設定など) および利用可能なソフトウェアのアップデートを表示します。追加の拡張属性については、他のカスタムインベントリアイテムを追跡するように構成できます。

修復:

特定のレポート基準を満たすコンピュータまたはすべてのマネージドデバイスにソフトウェアのアップデートを自動的に展開するようにポリシーを構成します。

設定管理オプション

Jamf Pro では、コンピュータおよび iOS デバイスの設定を管理するために Apple が提供する標準 payload を含む 構成プロファイル の展開が可能になります。

管理用アカウントに対するランダム化されたパスワード

コンピュータに対する User-initiated enrollment 通知 (招待状) は、デフォルトで管理用アカウントについて「パスワードのランダム生成」を行うように構成されています。これにより、指定された英数字の数のランダムなパスワードが登録通知 (招待状) に割り当てられます。以下の要件が満たされている場合、通知 (招待状) が引き換え済みになると、管理用アカウントはランダムなパスワードを受信します。

  • コンピュータは Jamf Pro にまだ存在していないか、または存在している場合は既存の管理用アカウントがありません。

  • 指定された管理用アカウントは、コンピュータにまだ存在していません。

コンピュータがすでに存在しており、すでに管理 (再登録) されている場合は、登録通知 (招待状) からのランダム化されたパスワードではなく、既存の管理用アカウントのパスワードが使用されます。同様に、アカウントがコンピュータにすでに存在する場合、パスワードは Jamf Pro インベントリに保存されます。パスワードはコンピュータ上でアップデートされないため、Jamf Remote などの特定の機能が影響を受ける可能性があります。

管理用アカウントのパスワードは、ポリシーを介してランダム化することもできます。この場合、パスワードは jamf バイナリによってリセットされ、Jamf Pro に戻って通信が行われ、コンピュータのインベントリに追加されます。ポリシーを介して設定されるランダムなパスワードには、英数字に加えて特定の記号が含まれる場合もあります。

関連情報は、Jamf Pro 管理者ガイドの「管理用アカウント」セクションを参照してください。