パスワードポリシーの設定

Jamf Connect ドキュメント

Solution
Application: Jamf Connect
Content Type: テクニカル資料
Utilities & Services
ft:locale: ja-JP

ドメイン —com.jamf.connect
ディクショナリ —PasswordPolicies
説明 —
ネットワークパスワードのチェック、有効期限の通知、およびパスワードポリシーの構成に使用します


設定	説明
パスワード有効期限のカウントダウン開始日 `ExpirationCountdownStartDay`	パスワードの有効期限が切れる前のカウントダウンを App のアイコンの横にあるメニューバーに表示しておく日数を表す整数を指定します。この設定はデフォルトで 14 日に設定されており、0 に設定すると無効になります。 Note:この設定を使用するには、Self Service+ を Kerberos レルムと統合する必要があります。詳しくは、ケルベロス統合を参照してください。 `<key>ExpirationCountdownStartDay</key> <integer>14</integer>`
パスワード有効期限の手動制御 `ExpirationManualOverrideDays`	(Okta Classic Engine のみ) ユーザの Okta パスワードが組織内で有効期間の日数を表す整数を指定します。例えば、ユーザが Okta パスワードを 90 日ごとに変更する必要がある場合、この値を 90 に設定します。これにより、Active Directory に管理されていない Okta アカウント用の Self Service+ のメニューバーで、ユーザのパスワードが失効するまでの残りの日数を表示することができます。メニューバーに加えてメニューバー App アイコンの横にこの値を表示するには、パスワード有効期限のカウントダウン開始日の設定も必ず構成してください。 Note:Okta アカウントが Active Directory にマスターされている場合、この設定を使用することはできません。Self Service+ にパスワードの有効期限日が表示されるようにするには、Jamf Connect と Kerberos レルムとの統合を継続し、Password Expiration Countdown Start Date (パスワード有効期限のカウントダウン開始日) 設定を使用してください。
パスワードの有効期限の通知開始日 `ExpirationNotificationStartDay`	ユーザがパスワードの期限切れに関する通知を受信するまでの残り日数を表す整数を指定します。この設定はデフォルトで7日に設定されており、0に設定すると無効になります。 Note:この設定を使用するには、Self Service+ を Kerberos レルムと統合する必要があります。詳しくは、ケルベロス統合を参照してください。 `<key>ExpirationNotificationStartDay</key> <integer>7</integer>`
ネットワークのチェックイン頻度 `NetworkCheck`	Self Service+ がユーザのネットワークパスワードがローカルパスワードと一致することを確認するために使用するチェックイン頻度を指定します。この設定はデフォルトで60分に設定されており、0に設定すると無効になります。Self Service+ がネットワークパスワードを確認できるのは、ネットワークにアクセスできる場合のみです。ネットワークチェックイン時にユーザのパスワードが同期していない場合、ユーザはパスワードを同期するように求める macOS 通知を60分ごとに受け取ります。 `<key>NetworkCheck</key> <integer>60</integer>`
ネットワークの変更に伴うネットワークチェックの実行 `CheckOnNetworkChange`	コンピュータのネットワークステータスが変更された場合に Jamf Connect がネットワークチェックを実行するかどうかを決定します。この設定は、デフォルトで有効 (`true` に設定) にされています。無効 (`false` に設定) の場合、Self Service+ はコンピュータのネットワークステータスが変更されてもネットワークチェックを実行しません。 `<key>CheckOnNetworkChange</key> <true/>`
パスワード同期メッセージ `SyncPasswordsMessage`	Self Service+ がローカルパスワードとネットワークパスワードが同期していないことを検出したときにユーザに表示されるメッセージを指定します。 `<key>SyncPasswordsMessage</key> <string>Your local and network passwords do not match. Enter your current local password to sync it with your network password</string>`
パスワード同期ブロックリスト `PasswordSyncBlockList`	パスワードの同期を行わないローカル macOS アカウント (通常は管理者アカウント) のリストを指定します。 1 つまたは複数のローカルアカウントを、ローカル macOS アカウント名 (省略名) を使用した文字列の配列として指定することができます。 `<key>PasswordSyncBlockList</key> <array> <string>account_one</string> <string>account_two</string> <string>account_three</string> <string>account_four</string> </array>`
Password Change Workflow (パスワードの変更ワークフロー) `PasswordChangeWorkflow`	Kerberos ワークフローを使用してユーザがSelf Service+ で直接パスワードを変更するか (利用可能な場合)、または Web ビューを使用してアイデンティティプロバイダを介して変更するかを指定します。 `Web` —ユーザは、IdP のパスワードの変更画面が開く Web ビューを介してパスワードを変更します。 `Kerberos` —ユーザは、Self Service+ で直接パスワードを変更します。 Self Service+ で Kerberos を使用する環境では、`Kerberos` がデフォルト設定です。 `<key>PasswordChangeWorkflow</key> <string>Kerberos</string>`
パスワードポリシーの要件 `PolicyRequirements`	パスワードを変更するユーザに対するパスワードの複雑度ポリシーを定義します。Self Service+ は、Active Directory またはクラウド IdP とは異なるパスワードポリシーが検出されない場合のみ、この設定を適用します。 `<key>PolicyRequirements</key> <dict> <key>minLength</key> <integer>8</integer> <key>minLowerCase</key> <integer>1</integer> <key>minMatches</key> <integer>3</integer> <key>minNumber</key> <integer>1</integer> <key>minSymbol</key> <integer>1</integer> <key>minUpperCase</key> <integer>1</integer> <key>excludeUsername</key> <true/> </dict>` Note: `minMatches` 環境設定を使用して、ユーザのパスワードが満たさなくてはならないパスワード条件の数を指定します。例えば、`minMatches` の値が3の場合、少なくとも3つの条件 (大文字、特殊文字/記号、整数/数値) を満たすパスワードを設定する必要があります。
必須ポリシーの要件 `MandatoryPolicyRequirement`	他のパスワードポリシーが満たされている場合でも、パスワードを変更するユーザに対して必須パスワードポリシーを強制するように指定します。この要件では、パスワードポリシーの要件設定で現在構成されている単一のキーを使用できます。 `<key>MandatoryPolicyRequirement</key> <string>minLength</string>`
パスワードポリシーのメッセージ `PolicyMessage`	構成されたパスワードポリシーを説明するメッセージ。このメッセージは、ユーザがパスワードポリシーの要件を満たさないパスワードを設定しようとした場合にのみ表示されます。 `<key>PolicyMessage</key> <string>This password does not meet your organization's minimum password complexity requirements.</string>`