Intune の macOS エンドポイント保護設定

この記事では、macOS を実行するデバイス用に構成できるエンドポイント保護設定について説明します。 これらの設定は、Intune のエンドポイント保護に macOS デバイス構成プロファイル を使用して 構成します。

はじめに

macOS エンドポイント保護プロファイルを作成します。

FileVault

Apple FileVault の設定の詳細については、Apple 開発者向けコンテンツの 「FDEFileVault」 を参照してください。

重要

macOS 10.15 の場合、FileVault の構成では、ユーザーが承認した MDM 登録が必要です。

• FileVault を有効にする

  macOS 10.13 以降を実行するデバイスでは、FileVault を使用して XTS-AES 128 を使用してフル ディスク暗号化を有効にできます。

  • 構成されていません (既定)
  • はい

  [FileVault を有効 にする] が [は い] に設定されている場合、暗号化中にデバイスの個人用回復キーが生成され、そのキーに次の設定が適用されます。

  • 個人用回復キーのエスクローの場所の説明

    個人の回復キーを取得する方法と場所を説明する短いメッセージをユーザーに指定します。 このテキストは、パスワードを忘れた場合に個人用回復キーの入力を求めるメッセージがサインイン画面に表示されるメッセージに挿入されます。

  • 個人用回復キーのローテーション

    デバイスの個人用回復キーが回転する頻度を指定します。 既定の [構成されていません] 、または 1 ~ 12 か月 の値を選択 できます。

  • 回復キーを非表示にする

    FileVault 2 の暗号化中にデバイス ユーザーから個人キーを非表示にします。

    • [構成されていません ] (既定) – 個人キーは、暗号化中にデバイス ユーザーに表示されます。
    • は い - 個人キーは、暗号化中にデバイス ユーザーから非表示になります。

    暗号化後、デバイス ユーザーは、暗号化された macOS デバイスの個人用回復キーを次の場所から表示できます。

    • iOS/iPadOS ポータル アプリ
    • Intune アプリ
    • ポータル サイト
    • Android ポータル サイト アプリ

    キーを表示するには、アプリまたは Web サイトから、暗号化された macOS デバイスのデバイスの詳細に移動し、[回復キーの取得] を選択します。

  • サインアウト時にプロンプトを無効にする

    サインアウト時に FileVault を有効にするように要求するユーザーに対するプロンプトを防止します。 [無効] に設定すると、サインアウト時のプロンプトが無効になり、代わりにサインイン時にユーザーにメッセージが表示されます。

    • 構成されていません (既定)
    • は い - サインアウト時にプロンプトを無効にします。

  • バイパスできる回数

    ユーザーがサインインするために FileVault が必要になる前に、ユーザーがプロンプトを無視して FileVault を有効にできる回数を設定します。

    • [構成されていません ] - 次のサインインが許可される前に、デバイス上の暗号化が必要です。
    • 0 - ユーザーが次回デバイスにサインインする場合は、デバイスで暗号化を要求します。
    • 1 ~ 10 - ユーザーがデバイスで暗号化を要求する前に、1 ~ 10 回のプロンプトを無視することを許可します。
    • 制限なし、常にプロンプト - ユーザーは FileVault を有効にするように求めるメッセージが表示されますが、暗号化は必要ありません。

    この設定の既定値は、[サインアウト時にプロンプトを 無効にする] の構成によって異なります。[ サインアウト時にプロンプトを無効にする] が [構成されていません] に設定されている 場合、この設定は既定で [構成されていません] に設定されます。 [サインアウト時にプロンプトを 無効にする] が [は い] に設定されている場合、この設定の既定値は 1 で、[構成されていません] の値はオプションではありません。

ファイアウォール

ファイアウォールを使用して、ポートごとの接続ではなく、アプリケーションごとの接続を制御します。 アプリケーションごとの設定を使用すると、ファイアウォール保護の利点を簡単に得やすくなります。 また、望ましくないアプリが正当なアプリ用に開いているネットワーク ポートを制御することを防ぐのにも役立ちます。

• ファイアウォールの有効化

  macOS でファイアウォールの使用を有効にし、環境での受信接続の処理方法を構成します。

  • 構成されていません (既定)
  • はい

• すべての受信接続をブロックする

  DHCP、Bonjour、IPSec などの基本的なインターネット サービスに必要な接続を除くすべての着信接続をブロックします。 この機能では、ファイル共有や画面共有など、すべての共有サービスもブロックされます。 共有サービスを使用している場合は、この設定を [構成されていません] に設定します。

  • 構成されていません (既定)
  • はい

  [すべての受信接続 を ブロックする] を [ 構成されていません] に設定すると、受信接続を受信できるアプリまたは受信できないアプリを構成できます。

  許可されるアプリ: 受信接続を受信できるアプリの一覧を構成します。

  • バンドル ID でアプリを追加 する: アプリ のバンドル ID を入力します。 Apple の Web サイトには、組み込みの Apple アプリの一覧があります。
  • ストア アプリの追加: Intune で以前に追加したストア アプリを選択します。 詳細については、「Add apps to Microsoft Intune」を参照してください。

  ブロックされたアプリ: 受信接続がブロックされているアプリの一覧を構成します。

  • バンドル ID でアプリを追加 する: アプリ のバンドル ID を入力します。 Apple の Web サイトには、組み込みの Apple アプリの一覧があります。
  • ストア アプリの追加: Intune で以前に追加したストア アプリを選択します。 詳細については、「Add apps to Microsoft Intune」を参照してください。

• ステルス モードを有効にする

  コンピューターが要求のプロビリングに応答しなかったのを防ぐには、ステルス モードを有効にします。 デバイスは、承認されたアプリの受信要求に引き続き応答します。 ICMP (ping) などの予期しない要求は無視されます。

  • 構成されていません (既定)
  • はい

Gatekeeper

• これらの場所からダウンロードしたアプリを許可する

  アプリのダウンロード先に応じて、デバイスが起動できるアプリを制限します。 目的は、デバイスをマルウェアから保護し、信頼できるソースからのみアプリを許可する目的です。

  • 構成されていません (既定)
  • Mac の App Store
  • Mac App Store と特定された開発者
  • Anywhere

• ユーザーが Gatekeeper を上書きできない

  ユーザーが Gatekeeper 設定を上書きするのを防ぎ、ユーザーがアプリをインストールするためにクリックを制御する操作を行うのを防ぐ。 有効にすると、ユーザーは任意のアプリを Control-click してインストールできます。

  • 構成されていません (既定) - ユーザーは Control をクリックしてアプリをインストールできます。
  • [は い] - ユーザーが Control-click を使用してアプリをインストールするのを防ぐ。

次の手順

プロファイルを割り当て 、 その状態を監視します。

11 台のデバイスでエンドポイントWindows 10およびWindows構成することもできます。