Manage and Secure Mobile Devices (モバイルデバイスの管理とセキュリティ保護)
- コンピュータとモバイルデバイス
- Jamf では、コンピュータとモバイルデバイスの両方のセキュリティ保護のために、以下の提案に従うことを推奨しています。
事前登録で 認証要求 を有効にして 自動デバイス登録 を改善し、お客様の環境に応じてまたはのいずれかの ペインの種類 を要求するように登録カスタム構成を含めます。
リモートワークには VPN または Appleプライベートリレー が必要です。
ネットワークへの接続時に Wi-Fi 暗号化 (WPA3) を実行します。
操作がない状態が続いた後にデバイスのロックを実行します。
紛失または盗難にあったデバイスに対しては、MDM 経由のリモートワイプ機能が必要です。
セキュリティパッチ適用のために、管理対象ソフトウェアのアップデートを使用して自動 OS アップデートを適用します。
App Store のみのインストールまたは公証を受けたアプリケーションを実行します。
AirDrop を無効にするか、連絡先のみに制限します。
- コンピュータ
- Jamf では、コンピュータのセキュリティ保護のために、以下の提案に従うことを推奨しています。
CIS レベル1や2などのコンプライアンス基準を適用するには、Jamf Pro のコンプライアンスベンチマーク機能を使用します。詳しくは、コンプライアンスベンチマーク構成ガイドを参照してください。
可能であれば、事前登録で最低限必要な macOS バージョンをmacOS 14 以降のみに定義します。
事前登録で recoveryOS ロックのパスワードを設定 を有効にします。
コンピュータ構成プロファイルでパスコードペイロードを展開し、ローカルユーザアカウントパスコードの難易度を構成します。Touch ID、iCloud 設定などを制御するための追加の設定は、制限ペイロードで使用可能です。
FileVault 暗号化が必要です。詳しくは、Jamf Pro ドキュメント のポリシーを使用した FileVault ディスク暗号化の有効化を参照してください。
マルウェアを防止するために、Gatekeeper、XProtect、システム整合性保護 (SIP) を使用します。
紛失または盗難にあったコンピュータを特定のパスワードを使用してロックします。
- モバイルデバイス
- Jamf では、モバイルデバイスのセキュリティ保護のために、以下の提案に従うことを推奨しています。
自動デバイス登録 の事前登録で監視を有効にして、以下を含む追加のセキュリティ設定とリモートコマンドへのアクセスを確保します。
未登録の予防 を使用して、エンドユーザが MDM プロファイルを削除できないようにします。
ペアリング を使用して、デバイスが Mac コンピュータに接続することを許可または禁止します。
「アクティベーションロックを設定」リモートコマンドを使用して、所属する組織のニーズに合わせてアクティベーションロックを管理します。
紛失または盗難にあったデバイスには「紛失モードを有効にする」リモートコマンドを使用し、また「デバイスの位置情報を更新」リモートコマンドを使用してデバイスの位置を追跡します。
モバイルデバイス構成プロファイルにパスコードペイロードを展開し、強力な認証パスコードを実装することで、iOS の暗号化を確実に実行します。Face ID、Touch ID、iCloud 設定などを制御するための追加の設定は、制限ペイロードで使用可能です。
データの安全性を確保するため、App を配布する際に可能な場合は App を管理対象にする (Make app managed when possible) チェックボックスが選択されていることを確認します。
- パッチポリシーとレポート
- 最新のセキュリティパッチで App を最新の状態に保つことが重要です。詳しくは、Jamf Pro ドキュメント のPatch Policies (パッチポリシー) と Patch Reporting (パッチレポート) のページを参照してください。
- スクリプト
- カスタムまたは PreBuilt のスクリプトは、コンピュータのコマンドを実行する一般的な方法であり、ポリシーで実行することも可能です。スクリプト内の Jamf Pro サーバ管理者のアカウント認証情報をハードコーディングすることは、避けてください。