macOS High Sierra のカーネル機能拡張の変更点について準備を進める

システム管理者の方は、以下の情報を参考にして、所属組織で macOS High Sierra にアップグレードする際に、カーネル機能拡張の変更点に対応できるよう準備を進めてください。

Mac のセキュリティを強化するため、macOS High Sierra のインストール時に (またはインストール後に) インストールされるカーネル機能拡張は、ユーザの同意がなければ読み込めなくなっています。これを「User Approved Kernel Extension Loading」と呼んでいます。管理者権限を持っていなくても、どのユーザでもカーネル機能拡張を承認できます。

以下に該当するカーネル機能拡張は承認不要です。

  • macOS High Sierra にアップグレードする前にインストールされていた機能拡張
  • 過去に承認済みの機能拡張の後継である機能拡張
  • macOS 復元で起動している間に spctl コマンドを使って、ユーザの同意なく読み込むことを許可されている機能拡張
  • Kernel Extension Policy で読み込みを許可されている機能拡張

macOS 10.13.4 以降では、MDM に登録されていても、User Approved Kernel Extension Loading が無効にならなくなり、以前そのことを理由に読み込みを許可されていた機能拡張も、承認必須になりました。ただし、MDM を使って、承認不要で読み込めるカーネル機能拡張を指定しておけます。そのためには、Mac が macOS 10.13.2 以降を搭載していて、DEP を通じて MDM に登録されているか、MDM の登録をユーザが承認している必要があります。

ユーザ承認済みの MDM 登録

macOS High Sierra 10.13.2 で、「ユーザ承認済み」の MDM 登録という概念が導入されました。この登録形態が必要になるのは、DEP を使わずに MDM に登録された Mac において、機密性の高い特定の設定を管理する場合だけです。

DEP を通じて MDM に登録されたデバイスでは、機密性の高い設定をすでに管理できるようになっているため、こうしたデバイスについては、登録状態がユーザ承認済みである必要はありません。

「ユーザ承認済み」オプションを使わずに MDM に登録されたデバイスでも、機密性が高くはない設定については依然として管理可能です。

登録
形態
機密性の高い
設定の管理
機密性が高くない
設定の管理

DEP を通じた MDM への登録

可能

可能

ユーザ承認済みの MDM

可能 可能

ユーザ承認済みではない MDM

不可

可能

Mac をユーザ承認済みで MDM に登録する方法は、以下の通りです。

  • Mac が DEP に登録されている場合、その登録状態は、MDM への登録時点で「ユーザ承認済み」と同等になります。
  • Mac が macOS High Sierra 10.13.4 へのアップデート前に MDM に登録済みで、ユーザ承認済みではなかった場合は、10.13.4 のインストール時点で登録状態が「ユーザ承認済み」に変換されます。
  • 登録プロファイルをダウンロードするか、自分にメールで送信することもできます。プロファイルをダブルクリックし、システム環境設定の案内にそって、MDM に登録してください。

オートメーションを使った場合や、デバイスを画面共有を使ってリモートから登録しようとした場合は、登録状態は「ユーザ承認済み」にはなりません。

Mac が macOS 10.13.4 でユーザの承認なく MDM に登録された場合、その登録状態は「ユーザ承認済み」になりません。機密性の高い設定を管理するためには、登録状況を承認できます。

  1. Apple メニュー >「システム環境設定」の順に選択し、「プロファイル」をクリックします。
  2. というバッジが付いた登録プロファイルを選択します。
  3. 右側の「承認」ボタンをクリックし、画面の案内に従います。

MDM を使う場合の User Approved Kernel Extension Loading

macOS 10.13.4 から、MDM に登録されているものも含め、すべてのデバイスで User Approved Kernel Extension Loading が有効になります。Kernel Extension Policy ペイロードを使えば、以下のことができます。

  • ユーザの同意なく読み込めるカーネル機能拡張を指定する
  • 必要に応じて、ユーザが追加の機能拡張を承認しないように阻止する

MDM を使わない場合の User Approved Kernel Extension Loading

MDM の外側から User Approved Kernel Extension Loading を管理する場合は、macOS 復元から起動し、spctl コマンドを使います。コマンドを単体で実行すれば、詳しい用法を確認できます。

User Approved Kernel Extension Loading を spctl コマンドを使って管理する場合、NVRAM をリセットすると、Mac がデフォルトの状態に戻り、User Approved Kernel Extension Loading が有効になります。Mac でファームウェアパスワードを設定しておけば、NVRAM が無断で変更されないように阻止できます。

公開日: