macOS Serverで構成プロファイルを操作する
構成プロファイルは、iPhone、iPad、iPod touch、Apple TV、MacコンピュータなどのAppleデバイスに設定と認証情報を読み込むペイロードで構成されるXMLファイルです。
設定および認証情報には、次のような情報を含めることができます:
デバイスのセキュリティポリシーや制限
VPN構成情報
Wi-Fi設定
メールとカレンダーのアカウント
iPad、iPhone、iPod touch、Apple TV、およびMacコンピュータがエンタープライズシステムや学校のネットワークと連係するための認証資格情報
構成プロファイルは暗号化および署名できるため、それらの使用を特定のAppleデバイスに制限できます。ユーザ名とパスワードがない人は設定を変更できません。また、プロファイルをデバイスにロックすることもできます。これにより、一度追加した後は、デバイスのすべてのデータをワイプするかプロファイルに関連付けられたパスワードを入力しない限り、プロファイルを削除できなくなります。Microsoft Exchangeアカウントなどのプロファイルによって構成されるアカウントは、プロファイルを削除しないと削除できません。
組織のすべてのペイロードを1つの構成プロファイルに含めることもできますが、めったに変更されない設定とよく変更される設定とでプロファイルを分けて作成することも検討してください。まれにしか変更されない設定には、デバイスの制限、Wi-Fi、セキュリティとプライバシー、LDAP、メール、カレンダーなどがあります。よく変更される設定には、VPN、証明書、Webクリップ、ホーム画面の設定などがあります。
Mac用Apple Configuratorを使って、デバイス構成プロファイルをiPhone、iPad、iPod touch、Apple TVに追加できます。macOS固有の設定を含むデバイスまたはユーザ構成プロファイルを追加するには、サーバまたは他社製モバイルデバイス管理(MDM)ソリューションで「プロファイルマネージャ」を使用します。
注記: Mac用Apple Configuratorによってデバイス構成プロファイルが自動的にインストールされます。プロファイルマネージャまたは他社製MDMソリューションに登録した後に、アップデート済み構成プロファイルをデバイスに送信できます。
通常、構成プロファイルで定義された設定は、パスワードの変更以外はユーザが変更することはできません。プロファイルによって構成されるアカウントは、プロファイルを削除しないと削除できません。プロファイルを削除した場合は、再インストールしない限り、そのデバイスを組織内で利用できなくなることがあります。たとえば、プロファイルを削除すると、ユーザがネットワークにアクセスできなくなったり、メールを受信できなくなったり、「カレンダー」アプリケーションでイベントを作成できなくなったりすることがあります。iOSデバイス、iPadOSデバイス、およびtvOSデバイスを監視することで、ユーザが構成プロファイルを削除することを防ぐこともできます。
重要: ユーザがパスコードを知っている場合、監視対象ではないiOSデバイスおよびiPadOSデバイスでは、「一般」設定でこのオプションが「しない」に設定されている場合でも、プロファイルを削除できます。macOSプロファイルは、ユーザが管理者の名前とパスワードを知っている場合は削除できます。
ユーザおよびデバイスプロファイル
構成プロファイルは、ユーザ用、デバイス用、またはユーザとデバイスのグループ用に作成できます。その選択に基づいて、プロファイルのペイロードが用意され、そのレベルで設定が適用されます。たとえば、ユーザ用の構成プロファイルを作成するときは、デバイスにのみ適用される設定は含まれません。
プロファイルマネージャまたは他社製MDMソリューションを使用している場合、メール添付ファイルとして、独自のWebページ上のリンク、またはプロファイルマネージャまたはMDMの内蔵ユーザポータル経由で構成プロファイルを配付できます。ユーザがメールの添付ファイルを開いたり、Webブラウザでプロファイルをダウンロードしたりすると、プロファイルのインストール開始を求められます。