Citrix Endpoint Management

macOS

Endpoint ManagementでmacOSデバイスを管理するには、AppleのAppleプッシュ通知サービス(APNs)証明書を設定します。詳しくは、APNs証明書を参照してください。

Endpoint Managementは、macOSデバイスをMDMに登録します。Endpoint Managementは、MDMのmacOSデバイスに対して、次の種類の登録認証をサポートします。

  • ドメイン
  • ドメインおよびワンタイムパスワード
  • 招待URLおよびワンタイムパスワード

macOS 15での信頼された証明書の要件:

Appleでは、TLSサーバー証明書の新しい要件を設定しています。すべての証明書が新しいAppleの要件に準拠していることを確認します。アップルの出版物である「https://support.apple.com/en-us/HT210176」を参照してください。証明書の管理については、「証明書のアップロード」を参照してください。

macOSデバイスの管理を開始するための一般的なワークフローは次のとおりです:

  1. オンボーディングプロセスの完了。オンボードとリソースのセットアップおよびデバイス登録とリソース配信の準備を参照してください。

  2. 登録方法の選択と構成。「サポートされている登録方法」を参照してください。

  3. macOSデバイスポリシーの構成

  4. macOSデバイスの登録

  5. デバイスとアプリのセキュリティ操作の設定。「セキュリティ操作」を参照してください。

サポートされるオペレーティングシステムについては、「サポートされるデバイスオペレーティングシステム」を参照してください。

開いたままにする必要があるAppleのホスト名

iOS、macOS、Apple App Storeを正しく動作させるには、一部のAppleホスト名を開いたままにしておく必要があります。これらのホスト名をブロックすると、インストール、更新、および以下の適切な操作に影響が出る可能性があります:iOS、iOSアプリ、MDMの操作およびデバイスとアプリの登録詳しくは、「https://support.apple.com/en-us/HT201999」を参照してください。

サポートされている登録方法

次の表は、macOSデバイスでサポートされているEndpoint Managementでの登録方法を示しています:

方法 サポート対象
Apple Deployment Programs はい
Apple School Manager はい
Apple Configurator いいえ
手動登録 はい
登録招待 はい

Appleでは、ビジネスおよび教育機関アカウント向けのデバイス登録プログラムが提供されています。ビジネス用アカウントの場合、デバイスをEndpoint Managementで登録して管理するには、Apple Deployment Programに登録して、Apple Deployment Programを利用する必要があります。これは、iOS、macOS、Apple TVデバイス向けのプログラムです。「Apple Deployment Programでのデバイスの展開」を参照してください。

教育機関アカウントの場合は、Apple School Managerアカウントを作成します。Apple School Managerでは、Deployment Programと一括購入が統合されています。Apple School Managerは、教育向けApple Deployment Programの一種です。「Apple Education機能との統合」を参照してください。

Apple Deployment Programを使用して、iOS、macOS、およびApple TVデバイスを一括登録することができます。これらのデバイスは、Appleから直接購入するか、Apple正規販売代理店、または通信事業者から購入することができます。

macOSデバイスポリシーの構成

デバイスポリシーを使用して、Endpoint ManagementとmacOSを実行するデバイスとの通信に関する構成を行います。次の表は、macOSデバイスで使用可能なデバイスポリシーの一覧です:

     
AirPlayミラーリング アプリインベントリ アプリアンインストール
カレンダー(CalDAV) 連絡先(CardDAV) OS更新の制御
資格情報 デバイス名 Exchange
FileVault ファイアウォール フォント
iOSおよびmacOSプロファイルのインポート LDAP メール
パスコード プロファイルの削除 制限
SCEP VPN Webクリップ
ネットワーク    

macOSデバイスの登録

Endpoint Managementには、macOSを実行するデバイスの登録方法は2種類あります。いずれの方法でも、macOSユーザーは各自のデバイスから無線経由で直接登録できます。

  • ユーザーに登録招待を送信します。 この登録方法を使用すると、以下のmacOSデバイスの登録セキュリティモードをいずれも設定できます:

    • ユーザー名およびパスワード
    • ユーザー名およびPIN
    • 2要素認証

    ユーザーが登録招待の指示に従うと、ユーザー名が入力されたサインオン画面が表示されます。

  • ユーザーに登録リンクを送信します。 このmacOSデバイスの登録方法ではユーザーに登録リンクを送信し、ユーザーはSafariブラウザーまたはChromeブラウザーでこのリンクを開くことができます。ユーザーはユーザー名とパスワードを入力して登録を行います。

    macOSデバイスでの登録リンクの使用を防ぐには、サーバープロパティ [Enable macOS OTAE]falseに設定します。これにより、macOSユーザーは登録招待を使用してのみ登録できるようになります。

macOSユーザーへの登録招待の送信

  1. macOSユーザーを登録するための招待を追加します。「登録招待」を参照してください。

  2. ユーザーが招待を受信してリンクをクリックすると、Safariブラウザーに次の画面が表示されます。ユーザー名はEndpoint Managementによって入力されます。登録セキュリティモードに [2要素] を選択すると、別のフィールドが表示されます。

    Safariブラウザーのルート証明書メッセージ

  3. 必要に応じて、ユーザーが証明書をインストールします。ユーザーに証明書のインストールを求めるメッセージが表示されるかは、管理者がmacOS用の公式に信頼されるSSL証明書および公式に信頼されるデジタル署名証明書を構成したかどうかによります。証明書について詳しくは、「証明書と認証」を参照してください。

  4. 要求された資格情報をユーザーが入力します。

    Macのデバイスポリシーがインストールされます。これで、モバイルデバイスを管理するのと同じように、Endpoint ManagementでmacOSデバイスを管理できるようになります。

macOSユーザーへのインストールリンクの送信

  1. 登録リンク(https://serverFQDN:8443/instanceName/macos/otae)を送信します。ユーザーはこのリンクをSafariブラウザーまたはChromeブラウザーで開くことができます。

    • serverFQDNには、Endpoint Managementを実行しているサーバーの完全修飾ドメイン名(FQDN)を入力します。
    • ポート8443は、デフォルトのセキュアポートです。別のポートを構成している場合は、8443ではなく、構成済みのポートを使用します。
    • 通常zdmと表示されるinstanceNameは、サーバーのインストール時に指定された名前です。

    インストールリンクの送信について詳しくは、「インストールリンクを送信するには」を参照してください。

  2. 必要に応じて、ユーザーが証明書をインストールします。管理者がiOSおよびmacOS用の公式に信頼されるSSL証明書およびデジタル署名証明書を構成すると、ユーザーに証明書のインストールを求めるメッセージが表示されます。証明書について詳しくは、「証明書と認証」を参照してください。

  3. ユーザーがMacにサインオンします。

    Macのデバイスポリシーがインストールされます。これで、モバイルデバイスを管理するのと同じように、Endpoint ManagementでmacOSデバイスを管理できるようになります。

セキュリティ操作

macOSは、以下のセキュリティ操作をサポートしています。各セキュリティ操作の説明については、「セキュリティ操作」を参照してください。

     
取り消し ロック 選択的なワイプ
完全なワイプ 証明書の書き換え 個人用回復キーの交換

macOSデバイスのロック

紛失したmacOSデバイスをリモートでロックできます。Endpoint Managementは、デバイスをロックします。その後PINコードが生成されてデバイスに設定されます。デバイスにアクセスするには、PINコードを入力します。Endpoint Managementコンソールからロックを解除するには [ロックのキャンセル] を使用します。

パスコードデバイスポリシーを使用して、PINコードに関連した設定をさらに構成できます。詳しくは、「macOS設定」を参照してください。

  1. [管理]>[デバイス] の順にクリックします。[デバイス] ページが開きます。

    [デバイス]ページ

  2. ロックするmacOSデバイスを選択します。

    デバイスの横にあるチェックボックスをオンにすると、デバイス一覧の上にオプションメニューが表示されます。一覧で項目をクリックして、その項目の右側にオプションメニューを表示できます。

    オプションメニュー

    オプションメニュー

  3. オプションメニューの [保護] を選択します。[セキュリティ操作] ダイアログボックスが開きます。

    [セキュリティ操作]ダイアログボックス

  4. [ロック] をクリックします。[セキュリティ操作] 確認ダイアログボックスが開きます。

    [セキュリティ操作]確認画面

  5. [デバイスのロック] をクリックします。

重要:

Endpoint Managementが生成するコードを使用する代わりに、パスコードを指定することもできます。指定されたコードが既存のデバイスや既存の仕事用プロファイルのコード要件に一致しない場合、ロック操作が失敗します。

Bootstrap Token

Bootstrap Tokenは、macOSデバイスにサインオンするときにアカウントにSecureToken macOS属性を付与するのに役立ちます。SecureTokenは、信頼できるアカウントから別のアカウントに受け継がれます。SecureToken対応のアカウントは、デバイスで暗号化操作を実行できます。Bootstrap Tokenがない場合、個々のユーザーアカウントを追加する前に、複雑なワークフローに従ってそのデバイスでアカウントを作成する必要があります。

Endpoint Managementは、Apple Deployment Program経由で登録されたmacOSデバイスのBootstrap Tokenのエスクローをサポートします。Apple Deployment Programを使用して、Appleから直接、またはApple正規販売代理店や通信事業者から購入したmacOSデバイスを登録します。Apple Deployment Programへの登録については、 「Apple Deployment Programでのデバイスの展開」を参照してください。

Bootstrap Tokenは、セットアップアシスタントのワークフロー中に生成されます。具体的には、ローカルユーザーアカウントの作成中に生成されます。セットアップアシスタントは、ユーザーがデバイスを初めて起動したときに実行されます。このトークンはEndpoint Managementデータベースに保存され、管理者やエンドユーザーには表示されません。Endpoint Managementサイトからデバイスを削除すると、トークンが削除されます。工場出荷時の状態にリセットしても、削除されません。

前提条件:

  • macOS 11.0以降
  • Apple T2セキュリティチップを搭載したmacOSデバイス
  • Apple Deployment Program経由で登録されたmacOSデバイス

Endpoint Managementを使用してBootstrap Tokenをエスクローする利点の1つは、リモートアカウントでFileVaultを有効にし、FileVaultボリュームのロックを解除できることです。FileVaultについては、「FileVaultデバイスポリシー」を参照してください。

macOS