Jamf 管理フレームワークの事前承認

技術に関する記事
Solution
Application
Content Type
テクニカル資料
Utilities & Services
ft:locale
ja-JP

Jamf Pro 管理者は、プライバシー環境設定ポリシーコントロールの構成プロファイルを使って、Jamf 管理フレームワークを事前に承認できます。このプロファイルは Jamf Pro 10.7.1 以降に自動インストールされます。

Jamf Pro 管理者は、コンピュータの構成プロファイルの Privacy Preferences Policy Control (プライバシー環境設定ポリシーコントロー) ルペインにある情報を活用して、独自の構成プロファイルを作成できます。

一般的な要件

コンピュータに Privacy Preferences Policy Control Profile をインストールするには、以下の要件を満たす必要があります。

  • ユーザ承認MDM

  • macOS 10.14 以降のターゲットコンピュータ

  • プッシュ通知が有効です

ユーザ非承認 MDM システムでインストールが拒否された場合、プロファイルはキューに入ったままとなり、コンピュータがユーザー承認 MDM ステータスを獲得すると自動的に再インストールを試みます。ユーザ承認 MDM および Jamf Pro の詳細については、資料「Jamf Pro によるユーザ承認 MDM の管理」を参照してください。

Note:

ユーザ認証 MDM のない Jamf binary だけを管理に使用しているオーガニゼーションでは、profiles コマンドを使用して、または手動でプロファイルをクリックして、この構成プロファイルをインストールしようとしてもうまくいきません。必ず、ユーザ認証 MDM サーバの MDM 経由でプッシュされなければなりません。

Privacy Preferences Policy Control Contents

macOS 10.14 以降の Jamf 管理フレームワークを認証するには、以下の 3 つの App とプロセスを Systems Policy All Files サービスで認証しなければなりません。

  • jamf binary

  • jamf.app

以下の .mobileconfig ファイルはそれらの App とプロセスを認証し、macOS 10.14 以降および Jamf Pro 10.7.1 以降のコンピュータへ自動インストールする構成プロファイルと同じものです。
Note:

このタイプのペイロードが複数インストールされている場合、その中で最も制限の厳しい設定が使用されます。

 <key>Services</key>
                        <dict>
                                <key>SystemPolicyAllFiles</key>
                                <array>
                                        <dict>
                                                <key>Comment</key>
                                                <string>Allow jamf binary to access all files</string>
                                                <key>Identifier</key>
                                                <string>/usr/local/jamf/bin/jamf</string>
                                                <key>IdentifierType</key>
                                                <string>path</string>
                                                <key>Allowed</key>
                                                <true/>
                                                <key>CodeRequirement</key>
                                                <string>identifier "com.jamfsoftware.jamf" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = "483DWKW443"</string>
                                        </dict>
                                        <dict>
                                                <key>Comment</key>
                                                <string>Allow Jamf.app access to all files</string>
                                                <key>Identifier</key>
                                                <string>com.jamf.management.Jamf</string>
                                                <key>IdentifierType</key>
                                                <string>bundleID</string>
                                                <key>Allowed</key>
                                                <true/>
                                                <key>CodeRequirement</key>
                                                <string>identifier "com.jamf.management.Jamf" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = "483DWKW443"</string>
                                        </dict>
                                </array>
                        </dict>

Privacy Preferences Policy Control Profile の自動インストール

Jamf 管理フレームワークを事前承認する構成プロファイルは、Jamf Pro 10.7.1 以降に自動インストールします。Jamf Pro 10.7.1 以降にアップグレードする時、 プライバシー環境設定ポリシーコントロールのプロファイルを自動的にインストールする (macOS 10.14 以降) オプションはセキュリティ設定ではデフォルトで有効になっています。この機能にアクセスするには、設定 (Settings) > コンピュータ管理 (Computer management) > セキュリティ (Security) の順に移動します。

セキュリティ設定でこのオプションが有効な場合、Jamf Pro 10.7.1 以降ではログイン時に管理対象コンピュータの macOS バージョンを自動的に収集します。これによって Jamf Pro はコンピュータが macOS 10.14 以降へアップグレードしたことを即時に検出し、Privacy Preferences Policy Control profile のインストレーションを開始します。ログイン時の OS バージョンの自動削除は、セキュリティ設定のオプションを使ってプロファイルを自動的にインストールした時だけ適用されます。カスタム構成プロファイルを手動で展開する場合は適用されません。

カスタム構成プロファイルの作成

Jamf Pro 10.9 以降、 プライバシー環境設定ポリシーコントロールのプロファイルをコンピュータ構成プロファイルの別のペイロードとして構成できるようになります。このペイロードによって、対象コンピュータのセキュリティとプライバシー (Security & Privacy) 環境設定ペイン (macOS 12以前)、またはプライバシーとセキュリティ (Privacy & Security) ペイン (macOS 13以降) でアプリケーションやサービスへのアクセス設定 (許可/拒否) を構成できます。これらの設定は Computers (コンピュータ) > Configuration Profiles (構成プロファイル) へナビゲートし、プライバシー環境設定ポリシーコントロールペイロードで管理してください。
Note:

macOS 10.13 以前のコンピュータに構成プロファイルが手動で展開されている場合、コンピュータを macOS 10.14 へアップグレードしても、構成プロファイルは引き継がれません。macOS 10.14 以降へのアップグレード後は、構成プロファイルを再展開する必要があります。