使用ガイド: macOSコンプライアンス
macOS コンプライアンス ライブラリ パックを使用すると、EUC チームは次のことができます。
macOS オペレーティング システムをモニタリングし、安定性の維持、コンプライアンスの確保、およびパフォーマンスの向上が可能です。
IT インフラストラクチャの改善点を識別し、すばやく報告データを提供します。
また、このライブラリ パックは、行動を起こし、意識を高めるための事前構成されたリモート アクションを提供します。
このガイドは、可能な洞察と取れる行動の一部を示しているにすぎないことを忘れないでください。 環境内での多くのユース ケースや特定のトラブルシューティング シナリオを発見することが可能です。
ライブラリ パックの使用法
以下の目的のためにライブラリパックのコンテンツを使用します。
直感的なダッシュボードを通じて、環境内の macOS デバイスの安定性、セキュリティ、およびコンプライアンスへの洞察を得ることができます。 この情報を活用して、非コンプライアンスのデバイスを特定し、セキュリティのギャップに対処し、組織の基準に整合させます。 カスタマイズ可能なデータフィールドに基づいて、特定の問題を調査し、是正策を講じるために詳細なタブを使用します。
デバイスの洞察に対する可視性を得る
「概要」ライブダッシュボード は、このライブラリ パックの出発点として機能します。 macOS デバイスのセキュリティ、安定性、コンプライアンスを管理するための単一の環境を提供します。 ここに示している情報に基づいて、対応するタブに詳細情報を見に行けます。
デバイス: Nexthinkプラットフォーム上のmacOSデバイスの数とバージョンを示します。
デジタルエクスペリエンス スコア (DEX): このセクションは、macOSデバイスの平均DEXスコアと他のオペレーティングシステムの平均DEXスコアを示します。 macOSデバイスの平均DEXスコアは、"すべてのデバイス (DEX)" ウィジェットに表示されている他のデバイスタイプの30日間の平均スコアと比較できます。
セキュリティ: このセクションは、セキュリティ問題を抱えるデバイス (XProtect、ファイアウォール、アンチウイルス) を特定します。
安定性: このセクションは、ハードリセットやクラッシュのような不安定な問題を抱えるデバイスを特定します。
アップデートとターゲット状態: このセクションは、サポートされていないmacOSバージョンのデバイス、ターゲットアップデートにないデバイス、または保留中のアップデートがあるデバイスの数を特定します。
コンプライアンスチェック: このセクションは、セキュリティ、証明書、または管理のチェックにパスしていないデバイスの数を特定します。 このKPIは、'invoke_macOS_enterprise_compliance'のリモートアクションの実行に依存しています。
デバイスの管理とトラブルシューティング
詳細な調査のために特定のデータ収集リモートアクションの結果に依存できます。
macOSのアップデート情報と再起動情報を取得する (macOSのみ): このリモートアクションでは、macOSデバイスに関する情報、例えば最後の再起動からの日数、保留中のアップデートがあるか、保留中のアップデートの名前一覧などを取得できます。
ファイアウォールオプションの取得 (macOS のみ): このリモートアクションは、macOSデバイス上でシステム設定 > セキュリティとプライバシー > ファイアウォールのステータスを確認するのに役立ちます。
XProtectのステータスの取得 (macOS のみ): このリモートアクションは、macOSデバイス上で、システム設定 > ソフトウェアアップデート > 詳細でXProtectの設定を確認するのに役立ちます。
暗号化情報を取得する (macOSのみ): このリモートアクションは、APFSファイルシステムのディスク暗号化と復号化情報を取得するほか、FileVaultが有効になっているかどうかも確認します。
macOSエンタープライズコンプライアンスの起動: このリモートアクションは、macOSのステータスに関する情報を提供し、セキュリティ設定、証明書チェック、ソフトウェア検証に関連するいくつかの構成を確認することで、macOSデバイスのコンプライアンス評価を行います。
検出された問題の一部を解決するために、必要に応じて以下のリモートアクションをトリガーできます:
ファイアウォールオプションの設定 (macOS のみ): このリモートアクションは、macOSデバイス上でシステム設定 - セキュリティとプライバシー - ファイアウォールの設定を構成するのに役立ちます。
XProtectステータスの設定 (macOS のみ): このリモートアクションは、macOSデバイス上でシステム設定 - ソフトウェアアップデート - 詳細でXProtectのステータスを構成するのに役立ちます。
自動アップデートの設定 (macOS のみ): このリモートアクションは、macOSデバイス上でシステム設定 > ソフトウェアアップデート > 詳細内の追加のmacOS自動更新設定を構成します。
ユースケース
改善点の特定
ダッシュボードのサマリタブは、デバイスとmacOSオペレーティングシステムの状態を簡潔に表示します。 この情報により、より詳細なトラブルシューティングのための適切なタブに移動することができます。
ダッシュボード上部のフィルターにより、特定の領域、デバイス、またはプラットフォームタイプに焦点を当てることができます。 タイムピッカーでも、データをより細かい、または長期的なスケールで表示できます。

概要
このタブは、デバイス環境の安定性、セキュリティ、安定性、およびコンプライアンスの概要を提供します。 ここで強調表示された情報に基づいて、詳細を知るための対応するタブに移動できます。
このタブには、次のカスタムフィールドに依存するウィジェットが含まれています:OSサポートバージョン、OSターゲット機能更新バージョン、OSターゲット品質更新バージョン。 詳細は、カスタムフィールド依存性を参照してください。
推奨アクション:
ダッシュボード全体の様々なリモートアクションを使用して対策を講じることができます。 詳細については、特定のタブの製品内のドキュメントにある推奨アクションセクションを参照してください。
[セキュリティ]
このセクションでは、選択した期間の間にアクティブであり、設定がコンプライアンスに準拠しておらず、セキュリティ侵害につながる可能性があるデバイスに関する情報を提供します。
ポリシー設定や企業管理/MDMツールの設定を確認するか、リモートアクションを使用してこれらのコンプライアンス違反問題を解決してください。

推奨アクション
次のリモートアクションを使用することで、macOSデバイスのXProtect更新およびファイアウォール無効の問題を解決できます:
ファイアウォールオプションの設定: このリモートアクションは、システム環境設定 - セキュリティとプライバシー - ファイアウォールの下でファイアウォール設定を構成します。
XProtect状態の設定: このリモートアクションは、システム環境設定 - ソフトウェア更新 - 高度な設定でXProtect状態の設定を構成します。
自動更新の設定: このリモートアクションは、システム環境設定 - ソフトウェア更新 - 高度な設定で追加のmacOS自動更新設定を構成します。
安定性
このセクションでは、1週間以上再起動していないmacOSデバイスに関する情報を提供します。 少なくとも1週間に1回、完全な起動(再起動または電源サイクル)を実行することをお勧めします。
システムクラッシュが発生したデバイス: このセクションでは、システムクラッシュを経験したmacOSデバイスに関する情報を提供します。
ハードリセットが発生したデバイス: このセクションでは、WindowsおよびmacOSデバイスでハードリセットが発生した情報を提供します。
アプリケーションクラッシュが発生したデバイス: このセクションでは、アプリケーションクラッシュが発生したmacOSデバイスに関する情報を提供します。
アプリケーションフリーズが発生したデバイス: このセクションでは、アプリケーションフリーズが発生したmacOSデバイスに関する情報を提供します。

更新とターゲット状態
このタブは、macOSデバイスへの更新の展開に関する概要を提供します。 更新を受信していない、または再起動を待機中であるデバイスを追跡するために役立つ情報を提供します。 その後、検出されたデバイスグループに関連付けられた企業管理ソフトウェアポリシーをレビューしたり、欠落している更新プログラムをインストールするためのリモートアクションを起動したり、自動更新設定を変更したりするなどの修正手段を講じることができます。
これらのタブの品質および機能更新のターゲットバージョンは、「オペレーティングシステムターゲットバージョン」カスタムフィールドに指定されています。 これらのバージョンは正確なコンプライアンスデータを確保するために定期的に更新する必要があります。
この情報は、macOS更新の現在のコンプライアンスステータスを理解し、コンプライアンス違反の事例に対処することでセキュリティ侵害を防ぐのに役立ちます。
「OSターゲット品質更新バージョン」カスタムフィールドで更新されたターゲットバージョンを指定します。 これらのバージョンは、正確なコンプライアンスデータを保証するために毎月更新する必要があります。

推奨アクション
このダッシュボードにリストされている問題は次のリモートアクションを使用して解決できます:
自動更新を設定する: このリモートアクションにより、macOSデバイス上のシステム環境設定 > ソフトウェア更新 > 高度な設定の下で追加のmacOS自動更新設定を構成できます。
コンプライアンス: セキュリティ
このタブは、セキュリティテストの結果に関する情報を提供します。 これらのセキュリティ確認は、macOSシステムの整合性と保護を確保するために重要です:
FileVault回復: データを取得できることを確保するための重要な対策として、忘れたパスワードの復旧や、セキュリティ規制への準拠を維持するために重要です。
自動ログイン設定: 自動ログインを無効にすることで、システムの起動時に認証情報を必要とし、不正アクセスを防止し、デバイスが紛失または盗難に遭った場合のデータ保護を行います。
ブートストラップトークン: これは、MDMソリューション内でデバイスを安全に登録し管理することを確保するための重要なトークンです。
Filevaultキーエスクロウ設定: この設定により、FileVault復旧キーが安全に保管され、アクセス認証情報を紛失した場合に暗号化されたデータを回復するためにアクセス可能になります。
Filevaultステータス: ハードドライブ上に保存されたデータを不正アクセスから保護するために、フルディスク暗号化が有効になっているかどうかの情報を提供します。
ファイアウォール設定: 対象デバイスを不要なネットワーク接続から保護し、潜在的な外部の脅威に対する露出を制限するために、システムファイアウォールを有効化します。
Gatekeeperステータス: Gatekeeperがアクティブであることを確認し、潜在的に有害なアプリケーションをブロックし、実行ソフトウェアの整合性を維持します。
Gatekeeper管理者オーバーライド: 未確認アプリケーションを実行するための例外がないか確認します。セキュリティリスクを導入する可能性があります。
Gatekeeper管理者設定: Gatekeeperポリシーが適切に設定されているかどうかを確認し、App Storeからダウンロードされていない、またはAppleによって認識されていない悪意のあるソフトウェアの実行を防止します。
ゲストアカウント設定: ゲストアカウントの設定を確認することは重要であり、無効か適切に制限されているかを確認します。 これにより、パスワードが不要なゲストアカウントによるデバイスのセキュリティ侵害の可能性を防ぐことができます。
ルートユーザーステータス: ユーザーの高レベルのアクセス権限のため、ルートユーザーステータスを監視することが重要です。 有効でコントロールされていないルートユーザーは、悪意のある手に落ちた場合にシステムセキュリティを著しく損なう可能性があります。
セキュアトークン: macOSでのユーザー管理とFileVault暗号化においてセキュアトークンは重要です。 セキュアトークンが適切に発行されていることを確認することで、セキュリティを損なうことなくユーザーが重要な設定を管理するために必要な権限を持っていることを確保します。
SIPステータス: システム保護機能であるシステム整合性保護(SIP)は、システムファイルやプロセスへのアクセスを制限します。 SIPを有効にすることで、オペレーティングシステムが不正な修正から保護され、悪意のあるソフトウェアに対する抵抗を強化します。
これらのパラメータは共に、未承認のアクセスから保護し、システムの整合性を維持するためにmacOS上でより安全な環境を確立するのに貢献します。

コンプライアンス: 証明書
このタブは、接続性テストの結果に関する情報を提供します。 これらのテストは証明書の正確な検証を確保し、セキュリティの更新を可能にし、サービスへの適切なアクセスを確保し、問題の正確な診断をサポートし、規制へのコンプライアンスを維持します。
dest.apple.com:443, crl.apple.com:80, crl3.apple.com:80, crl4.apple.com:80, ocsp.apple.com:80 などの接続性テストはmacOSセキュリティにおいて非常に重要です。
証明書確認: SSL/TLS接続のセキュリティを確認し、デジタル証明書を検証することで、中間者攻撃を防止します。
セキュリティ更新: セキュリティと証明書の更新プログラムを受信し、脆弱性を防ぐために接続性は重要です。
サービスアクセス: 多くのAppleサービスは安全な認証のためにデジタル証明書に依存しています。接続確認によりサービス中断を防ぎます。
コンプライアンス: 企業環境において、重要なサーバーへのアクセスを確認することは、ITポリシーおよびセキュリティ規制へのコンプライアンスを確保するのに役立ちます。
問題診断: 接続確認は、デバイスの機能性やセキュリティに影響するネットワークまたは構成問題の診断と解決をサポートします。

コンプライアンス: 管理
ソフトウェアコンプライアンスチェック
これらのチェックは、macOSシステムが安全で、ITポリシーに準拠し、最新のソフトウェアの進歩と保護を受け続けることを確保します。
管理者専用ソフトウェアアップデートのテスト: これにより、ソフトウェアアップデートが管理者ユーザーに制限され、承認されたアップデートのみがインストールされることを確認します。
アプリケーションの自動更新インストールのテスト: アプリケーションが自動更新に設定されていることを確認し、最新のセキュリティパッチと機能がユーザーの介入なしに最新であることを確認します。
macOS自動更新インストールのテスト: macOSが自動更新に設定されていることを確認し、最新のパッチと脆弱性への防御策を適用してシステムセキュリティと安定性を維持します。
コンテンツキャッシングサーバーのテスト: コンテンツキャッシングサーバーの機能を確認し、ネットワーク使用を最適化し、他のデバイスのためにローカルに保存することでソフトウェアのインストールと更新を高速化します。
廃止されたソフトウェア更新サーバーplistのテスト: レガシーまたは古い更新プログラムのplist設定を特定し、現在のセキュリティ基準に準拠しない方法に依存しないことを確認します。
廃止されたソフトウェア更新サーバープロファイルのセキュリティテスト: 廃止された更新プロファイルの使用を評価し、最新のベストプラクティスと整合し、廃止された設定に関連する潜在的なセキュリティリスクを防止します。
アプリケーションコンプライアンスチェック
これらのチェックは、安全で準拠したmacOS環境を維持するための重要な要素であり、ソフトウェア管理とセキュリティにおけるベストプラクティスに一致させるために重要です:
非承認アプリケーションのテスト: このチェックは、組織によって承認されたアプリケーションのみがシステムにインストールされていることを確認します。 これにより、審査されていないソフトウェアの使用が防止され、セキュリティ脆弱性のリスクが低減し、組織ポリシーへの準拠が確保されます。
非ユニバーサルアプリケーションのテスト: IntelおよびApple Siliconアーキテクチャと互換性のないアプリを特定します。 アプリケーションの互換性を確保することにより、macOSが新しいハードウェアアーキテクチャに移行する際、スムーズな操作とソフトウェア標準の準拠をサポートします。
未署名アプリケーションのテスト: 信頼できる開発者からの有効なデジタル署名がないアプリケーションを検出します。 未署名のアプリを強調表示することで、セキュリティ脅威のリスクを低減し、システムの整合性とセキュリティを維持します。
管理コンプライアンスチェック
これらのチェックは、安全で準拠したmacOS環境を維持するために重要であり、カーネルおよびネットワーク設定が組織および業界基準に一致することを確認します。
非コンプライアンスのカーネルを持つデバイス: このカテゴリは、コンプライアンス標準を満たさないカーネル設定のデバイスを識別します。 カーネル設定がセキュリティポリシーに準拠していることを確認することは重要であり、カーネルレベルの脆弱性は重大なセキュリティ侵害や安定性問題につながる可能性があります。
非コンプライアンスのネットワーク設定を持つデバイス: コンプライアンス要件を満たしていないネットワーク設定や構成を持つデバイスをハイライトします。 ネットワークコンプライアンスを維持することは、データ転送の保護、不正アクセスの予防、組織内外の安全な通信を確保するために重要です。
アイデンティティコンプライアンス
これらのチェックは、安全で準拠したmacOS環境を維持し、MDMを通じた効果的な管理と組織ポリシーの遵守を促進します。
MDM登録: デバイスが適切にモバイルデバイス管理(MDM)システムに登録されているかを確認します。 適切な登録は、デバイスが一貫して管理され、必要な設定を受信し、組織ポリシーに準拠していることを確保します。
MDM登録タイプ: デバイスで使用されるMDM登録タイプを評価します。 さまざまな登録タイプが異なるレベルの制御と機能を提供する場合があるため、正しいタイプが使用されていることを確認することは、コンプライアンスと効果的な管理において重要です。
MDM外部到達可能性: デバイスが外部ネットワークからMDMサーバーと通信できるかを確認します。 外部到達可能性を確保することは、リモート管理において重要であり、どの場所からでもデバイスが更新と設定を受信できるようにします。
MDM URL: デバイスでMDMサーバーのURLが正しく設定されていることを確認します。 適切な設定により、管理サーバーとのシームレスな通信が保証され、一貫したポリシーの適用とデバイス管理が可能になります。

関連トピック
Last updated
Was this helpful?