構成プロファイルリファレンス

構成プロファイル(XMLファイル)を使って構成情報を配信できます。多数のデバイスの構成作業を一括して行う、独自の電子メール設定やネットワーク設定をまとめて実施する、多数のデバイスの認証を行う、などの目的に有用です。

構成プロファイルには次のような多数の設定項目があります。

構成プロファイルはプロパティリスト形式で記述され、Data値はBase64でエンコードして格納します。.plist形式の読み書きはどのようなXMLライブラリでも可能です。

構成プロファイルの配布方法は5通りあります。

iOSとmacOSは、どちらも暗号化を使用してプロファイルの内容を保護します。署名を施してデータの整合性を保証することも可能です。暗号化されたプロファイルの配布について詳しくは、『無線接続を介した構成プロファイルの配布と設定』を参照してください。

デバイスは、Apple Configurator(iOS 5以降)やDevice Enrollment Program(iOS 7以降)で配備用として準備する際、監視の対象にすることができます。Apple Configuratorについて詳しくは、「Apple Configurator」のMac App Storeに関する説明を参照してください。

Device Enrollment Program(DEP)の一般的な情報については、Appleの「Corporate-owned deployments made simple」または「IT in Education」を参照してください。詳しくは、「Apple Deployment Programヘルプ」を参照してください。

そのとき、構成プロファイルを使えば、より多くの設定事項が制御可能です。この資料では、プロファイルで使用可能なキーを説明し、実際に作成したXMLペイロードの例を示します。

構成プロファイルキー

構成プロファイルはプロパティリスト形式で、その最上位には次のようなキーがあります。

キー

内容

PayloadContent

配列

必要な場合のみ。ペイロード辞書の配列。IsEncryptedがtrueの場合は存在しません。

PayloadDescription

文字列

必要な場合のみ。プロファイルの説明。これが「Detail」画面に表示されます。このプロファイルをインストールするべきか、ユーザーが判断できるように記述してください。

PayloadDisplayName

文字列

必要な場合のみ。(人が読める形の)プロファイル名。これが「Detail」画面に表示されます。一意的でなくても構いません。

PayloadExpirationDate

日付

必要な場合のみ。プロファイルが期限切れになり、無線接続を介して更新できるようになる日付。このキーはワイヤレスプロファイル配送機能を利用する場合にのみ使います。

PayloadIdentifier

文字列

プロファイルの特定に用いる、逆DNS形式の識別子(たとえば「com.example.myprofile」)。新しいプロファイルが渡されたとき、既存のプロファイルを置き換えるか、新たに追加するかを判断するために使います。

PayloadOrganization

文字列

必要な場合のみ。このペイロードを提供する組織名。人が読める形の文字列で指定します。

PayloadUUID

文字列

プロファイルを特定する汎用一意識別子(UUID、Universally Unique IDentifier)。実際の中身は何でも構いませんが、世界全体で一意な識別子でなければなりません。macOSでは、uuidgenを使って生成できます。

PayloadRemovalDisallowed

ブール型

必要な場合のみ。監視対象のみ。このキーが存在し値がtrueであれば、ユーザーはプロファイルを削除できません(削除パスワードが設定されており、ユーザーがそれを知っている場合を除く)。

PayloadType

文字列

設定可能な値は「Configuration」に限ります。

PayloadVersion

整数

プロファイル形式のバージョン番号。構成プロファイル全体のバージョンを表します。プロファイルに含まれる個々のペイロードのバージョンではありません。

現状では、常に1を指定してください。

PayloadScope

文字列

必要な場合のみ。プロファイルのインストール先(システム用、ユーザー用)を表します。多くの場合、証明項目の場所(キーチェーンなど)もこれによって決まります。個々に異なるペイロードスコープを宣言することはできませんが、VPNなどのペイロードは、必要に応じて自動的に、両方のスコープにインストールすることがあります。

SystemUserのいずれかを指定します(Userがデフォルト値)。

設定可能なバージョン:macOS 10.7以降。

RemovalDate

日付

必要な場合のみ。プロファイルを自動的に削除する日付。

DurationUntilRemoval

Float

必要な場合のみ。プロファイルを自動削除するまでの時間(秒単位)。RemovalDateキーも存在する場合、早い方の日付を使います。

ConsentText

辞書

必要な場合のみ。辞書には、次のキーと値が含まれます。

  • 同意またはライセンス契約が得られる各言語の場合、キーはその言語のIETF BCP 47識別子(enjpなど)で構成され、値はその言語にローカライズされた契約で構成されます。契約はダイアログに表示されます。ユーザーはプロファイルのインストールを始める前にこれに同意する必要があります。

  • オプションのキーであるdefaultには、ローカライズされていない契約(通常はen)の値が構成されます。

システムはローカライズした版を、ユーザーが指定した環境設定の順序(macOSの場合)、またはユーザーが設定した言語(iOSの場合)にもとづいて選択します。完全一致するロケールがなければ、デフォルトのロケールを適用します。デフォルトのロケールの設定がなければ、enを適用します。さらに、enロケールもなければ、最初に見つかったロケールを適用するようになっています。

可能な場合にはデフォルト値を設定する必要があります。ユーザーのロケール設定に合致するキーがConsentText辞書にない場合でも、警告が表示されることはありません。

ペイロード辞書のキーについては次節で説明します。

どのペイロードにも共通なペイロード辞書のキー

PayloadContent値がペイロードに与えられていれば、配列の各要素は、構成ペイロードを表す辞書になります。以下のキーはどのペイロードにも共通です。

キー

内容

PayloadType

文字列

ペイロードの型。詳しくは、「ペイロード特有のプロパティキー」を参照してください。

PayloadVersion

整数

個々のペイロードのバージョン番号。

プロファイルには異なるバージョンのペイロードが混在していても構いません。たとえば、iOSのVPNソフトウェアに新しいバージョンのペイロードを組み込んで新機能に対応する一方、電子メールに関するペイロードは従来のままにしておく、といったことが可能です。

PayloadIdentifier

文字列

当該ペイロードの特定に用いる、逆DNS形式の識別子。通常、ルートレベルのPayloadIdentifier値と同じ識別子に、追加要素を付加して指定します。

PayloadUUID

文字列

ペイロードを特定する汎用一意識別子。実際の中身は何でも構いませんが、世界全体で一意な識別子でなければなりません。macOSでは、uuidgenを使って生成できます。

PayloadDisplayName

文字列

(人が読める形の)ペイロード名。これが「Detail」画面に表示されます。一意的でなくても構いません。

PayloadDescription

文字列

必要な場合のみ。このペイロードの説明。人が読める形の文字列で指定します。これが「Detail」画面に表示されます。

PayloadOrganization

文字列

必要な場合のみ。このペイロードを提供する組織名。人が読める形の文字列で指定します。

プロファイル全体を提供する組織とは同じでなくても構いません。

ペイロード特有のプロパティキー

標準的なペイロードキー(「どのペイロードにも共通なペイロード辞書のキー」を参照)に加え、個々のペイロード型に特有のキーもあります。以下、ペイロード特有のキーについて説明します。

「Active Directory Certificate」プロファイルペイロード

「Active Directory Certificate」プロファイルペイロードは、PayloadType値としてcom.apple.ADCertificate.managedを与えることにより指定します。

DCE/RPCおよび「Active Directory Certificate」プロファイルペイロードのキーを使って、Microsoft認証局(CA)に証明書を要求することができます(support.apple.com/kb/HT5357を参照)。

このペイロードには、次の一意のキーが含まれます。

キー

AllowAllAppsAccess

ブール型

trueならば、アプリケーションはプライベートキーにアクセスできます。

CertServer

文字列

CAを発行しているActive Directoryの完全修飾ホスト名。

CertTemplate

文字列

証明書テンプレートにあるMicrosoft管理コンソールスナップインコンポーネントの、テンプレートオブジェクトの[一般]タブに表示されるテンプレート名。

CertificateAcquisitionMechanism

文字列

一般的には「RPC」です。"Web登録"を使用する場合は「HTTP」です。

CertificateAuthority

文字列

CAの名前。この値は、Active Directoryの共通名(CN)によって決定されます。CN=<自分のCA名>、CN='証明機関', CN='公開鍵サービス', CN='サービス'、またはCN='構成', <ドメインの基本名>となります。

CertificateRenewalTimeInterval

整数

証明書の有効期限が切れる何日前に、通知センターからユーザーに知らせるかを指定します。

Description

文字列

証明書IDのわかりやすい説明。

KeyIsExtractable

ブール型

trueならば、秘密鍵をエクスポートできます。

PromptForCredentials

ブール型

プロファイルの配布方法として手動ダウンロードが選択されている場合のみ、ユーザー証明書に適用されます。trueならば、プロファイルのインストール時に資格情報の入力が求められます。コンピュータ証明書の場合は、このキーを省略します。

Keysize

整数

必要な場合のみ。デフォルト値は2048です。証明書署名要求(CSR)のRSAキーのサイズ。

設定可能なバージョン:macOS 10.11以降。

EnableAutoRenewal

ブール型

必要な場合のみ。trueに設定すると、このペイロードを使って取得した証明書の自動更新が試行されるようになります。デバイスのActive Directory証明書ペイロードにのみ適用されます。

設定可能なバージョン:macOS 10.13.4以降。

「AirPlay」ペイロード

「AirPlay」ペイロードは、PayloadTypeの値としてcom.apple.airplayを与えることにより指定します。

このペイロードは、iOS 7.0以降、macOS 10.10以降でのみ使えます。

キー

Whitelist

辞書の配列

必要な場合のみ。監視対象のみ(それ以外の場合は無視)。指定されている場合、このリストに列挙されているAirPlayデスティネーションにのみ接続できます。

辞書の形式については後述。

Passwords

辞書の配列

必要な場合のみ。指定があれば、既知のAirPlayデスティネーションにパスワードを設定します。辞書の形式については後述。

Whitelistは辞書の配列で、それぞれの辞書には次のフィールドがあります。

キー

DeviceID

文字列

AirPlayデスティネーションのデバイスID。「xx:xx:xx:xx:xx:xx」という形式です。大文字と小文字は区別されません。

Passwordsは辞書の配列で、それぞれの辞書には次のフィールドがあります。

キー

DeviceName

文字列

AirPlayデスティネーションの名前(iOSで使用)。

DeviceID

文字列

AirPlayデスティネーションのDeviceID(macOSで使用)。

Password

文字列

AirPlayデスティネーションに用いるパスワード。

「AirPlay Security」ペイロード

「AirPlay Security」ペイロードは、Apple TVのAirPlay Securityを特定のスタイルに固定します。「AirPlay Security」ペイロードは、PayloadTypeの値としてcom.apple.airplay.securityを与えることにより指定します。

このペイロードは、tvOS 11.0以降でのみサポートされています。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

SecurityType

文字列

必須。PASSCODE_ONCEPASSCODE_ALWAYS、またはPASSWORDのいずれかを指定します。

PASSCODE_ONCEでは、ユーザーがデバイスから初めて接続したとき、画面上でパスコードの入力を要求されます。同じデバイスからの以後の接続では要求されません。

PASSCODE_ALWAYSでは、ユーザーがAirPlayで接続するたびに、画面上でパスコードの入力を要求されます。

PASSWORDでは、ユーザーはPasswordキーで指定されるパスフレーズの入力を要求されます。このSecurityTypeを選択する場合、Passwordキーは必須です。

NONEはtvOS 11.3で非推奨になりました。NONEを使用している既存のプロファイルは、PASSWORD_ONCEの動作になります。

AccessType

文字列

必須。ANYまたはWIFI_ONLYのいずれかを指定します。

ANYを指定した場合、Ethernet/WiFiとAWDLからの接続が両方とも許可されます。

WIFI_ONLYを指定した場合は、Apple TVと同一のEthernet/WiFiネットワークにあるデバイスからの接続のみが許可されます。

Password

文字列

必要な場合のみ。AirPlayのパスワード。SecurityTypePASSWORDの場合は必須。

「AirPrint」ペイロード

「AirPrint」ペイロードには、ユーザーのAirPrintプリンタリストに、AirPrintプリンタを追加する働きがあります。プリンタとデバイスが異なるサブネット上にある場合でも容易に対応できます。「AirPrint」ペイロードは、PayloadTypeの値としてcom.apple.airprintを与えることにより指定します。

このペイロードは、iOS 7.0以降、macOS 10.10以降でのみ使えます。

キー

AirPrint

辞書の配列

常に可視であるべきAirPrintプリンタの配列。

AirPrint配列内のそれぞれの辞書には、次のキーと値を設定する必要があります。

キー

IPAddress

文字列

AirPrintデスティネーションのIPアドレス。

ResourcePath

文字列

プリンタに対して付与したリソースパス。_ipps.tcpのBonjourレコードのrpパラメータに対応します。以下に例を示します。

  • printers/Canon_MG5300_series

  • printers/Xerox_Phaser_7600

  • ipp/print

  • Epson_IPP_Printer

Port

整数

AirPrintデスティネーションのリッスン対象ポート。このキーを指定しない場合は、デフォルトポートが使われます。

設定可能なバージョン:iOS 11.0以降。

ForceTLS

ブール型

trueに設定すると、AirPrint接続がTransport Layer Security(TLS)で保護されます。デフォルト値はfalseです。

設定可能なバージョン:iOS 11.0以降。

「APN」ペイロード

「APN(Access Point Name)」ペイロードは、PayloadTypeの値としてcom.apple.apn.managedを与えることにより指定します。

iOS 7以降、「APN」ペイロードは非推奨になりました。代わりに「Cellular」ペイロードを使ってください。

「APN」ペイロードは、macOSではサポートされません。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

DefaultsData

辞書

この辞書にはキーと値の組が2つあります。

DefaultsDomainName

文字列

値は「com.apple.managedCarrier」に固定です。

apns

配列

この配列には辞書をいくつでも指定できます。各辞書には、AP設定と、キー/値の組を記述します。

apn

文字列

APN(アクセスポイント名、Access Point Name)を指定します。

username

文字列

このAPNのユーザー名を指定します。指定がなければ、プロファイルのインストール時に尋ねられます。

password

データ

必要な場合のみ。このAPNのユーザーのパスワードを表します。うっかり他人が見てしまうことを避けるため、エンコードを施してあります。指定がなければ、プロファイルのインストール時に入力を求められます。

Proxy

文字列

必要な場合のみ。APNプロキシのIPアドレスまたはURL。

ProxyPort

整数

必要な場合のみ。APNプロキシのポート番号。

「App Lock」ペイロード

「App Lock」ペイロードは、PayloadTypeの値としてcom.apple.app.lockを与えることにより指定します。このペイロードを同時に複数設定することはできません。また、監視対象デバイスにしかインストールできません。

「App Lock」ペイロードをインストールすると、削除するまでの間、デバイスは単一のアプリケーションしか使えないようロックされます。「Home」ボタンが無効になり、デバイスのウェイクアップ/リブート時には、自動的に所定のアプリケーションに戻ります。

このペイロードは、iOS 6.0以降でのみサポートされています。

ペイロードには次のキーがあります。

キー

App

辞書

アプリケーションに関する情報を収容した辞書。

App辞書には次のキーがあります。

キー

Identifier

文字列

アプリケーションのバンドル識別子。

Options

辞書

必要な場合のみ。後述。

設定可能なバージョン:iOS 7.0以降。

UserEnabledOptions

辞書

必要な場合のみ。後述。

設定可能なバージョン:iOS 7.0以降。

Options辞書がある場合、次のキーに対する値を設定できます(iOS 7.0以降)。

キー

DisableTouch

ブール型

必要な場合のみ。trueならば、タッチスクリーンは無効。デフォルト値はfalseです。tvOS 10.2以降で利用できます。

DisableDeviceRotation

ブール型

必要な場合のみ。trueならば、デバイスの回転検出は無効。デフォルト値はfalseです。

DisableVolumeButtons

ブール型

必要な場合のみ。trueならば、音量ボタンは無効。デフォルトはfalse

DisableRingerSwitch

ブール型

必要な場合のみ。trueならば、リンガスイッチは無効。デフォルト値はfalseです。

無効にした場合のリンガの動作は、最初に無効にした時点のスイッチの状態に依存。

DisableSleepWakeButton

ブール型

必要な場合のみ。trueならば、「スリープ/スリープ解除」ボタンは無効。デフォルト値はfalseです。

DisableAutoLock

ブール型

必要な場合のみ。trueならば、アイドル時間が経過しても自動的にはスリープ状態に移行しません。tvOS 10.2以降で利用できます。

EnableVoiceOver

ブール型

必要な場合のみ。trueならば、VoiceOverがオン。デフォルト値はfalseです。tvOS 10.2以降で利用できます。

EnableZoom

ブール型

必要な場合のみ。trueならば、「ズーム機能」がオン。デフォルト値はfalseです。tvOS 10.2以降で利用できます。

EnableInvertColors

ブール型

必要な場合のみ。trueならば、「色の反転」がオン。デフォルト値はfalseです。tvOS 10.2以降で利用できます。

EnableAssistiveTouch

ブール型

必要な場合のみ。trueならば、AssistiveTouch(画面タッチで操作する身体機能サポート)がオン。デフォルト値はfalseです。

EnableSpeakSelection

ブール型

必要な場合のみ。trueならば、Speak Selection(読み上げ機能)がオン。デフォルト値はfalseです。

EnableMonoAudio

ブール型

必要な場合のみ。trueならば、「モノラルオーディオ」がオン。デフォルト値はfalseです。

UserEnabledOptions辞書がある場合、次のキーに対する値を設定できます(iOS 7.0以降)。

キー

VoiceOver

ブール型

必要な場合のみ。trueならば、VoiceOverの調整が可能。デフォルト値はfalseです。

Zoom

ブール型

必要な場合のみ。trueならば、ズーム調整が可能。デフォルト値はfalseです。

InvertColors

ブール型

必要な場合のみ。trueならば、「色の反転」の調整が可能。デフォルト値はfalseです。

AssistiveTouch

ブール型

必要な場合のみ。trueならば、AssistiveTouchの調整が可能。デフォルト値はfalseです。

「AppStore」ペイロード

「AppStore」ペイロードは、PayloadTypeの値としてcom.apple.appstoreを与えることにより指定します。

macOS AppStore での制約を確立し、ユーザーチャネルでサポートされています。

ペイロードには次のキーがあります。

キー

restrict-store-require-admin-to-install

ブール型

必要な場合のみ。アプリケーションのインストールを管理者ユーザーに制限します。macOS 10.9以降で利用できます。

restrict-store-softwareupdate-only

ブール型

必要な場合のみ。アプリケーションのインストールをソフトウェアアップデートのみに制限します。macOS 10.10以降で利用できます。

restrict-store-disable-app-adoption

ブール型

必要な場合のみ。ユーザーによるアプリケーションの導入を無効にします。macOS 10.10以降で利用できます。

DisableSoftwareUpdateNotifications

ブール型

必要な場合のみ。ソフトウェアアップデート通知を無効にします。macOS 10.10以降で利用できます。

restrict-store-mdm-install-softwareupdate-only

ブール型

必要な場合のみ。アプリケーションのインストールをMDMインストールされたアプリケーションとソフトウェアアップデートに制限します。macOS 10.11以降で利用できます。

自律的にシングルアプリモードになることを許可

このペイロードは、PayloadTypeの値としてcom.apple.asamを与えることにより指定します。

このペイロードは、自律的にシングルアプリモードになる能力を個別のアプリケーションに付与します。macOS 10.13.4以降で利用できます。

デバイスプロファイルとしてインストールする必要があります。この型のペイロードはシステムにつき1件しかインストールできません。このペイロードは、「ユーザーが承認した」MDMサーバ経由でのみインストールできます。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

AllowedApplications

配列

Assessment APIへのアクセス権が与えられるアプリケーションを指定した辞書の配列。

AllowedApplications配列に含まれる各辞書には次のキーがあります。

キー

BundleIdentifier

文字列

アプリケーションのバンドルIDです。BundleIdentifierは固有である必要があります。2つの辞書に保持されているBundleIdentifierが同一でTeamIdentifiersが異なる場合、ハードエラーと見なされ、ペイロードはインストールされません。

TeamIdentifier

文字列

アプリケーションへの署名に使われる、デベロッパのチームID。

アクセス権が与えられるには、Appleから発行される製造元デベロッパ証明書を使って、指定されたバンドルIDとチームIDでアプリケーションが署名されている必要があります。アプリケーションでは、値をtrueとしてcom.apple.developer.assessmentエンタイトルメントを指定する必要があります。

「CalDAV」ペイロード

このペイロードは、PayloadTypeの値としてcom.apple.caldav.accountを与えることにより指定します。

CalDAVアカウントを設定します。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

CalDAVAccountDescription

文字列

必要な場合のみ。アカウントの説明。

CalDAVHostName

文字列

サーバアドレス。

macOSでは、このキーは必須項目です。

CalDAVUsername

文字列

ユーザーのログイン名。

macOSでは、このキーは必須項目です。

CalDAVPassword

文字列

必要な場合のみ。ユーザーのパスワード。

CalDAVUseSSL

ブール型

SSLを使うか否か。

macOSでは、このキーは必要に応じて設定します。

CalDAVPort

整数

必要な場合のみ。サーバへの接続に用いるポート番号。

CalDAVPrincipalURL

文字列

必要な場合のみ。ユーザーのカレンダーを指すベースURL。macOSで、ユーザーがパスワードを入力しなかったとき、このURLが必要になります。サービスの自動探索に失敗し、アカウントが生成されないからです。

「Calendar Subscription」ペイロード

「Calendar Subscription」ペイロードは、PayloadTypeの値としてcom.apple.subscribedcalendar.accountを与えることにより指定します。

予約したカレンダーをユーザーのカレンダーリストに追加する働きがあります。

「Calendar Subscription」ペイロードは、macOSではサポートされません。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

SubCalAccountDescription

文字列

必要な場合のみ。アカウントの説明。

SubCalAccountHostName

文字列

サーバアドレス。

SubCalAccountUsername

文字列

ユーザーのログイン名。

SubCalAccountPassword

文字列

ユーザーのパスワード。

SubCalAccountUseSSL

ブール型

SSLを使うか否か。

「CardDAV」ペイロード

「CardDAV」ペイロードは、PayloadTypeの値としてcom.apple.carddav.accountを与えることにより指定します。

macOS v10.8以降、「Identification」ペイロードがあれば、そこから「CardDAVUsername」や「CardDAVPassword」の設定を取得するようになりました。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

CardDAVAccountDescription

文字列

必要な場合のみ。アカウントの説明。

CardDAVHostName

文字列

サーバアドレス。

CardDAVUsername

文字列

ユーザーのログイン名。

CardDAVPassword

文字列

必要な場合のみ。ユーザーのパスワード。

CardDAVUseSSL

ブール型

必要な場合のみ。SSLを使うか否か。

CardDAVPort

整数

必要な場合のみ。サーバへの接続に用いるポート番号。

CardDAVPrincipalURL

文字列

必要な場合のみ。macOSでは対応していません。ユーザーのアドレス帳を指すベースURL。

「Cellular」ペイロード

「Cellular」ペイロードは、デバイスの携帯電話ネットワーク設定を構成します。macOSではサポートされません。「cellular」ペイロードは、PayloadTypeの値としてcom.apple.cellularを与えることにより指定します(iOS 7以降)。このペイロードをインストールするための重要な要件が2つあります。

  • このペイロードを同時に複数インストールすることはできません。

  • 「APN」ペイロードがインストール済みであれば、このペイロードはインストールできません。

これはcom.apple.managedCarrierペイロード(互換性のために残っているが非推奨)に代わるものです。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

AttachAPN

辞書

必要な場合のみ。AttchAPN設定辞書(後述)。

APNs

配列

必要な場合のみ。APN辞書の配列(後述)。現在は先頭エントリのみ使用。

AttchAPN辞書には次のキーに対する値を設定できます。

キー

Name

文字列

必須。アクセスポイント名。

AuthenticationType

文字列

必要な場合のみ。CHAPまたはPAPのどちらかが必要です。デフォルト値はPAPです。

Username

文字列

必要な場合のみ。認証に用いるユーザー名。

Password

文字列

必要な場合のみ。認証に用いるパスワード。

APN辞書には次のキーに対する値を設定できます。

キー

Name

文字列

必須。アクセスポイント名。

AuthenticationType

文字列

必要な場合のみ。CHAPまたはPAPのどちらかが必要です。デフォルト値はPAPです。

Username

文字列

必要な場合のみ。認証に用いるユーザー名。

Password

文字列

必要な場合のみ。認証に用いるパスワード。

ProxyServer

文字列

必要な場合のみ。プロキシサーバのネットワークアドレス。

ProxyPort

整数

必要な場合のみ。プロキシサーバのポート。

DefaultProtocolMask

整数

非推奨。デフォルトインターネットプロトコルのバージョン。AllowedProtocolMaskと同じ値に設定します。設定できる値は、1 = IPv4、2 = IPv6、3 = 両方です。

設定可能なバージョン:iOS 10.3以降。

AllowedProtocolMask

整数

必要な場合のみ。サポートされるインターネットプロトコルのバージョン。設定できる値は、1 = IPv4、2 = IPv6、3 = 両方です。

設定可能なバージョン:iOS 10.3以降。

AllowedProtocolMaskInRoaming

整数

必要な場合のみ。ローミング中にサポートされるインターネットプロトコルのバージョン。設定できる値は、1 = IPv4、2 = IPv6、3 = 両方です。

設定可能なバージョン:iOS 10.3以降。

AllowedProtocolMaskInDomesticRoaming

整数

必要な場合のみ。国内ローミング中にサポートされるインターネットプロトコルのバージョン。設定できる値は、1 = IPv4、2 = IPv6、3 = 両方です。

設定可能なバージョン:iOS 10.3以降。

「Certificate」ペイロード

「Certificate」ペイロードのPayloadTypeは、次のいずれかでなければなりません。

ペイロードの型

コンテナ形式

証明書の種類

com.apple.security.root

PKCS#1(.cer)

com.apple.security.pkcs1の別名。

com.apple.security.pkcs1

PKCS#1(.cer)

DER-エンコードした証明書(秘密鍵なし)。ルート証明書を収容可。

com.apple.security.pem

PKCS#1(.cer)

PEM-エンコードした証明書(秘密鍵なし)。ルート証明書を収容可。

com.apple.security.pkcs12

PKCS#12(.p12)

パスワードで保護されたID証明書。1件の証明書のみ収容可。

どのペイロードにも共通の設定項目に加え、「Certificate」ペイロードにはすべて、次のようなキーが定義されています。

キー

PayloadCertificateFileName

文字列

必要な場合のみ。収容されている証明書のファイル名。

PayloadContent

データ

必須。ペイロードのBase64表現(行の長さ52)。

Password

文字列

必要な場合のみ。PKCS#12証明書の場合、IDを保護するためのパスワード。

「Certificate Preference」ペイロード

「Certificate Preference」ペイロードは、PayloadTypeの値としてcom.apple.security.certificatepreferenceを与えることにより指定します。識別プリファレンスについて詳しくは、「「Identity Preference」ペイロード」も参照してください。

「Certificate Preference」ペイロードを使用すると、ユーザーのキーチェーンで同じプロファイルに含まれる証明書のペイロードを参照する証明書プリファレンス項目を特定できます。これはユーザープロファイルのみに表示され、デバイスプロファイルには表示されません。「Certificate Preference」ペイロードは、必要に応じていくつでも設定できます。

macOS 10.12以降で利用できます。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

Name

文字列

必須。推奨される証明書が要求される電子メールアドレス(RFC822)またはその他の名前。

PayloadCertificateUUID

文字列

証明書がインストールされている同じプロファイル内の他のペイロードのUUID(「com.apple.security.root」ペイロードなど)。

「Conference Room Display」ペイロード

「Conference Room Display」ペイロードは、PayloadTypeの値としてcom.apple.conferenceroomdisplayを与えることにより指定します。

Apple TVを会議室のディスプレイモードに設定し、このモードからの終了を制限します。tvOS 10.2以降を実行している監視対象のデバイスでサポートされます。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

メッセージ

文字列

必要な場合のみ。会議室のディスプレイモードで画面に表示されるカスタムメッセージ。

「Content Caching」ペイロード

「Content Caching」ペイロードは、PayloadTypeの値としてcom.apple.AssetCache.managedを与えることにより指定します。

このペイロードは、コンテンツキャッシュサービスを構成します。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

AllowPersonalCaching

ブール型

必要な場合のみ。trueに設定すると、ユーザーのiCloudデータがキャッシュされます。この設定の変更は、クライアントに反映されるまでに、ある程度の時間(時間数、日数)がかかる場合があります。即座には適用されません。デフォルト値はtrueです。

AllowPersonalCachingキーとAllowSharedCachingキーの少なくとも一方がtrueでなければなりません。

設定可能なバージョン:macOS 10.13.4以降。

AllowSharedCaching

ブール型

必要な場合のみ。trueに設定すると、アプリケーションやソフトウェアアップデートなど、iCloud以外のコンテンツがキャッシュされます。この設定の変更は、クライアントに反映されるまでに、ある程度の時間(時間数、日数)がかかる場合があります。即座には適用されません。デフォルト値はtrueです。

AllowPersonalCachingキーとAllowSharedCachingキーの少なくとも一方がtrueでなければなりません。

設定可能なバージョン:macOS 10.13.4以降。

AutoActivation

ブール型

必要な場合のみ。trueに設定すると、可能な場合は自動的にコンテンツキャッシュがアクティブになり、コンテンツキャッシュを無効化することが禁止されます。デフォルト値はfalseです。

設定可能なバージョン:macOS 10.13.4以降。

CacheLimit

整数

必要な場合のみ。コンテンツキャッシュに使われるディスク容量の上限値を定義します(バイト単位)。CacheLimitを0にした場合、使われるディスク容量は無制限になります。デフォルト値は0です。

設定可能なバージョン:macOS 10.13.4以降。

DataPath

文字列

必要な場合のみ。キャッシュしたコンテンツの保存に使うディレクトリのパス。この設定値を手動で変更しても、キャッシュ済みのコンテンツは、それまでの場所から新しい場所に自動的に移動されません。コンテンツを自動的に移動するには、「共有」環境設定の「コンテンツキャッシュ」ペインを使います。

この値は、/Library/Application Support/Apple/AssetCache/Dataとするか、末尾がこの文字列で終わっている必要があります。指定したDataPathが存在していない場合は、このパスに含まれているディレクトリ(および中間のディレクトリ)が作成されます。ディレクトリの所有者は_assetcache:_assetcacheになり、モードは0750になります。直近の親ディレクトリ(.../Library/Application Support/Apple/AssetCache)は、所有者が_assetcache:_assetcacheになり、モードは0755になります。

デフォルト値は/Library/Application Support/Apple/AssetCache/Dataです。

設定可能なバージョン:macOS 10.13.4以降。

DenyTetheredCaching

ブール型

必要な場合のみ。trueに設定すると、テザリングキャッシュが無効になります。デフォルト値はfalseです。

設定可能なバージョン:macOS 10.13.4以降。

ListenRanges

辞書の配列

必要な場合のみ。サービスの提供先となるクライアントのIPアドレス範囲が記述された辞書の配列。

設定可能なバージョン:macOS 10.13.4以降。

ListenRangesOnly

ブール型

必要な場合のみ。trueに設定すると、コンテンツキャッシュは、ListenRangesキーで指定された範囲に該当するクライアントにのみコンテンツを提供します。ListenRangesOnlyキーを使うには、ListenRangesキーも指定する必要があります。デフォルト値はfalseです。

設定可能なバージョン:macOS 10.13.4以降。

ListenWithPeersAndParents

ブール型

必要な場合のみ。trueに設定すると、コンテンツキャッシュは、ListenRangesキー、PeerListenRangesキー、Parentsキーの和集合の範囲に該当するクライアントにのみコンテンツを提供します。デフォルト値はtrueです。

設定可能なバージョン:macOS 10.13.4以降。

LocalSubnetsOnly

ブール型

必要な場合のみ。trueに設定すると、コンテンツキャッシュは、コンテンツキャッシュと同じ直接ローカルネットワークにあるクライアントにのみコンテンツを提供します。コンテンツキャッシュによって到達可能なほかのネットワーク上のクライアントに対しては、コンテンツが提供されません。デフォルト値はtrueです。

LocalSubnetsOnlyをtrueに設定すると、ListenRangesは無視されます。

設定可能なバージョン:macOS 10.13.4以降。

LogClientIdentity

ブール型

必要な場合のみ。trueに設定すると、コンテンツキャッシュは、コンテンツを要求したクライアントのIPアドレスとポート番号をログに記録します。デフォルト値はfalseです。

設定可能なバージョン:macOS 10.13.4以降。

Parents

文字列の配列

必要な場合のみ。Appleから直接ダウンロードまたはAppleに直接アップロードする代わりに、このキャッシュのダウンロード元またはアップロード先になる他のコンテンツキャッシュのローカルIPアドレスの配列。無効なアドレスおよびコンテンツキャッシュではないコンピュータのアドレスは、無視されます。

使用不可になっている親キャッシュは無視されます。親コンテンツキャッシュがすべて使用不可になっている場合、コンテンツキャッシュは、いずれかの親コンテンツキャッシュがもう一度使用可能になるまで、キャッシュをAppleから直接ダウンロードし、Appleに直接アップロードします。

設定可能なバージョン:macOS 10.13.4以降。

ParentSelectionPolicy

文字列

必要な場合のみ。設定されている複数の親コンテンツキャッシュから選択する際に使われるポリシー。どのポリシーの場合も、一時的に使用不可になっている親キャッシュはスキップされます。

  • first-available:Parentsリストに記述されている、使用可能な最初の親が常に使われます。この設定値は、永続的なプライマリ、セカンダリ、および後続の親を指定する場合に有用です。

  • url-path-hash:同じURLには常に同じ親が使われるよう、要求されたURLのパス部分をハッシュします。この設定値は、複数の親の集約キャッシュのサイズを最大限まで高める場合に有用です。

  • random:親を無作為に選択します。この設定値は、負荷を分散しようとする場合に有用です。

  • round-robin:複数の親を交替で順に使います。この設定値は、負荷を分散しようとする場合に有用です。

  • sticky-available:Parentsリストに記述されている最初の親から始め、使用可能な最初の親が常に使われます。その親が使用不可になるまで使い、使用不可になったら次の親に進みます。この設定値は、流動的なプライマリ、セカンダリ、および後続の親を指定する場合に有用です。

デフォルト値はround-robinです。

設定可能なバージョン:macOS 10.13.4以降。

PeerFilterRanges

辞書の配列

必要な場合のみ。コンテンツの問い合わせ先となるピアのリストをフィルタリングするために使われる、ピアIPアドレスの範囲を記述した辞書の配列。コンテンツキャッシュは、PeerFilterRangesに含まれているピアにのみ問い合わせます。PeerFilterRangesが空の配列である場合、コンテンツキャッシュはどのピアにも問い合わせません。

設定可能なバージョン:macOS 10.13.4以降。

PeerListenRanges

辞書の配列

必要な場合のみ。該当する範囲からピアキャッシュクエリを受信した場合にコンテンツキャッシュが応答を返す、ピアIPアドレスの範囲を記述した辞書の配列。PeerListenRangesが空の配列である場合、コンテンツキャッシュはすべてのキャッシュクエリに対してエラーで応答します。

設定可能なバージョン:macOS 10.13.4以降。

PeerLocalSubnetsOnly

ブール型

必要な場合のみ。trueに設定すると、コンテンツキャッシュは、デバイスと同一のパブリックIPアドレスを使っているコンテンツキャッシュとではなく、同じ直接ローカルネットワークにある他のコンテンツキャッシュとのみピアを形成します。PeerLocalSubnetsOnlyがtrueである場合、PeerFilterRangesPeerListenRangesの設定はオーバーライドされます。ネットワークに変更が加えられた場合、ローカルネットワークピアの制約は適切に更新されます。

falseに設定すると、コンテンツキャッシュは、PeerFilterRangesおよびPeerListenRangesが適用された後にピア制約を設定します。

デフォルト値はtrueです。

設定可能なバージョン:macOS 10.13.4以降。

Port

整数

必要な場合のみ。コンテンツキャッシュがアップロードまたはダウンロードの要求を受信するTCPポートの番号。ポートを0に設定すると、使用可能なポートが無作為に選択されます。デフォルト値は0です。

設定可能なバージョン:macOS 10.13.4以降。

PublicRanges

辞書の配列

必要な場合のみ。クライアントをコンテンツキャッシュに対応づけるためにクラウドサーバが使う、パブリックIPアドレスの範囲を記述した辞書の配列。

設定可能なバージョン:macOS 10.13.4以降。

コンテンツキャッシュによって使われる範囲を定義するための辞書は、次のキーを使います。

キー

type

文字列

必要な場合のみ。IPアドレスのタイプ(IPv4またはIPv6)。デフォルト値はIPv4です。

first

文字列

必須。範囲の開始IPアドレス。

last

文字列

必須。範囲の終了IPアドレス。

「Desktop」ペイロード

「Desktop」ペイロードは、PayloadTypeの値としてcom.apple.desktopを与えることにより指定します。

このペイロードは、macOSのデスクトップ設定と制限を設定します。macOS 10.10以降のユーザーチャネルでサポートされます。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

locked

ブール型

必要な場合のみ。trueならば、デスクトップピクチャがロックされます。デフォルト値はfalseです。

override-picture-path

文字列

必要な場合のみ。指定されている場合、デスクトップピクチャへのパスを設定します。

「DNS Proxy」ペイロード

「DNS Proxy」ペイロードは、PayloadTypeの値としてcom.apple.dnsProxy.managedを与えることにより指定します。このペイロードは、監視対象デバイスにしかインストールできません。

このペイロードは、iOSの「DNSプロキシ」設定項目を設定するものです。iOS 11以降でサポートされています。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

AppBundleIdentifier

文字列

必須。DNSプロキシネットワークExtensionが含まれているアプリケーションのバンドルID。

ProviderBundleIdentifier

文字列

必要な場合のみ。使用するDNSプロキシネットワークExtensionのバンドルID。DNSプロキシExtensionが複数含まれているアプリケーションの場合に便利です。

ProviderConfiguration

辞書

必要な場合のみ。ベンダー固有の構成項目の辞書。

「Dock」ペイロード

「Dock」ペイロードは、PayloadTypeの値としてcom.apple.dockを与えることにより指定します。

「Dock」ペイロードは、AllowDockFixupOverrideを除いて、すべてのバージョンのmacOSのユーザーチャネルでサポートされています。AllowDockFixupOverrideキーは、macOS 10.12以降でサポートされています。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

orientation

文字列

必要な場合のみ。Dockの向き値は、bottomleft、またはrightになります。

position-immutable

ブール型

必要な場合のみ。trueならば、位置がロックされます。

autohide

ブール型

必要な場合のみ。trueならば、Dockの表示/隠すが自動的に行われます。

autohide-immutable

ブール型

必要な場合のみ。trueならば、「自動的に隠す」チェックボックスが無効になります。

minimize-to-application

ブール型

必要な場合のみ。trueならば、minimize-to-application機能が有効になります。

minimize-to-application-immutable

ブール型

必要な場合のみ。trueならば、「minimize-to-application」チェックボックスが無効になります。

magnification

ブール型

必要な場合のみ。trueならば、Dockの拡大がアクティブになります。

magnify-immutable

ブール型

必要な場合のみ。trueならば、「拡大」チェックボックスが無効になります。

largesize

整数

必要な場合のみ。拡大の最大サイズです。値は16〜128の範囲である必要があります。

magsize-immutable

ブール型

必要な場合のみ。trueならば、拡大つまみが無効になります。

show-process-indicators

ブール型

必要な場合のみ。trueならば、プロセスインジケータが表示されます。

launchanim

ブール型

必要な場合のみ。trueならば、起動中のアプリケーションがアニメーションで表示されます。

launchanim-immutable

ブール型

必要な場合のみ。trueならば、「起動中のアプリケーションをアニメーションで表示」チェックボックスが無効になります。

mineffect

文字列

必要な場合のみ。「しまうときのエフェクト」を設定します。値は、genieまたはscaleになります。

mineffect-immutable

ブール型

必要な場合のみ。trueならば、「しまうときのエフェクト」ポップアップが無効になります。

tilesize

整数

必要な場合のみ。タイルサイズ。値は16〜128の範囲である必要があります。

size-immutable

ブール型

必要な場合のみ。trueならば、「サイズつまみ」が無効になります。

MCXDockSpecialFolders

文字列の配列

必要な場合のみ。ユーザーのログイン時に作成されDockに配置されることのある特殊なフォルダです。値は、AddDockMCXMyApplicationsFolderAddDockMCXDocumentsFolderAddDockMCXSharedFolder、またはAddDockMCXOriginalNetworkHomeFolderになります。「マイアプリケーション」項目は、シンプルFinder環境でのみ使用されます。「オリジナルのネットワークホーム」項目は、モバイルアカウントユーザーでのみ使用されます。

AllowDockFixupOverride

ブール型

必要な場合のみ。trueならば、新規ユーザーまたは移行ユーザーのログイン時に、/Library/Preferences/ com.apple.dockfixup.plistにあるファイルを使用します。このファイルの形式については、現在のところドキュメントがありません。このオプションは既存のユーザーに対しては何の効果もありません。

static-only

ブール型

必要な場合のみ。trueならば、デバイスはDockでstatic-apps辞書とstatic-others辞書を使用し、persistent-apps辞書およびpersistent-others辞書にある項目をすべて無視します。falseならば、コンテンツは最初にリストされるstatic項目と結合されます。

static-others

辞書の配列

必要な場合のみ。「書類」側にあるDock項目はDockから削除できません。

static-apps

辞書の配列

必要な場合のみ。「アプリケーション」側にあるDock項目はDockから削除できません。

contents-immutable

ブール型

必要な場合のみ。trueならば、ユーザーはDockに対して項目を追加することも削除することもできません。

static-others辞書とstatic-apps辞書には次のキーに対する値を設定できます。

キー

tile-data

辞書

必須。Dock項目についての情報。

tile-type

文字列

必須。タイルの種類。値は、file-tiledirectory-tile、またはurl-tileになります。ファイル項目がファイルなのか辞書なのか不明な場合は、このキーをfile-tileに設定します。

tile-data辞書には次のキーに対する値を設定できます。

キー

label

文字列

必須。Dock項目のラベル。

url

文字列

必要な場合のみ。URLタイルの場合は、URL文字列。

file-type

整数

必須。数字で表されたタイルの種類。3 = directory、0 = URL、1 = file

「Education Configuration」ペイロード

「Education Configuration」ペイロードは、PayloadTypeの値として、com.apple.educationを与えることにより指定します。このペイロードには、監視対象となるペイロードを1つだけ含めることができます。ユーザーチャネルではサポートされていません。

「Education Configuration」ペイロードは、教育機関内のユーザー、グループ、部署を定義します。iOS 9.3以降でサポートされています。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

OrganizationUUID

文字列

必須。組織のUUID識別子。有効な任意のUUIDを設定できます。互いに通信する必要のあるすべての教師デバイスと生徒デバイスには、特にこれらのデバイスが異なるDevice Enrollment Program(DEP)に由来する場合、同じOrganizationUUIDを設定する必要があります。

OrganizationName

文字列

必須。組織の表示名。この名前はiOSログイン画面に表示されます。

PayloadCertificateUUID

文字列

必須。固有名証明書のペイロードのUUID。他のデバイスのクライアント認証の実行に使用されます。

LeaderPayloadCertificateAnchorUUID

配列

必要な場合のみ。「Certificate」ペイロードを参照するUUIDの配列。リーダーピア証明書のIDを認証するために使用されます。この配列には、信頼チェーン全体を検証するために必要なすべての証明書が含まれている必要があります。リーダーの証明書には、名前に共通の接頭辞であるleader(大文字と小文字は区別しません)を使用している必要があります。

MemberPayloadCertificateAnchorUUID

配列

必要な場合のみ。「Certificate」ペイロードを参照するUUIDの配列。グループメンバーピア証明書のIDを認証するために使用されます。この配列には、信頼チェーン全体を検証するために必要なすべての証明書が含まれている必要があります。メンバーの証明書には、名前に共通の接頭辞であるmember(大文字と小文字は区別しません)を使用している必要があります。

UserIdentifier

文字列

必要な場合のみ。組織内でこのデバイスのユーザーを識別する、一意の文字列。

Departments

配列

必要な場合のみ。Shared:iOSログインウィンドウに表示される、部署を定義する辞書の配列。

Leader:クラスルームアプリケーションに表示される、部署を定義する辞書の配列。

Groups

配列

必須。Shared:ユーザーがログインウィンドウで選択できるグループを定義する辞書の配列。

Leader:ユーザーがコントロールできるグループを定義する辞書の配列。

Member:ユーザーがメンバーとなっているグループを定義する辞書の配列。

Users

配列

必須。Shared:iOSログインウィンドウに表示される、ユーザーを定義する辞書の配列。

Leader:リーダーのグループのメンバーであるユーザーを定義する辞書の配列。

Member:UserIdentifierキーで指定されるユーザーの定義を含む辞書の配列。

1人1台のメンバーのデバイスでは、このキーにはデバイスユーザーとリーダーのみが含まれ、クラスの他のメンバーを含むことはできません。

DeviceGroups

配列

必要な場合のみ。Leader:リーダーがデバイスを割り当てることができるデバイスグループを定義する辞書の配列。このキーはメンバーのペイロードには含まれません。

ScreenObservationPermissionModificationAllowed

ブール型

必要な場合のみ。trueならば、管理対象クラスに登録している学生は、自分の教師の画面監視の許可をこのデバイスで変更できます。デフォルト値はfalseです。

Departmentキーには、次のキーと値のペアを含む辞書の配列が必要です。

キー

Name

文字列

必須:部署の表示名。

GroupBeaconIDs

配列

必須:この部署のメンバーであるグループビーコンID。

Groupsキーには、次のキーと値のペアを含む辞書の配列が必要です。

キー

BeaconID

整数

必須:このグループの一意のビーコンIDを指定する、符号なし16ビット整数。

Name

文字列

必須:グループの表示名。

Description

文字列

必要な場合のみ:グループの説明。

ImageURL

文字列

iOS 9.3.1以降では非推奨。グループの画像のURL。

ConfigurationSource

文字列

必要な場合のみ:このグループを指定するソース(iTunesU、SIS、MDMなど)。

LeaderIdentifiers

配列

必要な場合のみ:このグループのリーダーのユーザーID。

MemberIdentifiers

配列

必須:このグループのメンバーのUsers配列のエントリを参照する文字列。

DeviceGroupIdentifiers

配列

必須:DeviceGroup配列のエントリを参照するID文字列。講師がこのクラスからユーザーに割り当てることができるデバイスグループを指します。

Usersキーには、次のキーと値のペアを含む辞書の配列が必要です。

キー

Identifier

文字列

必須:組織内のユーザーを一意に識別します。

Name

文字列

必須:ユーザーの名前として表示されます。

GivenName

文字列

必要な場合のみ:ユーザーの名前として表示されます。

FamilyName

文字列

必要な場合のみ:ユーザーの姓として表示されます。

ImageURL

文字列

必要な場合のみ:ユーザーの画像を指すURLを格納した文字列。この画像はiOSログイン画面とクラスルームアプリケーションに表示されます。推奨する解像度は256×256ピクセル(2xデバイスでは512×512ピクセル)です。推奨する形式は、JPEG、PNG、TIFFです。ResourcePayloadCertificateUUID固有名証明書またはMDMクライアントIDは、画像を取得する際の認証に使用されます。

FullScreenImageURL

文字列

iOS 9.3.1以降では非推奨。ユーザーの画像を指すURL。ResourcePayloadCertificateUUID固有名証明書またはMDMクライアントIDは、指定のリソースを取得する際の認証に使用されます。

AppleID

文字列

必要な場合のみ:このユーザーの管理対象AppleID。

PasscodeType

文字列

必要な場合のみ:ログインウィンドウが表示されたときに表示されるパスコードUI。可能な値は、complexfoursixです。

DeviceGroupsキーには、次のキーと値のペアを含む辞書の配列が必要です。

キー

内容

Identifier

文字列

必須:組織のデバイスグループを一意に識別します。

Name

文字列

必須:デバイスグループの名前を表示します。これは組織内で一意である必要があります。

SerialNumbers

配列

必須:グループ内のデバイスのシリアル番号を含む文字列。

注意:

  • すべてのIDがSSLクライアントとサーバの両方で設定されている必要があります。

  • リーダーの証明書には、名前に共通の接頭辞であるleader(大文字と小文字は区別しません)を使用している必要があります。

  • メンバーの証明書には、名前に共通の接頭辞であるmember(大文字と小文字は区別しません)を使用している必要があります。

「Email」ペイロード

「Email」ペイロードは、PayloadTypeの値としてcom.apple.mail.managedを与えることにより指定します。

これを指定すると、デバイス上に電子メールアカウントが作成されます。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

EmailAccountDescription

文字列

必要な場合のみ。電子メールアカウントの説明を、人が読める形の文字列で指定します。これが「Mail and Settings」アプリケーションに表示されます。

EmailAccountName

文字列

必要な場合のみ。アカウントの完全ユーザー名。送信メッセージなどに埋め込まれます。

EmailAccountType

文字列

指定できる値はEmailTypePOPEmailTypeIMAPのいずれかです。このアカウントが用いるプロトコルを定義します。

EmailAddress

文字列

アカウントの完全電子メールアドレスを指定します。ペイロードに指定がなければ、プロファイルのインストール時に尋ねられます。

IncomingMailServerAuthentication

文字列

受信メールの認証スキームを表します。指定できる値は、EmailAuthPasswordEmailAuthCRAMMD5EmailAuthNTLMEmailAuthHTTPMD5EmailAuthNoneです。

IncomingMailServerHostName

文字列

受信メールサーバのホスト名(またはIPアドレス)を指定します。

IncomingMailServerPortNumber

整数

必要な場合のみ。受信メールサーバのポート番号を指定します。指定しなければ、プロトコルによって決まっているデフォルトのポート番号になります。

IncomingMailServerUseSSL

ブール型

必要な場合のみ。デフォルト値はfalseです。受信メールサーバが認証用にSSLを利用するか否かを指定します。

IncomingMailServerUsername

文字列

電子メールアカウントのユーザー名を指定します。通常は電子メールアドレスの「@」より前の部分と同じです。ペイロードに指定がなく、当該アカウントが受信メールの認証を要すると設定されていれば、プロファイルのインストール時に尋ねられます。

IncomingPassword

文字列

必要な場合のみ。受信メールサーバのパスワード。これが指定されている場合、プロファイルに暗号化を施す必要があります。

OutgoingPassword

文字列

必要な場合のみ。送信メールサーバのパスワード。これが指定されている場合、プロファイルに暗号化を施す必要があります。

OutgoingPasswordSameAsIncomingPassword

ブール型

必要な場合のみ。trueであれば、ユーザーがパスワードを尋ねられるのは1度だけで、それ以降は、送信メール、受信メールともにそのパスワードを再利用するようになります。

OutgoingMailServerAuthentication

文字列

送信メールの認証スキームを指定します。指定できる値は、EmailAuthPasswordEmailAuthCRAMMD5EmailAuthNTLMEmailAuthHTTPMD5EmailAuthNoneです。

OutgoingMailServerHostName

文字列

送信メールサーバのホスト名(またはIPアドレス)を指定します。

OutgoingMailServerPortNumber

整数

必要な場合のみ。送信メールサーバのポート番号を指定します。指定がなければ、ポート25、587、465の順に試みます。

OutgoingMailServerUseSSL

ブール型

必要な場合のみ。デフォルト値はfalseです。送信メールサーバが認証用にSSLを利用するか否かを指定します。

OutgoingMailServerUsername

文字列

電子メールアカウントのユーザー名を指定します。通常は電子メールアドレスの「@」より前の部分と同じです。ペイロードに指定がなく、当該アカウントが送信メールの認証を要すると設定されていれば、プロファイルのインストール時に尋ねられます。

PreventMove

ブール型

必要な場合のみ。デフォルト値はfalseです。

trueならば、この電子メールアカウントから別のアカウントにメッセージを移動することはできません。また、メッセージの送信元アカウント以外から、転送や返信をすることも禁じます。

設定可能なバージョン:iOS 5.0以降。

PreventAppSheet

ブール型

必要な場合のみ。デフォルト値はfalseです。

trueならば、Apple Mailアプリケーション以外のアプリケーションではこのアカウントからメールを送信できません。

設定可能なバージョン:iOS 5.0以降。

SMIMEEnabled

ブール型

必要な場合のみ。デフォルト値はfalseです。trueならば、このアカウントはS/MIMEに対応しています。

iOS 10.0以降では、このキーは無視されます。

設定可能なバージョン:iOS 5.0〜9.3.3で使用できます。

SMIMESigningEnabled

ブール型

必要な場合のみ。デフォルト値はtrueです。trueに設定すると、このアカウントでS/MIME署名が有効になります。

設定可能なバージョン:iOS 10.3以降。

SMIMESigningCertificateUUID

文字列

必要な場合のみ。このアカウントから送信するメッセージに署名するために用いる、固有証明書のPayloadUUID

設定可能なバージョン:iOS 5.0以降。

SMIMEEncryptionEnabled

ブール型

必要な場合のみ。デフォルト値はfalseです。trueに設定すると、このアカウントでS/MIME暗号化がデフォルトでオンになります。

設定可能なバージョン:iOS 10.3以降。

SMIMEEncryptionCertificateUUID

文字列

必要な場合のみ。このアカウントに送信されるメッセージを復号化するために用いる、固有証明書のPayloadUUID。発信メールに公開証明書が添付され、このユーザーに暗号メールを送信できるようになります。ユーザーが暗号メールを送信すると、「送信済み」ボックスにあるメールの複製が公開証明書で暗号化されます。

設定可能なバージョン:iOS 5.0以降。

SMIMEEnablePerMessageSwitch

ブール型

必要な場合のみ。デフォルト値はfalseです。trueに設定すると、メールごとの暗号化を実行するためのスイッチがメール作成UIに表示されます。

設定可能なバージョン:iOS 8.0以降。

disableMailRecentsSyncing

ブール型

trueならば、このアカウントは「最近使用したアドレス」の同期処理の対象外になります。デフォルト値はfalseです。

設定可能なバージョン:iOS 6.0以降。

allowMailDrop

ブール型

必要な場合のみ。trueならば、このアカウントでMail Dropを使用できます。デフォルト値はfalseです。

設定可能なバージョン:iOS 9.2以降。

「802.1x Ethernet」ペイロード

「802.1x Ethernet」ペイロードは、PayloadTypeの値として次のいずれかを与えることにより指定します。

  • com.apple.firstactiveethernet.managed [デフォルト]

  • com.apple.firstethernet.managed

  • com.apple.secondactiveethernet.managed

  • com.apple.secondethernet.managed

  • com.apple.thirdactiveethernet.managed

  • com.apple.thirdethernet.managed

  • com.apple.globalethernet.managed

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

Interface

文字列

com.apple.globalethernet.managedペイロードは、値としてAnyEthernetを使います。ほかのペイロードの値は、ペイロード名から導出されます。たとえば、com.apple.firstethernet.managedの値はFirstEthernetになります。

名前に「active」が含まれるペイロードは、プロファイルのインストール時に動作していたEthernetインターフェイスに適用されます。アクティブに動作中のEthernetが存在しない場合は、com.apple.firstactiveethernet.managedペイロードはサービス順位の優先度が最も高いインターフェイスを構成します。

名前に「active」が含まれないペイロードは、インターフェイスが動作しているか否かにかかわらず、サービス順位に従ってEthernetインターフェイスに適用されます。

現在のところ、BSDサービス指定子はサポートされていません。

特定の802.1xネットワークに対してエンタープライズネットワークを指定するには、「EAPClientConfiguration辞書」に示すように、EAPClientConfigurationキーをペイロードに含めます。

「Exchange」ペイロード

iOSの場合、「Exchange」ペイロードは、PayloadTypeの値としてcom.apple.eas.accountを与えることにより指定します。デバイス上に「Exchange Active Sync」アカウントを設定する働きがあります。

macOSの場合、「Exchange」ペイロードは、PayloadTypeの値としてcom.apple.ews.accountを与えることにより指定します。Contacts、Mail、Notes、Reminders、Calendarで用いる「Exchange Web Services」アカウントを設定する働きがあります。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

iOSとmacOSの両方で利用できます。

EmailAddress

文字列

アカウントの完全電子メールアドレスを指定します。ペイロードに指定がなければ、プロファイルのインストール時に尋ねられます。

macOSでは、このキーは必須項目です。

Host

文字列

Exchangeサーバのホスト名(またはIPアドレス)を指定します。

macOS 10.11以降の場合、このキーは必要に応じて設定します。

SSL

ブール型

必要な場合のみ。デフォルト値はYES。Exchangeサーバが認証用にSSLを利用するか否かを指定します。

UserName

文字列

このExchangeアカウントのユーザー名を指定します。指定がなければ、プロファイルのインストール時に尋ねられます。

macOSでは、このキーは必須項目です。

Password

文字列

必要な場合のみ。アカウントのパスワード。これが指定されている場合、プロファイルに暗号化を施す必要があります。

iOSでのみ設定可

Certificate

NSData blob

必要な場合のみ。証明書を使って認証するアカウントの場合に、NSData blob形式の.p12識別証明書。

CertificateName

文字列

必要な場合のみ。証明書の名前または説明。

CertificatePassword

データ

必要な場合のみ。p12識別証明書に必要なパスワード。これを設定した場合、プロファイルの暗号化が必須。

PreventMove

ブール型

必要な場合のみ。デフォルト値はfalseです。

trueならば、この電子メールアカウントから別のアカウントにメッセージを移動することはできません。また、メッセージの送信元アカウント以外から、転送や返信をすることも禁じます。

設定可能なバージョン:iOS 5.0以降。

PreventAppSheet

ブール型

必要な場合のみ。デフォルト値はfalseです。trueならば、Apple Mailアプリケーション以外のアプリケーションではこのアカウントからメールを送信できません。

設定可能なバージョン:iOS 5.0以降。

PayloadCertificateUUID

文字列

識別資格情報に用いる証明書ペイロードのUUID。このフィールドがあれば、Certificateフィールドは使いません。

設定可能なバージョン:iOS 5.0以降。

SMIMEEnabled

ブール型

必要な場合のみ。デフォルト値はfalseです。trueならば、このアカウントはS/MIMEに対応しています。

iOS 10.0以降では、このキーは無視されます。

設定可能なバージョン:iOS 5.0〜9.3.3で使用できます。

SMIMESigningEnabled

ブール型

必要な場合のみ。デフォルト値はtrueです。trueに設定すると、このアカウントでS/MIME署名が有効になります。

設定可能なバージョン:iOS 10.3以降。

SMIMESigningCertificateUUID

文字列

必要な場合のみ。このアカウントから送信するメッセージに署名するために用いる、固有証明書のPayloadUUID

設定可能なバージョン:iOS 5.0以降。

SMIMEEncryptionEnabled

ブール型

必要な場合のみ。デフォルト値はfalseです。trueに設定すると、このアカウントでS/MIME暗号化がデフォルトでオンになります。

設定可能なバージョン:iOS 10.3以降。

SMIMEEncryptionCertificateUUID

文字列

必要な場合のみ。このアカウントに送信されるメッセージを復号化するために用いる、固有証明書のPayloadUUID。発信メールに公開証明書が添付され、このユーザーに暗号メールを送信できるようになります。ユーザーが暗号メールを送信すると、「送信済み」ボックスにあるメールの複製が公開証明書で暗号化されます。

設定可能なバージョン:iOS 5.0以降。

SMIMEEnablePerMessageSwitch

ブール型

必要な場合のみ。デフォルト値はfalseです。trueに設定すると、メールごとの暗号化を実行するためのスイッチがメール作成UIに表示されます。

設定可能なバージョン:iOS 8.0以降。

disableMailRecentsSyncing

ブール型

trueならば、このアカウントは「最近使用したアドレス」の同期処理の対象外になります。デフォルト値はfalseです。

設定可能なバージョン:iOS 6.0以降。

MailNumberOfPastDaysToSync

整数

同期して以降の経過日数。

CommunicationServiceRules

辞書

必要な場合のみ。このアカウントの通信サービスハンドラのルール。CommunicationServiceRules辞書は現状ではDefaultServiceHandlersキーのみが設定されており、その値はAudioCallキーを格納している辞書です。このキーの値は、このアカウントからオーディオ通話の発信を処理するデフォルトアプリケーションのバンドルIDを格納した文字列です。

macOSでのみ設定可

Path

文字列

必要な場合のみ。

Port

整数

必要な場合のみ。

ExternalHost

文字列

必要な場合のみ。

ExternalSSL

ブール型

必要な場合のみ。

ExternalPath

文字列

必要な場合のみ。

ExternalPort

整数

必要な場合のみ。

FileVault 2

macOS 10.9では、FileVault 2を使って、ボリュームの内容に対して完全なXTS-AES 128の暗号化を施せるようになりました。「FileVault 2」ペイロードは、PayloadTypeの値としてcom.apple.MCX.FileVault2を与えることにより指定します。「FileVault」ペイロードを削除しても、FileVaultが無効になるわけではなりません。

キー

Enable

文字列

「On」を設定すればFileVaultが有効になります。「Off」であれば無効です。この値は必須です。

Defer

ブール型

trueであれば、FileVaultを有効にするよう指示したユーザーがログアウトした後で、実際に有効になります。詳しくは、fdesetup(8)を参照してください。File Vaultを有効にするユーザーは、ローカルユーザーかモバイルアカウントユーザーのどちらかです。

UserEntersMissingInfo

ブール型

trueとすると、手作業でプロファイルをインストールする際、ユーザー名やパスワードの入力が漏れていれば問い合わせるようになります。

UseRecoveryKey

ブール型

trueであれば個人の復旧キーが生成されます。デフォルト値はtrueです。

ShowRecoveryKey

ブール型

falseであれば、FileVaultが有効になった後、該当するユーザー個人の復旧キーが表示されます。デフォルト値はtrueです。

OutputPath

文字列

復旧キーやコンピュータに関する情報プロパティリストの格納場所を表すパス。

Certificate

データ

DER-エンコード済みの証明書データ(団体の復旧キーを追加する場合)。

PayloadCertificateUUID

文字列

非対称復旧キー証明書ペイロードを収容するペイロードのUUID。

Username

文字列

FileVaultに追加するOpen Directoryユーザーのユーザー名。

Password

文字列

FileVaultに追加するOpen Directoryユーザーのパスワード。UserEntersMissingInfoキーを指定すると、この情報が欠落していれば問い合わせるようになります。

UseKeychain

ブール型

trueであれば、このペイロードに証明書情報がない場合、団体の復旧キーを追加する際に、/Library/Keychains/FileVaultMaster.keychainとして作成済みのキーチェーンを使うようになります。

DeferForceAtUserLoginMaxBypassAttempts

整数

Deferオプションを使用する場合、このキーの値を、ユーザーのログインにFileVaultの有効化が求められるまでFileVaultの有効化を省略できる最大回数に設定することもできます。  0に設定されると、FileVaultが有効になるまで常に確認します。ただし、その場合でも有効化を省略することが可能です。このキーを-1に設定すると、この機能は無効になります。

設定可能なバージョン:macOS 10.10以降。

DeferDontAskAtUserLogout

ブール型

Deferオプションを使用する場合、このキーをtrueに設定すると、ユーザーのログアウト時にFileVaultの有効化を要求しません。

設定可能なバージョン:macOS 10.10以降。

個人の復旧キーは、UseRecoveryKeyキーの値がfalseである場合を除き、常に作成されます。団体の復旧キーが作成されるのは、(1)Certificateキーの値として証明書データが与えられている、(2)ある証明書ペイロードを参照している、(3)UseKeychainキーの値がtrueであり、有効なFileVaultMaster.keychainファイルが作成済みである、のいずれかの場合に限ります。ただし、いずれの場合も、FileVaultに対応する適切な証明書情報が必要です。これがなければ、上記の条件を満たしていても単に無視され、団体の復旧キーは作成されません。

「FDE Recovery Key Escrow」ペイロード

FDE(FileVault full-disk encryption)復旧キーを送信するよう要求すると、デフォルトでは、Appleに送信されるようになっています。macOS 10.13以降の場合、復旧キーのエクスローペイロードは、PayloadTypeの値にcom.apple.security.FDERecoveryKeyEscrowを指定することで指定します。この型のペイロードはシステムにつき1件しか設定できません。

このペイロードをシステムにインストールした後でFileVaultが有効になった場合、FileVault PRKは、指定された証明書で暗号化され、CMSエンベロープでラップされ、/var/db/FileVaultPRK.datに保存されます。暗号化されたデータは、SecurityInfoコマンドの処理の一環として、MDMサーバで使用できるようになります。もう1つの形態として、サイトが独自の管理ソフトウェアを使っている場合は、前述の位置にあるPRKをいつでも抽出できます。PRKはプロファイルで提供されている証明書を使って暗号化されているため、データを抽出できるのはプロファイルの作成者のみです。

以下の点に注意してください。

  • ペイロードはスコープがシステムであるプロファイルに存在している必要があります。

  • 同一コンピュータにこの型のペイロードを複数組み込むとエラーになります。

  • 前述のペイロード(com.apple.security.FDERecoveryRedirect)はサポートされなくなりました。インストールすることはできますが、無視されます。したがって、サーバからは同一のプロファイルを新旧のクライアントに送信できます。

  • (「セキュリティ環境設定」ペインで)FileVaultをオンにするとき、古いスタイルのリダイレクトペイロードがインストールされている場合に限り、エラーが表示されてFileVaultは有効になりません。

  • FileVaultがすでに有効になっていて、古いスタイルのペイロードがインストールされている場合、警告またはエラーは表示されません。この場合は、復旧キーがサーバにすでにエクスローされているものと見なされます。

このペイロードは次のキーを含んでいます。

キー

Location

文字列

必須。復旧キーのエスクロー先となる場所の短い説明。このテキストは、ユーザーがFileVaultを有効にするときに表示されるメッセージに挿入されます。

EncryptCertPayloadUUID

文字列

必須。復旧キーの暗号化に使う証明書が含まれているのと同じプロファイルに含まれている、ペイロードのUUID。参照するペイロードは、型がcom.apple.security.pkcs1のものでなければなりません。

DeviceKey

文字列

必要な場合のみ。ユーザーがパスワードを忘れたと考えられる場合に、ヘルプテキストに添えられる省略可能な文字列。サイトの管理者が、特定のマシンのエスクロー済みキーを探す場合に利用できます。前述のエスクローメカニズムで使われるRecordNumberキーを置き換えるものです。省略した場合は、代わりにデバイスのシリアル番号が使われます。

FileVaultクライアントが発行する要求

クライアントは、次の事項を記述したXMLデータを、HTTPS POST要求の形でサーバに対して発行します。

キー

VersionNumber

文字列

当面、「1.0」に固定。

SerialNumber

文字列

クライアントコンピュータのシリアル番号。サーバはこの値を反復応答しなければなりません(下記参照)。

RecoveryKeyCMS64

文字列

復旧キー。設定プロファイルに記述された暗号化証明書(EncryptCertPayloadUUIDキーで参照)を使って、暗号化を施します。暗号化されたペイロードには、XMLラッパーなしで復旧キー文字列のみ収容します。暗号化済みデータはXMSエンベロープでラップし、Base-64エンコードします。

上記の各事項に対応するタグを、FDECaptureRequestタグ内に記述します。したがって、XMLメッセージボディーはたとえば次のようになります。

<FDECaptureRequest>
<VersionNumber>1.0</VersionNumber>
<SerialNumber>A02FE08UCC8X</SerialNumber>
<RecoveryKeyCMS64>MIAGCSqGSIb3DQEHA ... AAAAAAAAA==</RecoveryKeyCMS64>
</FDECaptureRequest>

FileVaultサーバからの応答

サーバはクライアントからの要求に応じて、以下の事項を記述したXMLデータを返さなければなりません。

キー

SerialNumber

文字列

クライアントコンピュータのシリアル番号。要求として送信された番号をそのまま返します。

RecordNumber

文字列

空であってはなりませんが、その内容はサイトごとに定義して構いません。復旧キーを入力するようユーザーに求める際、EFIログイン画面に、シリアル番号とともに表示される文字列です。たとえばサイト管理者に対し、データベースに収容されたユーザーの復旧キーを検索し、あるいは検証するために有用な情報を与えることが考えられます。

「Firewall」ペイロード

macOS 10.12以降で利用できます。「Firewall」ペイロードは、セキュリティ環境設定ペインからアクセス可能なアプリケーションファイアウォール設定を管理します。次の制限に注意してください。

  • ペイロードはスコープがシステムであるプロファイルに存在している必要があります。

  • このペイロードを含むプロファイルが複数ある場合は、設定の和集合の中で最も制限の厳しいものが使用されます。

  • 「ダウンロードされた署名付きソフトウェアを自動的に許可」オプションと「内蔵ソフトウェアを自動的に許可」オプションはサポートされませんが、このペイロードが存在していると両方とも強制的にオンになります。

このペイロードは、PayloadTypeの値としてcom.apple.security.firewallを与えることにより指定します。

「Firewall」ペイロードには次のキーがあります。

キー

EnableFirewall

ブール型

必須。ファイアウォールを有効にするかしないかを指定します。

BlockAllIncoming

ブール型

必要な場合のみ。「外部からの接続をすべてブロック」オプションに対応。

EnableStealthMode

ブール型

必要な場合のみ。「ステルスモードを有効にする」に対応。

Applications

辞書の配列

必要な場合のみ。アプリケーションのリストです。各辞書には次のキーがあります。

  • BundleID(文字列):アプリケーションを識別

  • Allowed(ブール型):外部からの接続を許可するかどうかを指定

「Font」ペイロード

「Font」ペイロードを使って、iOSデバイスにフォントを追加できます。「Font」ペイロードは、PayloadTypeの値としてcom.apple.fontを与えることにより指定します。このペイロードは、必要に応じていくつでも設定できます。

「Font」ペイロードには次のキーがあります。

キー

Name

文字列

必要な場合のみ。ユーザー向けに用いるフォント名。インストール後、このフィールドの値は実際のフォント名に変わります。

Font

データ

フォントファイルの内容。

各ペイロードに1つだけ、TrueType(.ttf)形式またはOpenType(.otf)形式のフォントファイルを入れてください。複合フォントファイル(.ttcまたは.otc)には対応していません。

「Global HTTP Proxy」ペイロード

「Global HTTP Proxy」ペイロードは、PayloadTypeの値としてcom.apple.proxy.http.globalを与えることにより指定します。

グローバルHTTPプロキシの設定が可能です。

このペイロードを同時に複数設定することはできません。また、監視対象デバイスにしかインストールできません。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

ProxyType

文字列

「手動」プロキシ型を選択した場合、プロキシサーバのアドレスとポート、さらに、認証に必要な場合はユーザー名とパスワードを設定しなければなりません。「自動」プロキシ型を選択した場合は、自動設定(PAC、Proxy AutoConfiguration)URLを指定できます。

ProxyServer

文字列

プロキシサーバのネットワークアドレス。

ProxyServerPort

整数

プロキシサーバのポート。

ProxyUsername

文字列

必要な場合のみ。プロキシサーバの認証に用いるユーザー名。

ProxyPassword

文字列

必要な場合のみ。プロキシサーバの認証に用いるパスワード。

ProxyPACURL

文字列

必要な場合のみ。プロキシ設定を定義しているPACファイルのURL。

ProxyPACFallbackAllowed

ブール型

必要な場合のみ。falseならば、PACファイルに到達できない場合、デバイスはデスティネーションに直接接続できません。デフォルト値はfalseです。

設定可能なバージョン:iOS 7以降。

ProxyCaptiveLoginAllowed

ブール型

必要な場合のみ。trueならば、デバイスはプロキシサーバを介さずに、専用ネットワークのログインページを表示できます。デフォルト値はfalseです。

設定可能なバージョン:iOS 7以降。

ProxyTypeAutoで、ProxyPACURLの値が指定されていなければ、デバイスはWPAD(Web Proxy AutoDiscovery)プロトコルによりプロキシを探索するようになります。

「Google Account」ペイロード

「Google account」ペイロードは、PayloadTypeの値としてcom.apple.google-oauthを与えることにより指定します。複数のGoogleペイロードをインストールできます。

各GoogleペイロードはGoogleのメールアドレスに加え、認証後にユーザーが有効にするその他のGoogleサービスも設定します。Googleアカウントは、MDMまたはApple Configurator 2(デバイスが監視対象の場合)経由でインストールする必要があります。ペイロードに資格情報が含まれることはありません。ペイロードが正常にインストールされた直後に、資格情報を入力するよう求められます。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

AccountDescription

文字列

必要な場合のみ。電子メールアカウントの説明を、人が読める形の文字列で指定します。これが「Mail and Settings」アプリケーションに表示されます。

設定可能なバージョン:iOS 9.3以降。

AccountName

文字列

必要な場合のみ。Googleアカウントのユーザーのフルネーム。この名前が送信メッセージに表示されます。

設定可能なバージョン:iOS 9.3以降。

EmailAddress

文字列

必須。アカウントの完全なGoogleメールアドレス。

設定可能なバージョン:iOS 9.3以降。

CommunicationServiceRules

辞書

必要な場合のみ。このアカウントの通信サービスハンドラのルール。CommunicationServiceRules辞書は現状ではDefaultServiceHandlersキーのみが設定されており、その値はAudioCallキーを格納している辞書です。このキーの値は、このアカウントからオーディオ通話の発信を処理するデフォルトアプリケーションのバンドルIDを格納した文字列です。

設定可能なバージョン:iOS 10以降。

「Home Screen Layout」ペイロード

「Home Screen Layout」ペイロードは、PayloadTypeの値としてcom.apple.homescreenlayoutを与えることにより指定します。このペイロードには、監視対象となるペイロードを1つだけ含めることができます。ユーザーチャネルでサポートされています。

このペイロードは、ホーム画面のアプリケーションのレイアウト、フォルダ、ウェブクリップを定義します。iOS 9.3以降でサポートされています。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

Dock

配列

必要な場合のみ。辞書の配列。アイコン辞書の形式に準じる必要があります。

Pages

配列

必須。辞書配列の配列。アイコン辞書の形式に準じる必要があります。

アイコン形式辞書は、次のように定義されます。

キー

Type

文字列

必須。次のいずれかである必要があります。

  • Application

  • Folder

  • WebClip

DisplayName

文字列

必要な場合のみ。ユーザーに表示される、人が読める形式の文字列。Folder型の場合のみ有効。

BundleID

文字列

Application型の場合は必須。アプリケーションのバンドル識別子。

Pages

配列

必要な場合のみ。辞書配列の配列。アイコン辞書の形式に準じる必要があります。Folder型の場合のみ有効。

URL

文字列

WebClip型の場合は必須。参照されるWebClipのURL。同じURLのWebClipが複数存在している場合、挙動は未定義。

設定可能なバージョン:iOS 11.3以降。

「Identification」ペイロード

「Identification」ペイロードは、PayloadTypeの値としてcom.apple.configurationprofile.identificationを与えることにより指定します。

このペイロードには、アカウントユーザーの名前やプロンプト文字列を保存できます。空であれば、プロファイルをインストールする際に、ユーザーが指定しなければなりません。

「Identification」ペイロードは、iOSではサポートされません。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

FullName

文字列

該当するアカウントの完全名。

EmailAddress

文字列

アカウントのアドレス。

UserName

文字列

アカウントのUNIXユーザー名。

Password

文字列

パスワードを指定。省略した場合は、プロファイルをインストールする際に、ユーザーが指定しなければなりません。

Prompt

文字列

ユーザーに対する独自の指示内容(必要な場合)。

「Identity Preference」ペイロード

macOS 10.12以降で利用できます。「Identity Preference」ペイロードを使用すると、ユーザーのキーチェーンで同じプロファイルに含まれる識別情報のペイロードを参照する識別プリファレンス項目を特定できます。これはユーザープロファイルのみに表示され、デバイスプロファイルには表示されません。証明書プリファレンスについて詳しくは、「「Certificate Preference」ペイロード」も参照してください。

「Identity Preference」ペイロードは、必要に応じていくつでも設定できます。「Identity Preference」ペイロードは、PayloadTypeの値としてcom.apple.security.identitypreferenceを与えることにより指定します。

「Identity Preference」ペイロードには次のキーがあります。

キー

Name

文字列

必須。電子メールアドレス(RFC822)、DNSホスト名、またはこの識別情報を必要とするその他のサービスを一意に識別する名前。

PayloadCertificateUUID

文字列

識別情報がインストールされている同じプロファイル内の他のペイロードのUUID(「com.apple.security.pkcs12」ペイロードまたは「com.apple.security.scep」ペイロードなど)。

「Kernel Extension Policy」ペイロード

「Kernel Extension Policy」ペイロードは、PayloadTypeの値としてcom.apple.syspolicy.kernel-extension-policyを与えることにより指定します。macOS 10.13.2以降でサポートされています。

このプロファイルは、ユーザーが承認したMDMサーバ経由で提供される必要があります。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

AllowUserOverrides

ブール型

trueに設定した場合、ユーザーは、構成プロファイルで明示的に許可されていない追加のカーネル拡張を承認できます。

AllowedTeamIdentifiers

文字列の配列

ロードが許可される有効な署名付きカーネル拡張を定義する、チームIDの配列。

AllowedKernelExtensions

辞書

マシンへのロードが常に許可される一連のカーネル拡張を表す辞書。チームID(キー)を、バンドルIDの配列にマップするものです。

「LDAP」ペイロード

「LDAP」ペイロードは、PayloadTypeの値としてcom.apple.ldap.accountを与えることにより指定します。

LDAPサーバの使い方を管理するペイロードで、アカウント情報(必要な場合)、問い合わせ時に用いる一連のLDAP検索ポリシーなどを設定します。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

LDAPAccountDescription

文字列

必要な場合のみ。アカウントの説明。

LDAPAccountHostName

文字列

ホスト。

LDAPAccountUseSSL

ブール型

SSLを使うか否か。

LDAPAccountUserName

文字列

必要な場合のみ。ユーザー名。

LDAPAccountPassword

文字列

必要な場合のみ。これが指定されている場合、プロファイルに暗号化を施す必要があります。

LDAPSearchSettings

辞書

最上位コンテナオブジェクト。各アカウントに複数持たせても構いません。少なくとも1つあると有用でしょう。

LDAPSearchSettingsオブジェクトは、検索の開始点となるLDAP木のノードと、検索範囲(当該ノード、当該ノードおよび直下の子、当該ノードおよびその子孫全体、のいずれか)を表します。

LDAPSearchSettingDescription

文字列

必要な場合のみ。この検索設定の説明。

LDAPSearchSettingSearchBase

文字列

検索の開始点となるノードのパス。例をご紹介します。

ou=people,o=example corp

LDAPSearchSettingScope

文字列

再帰的検索の範囲を表します。

次のいずれかの値を指定します。

LDAPSearchSettingScopeBase:SearchBaseで指定したノードのみ。

LDAPSearchSettingScopeOneLevel:当該ノードおよび直下の子。

LDAPSearchSettingScopeSubtree:当該ノードおよびその子孫全体。

「Loginwindow」ペイロード

「Loginwindow」ペイロードは、PayloadTypeの値としてcom.apple.loginwindowを与えることにより指定します。

このペイロードはすべてのバージョンのmacOSに対して、システムプロファイルおよびデバイスプロファイルの管理対象の環境設定を作成します。複数の「Loginwindow」ペイロードを同時にインストールできます。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

SHOWFULLNAME

ブール型

必要な場合のみ。trueに設定すると、名前とパスワードのダイアログが表示されます。falseに設定すると、ユーザーのリストが表示されます。

HideLocalUsers

ブール型

必要な場合のみ。ユーザーリストを表示する場合に、trueに設定するとネットワークとシステムユーザーのみが表示されます。

IncludeNetworkUser

ブール型

必要な場合のみ。ユーザーリストを表示する場合に、trueに設定するとネットワークユーザーが表示されます。

HideAdminUsers

ブール型

必要な場合のみ。ユーザーリストを表示する場合に、falseに設定すると管理者ユーザーが表示されなくなります。

SHOWOTHERUSERS_MANAGED

ブール型

必要な場合のみ。ユーザーリストを表示する場合に、trueに設定すると「その他…」ユーザーが表示されます。

AdminHostInfo

文字列

必要な場合のみ。このキーがペイロードに含まれると、ログインウィンドウにコンピュータの追加情報としてキーの値が表示されます。macOS 10.10未満では、この文字列に設定できるのは特定の情報(HostNameSystemVersion、またはIPAddress)のみでした。macOS 10.10以降では、ユーザーはメニューバーの「時間」領域をクリックして各種のコンピュータ情報の値を切り替えることにより、任意の値をこのキーに設定できます。

AllowList

文字列の配列

必要な場合のみ。ログインを許可されているユーザーまたはグループのGUID。アスタリスク「*」文字列は、すべてのユーザーまたはグループを指定します。

DenyList

文字列の配列

必要な場合のみ。ログインできないユーザーまたはグループのGUID。このリストは、AllowListキーのリストよりも優先度が高くなります。

HideMobileAccounts

ブール型

必要な場合のみ。trueに設定すると、モバイルアカウントユーザーはユーザーリストに表示されなくなります。モバイルユーザーがネットワークユーザーとして表示される場合もあります。

ShutDownDisabled

ブール型

必要な場合のみ。trueに設定すると、「システム終了」ボタン項目が表示されなくなります。

RestartDisabled

ブール型

必要な場合のみ。trueに設定すると、「再起動」項目が表示されなくなります。

SleepDisabled

ブール型

必要な場合のみ。trueに設定すると、「スリープ」ボタン項目が表示されなくなります。

DisableConsoleAccess

ブール型

必要な場合のみ。trueに設定すると、「その他」ユーザーの「>console」特殊ユーザー名の使用が無視されます。

LoginwindowText

文字列

必要な場合のみ。ログインウィンドウに表示するテキスト。

ShutDownDisabledWhileLoggedIn

ブール型

必要な場合のみ。trueに設定すると、ユーザーのログイン中に「システム終了」メニュー項目が無効になります。

RestartDisabledWhileLoggedIn

ブール型

必要な場合のみ。trueに設定すると、ユーザーのログイン中に「再起動」メニュー項目が無効になります。

PowerOffDisabledWhileLoggedIn

ブール型

必要な場合のみ。trueに設定すると、ユーザーのログイン中に「電源オフ」メニュー項目が無効になります。

LogOutDisabledWhileLoggedIn

ブール型

必要な場合のみ。trueに設定すると、ユーザーのログイン時に「ログアウト」メニュー項目が無効になります。

設定可能なバージョン:macOS 10.13以降。

DisableScreenLockImmediate

ブール型

必要な場合のみ。trueに設定すると、画面のロックをただちに実行する機能が無効になります。

設定可能なバージョン:macOS 10.13以降。

従来の単独型「Loginwindow」ペイロードも引き続き使用できます。PayloadTypeの値としてloginwindowを与えることにより指定します。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

DisableLoginItemsSuppression

ブール型

必要な場合のみ。trueに設定すると、ユーザーはShiftキーを使用したログイン項目の無効化ができなくなります。

メディア管理

メディア管理のプロファイル構成キーには、ディスク作成を制限するものと、メディアのマウントと取り出しを制限するものの2つの種類があります。すべてのキーがすべてのバージョンのmacOSで利用でき、ユーザーチャネルでサポートされます。

「Disc Burning」ペイロード

ディスク作成の制限には、「Disc Burning」ペイロードと「Finder」ペイロードの両方が必要です。

「Disc Burning」ペイロードは、PayloadTypeの値としてcom.apple.DiscRecordingを与えることにより指定します。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

BurnSupport

文字列

必須。offに設定すると、ディスク作成が無効になります。onに設定すると、通常のデフォルト動作を行います。authenticateに設定すると、認証が必要になります。このキーをonに設定しても、他のメカニズムまたは環境設定によってディスク作成がすでに無効にされている場合、ディスク作成は有効にはなりません。

「Finder」ペイロードは、PayloadTypeの値としてcom.apple.finderを与えることにより指定します。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

ProhibitBurn

ブール型

必須。falseに設定すると、Finderによるディスク作成のサポートが有効になります。trueに設定すると、Finderによるディスク作成のサポートが無効になります。

「Allowed Media」ペイロード

「Allowed Media」ペイロードは、PayloadTypeの値としてcom.apple.systemuiserverを与えることにより指定します。

このペイロードは次のキーを設定できます。

キー

logout-eject

辞書

必要な場合のみ。ユーザーのログアウト時に取り出すボリュームを定義するメディアタイプ辞書。

mount-controls

辞書

必要な場合のみ。ボリュームのマウントを管理するメディアタイプ辞書。

unmount-controls

辞書

必要な場合のみ。ボリュームのマウント解除を管理するメディアタイプ辞書。

メディアタイプ辞書には次のキーに対する値を設定できます。すべての辞書ですべてのキーが使用されるわけではありません。メディアアクション文字列の値を次の表に示します。

キー(メディアタイプ)

all-media

文字列

必要な場合のみ。未使用(空の文字列に設定)。

cd

文字列または文字列の配列

必要な場合のみ。メディアアクション文字列。

dvd

文字列または文字列の配列

必要な場合のみ。メディアアクション文字列。

bd

文字列または文字列の配列

必要な場合のみ。メディアアクション文字列。

blankcd

文字列または文字列の配列

必要な場合のみ。メディアアクション文字列。

blankdvd

文字列または文字列の配列

必要な場合のみ。メディアアクション文字列。

blankbd

文字列または文字列の配列

必要な場合のみ。メディアアクション文字列。

dvdram

文字列または文字列の配列

必要な場合のみ。メディアアクション文字列。

disk-image

文字列または文字列の配列

必要な場合のみ。メディアアクション文字列。

harddisk-internal

文字列または文字列の配列

必要な場合のみ。メディアアクション文字列。

networkdisk

文字列または文字列の配列

必要な場合のみ。メディアアクション文字列。

harddisk-external

文字列または文字列の配列

必要な場合のみ。メディアアクション文字列。本体内にインストールされたSDカードドライブとUSBフラッシュドライブは、harddisk-externalカテゴリに含まれます。このキーは、他のカテゴリに当てはまらないメディアタイプのデフォルトになります。

次にメディアアクション文字列について説明します。カスタムアクションを作成するために、いくつかの文字列を配列にして組み合わせることができます。

キー

authenticate

ブール型

必要な場合のみ。メディアをマウントする前にユーザーの認証が必要です。

read-only

ブール型

必要な場合のみ。メディアは読み取り専用としてマウントされます。このアクションはマウント解除の制御と組み合わせることはできません。

deny

ブール型

必要な場合のみ。このメディアはマウントできません。

eject

ブール型

必要な場合のみ。メディアはマウントできず、可能な場合は取り出されます。ボリュームの中には取り出し可能として定義されていないものもあるため、denyキーの使用が最適なソリューションである場合があります。このアクションはマウント解除の制御と組み合わせることができません。

「Network Usage Rules」ペイロード

「Network Usage Rules」ペイロードは、PayloadTypeの値としてcom.apple.networkusagerulesを与えることにより指定します。

「Network Usage Rules」ペイロードを使用すると、携帯電話データネットワークなどの管理対象アプリケーションがネットワークを使用する方法を指定できます。このルールは管理対象アプリケーションにのみ適用されます。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

ApplicationRules

辞書の配列

必須。

ApplicationRules配列の各エントリは、次のキーを含む辞書でなくてはなりません。

キー

AppIdentifierMatches

配列

必要な場合のみ。関連ルールに従う必要がある、管理対象アプリケーション識別子のリスト(文字列)。キーが不足している場合は、ルールはデバイスのすべての管理対象アプリケーションに対して適用されます。

AppIdentifierMatches配列の各文字列は、アプリケーション識別子と完全一致するか(com.mycompany.myappなど)、ワイルドカード文字(*)を使用してバンドルIDとプレフィックス一致を指定します。ワイルドカード文字は、ピリオド(.)の後に、文字列の末尾に1回だけ使います(com.mycompany.*など)。

AllowRoamingCellularData

ブール型

必要な場合のみ。デフォルト値はtrueです。falseに設定すると、一致する管理対象アプリケーションは、ローミング中に携帯電話データを使用できません。

AllowCellularData

ブール型

必要な場合のみ。デフォルト値はtrueです。falseに設定すると、一致する管理対象アプリケーションは携帯電話データを一切使用できません。

「Notifications」ペイロード

「Notifications」ペイロードは、PayloadTypeの値としてcom.apple.notificationsettingsを与えることにより指定します。このペイロードには、監視対象デバイスにインストールされるペイロードを1つだけ含めることができます。ユーザーチャネルでサポートされています。

このペイロードは、アプリケーションに対して制限が強制された通知設定を、バンドルIDを使用して指定します。iOS 9.3以降でサポートされています。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

NotificationSettings

配列

必須。辞書の配列。それぞれの配列が、1つのバンドルIDの通知設定を指定します。

[NotificationSettings]フィールドの各エントリには、次の辞書が含まれています。

キー

BundleIdentifier

文字列

必須。通知設定を適用するアプリケーションのバンドルID。

NotificationsEnabled

ブール型

必要な場合のみ。このアプリケーションに対して通知を許可するかどうかを指定します。デフォルト値はtrueです。

ShowInNotificationCenter

ブール型

必要な場合のみ。通知センターに通知を表示するかどうかを指定します。デフォルト値はtrueです。

ShowInLockScreen

ブール型

必要な場合のみ。ロック画面に通知を表示するかどうかを指定します。デフォルト値はtrueです。

AlertType

整数

必要な場合のみ。このアプリケーションの通知のアラート型。

  • 0:なし

  • 1:バナー

  • 2:モーダルアラート

デフォルト値は1です。

BadgesEnabled

ブール型

必要な場合のみ。このアプリケーションに対してバッジを許可するかどうかを指定します。デフォルト値はtrueです。

SoundsEnabled

ブール型

必要な場合のみ。このアプリケーションに対してサウンドを許可するかどうかを指定します。デフォルト値はtrueです。

NSExtensionの管理

NSExtensionペイロードは、PayloadTypeの値としてcom.apple.NSExtensionを与えることによって指定します。

このペイロードは、システムで許可される、または許可されないNSExtensionを指定します。Extensionは、ホワイトリストおよびブラックリストのバンドルIDによって、または拡張ポイントのブラックリストによって管理できます。

macOS 10.13以降でサポートされています。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

AllowedExtensions

配列

必要な場合のみ。システム上で実行が許可されているExtensionのExtension IDの配列。

DeniedExtensions

配列

必要な場合のみ。システム上で実行が許可されていないExtensionのExtension IDの配列。

DeniedExtensionPoints

配列

必要な場合のみ。システム上で実行が許可されていないExtensionのNSExtension拡張ポイントの配列。

「Parental Controls」ペイロード

macOSにおけるペアレンタルコントロールは、必要なコントロールの種類に応じて個別に設定される多くの異なるペイロードから構成されています。「Parental Control」ペイロードは、ユーザーチャネルでサポートされます。各ペイロードとそれぞれに対応するキーについて、以下で説明します。

「Parental Control Web Content Filter」ペイロード

「Parental Control Web Content Filter」ペイロードは、PayloadTypeの値としてcom.apple.familycontrols.contentfilterを与えることにより指定します。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

restrictWeb

ブール型

必須。trueに設定すると、ウェブコンテンツフィルタが有効になります。

useContentFilter

ブール型

必要な場合のみ。trueに設定すると、コンテンツの自動的なフィルタが試みられます。

whiteListEnabled

ブール型

必要な場合のみ。trueに設定すると、filterWhiteListリストとfilterBlackListリストが使用されます。

siteWhiteList

辞書の配列

whiteListEnabledtrueの場合は必須。指定された場合、このキーには、自動化されている許可されたサイトと許可されていないサイトのリストの他に、禁止されているアダルトサイトも含めた追加のサイトの許可を定義する辞書の配列(下記参照)が格納されます。

filterWhiteList

URL文字列の配列

必要な場合のみ。このキーが指定され、restrictWebtrueの場合、URLの配列には許可するウェブサイトのみを指定します。

filterBlackList

URL文字列の配列

必要な場合のみ。このキーが指定され、restrictWebtrueの場合、URLの配列にあるウェブサイトは許可されません。

siteWhiteList辞書には次のキーがあります。

キー

address

文字列

必須。http(s)スキームを含むサイトのプレフィックス。

pageTitle

文字列

必要な場合のみ。サイトのページタイトル。

「Parental Control Time Limits」ペイロード

「Parental Control Time Limits」ペイロードは、PayloadTypeの値としてcom.apple.familycontrols.timelimits.v2を与えることにより指定します。

ペイロードにはマスター有効化フラグに加えて、時間制限指定キーの辞書を含みます。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

familyControlsEnabled

ブール型

必須。trueに設定すると、時間制限を使用できます。

time-limits

辞書

familyControlsEnabledtrueの場合は必須。時間制限の設定。

time-limits辞書には次のキーがあります。

キー

weekday-allowance

辞書

必要な場合のみ。平日の許可設定。

weekday-curfew

辞書

必要な場合のみ。平日の夜間使用禁止設定。

weekend-allowance

辞書

必要な場合のみ。週末の許可設定。

weekend-curfew

辞書

必要な場合のみ。週末の夜間使用禁止設定。

allowance辞書またはcurfew辞書には次のキーがあります。

キー

enabled

ブール型

必須。trueに設定すると、設定が有効になります。

rangeType

整数

必須。日付の種類:0 = 平日、1 = 週末。

start

文字列

必要な場合のみ。夜間使用禁止の開示時刻(「%d:%d:%d」形式)。

end

文字列

必要な場合のみ。夜間使用禁止の終了時刻(「%d:%d:%d」形式)。

secondsPerDay

整数

必要な場合のみ。1日あたりで許可される秒数。

「Parental Control Application Access」ペイロード

「Parental Control Application Access」ペイロードは、PayloadTypeの値としてcom.apple.applicationaccess.newを与えることにより指定します。

macOS上でのアプリケーションへのアクセス制限を有効にします。

アプリケーションを起動できるかどうかを判定するため、次の規則が評価されます。

  1. 一定のシステムアプリケーションとユーティリティは、常に実行が許可されます。

  2. bundleIDを検索条件としてwhiteListが検索され、一致するエントリが見つかるかどうかが確認されます。一致するエントリが見つかった場合は、appIDdetachedSignature(存在する場合)を使って、起動されようとしているアプリケーションの署名が検証されます。署名が有効なものであり、(appIDキーで)指定された要件に適合している場合は、アプリケーションの起動が許可されます。

  3. 起動されるバイナリのパスが、pathBlackListに記述されているパスと一致する(または当該パスのサブディレクトリにある)場合、そのバイナリは拒否されます。

  4. 起動されるバイナリのパスが、pathWhiteListに記述されているパスと一致する(または当該パスのサブディレクトリにある)場合、そのバイナリは起動を許可されます。

  5. バイナリは起動を拒否されます。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

familyControlsEnabled

ブール型

必須。trueに設定すると、ウェブコンテンツフィルタが有効になります。

whiteList

辞書の配列

必要な場合のみ。実行が許可されるアプリケーションのコード署名のリスト。

pathBlackList

文字列の配列

必要な場合のみ。実行が許可されないアプリケーションのパス。

pathWhiteList

文字列の配列

必要な場合のみ。実行が許可されるアプリケーションのパス。

whiteList辞書には次のキーがあります。

キー

bundleID

文字列

必須。アプリケーションのバンドルID。

appID

Data

必須。この実行可能ファイルのコード署名を記述した指定要件。この値は、SecCodeCopyDesignatedRequirementを使ってSecurity.frameworkから取得されます。

detachedSignature

データ

必要な場合のみ。署名されていないバイナリについて、要求された署名を提供するために使用できます。署名されていないバイナリ用に臨時の署名を生成し、ここに保存します。

disabled

ブール型

必要な場合のみ。このアプリケーション情報をwhiteListに記載するかどうかを指定します。trueに設定した場合、アプリケーションはwhiteListに記載されません。pathWhiteListを通じて起動を許可することもできますが、お勧めしません。

デフォルト値はfalseです。

subApps

辞書の配列

必要な場合のみ。入れ子になったヘルパアプリケーションを含んでいるアプリケーションの場合に、埋め込まれているアプリケーションの署名を記述します。辞書の形式は、whiteListキーの場合と同一です。

displayName

文字列

必要な場合のみ。表示名。

「Parental Control Dashboard」ペイロード

「Parental Control Dashboard」ペイロードは、PayloadTypeの値としてcom.apple.dashboardを与えることにより指定します。

Dashboardウィジェットのホワイトリストを定義するために使用されます。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

whiteListEnabled

ブール型

必須。trueに設定すると、ウィジェットのホワイトリスト項目が有効になります。

whiteList

辞書の配列

必須。Dashboardウィジェットを定義するリスト。

各ウィジェットのwhiteList辞書には次のキーがあります。

キー

Type

文字列

必須。bundleIDに設定すると、ウィジェットのバンドルIDがIDとして使用されます。

ID

文字列

必須。ウィジェットのバンドルID。

「Parental Control Dictionary」ペイロード

「Parental Control Dictionary」ペイロードは、PayloadTypeの値としてcom.apple.Dictionaryを与えることにより指定します。

デバイスのペアレンタルコントロール辞書で定義された制限を有効にします。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

parentalControl

ブール型

必須。trueに設定すると、ペアレンタルコントロール辞書の制限が有効になります。

「Parental Control Dictation and Profanity」ペイロード

「Parental Control Dictation and Profanity」ペイロードは、PayloadTypeの値としてcom.apple.ironwood.supportを与えることにより指定します。

音声入力を無効にして、デバイス上での不適切な単語を抑制します。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

IronwoodAllowed

ブール型

必要な場合のみ。falseに設定すると、音声入力が無効になります。

ProfanityAllowed

ブール型

必要な場合のみ。falseに設定すると、不適切な単語が抑制されます。

「Parental Control Game Center」ペイロード

「Parental Control Game Center」ペイロードは、PayloadTypeの値としてcom.apple.gamedを与えることにより指定します。

デバイス上でGame Centerオプションを制限します。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

GKFeatureGameCenterAllowed

ブール型

必要な場合のみ。falseに設定すると、Game Centerが無効になります。

GKFeatureAccountModificationAllowed

ブール型

必要な場合のみ。falseに設定すると、アカウントの変更が無効になります。

GKFeatureAddingGameCenterFriendsAllowed

ブール型

必要な場合のみ。falseに設定すると、Game Centerへの友達の追加が無効になります。

GKFeatureMultiplayerGamingAllowed

ブール型

必要な場合のみ。falseに設定すると、マルチプレイゲームが無効になります。

追加のペアレンタルコントロール

次のペイロードには、追加のペアレンタルコントロールがあります。

「Passcode Policy」ペイロード

「Passcode Policy」ペイロードは、PayloadTypeの値としてcom.apple.mobiledevice.passwordpolicyを与えることにより指定します。

このペイロード型が存在すれば、iOSまたはmacOSデバイスは英数字から成るパスコードの入力画面を表示するようになります。パスコードに長さや複雑さの制限はありません。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

allowSimple

ブール型

必要な場合のみ。デフォルト値はtrueです。簡単なパスコードを許可するか否かを指定します。ここで言う簡単なパスコードとは、同じ文字の繰り返し、あるいは単純上昇/下降形(123、CBAなど)の文字列が含まれるもののことです。falseを設定すれば、minComplexCharsの値として「1」を指定したのと同じ意味になります。

forcePIN

ブール型

必要な場合のみ。デフォルト値はNO。ユーザーがPINを設定するよう強制するか否かを表します。この値をYESとするだけで(他の値は指定しなくても)、長さや強度は別として、パスコードの入力を強制することになります。

maxFailedAttempts

整数

必要な場合のみ。デフォルト値は10(iOSのみ)。指定可能な値の範囲は[1...10]。ロック画面で誤ったパスコードを入力しても、この回数までならば再試行が可能です。この回数を超えてしまうとデバイスはロックされ、所定のiTunesに接続しなければ解除できません。

maxInactivity

整数

必要な場合のみ。デフォルト値は無限大。ここで指定した時間(分単位)デバイスがアイドル状態になると、(ユーザーがロック解除しない限り)自動的にロックがかかります。この上限時間に達するとデバイスはロックされ、解除するためにはパスコードが必要になります。

macOSでは、スクリーンセーバの設定としても使われます。

maxPINAgeInDays

整数

必要な場合のみ。デフォルト値は無限大。パスコードを変更せずに利用できる最大日数を指定します。この日数が経過すると、パスコードを変更しない限りデバイスをロック解除できません。

minComplexChars

整数

必要な場合のみ。デフォルト0.パスコードに含まれるべき「複雑な」文字の最小数を指定します。ここで言う「複雑な」文字とは、「&%$#」のような、英数字以外の文字のことです。

minLength

整数

必要な場合のみ。デフォルト0.パスコードの長さの最小値を表します。やはり必須ではない「minComplexChars」とは独立に指定できます。

requireAlphanumeric

ブール型

必要な場合のみ。デフォルト値はNO。英字(「abcd」など)を入力しなければならないか、数字だけでよいか、を表します。

pinHistory

整数

必要な場合のみ。パスコードを変更する際、変更履歴をいくつまでさかのぼって重複を確認するか、を表します。最小値は1、最大値は50です。

maxGracePeriod

整数

必要な場合のみ。パスコードを入力せずに電話のロックを解除できる、最大猶予時間(分単位)を表します。デフォルト値は0、すなわち、猶予時間はなく直ちにパスコードを要求されます。

macOSでは、スクリーンセーバの設定としても使われます。

allowFingerprintModification

ブール型

必要な場合のみ。監視対象のみ。macOSでは対応していません。ユーザーにTouch IDの変更を許可します。デフォルト値は「NO」です。

changeAtNextAuth

ブール型

必要な場合のみ。macOSの場合、trueに設定すると、ユーザーが次に認証を受けようとした時点でパスワードがリセットされます。このキーがデバイスプロファイルで設定されている場合は、すべてのユーザーに設定が適用されます。管理者ユーザーのパスワードがリセットされるまで、管理者認証も失敗する可能性があります。

設定可能なバージョン:macOS 10.13以降。

プロファイルの「Removal Password」ペイロード

「Removal Password」ペイロードは、PayloadTypeの値としてcom.apple.profileRemovalPasswordを与えることにより指定します。

ここで指定するパスワードは、ロック済みの構成プロファイルをデバイスから削除する際に使います。このペイロードが存在し、パスワード値が設定されていれば、ユーザーがプロファイルの「削除」ボタンをタップしたとき、パスワードを尋ねられるようになります。このペイロードは暗号化してプロファイルに格納するようになっています。

キー

RemovalPassword

文字列

必要な場合のみ。監視対象のみ。プロファイルの削除パスワードを指定します。

「Restrictions」ペイロード

「Restrictions」ペイロードは、PayloadTypeの値としてcom.apple.applicationaccessを与えることにより指定します。

管理者はこのペイロードを用いて、デバイスのある機能(写真を撮るなど)をユーザーが使えないよう制限できます。

このペイロードはiOSでサポートされています。下記のとおり、macOSでもサポートされているキーがあります。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

allowAccountModification

ブール型

必要な場合のみ。監視対象のみ。trueならば、アカウントの変更はできません。

設定可能なバージョン:iOS 7.0以降。

allowAddingGameCenterFriends

ブール型

必要な場合のみ。falseであれば、Game Centerに友だちを追加できません。このキーは、監視されていないデバイスでは非推奨です。

allowAirDrop

ブール型

必要な場合のみ。監視対象のみ。falseならば、AirDropは無効です。

設定可能なバージョン:iOS 7.0以降。

allowAppCellularDataModification

ブール型

必要な場合のみ。監視対象のみ。falseならば、アプリケーションによるモバイルデータ使用方法の変更はできません。

設定可能なバージョン:iOS 7.0以降。

allowAppInstallation

ブール型

必要な場合のみ。監視対象のみ。falseであればApp Storeは使えなくなり、ホーム画面から当該アイコンがなくなります。ユーザーはApp Storeのアプリケーションをインストール/更新できません。このキーは、監視されていないデバイスでは非推奨です。

allowAppRemoval

ブール型

必要な場合のみ。falseであれば、iOSデバイスからアプリケーションを削除できません。このキーは、監視されていないデバイスでは非推奨です。

allowAssistant

ブール型

必要な場合のみ。falseであれば、Siriは無効です。デフォルト値はtrueです。

allowAssistantUserGeneratedContent

ブール型

必要な場合のみ。監視対象のみ。falseならば、ユーザーが生成した情報を、Siriがウェブ経由で問い合わせることはできません。

設定可能なバージョン:iOS 7以降。

allowAssistantWhileLocked

ブール型

必要な場合のみ。falseであれば、デバイスがロックされているとき、ユーザーはSiriを利用できません。デフォルト値はtrueです。デバイスにパスコードの設定がなければ、この制約は無視されます。

設定可能なバージョン:iOS 5.1以降。

allowBookstore

ブール型

必要な場合のみ。監視対象のみ。falseに設定されている場合、iBooks Storeは無効になります。デフォルト値はtrueです。

設定可能なバージョン:iOS 6.0以降。

allowBookstoreErotica

ブール型

必要な場合のみ。監視対象のみ(iOS 6.1より前)。falseに設定すると、「成人向け」とタグ付けされたメディアをiBooks Storeからダウンロードできなくなります。デフォルト値はtrueです。

設定可能なバージョン:iOSおよびtvOS 11.3以降。

allowCamera

ブール型

必要な場合のみ。falseであればカメラはまったく使えなくなり、ホーム画面から当該アイコンがなくなります。ユーザーは写真を撮れません。

設定可能なバージョン:iOSおよびmacOS 10.11以降。

allowChat

ブール型

必要な場合のみ。falseであれば、監視対象デバイスでは「Messages」アプリケーションが使えなくなります。

設定可能なバージョン:iOS 6.0以降。

allowCloudBackup

ブール型

必要な場合のみ。falseならば、デバイス上のファイルをiCloudにバックアップしないようになります。

設定可能なバージョン:iOS 5.0以降。

allowCloudBookmarks

ブール型

必要な場合のみ。falseであれば、macOSのiCloudブックマーク同期が禁止されます。

設定可能なバージョン:macOS 10.12以降。

allowCloudMail

ブール型

必要な場合のみ。falseであれば、macOSの「メール」iCloudサービスを禁止します。

設定可能なバージョン:macOS 10.12以降。

allowCloudCalendar

ブール型

必要な場合のみ。falseであれば、macOSの「カレンダー」iCloudサービスを禁止します。

設定可能なバージョン:macOS 10.12以降。

allowCloudReminders

ブール型

必要な場合のみ。falseであれば、macOSの「リマインダー」iCloudサービスを禁止します。

設定可能なバージョン:macOS 10.12以降。

allowCloudAddressBook

ブール型

必要な場合のみ。falseであれば、macOSの「連絡先」iCloudサービスを禁止します。

設定可能なバージョン:macOS 10.12以降。

allowCloudNotes

ブール型

必要な場合のみ。falseであれば、macOSの「メモ」iCloudサービスを禁止します。

設定可能なバージョン:macOS 10.12以降。

allowCloudDocumentSync

ブール型

必要な場合のみ。falseならば、ドキュメントやキー値をiCloudに同期する処理が無効になります。このキーは、監視されていないデバイスでは非推奨です。

設定可能なバージョン:iOS 5.0以降およびmacOS 10.11以降。

allowCloudKeychainSync

ブール型

必要な場合のみ。falseであれば、iCloudキーチェーン同期が無効になります。デフォルト値はtrueです。

設定可能なバージョン:iOS 7.0以降およびmacOS 10.12以降。

allowContentCaching

ブール型

必要な場合のみ。falseであれば、コンテンツのキャッシュ処理が禁止されます。デフォルト値はtrueです。

設定可能なバージョン:macOS 10.13以降。

allowDiagnosticSubmission

ブール型

必要な場合のみ。falseであれば、診断レポートを自動的にAppleに送信することはなくなります。デフォルト値はtrueです。

設定可能なバージョン:iOS 6.0以降。

allowExplicitContent

ブール型

必要な場合のみ。falseであれば、iTunes Storeから購入した、未成年者禁止の音楽や動画が見えなくなります。未成年者禁止である旨の設定は、その販売者(レコード会社など)が、iTunes Storeを介して販売する際に行います。このキーは、監視されていないデバイスでは非推奨です。

設定可能なバージョン:iOSおよびtvOS 11.3以降。

allowFindMyFriendsModification

ブール型

必要な場合のみ。監視対象のみ。falseならば、「友だちを探す」機能に切り替えることはできません。

設定可能なバージョン:iOS 7.0以降。

allowFingerprintForUnlock

ブール型

必要な場合のみ。falseならば、Touch IDを使ってデバイスのロックを解除することはできません。

設定可能なバージョン:iOS 7以降およびmacOS 10.12.4以降。

allowGameCenter

ブール型

必要な場合のみ。監視対象のみ。falseであればGame Centerは使えなくなり、ホーム画面から当該アイコンがなくなります。デフォルト値はtrueです。

設定可能なバージョン:iOS 6.0以降。

allowGlobalBackgroundFetchWhenRoaming

ブール型

必要な場合のみ。falseであれば、iOS電話のローミング中、グローバルなバックグラウンドフェッチ機能が無効になります。

allowInAppPurchases

ブール型

必要な場合のみ。falseであれば、アプリ内課金が利用できません。

allowLockScreenControlCenter

ブール型

必要な場合のみ。falseであれば、ロック画面にコントロールセンターが現れません。

設定可能なバージョン:iOS 7以降。

allowHostPairing

ブール型

監視対象のみ。falseならば、監視ホストを除き、ホストのペアリングはできません。監視ホスト証明書が未設定であれば、ペアリングはすべて無効になります。管理者はホストのペアリングを利用して、iOS 7デバイスと組になるデバイスを制御できます。

設定可能なバージョン:iOS 7.0以降。

allowLockScreenNotificationsView

ブール型

必要な場合のみ。falseに設定すると、ロック画面の通知センターに「通知」表示が現れなくなるので、ユーザーは画面のロック中に通知を受信できなくなります。

設定可能なバージョン:iOS 7.0以降。

allowLockScreenTodayView

ブール型

必要な場合のみ。falseであれば、ロック画面の通知センターに、「今日」表示が現れません。

設定可能なバージョン:iOS 7.0以降。

allowMultiplayerGaming

ブール型

必要な場合のみ。falseであれば、マルチプレーヤーゲームが禁止になります。このキーは、監視されていないデバイスでは非推奨です。

allowOpenFromManagedToUnmanaged

ブール型

必要な場合のみ。falseであれば、マネージドアプリケーションの書類やアカウントは、他のマネージドアプリケーションやアカウントでしか開かないようになります。デフォルト値はtrueです。

設定可能なバージョン:iOS 7.0以降。

allowOpenFromUnmanagedToManaged

ブール型

必要な場合のみ。falseであれば、非マネージドアプリケーションの書類やアカウントは、他の非マネージドアプリケーションやアカウントでしか開かないようになります。デフォルト値はtrueです。

設定可能なバージョン:iOS 7.0以降。

allowOTAPKIUpdates

ブール型

必要な場合のみ。falseであれば、無線でのPKI更新はできません。この制約をfalseにしても、CRL/OCSP検査が無効になるわけではありません。デフォルト値はtrueです。

設定可能なバージョン:iOS 7.0以降。

allowPassbookWhileLocked

ブール型

必要な場合のみ。falseならば、Passbook通知はロック画面に表示されません。デフォルト値はtrueです。

設定可能なバージョン:iOS 6.0以降。

allowPhotoStream

ブール型

必要な場合のみ。falseならば、Photo Streamが無効になります。

設定可能なバージョン:iOS 5.0以降。

allowSafari

ブール型

必要な場合のみ。falseならば、Safari(ウェブブラウザ)が使えなくなり、ホーム画面から当該アイコンがなくなります。ウェブクリップを開くこともできません。このキーは、監視されていないデバイスでは非推奨です。

safariAllowAutoFill

ブール型

必要な場合のみ。falseであれば、Safariのオートフィルが無効になります。デフォルト値はtrueです。

safariForceFraudWarning

ブール型

必要な場合のみ。trueであれば、Safariの「詐欺」警告機能が有効になります。デフォルト値はfalseです。

safariAllowJavaScript

ブール型

必要な場合のみ。falseであれば、SafariでJavaScriptのコードを実行できなくなります。デフォルト値はtrueです。

safariAllowPopups

ブール型

必要な場合のみ。falseであれば、Safariのポップアップタブ機能が使えなくなります。デフォルト値はtrueです。

safariAcceptCookies

実数

必要な場合のみ。デバイスがcookieを受け入れる条件を指定します。

指定可能な値に変更はありませんが、ユーザーに表示される設定項目がiOS 11で変更されています。

  • 0:「サイト越えトラッキングを防ぐ」と「すべてのCookieをブロック」が有効になり、ユーザーはどちらの設定も無効にできません。

  • 1または1.5:「サイト越えトラッキングを防ぐ」が有効になり、ユーザーはこの設定を無効にできません。「すべてのCookieをブロック」は有効になりませんが、ユーザーが有効にできます。

  • 2:「サイト越えトラッキングを防ぐ」が有効になり、「すべてのCookieをブロック」は有効になりません。ユーザーは、どちらの設定値も切り替えることができます。(デフォルト)

iOS 10およびそれ以前の場合は、以下の値および設定値を指定できます。

  • 0:Cookieを受け入れない

  • 1:現在のウェブサイトからのみ受け入れる

  • 1.5:アクセスしたことのあるウェブサイトからは受け入れる(iOS 8.0以降で設定可能)。'<real>1.5</real>'と入力します。

  • 2:常に受け入れる(デフォルト)

iOS 10およびそれ以前の場合、ユーザーは、ペイロードポリシーよりも制限の厳しいオプションについてはいつでも選択できますが、ペイロードポリシーよりも制限の緩やかなポリシーを選択することはできません。たとえば、ペイロードの値が1.5である場合、ユーザーは「Cookieを受け入れない」に切り替えることはできますが、「常に受け入れる」に切り替えることはできません。

allowSharedStream

ブール型

必要な場合のみ。falseならば、Shared Photo Streamは無効になります。デフォルト値はtrueです。

設定可能なバージョン:iOS 6.0以降。

allowUIConfigurationProfileInstallation

ブール型

必要な場合のみ。監視対象のみ。falseならば、ユーザーは構成プロファイルや証明書を対話的にインストールできません。デフォルト値はtrueです。

設定可能なバージョン:iOS 6.0以降。

allowUntrustedTLSPrompt

ブール型

必要な場合のみ。falseならば、信頼できないHTTPS証明書を、ユーザーに問い合わせることなく自動的に拒否するようになります。

設定可能なバージョン:iOS 5.0以降。

allowVideoConferencing

ブール型

必要な場合のみ。falseであればビデオ会議が使えなくなります。このキーは、監視されていないデバイスでは非推奨です。

allowVoiceDialing

ブール型

必要な場合のみ。falseであれば、デバイスがパスコードでロックされていれば音声ダイヤルが無効になります。デフォルト値はtrueです。

allowYouTube

ブール型

必要な場合のみ。falseならば、YouTubeアプリケーションが使えなくなり、ホーム画面から当該アイコンがなくなります。

iOS 6以降にはYouTubeアプリケーションがないので、このキーは無視されます。

allowiTunes

ブール型

必要な場合のみ。falseならば、iTunes Music Storeが使えなくなり、ホーム画面から当該アイコンがなくなります。プレビューや購入、ダウンロードはできません。このキーは、監視されていないデバイスでは非推奨です。

allowiTunesFileSharing

ブール型

必要な場合のみ。falseであれば、iTunesアプリケーションのファイル共有サービスが無効になります。

設定可能なバージョン:macOS 10.13以降。

autonomousSingleAppModePermittedAppIDs

文字列の配列

必要な場合のみ。監視対象のみ。この設定があれば、この配列に指定されているバンドルIDのアプリケーションは、自律的に単一アプリケーションモードになります。

設定可能なバージョン:iOS 7.0以降。

forceAssistantProfanityFilter

ブール型

必要な場合のみ。監視対象のみ。trueとすることにより、不敬語フィルタアシスタントを使うよう強制できます。

forceEncryptedBackup

ブール型

必要な場合のみ。trueであれば、バックアップをすべて暗号化するようになります。

forceITunesStorePasswordEntry

ブール型

必要な場合のみ。trueならば、購入の際、その都度iTunesパスワードの入力を求められるようになります。

設定可能なバージョン:iOS 5.0以降。

forceLimitAdTracking

ブール型

必要な場合のみ。trueならば、広告の追跡が制限されます。デフォルト値はfalseです。

設定可能なバージョン:iOS 7.0以降。

forceAirPlayOutgoingRequestsPairingPassword

ブール型

必要な場合のみ。trueを指定することにより、このデバイスからのAirPlay要求を受け取るデバイスすべてに対し、ペアリングパスワードを使うよう強制することができます。デフォルト値はfalseです。

設定可能なバージョン:iOS 7.1以降。

forceAirPlayIncomingRequestsPairingPassword

ブール型

必要な場合のみ。trueを指定することにより、このデバイスにAirPlay要求を送信するデバイスすべてに対し、ペアリングパスワードを使うよう強制できます。デフォルト値はfalseです。

設定可能なバージョン:Apple TV 6.1からtvOS 10.1。AirPlay Security Payloadを使うことを推奨します。

allowManagedAppsCloudSync

ブール型

必要な場合のみ。falseを指定すれば、マネージドアプリケーションがiCloud同期を使わないようになります。

allowEraseContentAndSettings

ブール型

監視対象のみ。falseを指定すれば、Reset UIの「すべてのコンテンツおよび設定を消去」オプションが無効になります。

allowSpotlightInternetResults

ブール型

監視対象のみ。falseを指定すれば、Spotlightがインターネット検索の結果を返さないようになります。

設定可能なバージョン:iOSおよびmacOS 10.11以降。

allowEnablingRestrictions

ブール型

監視対象のみ。falseを指定すれば、「設定」の「Restrictions UI」で、「Enable Restrictions」オプションが無効になります。

allowActivityContinuation

ブール型

falseを指定すれば、アクティビティ継続が無効になります。デフォルト値はtrueです。

allowEnterpriseBookBackup

ブール型

falseを指定すれば、Enterpriseブックがバックアップの対象から外れます。デフォルト値はtrueです。

allowEnterpriseBookMetadataSync

ブール型

falseを指定すれば、Enterpriseブックの注記や強調が同期しなくなります。デフォルト値はtrueです。

allowPodcasts

ブール型

監視対象のみ。falseを指定すれば、ポッドキャストが無効になります。デフォルト値はtrueです。

設定可能なバージョン:iOS 8.0以降。

allowDefinitionLookup

ブール型

監視対象のみ。falseを指定すれば、定義のルックアップが無効になります。デフォルト値はtrueです。

設定可能なバージョン:iOS 8.1.3以降およびmacOS 10.11.2以降。

allowPredictiveKeyboard

ブール型

監視対象のみ。falseを指定すれば、予測入力キーボードが無効になります。デフォルト値はtrueです。

設定可能なバージョン:iOS 8.1.3以降。

allowAutoCorrection

ブール型

監視対象のみ。falseを指定すれば、キーボードの自動修正機能が無効になります。デフォルト値はtrueです。

設定可能なバージョン:iOS 8.1.3以降。

allowSpellCheck

ブール型

監視対象のみ。falseを指定すれば、キーボードのスペルチェックが無効になります。デフォルト値はtrueです。

設定可能なバージョン:iOS 8.1.3以降。

forceWatchWristDetection

ブール型

trueを指定すれば、ペアリングされたApple Watchで手首検出が強制的に使用されます。デフォルト値はfalseです。

設定可能なバージョン:iOS 8.2以降。

allowMusicService

ブール型

監視対象のみ。falseを指定すれば、音楽サービスが無効になり、音楽アプリケーションはクラシックモードになります。デフォルト値はtrueです。

設定可能なバージョン:iOS 9.3以降およびmacOS 10.12以降。

allowCloudPhotoLibrary

ブール型

falseを指定すれば、iCloudフォトライブラリが無効になります。iCloudフォトライブラリからデバイスに完全にダウンロードされていない写真は、ローカルストレージから削除されます。

設定可能なバージョン:iOS 9.0以降およびmacOS 10.12以降。

allowNews

ブール型

監視対象のみ。falseを指定すれば、ニュースが無効になります。デフォルト値はtrueです。

設定可能なバージョン:iOS 9.0以降。

forceAirDropUnmanaged

ブール型

必要な場合のみ。trueを指定すれば、AirDropは管理されていないドロップターゲットとして見なされます。デフォルト値はfalseです。

設定可能なバージョン:iOS 9.0以降。

allowUIAppInstallation

ブール型

監視対象のみ。falseであればApp Storeは使えなくなり、ホーム画面から当該アイコンがなくなります。ただし、ユーザーは引き続きホストアプリケーション(iTunes、Configurator)をアプリケーションのインストールや更新に使用することがあります。デフォルト値はtrueです。

設定可能なバージョン:iOS 9.0以降。

allowScreenShot

ブール型

必要な場合のみ。falseに設定すると、ユーザーはディスプレイのスクリーンショットを保存できなくなり、画面の記録を取り込めなくなります。またクラスルームアプリケーションのリモート画面の監視もできなくなります。デフォルト値はtrueです。

設定可能なバージョン:iOS 9.0以降で更新され、画面のキャプチャを行えるようになりました。

allowKeyboardShortcuts

ブール型

監視対象のみ。trueを指定すれば、キーボードショートカットを使用できません。デフォルト値はtrueです。

設定可能なバージョン:iOS 9.0以降。

allowPairedWatch

ブール型

監視対象のみ。falseを指定すれば、Apple Watchのペアリングが無効になります。ペアリング済みのApple Watchは、すべてペアリング解除され、削除されます。デフォルト値はtrueです。

設定可能なバージョン:iOS 9.0以降。

allowPasscodeModification

ブール型

監視対象のみ。falseを指定すれば、デバイスのパスコードの追加、変更、削除を行えません。デフォルト値はtrueです。この制約は共有しているiPadからは無視されます。

設定可能なバージョン:iOS 9.0以降。

allowDeviceNameModification

ブール型

監視対象のみ。falseを指定すれば、デバイス名を変更できません。デフォルト値はtrueです。

設定可能なバージョン:iOS 9.0以降。

allowWallpaperModification

ブール型

監視対象のみ。falseを指定すれば、壁紙を変更できません。デフォルト値はtrueです。

設定可能なバージョン:iOS 9.0以降。

allowAutomaticAppDownloads

ブール型

監視対象のみ。falseを指定すれば、ほかのデバイスで購入されたアプリケーションの自動ダウンロードができなくなります。既存アプリケーションの更新には影響しません。デフォルト値はtrueです。

設定可能なバージョン:iOS 9.0以降。

allowEnterpriseAppTrust

ブール型

falseを指定すると、アプリケーションがユニバーサルプロビジョニングプロファイルによってプロビジョニングされないように、「設定」>「一般」>「プロファイルとデバイス管理」にある「エンタープライズ開発元を信頼」ボタンが削除されます。この制約は、フリーの開発元アカウントには適用されますが、アプリケーションがMDM経由でプッシュされており、以前にアプリケーションへ付与された信頼が取り消されていないエンタープライズアプリケーション開発元へは適用されません。デフォルト値はtrueです。

設定可能なバージョン:iOS 9.0以降。

allowRadioService

ブール型

監視対象のみ。falseならば、Apple Music Radioは無効です。デフォルト値はtrueです。

設定可能なバージョン:iOS 9.3以降。

blacklistedAppBundleIDs

文字列の配列

監視対象のみ。存在する場合、配列にリストされたバンドルIDは表示されたり起動することはありません。

設定可能なバージョン:iOS 9.3以降。

whitelistedAppBundleIDs

文字列の配列

監視対象のみ。存在する場合、配列にリストされたバンドルIDのみ表示または起動が可能です。

設定可能なバージョン:iOS 9.3以降。

allowNotificationsModification

ブール型

監視対象のみ。falseならば、通知設定は変更できません。デフォルト値はtrueです。

設定可能なバージョン:iOS 9.3以降。

allowRemoteScreenObservation

ブール型

falseに設定すると、クラスルームアプリケーションによるリモート画面の監視が無効になります。デフォルト値はtrueです。

このキーはallowScreenShotのサブ制約として入れ子にする必要があります。allowScreenShotfalseに設定されている場合は、クラスルームアプリケーションによるリモート画面の監視もできなくなります。

設定可能なバージョン:iOS 9.3以降。

allowDiagnosticSubmissionModification

ブール型

監視対象のみ。falseに設定すると、「設定」の「診断/使用状況」ペインにある診断レポートの送信とアプリケーション分析の設定を変更できません。デフォルト値はtrueです。

設定可能なバージョン:iOS 9.3.2以降。

allowBluetoothModification

ブール型

監視対象のみ。falseに設定すると、Bluetooth設定ができなくなります。デフォルト値はtrueです。

設定可能なバージョン:iOS 10.0以降。

allowAutoUnlock

ブール型

falseに設定すると、macOSの自動ロック解除が禁止されます。デフォルト値はtrueです。

設定可能なバージョン:macOS 10.12以降。

allowCloudDesktopAndDocuments

ブール型

falseに設定すると、macOSのクラウドデスクトップと書類のサービスが禁止されます。デフォルト値はtrueです。

設定可能なバージョン:macOS 10.12.4以降。

allowDictation

ブール型

監視対象のみ。falseに設定すると、音声入力が禁止されます。デフォルト値はtrueです。

設定可能なバージョン:iOS 10.3以降。

forceWiFiWhitelisting

ブール型

必要な場合のみ。監視対象のみ。trueに設定すると、デバイスは構成プロファイルを介して設定された場合にのみWi-Fiネットワークに参加できます。デフォルト値はfalseです。

設定可能なバージョン:iOS 10.3以降。

forceUnpromptedManagedClassroomScreenObservation

ブール型

iOS 11では廃止されています。代わりに、forceClassroomUnpromptedScreenObservationを使います。

allowAirPrint

ブール型

監視対象のみ。falseに設定すると、AirPrintが禁止されます。デフォルト値はtrueです。

設定可能なバージョン:iOS 11.0以降およびmacOS 10.13以降。

allowAirPrintCredentialsStorage

ブール型

監視対象のみ。falseに設定すると、AirPrintのユーザー名とパスワードをキーチェーンに保管することが禁止されます。デフォルト値はtrueです。

設定可能なバージョン:iOS 11.0以降。

forceAirPrintTrustedTLSRequirement

ブール型

監視対象のみ。trueに設定すると、印刷処理に関するTLS通信について、信頼できる証明書を要求します。デフォルト値はfalseです。

設定可能なバージョン:iOS 11.0以降およびmacOS 10.13以降。

allowAirPrintiBeaconDiscovery

ブール型

監視対象のみ。falseに設定すると、iBeaconでのAirPrintプリンタの検出が無効になります。結果として、偽造されたAirPrint Bluetoothビーコンによるネットワークトラフィックのフィッシングが阻止されます。デフォルト値はtrueです。

設定可能なバージョン:iOS 11.0以降およびmacOS 10.13以降。

allowProximitySetupToNewDevice

ブール型

監視対象のみ。falseに設定すると、近くにある新しいデバイスをセットアップするかどうかを尋ねられることがなくなります。デフォルト値はtrueです。

設定可能なバージョン:iOS 11.0以降。

allowSystemAppRemoval

ブール型

監視対象のみ。falseに設定すると、デバイスからシステムアプリケーションを削除しようとする操作が無効になります。デフォルト値はtrueです。

設定可能なバージョン:iOS 11.0以降。

allowVPNCreation

ブール型

監視対象のみ。falseに設定すると、VPN構成の作成が禁止されます。デフォルト値はtrueです。

設定可能なバージョン:iOS 11.0以降。

forceDelayedSoftwareUpdates

ブール型

監視対象のみ。trueに設定すると、ユーザーへの「ソフトウェアアップデート」項目の表示を遅延させます。デフォルト値はfalseです。

設定可能なバージョン:iOS 11.3以降およびmacOS 10.13以降。

enforcedSoftwareUpdateDelay

整数

監視対象のみ。この制約を使って、デバイスのソフトウェアアップデートを遅延させる日数を設定できます。この制約が設定されている場合、ユーザーには、ソフトウェアアップデートのリリース日以降、指定された日数が経過するまでソフトウェアアップデートが表示されません。

最大値は90日で、デフォルト値は30です。

設定可能なバージョン:iOS 11.3以降およびmacOS 10.13.4以降。

forceAuthenticationBeforeAutoFill

ブール型

必要な場合のみ。監視対象のみ。trueに設定すると、ユーザーは、Safariまたはアプリケーションでパスワードまたはクレジットカードの情報を自動入力しようとしたときに認証を求められるようになります。この制約が設定されていない場合、ユーザーはこの機能を設定で切り替えることができます。

Face IDに対応したデバイスでのみサポートされています。

デフォルト値はtrueです。

設定可能なバージョン:iOS 11.0以降。

forceClassroomAutomaticallyJoinClasses

ブール型

必要な場合のみ。監視対象のみ。trueに設定すると、教師のリクエストに対して、学生に通知することなく自動的に許可が与えられます。デフォルト値はfalseです。

設定可能なバージョン:iOS 11.0以降。

forceClassroomRequestPermissionToLeaveClasses

ブール型

必要な場合のみ。監視対象のみ。trueに設定すると、管理対象ではないコースにクラスルームアプリケーションを通じて登録している学生は、コースを離れようとするときに教師の許可をリクエストします。デフォルト値はfalseです。

設定可能なバージョン:iOS 11.3以降。

forceClassroomUnpromptedAppAndDeviceLock

ブール型

必要な場合のみ。監視対象のみ。trueに設定すると、教師は、学生に通知することなくデバイスのアプリケーションをロックできるようになります。デフォルト値はfalseです。

設定可能なバージョン:iOS 11.0以降。

forceClassroomUnpromptedScreenObservation

ブール型

必要な場合のみ。監視対象のみ。trueに設定され、「Education」ペイロードのScreenObservationPermissionModificationAllowedtrueである場合、クラスルームアプリケーションを使用して管理対象のコースへ登録した生徒については、コースの教師による生徒の画面を生徒に通知することなく監視するリクエストに対する許可が自動的に与えられます。デフォルト値はfalseです。

設定可能なバージョン:iOS 11.0以降。

ratingRegion

文字列

この2文字のキーは、プロファイルツールが特定地域で適切なレーティングを表示するために使用されます。

設定可能な値:

  • au:オーストラリア

  • ca:カナダ

  • fr:フランス

  • de:ドイツ

  • ie:アイルランド

  • jp:日本

  • nz:ニュージーランド

  • gb:英国

  • us:米国

設定可能なバージョン:iOSおよびtvOS 11.3以降。

ratingMovies

整数

デバイス上で許可される映画コンテンツの最大レベルを定義します。

設定可能な値(米国のレーティングレベルで説明)

  • 1000:すべて

  • 500:NC-17

  • 400:R

  • 300:PG-13

  • 200:PG

  • 100:G

  • 0:なし

設定可能なバージョン:iOSおよびtvOS 11.3以降。

ratingTVShows

整数

デバイス上で許可されるテレビ番組コンテンツの最大レベルを定義します。

設定可能な値(米国のレーティングレベルで説明)

  • 1000:すべて

  • 600:TV-MA

  • 500:TV-14

  • 400:TV-PG

  • 300:TV-G

  • 200:TV-Y7

  • 100:TV-Y

  • 0:なし

設定可能なバージョン:iOSおよびtvOS 11.3以降。

ratingApps

整数

デバイス上で許可されるアプリケーションコンテンツの最大レベルを定義します。

設定可能な値(米国のレーティングレベルで説明)

  • 1000:すべて

  • 600:17+

  • 300:12+

  • 200:9+

  • 100:4+

  • 0:なし

設定可能なバージョン:iOS 5およびtvOS 11.3以降。

「SCEP」ペイロード

「SCEP(Simple Certificate Enrollment Protocol)」ペイロードは、PayloadTypeの値としてcom.apple.security.scepを与えることにより指定します。

「SCEP」ペイロードには、SCEPサーバに対してクライアント証明書を要求する処理を自動化する働きがあります(『無線接続を介した構成プロファイルの配布と設定』を参照)。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

URL

文字列

SCEPのURL。SCEPについて詳しくは、『無線接続を介した構成プロファイルの配布と設定』を参照してください。

Name

文字列

必要な場合のみ。SCEPサーバが認識可能な任意の文字列。たとえば「example.org」のようなドメイン名を設定します。認証局に複数のCA証明書がある場合、その識別のために利用できます。

Subject

配列

必要な場合のみ。X.500名をOIDと値の配列の形で表したもの。たとえば、「/C=US/O=Apple Inc./CN=foo/1.2.5.3=bar」です。これは、以下のように変換されます。

[ [ ["C", "US"] ], [ ["O", "Apple Inc."] ], ..., [ [ "1.2.5.3", "bar" ] ] ]

OIDはドット区切り番号の形で表すほか、国(C)、市区町村(L)、州(ST)、組織(O)、組織内部門(OU)、共通名(CN)といった省略形が使えます。

Challenge

文字列

必要な場合のみ。事前に配布した秘密鍵。

Keysize

整数

必要な場合のみ。ビット単位のキー長(1024または2048)。

KeyType

文字列

必要な場合のみ。当面は常に「RSA」を指定。

KeyUsage

整数

必要な場合のみ。キーの使い方を表すビットマスク。1は署名、4は暗号化、5は署名と暗号化の両方を施すことを表します。Windows CAなど、暗号化と署名のいずれか一方しか同時には施せない認証局もあります。

設定可能なバージョン:iOS 4以降。

Retries

整数

必要な場合のみ。サーバが保留の応答を返したときにデバイスが再試行する回数。デフォルト値は3です。

RetryDelay

整数

必要な場合のみ。再試行の間隔(秒)。1回目の再試行は、この遅延なく実行されます。デフォルト値は10です。

CAFingerprint

データ

必要な場合のみ。認証局証明書のフィンガープリント。

KeyIsExtractable

ブール型

必要な場合のみ。falseならば、秘密鍵をキーチェーンからエクスポートできません。デフォルト値はtrueです。

SubjectAltName辞書キー

「SCEP」ペイロードには、必要に応じ、CAが証明書を発行する際に必要な値を格納したSubjectAltName辞書を指定できます。各キーに対して、単一の文字列、または文字列の配列を指定します。

指定する値は実際に用いるCAによって異なりますが、多くの場合、DNS名、URL、電子メールなどを指定することになるでしょう。例については、「構成プロファイルの例」か『無線接続を介した構成プロファイルの配布と設定』を参照してください。

GetCACaps辞書キー

GetCACapsキーの値として辞書を追加すると、デバイスはそこに登録された文字列を、CAの能力に関する権威ある情報源として扱います。辞書がなければ、デバイスはCAにGetCACapsの値を問い合わせ、応答として得られた値を用います。CAが応答を返さなければ、デフォルト値として、GET 3DESおよびSHA-1を採用します。詳しくは、『無線接続を介した構成プロファイルの配布と設定』を参照してください。この機能は、macOSでは動作しません。

「Screensaver」ペイロード

「Screensaver」ペイロードは、PayloadTypeの値としてcom.apple.screensaverを与えることにより指定します。

デバイスレベルのスクリーンセーバペイロードを使うと、スクリーンセーバーをカスタマイズし、パスワードによる画面ロックの機能の有効/無効を切り替えることができます。

「Screensaver」ペイロードには次のキーが定義されています。

キー

askForPassword

ブール型

必要な場合のみ。trueならば、ユーザーがスクリーンセーバをロック解除するか停止しようとしたとき、パスワードの入力を求められます。この入力画面を使う場合は、askForPasswordDelayも指定する必要があります。

設定可能なバージョン:macOS 10.13以降。

askForPasswordDelay

整数

必要な場合のみ。スクリーンセーバのロック解除または停止について、パスワードの入力を必須とするまでの秒数(猶予期間)。値を2147483647(たとえば、0x7FFFFFFF)にすると、この要件を無効にできます。10.13の場合、このペイロードは機能を無効にする唯一の手段です。このオプションを使うには、askForPasswordtrueに設定する必要があります。

設定可能なバージョン:macOS 10.13以降。

loginWindowModulePath

文字列

必要な場合のみ。使われるスクリーンセーバモジュールのフルパス。

設定可能なバージョン:macOS 10.11以降。

loginWindowIdleTime

整数

必要な場合のみ。スクリーンセーバをアクティブにするまでのシステムの非アクティブ秒数(アクティブにしない場合は0)。

設定可能なバージョン:macOS 10.11以降。

ユーザーレベルのスクリーンセーバペイロードは、PayloadTypeの値としてcom.apple.screensaver.userを与えることにより指定します。

ユーザーレベルのスクリーンセーバ設定は、デバイスではなくユーザーごとに固有の設定です。

「Screensaver User」ペイロードには次のキーが定義されています。

キー

modulePath

文字列

必要な場合のみ。使われるスクリーンセーバモジュールのフルパス。

設定可能なバージョン:macOS 10.11以降。

idleTime

整数

必要な場合のみ。スクリーンセーバをアクティブにするまでのシステムの非アクティブ秒数(アクティブにしない場合は0)。

設定可能なバージョン:macOS 10.11以降。

設定アシスタント

「Setup Assistant」ペイロードは、PayloadTypeの値としてcom.apple.SetupAssistant.managedを与えることにより指定します。

macOSの場合、このペイロードは、システムまたは特定ユーザーの「設定アシスタント」オプションを指定します。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

SkipCloudSetup

ブール型

必要な場合のみ。trueならば、Apple ID設定ウィンドウがスキップされます。

設定可能なバージョン:macOS 10.12以降。

SkipSiriSetup

ブール型

必要な場合のみ。trueならば、Siri設定ウィンドウがスキップされます。

設定可能なバージョン:macOS 10.12以降。

SkipPrivacySetup

ブール型

必要な場合のみ。trueならば、プライバシー承諾ウィンドウがスキップされます。

設定可能なバージョン:macOS 10.13.4以降。

SkipiCloudStorageSetup

ブール型

必要な場合のみ。trueならば、iCloud Storageウィンドウがスキップされます。

設定可能なバージョン:macOS 10.13.4以降。

「Shared Device Configuration」ペイロード

「Shared Device Configuration」ペイロードは、PayloadTypeの値としてcom.apple.shareddeviceconfigurationを与えることにより指定します。このペイロードには、監視対象となるペイロードを1つだけ含めることができます。ユーザーチャネルではサポートされていません。

「Shared Device Configuration」ペイロードを使うと、管理者はログインウィンドウとロック画面に表示されるオプションのテキストを指定することができます(「紛失の場合はこちらに返してください」メッセージや資産タグ情報など)。iOS 9.3以降でサポートされています。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

AssetTagInformation

文字列

必要な場合のみ。デバイスの資産タグ情報。ログインウィンドウとロック画面に表示されます。

LockScreenFootnote

文字列

必要な場合のみ。ログインウィンドウとロック画面に表示される脚注です。iOS 9.3.1以降で利用できます。

IfLostReturnToMessage

文字列

非推奨。代わりにLockScreenFootnoteを使用してください。

「ShareKit」ペイロード

MacOS 10.9以降。「ShareKit」ペイロードは、PayloadTypeの値としてcom.apple.com.apple.ShareKitHelperを与えることにより指定します。格納できるペイロードは1つだけです。ユーザーチャネルでサポートされています。

「ShareKit」ペイロードは、クライアントでアクセス可能なShareKitプラグインを指定します。許可リストと禁止リストの両方を指定できます。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

SHKAllowedShareServices

文字列の配列

必要な場合のみ。ユーザーの「共有」メニューに表示されるプラグインIDのリストです。この配列が存在する場合、ここで指定された項目のみが許可されます。

SHKDeniedShareServices

文字列の配列

必要な場合のみ。ユーザーの「共有」メニューに表示されないプラグインIDのリストです。このキーは、SHKAllowedShareServicesキーが存在しない場合にのみ使用されます。

このペイロードでは、次のプラグインIDがサポートされています。

  • "com.apple.share.AirDrop":AirDrop

  • "com.apple.share.Facebook":Facebook

  • "com.apple.share.Twitter":Twitter

  • "com.apple.share.Mail":メール

  • "com.apple.share.Messages":メッセージ

  • "com.apple.share.Video":ビデオサービス

  • "com.apple.share.addtoiphoto":写真

  • "com.apple.share.addtoaperture":Aperture

  • "com.apple.share.readlater":リーディングリスト

  • "com.apple.share.SinaWeibo":Sina Weibo

  • "com.apple.Notes.SharingExtension":メモ

  • "com.apple.reminders.RemindersShareExtension":リマインダー

  • "com.apple.share.LinkedIn.post":LinkedIn

「Single Sign-On Account」ペイロード

「Single Sign-On Account」ペイロードは、PayloadTypeの値としてcom.apple.ssoを与えることにより指定します。

このペイロードは、iOS 7.0以降でのみサポートされています。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

Name

文字列

(人が読める形の)アカウント名。

Kerberos

辞書

Kerberos関係の情報(後述)。

Kerberos辞書には次のキーに対する値を設定できます。

キー

PrincipalName

文字列

必要な場合のみ。Kerberosのプリンシパル名。この設定がなければ、プロファイルのインストール時に入力するよう求められます。

MDM(Mobile Device Management)インストールの場合、このフィールドは必須です。

PayloadCertificateUUID

文字列

必要な場合のみ。ID証明書ペイロードのPayloadUUIDで、ユーザーの介在なしでKerberos証明書の更新に使えるもの。証明書ペイロードは、型がcom.apple.security.pkcs12またはcom.apple.security.scepでなければなりません。「Single Sign On」ペイロードとID証明書ペイロードは、同じ設定プロファイルに設定する必要があります。

Realm

文字列

Kerberosのrealm名。すべて大文字で指定します。

URLPrefixMatches

文字列の配列

URLプリフィックスのリスト。このアカウントを使ってHTTP経由でKerberos認証するためには、いずれかのURLプリフィックスに合致していなければなりません。注意:URLポストフィックスも合致する必要があります。

AppIdentifierMatches

文字列の配列

必要な場合のみ。このログインアカウントを使えるアプリケーション識別子のリスト。このフィールドの設定がなければ、すべてのアプリケーション識別子に合致すると看做します。

空の配列を指定することはできません。

URLPrefixMatches配列の各エントリは、URLのプリフィックス文字列です。このいずれかの文字列で始まるURLでなければ、Kerberosチケットにアクセスできません。URLの照合パターンには、「http://www.example.com/」のように、スキームが必要です。末尾が「/」でなければ、自動的に追加した上で/を照合するようになっています。

URL照合パターンの先頭は、「http://」または「http://」でなければなりません。単純に文字列として照合するだけなので、「http://www.example.com/」というURLプリフィックスは、「http://www.example.com:80/」とは合致しないことになります。なお、iOS 9.0以降では、単独のワイルドカード「*」を使って、合致するすべての値を指定することができます。たとえば、「http://*.example.com/」は「http://store.example.com/」と「http://www.example.com」の両方に一致します。

http://.comおよびhttps://.comというパターンは、それぞれすべてのHTTP URLとHTTPS URLに一致します。

AppIdentifierMatches配列には、アプリケーションバンドルIDと照合する文字列を設定します。完全一致パターン(例:「com.mycompany.myapp」)のほか、ワイルドカード文字「*」を使って前方一致パターンを指定することも可能です。ワイルドカード文字は、ピリオド「.」)の直後、パターン文字列の末尾にしか置くことができません(例:「com.company.*」)。ワイルドカードが使われている場合、バンドルIDがこのパターンと前方一致していれば、当該アカウントにアクセスできます。

「SmartCard Settings」ペイロード

「SmartCard Settings」ペイロードは、PayloadTypeの値としてcom.apple.security.smartcardを与えることにより指定します。

このペイロードは、macOS v10.12.4以降のスマートカードペアリングの制限と設定を制御します。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

UserPairing

ブール型

必要な場合のみ。falseならば、ユーザーにはペアリングダイアログが表示されませんが、既存のペアリングは動作を続行します。デフォルト値はtrueです。

allowSmartCard

ブール型

必要な場合のみ。falseならば、スマートカードはログイン、認証、スクリーンセーバ解除で無効になります。電子メールへの署名やウェブアクセスなど、その他の機能では有効なままです。設定の変更を有効にするには、再起動が必要です。デフォルト値はtrueです。

checkCertificateTrust

整数

必要な場合のみ。0〜3の範囲で指定。

  • 0:証明書の信頼の確認はオフ。

  • 1:証明書の信頼の確認はオン。標準の妥当性確認は実行されますが、その確認に追加的な失効確認は含まれません。

  • 2:証明書の信頼の確認はオン。さらに、緩やかな失効確認が実行されます。証明書は、CRL/OCSPによって明示的に拒否されるまで、有効なものと見なされます。つまり、CRL/OCSPが使用不可または到達不可になっている場合、この確認に合格します。

  • 3:証明書の信頼の確認はオン。さらに、厳格な失効確認が実行されます。CRL/OCSPが明示的に「この証明書は問題なし」としない限り、証明書は無効なものと見なされます。これが最もセキュリティの高いオプションです。

デフォルト値は0です。

oneCardPerUser

ブール型

必要な場合のみ。trueならば、ユーザーは1つのスマートカードとしかペアリングできませんが、設定済みの既存のペアリングは許可されます。デフォルト値はfalseです。

enforceSmartCard

ブール型

必要な場合のみ。trueならば、ユーザーはスマートカードを使ってのみログインまたは認証できます。デフォルト値はfalseです。

ソフトウェアアップデート

「Software Update」ペイロードは、PayloadTypeの値としてcom.apple.SoftwareUpdateを与えることにより指定します。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

CatalogURL

文字列

必要な場合のみ。ソフトウェアアップデートカタログのURL。

「System Migration」ペイロード

「System Migration」ペイロードは、PayloadTypeの値としてcom.apple.systemmigrationを与えることにより指定します。

システム移行は、plistファイルから転送元のパスと転送先のパスのペアを読み出すことによって、WindowsデバイスからmacOSデバイスへ項目が転送されることによって行われます。このペイロードには、転送をカスタマイズするための方法が用意されています。

このペイロードは、単独でデバイスプロファイルにのみ存在している必要があります。ユーザープロファイルに置くと、インストール時にエラーとなります。

このペイロードは、macOS 10.12.4以降でのみサポートされています。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

CustomBehavior

辞書の配列

必要な場合のみ。各辞書で指定されているコンテキストのカスタム動作を指定します。

CustomBehavior配列に含まれる各辞書には次のキーがあります。

キー

Context

文字列

必須。カスタムパスが適用されるコンテキスト。

Paths

辞書の配列

必須。転送元システムからターゲットシステムに移行するときのカスタムパス。

Paths配列に含まれる各辞書には次のキーがあります。

キー

SourcePath

文字列

必須。転送元システムで移行するファイルまたはディレクトリがあるパス。

SourcePathInUserHome

ブール型

必須。trueならば、転送元パスはユーザーのホームディレクトリ内にあります。

TargetPath

文字列

必須。ターゲットシステムで転送先のファイルまたはディレクトリがあるパス。

TargetPathInUserHome

ブール型

必須。trueならば、ターゲットパスはユーザーのホームディレクトリ内にあります。

「System Policy Control」ペイロード

「System Policy Control」ペイロードは、PayloadTypeの値としてcom.apple.systempolicy.controlを与えることにより指定します。

「システム環境設定(System Preferences)」>「セキュリティとプライバシー(Security & Privacy)」の「一般(General)」タブにある、「Allowed applications downloaded from:」オプションの設定を制御します。

このペイロードはデバイスプロファイルに置くことしかできません。ユーザープロファイルに置くと、インストール時にエラーとなります。

このペイロードは、macOS v10.8以降でのみサポートされています。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

EnableAssessment

ブール型

必要な場合のみ。このキーが存在し、値がYESの場合、Gatekeeperが有効です。このキーが存在し、値がNOの場合、Gatekeeperは無効です。

AllowIdentifiedDevelopers

ブール型

必要な場合のみ。このキーが存在し、値がYESの場合、Gatekeeperの「Mac App Storeと確認済みの開発元からのアプリケーションを許可」オプションが選択されます。このキーが存在し、値がNOの場合、Gatekeeperの「Mac App Store」オプションが選択されます。

EnableAssessmenttrueでなければ、このキーには何の効果もありません。

「System Policy Rule」ペイロード

「System Policy Rule」ペイロードは、PayloadTypeの値としてcom.apple.systempolicy.ruleを与えることにより指定します。これは、GateKeeperの各種設定を制御する、3つのペイロードのうちの1つです。

このペイロードは、Gatekeeperのシステムポリシールールを制御します。キーや機能は、コマンドラインツール「spctl」と密接に関連しています。「spctl」のマニュアルページを参照してください。

このペイロードはデバイスプロファイルに置くことしかできません。ユーザープロファイルに置くと、インストール時にエラーとなります。

このペイロードは、macOS v10.8以降でのみサポートされています。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

Requirement

文字列

ポリシーの要件。このキーは「Code Signing Requirement Language」に示した構文に従って記述しなければなりません。

Comment

文字列

必要な場合のみ。この文字列は「System Policy」の画面上に表示されます。指定しなければ、「PayloadDisplayName」または「PayloadDescription」の値を転記してから、ルールを「System Policy」データベースに追加するようになっています。

Expiration

日付

必要な場合のみ。ルールを処理する有効期限日です。

OperationType

文字列

必要な場合のみ。operation:executeoperation:installoperation:lsopenのいずれかです。デフォルト値はoperation:execute

要求キーを次のような形で指定した場合、要求に署名したときに受理される証明書がどれなのか、クライアント側に表示して確認することはできません。

certificate leaf = H"7696f2cbf7f7d43fceb879f52f3cdc8fadfccbd4"

そこで、ペイロード自身に証明書を埋め込んでおけば、「Profiles」環境設定ペインや「System Profile」レポートに、当該証明書に関する情報を表示できます。そのためには、Requirementキーを、「$HASHCERT_xx$」という形のペイロード変数で指定してください。ただし「xx」は、DER形式の証明書データを保持しているキー(同じペイロード内に追加)の名前です。

たとえば次のように指定したとします。

<key>Requirement</key>
<string>certificate leaf = $HASHCERT_Cert1Data$</string>

さらに、次のように証明書データを与えます。

<key>Cert1Data</key>
<data>
MIIFTDCCBDSgAwIBAgIHBHXzxGzq8DANBgkqhkiG9w0BAQUFADCByjELMAkGA1UEBhMC
...
z1I6yBET5qaGhpWexEp3baLbXLcrtgufmDSUtUnImavGyw==
</data>

クライアントは、CertDataキーの値を取得し、これにSHA1ハッシュ処理を施して得られた要求文字列を、次のように使うことになります。

certificate leaf = H"7696f2cbf7f7d43fceb879f52f3cdc8fadfccbd4"

必要ならば、「$HASHCERT_xx$」という形の参照を、要求文字列に複数埋め込むことも可能です。

「System Policy Managed」ペイロード

「System Policy Managed」ペイロードは、PayloadTypeの値としてcom.apple.systempolicy.managedを与えることにより指定します。これは、GateKeeperの各種設定を制御する、3つのペイロードのうちの1つです。

「System Policy」の制約を外すFinderのコンテキストメニューが、無効になるよう制御できます。

このペイロードは、macOS v10.8以降でのみサポートされています。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

DisableOverride

ブール型

必要な場合のみ。YESならば、Finderのコンテキストメニューは無効になります。

「TV Remote」ペイロード

「TV Remote」ペイロードは、PayloadTypeの値としてcom.apple.tvremoteを与えることにより指定します。

このペイロードを使うと、Apple TV RemoteアプリケーションからApple TVへの接続を制限し、Apple TV Remoteアプリケーションで使用可能なApple TVデバイスを限定できます。

Apple TV Remoteアプリケーションを実行している特定のデバイスに特定のApple TVをロックすることを目的として、同一のペイロードでApple TVとリモートデバイスの両方を指定できます。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

AllowedRemotes

辞書の配列

このキーが定義されている場合、Apple TVは、指定されたデバイスのApple TV Remoteアプリケーションにのみ接続します。

定義されていない場合またはリストが空の場合、どのデバイスも接続を許可されます。

設定可能なバージョン:tvOS 11.3以降。

AllowedTVs

辞書の配列

このキーが定義されている場合、Apple TV Remoteアプリケーションは、指定されたApple TVにのみ接続します。

定義されていない場合またはリストが空の場合、デバイスはどのApple TVにも接続できます。

設定可能なバージョン:iOS 11.3以降。

AllowedRemotesは辞書の配列で、それぞれの辞書には次のキーがあります。

キー

RemoteDeviceID

文字列

このApple TVを制御できる許可済みiOSデバイスのMACアドレス。

「xx:xx:xx:xx:xx:xx」形式で指定します。大文字と小文字は区別されません。

設定可能なバージョン:tvOS 11.3以降。

AllowedTVsは辞書の配列で、それぞれの辞書には次のフィールドがあります。

キー

TVDeviceID

文字列

このiOSデバイスで制御できるApple TVデバイスのMACアドレス。

「xx:xx:xx:xx:xx:xx」形式で指定します。大文字と小文字は区別されません。

設定可能なバージョン:iOS 11.3以降。

「VPN」ペイロード

「VPN」ペイロードは、L2TP、PPTP、IPSecを基盤とする、従来型のシステムワイドVPNの設定に使います。「Per-App VPN」ペイロード(「「Per-App VPN」ペイロード」を参照)と混同しないでください。

「VPN」ペイロードは、PayloadTypeの値としてcom.apple.vpn.managedを与えることにより指定します。どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

UserDefinedName

文字列

必要な場合のみ。VPN接続の説明で、これがデバイスに表示されます。

VPNType

文字列

このペイロードの設定を、どの種類のVPN接続に適用するか、を表します。次のいずれかの値を指定できます。

  • L2TP

  • PPTP

  • IPSec(Cisco)

  • IKEv2(「IKEv2辞書キー」を参照)

  • AlwaysOn(「AlwaysOn辞書キー」を参照)

  • VPN(ソリューションでは、VPNプラグインまたはNetworkExtensionを使用するので、VPNSubTypeキーが必要です(以下を参照))。

VPNSubType

文字列

必要な場合のみ。VPNTypeVPNであれば、このフィールドは必須です。構成のターゲットがVPNプラグインを使うVPNソリューションの場合、このフィールドにはプラグインのバンドルIDが含まれます。いくつか例を紹介します。

  • Cisco AnyConnect: com.cisco.anyconnect.applevpn.plugin

  • Juniper SSL:net.juniper.sslvpn

  • F5 SSL:com.f5.F5-Edge-Client.vpnplugin

  • SonicWALL Mobile Connect:com.sonicwall.SonicWALL-SSLVPN.vpnplugin

  • Aruba VIA:com.arubanetworks.aruba-via.vpnplugin

構成のターゲットがNetworkExtensionプロバイダを使うVPNソリューションの場合、このフィールドにはプロバイダを含むアプリケーションのバンドルIDが含まれます。IDの値については、VPNソリューションベンダにお問い合わせください。

VPNTypeIKEv2であれば、VPNSubTypeフィールドは任意で設定され、将来用として予約されます。指定される場合は、空白の文字列を含む必要があります。

ProviderBundleIdentifier

文字列

必要な場合のみ。VPNSubTypeフィールドに同じタイプのVPNプロバイダを複数含むアプリケーションのバンドルIDが含まれる場合は(app-proxyまたはpacket-tunnel)、このフィールドではこの構成に使用するプロバイダを指定します。

VPNTypeVPNIPSecIKEv2であれば、対応するVPNIPSecIKEv2辞書に対して次のキーが定義され、VPN On Demandが構成されます。

OnDemandEnabled

整数

オンデマンドでVPN接続する場合は1、そうでなければ0

OnDemandMatchDomainsAlways

文字列の配列

非推奨。ドメイン名のリスト。iOS 7より前の版では、ホスト名の末尾がこの配列に設定されているいずれかのドメイン名である場合、自動的にVPNが起動されるようになっていました。

iOS 7以降、このキーがあれば、指定されたドメイン名をOnDemandMatchDomainsOnRetryキーの値と看做すようになりました。

この動作はOnDemandRulesの指定により変更できます。

OnDemandMatchDomainsNever

文字列の配列

非推奨。ドメイン名のリスト。ホスト名の末尾がここに設定されているいずれかのドメイン名である場合、自動的にはVPNが起動されません。あるドメインに属するサブドメインを、自動起動の対象から除外したい場合に有用でしょう。

この動作はOnDemandRulesの指定により変更できます。

iOS 7以降、このキーは非推奨になりました(サポートは継続)。代わりにOnDemandRules辞書のEvaluateConnectionアクションを使ってください。

OnDemandMatchDomainsOnRetry

文字列の配列

非推奨。ドメイン名のリスト。ホスト名の末尾がここに設定されているいずれかのドメイン名である場合、当該ドメイン名のDNS問い合わせに失敗すると、自動的にVPNが起動されます。

この動作はOnDemandRulesの指定により変更できます。

iOS 7以降、このキーは非推奨になりました(サポートは継続)。代わりにOnDemandRules辞書のEvaluateConnectionアクションを使ってください。

OnDemandRules

辞書の配列

オンデマンドVPNを、いつどのように使うか指定します。詳しくは、「OnDemandRules辞書キー」を参照してください。

VPNTypeAlwaysOnではない場合、次のキーを指定します。

VendorConfig

辞書

他社製のVPN製品に特有の設定情報を収容する辞書。

VPN接続の種類が「PPP」または「IPSec」の場合、構成プロファイルの最上位レベルに辞書があります。VPNTypeの値に応じ、それぞれの辞書に設定できるキーを以下に示します。

PPP辞書キー

PPP型のVPNペイロードに設定できる要素を示します。

キー

AuthName

文字列

VPNアカウントのユーザー名。L2TPまたはPPTPの場合に使用します。

AuthPassword

文字列

必要な場合のみ。TokenCardがfalseの場合にのみ可視になります。L2TPまたはPPTPの場合に使用します。

TokenCard

ブール型

RSA SecurIDのようなトークンカードを接続に用いるか否かを指定します。L2TPの場合に使用します。

CommRemoteAddress

文字列

VPNサーバのIPアドレスまたはホスト名。L2TPまたはPPTPの場合に使用します。

AuthEAPPlugins

配列

RSA SecurIDを使用する場合にのみ存在するキーで、配列の要素は1つだけであり、その値は「EAP-RSA」でなければなりません。L2TPまたはPPTPの場合に使用します。

AuthProtocol

配列

RSA SecurIDを使用する場合にのみ存在するキーで、配列の要素は1つだけであり、その値は「EAP」でなければなりません。L2TPまたはPPTPの場合に使用します。

CCPMPPE40Enabled

ブール型

CCPEnabledに関する説明を参照してください。PPTPの場合に使用します。

CCPMPPE128Enabled

ブール型

CCPEnabledに関する説明を参照してください。PPTPの場合に使用します。

CCPEnabled

ブール型

接続の暗号化を有効にします。このキーおよびCCPMPPE40Enabledtrueであれば、暗号化レベルは「自動」になります。このキーおよびCCPMPPE128Enabledtrueであれば、暗号化レベルが最大であることを表します。暗号化を施さない場合は、CCP関係のキーをいずれもtrueとします。PPTPの場合に使用します。

IPv4辞書キー

以下の要素は、タイプL2TPまたはPPTPのVPNペイロード用です。

キー

OverridePrimary

ブール型

トラフィックをすべてVPNインターフェイス経由で伝送するか否かを指定します。trueならば、ネットワークトラフィックはすべてVPN経由で送信されます。デフォルト値はfalseです。

IPSec辞書キー

IPSec型のVPNペイロードに設定できる要素を示します。

キー

RemoteAddress

文字列

VPNサーバのIPアドレスまたはホスト名。Cisco IPSecの場合に使用します。

AuthenticationMethod

文字列

SharedSecret」または「Certificate」。L2TPまたはCisco IPSecの場合に使用します。

XAuthEnabled

整数

XAUTHがONならば1、OFFならば0。Cisco IPSecの場合に使用します。

XAuthName

文字列

VPNアカウントのユーザー名。Cisco IPSecの場合に使用します。

XAuthPassword

文字列

VPNアカウントユーザー認証に必要です。Cisco IPSecの場合に使用します。

LocalIdentifier

文字列

AuthenticationMethodSharedSecretの場合にのみ存在。使用するグループの名前。ハイブリッド認証を用いる場合、この文字列の末尾を「[hybrid]」としなければなりません。Cisco IPSecの場合に使用します。

LocalIdentifierType

文字列

AuthenticationMethodSharedSecretの場合にのみ存在。値は「KeyID」。L2TPまたはCisco IPSecの場合に使用します。

SharedSecret

データ

このVPNアカウントの共有暗号鍵。AuthenticationMethodSharedSecretの場合にのみ存在。L2TPまたはCisco IPSecの場合に使用します。

PayloadCertificateUUID

文字列

アカウント資格情報に用いる証明書のUUID。AuthenticationMethodCertificateの場合にのみ存在。Cisco IPSecの場合に使用します。

PromptForVPNPIN

ブール型

接続の際にPINを問い合わせるか否か。Cisco IPSecの場合に使用します。

OnDemandRules辞書キー

「VPN」ペイロードのOnDemandRulesキーには辞書の配列を設定します。それぞれの辞書はネットワーク照合規則を定義するもので、これを使ってネットワーク上のある場所を特定することができます。

典型的には、OnDemandRules配列の各辞書に対して、現在のネットワーク接続のプロパティを照合することにより、ドメインベースの規則にもとづいて接続の可否を判断するかどうか調べた上で、次のように接続を処理します。

  • OnDemand辞書とドメインベース で照合する場合、この辞書のEvaluateConnection配列に設定されている各辞書の、Domains配列に列挙されているドメインを、要求されたドメインと比較します。

  • ドメインベースで照合しない場合、辞書に合致すれば、指定された処理(通常はConnectDisconnectIgnoreのいずれか)を実行します。

VPN On Demandサービスは、ネットワーク状態の変化を検出すると、新たに接続されたネットワークを、各辞書に指定された照合ネットワーク規則と(所定の順序で)比較し、このネットワークに対してVPNオンデマンド接続を行うかどうか判断します。照合規則には次の条件を設定できます。

  • DNSドメインまたはDNSサーバの設定(ワイルドカード文字の指定可)

  • SSID

  • インターフェイス型

  • 到達可能なサーバの検出

辞書との照合は、辞書の配列に並んでいる順に行います。合致したと看做すのは、当該辞書に指定されているポリシーがすべて合致した場合に限ります。未知のネットワークに対して適用するデフォルトの動作は、必ず指定してください。これは、照合規則の条件が空(したがって必ず合致)の辞書を配列の末尾に置き、適当なアクションを指定することにより行います。

照合規則に合致した場合、プロファイルにURLが指定されていれば、サーバプローブを送信します。その後、辞書に定義されたポリシー(VPNOnDemandを許可、VPNOnDemandを無視、接続、切断など)に従って処理を進めます。

OnDemandRules辞書には、次のキーに対する値を設定できます。

キー

Action

文字列

ネットワークが条件に合致した場合のアクション。次のいずれかを指定します。

  • Allow非推奨。要求されれば接続を許可。

  • Connect — 次に接続を試みる際、無条件でVPN接続を開始。

  • Disconnect — VPN接続を解除。この辞書に合致する限り、以降、要求があっても再接続しません。

  • EvaluateConnection — 接続を試みる都度、ActionParameters配列を評価。

  • Ignore — 既存のVPN接続はそのまま維持。ただし、この辞書に合致する限り、以降、要求があっても再接続しません。

ActionParameters

辞書の配列

OnDemandRules辞書と同様の規則を設定した辞書。ただし、ネットワーク状態が変化したときではなく、接続を試みるたびに評価します。配列に並んでいる順に辞書を評価し、最初に合致した辞書にもとづいて動作を決めます。

各辞書で使用できるキーを、表1-1に示します。

注:この辞書を使うのは、Actionの値がEvaluateConnectionである場合に限ります。

DNSDomainMatch

文字列の配列

ドメイン名の配列。この配列に列挙されているいずれかのドメイン名に、デバイスの検索ドメインリストのいずれかのドメインが合致した場合、条件を満たしたことになります。

ワイルドカード「*」を先頭に置くことも可能です。たとえば、*.example.comは、mydomain.example.comまたはyourdomain.example.comのいずれかに合致します。

DNSServerAddressMatch

文字列の配列

IPアドレスの配列。ネットワークに属する、指定されたいずれかのDNSサーバのIPアドレスが、この配列中のいずれかのIPアドレスに合致すれば、条件を満たしたことになります。

ワイルドカードを1箇所だけ指定できます。たとえば、「17.*」は(先頭オクテットの値が17である)クラスAのサブネットに属するDNSサーバがすべて合致します。

InterfaceTypeMatch

文字列

インターフェイス型。この指定がある場合、ネットワークの主たるインターフェイスハードウェアがこの型であれば、条件を満たしたことになります。

サポートされる値はEthernetWiFiCellularです。

SSIDMatch

文字列の配列

着目するネットワークと照合するSSIDの配列。Wi-Fiネットワークであり、かつ、そのSSID(Service Set IDentifier)が配列中にある場合、条件を満たしていることになります。

このキーがなければ、あらゆるSSIDに合致します。

URLStringProbe

文字列

プローブするURL。このURLで示されるリソースをリダイレクトなしで取得できた(HTTP状態コードとして200が返された)場合、条件を満たしたことになります。

ActionParameters辞書で使用できるキーを表1-1に示します。

表1-1 ActionParameters辞書のキー

キー

Domains

文字列の配列

必須。この評価規則を適用するドメイン。

DomainAction

文字列

必須。指定されたドメインに対するVPNの動作を定義。次のいずれかを指定します。

  • ConnectIfNeeded — ドメイン名を解決できなかった場合(DNSサーバが解決できない旨応答した、別のサーバにリダイレクトして応答した、タイムアウトのため応答がなかった、など)、当該ドメインに対するVPN接続を試みる。

  • NeverConnect — 指定されたドメインがVPN接続をトリガしたり、既存のVPN接続を通じてアクセス可能になったりすることはありません。

RequiredDNSServers

文字列の配列

必要な場合のみ。ドメインの解決に使うDNSサーバの、IPアドレスの配列。デバイスの現行ネットワーク構成にないサーバでも構いません。このDNSサーバに到達できなかった場合は、VPN接続を確立します。内部DNSサーバか、または信頼できる外部DNSサーバを指定してください。

注:このキーは、DomainActionの値がConnectIfNeededである場合にのみ有効です。

RequiredURLStringProbe

文字列

必要な場合のみ。GET要求によりプローブする、HTTPまたはHTTPS(推奨)のURLです。サーバからHTTP応答コードを受け取らなかった場合、応答としてVPN接続が確立されます。

注:このキーは、DomainActionの値がConnectIfNeededである場合にのみ有効です。

IKEv2辞書キー

VPNTypeの値がIKEv2であれば、次のキーも辞書に設定できます。

キー

RemoteAddress

文字列

必須。VPNサーバのIPアドレスまたはホスト名。

LocalIdentifier

文字列

必須。IKEv2クライアントのID。次のいずれかの形式で指定します。

  • FQDN

  • UserFQDN

  • Address

  • ASN1DN

RemoteIdentifier

文字列

必須。遠隔ID。次のいずれかの形式で指定します。

  • FQDN

  • UserFQDN

  • Address

  • ASN1DN

AuthenticationMethod

文字列

必須。下記のいずれかを指定します。

  • SharedSecret

  • Certificate

  • None

認証でEAPのみを有効にするには、認証方法をNoneに設定し、ExtendedAuthEnabledキーを1に設定する必要があります。このキーをNoneに設定した場合に、ExtendedAuthEnabledキーが設定されていないと、認証設定はSharedSecretにデフォルトで設定されます。

PayloadCertificateUUID

文字列

必要な場合のみ。アカウント資格情報として用いる、ID証明書のUUID。AuthenticationMethodの値がCertificateの場合、この証明書はIKEv2コンピュータ認証に送信されます。拡張認証(EAP)を使用する場合は、EAP-TLSに送信されます。

CertificateType

文字列

必要な場合のみ。このキーは、IKEv2コンピュータ認証で使用されるPayloadCertificateUUIDの種類を指定します。値は次のいずれかです。

  • RSA(デフォルト)

  • ECDSA256

  • ECDSA384

  • ECDSA521

このキーが含まれる場合ServerCertificateIssuerCommonNameキーが必要です。

SharedSecret

文字列

必要な場合のみ。AuthenticationMethodの値がSharedSecretである場合、この値をIKE認証に使います。

ExtendedAuthEnabled

整数

必要な場合のみ。1に設定すると、EAPのみの認証(上記のAuthenticationMethodを参照)ななります。デフォルト値は0。

AuthName

文字列

必要な場合のみ。認証に用いるユーザー名。

AuthPassword

文字列

必要な場合のみ。認証に用いるパスワード。

DeadPeerDetectionRate

文字列

必要な場合のみ。下記のいずれかを指定します。

  • None(無効にする)

  • Lowkeepaliveが30分に1回送信される)

  • Mediumkeepaliveが10分に1回送信される)

  • Highkeepaliveが1分に1回送信される)

デフォルト値はMediumです。

ServerCertificateIssuerCommonName

文字列

必要な場合のみ。サーバ証明書発行者のコモンネーム。設定しておけば、IKEは証明書要求を、この者が発行するものとしてサーバに送信するようになります。

このキーは、CertificateTypeキーが含まれており、かつExtendedAuthEnabledキーが1に設定されている場合に必要です。

ServerCertificateCommonName

文字列

必要な場合のみ。サーバ証明書のコモンネーム。IKEサーバから届いた証明書の検証に使います。設定がなければ「Remote Identifier」の値にもとづいて検証します。

TLSMinimumVersion

文字列

必要な場合のみ。EAP-TLS認証に使われるTLSの最小バージョン。1.0、1.1、1.2を指定できます。指定しない場合のデフォルト最小値は1.0です。

設定可能なバージョン:iOS 11.0およびmacOS 10.13以降。

TLSMaximumVersion

文字列

必要な場合のみ。EAP-TLS認証に使われるTLSの最大バージョン。1.0、1.1、1.2を指定できます。指定しない場合のデフォルト最大値は1.2です。

設定可能なバージョン:iOS 11.0およびmacOS 10.13以降。

NATKeepAliveOffloadEnable

整数

必要な場合のみ。1を設定すれば、Always On VPN IKEv2接続のNATキープアライブオフロードを有効にでき、0を設定すれば無効にできるようになります。キープアライブパケットは、経路上にNATのあるIKEv2接続のNATマッピングを保持するために、デバイスから送信されます。これらのパケットは、デバイスが起動していれば定期的な間隔で送信されます。NATKeepAliveOffloadEnableが1に設定されていれば、デバイスがスリープ状態のときにキープアライブパケットはハードウェアにオフロードされます。NATキープアライブのオフロードを行うと、スリープ時に作業負荷が余分にかかるため、バッテリー駆動時間に影響が及びます。キープアライブオフロードパケットのデフォルト間隔は、WiFi接続の場合は20秒、携帯電話インターフェイスの場合は110秒です。デフォルトのNATキープアライブでも、NATマッピングタイムアウトが短いネットワーク上であれば十分に動作しますが、バッテリー駆動時間への影響が懸念されます。ネットワークのNATマッピングタイムアウトが長いことがわかっている場合は、バッテリーへの影響を最小限に抑えるため、キープアライブ間隔を長く確保してください。キープアライブ間隔は、NATKeepAliveIntervalキーを設定することで修正できます。NATKeepAliveOffloadEnableのデフォルト値は1です。

NATKeepAliveInterval

整数

必要な場合のみ。Always On VPN IKEv2接続のNATキープアライブ間隔。この値は、デバイスによって送信されるキープアライブパケットの間隔を制御します。最小値は20秒です。キーが指定されていない場合のデフォルト値は、WiFi接続の場合は20秒、携帯電話インターフェイスの場合は110秒です。

EnablePFS

整数

必要な場合のみ。1に設定すると、Perfect Forward Secrecy(PFS)for IKEv2接続が有効になります。デフォルト値は0です。

EnableCertificateRevocationCheck

整数

必要な場合のみ。1に設定すると、IKEv2接続の証明書の失効確認が有効になります。これはベストエフォート型の失効確認であり、サーバ応答のタイムアウトは確認失敗の原因にはなりません。

設定可能なバージョン:iOS 9.0以降。

IKESecurityAssociationParameters

辞書

必要な場合のみ。この下の表を参照。子の「Security Association」に適用するパラメータ(ChildSecurityAssociationParametersが指定されている場合を除く)。

ChildSecurityAssociationParameters

辞書

必要な場合のみ。この下の表を参照。

IKESecurityAssociationParameters辞書、ChildSecurityAssociationParameters辞書には、次のキーに対する値を設定できます。

キー

EncryptionAlgorithm

文字列

必要な場合のみ。次のいずれかを指定します。

  • DES

  • 3DES

  • AES-128

  • AES-256(デフォルト)

  • AES-128-GCM(16-octet ICV)

  • AES-256-GCM(16-octet ICV)

IntegrityAlgorithm

文字列

必要な場合のみ。次のいずれかを指定します。

  • SHA1-96

  • SHA1-160

  • SHA2-256(デフォルト)

  • SHA2-384

  • SHA2-512

DiffieHellmanGroup

整数

必要な場合のみ。1、2(デフォルト値)、5、14、15、16、17、18、19、20、21のいずれかを指定します。

LifeTimeInMinutes

整数

必要な場合のみ。分単位で表したSA(Security Association)の有効期間(キーの更新間隔)。10〜1440の範囲で指定。デフォルト値は1440分。

UseConfigurationAttributeInternalIPSubnet

整数

必要な場合のみ。1を指定すれば、ネゴシエーションではIKEv2構成属性INTERNAL_IP4_SUBNETおよびINTERNAL_IP6_SUBNETを使用する必要があります。デフォルト値は0。

設定可能なバージョン:iOS 9.0以降。

DisableMOBIKE

整数

必要な場合のみ。1を指定すれば、MOBIKEが無効になります。デフォルト値は0。

設定可能なバージョン:iOS 9.0以降。

DisableRedirect

整数

必要な場合のみ。1を指定すれば、IKEv2リダイレクトが無効になります。指定されなければ、リダイレクト要求がサーバから受け取られた場合に、IKEv2接続はリダイレクトされます。デフォルト値は0。

設定可能なバージョン:iOS 9.0以降。

NATKeepAliveOffloadEnable

整数

必要な場合のみ。1を設定すれば、Always On VPN IKEv2接続のNATキープアライブオフロードを有効にでき1、0を設定すれば無効にできるようになります。キープアライブパケットは、IKEv2接続のNATマッピングを保持するために使用されます。これらのパケットは、デバイスが起動していれば定期的な間隔で送信されます。NATKeepAliveOffloadEnableが1であれば、デバイスがスリープ状態でもキープアライブパケットはチップによって送信されます。Always On VPNのキープアライブパケットのデフォルト間隔は、WiFi接続の場合は20秒、携帯電話インターフェイスの場合は110秒です。この間隔は、NATKeepAliveIntervalで任意の秒数に設定できます。デフォルト値は1。

設定可能なバージョン:iOS 9.0以降。

NATKeepAliveInterval

整数

必要な場合のみ。デバイスによって送信されるキープアライブパケットの間隔を制御します。最小値は20秒です。キーが指定されていない場合は、デフォルトは20秒になります。

設定可能なバージョン:iOS 9.0以降。

DNS辞書キー

VPNTypeIKEv2であれば、次のDNSキーが使用されます。

キー

ServerAddresses

文字列の配列

必須。DNSサーバのIPアドレスの文字列の配列。IPアドレスには、IPv4アドレスとIPv6アドレスを混在できます。

設定可能なバージョン:iOS 10.0以降およびmacOS 10.12以降。

SearchDomains

文字列の配列

必要な場合のみ。単一ラベルの完全修飾ホスト名で使用されるドメイン文字列のリスト。

設定可能なバージョン:iOS 10.0以降およびmacOS 10.12以降。

DomainName

文字列

必要な場合のみ。トンネルのプライマリドメイン。

設定可能なバージョン:iOS 10.0以降およびmacOS 10.12以降。

SupplementalMatchDomains

文字列の配列

必要な場合のみ。ServerAddressesにあるDNSリゾルバ設定を使用するDNSクエリの決定に使用されるドメイン文字列のリスト。このキーは、特定のドメインにある唯一のホストがトンネルのDNSリゾルバを使用して解決されるスプリットDNS設定の作成に使用されます。リストにないドメイン上のホストは、システムのどフォルトリゾルバを使用して解決されます。

SupplementalMatchDomainsが空の文字列である場合は、これがデフォルトドメインになります。これが、スプリットトンネル設定により、すべてのDNSクエリがプライマリDNSサーバよりも手前でVPN DNSサーバに転送できる仕組みです。VPNトンネルがネットワークのデフォルトの経路になった場合、ServerAddressesにリストされたサーバがデフォルトのリゾルバになり、SupplementalMatchDomainsリストは無視されます。

設定可能なバージョン:iOS 10.0以降およびmacOS 10.12以降。

SupplementalMatchDomainsNoSearch

整数

必要な場合のみ。SupplementalMatchDomainsリストにあるドメインをリゾルバのドメイン検索リストに追加する(0)かしない(1)かを設定します。デフォルト値は0です。

設定可能なバージョン:iOS 10.0以降およびmacOS 10.12以降。

プロキシ辞書キー

Proxies辞書には、次のキーが含まれることがあります。

キー

ProxyAutoConfigEnable

整数

必要な場合のみ。1を設定すれば、プロキシの自動構成を有効にできるようになります。デフォルト値は0。

ProxyAutoConfigURLString

文字列

必要な場合のみ。プロキシの自動構成ファイルのURL。ProxyAutoConfigEnableの値が1の場合にのみ使用します。

SupplementalMatchDomains

文字列の配列

必要な場合のみ。この値を設定すれば、1つ以上の指定ドメイン内のホスト接続でプロキシ設定が使用されます。

ProxyAutoConfigEnableが0に設定されると、辞書には次のキーも含まれることがあります。

キー

HTTPEnable

整数

必要な場合のみ。1を設定すれば、HTTPSトラフィックのプロキシを有効にできるようになります。デフォルト値は0。

HTTPProxy

文字列

必要な場合のみ。HTTPプロキシのホスト名。

HTTPPort

整数

必要な場合のみ。HTTPプロキシのポート番号。HTTPProxyが指定される場合は、このフィールドは必須です。

HTTPProxyUsername

文字列

必要な場合のみ。認証に用いるユーザー名。

HTTPProxyPassword

文字列

必要な場合のみ。認証に用いるパスワード。

HTTPSEnable

整数

必要な場合のみ。1を設定すれば、HTTPSトラフィックのプロキシを有効にできるようになります。デフォルト値は0。

HTTPSProxy

文字列

必要な場合のみ。HTTPSプロキシのホスト名。

HTTPSPort

整数

必要な場合のみ。HTTPSプロキシのポート番号。HTTPSProxyが指定される場合は、このフィールドは必須です。

AlwaysOn辞書キー

VPNTypeの値がAlwaysOnであれば、次のキーも辞書に設定できます。

キー

UIToggleEnabled

整数

必要な場合のみ。1を設定すれば、ユーザーがこのVPN設定を無効にできるようになります。デフォルト値は0。

TunnelConfigurations

辞書の配列

必須。以下を参照してください。

ServiceExceptions

辞書の配列

必要な場合のみ。以下を参照してください。

AllowCaptiveWebSheet

整数

必要な場合のみ。1を指定すれば、VPNトンネルを経由しない、Captive Web Sheetからのトラフィックを許可するようになります。デフォルト値は0。

AllowAllCaptiveNetworkPlugins

整数

必要な場合のみ。1を指定すれば、VPNトンネルを経由しない、すべての「Captive Networking」アプリケーションからのトラフィックによる、キャプティブネットワーク(ユーザー登録が必要な公共ネットワーク)の操作を許可するようになります。デフォルト値は0。

AllowedCaptiveNetworkPlugins

辞書の配列

必要な場合のみ。VPNトンネルを経由しないトラフィックによるキャプティブネットワークの操作を許可する「Captive Networking」アプリケーションの配列。AllowAllCaptiveNetworkPluginsが0の場合にのみ適用。

AllowedCaptiveNetworkPlugins配列の各辞書には、BundleIdentifierキーを使って、アプリケーションのバンドルIDを表す文字列を設定する必要があります。

「Captive Networking」アプリケーションは、キャプティブネットワーク環境で処理をおこなうため、追加のエンタイトルメントを要することがあります。

TunnelConfigurations配列の各辞書には、次のキーを設定できます。

キー

ProtocolType

文字列

「IKEv2」であること。

Interfaces

文字列の配列

必要な場合のみ。この設定事項を適用するインターフェイスを指定します。有効な値はCellularWiFiです。デフォルト値はCellular, WiFi

さらに、IKEv2辞書で使うよう定義された、RemoteAddressLocalIdentifierなどのキーも、TunnelConfigurations辞書に設定できます。

ServiceExceptions配列の各辞書には次のキーを設定できます。

キー

ServiceName

文字列

必須。「Always On VPN」から除外されるシステムサービスの名前。次のいずれかを指定します。

  • VoiceMail

  • AirPrint

  • CellularServices(iOS 11.3以降で設定可能)

Action

文字列

必須。下記のいずれかを指定します。

  • Allow

  • Drop

「Per-App VPN」ペイロード

「Per-App VPN」ペイロードはアドオンVPNソフトウェアの設定に使います。これは「VPN」型のVPNサービスにのみ適用されます。「「VPN」ペイロード」で説明する、標準の「VPN」ペイロードと混同しないようにしてください。

このペイロードは、iOS 7.0以降、macOS v10.9以降でのみ使えます。

「VPN」ペイロードは、PayloadTypeの値としてcom.apple.vpn.managed.applayerを与えることにより指定します。「Per-App VPN」ペイロードには、「「VPN」ペイロード」に示すキーに加え、次のキーを設定できます。

キー

VPNUUID

文字列

このVPN構成を識別する、全世界で一意的な識別子。「Per-App VPN」サービスがあらゆるネットワーク通信に使えるよう、アプリケーションを設定するために使います。「「App-to-Per-App VPN Mapping」ペイロード」を参照してください。

SafariDomains

配列

(必要な場合のみ)。「App-to-Per App VPN Mapping」の特別な場合に当たります。Safari(Webkit)用のアプリケーションマッピングを、特別な識別子で設定します。この場合に特有の要件があります。

文字列の配列。各文字列は、SafariでこのVPN接続を行うドメインを表します。次のように照合していきます。

  • ホスト名との照合に先立ち、ドメイン文字列の先頭や末尾にあるドットをすべて削除します。たとえば、ドメイン文字列が「".com"」であれば、「"com"」と照合することになります。

  • ドメイン文字列の各ラベルが、ホスト文字列のラベル全体と一致しなければなりません。たとえば、"example.com"のドメインは"www.example.com"と一致しますが、"foo.badexample.com"とは一致しません。

  • ドメイン文字列のラベルが1つだけであれば、ホスト文字列全体と一致する必要があります。たとえば、"com"のドメインは"com"と一致しますが、"www.example.com"とは一致しません。

OnDemandMatchAppEnabled

ブール型

trueであれば、この「Per-App VPN」サービスにリンクしたアプリケーションがネットワーク通信を開始すると、自動的に「Per-App VPN」接続が始まります。

falseの場合は、事前に手動で「Per-App VPN」接続を行わなければなりません。

このキーの指定がなければ、OnDemandEnabledキーの値にもとづいて「Per-App VPN On Demand」の状態を判断します。

ProviderType

文字列

必要な場合のみ。packet-tunnelapp-proxyのいずれか。デフォルト値はapp-proxyです。このキーの値がapp-proxyであれば、VPNサービスはアプリケーションレイヤでトラフィックをトンネルします。このキーの値がpacket-tunnelであれば、VPNサービスはIPレイヤでトラフィックをトンネルします。

「App-to-Per-App VPN Mapping」ペイロード

「App-to-Per-App mapping」ペイロードは、PayloadTypeの値としてcom.apple.vpn.managed.appmappingを与えることにより指定します。

このペイロードは、macOS 10.9以降でのみサポートされています。iOSではサポートされません。

キー

AppLayerVPNMapping

辞書の配列

マッピング辞書の配列。

配列内のそれぞれの辞書には、次のキーを含めることができます。

キー

Identifier

文字列

アプリケーションのバンドルID。

VPNUUID

文字列

「Per-App VPN」ペイロードで定義されている、Per-App VPNのVPNUUID。

DesignatedRequirement

文字列

アプリケーションごとのVPNを使うアプリケーションについて、コード署名で指定される要件。

SigningIdentifier

文字列

アプリケーションごとのVPNを使うアプリケーションのコード署名の署名用ID。

「Web Clip」ペイロード

「Web Clip」ペイロードは、PayloadTypeの値としてcom.apple.webClip.managedを与えることにより指定します。

「Web Clip」ペイロードには、ユーザーのホーム画面にWeb Clipを表示し、ブックマークとして使えるようにする働きがあります。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

URL

文字列

「Web Clip」をクリックしたときに開くURL。URLは「HTTP」または「HTTPS」で始まるものでなければ動作しません。

Label

文字列

ホーム画面に表示される「Web Clip」の名前。

Icon

データ

必要な場合のみ。ホーム画面に表示されるPNGアイコン。大きさは59×60ピクセルとします。指定がなければ白い矩形の表示になります。

IsRemovable

ブール型

必要な場合のみ。falseの場合、ウェブクリップは削除できません。デフォルト値はtrueです。macOSでは利用できません。

「Web Content Filter」ペイロード

「Web Content Filter」ペイロードを使うと、ウェブページのあるURLに対する接続を、無条件で許可(ホワイトリスト)し、あるいは無条件で禁止(ブラックリスト)することができます。このペイロードは監視対象デバイスのみが対象です。

フィルタ処理は、PayloadTypeの値としてcom.apple.webcontent-filterを指定し、FilterTypeキーを追加して次のいずれかの文字列を指定すれば有効になります。

  • BuiltIn(デフォルト)

  • Plugin

macOSでは、FilterTypePluginでなければなりません。

FilterTypeの値がBuiltInであれば、このペイロードには、あらゆるペイロードに共通のキーに加え、次のキーを設定できます。

キー

AutoFilterEnabled

ブール型

必要な場合のみ。trueならば、自動フィルタ処理が有効になります。各ウェブページのロード時に内容を調べ、子供向けでないものを判定、遮断する機能です。判定アルゴリズムは複雑で、版によっても変わることもありますが、基本的には、誹謗中傷や性的な言葉を検索する、という方法で判定します。デフォルト値はfalseです。

PermittedURLs

文字列の配列

必要な場合のみ。AutoFilterEnabledtrueの場合にのみ使用されます。そうでなければ無視されます。

自動フィルタの判定結果にかかわらず、アクセスを許可するURLを列挙します。

WhitelistedBookmarks

辞書の配列

必要な場合のみ。この設定があれば、各辞書に登録されているURLをブラウザのブックマークに追加します。これ以外のサイトにはアクセスできません。追加できるURLの数は、およそ500に制限されます。

BlacklistedURLs

文字列の配列

必要な場合のみ。アクセスを禁止するURLを列挙します。追加できるURLの数は、およそ500に制限されます。

WhitelistedBookmarksフィールドの各辞書には、次のキーに対する値を設定できます。

キー

URL

文字列

無条件で許可(ホワイトリスト)するサイトのブックマークがあるURL。

BookmarkPath

文字列

必要な場合のみ。Safariのブックマーク中、上記のブックマークの内容を追加するフォルダ。たとえば「/Interesting Topic Pages/Biology/」。

指定がなければ、デフォルトのブックマークディレクトリに追加します。

Title

文字列

ブックマークのタイトル。

このペイロードが複数ある場合、動作は次のようになります。

  • 各ペイロードのブラックリストすべての和集合が、実際に適用するブラックリストになります。すなわち、あるURLがいずれかに現れていれば、アクセスを禁止します。

  • 各ペイロードの許可リストすべての積集合が、実際に適用する許可リストになります。すなわち、どの許可リストにも現れていれば、自動フィルタの判定結果にかかわらず、アクセスを許可します。

  • 各ペイロードのホワイトリストすべての積集合が、実際に適用するホワイトリストになります。すなわち、どのホワイトリストにも現れていれば、アクセスを許可します。

URLは、文字列ベースのルート照合によって一致されます。パターンと完全に同じ文字がURLのルートとして表示されると、URLはホワイトリスト、ブラックリスト、または許可リストのパターンと照合されます。たとえば、test.com/aがブラックリストに登録されている場合、test.comtest.com/btest.com/c/d/eはすべてブロックされます。照合はサブドメインプレフィクスを破棄しないので、test.com/aがブラックリストに登録されていてもm.test.comはブロックされません。また、別名(たとえばIPアドレスに対するDNS名)との照合を試みたり、明示的にポート番号を記述している場合を特別扱いしたりすることはありません。

PermittedURLsWhitelistedBookmarksの設定がなければ、評価に当たってそのプロファイルを無視します。ただし例外として、ペイロードにAutoFilterEnabledキーの設定がある場合、PermittedURLs配列がなくても、空の配列が与えられているものと看做します。したがって、すべてのウェブサイトに対するアクセスを禁止することになります。

フィルタ処理オプションはすべて、同時にアクティブになります。すべての規則を満たしたURLやサイトのみ、アクセスを許可します。

FilterTypeの値がPluginであれば、このペイロードには、あらゆるペイロードに共通のキーに加え、次のキーを設定できます。

キー

UserDefinedName

文字列

このフィルタ設定の名前として表示される文字列。

PluginBundleID

文字列

フィルタ処理サービスを提供するプラグインのバンドルID。

ServerAddress

文字列

必要な場合のみ。サーバアドレス(IPアドレス、ホスト名、URLのいずれか)。

UserName

文字列

必要な場合のみ。サービスで用いるユーザー名。

Password

文字列

必要な場合のみ。サービスで用いるパスワード。

PayloadCertificateUUID

文字列

必要な場合のみ。ID証明書ペイロードを指すUUID。ユーザーがサービスを利用する際の認証に使います。

Organization

文字列

必要な場合のみ。他社製プラグインに渡すOrganization文字列。

VendorConfig

辞書

必要な場合のみ。フィルタ処理サービスのプラグインが必要とするカスタム辞書。

FilterBrowsers

整数

必要な場合のみ。1を指定すれば、WebKitトラフィックを遮断するようになります。デフォルト値は0。

FilterSockets

整数

必要な場合のみ。1を指定すれば、ソケットトラフィックを遮断するようになります。デフォルト値は0。

フィルタが有効に働くためには、FilterBrowsersFilterSocketsの少なくとも一方がtrueでなければなりません。

「Wi-Fi」ペイロード

「Wi-Fi」ペイロードは、PayloadTypeの値としてcom.apple.wifi.managedを与えることにより指定します。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

SSID_STR

文字列

利用するWi-FiネットワークのSSID。

iOS 7.0以降、DomainNameの値が設定されていれば、必須ではなくなりました。

HIDDEN_NETWORK

ブール型

デバイスはSSID以外にも、ブロードキャストの種類、暗号化の種類などの情報を使ってネットワークを識別します。デフォルト値(false)のままであれば、ネットワークはすべてオープンまたはブロードキャストであると仮定します。隠れたネットワークを指定する場合はtrueでなければなりません。

AutoJoin

ブール型

必要な場合のみ。デフォルト値はtrueです。trueならば、ネットワークには自動的に参加するようになります。falseならば、参加するためにはネットワーク名をタップしなければなりません。

設定可能なバージョン:iOS 5.0以降と、macOSの全バージョン。

EncryptionType

文字列

可能な値はWEPWPAWPA2AnyNoneです。WPAはWPAのみ指定します。WPA2は両方の暗号化タイプに適用されます。

ネットワークアクセスポイントの能力と、この設定が合致していなければなりません。暗号化の種類が不明である、あるいはどの種類の暗号化でも適用したい場合は、Anyを指定してください。

設定可能なバージョン:iOS 4.0以降と、macOSの全バージョン。None値はiOS 5.0以降で、WPA2値はiOS 8.0以降で利用可能。

IsHotspot

ブール型

必要な場合のみ。デフォルト値はfalseです。trueならば、ネットワークをホットスポットとして扱います。

設定可能なバージョン:iOS 7.0以降およびmacOS 10.9以降。

DomainName

文字列

必要な場合のみ。Wi-Fi Hotspot 2.0にもとづくネゴシエーションに用いるドメイン名。このフィールドはSSID_STRに代わるものとして使えます。

設定可能なバージョン:iOS 7.0以降およびmacOS 10.9以降。

ServiceProviderRoamingEnabled

ブール型

必要な場合のみ。trueならば、ローミングサービス事業者への接続を許可します。デフォルト値はfalseです。

設定可能なバージョン:iOS 7.0以降およびmacOS 10.9以降。

RoamingConsortiumOIs

文字列の配列

必要な場合のみ。Wi-Fi Hotspot 2.0にもとづくネゴシエーションに用いる、Roaming Consortium Organization Identifierの配列。

設定可能なバージョン:iOS 7.0以降およびmacOS 10.9以降。

NAIRealmNames

文字列の配列

必要な場合のみ。文字列の配列。Wi-Fi Hotspot 2.0にもとづくネゴシエーションに用いる、Network Access Identifier Realm名のリスト。

設定可能なバージョン:iOS 7.0以降およびmacOS 10.9以降。

MCCAndMNCs

文字列の配列

必要な場合のみ。文字列の配列。Wi-Fi Hotspot 2.0にもとづくネゴシエーションに用いる、Mobile Country Code(MCC)/Mobile Network Code(MNC)ペアのリスト。各文字列はちょうど6桁でなければなりません。

設定可能なバージョン:iOS 7.0以降。この機能は、macOSでは動作しません。

DisplayedOperatorName

文字列

このネットワークに接続したときに表示される事業者名。Wi-Fi Hotspot 2.0のアクセスポイントでのみ使用。設定可能なバージョン:iOS 7.0以降およびmacOS 10.9以降。

ProxyType

文字列

必要な場合のみ。有効な値はNoneManualAutoです。

設定可能なバージョン:iOS 5.0以降と、macOSの全バージョン。

CaptiveBypass

ブール型

必要な場合のみ。trueに設定すると、デバイスのネットワークへの接続時にキャプティブネットワークの検出がバイパスされます。デフォルト値はfalseです。

設定可能なバージョン:iOS 10.0以降。

QoSMarkingPolicy

辞書

必要な場合のみ。この辞書がWi-Fiネットワークにないと、Wi-FiネットワークでCisco QoS優先ルートがサポートされている場合に、すべてのアプリケーションがL2およびL3マーキングを使用するようにホワイトリストに登録されます。Wi-Fiペイロードにこの辞書が存在している場合、QoSMarkingPolicy辞書にはL2およびL3マーキングにより許可されるアプリケーションのリストが設定されている必要があります。辞書のキーについては、下記の表を参照してください。

設定可能なバージョン:iOS 10.0以降およびmacOS 10.13以降。

QoSMarkingPolicy辞書には次のキーがあります。

キー

QoSMarkingWhitelistedAppIdentifiers

文字列の配列

必要な場合のみ。Wi-Fiネットワークに送信されるトラフィックで、L2およびL3とマークされてホワイトリストに登録されるアプリケーションバンドルIDの配列。この配列が存在しないのにQoSMarkingPolicyキーが(空であっても)存在する場合、ホワイトリストに登録されるアプリケーションはありません。

QoSMarkingAppleAudioVideoCalls

ブール型

必要な場合のみ。FaceTimeやWi-Fi通話などの内臓のオーディオ/ビデオサービスのオーディオおよびビデオのトラフィックをWi-Fiネットワークに送信されるトラフィックでL2およびL3のマーキングでホワイトリストに登録するかどうかを指定します。デフォルト値はtrueです。

QoSMarkingEnabled

ブール型

必要な場合のみ。Wi-Fiネットワークに送信されるトラフィックのマーキングにL2のみを使用し、L3を無効にする場合に使用されます。このキーがfalseならば、Wi-FiはCisco QoSの優先レーンネットワークと関連していないときと同様の動作になります。デフォルト値はtrueです。

EncryptionTypeフィールドの値がWEPWPAANYのいずれかであれば、次のフィールドも設定できます。

キー

Password

文字列

必要な場合のみ。

EAPClientConfiguration

辞書

EAPClientConfiguration辞書」を参照。

PayloadCertificateUUID

文字列

証明書」を参照。

ProxyTypeManualとした場合、次のフィールドも設定する必要があります。

キー

ProxyServer

文字列

プロキシサーバのネットワークアドレス。

ProxyServerPort

整数

プロキシサーバのポート。

ProxyUsername

文字列

必要な場合のみ。プロキシサーバの認証に用いるユーザー名。

ProxyPassword

文字列

必要な場合のみ。プロキシサーバの認証に用いるパスワード。

ProxyPACURL

文字列

必要な場合のみ。プロキシ設定を定義しているPACファイルのURL。

ProxyPACFallbackAllowed

ブール型

必要な場合のみ。falseならば、PACファイルに到達できない場合、デバイスはデスティネーションに直接接続できません。デフォルト値はfalseです。

設定可能なバージョン:iOS 7以降。

ProxyTypeAutoで、ProxyPACURLの値が指定されていなければ、デバイスはWPAD(Web Proxy AutoDiscovery)プロトコルによりプロキシを探索するようになります。

802.1Xエンタープライズネットワークの場合、EAPClientConfiguration辞書が必要です。

EAPClientConfiguration辞書

標準的な暗号化以外にも、エンタープライズネットワーク独自のプロファイルを、EAPClientConfigurationキーで指定できます。このキーが存在する場合、その値は辞書であり、次のようなキーの値を設定できます。

キー

UserName

文字列

必要な場合のみ。正確なユーザー名を知っている場合を除き、設定をインポートしたとき、このプロパティが現れることはありません。認証の際にこの情報を入力しても構いません。

AcceptEAPTypes

整数の配列

EAP(Extensible Authentication Protocol、拡張認証プロトコル)の型として次のいずれかの値を指定します。

13 = TLS

17 = LEAP

18 = EAP-SIM

21 = TTLS

23 = EAP-AKA

25 = PEAP

43 = EAP-FAST

UserPassword

文字列

必要な場合のみ。ユーザーのパスワード。指定がなければ、ログインの際に入力するよう求められます。

OneTimePassword

ブール型

必要な場合のみ。trueを指定すれば、ネットワークに接続する都度、パスワード入力を求められるようになります。デフォルト値はfalseです。

PayloadCertificateAnchorUUID

文字列の配列

必要な場合のみ。この認証で用いる、信頼できる証明書を識別する文字列です。各要素には証明書ペイロードのUUIDを設定しなければなりません。このキーを設定しておけば、証明書が信頼できるものかどうか、ユーザーに問い合わせることはありません。

このプロパティを指定すれば、動的信頼(証明書ダイアログ)は無効になります。ただしTLSAllowTrustExceptionsの値がtrueである場合を除きます。

TLSTrustedServerNames

文字列の配列

必要な場合のみ。信頼できるものとして受理してよいサーバ証明書の共通名のリスト。「wpa.*.example.com」のようにワイルドカードを使って指定することも可能です。逆に、サーバが提示した証明書がこのリストに載っていない場合、これは信頼できません。

単独で用いるか、またはPayloadCertificateAnchorUUIDと組み合わせて使うことにより、ネットワークごとに、信頼できるものと見なす証明書をきめ細かく設定し、動的信頼証明書は使わずに済ますことができます。

このプロパティを指定すれば、動的信頼(証明書ダイアログ)は無効になります。ただしTLSAllowTrustExceptionsの値がtrueである場合を除きます。

TLSAllowTrustExceptions

ブール型

必要な場合のみ。ユーザーによる動的な信頼性確認を許可/禁止します。動的な信頼性確認とは、証明書が信頼できない場合に、証明書ダイアログを表示して確認を求めることです。falseであれば、すでに信頼できないと分かっている証明書は、直ちに認証に失敗します。上記のPayloadCertificateAnchorUUIDおよびTLSTrustedNamesを参照してください。

このプロパティのデフォルト値はtrueです。ただし、PayloadCertificateAnchorUUIDまたはTLSTrustedServerNamesが設定されている場合はfalseになります。

設定可能なバージョン:廃止され、iOS 8.0以降では無視されます。

TLSCertificateIsRequired

ブール型

必要な場合のみ。trueであれば、EAP-TTLS、PEAP、EAP-FASTを用いた2要素認証を許可します。falseであれば、EAP-TLSを用いた0要素認証を許可します。デフォルト値は、EAP-TLSであればtrue、それ以外のEAPであればfalseです。

設定可能なバージョン:iOS 7.0以降。

TLSMinimumVersion

文字列

必要な場合のみ。EAP認証に使われるTLSの最小バージョン。1.0、1.1、1.2を指定できます。指定しない場合のデフォルト最小値は1.0です。

設定可能なバージョン:iOS 11.0およびmacOS 10.13以降。

TLSMaximumVersion

文字列

必要な場合のみ。EAP認証に使われるTLSの最大バージョン。1.0、1.1、1.2を指定できます。指定しない場合のデフォルト最大値は1.2です。

設定可能なバージョン:iOS 11.0およびmacOS 10.13以降。

OuterIdentity

文字列

必要な場合のみ。このキーはTTLS、PEAP、EAP-FASTにのみ関係します。

ユーザーの身許を隠すことを許可します。ユーザーの実名が現れるのは、暗号化されたトンネル内に限ります。たとえば「anonymous」、「anon」、「anon@mycompany.net」などを設定できます。

攻撃者が認証ユーザー名を容易に知ることができないので、セキュリティ向上に役立ちます。

TTLSInnerAuthentication

文字列

必要な場合のみ。TTLSモジュールが用いる内部認証を指定します。可能な値はPAP、CHAP、MSCHAP、MSCHAPv2、EAです。デフォルト値はMSCHAPv2です。

EAP-Fastの支援機能

EAP-FASTモジュールはEAPClientConfiguration辞書に格納された次のプロパティを参照します。

キー

EAPFASTUsePAC

ブール型

必要な場合のみ。trueを指定すると、既存のPACがあれば、デバイスはそれを使うようになります。そうでなければ、サーバは証明書を使って、自身のIDを示さなければなりません。デフォルト値はfalseです。

EAPFASTProvisionPAC

ブール型

必要な場合のみ。EAPFASTUsePACtrueの場合のみ使用されます。trueであれば、PACプロビジョニングを許可します。デフォルト値はfalseです。EAP-FAST PACを使うためには、この値がtrueでなければなりません。ほかにPACをプロビジョニングする手段はないからです。

EAPFASTProvisionPACAnonymously

ブール型

必要な場合のみ。trueであれば、デバイスを匿名でプロビジョニングするようになります。この場合、中間者攻撃を受ける可能性があるので注意してください。デフォルト値はfalseです。

EAPSIMNumberOfRANDs

整数

必要な場合のみ。EAPSIM認証で使うと想定するRAND(乱数)の数。2または3を指定します。デフォルト値は3です。

以上のキーはその性質上、階層構造を成しています。EAPFASTUsePACがfalseであれば、他の2つのプロパティは無視されます。同様に、EAPFASTProvisionPACがfalseであれば、EAPFASTProvisionPACAnonymouslyは無視されます。

EAPFASTUsePACがfalseであれば、認証処理はPEAPやTTLSと同じようになります。すなわち、サーバはその都度、証明書を使って身許を証明します。

EAPFASTUsePACがtrueならば、PACがある場合それを使うようになります。現状では、デバイス上のPACを取得するためには、PACプロビジョニングを許可するしか方法がありません。したがって、EAPFASTProvisionPACを有効にし、さらに必要ならばEAPFASTProvisionPACAnonymouslyも有効にする必要があります。EAPFASTProvisionPACAnonymouslyにはセキュリティ上の弱点があります。サーバを認証できないので、中間者攻撃には脆弱なのです。

証明書

VPNの設定と同様、証明書の識別情報設定を、Wi-Fi設定と関連付けることができます。これはセキュアエンタープライズネットワーク用の資格情報を定義する際に有用です。識別情報を関連付けるためには、PayloadCertificateUUIDキーの値としてペイロードUUIDを指定してください。

キー

PayloadCertificateUUID

文字列

識別資格情報に用いる証明書ペイロードのUUID。

「Domains」ペイロード

このペイロードは企業の管理下にあるドメインを定義します。ペイロード型としてcom.apple.domains PayloadTypeを与えることにより指定します。

印の付かないメールドメイン

キーEmailDomainsで指定されたどの非管理対象電子メールドメインにも、サフィックスが合致しない電子メールアドレスは、ドメイン外のものであると判断し、「メール(Mail)」アプリケーションでも区別して表示します。

キー

EmailDomains

配列

必要な場合のみ。文字列の配列。どの文字列にもサフィックスが合致しない電子メールアドレスは、ドメイン外のものと判断します。

管理対象のSafariのWebドメイン

管理対象Safariウェブドメインから発信されている文書を開こうとすると、iOSはこれを、「Open In」機能の制御(Managed Open In)の目的で管理されているものとして扱います。

キー

WebDomains

配列

必要な場合のみ。URL文字列の配列。いずれかの文字列に合致するURLは、管理対象であると判断します。macOSでは対応していません。

SafariPasswordAutoFillDomains

配列

必要な場合のみ。URL文字列の配列。iOS 9.3以降でサポートされています。macOSではサポートされていません。

ユーザーは、ここに示すパターンに合致するURLのみ、Safariにパスワードを保存できます。

ユーザーが使用しているiCloudアカウントによらず、デバイスが監視対象でなければ、ホワイトリストはありません。デバイスが監視対象であればホワイトリストが存在することがありますが、それでもホワイトリストがなければ、次の2つのケースに注意してください。

  • デバイスが共有iPad用に設定されている場合、パスワードは保存できません。

  • デバイスが共有iPad用に設定されていない場合、すべてのパスワードを保存できます。

WebDomainsおよびSafariPasswordAutoFillDomains配列には、次の照合パターンを使用する文字列を使用できます。

形式

説明

apple.com

apple.com以下のパスは一致しますが、site.apple.com/は一致しません。

foo.apple.com

foo.apple.com以下のパスは一致しますが、apple.com/bar.apple.com/は一致しません。

*.apple.com

foo.apple.comまたはbar.apple.com以下のパスは一致しますが、apple.comは一致しません。

apple.com/sub

apple.com/subおよびそれ以下のパスは一致しますが、apple.com/は一致しません。

foo.apple.com/sub

foo.apple.com/sub以下のパスは一致しますが、apple.comapple.com/subfoo.apple.com/bar.apple.com/subは一致しません。

*.apple.com/sub

foo.apple.com/subまたはbar.apple.com/sub以下のパスは一致しますが、apple.comまたはfoo.apple.com/は一致しません。

*.co

apple.coまたはbeats.co以下のパスは一致しますが、apple.co.ukまたはapple.comは一致しません。

接頭辞www.で始まるURLは、照合時には、その接頭辞が付加されない状態で扱われます。たとえば、http://www.apple.com/storeは、http://apple.com/storeとして照合されます。

末尾のスラッシュは無視します。

ManagedWebDomain文字列エントリにポート番号が含まれていれば、その番号を指定したアドレスのみを管理対象と判断します。含まれていない場合は、指定したポート番号を無視してドメインを照合します。たとえば、*.apple.com:8080というパターンであれば、http://site.apple.com:8080/page.htmlは一致しますが、http://site.apple.com/page.htmlには一致しません。なお、*.apple.comというパターンであれば、両方のURLに一致します。

Managed Safari Web Domainの定義は累積します。したがって、すべての「Managed Web Domains」ペイロードに定義されたパターンを、URL要求と照合することになります。

SafariPasswordAutoFillDomainsの定義は累積的です。すべてのSafariPasswordAutoFillDomainsペイロードによって定義されたパターンは、指定したURLに対してパスワードを保存できるかどうかを判断するために使われます。

「macOS Server」ペイロード

このペイロードは、macOS Serverアカウントを定義します。ペイロード型としてcom.apple.osxserver.accountを与えることにより指定します。

キー

HostName

文字列

必須。サーバアドレス。

UserName

文字列

必須。ユーザーのログイン名。

Password

文字列

必要な場合のみ。ユーザーのパスワード。

AccountDescription

文字列

必要な場合のみ。アカウントの説明。

ConfiguredAccounts

配列

必須。構成済みのアカウントタイプと関連設定を含む辞書の配列。各辞書は、Typeフィールドに加え、Typeに固有の追加設定によって構成されます。

現在、次のConfiguredAccounts辞書がサポートされています。

Documents辞書

キー

Type

文字列

必須。Documentsアカウントタイプ:com.apple.osxserver.documents

Port

整数

必要な場合のみ。サーバへの問い合わせに使用するポート番号を指定します。ポート番号が指定されない場合は、デフォルトポートが使用されます。

「Active Directory」ペイロード

macOS 10.9以降では、Active Directory(AD)ドメインに参加するようにmacOSを設定するために構成プロファイルを使用できます。詳細なADオプションは、ディレクトリユーティリティを使用して設定できます。または次の手順に従って、dsconfigadコマンドラインツールを使用して構成プロファイルを設定することもできます。

  1. プロファイルマネージャで作成された、macOSの「Directory」ペイロードを開始します。

  2. 手動で編集するために、プロファイルを保存してダウンロードします。

次のAD構成キーを「Directory」ペイロードに追加できます(種類はcom.apple.DirectoryService.managed)。設定の中には、関連するフラグキーがtrueに設定されている場合にのみ設定可能なものがあります。たとえば、ADPacketEncryptFlagtrueに設定されていないと、ADPacketEncryptキーをenableに設定することはできません。

キー

解説

HostName

文字列

参加するActive Directoryドメイン。

UserName

文字列

ドメインへの参加で使用するアカウントのユーザー名。

Password

文字列

ドメインへの参加で使用するアカウントのパスワード。

ADOrganizationalUnit

文字列

参加するコンピュータオブジェクトが追加される組織単位(OU)。

ADMountStyle

文字列

「afp」または「smb」を使用するネットワークホームプロトコル。

ADCreateMobileAccountAtLoginFlag

ブール型

ADCreateMobileAccountAtLoginキーを有効または無効にする。

ADCreateMobileAccountAtLogin

ブール型

ログイン時にモバイルアカウントを作成。

ADWarnUserBeforeCreatingMAFlag

ブール型

ADWarnUserBeforeCreatingMAキーを有効または無効にする。

ADWarnUserBeforeCreatingMA

ブール型

モバイルアカウントを作成する前にユーザーに警告する。

ADForceHomeLocalFlag

ブール型

ADForceHomeLocalキーを有効または無効にする。

ADForceHomeLocal

ブール型

ローカルのホームディレクトリを強制。

ADUseWindowsUNCPathFlag

ブール型

ADUseWindowsUNCPathキーを有効または無効にする。

ADUseWindowsUNCPath

ブール型

Active DirectoryからのUNCパスを使用してネットワークホームを設定。

ADAllowMultiDomainAuthFlag

ブール型

ADAllowMultiDomainAuthキーを有効または無効にする。

ADAllowMultiDomainAuth

ブール型

フォレスト内の任意のドメインから認証。

ADDefaultUserShellFlag

ブール型

ADDefaultUserShellキーを有効または無効にする。

ADDefaultUserShell

文字列

ユーザーシェルのデフォルト(/bin/bashなど)。

ADMapUIDAttributeFlag

ブール型

ADMapUIDAttributeキーを有効または無効にする。

ADMapUIDAttribute

文字列

UIDを属性にマッピング。

ADMapGIDAttributeFlag

ブール型

ADMapGIDAttributeキーを有効または無効にする。

ADMapGIDAttribute

文字列

ユーザーGIDを属性にマッピング。

ADMapGGIDAttributeFlag

ブール型

ADMapGGIDAttributeFlagキーを有効または無効にする。

ADMapGGIDAttribute

文字列

グループGIDを属性にマッピング。

ADPreferredDCServerFlag

ブール型

ADPreferredDCServerキーを有効または無効にする。

ADPreferredDCServer

文字列

このドメインサーバを優先。

ADDomainAdminGroupListFlag

ブール型

ADDomainAdminGroupListキーを有効または無効にする。

ADDomainAdminGroupList

文字列の配列

指定したActive Directoryグループによる管理を許可。

ADNamespaceFlag

ブール型

ADNamespaceキーを有効または無効にする。

ADNamespace

文字列

プライマリユーザーアカウントの命名規則を設定(デフォルトは「forest」または「domain」)。

ADPacketSignFlag

ブール型

ADPacketSignキーを有効または無効にする。

ADPacketSign

文字列

パケット署名:「allow」、「disable」または「require」(「allow」がデフォルト)。

ADPacketEncryptFlag

ブール型

ADPacketEncryptキーを有効または無効にする。

ADPacketEncrypt

文字列

パケット暗号化:「allow」、「disable」、「require」または「ssl」(「allow」がデフォルト)。

ADRestrictDDNSFlag

ブール型

ADRestrictDDNSキーを有効または無効にする。

ADRestrictDDNS

文字列の配列

動的DNSの更新を指定したインターフェイス(en0、en1など)に制限。

ADTrustChangePassIntervalDaysFlag

ブール型

ADTrustChangePassIntervalDaysキーを有効または無効にする。

ADTrustChangePassIntervalDays

整数

コンピュータが信頼するアカウントでパスワードの変更が必要な頻度(日数で指定、「0」の場合は無効)

暗号化プロファイル

プロファイルは暗号化が可能です。復号にはデバイスにインストール済みの秘密鍵が必要です。

プロファイルを暗号化する手順は次の通りです。

  1. PayloadContent配列を削除し、適切なplistの形にシリアライズする。このplistの最上位オブジェクトは、辞書ではなく配列であることに注意してください。

  2. シリアライズしたplistに対し、エンベロープでラップしたデータとしてCMS暗号化を施す。

  3. このデータをDER形式でシリアライズする。

  4. プロファイルにこのデータを、plist項目「Data」の値として設定する(キーはEncryptedPayloadContent)。

プロファイルの署名

プロファイルに署名を施す場合、DER-エンコード済みのCMS Signed Dataデータ構造体に、XML plistを配置してください。

構成プロファイルの例

「SCEP」ペイロードが含まれる構成プロファイルの例を以下に示します。

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple Inc//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
    <dict>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadUUID</key>
        <string>Ignored</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadIdentifier</key>
        <string>Ignored</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadContent</key>
                <dict>
                    <key>URL</key>
                    <string>https://scep.example.com/scep</string>
                    <key>Name</key>
                    <string>EnrollmentCAInstance</string>
                    <key>Subject</key>
                    <array>
                        <array>
                            <array>
                                <string>O</string>
                                <string>Example, Inc.</string>
                            </array>
                        </array>
                        <array>
                            <array>
                                <string>CN</string>
                                <string>User Device Cert</string>
                            </array>
                        </array>
                    </array>
                    <key>Challenge</key>
                    <string>...</string>
                    <key>Keysize</key>
                    <integer>1024</integer>
                    <key>KeyType</key>
                    <string>RSA</string>
                    <key>KeyUsage</key>
                    <integer>5</integer>
                </dict>
                <key>PayloadDescription</key>
                <string>Provides device encryption identity</string>
                <key>PayloadUUID</key>
                <string>fd8a6b9e-0fed-406f-9571-8ec98722b713</string>
                <key>PayloadType</key>
                <string>com.apple.security.scep</string>
                <key>PayloadDisplayName</key>
                <string>Encryption Identity</string>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadOrganization</key>
                <string>Example, Inc.</string>
                <key>PayloadIdentifier</key>
                <string>com.example.profileservice.scep</string>
            </dict>
        </array>
    </dict>
</plist>