見出し画像

Jamf Pro の「アプリケーションとカスタム設定」でつくる 構成プロファイルの小ワザ

Magic Hat Tech Blog

はじめに

mac 管理のスタンダードとなっている 『 Jamf Pro 』をつかって、セキュリティや業務利用の観点で制限することが多い機能をコントロールする小ワザをお伝えします。

mac の機能制限は、構成プロファイルの「制限」ペイロードを使用して行うことが多いですが、今回ご紹介する対象は、Jamf Pro の構成プロファイルの「制限」ペイロードに設定用の GUI が用意されていない機能です。
それらは、「アプリケーションとカスタム設定」ペイロードから plist ファイルを使ってコントロールします。


今回の設定対象

  1. iCloud 写真を無効化

  2. Siri を無効化

  3. 「探す」を無効化

  4. iPhone ( iPad ) 接続時にFinder に「ファイル」タブを表示させない

では、早速始めましょう。

1. iCloud 写真を無効化

Jamf Pro の構成プロファイルの制限ペイロードの GUI には iCloud 写真を無効化する設定がありません。でも、諦めるのはまだ早いです。

Appleの Configuration Profile Reference のRestrictions ペイロードのページにある KEY  allowCloudPhotoLibrary を false に設定して  iCloud 写真を無効化します。

お好きなエディタソフトを使用して下記の plist ファイルを作成してください。
※ plist ファイルはリンク先から取得していただいても結構です。

例) DisableCloudPhotoLibrary.plist  (ファイル名は任意のもので OK)

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
  <dict>
    <key>allowCloudPhotoLibrary</key>
    <false/>
  </dict>
</plist>

作成した plist ファイルを「アプリケーションとカスタム設定」ペイロードの「アップロード」からアップロードします。

環境設定ドメイン : com.apple.applicationaccess
プロパティリスト : 作成した.plistをアップロード

iCloud 写真を無効化する設定

適用後は、iCloud 写真 がグレーアウトして利用できなくなります。

iCloud 写真が無効化されている

2. Siriを無効化

個人で利用する分には便利な Siri ですが、業務端末では有効にしたくないというニーズも多いと思います。
ただ、残念ながらこちらも制限ペイロードの GUI には設定箇所がありません。
でも、大丈夫です。下記2つを有効化できなくする設定を準備します。

 ・"Siri に頼む"を有効にする
 ・メニューバーに Siri を表示

Siri の設定画面

2-1. 「"Siri に頼む"を有効にする」の無効化

エディタソフトを使用して下記の plist ファイルを作成してください。

例) DisableSiri.plist  (ファイル名は任意のものでOK)

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
  <dict>
    <key>Assistant Enabled</key>
    <false/>
  </dict>
</plist>

作成した plist ファイルを「アプリケーションとカスタム設定」ペイロードの「アップロード」からアップロードします。

環境設定ドメイン : com.apple.assistant.support
プロパティリスト : 作成した.plistをアップロード

" Siri に頼む"を有効化させない設定

2-2. 「メニューバーに Siri を表示」の無効化

Siri を無効化したにも関わらずメニューバーに表示されると困るので、この設定を作ります。

例) DisableSiriMenuBar.plist  (ファイル名は任意のものでOK)

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
  <dict>
    <key>StatusMenuVisible</key>
    <false/>
    <key>UserHasDeclinedEnable</key>
    <true/>
  </dict>
</plist>

作成した plist ファイルを「アプリケーションとカスタム設定」ペイロードの「アップロード」からアップロードします。

環境設定ドメイン : com.apple.Siri
プロパティリスト : 作成した.plistをアップロード

メニューバーに Siri を表示させない設定

上記Siriの設定2つを実施すると、Siri の設定画面から、「"Siri に頼む"を有効にする」「メニューバーに Siri を表示」のチェックをつけても自動的に設定がキャンセルされます。

3.「探す」を無効化

mac には GPS の機能がないため、紛失時に端末を探すには、「探す」の機能をON にしておくしかないのですが、それに伴い発生するアクティベーションロックで苦しむ管理者の方も多いと思います。
そのため、「探す」の機能を無効化する設定もご紹介します。

まず、こちらも plist の作成から。

例) DisableFMM.plist   (ファイル名は任意のものでOK)

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
    <dict>
        <key>DisableFMMiCloudSetting</key>
        <true/>
    </dict>
</plist>

作成したplistファイルを「アプリケーションとカスタム設定」ペイロードの「アップロード」からアップロードします。

環境設定ドメイン : com.apple.icloud.managed
プロパティリスト : 作成した.plistをアップロード

Mac を探す を有効化させない設定

この設定を実施すると、Mac を探す の設定がグレーアウトして有効にすることができなくなります。

「Mac を探す」が無効化されている状態

ただし、この設定では Find My Mac 有効に設定済のものを無効にクリアする事はできないため、拡張属性等で Find My Mac のステータスを取得して、端末利用者からに「探す」を無効にしていただく対応が必要です。

4. mac にiPhone ( iPad ) 接続時、Finder に「ファイル」タブを表示させない

USB メモリ等のリムーバブルストレージの制御は Jamf Protect や Microsoft Defender for Endpoint 等を使用すれば可能ですが、iPhone ( iPad ) 接続のコントロールはできません。
iPhone ( iPad )をストレージとして利用されないよう、mac に接続時に Finder に「ファイル」タブを表示させない設定を実施します。

「ファイル」タブが表示されている

Appleの Configuration Profile Reference のRestrictions ペイロードのページにある KEY  allowiTunesFileSharing を false にすることで Finder に「ファイル」タブを非表示にします。

お好きなエディタソフトを使用して下記の plist ファイルを作成してください。

例) DisableiTunesFileSharing.plist   (ファイル名は任意のものでOK)

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
  <dict>
    <key>allowiTunesFileSharing</key>
    <false/>
  </dict>
</plist>

作成した plist ファイルを「アプリケーションとカスタム設定」ペイロードの「アップロード」からアップロードします。

環境設定ドメイン : com.apple.applicationaccess
プロパティリスト : 作成した.plistをアップロード

iPhone ( iPad )を mac に接続時、 Finder に「ファイル」のタブを表示しない設定

この設定を実施すると、iPhone ( iPad )を mac に接続しても Finder に「ファイル」のタブが表示されなくなります。

「ファイル」タブが表示されない

おわりに

すぐにお試しいたける内容をご紹介させていただきました。
使用した plist や、作成した構成プロファイルはこちらに格納しております。
ぜひお試しください!

MDM の GUI に設定箇所がなくても、 Apple の Configuration Profile Reference のような資料の他、 Jamf Nation や MacAdmins といったコミュニティの情報などを探してみるといろいろな発見があると思います。

※ご紹介した内容は、macOS Monterey 12.3.1 ( Apple M1 / Intel 両方 )にて動作確認済です。導入の際はテスト端末等でお試しいただいた上で実施してください。設定が反映されない場合は、端末を再起動していただくと確実です。


以上、 今回はエンジニアの中峯が担当いたしました。
最後まで読んでいただき、ありがとうございました。


新しい記事の情報をツイッターで報告しておりますので是非@magichat2011もフォローして下さい!

ツイッターも宜しくお願いします〜