macOS High Sierra のカーネル機能拡張の変更点について準備を進める

システム管理者の方は、以下の情報を参考にして、企業や教育機関で macOS High Sierra にアップグレードする際に、カーネル機能拡張の変更点に対応できるよう準備を進めてください。

Mac のセキュリティを強化するため、macOS High Sierra のインストール時に (またはインストール後に) インストールされるカーネル機能拡張は、ユーザの同意がなければ読み込めなくなっています。これを「User Approved Kernel Extension Loading」と呼んでいます。管理者権限を持っていなくても、どのユーザでもカーネル機能拡張を承認できます。

以下に該当するカーネル機能拡張は承認不要です。

  • macOS High Sierra へのアップグレード前から Mac にインストールされていた。
  • 過去に承認済みの機能拡張の後継である。
  • macOS 復元で起動している間に spctl コマンドを使って、ユーザの同意なく読み込むことを許可されたもの。
  • モバイルデバイス管理 (MDM) に登録済みの Mac にインストールされている。現時点では、MDM に登録されていれば、User Approved Kernel Extension Loading が自動的に無効になります。この動作は 2018 年春に変更される予定です。
  • MDM 構成を使って読み込みを許可されている。macOS High Sierra 10.13.2 以降では、MDM を使って、ユーザの同意がなくても読み込めるようにするカーネル機能拡張のリストを指定できます。それには、Mac に macOS High Sierra 10.13.2 以降が搭載されていて、さらに、Device Enrollment Program (DEP) を通じて MDM に登録されているか、または MDM への登録がユーザ承認済み (User Approved) になっていることが必要です。

ユーザ承認済みの MDM 登録

macOS High Sierra 10.13.2 では、「ユーザ承認済み」の MDM 登録という概念が導入されました。この新しい登録形態が必要になるのは、DEP を使わずに MDM に登録された Mac において、機密性の高い特定の設定を管理する場合だけです。

DEP を通じて MDM に登録されたデバイスでは、機密性の高い設定をすでに管理できるようになっているため、こうしたデバイスについては、登録がユーザ承認済みである必要はありません。

現時点では、MDM への登録がユーザ承認済みであるか、または DEP を通じて実行済みであることが必須のペイロードは Kernel Extension Policy だけですが、今後のバージョンの macOS で新たに導入される予定の構成ペイロードでも、登録がユーザ承認済みであるか、DEP を通じて実行済みであることが必要となる可能性があります。

「ユーザ承認済み」オプションを使わずに MDM に登録されたデバイスでも、機密性が高くはない設定については依然として管理可能です。

    機密性の高い設定の管理 機密性が高くない設定の管理

DEP を通じた MDM への登録

可能

可能

ユーザ承認済みの MDM

可能 可能

ユーザ承認済みではない MDM

不可

可能

ユーザ承認済みの MDM には、以下の方法で Mac を登録できます。

  • Mac が DEP に登録されている場合、その登録状態は、MDM への登録時点で「ユーザ承認済み」と同等になります。
  • Mac が macOS High Sierra 10.13.2 へのアップグレード前に (ユーザ承認済みではない) MDM に登録されていた場合は、アップグレード時点で登録状態が「ユーザ承認済み」に変換されます。
  • 登録プロファイルをダウンロードするか自分宛てにメールで送り、ダブルクリックします。その後、システム環境設定の案内にそって、MDM に登録してください。

オートメーションを使った場合や、デバイスを画面共有を使ってリモートから登録しようとした場合は、登録状態は「ユーザ承認済み」にはなりません。

Mac が「ユーザ承認済み」オプションを使わずに MDM に登録された場合は、既存の登録状況を承認して、機密性の高い設定を管理することができます。「システム環境設定」>「プロファイル」を開き、 というバッジが付いた登録プロファイルを探します。

登録プロファイルを選択して、右側の「承認」ボタンをクリックし、画面の案内に従ってください。

User Approved Kernel Extension Loading を MDM を使って管理する

Mac が macOS High Sierra を搭載していて、MDM に登録されている場合、User Approved Kernel Extension Loading は現時点では無効になっています。カーネル機能拡張はユーザの同意がなくてもすべて読み込まれます。

2018 年春に予定されている macOS のアップデートでは、MDM に登録されているデバイスでも User Approved Kernel Extension Loading が有効になります。Kernel Extension Policy ペイロードを使って、ユーザの同意がなくても読み込めるようにするカーネル機能拡張を指定し、必要に応じて、ユーザが追加の機能拡張を承認しないように阻止できます。

User Approved Kernel Extension Loading を MDM を使わずに管理する

User Approved Kernel Extension Loading を MDM の外側で管理したい場合は、macOS 復元で起動して spctl コマンドを使ってください。コマンドを単体で実行すれば、詳しい用法を確認できます。

User Approved Kernel Extension Loading を spctl コマンドを使って管理する場合、NVRAM をリセットすると、Mac がデフォルトの状態に戻り、User Approved Kernel Extension Loading が有効になります。Mac でファームウェアパスワードを設定しておけば、NVRAM が無断で変更されないように阻止できます。

公開日: