SAP Privileges 2では、 Kandjiの Privileges Checker が提供する多くの機能がネイティブにサポートされています。SAP Privileges 2 の管理に関する詳細なガイダンスについては、 SAP's wikiを参照してください。SAP Privileges 2 で使用可能なすべての設定を含むサンプル .mobileconfig は、GitHub repoにあります。
SAP Privilegesとは何ですか?
SAP Privileges は、 macOS 向けのオープンソースツールであり、ユーザーは必要に応じてユーザーアカウントを一時的に標準から管理に昇格できます。これは、セキュリティのベストプラクティスで、ユーザーが日常のタスクに必要な最小限の特権で操作する必要があるが、特定のアクションには管理者権限が必要な場合がある環境で特に役立ちます。
SAP Privileges の仕組みを教えてください。
macOS 用の SAP Privileges アプリを使用すると、ユーザーは特権を昇格して一時的に管理タスクを実行できます。SAP Privileges の組み込み機能では、時間ベースの権利の有効期限がサポートされていますが、最初に Dock アイコンを右クリックして [Toggle Privileges] オプションを選択することで特権が付与された場合に限ります。これは、ユーザーがこの特定の方法を使用して権限を昇格すると、アプリは設定された期間後にユーザーを標準の権限に戻すことを意味します。
ただし、ユーザーは完全なSAP Privilegesアプリを起動して、Dockアイコン方式をバイパスして特権を昇格することもできます。これに対処するために、フルアプリの起動など、他の方法で権限が昇格された場合でもタイムアウトを強制するコンパニオンコードをリリースしました。
Kandji での SAP 権限の設定
必要条件
権限チェッカー監査スクリプト (GitHub リンク)
特権チェッカー修復スクリプト (GitHub リンク)
カスタムプロファイル作成用のツール (iMazing Profile Editor など)
SAP Privileges Auto App、カスタムスクリプト、およびカスタムプロファイルはすべて同じ Blueprintに追加する必要があります
ユーザー アカウントを標準に降格する Parameter 機能は、特権が割り当てられているすべての Assignment Maps または Classic Blueprints で無効にする必要があります
SAP Privileges Auto Appの追加
この Auto App は、SAP Privileges および Privileges Checker のバックグラウンド項目を許可する構成プロファイルをデプロイします。これは、アドオンのコア機能を確保するためのものであり、権限チェッカーが存在しない場合でも影響はありません。
このLibrary ItemをKandji Libraryに追加するには、 Libraryの概要 の記事で説明されている手順に従ってください。
Auto AppをテストBlueprintに割り当てます。
目的のインストール方法を選択し、[ 保存]をクリックします。
権限チェッカースクリプトの追加と設定
このスクリプトがデプロイされると、Privileges Checker は、設定されたタイムアウトの期限が切れた後に、ログインしたユーザーの権限を取り消します。
カスタムスクリプトLibrary Itemを追加する
このLibrary ItemをKandji Libraryに追加するには、 Libraryの概要 の記事で説明されている手順に従ってください。
新しいカスタムスクリプトLibrary Item に 名前を付けます。
ご希望の Assignment Maps または Classic Blueprintsに割り当てます。
[実行頻度] として [15 分ごとに実行] を選択します。
以前にダウンロードした監査スクリプトを [監査スクリプト ] テキスト フィールドに貼り付けます。65 行目のスクリプトを編集して、 USE_PROFILE_TIMEOUT のブール値と USERS_TO_EXCLUDE の文字列値を設定します。
USE_PROFILE_TIMEOUTの場合:
True または False に設定: Privileges 構成プロファイルで設定された DockToggleTimeout キーからタイムアウトを分単位で強制します (以下を参照)。
値が True とマークされているが、プロファイルがインストールされていない場合、 または DockToggleTimeout キーが定義されていない場合、タイムアウトは既定で MINUTES_TO_WAIT になります。それ以外の場合、構成プロファイルはローカルに設定された MINUTES_TO_WAITの値 を上書きします。
USERS_TO_EXCLUDEの場合:
管理者が定義されていない場合、すべての管理者が降格されます。
管理者名は二重引用符で囲む必要があります。
以前にダウンロードした修復スクリプトを [修復スクリプト ] テキスト フィールドに貼り付けます。56 行目のスクリプトを編集して、MINUTES_TO_WAIT の整数値を設定します 。 これは、エンドユーザーに付与された管理者権限を付与される分数です。
64 行目のスクリプトを編集して、 USE_PROFILE_TIMEOUT のブール値を設定します。
True または False に設定: Privileges 構成プロファイルで設定された DockToggleTimeout キーからタイムアウトを分単位で強制します (以下を参照)。
値が True とマークされているが、プロファイルがインストールされていない場合、 または DockToggleTimeout キーが定義されていない場合、タイムアウトは既定で MINUTES_TO_WAIT になります。それ以外の場合、構成プロファイルはローカルに設定された値 MINUTES_TO_WAIT を上書きします。
72 行目のスクリプトを編集して、 USERS_TO_EXCLUDE の文字列値を設定します。
管理者名は二重引用符で囲む必要があります。
「保存」をクリックします。
カスタムプロファイルの作成
スクリプトを使用して権限タイムアウトを設定する場合、プロファイルの作成はオプショナルです。また、SAP Privileges がサポートする追加のプロファイルオプションについては、 SAP Privileges の GitHub ページでも確認できます。
カスタムプロファイルのEnforcePrivilegesキーに任意の値が設定されている場合、権限チェッカーで使用されるPrivilegesCLIが無効になり、ユーザーを降格する機能が上書きされます。
iMazingプロファイルエディタを開く
左側で、[使用可能なシステムドメイン]の下の [SAP権限 ]を見つけてクリックします。
「構成ペイロードの追加(Add Configuration Payload)」をクリックします。
[Dock Toggle Timeout] に値を入力します。
権限が DockToggleTimeout ペイロードで構成されているが、権限チェッカーがデプロイされていない場合、権限の期限付き取り消しは、ユーザが権限ドック アイコンを右クリックして [権限の切り替え] を選択した場合にのみ発生します。
必要に応じて、SAP Privileges の追加設定を構成します。
[一般]セクションをクリックします。[名前] と [識別子] に必要な値を入力します。
Command + Sを押してプロファイルを保存します。
カスタムプロファイルの追加と設定
このLibrary ItemをKandji Libraryに追加するには、 Libraryの概要 の記事で説明されている手順に従ってください。
プロファイルに 名前を付けます。
カスタムプロファイルをテストBlueprintに割り当てます。
[デバイスファミリ] を [Mac] に設定します。
上記でカスタマイズして保存した .mobileconfig をアップロードします。
カスタムプロファイルを保存します。
Privileges Checker の技術的な詳細については、 Kandji Support GitHub リポジトリを参照してください。