プライバシー設定ポリシー制御 (PPPC) プロファイルの作成

PPPCとは?

macOS のプライバシー設定ポリシー制御 (PPPC) は、管理者がアプリの権限を管理し、ユーザーデータを保護するのに役立ちます。PPPC プロファイルを使用すると、カメラ、マイク、ファイル システムなどのシステム サービスへのアプリのアクセスを事前に承認できるため、手動でのユーザー承認が不要になり、デプロイ プロセスが簡素化されます。

PPPC と TCC 制御のしくみ

Appleのプライバシー要件により、カメラ、マイク、および画面録画へのアクセスには、承認するために常にユーザーの操作が必要です。

macOS Mojave(10.14)以降、AppleのPPPCペイロードでは、ユーザー情報の保護に不可欠なTCC(Transparency, Consent, and Control)設定を構成できます。PPPC プロファイルを使用すると、管理者は、カメラ、マイク、ファイル システムなどのシステム サービスへのアプリ アクセスを事前に承認または拒否できます。管理者は、各アプリの権限、バンドル ID、およびコード要件を指定する XML ファイルを使用して、これらのプロファイルを作成します。作成されると、これらのプロファイルは MDMを介して展開され、登録済みのmacOSデバイスに設定が適用されます。

プライバシープロファイルが必要なアプリの特定

アプリに追加のプライバシー権限が必要かどうかを判断するには、次の手順に従います。設定パネルは、 macOS のバージョンによって異なる場合があることに注意してください。

macOS 13 Ventura以降の場合

1. テスト デバイスまたは macOS 仮想マシンにアプリをインストールします。

2. アプリを起動し、アクセシビリティ機能やダウンロード フォルダーへのアクセスを要求するダイアログなど、表示される UI ダイアログに注意してください。

3. 「システム設定」に移動し、「 プライバシーとセキュリティ」をクリックします。

4. 右側で [アクセシビリティ] などのオプションを選択します。アプリがここにリストされている場合は、そのアプリにこの PPPC 権限が必要であることを示しています。 

5. リストされたアプリを右クリックし、[ Finder に表示 ] を選択します。Finder は、問題のアプリが選択された状態で起動します。アプリケーションをターミナルにドラッグアンドドロップして、次のステップで使用するフルパスを取得できます。 

macOS 13 Venturaより前のmacOSバージョンの場合

1. テスト デバイスまたは macOS 仮想マシンにアプリをインストールします。

2. アプリを起動し、アクセシビリティ機能やダウンロード フォルダーへのアクセスを要求するダイアログなど、表示される UI ダイアログに注意してください。

3. システム設定に移動し、 セキュリティとプライバシーをクリックします。

4. [プライバシー ] タブを選択します。 

5. 右側で [アクセシビリティ] などのオプションを選択します。アプリがここにリストされている場合は、そのアプリにこの PPPC 権限が必要であることを示しています。 

6. リストされたアプリを右クリックし、[ Finder に表示 ] を選択します。Finder は、問題のアプリが選択された状態で起動します。アプリケーションをターミナルにドラッグアンドドロップして、次のステップで使用するフルパスを取得できます。 

識別子とコード要件の決定

PPPC プロファイルを作成するには、アプリケーションのコード要件と識別子を知っている必要があります。この情報は、アプリケーションがインストールされているMacのターミナルを使用して簡単に収集できます。

1. アプリケーションがインストールされている macOS デバイスでターミナルを起動します。

2. 次のコマンドを実行し、/Applications/zoom.us.app をアプリケーションへのパスに置き換えます 。

   codesign -dr - "/Applications/zoom.us.app"

3. 出力結果が表示されたら、 => 文字より後のすべてのテキストをコピーします。末尾または先頭のスペースはコピーしないでください。この出力が コード要件です。引用符で囲まれた部分 (例: "us.zoom.xos") が 識別子です。 

Kandji を使用したプライバシープロファイルの設定

アプリケーション情報を収集したら、 Kandji ウェブアプリでプライバシープロファイルを作成できます。

MDM を使用して展開されたプライバシー設定は、システム設定のグラフィカル ユーザー インターフェイスに表示されません。

1. 左側のナビゲーションバーで [ライブラリ ]に移動します。

2. 右上隅にある[ 新規追加 ]ボタンをクリックします。

3. プライバシー Library Itemを見つけます。

4. 「追加と設定」をクリックします。 

5. プロフィールにわかりやすい 名前を付けます。

6. Blueprintドロップダウンから含めるBlueprintを選択します。このLibrary Itemは、Assignment Map自体からAssignment Mapに追加できます。

7. 必要に応じて、 割り当てルールを設定します。 

8. 出力のコード要件の最初の部分に識別子が含まれている場合は、識別子の種類を バンドル ID に設定したままにします。それ以外の場合は、[ パス] を選択します。

9. コード要件の最初の部分にある 識別子 を貼り付けます。 

   • 上記の 「パス 」を選択した場合は、プロファイルのパスを入力します。

10. ターミナルからコピーした完全なコード要件を貼り付けます。コード要件の先頭または末尾にスペースがないことを確認します。不要な文字がプロファイルのデプロイを妨げる可能性があります。

11. 必要に応じて、[ コード要件を静的に検証する ] チェックボックスをオンにします。このオプションは、プロセスが動的コード署名を無効にする場合にのみ使用されます。

12. [アプリ] または [サービス ] ドロップダウンからオプションを選択します。 

    • この選択は、アプリケーションの要件によって異なります。詳細については、このガイドの Determine Which Apps Need a Privacy Profile セクションを参照してください。

13. 必要に応じて、[ Add app access] をクリックして、PPPC プロファイルにアプリのアクセスを追加できます。 

14. 右下隅にある[ 保存 ]をクリックします。