Appleデバイスの「プライバシー」環境設定ポリシー制御ペイロードの設定
モバイルデバイス管理(MDM)ソリューションに登録されているMacコンピュータの「プライバシー」環境設定ポリシー制御ペイロードの設定を構成して、「セキュリティとプライバシー」環境設定パネルの「プライバシー」タブにある設定を管理できます。このタイプのペイロードが複数ある場合は、より厳しい設定が適用されます。このペイロードはユーザの承認が必要です。
OSおよびチャネル | 利用可能な登録タイプ | 操作 | 重複 |
|---|---|---|---|
macOSデバイス | デバイス 自動デバイス | 排他的 | 複数 |
一般設定
設定 | 説明 | 必須 |
|---|---|---|
アクセシビリティ | 指定したAppがアクセシビリティAPI経由でMacを操作することを許可します。 | いいえ |
AppleEvents | 指定したAppが制限対象のAppleEventを別のプロセスに送信することを許可します。 | いいえ |
カレンダー | 指定したAppが「カレンダー」で管理されているイベント情報にアクセスすることを許可します。 | いいえ |
カメラ | 指定したAppがカメラにアクセスすることを拒否するために使用します。 | いいえ |
連絡先 | 指定したAppが「連絡先」で管理されている連絡先情報にアクセスすることを許可します。 | いいえ |
「デスクトップ」フォルダ | 指定したアプリケーションが「デスクトップ」フォルダにアクセスすることを許可します。 | いいえ |
「書類」フォルダ | 指定したアプリケーションが「書類」フォルダにアクセスすることを許可します。 | いいえ |
「ダウンロード」フォルダ | 指定したアプリケーションが「ダウンロード」フォルダにアクセスすることを許可します。 | いいえ |
ファイルプロバイダの存在 | 指定したファイルプロバイダで管理されているファイルをユーザが使用していることを知るために、ファイルプロバイダアプリケーションがアクセスすることを許可します。 | いいえ |
入力装置 | どの承認済みアプリケーションに入力装置(マウス、キーボード、トラックパッド)への特定のアクセスを許可するかを設定します。 | いいえ |
メディアライブラリ | 指定したアプリケーションがApple Music、ミュージックとビデオのアクティビティ、およびメディアライブラリにアクセスすることを許可します。 | いいえ |
マイク | 指定したアプリケーションがマイクにアクセスすることを拒否します。 | いいえ |
ネットワークボリューム | 指定したアプリケーションがネットワークボリューム上のファイルにアクセスすることを許可します。 | いいえ |
写真 | 指定したAppが「写真」Appで管理されている以下のイメージにアクセスすることを許可します: /ユーザ/ユーザ名/ピクチャ/写真ライブラリ 注記: ユーザが写真ライブラリをほかの場所に置いている場合は、Appから保護されません。 | いいえ |
イベントを送信 | 指定したAppがCoreGraphics APIを使用してCGEventをシステム・イベント・ストリームに送信することを許可します。 | いいえ |
リマインダー | 指定したAppが「リマインダー」で管理されている情報にアクセスすることを許可します。 | いいえ |
リムーバブルボリューム | 指定したアプリケーションがリムーバブルボリューム上のファイルにアクセスすることを許可します。 | いいえ |
画面収録 | 指定したアプリケーションがシステムディスプレイのコンテンツをキャプチャする(読み取る)ことを拒否します。 | いいえ |
音声認識 | 指定したアプリケーションがシステムの音声認識機能を使用したり音声データをAppleに送信したりすることを許可します。 | いいえ |
システムポリシー(すべてのファイル) | 指定したAppがMac上のすべてのユーザのメール、メッセージ、Safari、ホーム、Time Machineバックアップ、および特定の管理設定などのデータにアクセスすることを許可します。 | いいえ |
システムポリシー(管理者用ファイル) | 指定したAppが管理者用の一部のファイルにアクセスすることを許可します。 | いいえ |
Appleデバイスのカスタムペイロードの設定
Appまたはバイナリがデータのいずれかのプライバシークラスにアクセスすることを許可または禁止するには、カスタムペイロードを作成し、以下の要件を含める必要があります:
要件 | 説明 | 例 | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
識別子のタイプ | バンドルIDまたはファイルパスのいずれかを指定します。 | バンドルID | |||||||||
識別子の名前またはファイルパス | バンドルID名または実際のファイルパス。 | バンドルID: com.MyOrganization.AppName ファイルパス: /アプリケーション/アプリケーション名 | |||||||||
許可または拒否 | アプリケーションにアクセスを許可するか禁止するかを指定します。 | 許可: True 拒否: False | |||||||||
コード署名要件 | 実際のコード署名値。値を取得するには、「ターミナル」アプリケーションを開き、以下のコマンドを実行します:
| アプリケーション: バイナリ: 注記: Apple以外から提供されたアプリケーションおよびバイナリの指定要件は、さらに長くなることがあります。「designated =>」より後の文字列をプロファイルに含めてください。 | |||||||||
コメント | 任意でコメントを追加します。 | 自分の組織のアプリケーションがユーザに確認を求めずにすべてのファイルを操作することを許可します。 | |||||||||
カスタムペイロードの完全な例については、「プライバシー」環境設定ポリシー制御のカスタムペイロードの例を参照してください。カスタムペイロードを作成して導入した後で、まだ確認のダイアログが表示される場合は、以下のコマンドを使って、アクセスを許可しようとしている該当アプリケーションまたはバイナリの特定をリアルタイムで試みることができます:
log stream --debug --predicate 'subsystem == "com.apple.TCC" AND eventMessage BEGINSWITH "AttributionChain"'