macOS Server で構成プロファイルを操作する
構成プロファイルは、iPhone、iPad、iPod touch、Apple TV、Mac コンピュータなどの Apple デバイスに設定と認証情報を読み込むペイロードで構成される XML ファイルです。
設定および認証情報には、次のような情報を含めることができます:
デバイスのセキュリティポリシーや制限
VPN 構成情報
Wi-Fi 設定
メールとカレンダーのアカウント
iPad、iPhone、iPod touch、Apple TV、および Mac コンピュータがエンタープライズシステムや学校のネットワークと連係するための認証資格情報
構成プロファイルは暗号化および署名できるため、それらの使用を特定の Apple デバイスに制限できます。ユーザ名とパスワードがない人は設定を変更できません。また、プロファイルをデバイスにロックすることもできます。これにより、一度追加した後は、デバイスのすべてのデータをワイプするかプロファイルに関連付けられたパスワードを入力しない限り、プロファイルを削除できなくなります。Microsoft Exchange アカウントなどのプロファイルによって構成されるアカウントは、プロファイルを削除しないと削除できません。
組織のすべてのペイロードを 1 つの構成プロファイルに含めることもできますが、めったに変更されない設定とよく変更される設定とでプロファイルを分けて作成することも検討してください。まれにしか変更されない設定には、デバイスの制限、Wi-Fi、セキュリティとプライバシー、LDAP、メール、カレンダーなどがあります。よく変更される設定には、VPN、証明書、Web クリップ、ホーム画面の設定などがあります。
Apple Configurator 2 を使って、デバイス構成プロファイルを iPhone、iPad、iPod touch、Apple TV に追加できます。macOS 固有の設定を含むデバイスまたはユーザ構成プロファイルを追加するには、サーバまたは他社製モバイルデバイス管理(MDM)ソリューションで「プロファイルマネージャ」を使用します。
注記:Apple Configurator 2 はデバイス構成プロファイルを自動的にインストールします。「プロファイルマネージャ」または他社製 MDM ソリューションに登録した後に、アップデート済み構成プロファイルをデバイスに送信できます。
通常、構成プロファイルで定義された設定は、パスワードの変更以外はユーザが変更することはできません。プロファイルによって構成されるアカウントは、プロファイルを削除しないと削除できません。プロファイルを削除した場合は、再インストールしない限り、そのデバイスを組織内で利用できなくなることがあります。たとえば、プロファイルを削除すると、ユーザがネットワークにアクセスできなくなったり、メールを受信できなくなったり、「カレンダー」アプリケーションでイベントを作成できなくなったりすることがあります。iOS および tvOS デバイスを監視することで、ユーザが構成プロファイルを削除することを防ぐこともできます。
重要:ユーザがパスコードを知っている場合、監視対象ではない iOS デバイスでは、「一般」設定でこのオプションが「しない」に設定されている場合でも、プロファイルを削除できます。macOS プロファイルは、ユーザが管理者の名前とパスワードを知っている場合は削除できます。
ユーザおよびデバイスプロファイル
構成プロファイルは、ユーザ用、デバイス用、またはユーザとデバイスのグループ用に作成できます。その選択に基づいて、プロファイルのペイロードが用意され、そのレベルで設定が適用されます。たとえば、ユーザ用の構成プロファイルを作成するときは、デバイスにのみ適用される設定は含まれません。
「プロファイルマネージャ」または他社製 MDM ソリューションを使用している場合、メール添付ファイルとして、独自の Web ページ上のリンク、または「プロファイルマネージャ」または MDM の内蔵ユーザポータル経由で構成プロファイルを配布できます。ユーザがメールの添付ファイルを開いたり、Web ブラウザでプロファイルをダウンロードしたりすると、プロファイルのインストール開始を求められます。