学ぶ (英語版)
ドキュメント (英語版)
サポート (英語のみ)
コミュニティ (英語版)

使用ガイド: macOSコンプライアンス

このページでは、パックのさまざまな使用方法について概説しており、使用ケースの例も含まれています。

管理者は、設定ガイド: macOS コンプライアンスを参照して、インストールされたコンテンツを設定およびカスタマイズすることができます。

macOS コンプライアンスライブラリパックは、EUC チームが以下を行うことを可能にします:

  • macOS オペレーティングシステムの監視と管理を通じて、安定性、コンプライアンス、パフォーマンスを確保する。

  • IT インフラストラクチャの改善点を特定し、迅速に報告データを提供する。

さらに、このライブラリパックは事前構成されたリモートアクションを提供し、行動を起こし、認識を高めます。

このガイドが提供するのは、あなたが取ることのできる行動やインサイトの一部に過ぎないことを覚えておいてください。 あなたの環境で多くのユースケースや特定のトラブルシューティングシナリオを見つけることが可能です。

ライブラリパックの使い方

このページで、ユースケースにジャンプして関連するシナリオの適用を見ることができます。

以下の目的でライブラリパックのコンテンツを使用します。

直感的なダッシュボードを通じて、あなたの環境における macOS デバイスの安定性、セキュリティ、およびコンプライアンスに関する洞察を得る。 この情報を活用して、コンプライアンスに違反するデバイスを特定し、セキュリティの欠陥に対処し、組織の基準に整合性を持たせる。 詳細なタブを使用して、特定の問題を探求し、カスタマイズ可能なデータフィールドに基づいて矯正措置を取る。

デバイスの洞察の視認性を得る

「概要」 ライブダッシュボードは、このライブラリパックの出発点です。 それは、あなたの環境の macOS デバイスのセキュリティ、安定性、コンプライアンスを管理するための一元的な環境を提供します。 ここで強調された情報に基づいて、詳細を得るために対応するタブに移動することができます。

  • デバイス: Nexthink プラットフォーム上の macOS デバイスの数とバージョン。

  • デジタルエクスペリエンススコア(DEX): このセクションは、macOS デバイスの平均 DEX スコアと非 macOS オペレーティングシステムの平均 DEX スコアを示します。 macOS デバイスの平均 DEX スコアは、「すべてのデバイス(DEX)」ウィジェットに示されるように、過去 30 日間のすべてのデバイスタイプの平均スコアと比較することができます。

  • セキュリティ: このセクションは、セキュリティ問題(XProtect、ファイアウォール、アンチウイルス)を持つデバイスを特定します。

  • 安定性: このセクションは、ハードリセットやクラッシュなどの不安定な問題を持つデバイスを特定します。

  • アップデートとターゲット状態: このセクションは、サポートされていない macOS バージョンを持つデバイス、ターゲットアップデートではないデバイス、または保留中のアップデートがあるデバイスの数を特定します。

  • コンプライアンスチェック: このセクションは、セキュリティ、証明書、または管理のチェックを通過していないデバイスの数を特定します。 この KPI は、 'invoke_macos_enterprise_compliance' リモートアクションの実行に依存します。

デバイスを管理およびトラブルシューティングする

より詳細な調査には、特定のデータ収集リモートアクションの結果を信頼することができます。

  • macOS アップデートと再起動情報を取得 (macOS のみ): このリモートアクションにより、macOS デバイスについて、最後の再起動からの経過日数、保留中のアップデートの有無、保留中のアップデートの名前リストなどの情報を取得できます。

  • ファイアウォールオプションを取得 (macOS のみ): このリモートアクションにより、macOS デバイスのシステム環境設定 > セキュリティとプライバシー > ファイアウォールの設定状況を確認する。

  • XProtect ステータスを取得 (macOS のみ): このリモートアクションにより、macOS デバイスのシステム環境設定 > ソフトウェアアップデート > 詳細設定内の XProtect 設定状況を取得します。

  • 暗号化情報を取得 (macOS のみ): このリモートアクションは、APFS ファイルシステムの暗号化および復号情報を取得するほか、FileVault が有効かどうかをチェックします。

  • macOS エンタープライズコンプライアンスを呼び出す: このリモートアクションは、macOS の状態に関する情報を提供し、セキュリティ設定、証明書のチェック、およびソフトウェアの検証といった複数の設定をチェックすることで macOS デバイスのコンプライアンス評価を行います。

これらのデータ収集リモートアクションのいくつかは、ライブダッシュボードを形成し、すでにスケジュールされています。ライブダッシュボードの KPI を調査するか、ご自身の調査から結果を照会できます。

検出された問題の一部を解決するために、必要に応じて以下のリモートアクションをトリガーすることができます:

  • ファイアウォールオプションを設定 (macOS のみ): このリモートアクションは、macOS デバイスのシステム環境設定 - セキュリティとプライバシー - ファイアウォールの設定を構成します。

  • XProtect ステータスを設定 (macOS のみ): このリモートアクションは、macOS デバイスのシステム環境設定 - ソフトウェアアップデート - 詳細設定内の XProtect ステータスを構成します。

  • 自動アップデートを設定 (macOS のみ): このリモートアクションは、macOS デバイスのシステム環境設定 > ソフトウェアアップデート > 詳細設定内の追加の macOS 自動アップデート設定を構成します。

ユースケース

改善が必要な領域の特定

ダッシュボードの概要タブには、デバイスとmacOSオペレーティングシステムの状態が簡単に表示されます。 この情報により、より詳細なトラブルシューティングのために、適切なタブに移動することができます。

ダッシュボードの上にあるフィルターは、特定の領域、デバイス、またはプラットフォームタイプにフォーカスするのに役立ちます。 タイムピッカーは、より詳細なまたは長期的なスケールでデータを表示することもできます。

概要

このタブは、環境内のデバイスの安定性、セキュリティ、安定性、およびコンプライアンスの概要を提供します。 ここで強調された情報に基づいて、詳細を得るために対応するタブに移動することができます。

このタブには、以下のカスタムフィールドに依存するウィジェットが含まれています: OSサポートバージョン、OSターゲット機能更新バージョン、およびOSターゲット品質更新バージョン。 カスタムフィールドの依存詳細については、参照してください。

標準化され最新のOSバージョンを維持することは、バージョンの相違を避け、OSパッチによってセキュリティの脆弱性が規則的に対処されることを保証するために重要です。

サポートされていないOSはすべてのmacOSデバイスを対象にし、ターゲット更新にないウィジェットは、macOSのサポートされているOSバージョンである: Sonoma、Ventura、Sequoia のみを対象としています。

提案される行動:

このダッシュボードのさまざまなリモートアクションを使用して是正措置を講じることができます。 詳細は、特定のタブの製品内文書の提案される行動セクションを参照してください。

セキュリティ

このセクションは、選択された期間中にアクティブであったデバイスについて、それらの設定がコンプライアンスに違反し、セキュリティ侵害を引き起こす可能性があることを提供します。

ポリシー設定およびエンタープライズ管理/MDM ツール設定を再確認するか、これらの非コンプライアンス問題を解決するためにリモートアクションを使用してください。

提案される行動

macOS デバイスにおける XProtect 更新とファイアウォールが無効の問題は、以下のリモートアクションを使って解決できます:

  • ファイアウォールオプションを設定: このリモートアクションは、macOS デバイスのシステム環境設定 - セキュリティとプライバシー - ファイアウォールの設定を構成します。

  • XProtect ステータスを設定: このリモートアクションは、macOS デバイスのシステム環境設定 - ソフトウェアアップデート - 詳細設定内の XProtect ステータスを構成します。

  • 自動アップデートを設定: このリモートアクションは、macOS デバイスのシステム環境設定 - ソフトウェアアップデート - 詳細設定内の追加の macOS 自動アップデート設定を構成します。

安定性

このセクションには、1週間以上再起動されていない macOS デバイスに関する情報が提供されています。 少なくとも週に一度、完全に起動(再起動または電源サイクル)することをお勧めします。

  • システムクラッシュのあるデバイス: このセクションには、システムクラッシュを経験した macOS デバイスに関する情報が提供されています。

  • ハードリセットを経験したデバイス: このセクションには、ハードリセットを経験した Windows および macOS デバイスに関する情報が提供されています。

  • Application クラッシュを経験したデバイス: このセクションには、クラッシュを経験した macOS デバイスに関する情報が提供されています。

  • Application フリーズを経験したデバイス: このセクションには、Application フリーズを経験した macOS デバイスに関する情報が提供されています。

アップデートとターゲット状態

このタブでは、macOS デバイスへのアップデートの展開に関する概要を提供します。 それは、アップデートを受け取っていないか、再起動を待っている状態で止まっているデバイスを追跡するのに役立つ情報を提供します。 次に、検出されたデバイスグループに関連付けられたエンタープライズ管理 software ポリシーを確認したり、欠落している更新をインストールするリモートアクションをトリガーしたり、ソフトウェアの自動更新設定を変更したりするなどの矯正措置を取ることができます。

これらのタブにおける品質および機能更新のターゲットバージョンは、「オペレーティングシステムターゲットバージョン」カスタムフィールドに指定されています。 これらのバージョンは、正確なコンプライアンスデータを保証するために定期的に更新される必要があります。

この情報は、macOS 更新の現在のコンプライアンス状況を理解し、非コンプライアンスの事例に対処することでセキュリティ違反を防ぐのに役立ちます。

「OS ターゲット品質更新バージョン」カスタムフィールドは、更新されたターゲットバージョンを指定します。 これらのバージョンは、正確なコンプライアンスデータを確保するために毎月更新される必要があります。

標準化され最新のOSバージョンを維持することは、バージョンの相違を避け、OSパッチによってセキュリティの脆弱性が規則的に対処されることを保証するために重要です。

サポートされていないOSはすべてのmacOSデバイスを対象にし、ターゲット更新にないウィジェットは、macOSのサポートされているOSバージョンである: Sonoma、Ventura、Sequoia のみを対象としています。

提案される行動

このダッシュボードに記載された問題は、以下のリモートアクションを使用して解決できます:

  • 自動アップデートを設定: このリモートアクションは、macOS デバイスのシステム環境設定 > ソフトウェアアップデート > 詳細設定内の追加の macOS 自動アップデート設定を構成します。

コンプライアンス: セキュリティ

このタブは、セキュリティテストの結果に関する情報を提供します。 これらのセキュリティチェックは、macOS システムの完全性と保護を保証するために重要です:

  • FileVault 回復: これは、パスワードを忘れた場合にデータを取得できるようにし、セキュリティ規制に準拠し、データ損失を防ぎ、組織内の全体的なセキュリティ対策を強化するために重要です。

  • 自動ログイン設定: 自動ログインを無効にすることで、システムが起動するたびに資格情報が要求されることにより、不正アクセスを防ぎます。デバイスが紛失したり盗難に遭った場合もデータを保護します。

  • ブートストラップトークン: このトークンは、デバイスを確実に登録し、MDM ソリューション内で管理できるようにすることで、デバイス管理を容易にします。

  • FileVault キーエスクロー設定: この設定により、FileVault 回復キーが安全に保存され、アクセス資格情報を失った場合でも暗号化データを回復できるようになります。

  • FileVault ステータス: フルディスク暗号化が有効かどうかについての情報を提供し、ハードドライブに保存されたデータが不正アクセスから保護されます。

  • ファイアウォール設定: 不要な受信ネットワーク接続からデバイスを保護し、潜在的な外部の脅威への露出を制限するために、システムファイアウォールがアクティブであることを保証します。

  • Gatekeeper ステータス: Gatekeeper がアクティブかどうかを確認し、潜在的に有害なアプリケーションをブロックし、実行された software の完全性を維持することでシステムを保護します。

  • Gatekeeper 管理者によるオーバーライド: 検証されていないアプリケーションを実行することを許可するために例外が設けられているかどうかを確認し、これにより macOS のデフォルトの保護を回避することはセキュリティリスクをもたらす可能性があります。

  • Gatekeeper 管理者設定: Gatekeeper ポリシーが適切に設定され、Apple またはアプリストアからダウンロードされていない悪意のあるソフトウェアの実行が防止されます。

  • ゲストアカウント設定: ゲストアカウントの設定が無効化されているか、または適切に制限されているかを確認することが重要です。 これにより、ゲストアカウントは一般的にパスワードを要求しないため、デバイスのセキュリティが危険にさらされる可能性があります。

  • ルートユーザー状態: そのユーザーへの高レベルのアクセスのため、ルートユーザーの状態を監視することが重要です。 有効で制御されていないルートユーザーは、不適切な手に渡った場合、システムセキュリティを深刻に危険にさらす可能性があります。

  • セキュアトークン: セキュアトークンは、macOS のユーザー管理およびFileVault暗号化に不可欠です。 セキュアトークンが適切に発行され、ユーザーが重大な設定を管理するのに必要な権限を持っていることを確認することで、セキュリティを妥協せずに保証します。

  • SIP ステータス: System Integrity Protection (SIP) は、システムファイルおよびプロセスへのアクセスを制限するセキュリティ対策です。 SIP を有効にすることで、オペレーティングシステムは不正な変更から保護され、悪意ある software に対する抵抗力が向上します。

これらのパラメーターはすべて、macOS 上でのより安全な環境を提供し、不正アクセスから保護し、システムの完全性を維持するのに寄与します。

コンプライアンス: 証明書

このタブは、宛先への接続テストの結果に関する情報を提供します。 これらのテストは、証明書の適切な検証を確保し、セキュリティアップデートを有効にし、サービスへの適切なアクセスを保証し、正確な問題診断をサポートし、法規制への準拠を維持します。

certs.apple.com:443, certs.apple.com:443, crl.apple.com:80, crl3.digicert.com:80, crl4.digicert.com:80, ocsp.apple.com:80 などの宛先の到達可能性をテストすることは、macOS セキュリティにとって重要である理由を次に示します。

  • 証明書の検証: デジタル証明書を検証し、SSL/TLS接続が安全であることを保証し、中間者攻撃を防ぎます。

  • セキュリティアップデート: セキュリティおよび証明書の更新を受け取り、脆弱性から保護するには、接続性が不可欠です。

  • サービスアクセス: 多くの Apple のサービスは、デジタル証明書を使用して安全に認証され、接続を確認することでサービス中断を防ぎます。

  • コンプライアンス: エンタープライズ環境で、重要なサーバーへのアクセスをチェックすることで、ITポリシーおよびセキュリティ規制への準拠を保証します。

  • 問題の診断: 接続テストは、デバイスの機能性およびセキュリティに影響を与えるネットワークまたは構成上の問題の診断および解決をサポートします。

コンプライアンス: 管理

ソフトウェアコンプライアンスチェック

これらのチェックは、macOS システムが安全で、IT ポリシーに準拠し、最新の software 進捗と保護を受けていることを確保します。

  • 管理者専用のソフトウェアアップデートをテスト: これは、ソフトウェア更新が管理者ユーザーに限定され、承認された更新のみがインストールされるようにすることで、不正な software 変更を防ぎます。

  • Application の自動更新インストールをテスト: アプリケーションが自動更新用に設定されていることを確認し、ユーザーの介入なしで最新のセキュリティパッチと機能が維持されます。

  • macOS の自動更新インストールをテスト: macOS が自動的に更新されるように設定されていることを確認し、最新のパッチおよび脆弱性に対する保護を適用してシステムのセキュリティと安定性を維持します。

  • コンテンツキャッシュサーバーをテスト: コンテンツキャッシュサーバーの機能を確認し、ネットワーク使用率を最適化し、他のデバイスのためにソフトウェアインストールおよび更新をローカルで保存することで、インストールおよび更新を高速化します。

  • 廃止予定のソフトウェア更新サーバー plistをテスト: 古いまたは廃止予定の plist 構成を特定し、現在のセキュリティ基準に準拠していない手法に依存していないことを確認します。

  • セキュリティ廃止予定ソフトウェア更新サーバープロファイルをテスト: 廃止予定のソフトウェア更新サーバープロファイルの使用を評価し、最新のベストプラクティスに沿った維持を確保し、廃止された設定に関連する潜在的なセキュリティリスクを防止します。

<figure><img src="../../../.gitbook/assets/image (170).png" alt=""><figcaption></figcaption></figure>

アプリケーションコンプライアンスチェック

これらのチェックは、software管理とセキュリティのベストプラクティスに沿った、安全で準拠した macOS 環境を維持するために重要です:

  • 非承認アプリケーションをテスト: これは、組織によって承認されたアプリケーションのみがシステムにインストールされていることを保証します。 これにより、未検証の software の使用が防止され、セキュリティの脆弱性が減少され、組織のポリシーへの準拠が確保されます。

  • 非ユニバーサルアプリケーションをテスト: Intel および Apple Silicon アーキテクチャと互換性のないアプリを特定します。 アプリの互換性を確保することで、macOS が新しい hardware アーキテクチャに移行するときのシームレスな操作性と software 標準への準拠をサポートします。

  • 未署名のアプリケーションをテスト: これは、信頼できる開発者からの有効なデジタル署名を持たないアプリケーションを検出します。 未署名のアプリを強調することにより、システムはその完全性とセキュリティを維持します。未署名のアプリはセキュリティの脅威になるか、改ざんされる可能性があり、コンプライアンスプロトコルに違反します。

<figure><img src="../../../.gitbook/assets/image (171).png" alt=""><figcaption></figcaption></figure>

管理コンプライアンスチェック

これらのチェックは、macOS 環境を安全かつ準拠させるために不可欠であり、カーネルおよびネットワーク設定が組織および業界基準に準拠していることを保証します:

  • 非コンプライアンスを含むデバイス: カーネル: このカテゴリーは、コンプライアンス基準を満たしていないカーネル設定を持つデバイスを特定します。 カーネル設定がセキュリティポリシーに準拠していることを確保することは重要であり、カーネルレベルの脆弱性が重大なセキュリティ違反や安定性の問題を引き起こす可能性があります。

  • 非準拠のデバイス:ネットワーク: ネットワーク設定または構成が準拠要件を満たしていないデバイスをハイライトします。 ネットワークの準拠を維持することは、データの送信中の保護、不正アクセスの防止、組織内外での安全な通信を確保するために不可欠です。

Identity Compliance

これらのチェックは、安全で準拠したmacOS環境を維持し、MDMを通じての効果的な管理と組織のポリシーの遵守を促進するために不可欠です:

  • MDM登録: デバイスが適切にモバイルデバイス管理 (MDM) システムに登録されていることを確認します。 適切な登録により、デバイスは一貫して管理され、必要な設定を受け取り、組織のポリシーに準拠します。

  • MDM登録タイプ: デバイスで使用されるMDM登録のタイプを評価します。 異なる登録タイプは、さまざまなレベルの制御と機能を提供する可能性があるため、適切なタイプが使用されていることを確認することが、コンプライアンスと効果的な管理にとって重要です。

  • MDM外部到達性: デバイスが外部ネットワークからMDM serverと通信できるかどうかを確認します。 外部到達性を確保することは、リモート管理にとって重要であり、場所に関係なくデバイスが更新や構成を受け取れるようにします。

  • MDM URL: デバイスにMDM serverのURLが正しく設定されていることを検証します。 適切な設定により管理serverとのスムーズな通信が確保され、一貫したポリシーの適用とデバイス管理が可能になります。

関連トピック

Last updated

© Nexthink

プライバシーポリシー (英語版)責任ある情報開示ポリシー (英語版)