権限チェッカーを使用した SAP Privileges Auto App のデプロイ

  • hC
  • EF

SAP Privilegesとは何ですか?

SAP Privileges は、 macOS 向けのオープンソースツールであり、ユーザーは必要に応じてユーザーアカウントを一時的に標準から管理に昇格できます。これは、セキュリティのベストプラクティスで、ユーザーが日常のタスクに必要な最小限の特権で操作する必要があるが、特定のアクションには管理者権限が必要な場合がある環境で特に役立ちます。

SAP Privileges の仕組み

macOS 用の SAP Privileges アプリを使用すると、ユーザーは権限を昇格して一時的に管理タスクを実行できます。SAP Privileges の組み込み機能では、時間ベースの権利の有効期限がサポートされていますが、これは最初に Dock アイコンを右クリックして [Toggle Privileges] オプションを選択することで特権が付与された場合に限ります。これは、ユーザーがこの特定の方法を使用して権限を昇格すると、アプリは設定された期間後にユーザーを標準の権限に戻すことを意味します。

ただし、ユーザーは完全なSAP Privilegesアプリを起動して、Dockアイコン方式をバイパスして特権を昇格することもできます。これに対処するために、フル アプリの起動など、他の方法で権限が昇格された場合でもタイムアウトを強制するコンパニオンコードをリリースしました。

Kandji での SAP 権限の設定

必要条件

  • 権限チェッカー監査スクリプト (GitHub リンク)

  • 特権チェッカー修復スクリプト (GitHub リンク)

  • カスタムプロファイル作成用のツール (iMazing Profile Editor など)

  • SAP Privileges Auto App、カスタムスクリプト、および カスタムプロファイル はすべて同じ Blueprintに追加する必要があります

  • ユーザーアカウントを標準に降格する Parameterは、特権が割り当てられているすべての Assignment Maps または Classic Blueprints で無効にする必要があります

SAP Privileges Auto Appの追加

この Auto App は、SAP Privileges および Privileges Checker のバックグラウンド項目を許可する構成プロファイルをデプロイします。これは、アドオンのコア機能を確保するためのものであり、権限チェッカーが存在しない場合でも影響はありません。

  1. 左側のナビゲーションバーで[ ライブラリ ]をクリックします。

  2. 右上隅にある[ 新規追加 ]をクリックします。

  3. 検索バーに 「Privileges(権限 )」と入力するか、「 Auto App 」セクションまでスクロールして 「SAP Privileges」を見つけます。

  4. 「SAP Privileges」アイテムの「追加と設定」をクリックします。

  5. Auto AppをテストBlueprintに割り当てます。

  6. 目的のインストール方法を選択し、[ 保存]をクリックします。

権限チェッカースクリプトの追加と設定

このスクリプトがデプロイされると、Privileges Checker は、設定されたタイムアウトの期限が切れた後に、ログインしたユーザーの権限を取り消します。

カスタムスクリプトライブラリアイテムを追加する

  1. 左側のナビゲーションバーで [ライブラリ]に移動します。

  2. 右上の「 新規追加 」をクリックし、「カスタムスクリプト」を選択します。

  3. 「追加と設定」をクリックします。

  4. 新しいライブラリアイテムに名前を付けます。 

  5. ご希望の Assignment Maps または Classic Blueprintsに割り当てます。 

  6. [実行頻度] として [15 分ごとに実行] を選択します。 

  7. 先にダウンロードしておいた監査スクリプトを [監査スクリプト] テキストフィールドに貼り付けます。65 行目のスクリプトを編集して、 USE_PROFILE_TIMEOUT のブール値と USERS_TO_EXCLUDE の文字列値を設定します。

    • USE_PROFILE_TIMEOUTの場合:

      1. True または False に設定: Privileges 構成プロファイルで設定された DockToggleTimeout キーからタイムアウトを分単位で強制します (以下を参照)。

      2. 値が True とマークされているが、プロファイルがインストールされていない場合、 または DockToggleTimeout キーが定義されていない場合、タイムアウトは既定で MINUTES_TO_WAIT になります。それ以外の場合、構成プロファイルはローカルに設定された値 MINUTES_TO_WAIT を上書きします。

    • USERS_TO_EXCLUDEの場合:

      1. 管理者が定義されていない場合、すべての管理者が降格されます。

      2. 管理者名は二重引用符で囲む必要があります。 

  8. 先にダウンロードしておいた修復スクリプトを [修復スクリプト] テキスト フィールドに貼り付けます。56 行目のスクリプトを編集して、MINUTES_TO_WAIT の整数値を設定します 。 これは、エンド ユーザに付与された管理者権限を分単位で付与する時間です。

  9. 64 行目のスクリプトを編集して、 USE_PROFILE_TIMEOUT のブール値を設定します。

    1. True または False に設定: Privileges 構成プロファイルで設定された DockToggleTimeout キーからタイムアウトを分単位で強制します (以下を参照)。

    2. 値が True とマークされているが、プロファイルがインストールされていない場合、 または DockToggleTimeout キーが定義されていない場合、タイムアウトは既定で MINUTES_TO_WAIT になります。それ以外の場合、構成プロファイルはローカルに設定された値 MINUTES_TO_WAIT を上書きします。

  10. 72 行目のスクリプトを編集して、 USERS_TO_EXCLUDE の文字列値を設定します。

    1. 管理者名は二重引用符で囲む必要があります。

  11. 「保存」をクリックします。 

カスタムプロファイルの作成

スクリプトを使用して権限タイムアウトを設定する場合、プロファイルの作成手順はオプションです。また、SAP Privileges がサポートする追加のプロファイルオプションについては、 SAP Privileges の GitHub ページでも確認できます。

カスタムプロファイルのEnforcePrivilegesキーに任意の値が設定されている場合、権限チェッカーで使用されるPrivilegesCLIが無効になり、ユーザーを降格する機能が上書きされます。

  1. iMazingプロファイルエディタを開きます。

  2. 左側で、[使用可能なシステムドメイン]の下の[SAP権限]を見つけてクリックします

  3. 「構成ペイロードを追加をクリックします。

  4. [Dockトグルタイムアウト] に値を入力します。

    • 権限が DockToggleTimeout ペイロードで構成されているが、権限チェッカーがデプロイされていない場合、権限の期限付き取り消しは、ユーザが権限ドックアイコンを右クリックして [権限の切り替え] を選択した場合にのみ発生します。

  5. 必要に応じて、SAP Privileges の追加設定を構成します。

  6. [一般]セクションをクリックします。[名前] と [識別子] に必要な値を入力します。

  7. Command + Sを押してプロファイルを保存します。 

カスタムプロファイルの追加と設定

  1. Kandji ウェブアプリで、左側のナビゲーションバーにある [ライブラリ] をクリックします。

  2. 右上隅にある「 新規追加 」をクリックします。

  3. 「新規追加」ウィンドウで 「カスタムプロファイル 」をクリックします。

  4. プロファイルに 名前を付けます

  5. カスタムプロファイルをテストBlueprintに割り当てます

  6. [デバイスファミリー] を [Mac] に設定します。

  7. 上記でカスタマイズして保存した .mobileconfig をアップロードします

  1. カスタムプロファイルを保存します

Privileges Checker の技術的な詳細については、 Kandji Support GitHub リポジトリを参照してください。