Intuneの macOS 設定のデバイス コンプライアンス設定

この記事では、Intuneの macOS デバイスで構成できるさまざまなコンプライアンス設定の一覧と説明を行います。 モバイル デバイス管理 (MDM) ソリューションの一部として、これらの設定を使用して、OS の最小バージョンまたは最大バージョンを設定し、パスワードを期限切れに設定します。

この機能は、以下に適用されます:

• macOS

Intune管理者は、これらのコンプライアンス設定を使用して、組織のリソースを保護します。 コンプライアンス ポリシーとその機能の詳細については、「 デバイス コンプライアンスの概要」を参照してください。

開始する前に

コンプライアンス ポリシーを作成します。 [ プラットフォーム] で、[ macOS] を選択します。

注:

デバイス コンプライアンス評価は、ユーザーレス macOS デバイスではサポートされていません。

デバイスの正常性

• システム整合性保護を要求する
  • [未構成 ] (既定値) - この設定は、コンプライアンスまたはコンプライアンス違反に対して評価されません。
  • [必須] - macOS デバイスで システム整合性保護 を有効にする (Apple の Web サイトを開く) 必要があります。

デバイスのプロパティ

• 最低限必要な OS
  デバイスが OS の最小バージョン要件を満たしていない場合は、非準拠として報告されます。 アップグレード方法に関する情報を含むリンクが表示されます。 デバイス ユーザーは、デバイスのアップグレードを選択できます。 その後、organizationリソースにアクセスできます。

• 許可される OS の最大バージョン
  デバイスが規則のバージョンより後の OS バージョンを使用すると、organization リソースへのアクセスがブロックされます。 デバイス ユーザーは、IT 管理者に問い合わせるよう求められます。 OS バージョンを許可するようにルールが変更されるまで、デバイスはorganizationリソースにアクセスできません。

• OS ビルドの最小バージョン
  Apple がセキュリティ更新プログラムを発行すると、通常、ビルド番号は OS バージョンではなく更新されます。 この機能を使用して、デバイスで許可される最小ビルド番号を入力します。 Apple Rapid Security Response 更新プログラムの場合は、補助ビルド バージョン (など 22E772610a) を入力します。

• OS ビルドの最大バージョン
  Apple がセキュリティ更新プログラムを発行すると、通常、ビルド番号は OS バージョンではなく更新されます。 この機能を使用して、デバイスで許可される最大ビルド番号を入力します。 Apple Rapid Security Response 更新プログラムの場合は、補助ビルド バージョン (など 22E772610a) を入力します。

システム セキュリティ設定

Password

• モバイル デバイスのロックを解除するパスワードを要求する

  • 未構成 (既定値)
  • 必要 ユーザーは、デバイスにアクセスする前にパスワードを入力する必要があります。

• 単純なパスワード

  • 未構成 (既定値) - ユーザーは、1234 や 1111 のような単純なパスワードを作成できます。
  • ブロック - ユーザーは、1234 や 1111 などの単純なパスワードを作成できません。

• パスワードの最小文字数
  パスワードに必要な最小桁数または文字数を入力します。

• パスワードの種類
  パスワードに数字のみを含めるか、 数字 とその他の文字 (英数字) を混在させる必要があるかどうかを選択します。

• パスワード内の英数字以外の文字数
  パスワードに必要な、、#%!、&、などの特殊文字の最小数を入力します。

  数値を大きく設定するには、より複雑なパスワードを作成する必要があります。

• パスワードが要求されるまでの非アクティブの最長時間 (分)
  ユーザーがパスワードを再入力する前のアイドル時間を入力します。

• パスワードの有効期限 (日)
  パスワードの有効期限が切れるまでの日数を選択し、新しいパスワードを作成する必要があります。

• 再使用を禁止するパスワード世代数
  使用できない以前に使用したパスワードの数を入力します。

重要

macOS デバイスでパスワード要件が変更されると、次回ユーザーがパスワードを変更するまで有効になりません。 たとえば、パスワードの長さの制限を 8 桁に設定し、macOS デバイスに現在 6 桁のパスワードがある場合、デバイスは次回ユーザーがデバイスのパスワードを更新するまで準拠したままです。

暗号化

• デバイス上のデータ ストレージの暗号化
  • 未構成 (既定値)
  • [必須] - デバイス上のデータ ストレージを暗号化するために [必須] を使用します。

デバイスのセキュリティ

ファイアウォールは、未承認のネットワーク アクセスからデバイスを保護します。 ファイアウォールを使用して、アプリケーションごとに接続を制御できます。

• ファイアウォール

  • 未構成 (既定値) - この設定はファイアウォールをオフのままにし、ネットワーク トラフィックは許可されます (ブロックされていません)。
  • [有効] - [有効] を 使用して、未承認のアクセスからデバイスを保護します。 この機能を有効にすると、受信インターネット接続を処理し、ステルス モードを使用できます。

• 受信接続

  • 未構成 (既定値) - 受信接続と共有サービスを許可します。
  • [ブロック ] - DHCP、Bonjour、IPSec などの基本的なインターネット サービスに必要な接続を除き、すべての受信ネットワーク接続をブロックします。 この設定では、画面共有、リモート アクセス、iTunes 音楽共有など、すべての共有サービスもブロックされます。

• ステルス モード

  • [未構成 ] (既定値) - この設定は、ステルス モードをオフのままにします。
  • 有効にする - デバイスがプローブ要求に応答するのを防ぐために、ステルス モードをオンにします。これにより、悪意のあるユーザーになる可能性があります。 有効にすると、デバイスは承認されたアプリの受信要求に応答し続けます。

ゲートキーパー

詳細については、「 macOS のゲートキーパー (Apple の Web サイトを開く)」を参照してください。

• これらの場所からダウンロードしたアプリを許可する
  サポートされているアプリケーションをさまざまな場所からデバイスにインストールできるようにします。 位置情報オプション:

  • 未構成 (既定値) - ゲートキーパー オプションは、コンプライアンスまたはコンプライアンス違反に影響しません。
  • Mac App Store - Mac アプリ ストア用のアプリのみをインストールします。 サード パーティや特定された開発者からアプリをインストールすることはできません。 ユーザーが Gatekeeper を選択して Mac App Storeの外部にアプリをインストールした場合、デバイスは準拠していないと見なされます。
  • Mac App Storeおよび特定された開発者 - Mac アプリ ストアと特定された開発者のアプリをインストールします。 macOS は開発者の ID を確認し、アプリの整合性を確認するためのその他のチェックを行います。 ユーザーが Gatekeeper を選択してこれらのオプションの外部にアプリをインストールした場合、デバイスは準拠していないと見なされます。
  • 任意の場所 - アプリはどこからでも、任意の開発者がインストールできます。 このオプションは最も安全性が低いオプションです。

次の手順

• 非準拠デバイスのアクションを追加 し、 スコープ タグを使用してポリシーをフィルター処理します。
• コンプライアンス ポリシーを監視します。
• iOS デバイスのコンプライアンス ポリシー設定を参照してください。