Intune を使用して機能を許可または制限するように macOS デバイスを設定する

  • [アーティクル]

注:

Intune では、この記事に記載されている設定よりも多くの設定がサポートされている場合があります。 すべての設定が文書化されているわけではなく、今後も文書化されない可能性があります。 構成できる設定を確認するには、デバイス構成ポリシーを作成し、[設定カタログ] を選択します。 詳細については、「設定カタログ」を参照してください。

この記事では、macOS デバイスで制御および制限できる設定について説明します。 モバイル デバイス管理 (MDM) ソリューションの一部として、これらの設定を使用して、機能の許可または無効化、パスワード ルールの設定などを行います。

この機能は、以下に適用されます:

  • macOS

これらの設定は、Intune のデバイス構成プロファイルに追加されてから macOS デバイスに割り当てまたは展開されます。

注:

ユーザー インターフェイスは、この記事の登録の種類と一致しない場合があります。 この記事に記載されている情報が正しい情報です。 ユーザー インターフェイスは、今後のリリースで更新される予定です。

ヒント

これらの設定は、Apple の制限設定を使用します。 これらの設定の詳細については、「Apple のモバイル デバイス管理設定サイト (Apple の Web サイトが開きます)」を参照してください。

開始する前に

macOS デバイス制限構成プロファイルを作成します。

注:

これらの設定は、さまざまな登録の種類に適用されます。 さまざまな登録の種類の詳細については、「macOS の登録」を参照してください。

App Store、ドキュメントの表示、ゲーム

設定適用: デバイスの自動登録 (監視対象)

  • Game Center のフレンドの追加をブロックする: [はい] に設定すると、ユーザーは Game Center にフレンドを追加できなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS がユーザーに対して Game Center へのフレンドの追加を許可する可能性があります。

    この機能は、以下に適用されます。

    • macOS 10.13 以降

  • Game Center をブロックする: [はい] に設定すると、Game Center が無効化され、Game Center アイコンがホーム画面から削除されます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS がユーザーに対して Game Center の利用を許可する可能性があります。

    この機能は、以下に適用されます。

    • macOS 10.13 以降

  • Game Center でマルチプレイヤー ゲームをブロックする: [はい] に設定すると、Game Center を使用する際にマルチプレイヤー ゲームを利用できなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS がユーザーに対してマルチプレイヤー ゲームのプレイを許可する可能性があります。

    この機能は、以下に適用されます。

    • macOS 10.13 以降

組み込みアプリ

設定適用: すべての登録の種類

  • Safari の自動入力をブロックする: [はい] に設定すると、デバイス上の Safari の自動入力機能を無効にします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS では、ユーザーが Web ブラウザーでオートコンプリート設定を変更できる場合があります。

  • カメラの使用をブロックする: [はい] に設定すると、デバイス上のカメラへのアクセスを防止します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はデバイスのカメラへのアクセスを許可する場合があります。

    Intune は、デバイスのカメラへのアクセスのみを管理します。 写真やビデオにはアクセスできません。

  • Apple Music をブロックする: [はい] に設定すると Music アプリがクラシック モードに戻り、Music のサービスが無効化されます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は Apple Music アプリの使用を許可する場合があります。

  • スポットライトの提案をブロックする: [はい] に設定すると、スポットライトがインターネット検索から結果を返すのを停止します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS がスポットライト検索がインターネットに接続して検索結果を取得することを許可する可能性があります。

  • Finder または iTunes を使用したファイル転送をブロックする: [はい] に設定すると、アプリケーションのファイル共有サービスが無効化されます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS がアプリケーション ファイル共有サービスを許可する可能性があります。

    この機能は、以下に適用されます。

    • macOS 10.13 以降

クラウドとストレージ

設定適用: すべての登録の種類

  • iCloud キーチェーンの同期をブロックする: [はい] に設定すると、キーチェーンに格納されている資格情報を iCloud に同期を無効にします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はユーザーがこれらの設定を変更し、メッセージを同期することを許可する場合があります。

  • iCloud ドキュメントとデータの同期をブロックする: [はい] に設定すると、iCloud がドキュメントとデータを同期できなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はドキュメントとキー値の同期を iCloud ストレージ領域に対して許可する場合があります。

  • iCloud のメール バックアップをブロックする: [はい] に設定すると、iCloud が macOS のメール アプリと同期できなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS が iCloud へのメールの同期を許可する可能性があります。

  • iCloud の連絡先バックアップをブロックする: [はい] に設定すると、iCloud がデバイスの連絡先を同期できなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS が iCloud を使用した連絡先の同期を許可する可能性があります。

  • iCloud のカレンダーのバックアップをブロックする: [はい] に設定すると、iCloud が macOS のカレンダー アプリと同期できなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS が iCloud へのカレンダーの同期を許可する可能性があります。

  • iCloud のリマインダー バックアップをブロックする: [はい] に設定すると、iCloud が macOS のリマインダー アプリに同期できなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS が iCloud へのリマインダーの同期を許可する可能性があります。

  • iCloud のブックマーク バックアップをブロックする: [はい] に設定すると、iCloud がデバイスのブックマークを同期できなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS が iCloud へのブックマークの同期を許可する可能性があります。

  • iCloud のメモ バックアップをブロックする: [はい] に設定すると、iCloud がデバイスのメモを同期できなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS が iCloud へのメモの同期を許可する可能性があります。

  • iCloud の写真バックアップをブロックする: [はい] に設定すると iCloud フォト ライブラリが無効化され、iCloud がデバイスの写真を同期できなくなります。 iCloud フォト ライブラリからデバイスへと完全にダウンロードされていない写真は、デバイスのローカル ストレージから削除されます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS がデバイスと iCloud フォト ライブラリの間での写真の同期を許可する可能性があります。

  • ハンドオフをブロックする: この機能を使用すると、ユーザーは macOS デバイスで作業を開始し、別の iOS/iPadOS または macOS デバイスで開始した作業を続行できるようになります。 [はい] に設定すると、デバイスでハンドオフ機能を使用できなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS がデバイスでこの機能を許可する可能性があります。

    この機能は、以下に適用されます。

    • macOS 10.15 以降

設定の適用対象: ユーザーが承認したデバイスの登録、デバイスの自動登録 (監視対象モード)

  • iCloud プライベート リレーをブロックする: [はい] に設定すると、iCloud プライベート リレーを無効にします。 無効にすると、Apple はデバイスを離れるインターネット トラフィックを暗号化しません。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS でこの機能が許可される場合があります。これにより、ネットワークとサーバーはインターネット上でユーザーのアクティビティを監視できません。

    この機能は、以下に適用されます。

    • macOS 12 以降

    iCloud プライベート リレー (Apple の Web サイトが開きます)

接続中のデバイス

設定適用: すべての登録の種類

  • AirDrop をブロック: [はい] に設定すると、デバイス での AirDrop の使用を防止します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は AirDrop 機能を使用して近くのデバイスとコンテンツを交換できる場合があります。
  • Apple Watch によるロックの自動解除をブロックする: [はい] に設定すると、ユーザーは Apple Watch を使用して macOS デバイスのロックを解除できなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS がユーザーに対して Apple Watch を使用した macOS デバイスのロックの解除を許可する可能性があります。

ドメイン

設定適用: すべての登録の種類

  • マークされていないメール ドメイン: 一覧に 1 つ以上のメール ドメイン URL を入力します。 ユーザーが追加したドメイン以外のドメインからメールを送信または受信すると、macOS メール アプリでメールが信頼されていないとしてマークされます。

全般

設定適用: すべての登録の種類

  • ルックアップをブロックする: [はい] に設定すると、ユーザーは単語をハイライトしてからデバイスでその定義を検索することができなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS が定義のルックアップ機能を許可する可能性があります。

  • 音声入力をブロックする: [はい] に設定すると、ユーザーが音声入力を使用してテキストを入力するのを停止します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS では、ユーザーがディクテーション入力を使用できる場合があります。

  • コンテンツ キャッシュをブロックする: [はい] に設定すると、コンテンツ キャッシュが無効化されます。 コンテンツ キャッシュは、アプリのデータ、Web ブラウザーのデータ、ダウンロード項目などをデバイスのローカルに保存します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS がコンテンツ キャッシュを有効化する可能性があります。

    macOS でのコンテンツ キャッシュの詳細については、「Manage content caching on Mac (Mac でコンテンツ キャッシュを管理する) (別の Web サイトが開きます)」を参照してください。

    この機能は、以下に適用されます。

    • macOS 10.13 以降

  • スクリーンショットと画面記録をブロックする: [はい] に設定すると、ユーザーはディスプレイのスクリーンショットを保存できなくなります。 また、Classroom アプリからリモート画面を監視することもできなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS がユーザーに対してスクリーンショットのキャプチャや Classroom アプリでのリモート画面の表示を許可する可能性があります。

設定の適用対象: ユーザーが承認したデバイスの登録、デバイスの自動登録 (監視対象モード)

  • ソフトウェア更新プログラムを延期する: この設定を有効にすると、デバイスでのソフトウェア更新プログラムの表示を最大 90 日間延期できるようになります。 たとえば、Apple が特定の日付に macOS の更新プログラムをリリースした場合、この表示はリリース日の前後にデバイスに自然に表示されます。 この設定では、更新プログラムを非表示にし、使用可能になったタイミングですぐにユーザーに表示しないようにすることができます。

    この設定は更新プログラムがインストールされるタイミングを制御せず、スケジュール設定された更新プログラムには影響を与えません。 シード ビルドの更新は、遅延することなく許可されます。

    この設定を使用するには、遅延させるソフトウェア更新プログラムを選択します。 次のようなオプションがあります。

    • 未構成 (既定): Intune では、この設定は変更または更新されません。 規定では、OS がリリース後すぐに新しくリリースされたソフトウェア更新プログラムをユーザーに表示する可能性があります。
    • メジャーな OS ソフトウェア更新プログラム: macOS 12 などのメジャーな OS ソフトウェア更新プログラムは、[メジャーな OS ソフトウェア更新プログラムの表示の遅延] フィールドで特に指定されていない限りは既定で 30 日間延期されます。 macOS 11.3 以降が必要です。
    • マイナーな OS ソフトウェア更新プログラム: macOS 12.x などのマイナーな OS ソフトウェア更新プログラムは、[マイナーな OS ソフトウェア更新プログラムの表示の遅延] フィールドで特に指定されていない限りは既定で 30 日間延期されます。 macOS 11.3 以降が必要です。
    • OS 以外のソフトウェア更新プログラム: Safari の更新プログラムなどの OS 以外のソフトウェア更新プログラムは、[OS 以外のソフトウェア更新プログラムの表示の遅延] フィールドで特に指定されていない限りは既定で 30 日間延期されます。 macOS 11.0 以降が必要です。

    次に、それぞれの更新の種類を遅延させる期間を 1 日から 90 日の間で入力します。 たとえば、macOS の更新プログラムが 1 月 1 日に利用可能になり、表示の遅延が 5 日に設定されている場合、更新プログラムは利用可能なアップデートとして表示されません。 リリースの 6 日後にその更新プログラムが利用可能になり、遅延がトリガーされた時点で利用可能な最も古いバージョンに更新するようにユーザーに通知が行われます。 次のようなオプションがあります。

    • ソフトウェア更新プログラムの既定の表示を遅延させる: すべてのソフトウェア更新プログラムを遅延させる日数を 1 から 90 の間で入力します。 何も入力しない場合、更新プログラムは既定で 30 日間延期されます。 メジャーな OS ソフトウェア更新プログラム、マイナーな OS ソフトウェア更新プログラム、または OS 以外のソフトウェア更新プログラムを個別に遅延させる場合、Intune はこの値をオーバーライドします。

    • メジャーな OS ソフトウェア更新プログラムの表示を遅延させる: すべてのメジャーな OS ソフトウェア更新プログラムを遅延させる日数を 1 から 90 の間で入力します。 何も入力しない場合、更新プログラムは既定で 30 日間延期されます。 この値は、ソフトウェア更新プログラムの既定の表示の遅延] の値をオーバーライドします。

      この機能は、以下に適用されます。

      • macOS 11.3 以降

    • マイナーな OS ソフトウェア更新プログラムの表示を遅延させる: すべてのマイナーな OS ソフトウェア更新プログラムを遅延させる日数を 1 から 90 の間で入力します。 何も入力しない場合、更新プログラムは既定で 30 日間延期されます。 この値は、ソフトウェア更新プログラムの既定の表示の遅延] の値をオーバーライドします。

      この機能は、以下に適用されます。

      • macOS 11.3 以降

    • OS 以外のソフトウェア更新プログラムの表示を遅延させる: すべての OS 以外のソフトウェア更新プログラムを遅延させる日数を 1 から 90 の間で入力します。 何も入力しない場合、更新プログラムは既定で 30 日間延期されます。 この値は、ソフトウェア更新プログラムの既定の表示の遅延] の値をオーバーライドします。

      この機能は、以下に適用されます。

      • macOS 11.0 以降

    • ライセンス認証ロックを許可する: [はい] に設定すると、監視対象の macOS デバイスでライセンス認証ロックを有効にします。 ライセンス認証ロックを使用すると、紛失したデバイスや盗まれたデバイスを再アクティブ化するのが難しくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

      この機能は、以下に適用されます。

      • macOS 10.15 以降

設定の適用対象: デバイスの自動登録

  • AirPlay を無効にし、Classroom アプリで画面を表示し、画面共有を行う: [はい] に設定すると、AirPlay をブロックし、他のデバイスへの画面共有を無効化します。 また、教師が Classroom アプリを使用して学生の画面を表示することもできなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS が教師に対して学生の画面の表示を許可する可能性があります。

    この設定を使用するには、[スクリーンショットと画面記録をブロックする] 設定を [未構成] に設定します (スクリーンショットは許可されます)。

  • Classroom アプリがプロンプト表示なしで AirPlay と表示画面を実行できるように許可する: [はい] に設定すると、教師は生徒の同意がなくても生徒の画面を表示できるようになります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS が教師が画面を表示する前に学生に対して同意を求める可能性があります。

    この設定を使用するには、[スクリーンショットと画面記録をブロックする] 設定を [未構成] に設定します (スクリーンショットは許可されます)。

  • Classroom アプリの管理されていないクラスを離脱する際に教師の許可を必要にする: [はい] に設定すると、管理されていない Classroom のコースに登録されている学生は、コースを離脱する際に教師の承認を得なければいけなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS が学生が選択した場合に学生によるコースからの離脱を許可する可能性があります。

  • Classroom でメッセージを表示せずにデバイスをロックできるようにする: [はい] に設定すると、教師は学生の承認なしに学生のデバイスまたはアプリをロックできるようになります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS が教師がデバイスまたはアプリをロックする前に学生に対して同意を求める可能性があります。

  • 学生はプロンプト表示なしで Classroom のクラスに自動的に参加できる: [はい] に設定すると、学生は教師にプロンプト表示することなくクラスに参加できるようになります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS がクラスに参加するための教師による承認を要求する可能性があります。

  • 壁紙の変更をブロックする: [はい] に設定すると、ユーザーがデバイスの壁紙を変更できなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS がユーザーに対してデバイスの壁紙の変更を許可する可能性があります。

    この機能は、以下に適用されます。

    • macOS 10.13 以降

  • ユーザーがデバイス上のすべてのコンテンツと設定を消去できないようにする: [はい] に設定すると、監視対象デバイスのリセット オプションが無効化されます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS がユーザーに対してデバイス上のすべてのコンテンツおよび設定の消去を許可する可能性があります。

    この機能は、以下に適用されます。

    • macOS 12 以降

Password

これらの設定では、「パスコード ペイロード (Apple の Web サイトが開きます)」が使用されます。

重要

  • 10.14.2 以降を実行している macOS デバイス (macOS 10.15 Catalina のすべてのバージョンを除く) では、デバイスが新しいメジャー OS バージョンに更新される際にデバイスのパスワードの変更を求められます。 このパスワードの更新は 1 回行われます。 ユーザーがパスワードを更新すると、その他のパスワード ポリシーが強制されます。 少なくとも 1 つのポリシーでパスコードが必要な場合、この動作はローカル コンピューターのユーザーに対してのみ発生します。

  • パスワード ポリシーが更新されるたびに、これらの macOS バージョンを実行しているすべてのユーザーは現在のパスワードが新しい要件に準拠している場合でもパスワードを変更する必要があります。 たとえば、Big Sur (macOS 11) や Monterey (macOS 12) などの新しいメジャー OS バージョンにアップグレードした後に macOS デバイスを起動する場合、ユーザーはサインインする前にデバイス パスワードを変更する必要があります。

設定適用: すべての登録の種類

  • パスワードを要求: [はい] に設定すると、ユーザーがデバイスにアクセスするためにパスワードを入力する必要があります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS がパスワードを要求しない可能性があります。 また、単純なパスワードのブロックや最小長の設定など、制限が強制されることはありません。

    • 必須のパスワードの種類: 組織で必要なパスワードの複雑さのレベルを要求します。 空白のままにすると、Intune はこの設定を変更または更新しません。 次のようなオプションがあります。

      • 未構成: デバイスの既定値を使用します。
      • 英数字: 大文字、小文字、および数字を含みます。
      • 数値: パスワードには 123456789 などの数字のみが指定可能になります。

      この機能は、以下に適用されます。

      • macOS 10.10.3 以降

    • パスワードに含まれる英数字以外の文字数: パスワードに必要な複合文字の数を 0 から 4 の間で入力します。 複合文字は、?などの記号です。 空欄または [未構成] に設定すると、Intune ではこの設定が変更または更新されなくなります。

    • 最小パスワードの長さ: パスワードに必要な最小の長さを 4 ~ 16 文字で入力します。 空白のままにすると、Intune はこの設定を変更または更新しません。

    • 単純なパスワードをブロックする: [はい] に設定すると、00001234 などの単純なパスワードが使用できなくなります。 値を空欄または [未構成] に設定すると、Intune ではこの設定が変更または更新されなくなります。 既定では、OS が単純なパスワードを許可する可能性があります。

    • 画面がロックされるまでの非アクティブの最大分数: 画面が自動でロックされる前にデバイスがアイドル状態になる時間の長さを入力します。 たとえば、5 と入力して、アイドル状態から 5 分後にデバイスをロックします。 値を空欄または [未構成] に設定すると、Intune ではこの設定が変更または更新されなくなります。

    • パスワードが必要になるまでの画面ロック後の最大分数: ロックの解除にパスワードが必要になるまでのデバイスが非アクティブになる時間の長さを入力します。 値を空欄または [未構成] に設定すると、Intune ではこの設定が変更または更新されなくなります。

    • パスワードの有効期限 (日数): デバイスのパスワードを変更するまでの日数を 1 から 65535 の範囲内で入力します。 たとえば、90 と入力して、90 日後にパスワードを期限切れにします。 パスワードの有効期限が切れると、ユーザーは新しいパスワードの作成を求められます。 値を空欄または [未構成] に設定すると、Intune ではこの設定が変更または更新されなくなります。

    • 以前のパスワードの再利用を防ぐ: ユーザーが以前に使用したことのあるパスワードを作成できないようにします。 以前に使用した使用できないパスワードの数を 1 ~ 24 の範囲で入力します。 たとえば、5 と入力すると、ユーザーは新しいパスワードを現在のパスワードまたは以前の 4 つのパスワードのいずれにも設定できなくなります。 値が空白の場合、Intune はこの設定を変更または更新しません。

    • 許可される最大サインイン試行回数: デバイスがユーザーをロックアウトするまでにユーザーが連続してサインインを試行できる回数の最大値を 2 から 11 の範囲内で入力します。 この回数を超えるとデバイスはロックされます。 この値は、32 などの低い数値に設定しないようにすることをお勧めします。 間違ったパスワードの入力は頻繁に発生します。 より大きな値に設定することをお勧めします。

      たとえば、5 と入力すると、ユーザーは間違ったパスワードを最大 5 回入力できるようになります。 5 回目の試行後、デバイスはロックされます。 この値を空欄のままにするか、または変更しない場合には、11 が既定値として使用されます。

      6 回目の試行が失敗した後、macOS はパスコードの再入力の前に自動で時間の遅延を強制します。 試行回数が増えるたびに遅延が増加します。 ロックアウトの期間を設定して、次のパスコードを入力できるようになるまでの遅延時間を追加します。

      • ロックアウトの期間: ロックアウトが継続する分数を 0 から 10000 までの間で入力します。 デバイスのロックアウト中はサインイン画面は非アクティブになり、ユーザーはサインインできません。 ロックアウトが終了すると、ユーザーはもう一度サインインを試みることができるようになります。

        この値を空白のままにするか、または変更しない場合には 30 分が規定値として使用されます。

        この設定は、以下の場合に適用されます。

        • macOS 10.10 以降

  • ユーザーによるパスコードの変更をブロックする: [はい] に設定すると、パスコードの変更、追加、削除が停止されます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はパスコードの追加、変更、または削除を許可する場合があります。

  • タッチ ID をブロックしてデバイスのロックを解除する: [はい] に設定すると、指紋を使用してデバイスのロックを解除できなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS がユーザーに対して生体認証を使用したデバイスのロックの解除を許可する可能性があります。

  • タイムアウト (非アクティブな時間): ユーザーが TouchID ではなくパスワードを入力する必要がある非アクティブ時間の値を入力します。

    既定の非アクティブ期間は 48 時間です。 48 時間操作がないと、デバイスは Touch ID の代わりにパスワードの入力を求めます。

    [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS がタイムアウトを 48 時間 (172,800 秒) に設定する可能性があります。

    この機能は、以下に適用されます。

    • macOS 12 以降

  • パスワードの自動入力をブロックする: [はい] に設定すると、macOS でパスワードの自動入力機能を使用できなくなります。 [はい] を選択 すると、次の影響も受け取る可能性があります。

    • ユーザーは、Safari または任意のアプリで保存されたパスワードを使用するように求めされません。
    • 自動の強力なパスワードは無効になり、強力なパスワードはユーザーに提案されません。

    [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はこれらの通知を許可する場合があります。

  • パスワードの近接要求をブロックする: [はい] を指定すると、デバイスは近くのデバイスからのパスワードを要求できません。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はこれらの通知を許可する場合があります。

  • パスワード共有をブロックする: [はい] に設定すると、AirDrop を使用してデバイス間でパスワードを共有できなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はパスワードの共有を許可する場合があります。

プライバシーの設定

macOS デバイスでは、アプリやプロセスが、カメラ、マイク、カレンダー、ドキュメント フォルダーなどのデバイス機能へのアクセスの許可または拒否をユーザーに求める場合がよくあります。 これらの設定を使用すると、管理者はこれらのデバイス機能へのアクセスを事前に承認または拒否できるようになります。 これらの設定を構成する場合には、ユーザーに代わってあなたがデータ アクセスの同意を管理します。 あなたの設定は、以前の決定をオーバーライドします。

これらの設定の目的は、アプリやプロセスによるプロンプト表示の数を減らすことにあります。

この機能は、以下に適用されます。

  • macOS 10.14 以降
  • 一部の設定は、macOS 10.15 以降で適用されます。
  • これらの設定は、アップグレードの前にプライバシー設定プロファイルがインストールされているデバイスにのみ適用されます。

注:

ポリシーを使用してアプリを許可する場合、これらのアプリはデバイスのシステム設定 (プライバシー + セキュリティ) には表示されません。 エンド ユーザーが手動で許可したアプリのみが表示されます。

設定の適用対象: ユーザーが承認したデバイス登録、デバイスの自動登録

  • アプリとプロセス: アクセスを構成するアプリまたはプロセスを追加します。 また、以下の内容も入力します。

    • [名前]: アプリまたはプロセスの名前を入力します。 たとえば、「Microsoft Remote Desktop」または「Microsoft 365」と入力します。

    • 識別子の種類: オプション:

      • バンドル ID: アプリの場合には、このオプションを選択します。
      • パス: このオプションは、プロセスまたは実行可能ファイルであるバンドルされていないバイナリの場合に選択します。

      アプリケーション バンドル内に埋め込まれたヘルパー ツールは、内包するアプリケーション バンドルのアクセス許可を自動的に継承します。

    • 識別子: アプリのバンドル ID、またはプロセスまたは実行可能ファイルのインストール ファイル パスを入力します。 たとえば、「com.contoso.appname」と入力します。

      アプリのバンドル ID を取得するには、ターミナル アプリを開き、codesign コマンドを実行します。 このコマンドは、コード署名を識別します。 そのため、バンドル ID とコード署名を同時に取得できます。

    • コード要件: アプリケーションまたはプロセスのコード署名を入力します。

      コード署名は、アプリまたはバイナリがデベロッパー証明書によって署名される際に作成されます。 指定を見つけるには、ターミナル アプリで以下の codesign コマンドを手動で実行します: codesign --display -r - /path/to/app/binary。 コード署名は、=> の後に表示されているものすべてです。

    • 静的コード検証を有効にする: [はい] を選択すると、アプリまたはプロセスでコード要件を静的に検証します。 [未構成] に設定すると、Intune では、この設定は変更または更新されません。

      この設定は、プロセスによって動的なコード署名が無効化されている場合にのみ有効化します。 それ以外の場合には、[未構成] を使用します。

    • カメラをブロックする: [はい] に設定すると、アプリがシステム カメラにアクセスできなくなります。 カメラへのアクセスを許可することはできません。 [未構成] に設定すると、Intune では、この設定は変更または更新されません。

    • マイクをブロックする: [はい] に設定すると、アプリがシステム マイクにアクセスできなくなります。 マイクへのアクセスを許可することはできません。 [未構成] に設定すると、Intune では、この設定は変更または更新されません。

    • 画面記録をブロックする: [はい] に設定すると、アプリによるシステム ディスプレイの内容のキャプチャをブロックします。 画面記録と画面キャプチャへのアクセスを許可することはできません。 [未構成] に設定すると、Intune では、この設定は変更または更新されません。

      macOS 10.15 以降が必要です。

    • 入力の監視をブロックする: [はい] に設定すると、アプリによる CoreGraphics API と HID API を使用したすべてのプロセスからの CGEvents および HID イベントのリッスンをブロックします。 [はい] に設定すると、アプリとプロセスによる、マウス、キーボード、トラックパッドなどの入力デバイスからのデータのリッスンおよび収集も拒否されます。 CoreGraphics および HID API へのアクセスを許可することはできません。

      [未構成] に設定すると、Intune では、この設定は変更または更新されません。

      macOS 10.15 以降が必要です。

    • 音声認識: オプション:

      • [未構成]: Intune では、この設定は変更または更新されません。
      • 許可: アプリがシステムの音声認識にアクセスし、音声データを Apple に送信できるようにします。
      • ブロック: アプリがシステムの音声認識にアクセスできないようにし、音声データを Apple に送信できないようにします。

      macOS 10.15 以降が必要です。

    • アクセシビリティ: オプション:

      • [未構成]: Intune では、この設定は変更または更新されません。
      • 許可: アプリがシステムのアクセシビリティ アプリにアクセスできるようにします。 このアプリには、クローズド キャプション、ホバー テキスト、音声コントロールが含まれています。
      • ブロック: アプリがシステムのアクセシビリティ アプリにアクセスできないようにします。

    • 連絡先: オプション:

      • [未構成]: Intune では、この設定は変更または更新されません。
      • 許可: アプリがシステムの連絡先アプリによって管理される連絡先情報にアクセスできるようにします。
      • ブロック: アプリがこの連絡先情報にアクセスできないようにします。

    • カレンダー: オプション:

      • [未構成]: Intune では、この設定は変更または更新されません。
      • 許可: アプリがシステムのカレンダー アプリによって管理されるカレンダー情報にアクセスできるようにします。
      • ブロック: アプリがこのカレンダー情報にアクセスできないようにします。

    • リマインダー: オプション:

      • [未構成]: Intune では、この設定は変更または更新されません。
      • 許可: アプリがシステムのリマインダー アプリによって管理されるリマインダー情報にアクセスできるようにします。
      • ブロック: アプリがこのリマインダー情報にアクセスできないようにします。

    • 写真: オプション:

      • [未構成]: Intune では、この設定は変更または更新されません。
      • 許可: アプリが ~/Pictures/.photoslibrary にあるシステムの写真アプリによって管理されている画像にアクセスできるようにします。
      • ブロック: アプリがこれらの写真にアクセスできないようにします。

    • メディア ライブラリ: オプション:

      • [未構成]: Intune では、この設定は変更または更新されません。
      • 許可: アプリが Apple ミュージック、音楽やビデオ アクティビティ、メディア ライブラリにアクセスできるようにします。
      • ブロック: アプリがこのメディアにアクセスできないようにします。

      macOS 10.15 以降が必要です。

    • ファイル プロバイダーのプレゼンス: オプション:

      • [未構成]: Intune では、この設定は変更または更新されません。
      • 許可: アプリがファイル プロバイダー アプリにアクセスし、ユーザーがファイル プロバイダーによって管理されているファイルを使用するタイミングを知ることができるようにします。 ファイル プロバイダー アプリを使用すると、他のファイル プロバイダー アプリは、それを含むアプリによって保存および管理されているドキュメントやディレクトリにアクセスできるようになります。
      • ブロック: アプリがファイル プロバイダー アプリにアクセスできないようにします。

      macOS 10.15 以降が必要です。

    • フル ディスク アクセス: オプション:

      • [未構成]: Intune では、この設定は変更または更新されません。
      • 許可: アプリがシステム管理ファイルを含むすべての保護されたファイルにアクセスできるようにします。 この設定は注意して適用してください。
      • ブロック: アプリがこれらの保護されたファイルにアクセスできないようにします。

    • システム管理ファイル: オプション:

      • [未構成]: Intune では、この設定は変更または更新されません。
      • 許可: アプリがシステムの管理で使用される一部のファイルにアクセスできるようにします。
      • ブロック: アプリがこれらのファイルにアクセスできないようにします。

    • デスクトップ フォルダー: オプション:

      • [未構成]: Intune では、この設定は変更または更新されません。
      • 許可: アプリがユーザーのデスクトップ フォルダーにあるファイルにアクセスできるようにします。
      • ブロック: アプリがこれらのファイルにアクセスできないようにします。

      macOS 10.15 以降が必要です。

    • ドキュメント フォルダー: オプション:

      • [未構成]: Intune では、この設定は変更または更新されません。
      • 許可: アプリがユーザーのドキュメント フォルダーにあるファイルにアクセスできるようにします。
      • ブロック: アプリがこれらのファイルにアクセスできないようにします。

      macOS 10.15 以降が必要です。

    • ダウンロード フォルダー: オプション:

      • [未構成]: Intune では、この設定は変更または更新されません。
      • 許可: アプリがユーザーのダウンロード フォルダーにあるファイルにアクセスできるようにします。
      • ブロック: アプリがこれらのファイルにアクセスできないようにします。

      macOS 10.15 以降が必要です。

    • ネットワーク ボリューム: オプション:

      • [未構成]: Intune では、この設定は変更または更新されません。
      • 許可: アプリがネットワーク ボリュームにあるファイルにアクセスできるようにします。
      • ブロック: アプリがこれらのファイルにアクセスできないようにします。

      macOS 10.15 以降が必要です。

    • リムーバブル ボリューム: オプション:

      • [未構成]: Intune では、この設定は変更または更新されません。
      • 許可: アプリがハード ディスクなどのリムーバブル ボリュームにあるファイルにアクセスできるようにします。
      • ブロック: アプリがこれらのファイルにアクセスできないようにします。

      macOS 10.15 以降が必要です。

    • システム イベント: オプション:

      • [未構成]: Intune では、この設定は変更または更新されません。
      • 許可: アプリが CoreGraphics API を使用して CGEvents をシステムのイベント ストリームに送信できるようにします。
      • ブロック: アプリが CoreGraphics API を使用して CGEvents をシステムのイベント ストリームに送信できないようにします。

    • Apple イベント: この設定により、アプリは制限付き Apple イベントを別のアプリまたはプロセスに送信できるようになります。 [追加] を選択して、受信するアプリまたはプロセスを追加します。 受信するアプリまたはプロセスの以下の情報を入力します。

      • 識別子の種類: 受信する識別子がアプリケーションの場合は、[バンドル ID] を選択します。 受信する識別子がプロセスまたは実行可能ファイルの場合は、[パス] を選択します。

      • 識別子: アプリのバンドル ID、または Apple イベントを受信するプロセスのインストール パスを入力します。

      • コード要件: 受信するアプリケーションまたはプロセスのコード署名を入力します。

        コード署名は、アプリまたはバイナリがデベロッパー証明書によって署名される際に作成されます。 指定を見つけるには、ターミナル アプリで以下の codesign コマンドを手動で実行します: codesign --display -r -/path/to/app/binary。 コード署名は、=> の後に表示されているものすべてです。

      • アクセス: macOS が Apple イベントを受信するアプリまたはプロセスに送信できるようにします。 次のようなオプションがあります:

        • [未構成]: Intune では、この設定は変更または更新されません。
        • 許可: アプリまたはプロセスが、制限付き Apple イベントを受信するアプリまたはプロセスに送信できるようにします。
        • ブロック: アプリまたはプロセスが、受信するアプリまたはプロセスに制限付き Apple イベントを送信できないようにします。

    • 変更内容を保存します。

制限されたアプリ

設定適用: すべての登録の種類

制限付きのアプリ設定では、ユーザーが特定のアプリをインストールして開くことができなくなるわけではありません。 代わりに、制限付きアプリがインストールされているデバイスは、Intune 管理センター ([デバイス]>[モニター]) にある制限付きアプリを持つデバイス レポートを設定します。

  • 制限付きアプリの一覧の種類: ユーザーがインストールまたは使用できないアプリの一覧を作成します。 次のようなオプションがあります。

    • 未構成 (既定): Intune では、この設定は変更または更新されません。 既定では、OS が割り当てるアプリや組み込みのアプリへのアクセスを許可する可能性があります。

    • 承認済みアプリ: ユーザーがインストールできるアプリを一覧表示します。 ユーザーがその他のアプリをインストールすることはできません。 ユーザーが許可されていないアプリをインストールすると、Intune で報告されます。 ポータル サイト アプリなど、Intune によって管理されるアプリは自動的に許可されます。 ユーザーは、承認済みリストにないアプリをインストールすることを妨げられません。

      承認済みアプリの一覧にないアプリがインストールされている場合、制限付きアプリの設定でエラーが報告されます。

    • 禁止されているアプリ: ユーザーがインストールと実行を許可されていないアプリ (Intune によって管理されていない) を一覧表示します。 禁止されているアプリをユーザーがインストールすることを防ぐことはできません。 ユーザーがこの一覧からアプリをインストールすると、Intune で報告されます。

      禁止されているアプリの一覧に記載されているアプリがインストールされている場合、制限付きアプリの設定でエラーが報告されます。

  • アプリの一覧: アプリを一覧に追加します。

    • アプリのバンドル ID: アプリのバンドル ID を入力します。 組み込みのアプリや業務用のアプリを追加できます。 Apple の Web サイトには、組み込みの Apple アプリの一覧があります。

      macOS アプリのバンドル ID を見つけるには、ターミナル アプリを開いて AppleScript (osascript -e 'id of app "AppName"') を使用します。

      アプリの URL を見つけるには、iTunes App Store を開き、アプリを検索します。 たとえば、Microsoft Remote Desktop または Microsoft Word というメッセージを探してみてください。 アプリを選択し、URL をコピーします。 iTunes を使用してアプリを検索し、[リンクのコピー] タスクを使用してアプリの URL を取得することもできます。

    • アプリ名: バンドル ID の識別に役立つわかりやすい名前を入力します。 たとえば、「Intune Company Portal app」と入力します。

    • 発行元: アプリの発行元の名前を入力します。

  • URL を含むアプリの詳細を含む CSV ファイルをインポートします。 <app bundle ID>, <app name>, <app publisher> 演算子は次の形式で使用します。 または、[エクスポート] をクリックして追加したアプリの一覧を同じ形式で作成します。

次の手順

プロファイルを割り当てその状態を監視します。

macOS デバイスのデバイス機能と設定を制限することもできます。