構成プロファイルリファレンス

構成プロファイル(XMLファイル)を使って構成情報を配信できます。多数のデバイスの構成作業を一括して行う、独自の電子メール設定やネットワーク設定をまとめて実施する、多数のデバイスの認証を行う、などの目的に有用です。

構成プロファイルには次のような多数の設定項目があります。

構成プロファイルはプロパティリスト形式で記述され、Data値はBase64でエンコードして格納します。.plist形式の読み書きはどのようなXMLライブラリでも可能です。

構成プロファイルの配布方法は5通りあります。

iOSとmacOSは、どちらも暗号化を使用してプロファイルの内容を保護します。署名を施してデータの整合性を保証することも可能です。暗号化されたプロファイルの配布について詳しくは、『無線経由のプロファイル配信と構成』を参照してください。

デバイスは、Apple Configurator(iOS 5以降)やDevice Enrollment Program(iOS 7以降)で配備用として準備する際、監視の対象にすることができます。Apple Configuratorの詳細については、「Apple Configurator」のMac App Storeに関する説明を参照してください。

Device Enrollment Program(DEP)の一般的な情報については、Appleの「Corporate-owned deployments made simple」または「IT in Education」を参照してください。詳細については、「Apple Deployment Programヘルプ」を参照してください。

そのとき、構成プロファイルを使えば、より多くの設定事項が制御可能です。この資料では、プロファイルで使用可能なキーを説明し、実際に作成したXMLペイロードの例を示します。

構成プロファイルキー

構成プロファイルはプロパティリスト形式で、その最上位には次のようなキーがあります。

キー

内容

PayloadContent

配列

必要な場合のみ。ペイロード辞書の配列。IsEncryptedがtrueの場合は存在しません。

PayloadDescription

文字列

必要な場合のみ。プロファイルの説明。これが「Detail」画面に表示されます。このプロファイルをインストールするべきか、ユーザが判断できるように記述してください。

PayloadDisplayName

文字列

必要な場合のみ。(人が読める形の)プロファイル名。これが「Detail」画面に表示されます。一意的でなくても構いません。

PayloadExpirationDate

日付

必要な場合のみ。プロファイルが期限切れになり、無線接続を介して更新できるようになる日付。このキーはワイヤレスプロファイル配送機能を利用する場合にのみ使います。

PayloadIdentifier

文字列

プロファイルの特定に用いる、逆DNS形式の識別子(たとえば「com.example.myprofile」)。新しいプロファイルが渡されたとき、既存のプロファイルを置き換えるか、新たに追加するかを判断するために使います。

PayloadOrganization

文字列

必要な場合のみ。このペイロードを提供する組織名。人が読める形の文字列で指定します。

PayloadUUID

文字列

プロファイルを特定する汎用一意識別子(UUID、Universally Unique IDentifier)。実際の中身は何でも構いませんが、世界全体で一意な識別子でなければなりません。macOSでは、uuidgenを使って生成できます。

PayloadRemovalDisallowed

ブール型

必要な場合のみ。監視対象のみ。このキーが存在し値がtrueであれば、ユーザはプロファイルを削除できません(削除パスワードが設定されており、ユーザがそれを知っている場合を除く)。

PayloadType

文字列

設定可能な値は「Configuration」に限ります。

PayloadVersion

数値

プロファイル形式のバージョン番号。構成プロファイル全体のバージョンを表します。プロファイルに含まれる個々のペイロードのバージョンではありません。

現状では、常に1を指定してください。

PayloadScope

文字列

必要な場合のみ。プロファイルのインストール先(システム用、ユーザ用)を表します。多くの場合、証明項目の場所(キーチェーンなど)もこれによって決まります。個々に異なるペイロードスコープを宣言することはできませんが、VPNなどのペイロードは、必要に応じて自動的に、両方のスコープにインストールすることがあります。

SystemUserのいずれかを指定します(Userがデフォルト値)。

設定可能なバージョン:macOS 10.7以降。

RemovalDate

date

必要な場合のみ。プロファイルを自動的に削除する日付。

DurationUntilRemoval

float

必要な場合のみ。プロファイルを自動削除するまでの時間(秒単位)。RemovalDateキーも存在する場合、早い方の日付を使います。

ConsentText

辞書

必要な場合のみ。辞書には、次のキーと値が含まれます。

  • 同意またはライセンス契約が得られる各言語の場合、キーはその言語のIETF BCP 47識別子(enjpなど)で構成され、値はその言語にローカライズされた契約で構成されます。契約はダイアログに表示されます。ユーザはプロファイルのインストールを始める前にこれに同意する必要があります。

  • オプションのキーであるdefaultには、ローカライズされていない契約(通常はen)の値が構成されます。

システムはローカライズした版を、ユーザが指定した環境設定の順序(macOSの場合)、またはユーザが設定した言語(iOSの場合)にもとづいて選択します。完全一致するロケールがなければ、デフォルトのロケールを適用します。デフォルトのロケールの設定がなければ、enを適用します。さらに、enロケールもなければ、最初に見つかったロケールを適用するようになっています。

可能な場合にはデフォルト値を設定する必要があります。ユーザのロケール設定に合致するキーがConsentText辞書にない場合でも、警告が表示されることはありません。

ペイロード辞書のキーについては次節で説明します。

どのペイロードにも共通なペイロード辞書のキー

PayloadContent値がペイロードに与えられていれば、配列の各要素は、構成ペイロードを表す辞書になります。以下のキーはどのペイロードにも共通です。

キー

内容

PayloadType

文字列

ペイロードの型。詳しくは、「ペイロード特有のプロパティキー」を参照してください。

PayloadVersion

数値

個々のペイロードのバージョン番号。

プロファイルには異なるバージョンのペイロードが混在していても構いません。たとえば、iOSのVPNソフトウェアに新しいバージョンのペイロードを組み込んで新機能に対応する一方、電子メールに関するペイロードは従来のままにしておく、といったことが可能です。

PayloadIdentifier

文字列

当該ペイロードの特定に用いる、逆DNS形式の識別子。通常、ルートレベルのPayloadIdentifier値と同じ識別子に、追加要素を付加して指定します。

PayloadUUID

文字列

ペイロードを特定する汎用一意識別子。実際の中身は何でも構いませんが、世界全体で一意な識別子でなければなりません。macOSでは、uuidgenを使って生成できます。

PayloadDisplayName

文字列

(人が読める形の)ペイロード名。これが「Detail」画面に表示されます。一意的でなくても構いません。

PayloadDescription

文字列

必要な場合のみ。このペイロードの説明。人が読める形の文字列で指定します。これが「Detail」画面に表示されます。

PayloadOrganization

文字列

必要な場合のみ。このペイロードを提供する組織名。人が読める形の文字列で指定します。

プロファイル全体を提供する組織とは同じでなくても構いません。

ペイロード特有のプロパティキー

標準的なペイロードキー(「どのペイロードにも共通なペイロード辞書のキー」を参照)に加え、個々のペイロード型に特有のキーもあります。以下、ペイロード特有のキーについて説明します。

「Active Directory Certificate」プロファイルペイロード

「Active Directory Certificate」プロファイルペイロードは、PayloadType値としてcom.apple.ADCertificate.managedを与えることにより指定します。

DCE/RPCおよび「Active Directory Certificate」プロファイルペイロードのキーを使って、Microsoft認証局(CA)に証明書を要求することができます(support.apple.com/kb/HT5357を参照)。

このペイロードには、次の一意のキーが含まれます。

キー

AllowAllAppsAccess

ブール型

trueならば、アプリケーションはプライベートキーにアクセスできます。

CertServer

文字列

CAを発行しているActive Directoryの完全修飾ホスト名。

CertTemplate

文字列

証明書テンプレートにあるMicrosoft管理コンソールスナップインコンポーネントの、テンプレートオブジェクトの[一般]タブに表示されるテンプレート名。

CertificateAcquisitionMechanism

文字列

一般的には「RPC」です。"Web登録"を使用する場合は「HTTP」です。

CertificateAuthority

文字列

CAの名前。この値は、Active Directoryの共通名(CN)によって決定されます。CN=<自分のCA名>、CN='証明機関', CN='公開鍵サービス', CN='サービス'、またはCN='構成', <ドメインの基本名>となります。

CertificateRenewalTimeInterval

整数

証明書の有効期限が切れる何日前に、通知センターからユーザに知らせるかを指定します。

Description

文字列

証明書IDのわかりやすい説明。

KeyIsExtractable

ブール型

trueならば、秘密鍵をエクスポートできます。

PromptForCredentials

ブール型

プロファイルの配布方法として手動ダウンロードが選択されている場合のみ、ユーザ証明書に適用されます。trueならば、プロファイルのインストール時に資格情報の入力が求められます。コンピュータ証明書の場合は、このキーを省略します。

Keysize

整数

必要な場合のみ。デフォルト値は2048です。証明書署名要求(CSR)のRSAキーのサイズ。

設定可能なバージョン:macOS 10.11以降。

「AirPlay」ペイロード

「AirPlay」ペイロードは、PayloadTypeの値としてcom.apple.airplayを与えることにより指定します。

このペイロードは、iOS 7.0以降、macOS 10.10以降でのみ使えます。

キー

Whitelist

辞書の配列

必要な場合のみ。監視対象のみ(それ以外の場合は無視)。指定されている場合、このリストに列挙されているAirPlayデスティネーションにのみ接続できます。

辞書の形式については後述。

Passwords

辞書の配列

必要な場合のみ。指定があれば、既知のAirPlayデスティネーションにパスワードを設定します。辞書の形式については後述。

Whitelistは辞書の配列で、それぞれの辞書には次のフィールドがあります。

キー

DeviceID

文字列

AirPlayデスティネーションのデバイスID。「xx:xx:xx:xx:xx:xx」という形式です。大文字と小文字は区別されません。

Passwordsは辞書の配列で、それぞれの辞書には次のフィールドがあります。

キー

DeviceName

文字列

AirPlayデスティネーションの名前(iOSで使用)。

DeviceID

文字列

AirPlayデスティネーションのDeviceID(macOSで使用)。

Password

文字列

AirPlayデスティネーションに用いるパスワード。

「AirPrint」ペイロード

「AirPrint」ペイロードには、ユーザのAirPrintプリンタリストに、AirPrintプリンタを追加する働きがあります。プリンタとデバイスが異なるサブネット上にある場合でも容易に対応できます。「AirPrint」ペイロードは、PayloadTypeの値としてcom.apple.airprintを与えることにより指定します。

このペイロードは、iOS 7.0以降、macOS 10.10以降でのみ使えます。

キー

AirPrint

辞書の配列

常に可視であるべきAirPrintプリンタの配列。

AirPrint配列内のそれぞれの辞書には、次のキーと値を設定する必要があります。

キー

IPAddress

文字列

AirPrintデスティネーションのIPアドレス。

ResourcePath

文字列

プリンタに対して付与したリソースパス。_ipps.tcpのBonjourレコードのrpパラメータに対応します。以下に例を示します。

  • printers/Canon_MG5300_series

  • printers/Xerox_Phaser_7600

  • ipp/print

  • Epson_IPP_Printer

「APN」ペイロード

「APN(Access Point Name)」ペイロードは、PayloadTypeの値としてcom.apple.apn.managedを与えることにより指定します。

iOS 7以降、「APN」ペイロードは非推奨になりました。代わりに「Cellular」ペイロードを使ってください。

「APN」ペイロードは、macOSではサポートされません。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

DefaultsData

辞書

この辞書にはキーと値の組が2つあります。

DefaultsDomainName

文字列

値は「com.apple.managedCarrier」に固定です。

apns

配列

この配列には辞書をいくつでも指定できます。各辞書には、AP設定と、キー/値の組を記述します。

apn

文字列

APN(アクセスポイント名、Access Point Name)を指定します。

username

文字列

このAPNのユーザ名を指定します。指定がなければ、プロファイルのインストール時に尋ねられます。

password

データ

必要な場合のみ。このAPNのユーザのパスワードを表します。うっかり他人が見てしまうことを避けるため、エンコードを施してあります。指定がなければ、プロファイルのインストール時に入力を求められます。

Proxy

文字列

必要な場合のみ。APNプロキシのIPアドレスまたはURL。

ProxyPort

数値

必要な場合のみ。APNプロキシのポート番号。

「Per-App VPN」ペイロード

「Per-App VPN」ペイロードはアドオンVPNソフトウェアの設定に使います。これは「VPN」型のVPNサービスにのみ適用されます。「「VPN」ペイロード」で説明する、標準の「VPN」ペイロードと混同しないようにしてください。

このペイロードは、iOS 7.0以降、macOS v10.9以降でのみ使えます。

「VPN」ペイロードは、PayloadTypeの値としてcom.apple.vpn.managed.applayerを与えることにより指定します。「Per-App VPN」ペイロードには、「「VPN」ペイロード」に示すキーに加え、次のキーを設定できます。

キー

VPNUUID

文字列

このVPN構成を識別する、全世界で一意的な識別子。「Per-App VPN」サービスがあらゆるネットワーク通信に使えるよう、アプリケーションを設定するために使います。「「App-to-Per-App VPN Mapping」ペイロード」を参照してください。

SafariDomains

配列

(必要な場合のみ)。「App-to-Per App VPN Mapping」の特別な場合に当たります。Safari(Webkit)用のアプリケーションマッピングを、特別な識別子で設定します。この場合に特有の要件があります。

文字列の配列。各文字列は、SafariでこのVPN接続を行うドメインを表します。次のように照合していきます。

  • ホスト名との照合に先立ち、ドメイン文字列の先頭や末尾にあるドットをすべて削除します。たとえば、ドメイン文字列が「".com"」であれば、「"com"」と照合することになります。

  • ドメイン文字列の各ラベルが、ホスト文字列のラベル全体と一致しなければなりません。たとえば、"example.com"のドメインは"www.example.com"と一致しますが、"foo.badexample.com"とは一致しません。

  • ドメイン文字列のラベルが1つだけであれば、ホスト文字列全体と一致する必要があります。たとえば、"com"のドメインは"com"と一致しますが、"www.example.com"とは一致しません。

OnDemandMatchAppEnabled

ブール型

このキーはVPNペイロードのサブ辞書に記述します。

trueであれば、この「Per-App VPN」サービスにリンクしたアプリケーションがネットワーク通信を開始すると、自動的に「Per-App VPN」接続が始まります。

falseの場合は、事前に手動で「Per-App VPN」接続を行わなければなりません。

このキーの指定がなければ、OnDemandEnabledキーの値にもとづいて「Per-App VPN On Demand」の状態を判断します。

VPN辞書キー

com.apple.vpn.managedペイロードで定義されたVPN辞書キー以外に、com.apple.vpn.managed.applayerペイロード内のVPN辞書にも次のキーが含まれることもあります。

キー

ProviderType

文字列

必要な場合のみ。packet-tunnelapp-proxyのいずれか。デフォルト値はapp-proxyです。このキーの値がapp-proxyであれば、VPNサービスはアプリケーションレイヤでトラフィックをトンネルします。このキーの値がpacket-tunnelであれば、VPNサービスはIPレイヤでトラフィックをトンネルします。

「App-to-Per-App VPN Mapping」ペイロード

「App-to-Per-App mapping」ペイロードは、PayloadTypeの値としてcom.apple.vpn.managed.appmappingを与えることにより指定します。

このペイロードは、macOS 10.9以降でのみサポートされています。iOSではサポートされません。

キー

AppLayerVPNMapping

辞書の配列

マッピング辞書の配列。

配列内のそれぞれの辞書には、次のキーを含めることができます。

キー

Identifier

文字列

アプリケーションのバンドルID。

VPNUUID

文字列

「Per-App VPN」ペイロードで定義されている、Per-App VPNのVPNUUID。

「App Lock」ペイロード

「App Lock」ペイロードは、PayloadTypeの値としてcom.apple.app.lockを与えることにより指定します。このペイロードを同時に複数設定することはできません。また、監視対象デバイスにしかインストールできません。

「App Lock」ペイロードをインストールすると、削除するまでの間、デバイスは単一のアプリケーションしか使えないようロックされます。「Home」ボタンが無効になり、デバイスのウェイクアップ/リブート時には、自動的に所定のアプリケーションに戻ります。

このペイロードは、iOS 6.0以降でのみサポートされています。

ペイロードには次のキーがあります。

キー

App

辞書

アプリケーションに関する情報を収容した辞書。

App辞書には次のキーがあります。

キー

Identifier

文字列

アプリケーションのバンドル識別子。

Options

辞書

必要な場合のみ。後述。

設定可能なバージョン: iOS 7.0以降。

UserEnabledOptions

辞書

必要な場合のみ。後述。

設定可能なバージョン: iOS 7.0以降。

Options辞書がある場合、次のキーに対する値を設定できます(iOS 7.0以降)。

キー

DisableTouch

ブール型

必要な場合のみ。trueならば、タッチスクリーンは無効。デフォルト値はfalseです。tvOS 10.2以降で利用できます。

DisableDeviceRotation

ブール型

必要な場合のみ。trueならば、デバイスの回転検出は無効。デフォルト値はfalseです。

DisableVolumeButtons

ブール型

必要な場合のみ。trueならば、音量ボタンは無効。デフォルトはfalse

DisableRingerSwitch

ブール型

必要な場合のみ。trueならば、リンガスイッチは無効。デフォルト値はfalseです。

無効にした場合のリンガの動作は、最初に無効にした時点のスイッチの状態に依存。

DisableSleepWakeButton

ブール型

必要な場合のみ。trueならば、「スリープ/スリープ解除」ボタンは無効。デフォルト値はfalseです。

DisableAutoLock

ブール型

必要な場合のみ。trueならば、アイドル時間が経過しても自動的にはスリープ状態に移行しません。tvOS 10.2以降で利用できます。

EnableVoiceOver

ブール型

必要な場合のみ。trueならば、VoiceOverがオン。デフォルト値はfalseです。tvOS 10.2以降で利用できます。

EnableZoom

ブール型

必要な場合のみ。trueならば、「ズーム機能」がオン。デフォルト値はfalseです。tvOS 10.2以降で利用できます。

EnableInvertColors

ブール型

必要な場合のみ。trueならば、「色の反転」がオン。デフォルト値はfalseです。tvOS 10.2以降で利用できます。

EnableAssistiveTouch

ブール型

必要な場合のみ。trueならば、AssistiveTouch(画面タッチで操作する身体機能サポート)がオン。デフォルト値はfalseです。

EnableSpeakSelection

ブール型

必要な場合のみ。trueならば、Speak Selection(読み上げ機能)がオン。デフォルト値はfalseです。

EnableMonoAudio

ブール型

必要な場合のみ。trueならば、「モノラルオーディオ」がオン。デフォルト値はfalseです。

UserEnabledOptions辞書がある場合、次のキーに対する値を設定できます(iOS 7.0以降)。

キー

VoiceOver

ブール型

必要な場合のみ。trueならば、VoiceOverの調整が可能。デフォルト値はfalseです。

Zoom

ブール型

必要な場合のみ。trueならば、ズーム調整が可能。デフォルト値はfalseです。

InvertColors

ブール型

必要な場合のみ。trueならば、「色の反転」の調整が可能。デフォルト値はfalseです。

AssistiveTouch

ブール型

必要な場合のみ。trueならば、AssistiveTouchの調整が可能。デフォルト値はfalseです。

「AppStore」ペイロード

「AppStore」ペイロードは、PayloadTypeの値としてcom.apple.app.appstoreを与えることにより指定します。macOS AppStore での制約を確立し、ユーザチャネルでサポートされています。

ペイロードには次のキーがあります。

キー

restrict-store-require-admin-to-install

ブール型

必要な場合のみ。アプリケーションのインストールを管理者ユーザに制限します。macOS 10.9以降で利用できます。

restrict-store-softwareupdate-only

ブール型

必要な場合のみ。アプリケーションのインストールをソフトウェアアップデートのみに制限します。macOS 10.10以降で利用できます。

restrict-store-disable-app-adoption

ブール型

必要な場合のみ。ユーザによるアプリケーションの導入を無効にします。macOS 10.10以降で利用できます。

DisableSoftwareUpdateNotifications

ブール型

必要な場合のみ。ソフトウェアアップデート通知を無効にします。macOS 10.10以降で利用できます。

restrict-store-mdm-install -softwareupdate-only

ブール型

必要な場合のみ。アプリケーションのインストールをMDMインストールされたアプリケーションとソフトウェアアップデートに制限します。macOS 10.11以降で利用できます。

「CalDAV」ペイロード

CalDAVアカウントを設定します。

このペイロードは、PayloadTypeの値としてcom.apple.caldav.accountを与えることにより指定します。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

CalDAVAccountDescription

文字列

必要な場合のみ。アカウントの説明。

CalDAVHostName

文字列

サーバアドレス。

macOSでは、このキーは必須項目です。

CalDAVUsername

文字列

ユーザのログイン名。

macOSでは、このキーは必須項目です。

CalDAVPassword

文字列

必要な場合のみ。ユーザのパスワード。

CalDAVUseSSL

ブール型

SSLを使うか否か。

macOSでは、このキーは必要に応じて設定します。

CalDAVPort

数値

必要な場合のみ。サーバへの接続に用いるポート番号。

CalDAVPrincipalURL

文字列

必要な場合のみ。ユーザのカレンダーを指すベースURL。macOSで、ユーザがパスワードを入力しなかったとき、このURLが必要になります。サービスの自動探索に失敗し、アカウントが生成されないからです。

「Calendar Subscription」ペイロード

「Calendar Subscription」ペイロードは、PayloadTypeの値としてcom.apple.subscribedcalendar.accountを与えることにより指定します。

予約したカレンダーをユーザのカレンダーリストに追加する働きがあります。

「Calendar Subscription」ペイロードは、macOSではサポートされません。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

SubCalAccountDescription

文字列

必要な場合のみ。アカウントの説明。

SubCalAccountHostName

文字列

サーバアドレス。

SubCalAccountUsername

文字列

ユーザのログイン名。

SubCalAccountPassword

文字列

ユーザのパスワード。

SubCalAccountUseSSL

ブール型

SSLを使うか否か。

「CardDAV」ペイロード

「CardDAV」ペイロードは、PayloadTypeの値としてcom.apple.carddav.accountを与えることにより指定します。

macOS v10.8以降、「Identification」ペイロードがあれば、そこから「CardDAVUsername」や「CardDAVPassword」の設定を取得するようになりました。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

CardDAVAccountDescription

文字列

必要な場合のみ。アカウントの説明。

CardDAVHostName

文字列

サーバアドレス。

CardDAVUsername

文字列

ユーザのログイン名。

CardDAVPassword

文字列

必要な場合のみ。ユーザのパスワード。

CardDAVUseSSL

ブール型

必要な場合のみ。SSLを使うか否か。

CardDAVPort

数値

必要な場合のみ。サーバへの接続に用いるポート番号。

CardDAVPrincipalURL

文字列

必要な場合のみ。macOSでは対応していません。ユーザのアドレス帳を指すベースURL。

「Cellular」ペイロード

「Cellular」ペイロードは、デバイスの携帯電話ネットワーク設定を構成します。macOSではサポートされません。「cellular」ペイロードは、PayloadTypeの値としてcom.apple.cellularを与えることにより指定します(iOS 7以降)。このペイロードをインストールするための重要な要件が2つあります。

  • このペイロードを同時に複数インストールすることはできません。

  • 「APN」ペイロードがインストール済みであれば、このペイロードはインストールできません。

これはcom.apple.managedCarrierペイロード(互換性のために残っているが非推奨)に代わるものです。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

AttachAPN

辞書

必要な場合のみ。AttchAPN設定辞書(後述)。

APNs

配列

必要な場合のみ。APN辞書の配列(後述)。現在は先頭エントリのみ使用。

AttchAPN辞書には次のキーに対する値を設定できます。

キー

Name

文字列

必須。アクセスポイント名。

AuthenticationType

文字列

必要な場合のみ。CHAPまたはPAPのどちらかが必要です。デフォルト値はPAPです。

Username

文字列

必要な場合のみ。認証に用いるユーザ名。

Password

文字列

必要な場合のみ。認証に用いるパスワード。

APN辞書には次のキーに対する値を設定できます。

キー

Name

文字列

必須。アクセスポイント名。

AuthenticationType

文字列

必要な場合のみ。CHAPまたはPAPのどちらかが必要です。デフォルト値はPAPです。

Username

文字列

必要な場合のみ。認証に用いるユーザ名。

Password

文字列

必要な場合のみ。認証に用いるパスワード。

ProxyServer

文字列

必要な場合のみ。プロキシサーバのネットワークアドレス。

ProxyServerPort

数値

必要な場合のみ。プロキシサーバのポート。

DefaultProtocolMask

数値

非推奨。デフォルトインターネットプロトコルのバージョン。AllowedProtocolMaskと同じ値に設定します。設定できる値は、1 = IPv4、2 = IPv6、3 = 両方です。

設定可能なバージョン:iOS 10.3以降。

AllowedProtocolMask

数値

必要な場合のみ。サポートされるインターネットプロトコルのバージョン。設定できる値は、1 = IPv4、2 = IPv6、3 = 両方です。

設定可能なバージョン:iOS 10.3以降。

AllowedProtocolMaskInRoaming

数値

必要な場合のみ。ローミング中にサポートされるインターネットプロトコルのバージョン。設定できる値は、1 = IPv4、2 = IPv6、3 = 両方です。

設定可能なバージョン:iOS 10.3以降。

AllowedProtocolMaskInDomesticRoaming

数値

必要な場合のみ。国内ローミング中にサポートされるインターネットプロトコルのバージョン。設定できる値は、1 = IPv4、2 = IPv6、3 = 両方です。

設定可能なバージョン:iOS 10.3以降。

「Certificate」ペイロード

「Certificate」ペイロードのPayloadTypeは、次のいずれかでなければなりません。

ペイロードの型

コンテナ形式

証明書の種類

com.apple.security.root

PKCS#1(.cer)

com.apple.security.pkcs1の別名。

com.apple.security.pkcs1

PKCS#1(.cer)

DER-エンコードした証明書(秘密鍵なし)。ルート証明書を収容可。

com.apple.security.pem

PKCS#1(.cer)

PEM-エンコードした証明書(秘密鍵なし)。ルート証明書を収容可。

com.apple.security.pkcs12

PKCS#12(.p12)

パスワードで保護されたID証明書。1件の証明書のみ収容可。

どのペイロードにも共通の設定項目に加え、「Certificate」ペイロードにはすべて、次のようなキーが定義されています。

キー

PayloadCertificateFileName

文字列

必要な場合のみ。収容されている証明書のファイル名。

PayloadContent

データ

必須。ペイロードのBase64表現(行の長さ52)。

Password

文字列

必要な場合のみ。PKCS#12証明書の場合、IDを保護するためのパスワード。

「Certificate Preference」ペイロード

macOS 10.12以降で利用できます。「Certificate Preference」ペイロードを使用すると、ユーザのキーチェーンで同じプロファイルに含まれる証明書のペイロードを参照する証明書プリファレンス項目を特定できます。これはユーザプロファイルのみに表示され、デバイスプロファイルには表示されません。「Certificate Preference」ペイロードは、必要に応じていくつでも設定できます。「Certificate Preference」ペイロードは、PayloadTypeの値としてcom.apple.security.certificatepreferenceを与えることにより指定します。識別プリファレンスの詳細については、「「Identity Preference」ペイロード」も参照してください。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

Name

文字列

必須。推奨される証明書が要求される電子メールアドレス(RFC822)またはその他の名前。

PayloadCertificateUUID

文字列

証明書がインストールされている同じプロファイル内の他のペイロードのUUID(「com.apple.security.root」ペイロードなど)。

「Conference Room Display」ペイロード

「Conference Room Display」ペイロードは、PayloadTypeの値としてcom.apple.conferenceroomdisplayを与えることにより指定します。

Apple TVを会議室のディスプレイモードに設定し、このモードからの終了を制限します。tvOS 10.2以降を実行している監視対象のデバイスでサポートされます。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

メッセージ

文字列

必要な場合のみ。会議室のディスプレイモードで画面に表示されるカスタムメッセージ。

「Desktop」ペイロード

「Desktop」ペイロードは、PayloadTypeの値としてcom.apple.desktopを与えることにより指定します。

このペイロードは、macOSのデスクトップ設定と制限を設定します。macOS 10.10以降のユーザチャネルでサポートされます。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

locked

ブール型

必要な場合のみ。trueならば、デスクトップピクチャがロックされます。デフォルト値はfalseです。

override-picture-path

文字列

必要な場合のみ。指定されている場合、デスクトップピクチャへのパスを設定します。

「Dock」ペイロード

「Dock」ペイロードは、PayloadTypeの値としてcom.apple.dockを与えることにより指定します。

「Dock」ペイロードは、AllowDockFixupOverrideを除いて、すべてのバージョンのmacOSのユーザチャネルでサポートされています。AllowDockFixupOverrideキーは、macOS 10.12以降でサポートされています。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

orientation

文字列

必要な場合のみ。Dockの向き値は、bottomleft、またはrightになります。

position-immutable

ブール型

必要な場合のみ。trueならば、位置がロックされます。

autohide

ブール型

必要な場合のみ。trueならば、Dockの表示/隠すが自動的に行われます。

autohide-immutable

ブール型

必要な場合のみ。trueならば、「自動的に隠す」チェックボックスが無効になります。

minimize-to-application

ブール型

必要な場合のみ。trueならば、minimize-to-application機能が有効になります。

minimize-to-application -immutable

ブール型

必要な場合のみ。trueならば、「minimize-to-application」チェックボックスが無効になります。

magnification

ブール型

必要な場合のみ。trueならば、Dockの拡大がアクティブになります。

magnify-immutable

ブール型

必要な場合のみ。trueならば、「拡大」チェックボックスが無効になります。

largesize

数値

必要な場合のみ。拡大の最大サイズです。値は16〜128の範囲である必要があります。

magsize-immutable

ブール型

必要な場合のみ。trueならば、拡大つまみが無効になります。

show-process-indicators

ブール型

必要な場合のみ。trueならば、プロセスインジケータが表示されます。

launchanim

ブール型

必要な場合のみ。trueならば、起動中のアプリケーションがアニメーションで表示されます。

launchanim-immutable

ブール型

必要な場合のみ。trueならば、「起動中のアプリケーションをアニメーションで表示」チェックボックスが無効になります。

mineffect

文字列

必要な場合のみ。「しまうときのエフェクト」を設定します。値は、genieまたはscaleになります。

mineffect-immutable

ブール型

必要な場合のみ。trueならば、「しまうときのエフェクト」ポップアップが無効になります。

tilesize

数値

必要な場合のみ。タイルサイズ。値は16〜128の範囲である必要があります。

size-immutable

ブール型

必要な場合のみ。trueならば、「サイズつまみ」が無効になります。

MCXDockSpecialFolders

文字列の配列

必要な場合のみ。ユーザのログイン時に作成されDockに配置されることのある特殊なフォルダです。値は、AddDockMCXMyApplicationsFolderAddDockMCXDocumentsFolderAddDockMCXSharedFolder、またはAddDockMCXOriginalNetworkHomeFolderになります。「マイアプリケーション」項目は、シンプルFinder環境でのみ使用されます。「オリジナルのネットワークホーム」項目は、モバイルアカウントユーザでのみ使用されます。

AllowDockFixupOverride

ブール型

必要な場合のみ。trueならば、新規ユーザまたは移行ユーザのログイン時に、/Library/Preferences/ com.apple.dockfixup.plistにあるファイルを使用します。このファイルの形式については、現在のところドキュメントがありません。このオプションは既存のユーザに対しては何の効果もありません。

static-only

ブール型

必要な場合のみ。trueならば、デバイスはDockでstatic-apps辞書とstatic-others辞書を使用し、persistent-apps辞書およびpersistent-others辞書にある項目をすべて無視します。falseならば、コンテンツは最初にリストされるstatic項目と結合されます。

static-others

辞書の配列

必要な場合のみ。「書類」側にあるDock項目はDockから削除できません。

static-apps

辞書の配列

必要な場合のみ。「アプリケーション」側にあるDock項目はDockから削除できません。

contents-immutable

ブール型

必要な場合のみ。trueならば、ユーザはDockに対して項目を追加することも削除することもできません。

static-others辞書とstatic-apps辞書には次のキーに対する値を設定できます。

キー

tile-data

辞書

必須。Dock項目についての情報。

tile-type

文字列

必須。タイルの種類。値は、file-tiledirectory-tile、またはurl-tileになります。ファイル項目がファイルなのか辞書なのか不明な場合は、このキーをfile-tileに設定します。

tile-data辞書には次のキーに対する値を設定できます。

キー

label

文字列

必須。Dock項目のラベル。

url

文字列

必要な場合のみ。URLタイルの場合は、URL文字列。

file-type

数値

必須。数字で表されたタイルの種類。3 = directory、0 = URL、1 = file

「Education Configuration」ペイロード

「Education Configuration」ペイロードは、PayloadTypeの値として、com.apple.educationを与えることにより指定します。このペイロードには、監視対象となるペイロードを1つだけ含めることができます。ユーザチャネルではサポートされていません。

「Education Configuration」ペイロードは、教育機関内のユーザ、グループ、部署を定義します。iOS 9.3以降でサポートされています。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

OrganizationUUID

文字列

必須。組織のUUID識別子。有効な任意のUUIDを設定できます。互いに通信する必要のあるすべての教師デバイスと生徒デバイスには、特にこれらのデバイスが異なるDevice Enrollment Program(DEP)に由来する場合、同じOrganizationUUIDを設定する必要があります。

OrganizationName

文字列

必須。組織の表示名。この名前はiOSログイン画面に表示されます。

PayloadCertificateUUID

文字列

必須。固有名証明書のペイロードのUUID。他のデバイスのクライアント認証の実行に使用されます。

LeaderPayloadCertificateAnchorUUID

配列

必要な場合のみ。「Certificate」ペイロードを参照するUUIDの配列。リーダーピア証明書のIDを認証するために使用されます。この配列には、信頼チェーン全体を検証するために必要なすべての証明書が含まれている必要があります。リーダーの証明書には、名前に共通の接頭辞であるleader(大文字と小文字は区別しません)を使用している必要があります。

MemberPayloadCertificateAnchorUUID

配列

必要な場合のみ。「Certificate」ペイロードを参照するUUIDの配列。グループメンバーピア証明書のIDを認証するために使用されます。この配列には、信頼チェーン全体を検証するために必要なすべての証明書が含まれている必要があります。メンバーの証明書には、名前に共通の接頭辞であるmember(大文字と小文字は区別しません)を使用している必要があります。

UserIdentifier

文字列

必要な場合のみ。組織内でこのデバイスのユーザを識別する、一意の文字列。

Departments

配列

必要な場合のみ。Shared:iOSログインウィンドウに表示される、部署を定義する辞書の配列。

Leader:クラスルームアプリケーションに表示される、部署を定義する辞書の配列。

Groups

配列

必須。Shared:ユーザがログインウィンドウで選択できるグループを定義する辞書の配列。

Leader:ユーザがコントロールできるグループを定義する辞書の配列。

Member:ユーザがメンバーとなっているグループを定義する辞書の配列。

Users

配列

必須。Shared:iOSログインウィンドウに表示される、ユーザを定義する辞書の配列。

Leader:リーダーのグループのメンバーであるユーザを定義する辞書の配列。

Member:UserIdentifierキーで指定されるユーザの定義を含む辞書の配列。

1人1台のメンバーのデバイスでは、このキーにはデバイスユーザとリーダーのみが含まれ、クラスの他のメンバーを含むことはできません。

DeviceGroups

配列

必要な場合のみ。Leader:リーダーがデバイスを割り当てることができるデバイスグループを定義する辞書の配列。このキーはメンバーのペイロードには含まれません。

ScreenObservation- PermissionModification- Allowed

ブール型

必要な場合のみ。trueならば、管理対象クラスに登録している学生は、自分の教師の画面監視の許可をこのデバイスで変更できます。デフォルト値はfalseです。

Departmentキーには、次のキーと値のペアを含む辞書の配列が必要です。

キー

内容

Name

文字列

必須:部署の表示名。

GroupBeaconIDs

配列

必須:この部署のメンバーであるグループビーコンID。

Groupsキーには、次のキーと値のペアを含む辞書の配列が必要です。

キー

内容

BeaconID

数値

必須:このグループの一意のビーコンIDを指定する、符号なし16ビット整数。

Name

文字列

必須:グループの表示名。

Description

文字列

必要な場合のみ:グループの説明。

ImageURL

文字列

iOS 9.3.1以降では非推奨。グループの画像のURL。

ConfigurationSource

文字列

必要な場合のみ:このグループを指定するソース(iTunesU、SIS、MDMなど)。

LeaderIdentifiers

配列

必要な場合のみ:このグループのリーダーのユーザID。

MemberIdentifiers

配列

必須:このグループのメンバーのUsers配列のエントリを参照する文字列。

DeviceGroupIdentifiers

配列

必須:DeviceGroup配列のエントリを参照するID文字列。講師がこのクラスからユーザに割り当てることができるデバイスグループを指します。

Usersキーには、次のキーと値のペアを含む辞書の配列が必要です。

キー

内容

Identifier

文字列

必須:組織内のユーザを一意に識別します。

Name

文字列

必須:ユーザの名前として表示されます。

GivenName

文字列

必要な場合のみ:ユーザの名前として表示されます。

FamilyName

文字列

必要な場合のみ:ユーザの姓として表示されます。

ImageURL

文字列

必要な場合のみ:ユーザの画像を指すURLを格納した文字列。この画像はiOSログイン画面とクラスルームアプリケーションに表示されます。推奨する解像度は256×256ピクセル(2xデバイスでは512×512ピクセル)です。推奨する形式は、JPEG、PNG、TIFFです。ResourcePayloadCertificateUUID固有名証明書またはMDMクライアントIDは、画像を取得する際の認証に使用されます。

FullScreenImageURL

文字列

iOS 9.3.1以降では非推奨。ユーザの画像を指すURL。ResourcePayloadCertificateUUID固有名証明書またはMDMクライアントIDは、指定のリソースを取得する際の認証に使用されます。

AppleID

文字列

必要な場合のみ:このユーザの管理対象AppleID。

PasscodeType

文字列

必要な場合のみ:ログインウィンドウが表示されたときに表示されるパスコードUI。可能な値は、complexfoursixです。

DeviceGroupsキーには、次のキーと値のペアを含む辞書の配列が必要です。

キー

内容

Identifier

文字列

必須:組織のデバイスグループを一意に識別します。

Name

文字列

必須:デバイスグループの名前を表示します。これは組織内で一意である必要があります。

SerialNumbers

配列

必須:グループ内のデバイスのシリアル番号を含む文字列。

注意:

  • すべてのIDがSSLクライアントとサーバの両方で設定されている必要があります。

  • リーダーの証明書には、名前に共通の接頭辞であるleader(大文字と小文字は区別しません)を使用している必要があります。

  • メンバーの証明書には、名前に共通の接頭辞であるmember(大文字と小文字は区別しません)を使用している必要があります。

「Email」ペイロード

「Email」ペイロードは、PayloadTypeの値としてcom.apple.mail.managedを与えることにより指定します。

これを指定すると、デバイス上に電子メールアカウントが作成されます。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

EmailAccountDescription

文字列

必要な場合のみ。電子メールアカウントの説明を、人が読める形の文字列で指定します。これが「Mail and Settings」アプリケーションに表示されます。

EmailAccountName

文字列

必要な場合のみ。アカウントの完全ユーザ名。送信メッセージなどに埋め込まれます。

EmailAccountType

文字列

指定できる値はEmailTypePOPEmailTypeIMAPのいずれかです。このアカウントが用いるプロトコルを定義します。

EmailAddress

文字列

アカウントの完全電子メールアドレスを指定します。ペイロードに指定がなければ、プロファイルのインストール時に尋ねられます。

IncomingMailServerAuthentication

文字列

受信メールの認証スキームを表します。指定できる値は、EmailAuthPasswordEmailAuthCRAMMD5EmailAuthNTLMEmailAuthHTTPMD5EmailAuthNoneです。

IncomingMailServerHostName

文字列

受信メールサーバのホスト名(またはIPアドレス)を指定します。

IncomingMailServerPortNumber

数値

必要な場合のみ。受信メールサーバのポート番号を指定します。指定しなければ、プロトコルによって決まっているデフォルトのポート番号になります。

IncomingMailServerUseSSL

ブール型

必要な場合のみ。デフォルト値はfalseです。受信メールサーバが認証用にSSLを利用するか否かを指定します。

IncomingMailServerUsername

文字列

電子メールアカウントのユーザ名を指定します。通常は電子メールアドレスの「@」より前の部分と同じです。ペイロードに指定がなく、当該アカウントが受信メールの認証を要すると設定されていれば、プロファイルのインストール時に尋ねられます。

IncomingPassword

文字列

必要な場合のみ。受信メールサーバのパスワード。これが指定されている場合、プロファイルに暗号化を施す必要があります。

OutgoingPassword

文字列

必要な場合のみ。送信メールサーバのパスワード。これが指定されている場合、プロファイルに暗号化を施す必要があります。

OutgoingPasswordSameAsIncomingPassword

ブール型

必要な場合のみ。trueであれば、ユーザがパスワードを尋ねられるのは1度だけで、それ以降は、送信メール、受信メールともにそのパスワードを再利用するようになります。

OutgoingMailServerAuthentication

文字列

送信メールの認証スキームを指定します。指定できる値は、EmailAuthPasswordEmailAuthCRAMMD5EmailAuthNTLMEmailAuthHTTPMD5EmailAuthNoneです。

OutgoingMailServerHostName

文字列

送信メールサーバのホスト名(またはIPアドレス)を指定します。

OutgoingMailServerPortNumber

数値

必要な場合のみ。送信メールサーバのポート番号を指定します。指定がなければ、ポート25、587、465の順に試みます。

OutgoingMailServerUseSSL

ブール型

必要な場合のみ。デフォルト値はfalseです。送信メールサーバが認証用にSSLを利用するか否かを指定します。

OutgoingMailServerUsername

文字列

電子メールアカウントのユーザ名を指定します。通常は電子メールアドレスの「@」より前の部分と同じです。ペイロードに指定がなく、当該アカウントが送信メールの認証を要すると設定されていれば、プロファイルのインストール時に尋ねられます。

PreventMove

ブール型

必要な場合のみ。デフォルト値はfalseです。

trueならば、この電子メールアカウントから別のアカウントにメッセージを移動することはできません。また、メッセージの送信元アカウント以外から、転送や返信をすることも禁じます。

設定可能なバージョン: iOS 5.0以降。

PreventAppSheet

ブール型

必要な場合のみ。デフォルト値はfalseです。

trueならば、Apple Mailアプリケーション以外のアプリケーションではこのアカウントからメールを送信できません。

設定可能なバージョン:iOS 5.0以降。

SMIMEEnabled

ブール型

必要な場合のみ。デフォルト値はfalseです。

trueならば、このアカウントはS/MIMEに対応しています。

設定可能なバージョン:iOS 5.0以降。

SMIMESigningCertificateUUID

文字列

必要な場合のみ。このアカウントから送信するメッセージに署名するために用いる、固有証明書のPayloadUUID

設定可能なバージョン:iOS 5.0以降。

SMIMEEncryptionCertificateUUID

文字列

必要な場合のみ。このアカウントに送信されるメッセージを復号化するために用いる、固有証明書のPayloadUUID

設定可能なバージョン:iOS 5.0以降。

SMIMEEnablePerMessageSwitch

ブール型

必要な場合のみ。trueならば、メッセージごとに署名と暗号化を切り替えられます。デフォルト値はtrueです。

設定可能なバージョン:iOS 8.0以降。

disableMailRecentsSyncing

ブール型

trueならば、このアカウントは「最近使用したアドレス」の同期処理の対象外になります。デフォルト値はfalseです。

設定可能なバージョン:iOS 6.0以降。

allowMailDrop

ブール型

必要な場合のみ。trueならば、このアカウントでMail Dropを使用できます。デフォルト値はfalseです。

設定可能なバージョン:iOS 9.2以降。

「802.1x Ethernet」ペイロード

「802.1x Ethernet」ペイロードは、PayloadTypeの値として次のいずれかを与えることにより指定します。

  • com.apple.firstactiveethernet.managed [デフォルト]

  • com.apple.firstethernet.managed

  • com.apple.secondactiveethernet.managed

  • com.apple.secondethernet.managed

  • com.apple.thirdactiveethernet.managed

  • com.apple.thirdethernet.managed

名前に「active」が含まれるペイロードは、プロファイルのインストール時に動作していたEthernetインターフェイスに適用されます。アクティブに動作中のEthernetが存在しない場合は、com.apple.firstactiveethernet.managedペイロードはサービス順位の優先度が最も高いインターフェイスを構成します。

名前に「active」が含まれないペイロードは、インターフェイスが動作しているか否かにかかわらず、サービス順位に従ってEthernetインターフェイスに適用されます。

現在のところ、BSDサービス指定子はサポートされていません。

特定の802.1xネットワークに対してエンタープライズネットワークを指定するには、「EAPClientConfiguration辞書」に示すように、EAPClientConfigurationキーをペイロードに含めます。

「Exchange」ペイロード

iOSの場合、「Exchange」ペイロードは、PayloadTypeの値としてcom.apple.eas.accountを与えることにより指定します。デバイス上に「Exchange Active Sync」アカウントを設定する働きがあります。

macOSの場合、「Exchange」ペイロードは、PayloadTypeの値としてcom.apple.ews.accountを与えることにより指定します。Contacts、Mail、Notes、Reminders、Calendarで用いる「Exchange Web Services」アカウントを設定する働きがあります。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

iOSとmacOSの両方で利用できます。

EmailAddress

文字列

アカウントの完全電子メールアドレスを指定します。ペイロードに指定がなければ、プロファイルのインストール時に尋ねられます。

macOSでは、このキーは必須項目です。

Host

文字列

Exchangeサーバのホスト名(またはIPアドレス)を指定します。

macOS 10.11以降の場合、このキーは必要に応じて設定します。

SSL

ブール型

必要な場合のみ。デフォルト値はYES。Exchangeサーバが認証用にSSLを利用するか否かを指定します。

UserName

文字列

このExchangeアカウントのユーザ名を指定します。指定がなければ、プロファイルのインストール時に尋ねられます。

macOSでは、このキーは必須項目です。

Password

文字列

必要な場合のみ。アカウントのパスワード。これが指定されている場合、プロファイルに暗号化を施す必要があります。

iOSでのみ設定可

Certificate

NSData blob

必要な場合のみ。証明書を使って認証するアカウントの場合に、NSData blob形式の.p12識別証明書。

CertificateName

文字列

必要な場合のみ。証明書の名前または説明。

CertificatePassword

データ

必要な場合のみ。p12識別証明書に必要なパスワード。これを設定した場合、プロファイルの暗号化が必須。

PreventMove

ブール型

必要な場合のみ。デフォルト値はfalseです。

trueならば、この電子メールアカウントから別のアカウントにメッセージを移動することはできません。また、メッセージの送信元アカウント以外から、転送や返信をすることも禁じます。

設定可能なバージョン: iOS 5.0以降。

PreventAppSheet

ブール型

必要な場合のみ。デフォルト値はfalseです。trueならば、Apple Mailアプリケーション以外のアプリケーションではこのアカウントからメールを送信できません。

設定可能なバージョン:iOS 5.0以降。

PayloadCertificateUUID

文字列

識別資格情報に用いる証明書ペイロードのUUID。このフィールドがあれば、Certificateフィールドは使いません。

設定可能なバージョン:iOS 5.0以降。

SMIMEEnabled

ブール型

必要な場合のみ。デフォルト値はfalseです。trueならば、このアカウントはS/MIMEに対応しています。

設定可能なバージョン:iOS 5.0以降。

SMIMESigningCertificateUUID

文字列

必要な場合のみ。このアカウントから送信するメッセージに署名するために用いる、固有証明書のPayloadUUID

設定可能なバージョン:iOS 5.0以降。

SMIMEEncryptionCertificateUUID

文字列

必要な場合のみ。このアカウントに送信されるメッセージを復号化するために用いる、固有証明書のPayloadUUID

設定可能なバージョン:iOS 5.0以降。

SMIMEEnablePerMessageSwitch

ブール型

必要な場合のみ。trueならば、メッセージごとに署名と暗号化を切り替えられます。デフォルト値はtrueです。

disableMailRecentsSyncing

ブール型

trueならば、このアカウントは「最近使用したアドレス」の同期処理の対象外になります。デフォルト値はfalseです。

設定可能なバージョン:iOS 6.0以降。

MailNumberOfPastDaysToSync

整数

同期して以降の経過日数。

CommunicationServiceRules

辞書

必要な場合のみ。このアカウントの通信サービスハンドラのルール。CommunicationServiceRules辞書は現状ではDefaultServiceHandlersキーのみが設定されており、その値はAudioCallキーを格納している辞書です。このキーの値は、このアカウントからオーディオ通話の発信を処理するデフォルトアプリケーションのバンドルIDを格納した文字列です。

macOSでのみ設定可

Path

文字列

必要な場合のみ。

Port

数値

必要な場合のみ。

ExternalHost

文字列

必要な場合のみ。

ExternalSSL

ブール型

必要な場合のみ。

ExternalPath

文字列

必要な場合のみ。

ExternalPort

数値

必要な場合のみ。

FileVault 2

macOS 10.9では、FileVault 2を使って、ボリュームの内容に対して完全なXTS-AES 128の暗号化を施せるようになりました。「FileVault 2」ペイロードは、PayloadTypeの値としてcom.apple.MCX.FileVault2を与えることにより指定します。「FileVault」ペイロードを削除しても、FileVaultが無効になるわけではなりません。

キー

Enable

文字列

「On」を設定すればFileVaultが有効になります。「Off」であれば無効です。この値は必須です。

Defer

ブール型

trueであれば、FileVaultを有効にするよう指示したユーザがログアウトした後で、実際に有効になります。詳細については、fdesetup(8)を参照してください。File Vaultを有効にするユーザは、ローカルユーザかモバイルアカウントユーザのどちらかです。

UserEntersMissingInfo

ブール

trueとすると、手作業でプロファイルをインストールする際、ユーザ名やパスワードの入力が漏れていれば問い合わせるようになります。

UseRecoveryKey

ブール型

trueであれば個人の復旧キーが生成されます。デフォルト値はtrueです。

ShowRecoveryKey

ブール型

falseであれば、FileVaultが有効になった後、該当するユーザ個人の復旧キーが表示されます。デフォルト値はtrueです。

OutputPath

文字列

復旧キーやコンピュータに関する情報プロパティリストの格納場所を表すパス。

Certificate

データ

DER-エンコード済みの証明書データ(団体の復旧キーを追加する場合)。

PayloadCertificateUUID

文字列

非対称復旧キー証明書ペイロードを収容するペイロードのUUID。

Username

文字列

FileVaultに追加するOpen Directoryユーザのユーザ名。

Password

文字列

FileVaultに追加するOpen Directoryユーザのパスワード。UserEntersMissingInfoキーを指定すると、この情報が欠落していれば問い合わせるようになります。

UseKeychain

ブール型

trueであれば、このペイロードに証明書情報がない場合、団体の復旧キーを追加する際に、/Library/Keychains/FileVaultMaster.keychainとして作成済みのキーチェーンを使うようになります。

DeferForceAtUserLogin- MaxBypassAttempts

整数

Deferオプションを使用する場合、このキーの値を、ユーザのログインにFileVaultの有効化が求められるまでFileVaultの有効化を省略できる最大回数に設定することもできます。  0に設定されると、FileVaultが有効になるまで常に確認します。ただし、その場合でも有効化を省略することが可能です。このキーを-1に設定すると、この機能は無効になります。

設定可能なバージョン:macOS 10.10以降。

DeferDontAskAtUserLogout

ブール型

Deferオプションを使用する場合、このキーをtrueに設定すると、ユーザのログアウト時にFileVaultの有効化を要求しません。

設定可能なバージョン:macOS 10.10以降。

個人の復旧キーは、UseRecoveryKeyキーの値がfalseである場合を除き、常に作成されます。団体の復旧キーが作成されるのは、(1)Certificateキーの値として証明書データが与えられている、(2)ある証明書ペイロードを参照している、(3)UseKeychainキーの値がtrueであり、有効なFileVaultMaster.keychainファイルが作成済みである、のいずれかの場合に限ります。ただし、いずれの場合も、FileVaultに対応する適切な証明書情報が必要です。これがなければ、上記の条件を満たしていても単に無視され、団体の復旧キーは作成されません。

「FileVault Recovery Key Redirection」ペイロード

FDE(FileVault full-volume encryption)復旧キーを送信するよう要求すると、デフォルトでは、Appleに送信されるようになっています。このキーを設定することにより、送信先を企業内サーバに変更できます。「FileVault Recovery Key Redirection」ペイロードは、PayloadTypeの値としてcom.apple.security.FDERecoveryRedirectを与えることにより指定します。この型のペイロードはシステムにつき1件しか設定できません。

復旧キーをアーカイブ保存するサイトには、独自のHTTPSサーバを実装する必要があります。クライアントはこのサーバに対してPOST要求を発行します。これはXMLデータ形式で、復旧キーと、クライアントコンピュータのシリアル番号を収容します。サーバはこれに対し、上記のシリアル番号と、復旧キーに対応するRecordNumberを、XMLデータ形式で返します。

クライアントはサーバのSSL証明書チェーンを評価し、信頼しなければなりません。必要ならば設定プロファイルに、信頼チェーンの構築に必要な追加の証明書を収容しておくことも可能です。

キー

RedirectURL

文字列

FDE復旧キーの(Appleに代わる)送信先URL。「https://」で始まるURLでなければなりません。

EncryptCertPayloadUUID

文字列

同じプロファイル内のペイロードのUUID。復旧キーを送信する際、このプロファイルに収容されている証明書の公開鍵を使って暗号化します。参照するペイロードは、型がcom.apple.security.pkcs1のものでなければなりません。

インストールすると、FileVault復旧キーはすべて、Appleではなく指定したURLに送信されるようになります。ただしそのためには、HTTPSサーバを用意し、POST要求として送信された復旧キーを受け付けるようにしておかなければなりません。

このペイロードが有効なのは、そのスコープ(PayloadScope)がシステム(System)であるプロファイル内に限ります。同一コンピュータにこの型のペイロードを複数組み込むとエラーになります。クライアントはサーバのSSL証明書チェーンを評価し、信頼しなければなりません。必要ならば設定プロファイルに、サーバのルート証明書が入った別のペイロードを収容して、プロファイルをインストールする際、信頼できる旨の印をつけることも可能です。

クライアントがサーバと通信できない場合は、接続の再試行が継続されます。再試行の間隔は5秒から開始されて、試行間隔が1時間になるまで倍になっていきます。試行間隔が1時間に達すると、サーバへの接続が成功するまで繰り返されます。

FileVaultクライアントが発行する要求

クライアントは、次の事項を記述したXMLデータを、HTTPS POST要求の形でサーバに対して発行します。

キー

VersionNumber

文字列

当面、「1.0」に固定。

SerialNumber

文字列

クライアントコンピュータのシリアル番号。サーバはこの値を反復応答しなければなりません(下記参照)。

RecoveryKeyCMS64

文字列

復旧キー。設定プロファイルに記述された暗号化証明書(EncryptCertPayloadUUIDキーで参照)を使って、暗号化を施します。暗号化されたペイロードには、XMLラッパーなしで復旧キー文字列のみ収容します。暗号化済みデータはXMSエンベロープでラップし、Base-64エンコードします。

上記の各事項に対応するタグを、FDECaptureRequestタグ内に記述します。したがって、XMLメッセージボディーはたとえば次のようになります。

<FDECaptureRequest>
<VersionNumber>1.0</VersionNumber>
<SerialNumber>A02FE08UCC8X</SerialNumber>
<RecoveryKeyCMS64>MIAGCSqGSIb3DQEHA ... AAAAAAAAA==</RecoveryKeyCMS64>
</FDECaptureRequest>

FileVaultサーバからの応答

サーバはクライアントからの要求に応じて、以下の事項を記述したXMLデータを返さなければなりません。

キー

SerialNumber

文字列

クライアントコンピュータのシリアル番号。要求として送信された番号をそのまま返します。

RecordNumber

短文字列

空であってはなりませんが、その内容はサイトごとに定義して構いません。復旧キーを入力するようユーザに求める際、EFIログイン画面に、シリアル番号とともに表示される文字列です。たとえばサイト管理者に対し、データベースに収容されたユーザの復旧キーを検索し、あるいは検証するために有用な情報を与えることが考えられます。

「Firewall」ペイロード

macOS 10.12以降で利用できます。「Firewall」ペイロードは、セキュリティ環境設定ペインからアクセス可能なアプリケーションファイアウォール設定を管理します。次の制限に注意してください。

  • ペイロードはスコープがシステムであるプロファイルに存在している必要があります。

  • このペイロードを含むプロファイルが複数ある場合は、設定の和集合の中で最も制限の厳しいものが使用されます。

  • 「ダウンロードされた署名付きソフトウェアを自動的に許可」オプションと「内蔵ソフトウェアを自動的に許可」オプションはサポートされませんが、このペイロードが存在していると両方とも強制的にオンになります。

このペイロードは、PayloadTypeの値としてcom.apple.security.firewallを与えることにより指定します。

「Firewall」ペイロードには次のキーがあります。

キー

EnableFirewall

ブール型

必須。ファイアウォールを有効にするかしないかを指定します。

BlockAllIncoming

ブール型

必要な場合のみ。「外部からの接続をすべてブロック」オプションに対応。

EnableStealthMode

ブール型

必要な場合のみ。「ステルスモードを有効にする」に対応。

Applications

辞書の配列

必要な場合のみ。アプリケーションのリストです。各辞書には次のキーがあります。

  • BundleID(文字列):アプリケーションを識別

  • Allowed(ブール型):外部からの接続を許可するかどうかを指定

「Font」ペイロード

「Font」ペイロードを使って、iOSデバイスにフォントを追加できます。「Font」ペイロードは、PayloadTypeの値としてcom.apple.fontを与えることにより指定します。このペイロードは、必要に応じていくつでも設定できます。

「Font」ペイロードには次のキーがあります。

キー

Name

文字列

必要な場合のみ。ユーザ向けに用いるフォント名。インストール後、このフィールドの値は実際のフォント名に変わります。

Font

データ

フォントファイルの内容。

各ペイロードに1つだけ、TrueType(.ttf)形式またはOpenType(.otf)形式のフォントファイルを入れてください。複合フォントファイル(.ttcまたは.otc)には対応していません。

「Global HTTP Proxy」ペイロード

「Global HTTP Proxy」ペイロードは、PayloadTypeの値としてcom.apple.proxy.http.globalを与えることにより指定します。

グローバルHTTPプロキシの設定が可能です。

このペイロードを同時に複数設定することはできません。また、監視対象デバイスにしかインストールできません。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

ProxyType

文字列

「手動」プロキシ型を選択した場合、プロキシサーバのアドレスとポート、さらに、認証に必要な場合はユーザ名とパスワードを設定しなければなりません。「自動」プロキシ型を選択した場合は、自動設定(PAC、Proxy AutoConfiguration)URLを指定できます。

ProxyServer

文字列

プロキシサーバのネットワークアドレス。

ProxyServerPort

番号

プロキシサーバのポート。

ProxyUsername

文字列

必要な場合のみ。プロキシサーバの認証に用いるユーザ名。

ProxyPassword

文字列

必要な場合のみ。プロキシサーバの認証に用いるパスワード。

ProxyPACURL

文字列

必要な場合のみ。プロキシ設定を定義しているPACファイルのURL。

ProxyPACFallbackAllowed

ブール型

必要な場合のみ。falseならば、PACファイルに到達できない場合、デバイスはデスティネーションに直接接続できません。デフォルト値はfalseです。

設定可能なバージョン:iOS 7以降。

ProxyCaptiveLoginAllowed

ブール型

必要な場合のみ。trueならば、デバイスはプロキシサーバを介さずに、専用ネットワークのログインページを表示できます。デフォルト値はfalseです。

設定可能なバージョン:iOS 7以降。

ProxyTypeAutoで、ProxyPACURLの値が指定されていなければ、デバイスはWPAD(Web Proxy AutoDiscovery)プロトコルによりプロキシを探索するようになります。

「Home Screen Layout」ペイロード

「Home Screen Layout」ペイロードは、PayloadTypeの値としてcom.apple.homescreenlayoutを与えることにより指定します。このペイロードには、監視対象となるペイロードを1つだけ含めることができます。ユーザチャネルでサポートされています。

このペイロードは、ホーム画面のアプリケーションのレイアウト、フォルダ、ウェブクリップを定義します。iOS 9.3以降でサポートされています。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

Dock

配列

必要な場合のみ。辞書の配列。アイコン辞書の形式に準じる必要があります。

Pages

配列

必須。辞書の配列。アイコン辞書の形式に準じる必要があります。

アイコン形式辞書は、次のように定義されます。

キー

Type

文字列

必須。次のいずれかである必要があります。

  • Application(アプリケーション)

  • Folder

DisplayName

文字列

必要な場合のみ。ユーザに表示される、人が読める形式の文字列。

BundleID

文字列

Application型の場合は必須。アプリケーションのバンドル識別子。

Pages

配列

必要な場合のみ。辞書の配列の配列。各辞書は、アイコン辞書の形式に準じます。

「Google Account」ペイロード

「Google account」ペイロードは、PayloadTypeの値としてcom.apple.google-oauthを与えることにより指定します。複数のGoogleペイロードをインストールできます。

各GoogleペイロードはGoogleのメールアドレスに加え、認証後にユーザが有効にするその他のGoogleサービスも設定します。Googleアカウントは、MDMまたはApple Configurator 2(デバイスが監視対象の場合)経由でインストールする必要があります。ペイロードに資格情報が含まれることはありません。ペイロードが正常にインストールされた直後に、資格情報を入力するよう求められます。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

AccountDescription

文字列

必要な場合のみ。電子メールアカウントの説明を、人が読める形の文字列で指定します。これが「Mail and Settings」アプリケーションに表示されます。

AccountName

文字列

必要な場合のみ。Googleアカウントのユーザのフルネーム。この名前が送信メッセージに表示されます。

EmailAddress

文字列

必須。アカウントの完全なGoogleメールアドレス。

CommunicationServiceRules

辞書

必要な場合のみ。このアカウントの通信サービスハンドラのルール。CommunicationServiceRules辞書は現状ではDefaultServiceHandlersキーのみが設定されており、その値はAudioCallキーを格納している辞書です。このキーの値は、このアカウントからオーディオ通話の発信を処理するデフォルトアプリケーションのバンドルIDを格納した文字列です。

「Identification」ペイロード

「Identification」ペイロードは、PayloadTypeの値としてcom.apple.configurationprofile.identificationを与えることにより指定します。

このペイロードには、アカウントユーザの名前やプロンプト文字列を保存できます。空であれば、プロファイルをインストールする際に、ユーザが指定しなければなりません。

「Identification」ペイロードは、iOSではサポートされません。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

FullName

文字列

該当するアカウントの完全名。

EmailAddress

文字列

アカウントのアドレス。

UserName

文字列

アカウントのUNIXユーザ名。

Password

文字列

パスワードを指定。省略した場合は、プロファイルをインストールする際に、ユーザが指定しなければなりません。

Prompt

文字列

ユーザに対する独自の指示内容(必要な場合)。

「Identity Preference」ペイロード

macOS 10.12以降で利用できます。「Identity Preference」ペイロードを使用すると、ユーザのキーチェーンで同じプロファイルに含まれる識別情報のペイロードを参照する識別プリファレンス項目を特定できます。これはユーザプロファイルのみに表示され、デバイスプロファイルには表示されません。証明書プリファレンスの詳細については、「「Certificate Preference」ペイロード」も参照してください。

「Identity Preference」ペイロードは、必要に応じていくつでも設定できます。「Identity Preference」ペイロードは、PayloadTypeの値としてcom.apple.security.identitypreferenceを与えることにより指定します。

「Identity Preference」ペイロードには次のキーがあります。

キー

Name

文字列

必須。電子メールアドレス(RFC822)、DNSホスト名、またはこの識別情報を必要とするその他のサービスを一意に識別する名前。

PayloadCertificateUUID

文字列

識別情報がインストールされている同じプロファイル内の他のペイロードのUUID(「com.apple.security.pkcs12」ペイロードまたは「com.apple.security.scep」ペイロードなど)。

「LDAP」ペイロード

「LDAP」ペイロードは、PayloadTypeの値としてcom.apple.ldap.accountを与えることにより指定します。

LDAPサーバの使い方を管理するペイロードで、アカウント情報(必要な場合)、問い合わせ時に用いる一連のLDAP検索ポリシーなどを設定します。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

LDAPAccountDescription

文字列

必要な場合のみ。アカウントの説明。

LDAPAccountHostName

文字列

ホスト。

LDAPAccountUseSSL

ブール型

SSLを使うか否か。

LDAPAccountUserName

文字列

必要な場合のみ。ユーザ名。

LDAPAccountPassword

文字列

必要な場合のみ。これが指定されている場合、プロファイルに暗号化を施す必要があります。

LDAPSearchSettings

辞書

最上位コンテナオブジェクト。各アカウントに複数持たせても構いません。少なくとも1つあると有用でしょう。

LDAPSearchSettingsオブジェクトは、検索の開始点となるLDAP木のノードと、検索範囲(当該ノード、当該ノードおよび直下の子、当該ノードおよびその子孫全体、のいずれか)を表します。

LDAPSearchSettingDescription

文字列

必要な場合のみ。この検索設定の説明。

LDAPSearchSettingSearchBase

文字列

検索の開始点となるノードのパス。例をご紹介します。

ou=people,o=example corp

LDAPSearchSettingScope

文字列

再帰的検索の範囲を表します。

次のいずれかの値を指定します。

LDAPSearchSettingScopeBase:SearchBaseで指定したノードのみ。

LDAPSearchSettingScopeOneLevel:当該ノードおよび直下の子。

LDAPSearchSettingScopeSubtree:当該ノードおよびその子孫全体。

「Loginwindow」ペイロード

「Loginwindow」ペイロードは、PayloadTypeの値としてcom.apple.loginwindowを与えることにより指定します。

このペイロードはすべてのバージョンのmacOSに対して、システムプロファイルおよびデバイスプロファイルの管理対象の環境設定を作成します。複数の「Loginwindow」ペイロードを同時にインストールできます。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

SHOWFULLNAME

ブール型

必要な場合のみ。trueに設定すると、名前とパスワードのダイアログが表示されます。falseに設定すると、ユーザのリストが表示されます。

HideLocalUsers

ブール型

必要な場合のみ。ユーザリストを表示する場合に、trueに設定するとネットワークとシステムユーザのみが表示されます。

IncludeNetworkUser

ブール型

必要な場合のみ。ユーザリストを表示する場合に、trueに設定するとネットワークユーザが表示されます。

HideAdminUsers

ブール型

必要な場合のみ。ユーザリストを表示する場合に、falseに設定すると管理者ユーザが表示されなくなります。

SHOWOTHERUSERS_MANAGED

ブール型

必要な場合のみ。ユーザリストを表示する場合に、trueに設定すると「その他…」ユーザが表示されます。

AdminHostInfo

文字列

必要な場合のみ。このキーがペイロードに含まれると、ログインウィンドウにコンピュータの追加情報としてキーの値が表示されます。macOS 10.10未満では、この文字列に設定できるのは特定の情報(HostNameSystemVersion、またはIPAddress)のみでした。macOS 10.10以降では、ユーザはメニューバーの「時間」領域をクリックして各種のコンピュータ情報の値を切り替えることにより、任意の値をこのキーに設定できます。

AllowList

文字列の配列

必要な場合のみ。ログインを許可されているユーザまたはグループのGUID。アスタリスク「*」文字列は、すべてのユーザまたはグループを指定します。

DenyList

文字列の配列

必要な場合のみ。ログインできないユーザまたはグループのGUID。このリストは、AllowListキーのリストよりも優先度が高くなります。

HideMobileAccounts

ブール型

必要な場合のみ。trueに設定すると、モバイルアカウントユーザはユーザリストに表示されなくなります。モバイルユーザがネットワークユーザとして表示される場合もあります。

ShutDownDisabled

ブール型

必要な場合のみ。trueに設定すると、「システム終了」ボタン項目が表示されなくなります。

RestartDisabled

ブール型

必要な場合のみ。trueに設定すると、「再起動」項目が表示されなくなります。

SleepDisabled

ブール型

必要な場合のみ。trueに設定すると、「スリープ」ボタン項目が表示されなくなります。

DisableConsoleAccess

ブール型

必要な場合のみ。trueに設定すると、「その他」ユーザの「>console」特殊ユーザ名の使用が無視されます。

LoginwindowText

文字列

必要な場合のみ。ログインウィンドウに表示するテキスト。

ShutDownDisabledWhileLoggedIn

ブール型

必要な場合のみ。trueに設定すると、ユーザのログイン中に「システム終了」メニュー項目が無効になります。

RestartDisabledWhileLoggedIn

ブール型

必要な場合のみ。trueに設定すると、ユーザのログイン中に「再起動」メニュー項目が無効になります。

PowerOffDisabledWhileLoggedIn

ブール型

必要な場合のみ。trueに設定すると、ユーザのログイン中に「電源オフ」メニュー項目が無効になります。

DisableLoginItemsSuppression

ブール型

必要な場合のみ。trueに設定すると、ユーザはShiftキーを使用したログイン項目の無効化ができなくなります。

メディア管理

メディア管理のプロファイル構成キーには、ディスク作成を制限するものと、メディアのマウントと取り出しを制限するものの2つの種類があります。すべてのキーがすべてのバージョンのmacOSで利用でき、ユーザチャネルでサポートされます。

「Disc Burning」ペイロード

ディスク作成の制限には、「Disc Burning」ペイロードと「Finder」ペイロードの両方が必要です。

「Disc Burning」ペイロードは、PayloadTypeの値としてcom.apple.DiscRecordingを与えることにより指定します。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

BurnSupport

文字列

必須。offに設定すると、ディスク作成が無効になります。onに設定すると、通常のデフォルト動作を行います。authenticateに設定すると、認証が必要になります。このキーをonに設定しても、他のメカニズムまたは環境設定によってディスク作成がすでに無効にされている場合、ディスク作成は有効にはなりません。

「Finder」ペイロードは、PayloadTypeの値としてcom.apple.finderを与えることにより指定します。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

ProhibitBurn

ブール型

必須。falseに設定すると、Finderによるディスク作成のサポートが有効になります。trueに設定すると、Finderによるディスク作成のサポートが無効になります。

「Allowed Media」ペイロード

「Allowed Media」ペイロードは、PayloadTypeの値としてcom.apple.systemuiserverを与えることにより指定します。

このペイロードは次のキーを設定できます。

キー

logout-eject

辞書

必要な場合のみ。ユーザのログアウト時に取り出すボリュームを定義するメディアタイプ辞書。

mount-controls

辞書

必要な場合のみ。ボリュームのマウントを管理するメディアタイプ辞書。

unmount-controls

辞書

必要な場合のみ。ボリュームのマウント解除を管理するメディアタイプ辞書。

メディアタイプ辞書には次のキーに対する値を設定できます。すべての辞書ですべてのキーが使用されるわけではありません。メディアアクション文字列の値を次の表に示します。

キー(メディアタイプ)

all-media

文字列

必要な場合のみ。未使用(空の文字列に設定)。

cd

文字列または文字列の配列

必要な場合のみ。メディアアクション文字列。

dvd

文字列または文字列の配列

必要な場合のみ。メディアアクション文字列。

bd

文字列または文字列の配列

必要な場合のみ。メディアアクション文字列。

blankcd

文字列または文字列の配列

必要な場合のみ。メディアアクション文字列。

blankdvd

文字列または文字列の配列

必要な場合のみ。メディアアクション文字列。

blankbd

文字列または文字列の配列

必要な場合のみ。メディアアクション文字列。

dvdram

文字列または文字列の配列

必要な場合のみ。メディアアクション文字列。

disk-image

文字列または文字列の配列

必要な場合のみ。メディアアクション文字列。

harddisk-internal

文字列または文字列の配列

必要な場合のみ。メディアアクション文字列。

networkdisk

文字列または文字列の配列

必要な場合のみ。メディアアクション文字列。

harddisk-external

文字列または文字列の配列

必要な場合のみ。メディアアクション文字列。本体内にインストールされたSDカードドライブとUSBフラッシュドライブは、harddisk-externalカテゴリに含まれます。このキーは、他のカテゴリに当てはまらないメディアタイプのデフォルトになります。

次にメディアアクション文字列について説明します。カスタムアクションを作成するために、いくつかの文字列を配列にして組み合わせることができます。

キー

authenticate

ブール型

必要な場合のみ。メディアをマウントする前にユーザの認証が必要です。

read-only

ブール型

必要な場合のみ。メディアは読み取り専用としてマウントされます。このアクションはマウント解除の制御と組み合わせることはできません。

deny

ブール型

必要な場合のみ。このメディアはマウントできません。

eject

ブール型

必要な場合のみ。メディアはマウントできず、可能な場合は取り出されます。ボリュームの中には取り出し可能として定義されていないものもあるため、denyキーの使用が最適なソリューションである場合があります。このアクションはマウント解除の制御と組み合わせることができません。

「Network Usage Rules」ペイロード

「Network Usage Rules」ペイロードは、PayloadTypeの値としてcom.apple.networkusagerulesを与えることにより指定します。

「Network Usage Rules」ペイロードを使用すると、携帯電話データネットワークなどの管理対象アプリケーションがネットワークを使用する方法を指定できます。このルールは管理対象アプリケーションにのみ適用されます。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

ApplicationRules

辞書の配列

必須。

ApplicationRules配列の各エントリは、次のキーを含む辞書でなくてはなりません。

キー

AppIdentifierMatches

配列

必要な場合のみ。関連ルールに従う必要がある、管理対象アプリケーション識別子のリスト(文字列)。キーが不足している場合は、ルールはデバイスのすべての管理対象アプリケーションに対して適用されます。

AppIdentifierMatches配列の各文字列は、アプリケーション識別子と完全一致するか(com.mycompany.myappなど)、ワイルドカード文字(*)を使用してバンドルIDとプレフィックス一致を指定します。ワイルドカード文字は、ピリオド(.)の後に、文字列の末尾に1回だけ使います(com.mycompany.*など)。

AllowRoamingCellularData

ブール型

必要な場合のみ。デフォルト値はtrueです。falseに設定すると、一致する管理対象アプリケーションは、ローミング中に携帯電話データを使用できません。

AllowCellularData

ブール型

必要な場合のみ。デフォルト値はtrueです。falseに設定すると、一致する管理対象アプリケーションは携帯電話データを一切使用できません。

「Notifications」ペイロード

「Notifications」ペイロードは、PayloadTypeの値としてcom.apple.notificationsettingsを与えることにより指定します。このペイロードには、監視対象デバイスにインストールされるペイロードを1つだけ含めることができます。ユーザチャネルでサポートされています。

このペイロードは、アプリケーションに対して制限が強制された通知設定を、バンドルIDを使用して指定します。iOS 9.3以降でサポートされています。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

NotificationSettings

配列

必須。辞書の配列。それぞれの配列が、1つのバンドルIDの通知設定を指定します。

[NotificationSettings]フィールドの各エントリには、次の辞書が含まれています。

キー

BundleIdentifier

文字列

必須。通知設定を適用するアプリケーションのバンドルID。

NotificationsEnabled

ブール型

必要な場合のみ。このアプリケーションに対して通知を許可するかどうかを指定します。デフォルト値はtrueです。

ShowInNotificationCenter

ブール型

必要な場合のみ。通知センターに通知を表示するかどうかを指定します。デフォルト値はtrueです。

ShowInLockScreen

ブール型

必要な場合のみ。ロック画面に通知を表示するかどうかを指定します。デフォルト値はtrueです。

AlertType

整数

必要な場合のみ。このアプリケーションの通知のアラート型。

  • 0:なし

  • 1:バナー

  • 2:モーダルアラート

デフォルト値は1です。

BadgesEnabled

ブール型

必要な場合のみ。このアプリケーションに対してバッジを許可するかどうかを指定します。デフォルト値はtrueです。

SoundsEnabled

ブール型

必要な場合のみ。このアプリケーションに対してサウンドを許可するかどうかを指定します。デフォルト値はtrueです。

「Parental Controls」ペイロード

macOSにおけるペアレンタルコントロールは、必要なコントロールの種類に応じて個別に設定される多くの異なるペイロードから構成されています。「Parental Control」ペイロードは、ユーザチャネルでサポートされます。各ペイロードとそれぞれに対応するキーについて、以下で説明します。

「Parental Control Web Content Filter」ペイロード

「Parental Control Web Content Filter」ペイロードは、PayloadTypeの値としてcom.apple.familycontrols.contentfilterを与えることにより指定します。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

restrictWeb

ブール型

必須。trueに設定すると、ウェブコンテンツフィルタが有効になります。

useContentFilter

ブール型

必要な場合のみ。trueに設定すると、コンテンツの自動的なフィルタが試みられます。

whiteListEnabled

ブール型

必要な場合のみ。trueに設定すると、filterWhiteListリストとfilterBlackListリストが使用されます。

siteWhiteList

辞書の配列

whiteListEnabledtrueの場合は必須。指定された場合、このキーには、自動化されている許可されたサイトと許可されていないサイトのリストの他に、禁止されているアダルトサイトも含めた追加のサイトの許可を定義する辞書の配列(下記参照)が格納されます。

filterWhiteList

URL文字列の配列

必要な場合のみ。このキーが指定され、restrictWebtrueの場合、URLの配列には許可するウェブサイトのみを指定します。

filterBlackList

URL文字列の配列

必要な場合のみ。このキーが指定され、restrictWebtrueの場合、URLの配列にあるウェブサイトは許可されません。

siteWhiteList辞書には次のキーがあります。

キー

address

文字列

必須。http(s)スキームを含むサイトのプレフィックス。

pageTitle

文字列

必要な場合のみ。サイトのページタイトル。

「Parental Control Time Limits」ペイロード

「Parental Control Time Limits」ペイロードは、PayloadTypeの値としてcom.apple.familycontrols.timelimits.v2を与えることにより指定します。

ペイロードにはマスター有効化フラグに加えて、時間制限指定キーの辞書を含みます。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

familyControlsEnabled

ブール型

必須。trueに設定すると、時間制限を使用できます。

time-limits

辞書

familyControlsEnabledtrueの場合は必須。時間制限の設定。

time-limits辞書には次のキーがあります。

キー

weekday-allowance

辞書

必要な場合のみ。平日の許可設定。

weekday-curfew

辞書

必要な場合のみ。平日の夜間使用禁止設定。

weekend-allowance

辞書

必要な場合のみ。週末の許可設定。

weekend-curfew

辞書

必要な場合のみ。週末の夜間使用禁止設定。

allowance辞書またはcurfew辞書には次のキーがあります。

キー

enabled

ブール型

必須。trueに設定すると、設定が有効になります。

rangeType

数値

必須。日付の種類:0 = 平日、1 = 週末。

start

文字列

必要な場合のみ。夜間使用禁止の開示時刻(「%d:%d:%d」形式)。

end

文字列

必要な場合のみ。夜間使用禁止の終了時刻(「%d:%d:%d」形式)。

secondsPerDay

数値

必要な場合のみ。1日あたりで許可される秒数。

「Parental Control Application Access」ペイロード

「Parental Control Application Access」ペイロードは、PayloadTypeの値としてcom.apple.applicationaccess.newを与えることにより指定します。

macOS上でのアプリケーションへのアクセス制限を有効にします。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

familyControlsEnabled

ブール型

必須。trueに設定すると、ウェブコンテンツフィルタが有効になります。

whiteList

辞書の配列

必要な場合のみ。許可されるプロセス。

pathBlackList

文字列の配列

必要な場合のみ。許可されないプロセスへのパス。

pathWhiteList

文字列の配列

必要な場合のみ。許可されるプロセスへのパス。

whiteList辞書には次のキーがあります。

キー

bundleID

文字列

必要な場合のみ。アプリケーションのバンドルID。

displayName

文字列

必要な場合のみ。表示名。

displayName

文字列

必要な場合のみ。アプリケーションへのパス。

「Parental Control Dashboard」ペイロード

「Parental Control Dashboard」ペイロードは、PayloadTypeの値としてcom.apple.dashboardを与えることにより指定します。

Dashboardウィジェットのホワイトリストを定義するために使用されます。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

whiteListEnabled

ブール型

必須。trueに設定すると、ウィジェットのホワイトリスト項目が有効になります。

whiteList

辞書の配列

必須。Dashboardウィジェットを定義するリスト。

各ウィジェットのwhiteList辞書には次のキーがあります。

キー

Type

文字列

必須。bundleIDに設定すると、ウィジェットのバンドルIDがIDとして使用されます。

ID

文字列

必須。ウィジェットのバンドルID。

「Parental Control Dictionary」ペイロード

「Parental Control Dictionary」ペイロードは、PayloadTypeの値としてcom.apple.Dictionaryを与えることにより指定します。

デバイスのペアレンタルコントロール辞書で定義された制限を有効にします。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

parentalControl

ブール型

必須。trueに設定すると、ペアレンタルコントロール辞書の制限が有効になります。

「Parental Control Dictation and Profanity」ペイロード

「Parental Control Dictation and Profanity」ペイロードは、PayloadTypeの値としてcom.apple.ironwood.supportを与えることにより指定します。

音声入力を無効にして、デバイス上での不適切な単語を抑制します。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

IronwoodAllowed

ブール型

必要な場合のみ。falseに設定すると、音声入力が無効になります。

ProfanityAllowed

ブール型

必要な場合のみ。falseに設定すると、不適切な単語が抑制されます。

「Parental Control Game Center」ペイロード

「Parental Control Game Center」ペイロードは、PayloadTypeの値としてcom.apple.gamedを与えることにより指定します。

デバイス上でGame Centerオプションを制限します。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

GKFeatureGameCenterAllowed

ブール型

必要な場合のみ。falseに設定すると、Game Centerが無効になります。

GKFeatureAccountModificationAllowed

ブール型

必要な場合のみ。falseに設定すると、アカウントの変更が無効になります。

GKFeatureAddingGameCenterFriendsAllowed

ブール型

必要な場合のみ。falseに設定すると、Game Centerへの友達の追加が無効になります。

GKFeatureMultiplayerGamingAllowed

ブール型

必要な場合のみ。falseに設定すると、マルチプレイゲームが無効になります。

追加のペアレンタルコントロール

次のペイロードには、追加のペアレンタルコントロールがあります。

「Passcode Policy」ペイロード

「Passcode Policy」ペイロードは、PayloadTypeの値としてcom.apple.mobiledevice.passwordpolicyを与えることにより指定します。

このペイロード型が存在すれば、iOSまたはmacOSデバイスは英数字から成るパスコードの入力画面を表示するようになります。パスコードに長さや複雑さの制限はありません。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

allowSimple

ブール型

必要な場合のみ。デフォルト値はtrueです。簡単なパスコードを許可するか否かを指定します。ここで言う簡単なパスコードとは、同じ文字の繰り返し、あるいは単純上昇/下降形(123、CBAなど)の文字列が含まれるもののことです。falseを設定すれば、minComplexCharsの値として「1」を指定したのと同じ意味になります。

forcePIN

ブール型

必要な場合のみ。デフォルト値はNO。ユーザがPINを設定するよう強制するか否かを表します。この値をYESとするだけで(他の値は指定しなくても)、長さや強度は別として、パスコードの入力を強制することになります。

maxFailedAttempts

数値

必要な場合のみ。デフォルト値は10(iOSのみ)。指定可能な値の範囲は[1...10]。ロック画面で誤ったパスコードを入力しても、この回数までならば再試行が可能です。この回数を超えてしまうとデバイスはロックされ、所定のiTunesに接続しなければ解除できません。

maxInactivity

数値

必要な場合のみ。デフォルト値は無限大。ここで指定した時間(分単位)デバイスがアイドル状態になると、(ユーザがロック解除しない限り)自動的にロックがかかります。この上限時間に達するとデバイスはロックされ、解除するためにはパスコードが必要になります。

macOSでは、スクリーンセーバの設定としても使われます。

maxPINAgeInDays

数値

必要な場合のみ。デフォルト値は無限大。パスコードを変更せずに利用できる最大日数を指定します。この日数が経過すると、パスコードを変更しない限りデバイスをロック解除できません。

minComplexChars

数値

必要な場合のみ。デフォルト値は0。パスコードに含まれるべき「複雑な」文字の最小数を指定します。ここで言う「複雑な」文字とは、「&%$#」のような、英数字以外の文字のことです。

minLength

数値

必要な場合のみ。デフォルト値は0。パスコードの長さの最小値を表します。やはり必須ではない「minComplexChars」とは独立に指定できます。

requireAlphanumeric

ブール型

必要な場合のみ。デフォルト値はNO。英字(「abcd」など)を入力しなければならないか、数字だけでよいか、を表します。

pinHistory

数値

必要な場合のみ。パスコードを変更する際、変更履歴をいくつまでさかのぼって重複を確認するか、を表します。最小値は1、最大値は50です。

maxGracePeriod

数値

必要な場合のみ。パスコードを入力せずに電話のロックを解除できる、最大猶予時間(分単位)を表します。デフォルト値は0、すなわち、猶予時間はなく直ちにパスコードを要求されます。

macOSでは、スクリーンセーバの設定としても使われます。

allowFingerprintModification

ブール型

必要な場合のみ。監視対象のみ。macOSでは対応していません。ユーザにTouch IDの変更を許可します。デフォルト値は「NO」です。

プロファイルの「Removal Password」ペイロード

「Removal Password」ペイロードは、PayloadTypeの値としてcom.apple.profileRemovalPasswordを与えることにより指定します。

ここで指定するパスワードは、ロック済みの構成プロファイルをデバイスから削除する際に使います。このペイロードが存在し、パスワード値が設定されていれば、ユーザがプロファイルの「削除」ボタンをタップしたとき、パスワードを尋ねられるようになります。このペイロードは暗号化してプロファイルに格納するようになっています。

キー

RemovalPassword

文字列

必要な場合のみ。監視対象のみ。プロファイルの削除パスワードを指定します。

「Restrictions」ペイロード

「Restrictions」ペイロードは、PayloadTypeの値としてcom.apple.applicationaccessを与えることにより指定します。

管理者はこのペイロードを用いて、デバイスのある機能(写真を撮るなど)をユーザが使えないよう制限できます。

このペイロードはiOSでサポートされています。下記のとおり、macOSでもサポートされているキーがあります。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

allowAccountModification

ブール型

必要な場合のみ。監視対象のみ。trueならば、アカウントの変更はできません。

設定可能なバージョン:iOS 7.0以降。

allowAddingGameCenterFriends

ブール型

必要な場合のみ。falseであれば、Game Centerに友だちを追加できません。このキーは、監視されていないデバイスでは非推奨です。

allowAirDrop

ブール型

必要な場合のみ。監視対象のみ。falseならば、AirDropは無効です。

設定可能なバージョン:iOS 7.0以降。

allowAppCellularDataModification

ブール型

必要な場合のみ。監視対象のみ。falseならば、アプリケーションによるモバイルデータ使用方法の変更はできません。

設定可能なバージョン:iOS 7.0以降。

allowAppInstallation

ブール型

必要な場合のみ。監視対象のみ。falseであればApp Storeは使えなくなり、ホーム画面から当該アイコンがなくなります。ユーザはApp Storeのアプリケーションをインストール/更新できません。このキーは、監視されていないデバイスでは非推奨です。

allowAppRemoval

ブール型

必要な場合のみ。falseであれば、iOSデバイスからアプリケーションを削除できません。このキーは、監視されていないデバイスでは非推奨です。

allowAssistant

ブール型

必要な場合のみ。falseであれば、Siriは無効です。デフォルト値はtrueです。

allowAssistantUserGeneratedContent

ブール型

必要な場合のみ。監視対象のみ。falseならば、ユーザが生成した情報を、Siriがウェブ経由で問い合わせることはできません。

設定可能なバージョン:iOS 7以降。

allowAssistantWhileLocked

ブール型

必要な場合のみ。falseであれば、デバイスがロックされているとき、ユーザはSiriを利用できません。デフォルト値はtrueです。デバイスにパスコードの設定がなければ、この制約は無視されます。

設定可能なバージョン: iOS 5.1以降。

allowBookstore

ブール型

必要な場合のみ。監視対象のみ。falseならば、iBookstoreは無効になります。デフォルト値はtrueです。

設定可能なバージョン:iOS 6.0以降。

allowBookstoreErotica

ブール型

必要な場合のみ。監視対象のみ(iOS 6.1より前)。falseと設定すれば、「好色本」とタグ付けされたiBookstoreからメディアをダウンロードできなくなります。デフォルト値はtrueです。

設定可能なバージョン:iOS 6.0以降。

allowCamera

ブール型

必要な場合のみ。falseであればカメラはまったく使えなくなり、ホーム画面から当該アイコンがなくなります。ユーザは写真を撮れません。

設定可能なバージョン:iOSおよびmacOS 10.11以降。

allowChat

ブール型

必要な場合のみ。falseであれば、監視対象デバイスでは「Messages」アプリケーションが使えなくなります。

設定可能なバージョン:iOS 6.0以降。

allowCloudBackup

ブール型

必要な場合のみ。falseならば、デバイス上のファイルをiCloudにバックアップしないようになります。

設定可能なバージョン:iOS 5.0以降。

allowCloudBTMM

ブール型

必要な場合のみ。falseであれば、macOSの「どこでもMy Mac」iCloudサービスが禁止されます。

設定可能なバージョン:macOS 10.12以降。

allowCloudFMM

ブール型

必要な場合のみ。falseであれば、macOSの「Macを探す」iCloudサービスが禁止されます。

設定可能なバージョン:macOS 10.12以降。

allowCloudBookmarks

ブール型

必要な場合のみ。falseであれば、macOSのiCloudブックマーク同期が禁止されます。

設定可能なバージョン:macOS 10.12以降。

allowCloudMail

ブール型

必要な場合のみ。falseであれば、macOSの「メール」iCloudサービスを禁止します。

設定可能なバージョン:macOS 10.12以降。

allowCloudCalendar

ブール型

必要な場合のみ。falseであれば、macOSの「カレンダー」iCloudサービスを禁止します。

設定可能なバージョン:macOS 10.12以降。

allowCloudReminders

ブール型

必要な場合のみ。falseであれば、macOSの「リマインダー」iCloudサービスを禁止します。

設定可能なバージョン:macOS 10.12以降。

allowCloudAddressBook

ブール型

必要な場合のみ。falseであれば、macOSの「連絡先」iCloudサービスを禁止します。

設定可能なバージョン:macOS 10.12以降。

allowCloudNotes

ブール型

必要な場合のみ。falseであれば、macOSの「メモ」iCloudサービスを禁止します。

設定可能なバージョン:macOS 10.12以降。

allowCloudDocumentSync

ブール型

必要な場合のみ。falseならば、ドキュメントやキー値をiCloudに同期する処理が無効になります。このキーは、監視されていないデバイスでは非推奨です。

設定可能なバージョン:iOS 5.0以降およびmacOS 10.11以降。

allowCloudKeychainSync

ブール型

必要な場合のみ。falseであれば、iCloudキーチェーン同期が無効になります。デフォルト値はtrueです。

設定可能なバージョン:iOS 7.0以降およびmacOS 10.12以降。

allowDiagnosticSubmission

ブール型

必要な場合のみ。falseであれば、診断レポートを自動的にAppleに送信することはなくなります。デフォルト値はtrueです。

設定可能なバージョン:iOS 6.0以降。

allowExplicitContent

ブール型

必要な場合のみ。falseであれば、iTunes Storeから購入した、未成年者禁止の音楽や動画が見えなくなります。未成年者禁止である旨の設定は、その販売者(レコード会社など)が、iTunes Storeを介して販売する際に行います。このキーは、監視されていないデバイスでは非推奨です。

allowFindMyFriendsModification

ブール型

必要な場合のみ。監視対象のみ。falseならば、「友だちを探す」機能に切り替えることはできません。

設定可能なバージョン:iOS 7.0以降。

allowFingerprintForUnlock

ブール型

必要な場合のみ。falseならば、Touch IDを使ってデバイスのロックを解除することはできません。

設定可能なバージョン:iOS 7以降およびmacOS 10.12.4以降。

allowGameCenter

ブール型

必要な場合のみ。監視対象のみ。falseであればGame Centerは使えなくなり、ホーム画面から当該アイコンがなくなります。デフォルト値はtrueです。

設定可能なバージョン:iOS 6.0以降。

allowGlobalBackgroundFetchWhenRoaming

ブール型

必要な場合のみ。falseであれば、iOS電話のローミング中、グローバルなバックグラウンドフェッチ機能が無効になります。

allowInAppPurchases

ブール型

必要な場合のみ。falseであれば、アプリ内課金が利用できません。

allowLockScreenControlCenter

ブール型

必要な場合のみ。falseであれば、ロック画面にコントロールセンターが現れません。

設定可能なバージョン:iOS 7以降。

allowHostPairing

ブール型

監視対象のみ。falseならば、監視ホストを除き、ホストのペアリングはできません。監視ホスト証明書が未設定であれば、ペアリングはすべて無効になります。管理者はホストのペアリングを利用して、iOS 7デバイスと組になるデバイスを制御できます。

設定可能なバージョン:iOS 7.0以降。

allowLockScreenNotificationsView

ブール型

必要な場合のみ。falseに設定すると、ロック画面の通知センターに「通知」表示が現れなくなるので、ユーザは画面のロック中に通知を受信できなくなります。

設定可能なバージョン:iOS 7.0以降。

allowLockScreenTodayView

ブール型

必要な場合のみ。falseであれば、ロック画面の通知センターに、「今日」表示が現れません。

設定可能なバージョン:iOS 7.0以降。

allowMultiplayerGaming

ブール型

必要な場合のみ。falseであれば、マルチプレーヤーゲームが禁止になります。このキーは、監視されていないデバイスでは非推奨です。

allowOpenFromManagedToUnmanaged

ブール型

必要な場合のみ。falseであれば、マネージドアプリケーションの書類やアカウントは、他のマネージドアプリケーションやアカウントでしか開かないようになります。デフォルト値はtrueです。

設定可能なバージョン:iOS 7.0以降。

allowOpenFromUnmanagedToManaged

ブール型

必要な場合のみ。falseであれば、非マネージドアプリケーションの書類やアカウントは、他の非マネージドアプリケーションやアカウントでしか開かないようになります。デフォルト値はtrueです。

設定可能なバージョン:iOS 7.0以降。

allowOTAPKIUpdates

ブール型

必要な場合のみ。falseであれば、無線でのPKI更新はできません。この制約をfalseにしても、CRL/OCSP検査が無効になるわけではありません。デフォルト値はtrueです。

設定可能なバージョン:iOS 7.0以降。

allowPassbookWhileLocked

ブール型

必要な場合のみ。falseならば、Passbook通知はロック画面に表示されません。デフォルト値はtrueです。

設定可能なバージョン:iOS 6.0以降。

allowPhotoStream

ブール型

必要な場合のみ。falseならば、Photo Streamが無効になります。

設定可能なバージョン:iOS 5.0以降。

allowSafari

ブール型

必要な場合のみ。falseならば、Safari(ウェブブラウザ)が使えなくなり、ホーム画面から当該アイコンがなくなります。ウェブクリップを開くこともできません。このキーは、監視されていないデバイスでは非推奨です。

safariAllowAutoFill

ブール型

必要な場合のみ。falseであれば、Safariのオートフィルが無効になります。デフォルト値はtrueです。

safariForceFraudWarning

ブール型

必要な場合のみ。trueであれば、Safariの「詐欺」警告機能が有効になります。デフォルト値はfalseです。

safariAllowJavaScript

ブール型

必要な場合のみ。falseであれば、SafariでJavaScriptのコードを実行できなくなります。デフォルト値はtrueです。

safariAllowPopups

ブール型

必要な場合のみ。falseであれば、Safariのポップアップタブ機能が使えなくなります。デフォルト値はtrueです。

safariAcceptCookies

Real

必要な場合のみ。デバイスがcookieを受け入れる条件を、次のいずれかの値で指定します。

  • 0:Cookieを受け入れない

  • 1:現在のウェブサイトからのみ受け入れる

  • 1.5:アクセスしたことのあるウェブサイトからは受け入れる(iOS 8.0以降で設定可能)。'<real>1.5</real>'と入力します。

  • 2:常に受け入れる

デフォルト値は2です。

allowSharedStream

ブール型

必要な場合のみ。falseならば、Shared Photo Streamは無効になります。デフォルト値はtrueです。

設定可能なバージョン:iOS 6.0以降。

allowUIConfigurationProfileInstallation

ブール型

必要な場合のみ。監視対象のみ。falseならば、ユーザは構成プロファイルや証明書を対話的にインストールできません。デフォルト値はtrueです。

設定可能なバージョン:iOS 6.0以降。

allowUntrustedTLSPrompt

ブール型

必要な場合のみ。falseならば、信頼できないHTTPS証明書を、ユーザに問い合わせることなく自動的に拒否するようになります。

設定可能なバージョン:iOS 5.0以降。

allowVideoConferencing

ブール型

必要な場合のみ。falseであればビデオ会議が使えなくなります。このキーは、監視されていないデバイスでは非推奨です。

allowVoiceDialing

ブール型

必要な場合のみ。falseであれば、デバイスがパスコードでロックされていれば音声ダイヤルが無効になります。デフォルト値はtrueです。

allowYouTube

ブール型

必要な場合のみ。falseならば、YouTubeアプリケーションが使えなくなり、ホーム画面から当該アイコンがなくなります。

iOS 6以降にはYouTubeアプリケーションがないので、このキーは無視されます。

allowiTunes

ブール型

必要な場合のみ。falseならば、iTunes Music Storeが使えなくなり、ホーム画面から当該アイコンがなくなります。プレビューや購入、ダウンロードはできません。このキーは、監視されていないデバイスでは非推奨です。

autonomousSingleAppModePermittedAppIDs

文字列の配列

必要な場合のみ。監視対象のみ。この設定があれば、この配列に指定されているバンドルIDのアプリケーションは、自律的に単一アプリケーションモードになります。

設定可能なバージョン: iOS 7.0以降。

forceAssistantProfanityFilter

ブール型

必要な場合のみ。監視対象のみ。trueとすることにより、不敬語フィルタアシスタントを使うよう強制できます。

forceEncryptedBackup

ブール型

必要な場合のみ。trueであれば、バックアップをすべて暗号化するようになります。

forceITunesStorePasswordEntry

ブール型

必要な場合のみ。trueならば、購入の際、その都度iTunesパスワードの入力を求められるようになります。

設定可能なバージョン:iOS 5.0以降。

forceLimitAdTracking

ブール型

必要な場合のみ。trueならば、広告の追跡が制限されます。デフォルト値はfalseです。

設定可能なバージョン:iOS 7.0以降。

forceAirPlayOutgoingRequestsPairingPassword

ブール型

必要な場合のみ。trueを指定することにより、このデバイスからのAirPlay要求を受け取るデバイスすべてに対し、ペアリングパスワードを使うよう強制することができます。デフォルト値はfalseです。

設定可能なバージョン:iOS 7.1以降。

forceAirPlayIncomingRequestsPairingPassword

ブール型

必要な場合のみ。trueを指定することにより、このデバイスにAirPlay要求を送信するデバイスすべてに対し、ペアリングパスワードを使うよう強制できます。デフォルト値はfalseです。

設定可能なバージョン:Apple TV 6.1以降。

allowManagedAppsCloudSync

ブール型

必要な場合のみ。falseを指定すれば、マネージドアプリケーションがiCloud同期を使わないようになります。

allowEraseContentAndSettings

ブール型

監視対象のみ。falseを指定すれば、Reset UIの「すべてのコンテンツおよび設定を消去」オプションが無効になります。

allowSpotlightInternetResults

ブール型

監視対象のみ。falseを指定すれば、Spotlightがインターネット検索の結果を返さないようになります。

設定可能なバージョン:iOSおよびmacOS 10.11以降。

allowEnablingRestrictions

ブール型

監視対象のみ。falseを指定すれば、「設定」の「Restrictions UI」で、「Enable Restrictions」オプションが無効になります。

allowActivityContinuation

ブール型

falseを指定すれば、アクティビティ継続が無効になります。デフォルト値はtrueです。

allowEnterpriseBookBackup

ブール型

falseを指定すれば、Enterpriseブックがバックアップの対象から外れます。デフォルト値はtrueです。

allowEnterpriseBookMetadataSync

ブール型

falseを指定すれば、Enterpriseブックの注記や強調が同期しなくなります。デフォルト値はtrueです。

allowPodcasts

ブール型

監視対象のみ。falseを指定すれば、ポッドキャストが無効になります。デフォルト値はtrueです。

設定可能なバージョン:iOS 8.0以降。

allowDefinitionLookup

ブール型

監視対象のみ。falseを指定すれば、定義のルックアップが無効になります。デフォルト値はtrueです。

設定可能なバージョン:iOS 8.1.3以降およびmacOS 10.11.2以降。

allowPredictiveKeyboard

ブール型

監視対象のみ。falseを指定すれば、予測入力キーボードが無効になります。デフォルト値はtrueです。

設定可能なバージョン:iOS 8.1.3以降。

allowAutoCorrection

ブール型

監視対象のみ。falseを指定すれば、キーボードの自動修正機能が無効になります。デフォルト値はtrueです。

設定可能なバージョン:iOS 8.1.3以降。

allowSpellCheck

ブール型

監視対象のみ。falseを指定すれば、キーボードのスペルチェックが無効になります。デフォルト値はtrueです。

設定可能なバージョン:iOS 8.1.3以降。

forceWatchWristDetection

ブール型

trueを指定すれば、ペアリングされたApple Watchで手首検出が強制的に使用されます。デフォルト値はfalseです。

設定可能なバージョン:iOS 8.2以降。

allowMusicService

ブール型

監視対象のみ。falseを指定すれば、音楽サービスが無効になり、音楽アプリケーションはクラシックモードになります。デフォルト値はtrueです。

設定可能なバージョン:iOS 9.3以降およびmacOS 10.12以降。

allowCloudPhotoLibrary

ブール型

falseを指定すれば、iCloudフォトライブラリが無効になります。iCloudフォトライブラリからデバイスに完全にダウンロードされていない写真は、ローカルストレージから削除されます。

設定可能なバージョン:iOS 9.0以降およびmacOS 10.12以降。

allowNews

ブール型

監視対象のみ。falseを指定すれば、ニュースが無効になります。デフォルト値はtrueです。

設定可能なバージョン:iOS 9.0以降。

forceAirDropUnmanaged

ブール型

必要な場合のみ。trueを指定すれば、AirDropは管理されていないドロップターゲットとして見なされます。デフォルト値はfalseです。

設定可能なバージョン:iOS 9.0以降。

allowUIAppInstallation

ブール型

監視対象のみ。falseであればApp Storeは使えなくなり、ホーム画面から当該アイコンがなくなります。ただし、ユーザは引き続きホストアプリケーション(iTunes、Configurator)をアプリケーションのインストールや更新に使用することがあります。デフォルト値はtrueです。

設定可能なバージョン:iOS 9.0以降。

allowScreenShot

ブール型

必要な場合のみ。falseに設定すると、ユーザはディスプレイのスクリーンショットを保存できなくなり、画面の記録を取り込めなくなります。またクラスルームアプリケーションのリモート画面の監視もできなくなります。デフォルト値はtrueです。

設定可能なバージョン:iOS 9.0以降で更新され、画面のキャプチャを行えるようになりました。

allowKeyboardShortcuts

ブール型

監視対象のみ。trueを指定すれば、キーボードショートカットを使用できません。デフォルト値はtrueです。

設定可能なバージョン:iOS 9.0以降。

allowPairedWatch

ブール型

監視対象のみ。falseを指定すれば、Apple Watchのペアリングが無効になります。ペアリング済みのApple Watchは、すべてペアリング解除され、削除されます。デフォルト値はtrueです。

設定可能なバージョン:iOS 9.0以降。

allowPasscodeModification

ブール型

監視対象のみ。falseを指定すれば、デバイスのパスコードの追加、変更、削除を行えません。デフォルト値はtrueです。この制約は共有しているiPadからは無視されます。

設定可能なバージョン:iOS 9.0以降。

allowDeviceNameModification

ブール型

監視対象のみ。falseを指定すれば、デバイス名を変更できません。デフォルト値はtrueです。

設定可能なバージョン:iOS 9.0以降。

allowWallpaperModification

ブール型

監視対象のみ。falseを指定すれば、壁紙を変更できません。デフォルト値はtrueです。

設定可能なバージョン:iOS 9.0以降。

allowAutomaticAppDownloads

ブール型

監視対象のみ。falseを指定すれば、ほかのデバイスで購入されたアプリケーションの自動ダウンロードができなくなります。既存アプリケーションの更新には影響しません。デフォルト値はtrueです。

設定可能なバージョン:iOS 9.0以降。

allowEnterpriseAppTrust

ブール型

falseを指定すると、アプリケーションがユニバーサルプロビジョニングプロファイルによってプロビジョニングされないように、「設定」>「一般」>「プロファイルとデバイス管理」にある「エンタープライズ開発元を信頼」ボタンが削除されます。この制約は、フリーの開発元アカウントには適用されますが、アプリケーションがMDM経由でプッシュされており、以前にアプリケーションへ付与された信頼が取り消されていないエンタープライズアプリケーション開発元へは適用されません。デフォルト値はtrueです。

設定可能なバージョン:iOS 9.0以降。

allowRadioService

ブール型

監視対象のみ。falseならば、Apple Music Radioは無効です。デフォルト値はtrueです。

設定可能なバージョン:iOS 9.3以降。

blacklistedAppBundleIDs

文字列の配列

監視対象のみ。存在する場合、配列にリストされたバンドルIDは表示されたり起動することはありません。

設定可能なバージョン:iOS 9.3以降。

whitelistedAppBundleIDs

文字列の配列

監視対象のみ。存在する場合、配列にリストされたバンドルIDのみ表示または起動が可能です。

設定可能なバージョン:iOS 9.3以降。

allowNotificationsModification

ブール型

監視対象のみ。falseならば、通知設定は変更できません。デフォルト値はtrueです。

設定可能なバージョン:iOS 9.3以降。

allowRemoteScreenObservation

ブール型

監視対象のみ。falseに設定すると、クラスルームアプリケーションによるリモート画面の監視が無効になります。デフォルト値はtrueです。

このキーはallowScreenShotのサブ制約として入れ子にする必要があります。allowScreenShotfalseに設定されている場合は、クラスルームアプリケーションによるリモート画面の監視もできなくなります。

設定可能なバージョン:iOS 9.3以降。

allowDiagnosticSubmissionModification

ブール型

監視対象のみ。falseに設定すると、「設定」の「診断/使用状況」ペインにある診断レポートの送信とアプリケーション分析の設定を変更できません。デフォルト値はtrueです。

設定可能なバージョン:iOS 9.3.2以降。

allowBluetoothModification

ブール型

監視対象のみ。falseに設定すると、Bluetooth設定ができなくなります。デフォルト値はtrueです。

設定可能なバージョン:iOS 10.0以降。

allowAutoUnlock

ブール型

falseに設定すると、macOSの自動ロック解除が禁止されます。デフォルト値はtrueです。

設定可能なバージョン:macOS 10.12以降。

allowCloudDesktopAndDocuments

ブール型

falseに設定すると、macOSのクラウドデスクトップと書類のサービスが禁止されます。デフォルト値はtrueです。

設定可能なバージョン:macOS 10.12.4以降。

allowDictation

ブール型

監視対象のみ。falseに設定すると、音声入力が禁止されます。デフォルト値はtrueです。

設定可能なバージョン:iOS 10.3以降。

forceWiFiWhitelisting

ブール型

必要な場合のみ。監視対象のみ。trueに設定すると、デバイスは構成プロファイルを介して設定された場合にのみWi-Fiネットワークに参加できます。デフォルト値はfalseです。

設定可能なバージョン:iOS 10.3以降。

forceUnpromptedManaged- ClassroomScreenObservation

ブール型

必要な場合のみ。監視対象のみ。trueに設定され、「Education」ペイロードのScreenObservationPermissionModificationAllowedtrueである場合、クラスルームアプリケーションを使用して管理対象のコースへ登録した生徒については、コースの教師による生徒の画面を生徒に通知することなく監視するリクエストに対する許可が自動的に与えられます。デフォルト値はfalseです。

設定可能なバージョン:iOS 10.3以降。

「SCEP」ペイロード

「SCEP(Simple Certificate Enrollment Protocol)」ペイロードは、PayloadTypeの値としてcom.apple.security.scepを与えることにより指定します。

「SCEP」ペイロードには、SCEPサーバに対してクライアント証明書を要求する処理を自動化する働きがあります(『無線経由のプロファイル配信と構成』を参照)。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

URL

文字列

SCEPのURL。SCEPの詳細については、『無線経由のプロファイル配信と構成』を参照してください。

Name

文字列

必要な場合のみ。SCEPサーバが認識可能な任意の文字列。たとえば「example.org」のようなドメイン名を設定します。認証局に複数のCA証明書がある場合、その識別のために利用できます。

Subject

配列

必要な場合のみ。X.500名をOIDと値の配列の形で表したもの。たとえば、「/C=US/O=Apple Inc./CN=foo/1.2.5.3=bar」です。これは、以下のように変換されます。

[ [ ["C", "US"] ], [ ["O", "Apple Inc."] ], ..., [ [ "1.2.5.3", "bar" ] ] ]

OIDはドット区切り番号の形で表すほか、国(C)、市区町村(L)、州(ST)、組織(O)、組織内部門(OU)、共通名(CN)といった省略形が使えます。

Challenge

文字列

必要な場合のみ。事前に配布した秘密鍵。

Keysize

数値

必要な場合のみ。ビット単位のキー長(1024または2048)。

KeyType

文字列

必要な場合のみ。当面は常に「RSA」を指定。

KeyUsage

数値

必要な場合のみ。キーの使い方を表すビットマスク。1は署名、4は暗号化、5は署名と暗号化の両方を施すことを表します。Windows CAなど、暗号化と署名のいずれか一方しか同時には施せない認証局もあります。

設定可能なバージョン: iOS 4以降。

Retries

整数

必要な場合のみ。サーバが保留の応答を返したときにデバイスが再試行する回数。デフォルト値は3です。

RetryDelay

整数

必要な場合のみ。再試行の間隔(秒)。1回目の再試行は、この遅延なく実行されます。デフォルト値は10です。

CAFingerprint

データ

必要な場合のみ。認証局証明書のフィンガープリント。

SubjectAltName辞書キー

「SCEP」ペイロードには、必要に応じ、CAが証明書を発行する際に必要な値を格納したSubjectAltName辞書を指定できます。各キーに対して、単一の文字列、または文字列の配列を指定します。

指定する値は実際に用いるCAによって異なりますが、多くの場合、DNS名、URL、電子メールなどを指定することになるでしょう。例については、「構成プロファイルの例」か『無線経由のプロファイル配信と構成』を参照してください。

GetCACaps辞書キー

GetCACapsキーの値として辞書を追加すると、デバイスはそこに登録された文字列を、CAの能力に関する権威ある情報源として扱います。辞書がなければ、デバイスはCAにGetCACapsの値を問い合わせ、応答として得られた値を用います。CAが応答を返さなければ、デフォルト値として、GET 3DESおよびSHA-1を採用します。詳細については、『無線経由のプロファイル配信と構成』を参照してください。この機能は、macOSでは動作しません。

「Shared Device Configuration」ペイロード

「Shared Device Configuration」ペイロードは、PayloadTypeの値としてcom.apple.shareddeviceconfigurationを与えることにより指定します。このペイロードには、監視対象となるペイロードを1つだけ含めることができます。ユーザチャネルではサポートされていません。

「Shared Device Configuration」ペイロードを使うと、管理者はログインウィンドウとロック画面に表示されるオプションのテキストを指定することができます(「紛失の場合はこちらに返してください」メッセージや資産タグ情報など)。iOS 9.3以降でサポートされています。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

AssetTagInformation

文字列

必要な場合のみ。デバイスの資産タグ情報。ログインウィンドウとロック画面に表示されます。

LockScreenFootnote

文字列

必要な場合のみ。ログインウィンドウとロック画面に表示される脚注です。iOS 9.3.1以降で利用できます。

IfLostReturnToMessage

文字列

非推奨。代わりに LockScreenFootnoteを使用してください。

「ShareKit」ペイロード

MacOS 10.9以降。「ShareKit」ペイロードは、PayloadTypeの値としてcom.apple.com.apple.ShareKitHelperを与えることにより指定します。格納できるペイロードは1つだけです。ユーザチャネルでサポートされています。

「ShareKit」ペイロードは、クライアントでアクセス可能なShareKitプラグインを指定します。許可リストと禁止リストの両方を指定できます。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

SHKAllowedShareServices

文字列の配列

必要な場合のみ。ユーザの「共有」メニューに表示されるプラグインIDのリストです。この配列が存在する場合、ここで指定された項目のみが許可されます。

SHKDeniedShareServices

文字列の配列

必要な場合のみ。ユーザの「共有」メニューに表示されないプラグインIDのリストです。このキーは、SHKAllowedShareServicesキーが存在しない場合にのみ使用されます。

このペイロードでは、次のプラグインIDがサポートされています。

  • "com.apple.share.AirDrop":AirDrop

  • "com.apple.share.Facebook":Facebook

  • "com.apple.share.Twitter":Twitter

  • "com.apple.share.Mail":メール

  • "com.apple.share.Messages":メッセージ

  • "com.apple.share.Video":ビデオサービス

  • "com.apple.share.addtoiphoto":写真

  • "com.apple.share.addtoaperture":Aperture

  • "com.apple.share.readlater":リーディングリスト

  • "com.apple.share.SinaWeibo":Sina Weibo

  • "com.apple.Notes.SharingExtension":メモ

  • "com.apple.reminders.RemindersShareExtension":リマインダー

  • "com.apple.share.LinkedIn.post":LinkedIn

「Single Sign-On Account」ペイロード

「Single Sign-On Account」ペイロードは、PayloadTypeの値としてcom.apple.ssoを与えることにより指定します。

このペイロードは、iOS 7.0以降でのみサポートされています。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

Name

文字列

(人が読める形の)アカウント名。

Kerberos

辞書

Kerberos関係の情報(後述)。

Kerberos辞書には次のキーに対する値を設定できます。

キー

PrincipalName

文字列

必要な場合のみ。Kerberosのプリンシパル名。この設定がなければ、プロファイルのインストール時に入力するよう求められます。

MDM(Mobile Device Management)インストールの場合、このフィールドは必須です。

PayloadCertificateUUID

文字列

必要な場合のみ。ID証明書ペイロードのPayloadUUIDで、ユーザの介在なしでKerberos証明書の更新に使えるもの。証明書ペイロードは、型がcom.apple.security.pkcs12またはcom.apple.security.scepでなければなりません。「Single Sign On」ペイロードとID証明書ペイロードは、同じ設定プロファイルに設定する必要があります。

Realm

文字列

Kerberosのrealm名。すべて大文字で指定します。

URLPrefixMatches

文字列の配列

URLプリフィックスのリスト。このアカウントを使ってHTTP経由でKerberos認証するためには、いずれかのURLプリフィックスに合致していなければなりません。注意:URLポストフィックスも合致する必要があります。

AppIdentifierMatches

文字列の配列

必要な場合のみ。このログインアカウントを使えるアプリケーション識別子のリスト。このフィールドの設定がなければ、すべてのアプリケーション識別子に合致すると看做します。

空の配列を指定することはできません。

URLPrefixMatches配列の各エントリは、URLのプリフィックス文字列です。このいずれかの文字列で始まるURLでなければ、Kerberosチケットにアクセスできません。URLの照合パターンには、「http://www.example.com/」のように、スキームが必要です。末尾が「/」でなければ、自動的に追加した上で/を照合するようになっています。

URL照合パターンの先頭は、「http://」または「http://」でなければなりません。単純に文字列として照合するだけなので、「http://www.example.com/」というURLプリフィックスは、「http://www.example.com:80/」とは合致しないことになります。なお、iOS 9.0以降では、単独のワイルドカード「*」を使って、合致するすべての値を指定することができます。たとえば、「http://*.example.com/」は「http://store.example.com/」と「http://www.example.com」の両方に一致します。

http://.comおよびhttps://.comというパターンは、それぞれすべてのHTTP URLとHTTPS URLに一致します。

AppIdentifierMatches配列には、アプリケーションバンドルIDと照合する文字列を設定します。完全一致パターン(例:「com.mycompany.myapp」)のほか、ワイルドカード文字「*」を使って前方一致パターンを指定することも可能です。ワイルドカード文字は、ピリオド「.」)の直後、パターン文字列の末尾にしか置くことができません(例:「com.company.*」)。ワイルドカードが使われている場合、バンドルIDがこのパターンと前方一致していれば、当該アカウントにアクセスできます。

「SmartCard Settings」ペイロード

「SmartCard Settings」ペイロードは、PayloadTypeの値としてcom.apple.smartcardを与えることにより指定します。

このペイロードは、macOS v10.12.4以降のスマートカードペアリングの制限と設定を制御します。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

UserPairing

ブール型

必要な場合のみ。falseならば、ユーザにはペアリングダイアログが表示されませんが、既存のペアリングは動作を続行します。デフォルト値はtrueです。

allowSmartCard

ブール型

必要な場合のみ。falseならば、スマートカードはログイン、認証、スクリーンセーバ解除で無効になります。電子メールへの署名やウェブアクセスなど、その他の機能では有効なままです。設定の変更を有効にするには、再起動が必要です。デフォルト値はtrueです。

checkCertificateTrust

ブール型

必要な場合のみ。trueならば、カード上の証明書は、証明書の発行者がシステム信頼されている、証明書が期限切れでない、証明書の「有効になる」日付が過去の日付である、証明書がCRLおよびOCSPの確認に合格しているという方法で検証される必要があります。ユーザによる無効化はできません。このキーは通常、企業環境で使用中のスマートカードではtrueに設定されます。デフォルト値はfalseです。

oneCardPerUser

ブール型

必要な場合のみ。trueならば、ユーザは1つのスマートカードとしかペアリングできませんが、設定済みの既存のペアリングは許可されます。デフォルト値はfalseです。

「System Migration」ペイロード

「System Migration」ペイロードは、PayloadTypeの値としてcom.apple.systemmigrationを与えることにより指定します。

システム移行は、plistファイルから転送元のパスと転送先のパスのペアを読み出すことによって、WindowsデバイスからmacOSデバイスへ項目が転送されることによって行われます。このペイロードには、転送をカスタマイズするための方法が用意されています。

このペイロードは、単独でデバイスプロファイルにのみ存在している必要があります。ユーザプロファイルに置くと、インストール時にエラーとなります。

このペイロードは、macOS 10.12.4以降でのみサポートされています。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

CustomBehavior

辞書の配列

必要な場合のみ。各辞書で指定されているコンテキストのカスタム動作を指定します。

CustomBehavior配列に含まれる各辞書には次のキーがあります。

キー

Context

文字列

必須。カスタムパスが適用されるコンテキスト。

Paths

辞書の配列

必須。転送元システムからターゲットシステムに移行するときのカスタムパス。

Paths配列に含まれる各辞書には次のキーがあります。

キー

SourcePath

文字列

必須。転送元システムで移行するファイルまたはディレクトリがあるパス。

SourcePathInUserHome

ブール型

必須。trueならば、転送元パスはユーザのホームディレクトリ内にあります。

TargetPath

文字列

必須。ターゲットシステムで転送先のファイルまたはディレクトリがあるパス。

TargetPathInUserHome

ブール型

必須。trueならば、ターゲットパスはユーザのホームディレクトリ内にあります。

「System Policy Control」ペイロード

「System Policy Control」ペイロードは、PayloadTypeの値としてcom.apple.systempolicy.controlを与えることにより指定します。

「システム環境設定(System Preferences)」>「セキュリティとプライバシー(Security & Privacy)」の「一般(General)」タブにある、「Allowed applications downloaded from:」オプションの設定を制御します。

このペイロードはデバイスプロファイルに置くことしかできません。ユーザプロファイルに置くと、インストール時にエラーとなります。

このペイロードは、macOS v10.8以降でのみサポートされています。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

EnableAssessment

ブール型

必要な場合のみ。このキーが存在し、値がYESの場合、Gatekeeperが有効です。このキーが存在し、値がNOの場合、Gatekeeperは無効です。

AllowIdentifiedDevelopers

ブール型

必要な場合のみ。このキーが存在し、値がYESの場合、Gatekeeperの「Mac App Storeと確認済みの開発元からのアプリケーションを許可」オプションが選択されます。このキーが存在し、値がNOの場合、Gatekeeperの「Mac App Store」オプションが選択されます。

EnableAssessmenttrueでなければ、このキーには何の効果もありません。

「System Policy Rule」ペイロード

「System Policy Rule」ペイロードは、PayloadTypeの値としてcom.apple.systempolicy.ruleを与えることにより指定します。これは、GateKeeperの各種設定を制御する、3つのペイロードのうちの1つです。

このペイロードは、Gatekeeperのシステムポリシールールを制御します。キーや機能は、コマンドラインツール「spctl」と密接に関連しています。「spctl」のマニュアルページを参照してください。

このペイロードはデバイスプロファイルに置くことしかできません。ユーザプロファイルに置くと、インストール時にエラーとなります。

このペイロードは、macOS v10.8以降でのみサポートされています。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

Requirement

文字列

ポリシーの要件。このキーは「Code Signing Requirement Language」に示した構文に従って記述しなければなりません。

Comment

文字列

必要な場合のみ。この文字列は「System Policy」の画面上に表示されます。指定しなければ、「PayloadDisplayName」または「PayloadDescription」の値を転記してから、ルールを「System Policy」データベースに追加するようになっています。

Expiration

日付

必要な場合のみ。ルールを処理する有効期限日です。

OperationType

文字列

必要な場合のみ。operation:executeoperation:installoperation:lsopenのいずれかです。デフォルト値はoperation:execute

要求キーを次のような形で指定した場合、要求に署名したときに受理される証明書がどれなのか、クライアント側に表示して確認することはできません。

certificate leaf = H"7696f2cbf7f7d43fceb879f52f3cdc8fadfccbd4"

そこで、ペイロード自身に証明書を埋め込んでおけば、「Profiles」環境設定ペインや「System Profile」レポートに、当該証明書に関する情報を表示できます。そのためには、Requirementキーを、「$HASHCERT_xx$」という形のペイロード変数で指定してください。ただし「xx」は、DER形式の証明書データを保持しているキー(同じペイロード内に追加)の名前です。

たとえば次のように指定したとします。

<key>Requirement</key>
<string>certificate leaf = $HASHCERT_Cert1Data$</string>

さらに、次のように証明書データを与えます。

<key>Cert1Data</key>
<data>
MIIFTDCCBDSgAwIBAgIHBHXzxGzq8DANBgkqhkiG9w0BAQUFADCByjELMAkGA1UEBhMC
...
z1I6yBET5qaGhpWexEp3baLbXLcrtgufmDSUtUnImavGyw==
</data>

クライアントは、CertDataキーの値を取得し、これにSHA1ハッシュ処理を施して得られた要求文字列を、次のように使うことになります。

certificate leaf = H"7696f2cbf7f7d43fceb879f52f3cdc8fadfccbd4"

必要ならば、「$HASHCERT_xx$」という形の参照を、要求文字列に複数埋め込むことも可能です。

「System Policy Managed」ペイロード

「System Policy Managed」ペイロードは、PayloadTypeの値としてcom.apple.systempolicy.managedを与えることにより指定します。これは、GateKeeperの各種設定を制御する、3つのペイロードのうちの1つです。

「System Policy」の制約を外すFinderのコンテキストメニューが、無効になるよう制御できます。

このペイロードは、macOS v10.8以降でのみサポートされています。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

DisableOverride

ブール型

必要な場合のみ。YESならば、Finderのコンテキストメニューは無効になります。

「VPN」ペイロード

「VPN」ペイロードは、L2TP、PPTP、IPSecを基盤とする、従来型のシステムワイドVPNの設定に使います。「Per-App VPN」ペイロード(「「Per-App VPN」ペイロード」を参照)と混同しないでください。

「VPN」ペイロードは、PayloadTypeの値としてcom.apple.vpn.managedを与えることにより指定します。どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

UserDefinedName

文字列

必要な場合のみ。VPN接続の説明で、これがデバイスに表示されます。

OverridePrimary

ブール型

トラフィックをすべてVPNインターフェイス経由で伝送するか否かを指定します。trueならば、ネットワークトラフィックはすべてVPN経由で送信されます。デフォルト値はfalseです。

VPNType

文字列

このペイロードの設定を、どの種類のVPN接続に適用するか、を表します。次のいずれかの値を指定できます。

  • L2TP

  • PPTP

  • IPSec(Cisco)

  • IKEv2(「IKEv2辞書キー」を参照)

  • AlwaysOn(「AlwaysOn辞書キー」を参照)

  • VPN(ソリューションでは、VPNプラグインまたはNetworkExtensionを使用するので、VPNSubTypeキーが必要です(以下を参照))。

VPNSubType

文字列

必要な場合のみ。VPNTypeVPNであれば、このフィールドは必須です。構成のターゲットがVPNプラグインを使うVPNソリューションの場合、このフィールドにはプラグインのバンドルIDが含まれます。いくつか例を紹介します。

  • Cisco AnyConnect: com.cisco.anyconnect.applevpn.plugin

  • Juniper SSL:net.juniper.sslvpn

  • F5 SSL:com.f5.F5-Edge-Client.vpnplugin

  • SonicWALL Mobile Connect:com.sonicwall.SonicWALL-SSLVPN.vpnplugin

  • Aruba VIA:com.arubanetworks.aruba-via.vpnplugin

構成のターゲットがNetworkExtensionプロバイダを使うVPNソリューションの場合、このフィールドにはプロバイダを含むアプリケーションのバンドルIDが含まれます。IDの値については、VPNソリューションベンダにお問い合わせください。

VPNTypeIKEv2であれば、VPNSubTypeフィールドは任意で設定され、将来用として予約されます。指定される場合は、空白の文字列を含む必要があります。

ProviderBundleIdentifier

文字列

必要な場合のみ。VPNSubTypeフィールドに同じタイプのVPNプロバイダを複数含むアプリケーションのバンドルIDが含まれる場合は(app-proxyまたはpacket-tunnel)、このフィールドではこの構成に使用するプロバイダを指定します。

VPNTypeVPNIPSecIKEv2であれば、対応するVPNIPSecIKEv2辞書に対して次のキーが定義され、VPN On Demandが構成されます。

OnDemandEnabled

整数

オンデマンドでVPN接続する場合は1、そうでなければ0

OnDemandMatchDomainsAlways

文字列の配列

非推奨。ドメイン名のリスト。iOS 7より前の版では、ホスト名の末尾がこの配列に設定されているいずれかのドメイン名である場合、自動的にVPNが起動されるようになっていました。

iOS 7以降、このキーがあれば、指定されたドメイン名をOnDemandMatchDomainsOnRetryキーの値と看做すようになりました。

この動作はOnDemandRulesの指定により変更できます。

OnDemandMatchDomainsNever

文字列の配列

非推奨。ドメイン名のリスト。ホスト名の末尾がここに設定されているいずれかのドメイン名である場合、自動的にはVPNが起動されません。あるドメインに属するサブドメインを、自動起動の対象から除外したい場合に有用でしょう。

この動作はOnDemandRulesの指定により変更できます。

iOS 7以降、このキーは非推奨になりました(サポートは継続)。代わりにOnDemandRules辞書のEvaluateConnectionアクションを使ってください。

OnDemandMatchDomainsOnRetry

文字列の配列

非推奨。ドメイン名のリスト。ホスト名の末尾がここに設定されているいずれかのドメイン名である場合、当該ドメイン名のDNS問い合わせに失敗すると、自動的にVPNが起動されます。

この動作はOnDemandRulesの指定により変更できます。

iOS 7以降、このキーは非推奨になりました(サポートは継続)。代わりにOnDemandRules辞書のEvaluateConnectionアクションを使ってください。

OnDemandRules

辞書の配列

オンデマンドVPNを、いつどのように使うか指定します。詳しくは、「OnDemandRules辞書キー」を参照してください。

VPNTypeAlwaysOnではない場合、次のキーを指定します。

VendorConfig

辞書

他社製のVPN製品に特有の設定情報を収容する辞書。

VPN接続の種類が「PPP」または「IPSec」の場合、構成プロファイルの最上位レベルに辞書があります。VPNTypeの値に応じ、それぞれの辞書に設定できるキーを以下に示します。

PPP辞書キー

PPP型のVPNペイロードに設定できる要素を示します。

キー

AuthName

文字列

VPNアカウントのユーザ名。L2TPまたはPPTPの場合に使用します。

AuthPassword

文字列

必要な場合のみ。TokenCardがfalseの場合にのみ可視になります。L2TPまたはPPTPの場合に使用します。

TokenCard

ブール型

RSA SecurIDのようなトークンカードを接続に用いるか否かを指定します。L2TPの場合に使用します。

CommRemoteAddress

文字列

VPNサーバのIPアドレスまたはホスト名。L2TPまたはPPTPの場合に使用します。

AuthEAPPlugins

配列

RSA SecurIDを使用する場合にのみ存在するキーで、配列の要素は1つだけであり、その値は「EAP-RSA」でなければなりません。L2TPまたはPPTPの場合に使用します。

AuthProtocol

配列

RSA SecurIDを使用する場合にのみ存在するキーで、配列の要素は1つだけであり、その値は「EAP」でなければなりません。L2TPまたはPPTPの場合に使用します。

CCPMPPE40Enabled

ブール型

CCPEnabledに関する説明を参照してください。PPTPの場合に使用します。

CCPMPPE128Enabled

ブール型

CCPEnabledに関する説明を参照してください。PPTPの場合に使用します。

CCPEnabled

ブール型

接続の暗号化を有効にします。このキーおよびCCPMPPE40Enabledtrueであれば、暗号化レベルは「自動」になります。このキーおよびCCPMPPE128Enabledtrueであれば、暗号化レベルが最大であることを表します。暗号化を施さない場合は、CCP関係のキーをいずれもtrueとします。PPTPの場合に使用します。

IPSec辞書キー

IPSec型のVPNペイロードに設定できる要素を示します。

キー

RemoteAddress

文字列

VPNサーバのIPアドレスまたはホスト名。Cisco IPSecの場合に使用します。

AuthenticationMethod

文字列

SharedSecret」または「Certificate」。L2TPまたはCisco IPSecの場合に使用します。

XAuthEnabled

整数

XAUTHがONならば1、OFFならば0。Cisco IPSecの場合に使用します。

XAuthName

文字列

VPNアカウントのユーザ名。Cisco IPSecの場合に使用します。

XAuthPassword

文字列

VPNアカウントユーザ認証に必要です。Cisco IPSecの場合に使用します。

LocalIdentifier

文字列

AuthenticationMethodSharedSecretの場合にのみ存在。使用するグループの名前。ハイブリッド認証を用いる場合、この文字列の末尾を「[hybrid]」としなければなりません。Cisco IPSecの場合に使用します。

LocalIdentifierType

文字列

AuthenticationMethodSharedSecretの場合にのみ存在。値は「KeyID」。L2TPまたはCisco IPSecの場合に使用します。

SharedSecret

データ

このVPNアカウントの共有暗号鍵。AuthenticationMethodSharedSecretの場合にのみ存在。L2TPまたはCisco IPSecの場合に使用します。

PayloadCertificateUUID

文字列

アカウント資格情報に用いる証明書のUUID。AuthenticationMethodCertificateの場合にのみ存在。Cisco IPSecの場合に使用します。

PromptForVPNPIN

ブール型

接続の際にPINを問い合わせるか否か。Cisco IPSecの場合に使用します。

OnDemandRules辞書キー

「VPN」ペイロードのOnDemandRulesキーには辞書の配列を設定します。それぞれの辞書はネットワーク照合規則を定義するもので、これを使ってネットワーク上のある場所を特定することができます。

典型的には、OnDemandRules配列の各辞書に対して、現在のネットワーク接続のプロパティを照合することにより、ドメインベースの規則にもとづいて接続の可否を判断するかどうか調べた上で、次のように接続を処理します。

  • OnDemand辞書とドメインベース で照合する場合、この辞書のEvaluateConnection配列に設定されている各辞書の、Domains配列に列挙されているドメインを、要求されたドメインと比較します。

  • ドメインベースで照合しない場合、辞書に合致すれば、指定された処理(通常はConnectDisconnectIgnoreのいずれか)を実行します。

VPN On Demandサービスは、ネットワーク状態の変化を検出すると、新たに接続されたネットワークを、各辞書に指定された照合ネットワーク規則と(所定の順序で)比較し、このネットワークに対してVPNオンデマンド接続を行うかどうか判断します。照合規則には次の条件を設定できます。

  • DNSドメインまたはDNSサーバの設定(ワイルドカード文字の指定可)

  • SSID

  • インターフェイス型

  • 到達可能なサーバの検出

辞書との照合は、辞書の配列に並んでいる順に行います。合致したと看做すのは、当該辞書に指定されているポリシーがすべて合致した場合に限ります。未知のネットワークに対して適用するデフォルトの動作は、必ず指定してください。これは、照合規則の条件が空(したがって必ず合致)の辞書を配列の末尾に置き、適当なアクションを指定することにより行います。

照合規則に合致した場合、プロファイルにURLが指定されていれば、サーバプローブを送信します。その後、辞書に定義されたポリシー(VPNOnDemandを許可、VPNOnDemandを無視、接続、切断など)に従って処理を進めます。

OnDemandRules辞書には、次のキーに対する値を設定できます。

キー

Action

文字列

ネットワークが条件に合致した場合のアクション。次のいずれかを指定します。

  • Allow - 非推奨。要求されれば接続を許可。

  • Connect - 次に接続を試みる際、無条件でVPN接続を開始。

  • Disconnect - VPN接続を解除。この辞書に合致する限り、以降、要求があっても再接続しません。

  • EvaluateConnection - 接続を試みる都度、ActionParameters配列を評価。

  • Ignore - 既存のVPN接続はそのまま維持。ただし、この辞書に合致する限り、以降、要求があっても再接続しません。

ActionParameters

辞書の配列

OnDemandRules辞書と同様の規則を設定した辞書。ただし、ネットワーク状態が変化したときではなく、接続を試みるたびに評価します。配列に並んでいる順に辞書を評価し、最初に合致した辞書にもとづいて動作を決めます。

各辞書で使用できるキーを、表1-1に示します。

注:この辞書を使うのは、Actionの値がEvaluateConnectionである場合に限ります。

DNSDomainMatch

文字列の配列

ドメイン名の配列。この配列に列挙されているいずれかのドメイン名に、デバイスの検索ドメインリストのいずれかのドメインが合致した場合、条件を満たしたことになります。

ワイルドカード「*」を先頭に置くことも可能です。たとえば、*.example.comは、mydomain.example.comまたはyourdomain.example.comのいずれかに合致します。

DNSServerAddressMatch

文字列の配列

IPアドレスの配列。ネットワークに属する、指定されたいずれかのDNSサーバのIPアドレスが、この配列中のいずれかのIPアドレスに合致すれば、条件を満たしたことになります。

ワイルドカードを1箇所だけ指定できます。たとえば、「17.*」は(先頭オクテットの値が17である)クラスAのサブネットに属するDNSサーバがすべて合致します。

InterfaceTypeMatch

文字列

インターフェイス型。この指定がある場合、ネットワークの主たるインターフェイスハードウェアがこの型であれば、条件を満たしたことになります。

サポートされる値はEthernetWiFiCellularです。

SSIDMatch

文字列の配列

着目するネットワークと照合するSSIDの配列。Wi-Fiネットワークであり、かつ、そのSSID(Service Set IDentifier)が配列中にある場合、条件を満たしていることになります。

このキーがなければ、あらゆるSSIDに合致します。

URLStringProbe

文字列

プローブするURL。このURLで示されるリソースをリダイレクトなしで取得できた(HTTP状態コードとして200が返された)場合、条件を満たしたことになります。

ActionParameters辞書で使用できるキーを表1-1に示します。

表1-1 ActionParameters辞書のキー

キー

Domains

文字列の配列

必須。この評価規則を適用するドメイン。

DomainAction

文字列

必須。指定されたドメインに対するVPNの動作を定義。次のいずれかを指定します。

  • ConnectIfNeeded - ドメイン名を解決できなかった場合(DNSサーバが解決できない旨応答した、別のサーバにリダイレクトして応答した、タイムアウトのため応答がなかった、など)、当該ドメインに対するVPN接続を試みる。

  • NeverConnect - 指定されたドメインがVPN接続をトリガしたり、既存のVPN接続を通じてアクセス可能になったりすることはありません。

RequiredDNSServers

文字列の配列

必要な場合のみ。ドメインの解決に使うDNSサーバの、IPアドレスの配列。デバイスの現行ネットワーク構成にないサーバでも構いません。このDNSサーバに到達できなかった場合は、VPN接続を確立します。内部DNSサーバか、または信頼できる外部DNSサーバを指定してください。

注:このキーは、DomainActionの値がConnectIfNeededである場合にのみ有効です。

RequiredURLStringProbe

文字列

必要な場合のみ。GET要求によりプローブする、HTTPまたはHTTPS(推奨)のURLです。サーバからHTTP応答コードを受け取らなかった場合、応答としてVPN接続が確立されます。

注:このキーは、DomainActionの値がConnectIfNeededである場合にのみ有効です。

IKEv2辞書キー

VPNTypeの値がIKEv2であれば、次のキーも辞書に設定できます。

キー

RemoteAddress

文字列

必須。VPNサーバのIPアドレスまたはホスト名。

LocalIdentifier

文字列

必須。IKEv2クライアントのID。次のいずれかの形式で指定します。

  • FQDN

  • UserFQDN

  • Address

  • ASN1DN

RemoteIdentifier

文字列

必須。遠隔ID。次のいずれかの形式で指定します。

  • FQDN

  • UserFQDN

  • Address

  • ASN1DN

AuthenticationMethod

文字列

必須。下記のいずれかを指定します。

  • SharedSecret

  • Certificate

  • None

認証でEAPのみを有効にするには、認証方法をNoneに設定し、ExtendedAuthEnabledキーを1に設定する必要があります。このキーをNoneに設定した場合に、ExtendedAuthEnabledキーが設定されていないと、認証設定はSharedSecretにデフォルトで設定されます。

PayloadCertificateUUID

文字列

必要な場合のみ。 アカウント資格情報として用いる、ID証明書のUUID。AuthenticationMethodの値がCertificateの場合、この証明書はIKEv2コンピュータ認証に送信されます。拡張認証(EAP)を使用する場合は、EAP-TLSに送信されます。

CertificateType

文字列

必要な場合のみ。このキーは、IKEv2コンピュータ認証で使用されるPayloadCertificateUUIDの種類を指定します。値は次のいずれかです。

  • RSA(デフォルト)

  • ECDSA256

  • ECDSA384

  • ECDSA521

このキーが含まれる場合ServerCertificateIssuerCommonNameキーが必要です。

SharedSecret

文字列

必要な場合のみ。AuthenticationMethodの値がSharedSecretである場合、この値をIKE認証に使います。

ExtendedAuthEnabled

整数

必要な場合のみ。1に設定すると、EAPのみの認証(上記AuthenticationMethodを参照)ななります。デフォルト値は0。

AuthName

文字列

必要な場合のみ。認証に用いるユーザ名。

AuthPassword

文字列

必要な場合のみ。認証に用いるパスワード。

DeadPeerDetectionRate

文字列

必要な場合のみ。下記のいずれかを指定します。

  • None(無効にする)

  • Lowkeepaliveが30分に1回送信される)

  • Mediumkeepaliveが10分に1回送信される)

  • Highkeepaliveが1分に1回送信される)

デフォルト値はMediumです。

ServerCertificateIssuerCommonName

文字列

必要な場合のみ。サーバ証明書発行者のコモンネーム。設定しておけば、IKEは証明書要求を、この者が発行するものとしてサーバに送信するようになります。

このキーは、CertificateTypeキーが含まれており、かつExtendedAuthEnabledキーが1に設定されている場合に必要です。

ServerCertificateCommonName

文字列

必要な場合のみ。サーバ証明書のコモンネーム。IKEサーバから届いた証明書の検証に使います。設定がなければ「Remote Identifier」の値にもとづいて検証します。

NATKeepAliveOffloadEnable

整数

必要な場合のみ。1を設定すれば、Always On VPN IKEv2接続のNATキープアライブオフロードを有効にでき、0を設定すれば無効にできるようになります。キープアライブパケットは、経路上にNATのあるIKEv2接続のNATマッピングを保持するために、デバイスから送信されます。これらのパケットは、デバイスが起動していれば定期的な間隔で送信されます。NATKeepAliveOffloadEnableが1に設定されていれば、デバイスがスリープ状態のときにキープアライブパケットはハードウェアにオフロードされます。NATキープアライブのオフロードを行うと、スリープ時に作業負荷が余分にかかるため、バッテリー駆動時間に影響が及びます。キープアライブオフロードパケットのデフォルト間隔は、WiFi接続の場合は20秒、携帯電話インターフェイスの場合は110秒です。デフォルトのNATキープアライブでも、NATマッピングタイムアウトが短いネットワーク上であれば十分に動作しますが、バッテリー駆動時間への影響が懸念されます。ネットワークのNATマッピングタイムアウトが長いことがわかっている場合は、バッテリーへの影響を最小限に抑えるため、キープアライブ間隔を長く確保してください。キープアライブ間隔は、NATKeepAliveIntervalキーを設定することで修正できます。NATKeepAliveOffloadEnableのデフォルト値は1です。

NATKeepAliveInterval

整数

必要な場合のみ。Always On VPN IKEv2接続のNATキープアライブ間隔。この値は、デバイスによって送信されるキープアライブパケットの間隔を制御します。最小値は20秒です。キーが指定されていない場合のデフォルト値は、WiFi接続の場合は20秒、携帯電話インターフェイスの場合は110秒です。

EnablePFS

整数

必要な場合のみ。1に設定すると、Perfect Forward Secrecy(PFS)for IKEv2接続が有効になります。デフォルト値は0です。

EnableCertificate- RevocationCheck

整数

必要な場合のみ。1に設定すると、IKEv2接続の証明書の失効確認が有効になります。これはベストエフォート型の失効確認であり、サーバ応答のタイムアウトは確認失敗の原因にはなりません。

設定可能なバージョン:iOS 9.0以降。

IKESecurityAssociation- Parameters

辞書

必要な場合のみ。この下の表を参照。子の「Security Association」に適用するパラメータ(ChildSecurityAssociationParametersが指定されている場合を除く)。

ChildSecurityAssociation- Parameters

辞書

必要な場合のみ。この下の表を参照。

IKESecurityAssociationParameters辞書、ChildSecurityAssociationParameters辞書には、次のキーに対する値を設定できます。

キー

EncryptionAlgorithm

文字列

必要な場合のみ。次のいずれかを指定します。

  • DES

  • 3DES

  • AES-128

  • AES-256 (デフォルト)

  • AES-128-GCM(16-octet ICV)

  • AES-256-GCM(16-octet ICV)

IntegrityAlgorithm

文字列

必要な場合のみ。次のいずれかを指定します。

  • SHA1-96

  • SHA1-160

  • SHA2-256 (デフォルト)

  • SHA2-384

  • SHA2-512

DiffieHellmanGroup

整数

必要な場合のみ。1、2(デフォルト値)、5、14、15、16、17、18、19、20、21のいずれかを指定します。

LifeTimeInMinutes

整数

必要な場合のみ。分単位で表したSA(Security Association)の有効期間(キーの更新間隔)。10〜1440の範囲で指定。デフォルト値は1440分。

UseConfigurationAttributeInternalIPSubnet

整数

必要な場合のみ。1を指定すれば、ネゴシエーションではIKEv2構成属性INTERNAL_IP4_SUBNETおよびINTERNAL_IP6_SUBNETを使用する必要があります。デフォルト値は0。

設定可能なバージョン:iOS 9.0以降。

DisableMOBIKE

整数

必要な場合のみ。1を指定すれば、MOBIKEが無効になります。デフォルト値は0。

設定可能なバージョン:iOS 9.0以降。

DisableRedirect

整数

必要な場合のみ。1を指定すれば、IKEv2リダイレクトが無効になります。指定されなければ、リダイレクト要求がサーバから受け取られた場合に、IKEv2接続はリダイレクトされます。デフォルト値は0。

設定可能なバージョン:iOS 9.0以降。

NATKeepAliveOffloadEnable

整数

必要な場合のみ。1を設定すれば、Always On VPN IKEv2接続のNATキープアライブオフロードを有効にでき1、0を設定すれば無効にできるようになります。キープアライブパケットは、IKEv2接続のNATマッピングを保持するために使用されます。これらのパケットは、デバイスが起動していれば定期的な間隔で送信されます。NATKeepAliveOffloadEnableが1であれば、デバイスがスリープ状態でもキープアライブパケットはチップによって送信されます。Always On VPNのキープアライブパケットのデフォルト間隔は、WiFi接続の場合は20秒、携帯電話インターフェイスの場合は110秒です。この間隔は、NATKeepAliveIntervalで任意の秒数に設定できます。デフォルト値は1。

設定可能なバージョン:iOS 9.0以降。

NATKeepAliveInterval

整数

必要な場合のみ。デバイスによって送信されるキープアライブパケットの間隔を制御します。最小値は20秒です。キーが指定されていない場合は、デフォルトは20秒になります。

設定可能なバージョン:iOS 9.0以降。

DNS辞書キー

VPNTypeIKEv2であれば、次のDNSキーが使用されます。

キー

ServerAddresses

文字列の配列

必須。DNSサーバのIPアドレスの文字列の配列。IPアドレスには、IPv4アドレスとIPv6アドレスを混在できます。

設定可能なバージョン:iOS 10.0以降およびmacOS 10.12以降。

SearchDomains

文字列の配列

必要な場合のみ。単一ラベルの完全修飾ホスト名で使用されるドメイン文字列のリスト。

設定可能なバージョン:iOS 10.0以降およびmacOS 10.12以降。

DomainName

文字列

必要な場合のみ。 トンネルのプライマリドメイン。

設定可能なバージョン:iOS 10.0以降およびmacOS 10.12以降。

SupplementalMatchDomains

文字列の配列

必要な場合のみ。ServerAddressesにあるDNSリゾルバ設定を使用するDNSクエリの決定に使用されるドメイン文字列のリスト。このキーは、特定のドメインにある唯一のホストがトンネルのDNSリゾルバを使用して解決されるスプリットDNS設定の作成に使用されます。リストにないドメイン上のホストは、システムのどフォルトリゾルバを使用して解決されます。

SupplementalMatchDomainsが空の文字列である場合は、これがデフォルトドメインになります。これが、スプリットトンネル設定により、すべてのDNSクエリがプライマリDNSサーバよりも手前でVPN DNSサーバに転送できる仕組みです。VPNトンネルがネットワークのデフォルトの経路になった場合、ServerAddressesにリストされたサーバがデフォルトのリゾルバになり、SupplementalMatchDomainsリストは無視されます。

設定可能なバージョン:iOS 10.0以降およびmacOS 10.12以降。

SupplementalMatch- DomainsNoSearch

整数

必要な場合のみ。SupplementalMatchDomainsリストにあるドメインをリゾルバのドメイン検索リストに追加する(0)かしない(1)かを設定します。デフォルト値は0です。

設定可能なバージョン:iOS 10.0以降およびmacOS 10.12以降。

プロキシ辞書キー

Proxies辞書には、次のキーが含まれることがあります。

キー

ProxyAutoConfigEnable

整数

必要な場合のみ。1を設定すれば、プロキシの自動構成を有効にできるようになります。デフォルト値は0。

ProxyAutoConfigURLString

文字列

必要な場合のみ。プロキシの自動構成ファイルのURL。ProxyAutoConfigEnableの値が1の場合にのみ使用します。

SupplementalMatchDomains

文字列の配列

必要な場合のみ。この値を設定すれば、1つ以上の指定ドメイン内のホスト接続でプロキシ設定が使用されます。

ProxyAutoConfigEnableが0に設定されると、辞書には次のキーも含まれることがあります。

キー

HTTPEnable

整数

必要な場合のみ。1を設定すれば、HTTPSトラフィックのプロキシを有効にできるようになります。デフォルト値は0。

HTTPProxy

文字列

必要な場合のみ。HTTPプロキシのホスト名。

HTTPPort

整数

必要な場合のみ。HTTPプロキシのポート番号。HTTPProxyが指定される場合は、このフィールドは必須です。

HTTPProxyUsername

文字列

必要な場合のみ。認証に用いるユーザ名。

HTTPProxyPassword

文字列

必要な場合のみ。認証に用いるパスワード。

HTTPSEnable

整数

必要な場合のみ。1を設定すれば、HTTPSトラフィックのプロキシを有効にできるようになります。デフォルト値は0。

HTTPSProxy

文字列

必要な場合のみ。HTTPSプロキシのホスト名。

HTTPSPort

整数

必要な場合のみ。HTTPSプロキシのポート番号。HTTPSProxyが指定される場合は、このフィールドは必須です。

AlwaysOn辞書キー

VPNTypeの値がAlwaysOnであれば、次のキーも辞書に設定できます。

キー

UIToggleEnabled

整数

必要な場合のみ。1を設定すれば、ユーザがこのVPN設定を無効にできるようになります。デフォルト値は0。

TunnelConfigurations

辞書の配列

必須。以下を参照してください。

ServiceExceptions

辞書の配列

必要な場合のみ。以下を参照してください。

AllowCaptiveWebSheet

整数

必要な場合のみ。1を指定すれば、VPNトンネルを経由しない、Captive Web Sheetからのトラフィックを許可するようになります。デフォルト値は0。

AllowAllCaptiveNetworkPlugins

整数

必要な場合のみ。1を指定すれば、VPNトンネルを経由しない、すべての「Captive Networking」アプリケーションからのトラフィックによる、キャプティブネットワーク(ユーザ登録が必要な公共ネットワーク)の操作を許可するようになります。デフォルト値は0。

AllowedCaptiveNetworkPlugins

辞書の配列

必要な場合のみ。VPNトンネルを経由しないトラフィックによるキャプティブネットワークの操作を許可する「Captive Networking」アプリケーションの配列。AllowAllCaptiveNetworkPluginsが0の場合にのみ適用。

AllowedCaptiveNetworkPlugins配列の各辞書には、BundleIdentifierキーを使って、アプリケーションのバンドルIDを表す文字列を設定する必要があります。

「Captive Networking」アプリケーションは、キャプティブネットワーク環境で処理をおこなうため、追加のエンタイトルメントを要することがあります。

TunnelConfigurations配列の各辞書には、次のキーを設定できます。

キー

ProtocolType

文字列

「IKEv2」であること。

Interfaces

文字列の配列

必要な場合のみ。この設定事項を適用するインターフェイスを指定します。有効な値はCellularWiFiです。デフォルト値はCellular, WiFi

さらに、IKEv2辞書で使うよう定義された、RemoteAddressLocalIdentifierなどのキーも、TunnelConfigurations辞書に設定できます。

ServiceExceptions配列の各辞書には次のキーを設定できます。

キー

ServiceName

文字列

必須。「Always On VPN」から除外されるシステムサービスの名前。次のいずれかを指定します。

  • VoiceMail

  • AirPrint

Action

文字列

必須。下記のいずれかを指定します。

  • Allow

  • Drop

「Web Clip」ペイロード

「Web Clip」ペイロードは、PayloadTypeの値としてcom.apple.webClip.managedを与えることにより指定します。

「Web Clip」ペイロードには、ユーザのホーム画面にWeb Clipを表示し、ブックマークとして使えるようにする働きがあります。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

URL

文字列

「Web Clip」をクリックしたときに開くURL。URLは「HTTP」または「HTTPS」で始まるものでなければ動作しません。

Label

文字列

ホーム画面に表示される「Web Clip」の名前。

Icon

データ

必要な場合のみ。ホーム画面に表示されるPNGアイコン。大きさは59×60ピクセルとします。指定がなければ白い矩形の表示になります。

IsRemovable

ブール型

必要な場合のみ。falseの場合、ウェブクリップは削除できません。デフォルト値はtrueです。macOSでは利用できません。

「Web Content Filter」ペイロード

「Web Content Filter」ペイロードを使うと、ウェブページのあるURLに対する接続を、無条件で許可(ホワイトリスト)し、あるいは無条件で禁止(ブラックリスト)することができます。このペイロードは監視対象デバイスのみが対象です。

フィルタ処理は、PayloadTypeの値としてcom.apple.webcontent-filterを指定し、FilterTypeキーを追加して次のいずれかの文字列を指定すれば有効になります。

  • BuiltIn(デフォルト)

  • Plugin

macOSでは、FilterTypePluginでなければなりません。

FilterTypeの値がBuiltInであれば、このペイロードには、あらゆるペイロードに共通のキーに加え、次のキーを設定できます。

キー

AutoFilterEnabled

ブール型

必要な場合のみ。trueならば、自動フィルタ処理が有効になります。各ウェブページのロード時に内容を調べ、子供向けでないものを判定、遮断する機能です。判定アルゴリズムは複雑で、版によっても変わることもありますが、基本的には、誹謗中傷や性的な言葉を検索する、という方法で判定します。デフォルト値はfalseです。

PermittedURLs

文字列の配列

必要な場合のみ。AutoFilterEnabledtrueの場合にのみ使用されます。そうでなければ無視されます。

自動フィルタの判定結果にかかわらず、アクセスを許可するURLを列挙します。

WhitelistedBookmarks

辞書の配列

必要な場合のみ。この設定があれば、各辞書に登録されているURLをブラウザのブックマークに追加します。これ以外のサイトにはアクセスできません。追加できるURLの数は、およそ500に制限されます。

BlacklistedURLs

文字列の配列

必要な場合のみ。アクセスを禁止するURLを列挙します。追加できるURLの数は、およそ500に制限されます。

WhitelistedBookmarksフィールドの各辞書には、次のキーに対する値を設定できます。

キー

URL

文字列

無条件で許可(ホワイトリスト)するサイトのブックマークがあるURL。

BookmarkPath

文字列

必要な場合のみ。Safariのブックマーク中、上記のブックマークの内容を追加するフォルダ。たとえば「/Interesting Topic Pages/Biology/」。

指定がなければ、デフォルトのブックマークディレクトリに追加します。

Title

文字列

ブックマークのタイトル。

このペイロードが複数ある場合、動作は次のようになります。

  • 各ペイロードのブラックリストすべての和集合が、実際に適用するブラックリストになります。すなわち、あるURLがいずれかに現れていれば、アクセスを禁止します。

  • 各ペイロードの許可リストすべての積集合が、実際に適用する許可リストになります。すなわち、どの許可リストにも現れていれば、自動フィルタの判定結果にかかわらず、アクセスを許可します。

  • 各ペイロードのホワイトリストすべての積集合が、実際に適用するホワイトリストになります。すなわち、どのホワイトリストにも現れていれば、アクセスを許可します。

URLは、文字列ベースのルート照合によって一致されます。パターンと完全に同じ文字がURLのルートとして表示されると、URLはホワイトリスト、ブラックリスト、または許可リストのパターンと照合されます。たとえば、test.com/aがブラックリストに登録されている場合、test.comtest.com/btest.com/c/d/eはすべてブロックされます。照合はサブドメインプレフィクスを破棄しないので、test.com/aがブラックリストに登録されていてもm.test.comはブロックされません。また、別名(たとえばIPアドレスに対するDNS名)との照合を試みたり、明示的にポート番号を記述している場合を特別扱いしたりすることはありません。

PermittedURLsWhitelistedBookmarksの設定がなければ、評価に当たってそのプロファイルを無視します。ただし例外として、ペイロードにAutoFilterEnabledキーの設定がある場合、PermittedURLs配列がなくても、空の配列が与えられているものと看做します。したがって、すべてのウェブサイトに対するアクセスを禁止することになります。

フィルタ処理オプションはすべて、同時にアクティブになります。すべての規則を満たしたURLやサイトのみ、アクセスを許可します。

FilterTypeの値がPluginであれば、このペイロードには、あらゆるペイロードに共通のキーに加え、次のキーを設定できます。

キー

UserDefinedName

文字列

このフィルタ設定の名前として表示される文字列。

PluginBundleID

文字列

フィルタ処理サービスを提供するプラグインのバンドルID。

ServerAddress

文字列

必要な場合のみ。サーバアドレス(IPアドレス、ホスト名、URLのいずれか)。

UserName

文字列

必要な場合のみ。サービスで用いるユーザ名。

Password

文字列

必要な場合のみ。サービスで用いるパスワード。

PayloadCertificateUUID

文字列

必要な場合のみ。ID証明書ペイロードを指すUUID。ユーザがサービスを利用する際の認証に使います。

Organization

文字列

必要な場合のみ。他社製プラグインに渡すOrganization文字列。

VendorConfig

辞書

必要な場合のみ。フィルタ処理サービスのプラグインが必要とするカスタム辞書。

FilterBrowsers

整数

必要な場合のみ。1を指定すれば、WebKitトラフィックを遮断するようになります。デフォルト値は0。

FilterSockets

整数

必要な場合のみ。1を指定すれば、ソケットトラフィックを遮断するようになります。デフォルト値は0。

フィルタが有効に働くためには、FilterBrowsersFilterSocketsの少なくとも一方がtrueでなければなりません。

「Wi-Fi」ペイロード

「Wi-Fi」ペイロードは、PayloadTypeの値としてcom.apple.wifi.managedを与えることにより指定します。

どのペイロードにも共通の設定項目に加え、このペイロードには次のようなキーが定義されています。

キー

SSID_STR

文字列

利用するWi-FiネットワークのSSID。

iOS 7.0以降、DomainNameの値が設定されていれば、必須ではなくなりました。

HIDDEN_NETWORK

ブール型

デバイスはSSID以外にも、ブロードキャストの種類、暗号化の種類などの情報を使ってネットワークを識別します。デフォルト値(false)のままであれば、ネットワークはすべてオープンまたはブロードキャストであると仮定します。隠れたネットワークを指定する場合はtrueでなければなりません。

AutoJoin

ブール型

必要な場合のみ。デフォルト値はtrueです。trueならば、ネットワークには自動的に参加するようになります。falseならば、参加するためにはネットワーク名をタップしなければなりません。

設定可能なバージョン:iOS 5.0以降と、macOSの全バージョン。

EncryptionType

文字列

可能な値はWEPWPAWPA2AnyNoneです。WPAはWPAのみ指定します。WPA2は両方の暗号化タイプに適用されます。

ネットワークアクセスポイントの能力と、この設定が合致していなければなりません。暗号化の種類が不明である、あるいはどの種類の暗号化でも適用したい場合は、Anyを指定してください。

設定可能なバージョン:iOS 4.0以降と、macOSの全バージョン。None値はiOS 5.0以降で、WPA2値はiOS 8.0以降で利用可能。

IsHotspot

ブール型

必要な場合のみ。デフォルト値はfalseです。trueならば、ネットワークをホットスポットとして扱います。

設定可能なバージョン:iOS 7.0以降およびmacOS 10.9以降。

DomainName

文字列

必要な場合のみ。Wi-Fi Hotspot 2.0にもとづくネゴシエーションに用いるドメイン名。このフィールドはSSID_STRに代わるものとして使えます。

設定可能なバージョン:iOS 7.0以降およびmacOS 10.9以降。

ServiceProviderRoamingEnabled

ブール型

必要な場合のみ。trueならば、ローミングサービス事業者への接続を許可します。デフォルト値はfalseです。

設定可能なバージョン:iOS 7.0以降およびmacOS 10.9以降。

RoamingConsortiumOIs

文字列の配列

必要な場合のみ。Wi-Fi Hotspot 2.0にもとづくネゴシエーションに用いる、Roaming Consortium Organization Identifierの配列。

設定可能なバージョン:iOS 7.0以降およびmacOS 10.9以降。

NAIRealmNames

文字列の配列

必要な場合のみ。文字列の配列。Wi-Fi Hotspot 2.0にもとづくネゴシエーションに用いる、Network Access Identifier Realm名のリスト。

設定可能なバージョン:iOS 7.0以降およびmacOS 10.9以降。

MCCAndMNCs

文字列の配列

必要な場合のみ。文字列の配列。Wi-Fi Hotspot 2.0にもとづくネゴシエーションに用いる、Mobile Country Code(MCC)/Mobile Network Code(MNC)ペアのリスト。各文字列はちょうど6桁でなければなりません。

設定可能なバージョン: iOS 7.0以降。この機能は、macOSでは動作しません。

DisplayedOperatorName

文字列

このネットワークに接続したときに表示される事業者名。Wi-Fi Hotspot 2.0のアクセスポイントでのみ使用。設定可能なバージョン:iOS 7.0以降およびmacOS 10.9以降。

ProxyType

文字列

必要な場合のみ。有効な値はNoneManualAutoです。

設定可能なバージョン:iOS 5.0以降と、macOSの全バージョン。

CaptiveBypass

ブール型

必要な場合のみ。trueに設定すると、デバイスのネットワークへの接続時にキャプティブネットワークの検出がバイパスされます。デフォルト値はfalseです。

設定可能なバージョン:iOS 10.0以降。

QoSMarkingPolicy

辞書

必要な場合のみ。この辞書がWi-Fiネットワークにないと、Wi-FiネットワークでCisco QoS優先ルートがサポートされている場合に、すべてのアプリケーションがL2およびL3マーキングを使用するようにホワイトリストに登録されます。Wi-Fiペイロードにこの辞書が存在している場合、QoSMarkingPolicy辞書にはL2およびL3マーキングにより許可されるアプリケーションのリストが設定されている必要があります。辞書のキーについては、下記の表を参照してください。

設定可能なバージョン:iOS 10.0以降。macOSでは対応していません。

QoSMarkingPolicy辞書には次のキーがあります。

キー

QoSMarkingWhitelistedAppIdentifiers

文字列の配列

必要な場合のみ。Wi-Fiネットワークに送信されるトラフィックで、L2およびL3とマークされてホワイトリストに登録されるアプリケーションバンドルIDの配列。この配列が存在しないのにQoSMarkingPolicyキーが(空であっても)存在する場合、ホワイトリストに登録されるアプリケーションはありません。

QoSMarkingAppleAudioVideoCalls

ブール型

必要な場合のみ。FaceTimeやWi-Fi通話などの内臓のオーディオ/ビデオサービスのオーディオおよびビデオのトラフィックをWi-Fiネットワークに送信されるトラフィックでL2およびL3のマーキングでホワイトリストに登録するかどうかを指定します。デフォルト値はtrueです。

QoSMarkingEnabled

ブール型

必要な場合のみ。Wi-Fiネットワークに送信されるトラフィックのマーキングにL2のみを使用し、L3を無効にする場合に使用されます。このキーがfalseならば、Wi-FiはCisco QoSの優先レーンネットワークと関連していないときと同様の動作になります。デフォルト値はtrueです。

EncryptionTypeフィールドの値がWEPWPAANYのいずれかであれば、次のフィールドも設定できます。

キー

Password

文字列

必要な場合のみ。

EAPClientConfiguration

辞書

EAPClientConfiguration辞書」を参照。

PayloadCertificateUUID

文字列

証明書」を参照。

ProxyTypeManualとした場合、次のフィールドも設定する必要があります。

キー

ProxyServer

文字列

プロキシサーバのネットワークアドレス。

ProxyServerPort

整数

プロキシサーバのポート。

ProxyUsername

文字列

必要な場合のみ。プロキシサーバの認証に用いるユーザ名。

ProxyPassword

文字列

必要な場合のみ。プロキシサーバの認証に用いるパスワード。

ProxyPACURL

文字列

必要な場合のみ。プロキシ設定を定義しているPACファイルのURL。

ProxyPACFallbackAllowed

ブール型

必要な場合のみ。falseならば、PACファイルに到達できない場合、デバイスはデスティネーションに直接接続できません。デフォルト値はfalseです。

設定可能なバージョン:iOS 7以降。

ProxyTypeAutoで、ProxyPACURLの値が指定されていなければ、デバイスはWPAD(Web Proxy AutoDiscovery)プロトコルによりプロキシを探索するようになります。

802.1Xエンタープライズネットワークの場合、EAPClientConfiguration辞書が必要です。

EAPClientConfiguration辞書

標準的な暗号化以外にも、エンタープライズネットワーク独自のプロファイルを、EAPClientConfigurationキーで指定できます。このキーが存在する場合、その値は辞書であり、次のようなキーの値を設定できます。

キー

UserName

文字列

必要な場合のみ。正確なユーザ名を知っている場合を除き、設定をインポートしたとき、このプロパティが現れることはありません。認証の際にこの情報を入力しても構いません。

AcceptEAPTypes

整数の配列

EAP(Extensible Authentication Protocol、拡張認証プロトコル)の型として次のいずれかの値を指定します。

13 = TLS

17 = LEAP

18 = EAP-SIM

21 = TTLS

23 = EAP-AKA

25 = PEAP

43 = EAP-FAST

UserPassword

文字列

必要な場合のみ。ユーザのパスワード。指定がなければ、ログインの際に入力するよう求められます。

OneTimePassword

ブール型

必要な場合のみ。trueを指定すれば、ネットワークに接続する都度、パスワード入力を求められるようになります。デフォルト値はfalseです。

PayloadCertificateAnchorUUID

文字列の配列

必要な場合のみ。この認証で用いる、信頼できる証明書を識別する文字列です。各要素には証明書ペイロードのUUIDを設定しなければなりません。このキーを設定しておけば、証明書が信頼できるものかどうか、ユーザに問い合わせることはありません。

このプロパティを指定すれば、動的信頼(証明書ダイアログ)は無効になります。ただしTLSAllowTrustExceptionsの値がtrueである場合を除きます。

TLSTrustedServerNames

文字列の配列

必要な場合のみ。信頼できるものとして受理してよいサーバ証明書の共通名のリスト。「wpa.*.example.com」のようにワイルドカードを使って指定することも可能です。逆に、サーバが提示した証明書がこのリストに載っていない場合、これは信頼できません。

単独で用いるか、またはTLSTrustedCertificatesと組み合わせて使うことにより、ネットワークごとに、信頼できるものと見なす証明書をきめ細かく設定し、動的信頼証明書は使わずに済ますことができます。

このプロパティを指定すれば、動的信頼(証明書ダイアログ)は無効になります。ただしTLSAllowTrustExceptionsの値がtrueである場合を除きます。

TLSAllowTrustExceptions

ブール型

必要な場合のみ。ユーザによる動的な信頼性確認を許可/禁止します。動的な信頼性確認とは、証明書が信頼できない場合に、証明書ダイアログを表示して確認を求めることです。falseであれば、すでに信頼できないと分かっている証明書は、直ちに認証に失敗します。上記のPayloadCertificateAnchorUUIDおよびTLSTrustedNamesを参照してください。

このプロパティのデフォルト値はtrueです。ただし、PayloadCertificateAnchorUUIDまたはTLSTrustedServerNamesが設定されている場合はfalseになります。

TLSCertificateIsRequired

ブール型

必要な場合のみ。trueであれば、EAP-TTLS、PEAP、EAP-FASTを用いた2要素認証を許可します。falseであれば、EAP-TLSを用いた0要素認証を許可します。デフォルト値は、EAP-TLSであればtrue、それ以外のEAPであればfalseです。

設定可能なバージョン:iOS 7.0以降。

OuterIdentity

文字列

必要な場合のみ。このキーはTTLS、PEAP、EAP-FASTにのみ関係します。

ユーザの身許を隠すことを許可します。ユーザの実名が現れるのは、暗号化されたトンネル内に限ります。たとえば「anonymous」、「anon」、「anon@mycompany.net」などを設定できます。

攻撃者が認証ユーザ名を容易に知ることができないので、セキュリティ向上に役立ちます。

TTLSInnerAuthentication

文字列

必要な場合のみ。TTLSモジュールが用いる内部認証を指定します。可能な値はPAP、CHAP、MSCHAP、MSCHAPv2、EAです。デフォルト値はMSCHAPv2です。

EAP-Fastの支援機能

EAP-FASTモジュールはEAPClientConfiguration辞書に格納された次のプロパティを参照します。

キー

EAPFASTUsePAC

ブール型

必要な場合のみ。trueを指定すると、既存のPACがあれば、デバイスはそれを使うようになります。そうでなければ、サーバは証明書を使って、自身のIDを示さなければなりません。デフォルト値はfalseです。

EAPFASTProvisionPAC

ブール型

必要な場合のみ。EAPFASTUsePACtrueの場合のみ使用されます。trueであれば、PACプロビジョニングを許可します。デフォルト値はfalseです。EAP-FAST PACを使うためには、この値がtrueでなければなりません。ほかにPACをプロビジョニングする手段はないからです。

EAPFASTProvisionPACAnonymously

ブール型

必要な場合のみ。trueであれば、デバイスを匿名でプロビジョニングするようになります。この場合、中間者攻撃を受ける可能性があるので注意してください。デフォルト値はfalseです。

EAPSIMNumberOfRANDs

整数

必要な場合のみ。EAPSIM認証で使うと想定するRAND(乱数)の数。2または3を指定します。デフォルト値は3です。

以上のキーはその性質上、階層構造を成しています。EAPFASTUsePACがfalseであれば、他の2つのプロパティは無視されます。同様に、EAPFASTProvisionPACがfalseであれば、EAPFASTProvisionPACAnonymouslyは無視されます。

EAPFASTUsePACがfalseであれば、認証処理はPEAPやTTLSと同じようになります。すなわち、サーバはその都度、証明書を使って身許を証明します。

EAPFASTUsePACがtrueならば、PACがある場合それを使うようになります。現状では、デバイス上のPACを取得するためには、PACプロビジョニングを許可するしか方法がありません。したがって、EAPFASTProvisionPACを有効にし、さらに必要ならばEAPFASTProvisionPACAnonymouslyも有効にする必要があります。EAPFASTProvisionPACAnonymouslyにはセキュリティ上の弱点があります。サーバを認証できないので、中間者攻撃には脆弱なのです。

証明書

VPNの設定と同様、証明書の識別情報設定を、Wi-Fi設定と関連付けることができます。これはセキュアエンタープライズネットワーク用の資格情報を定義する際に有用です。識別情報を関連付けるためには、PayloadCertificateUUIDキーの値としてペイロードUUIDを指定してください。

キー

PayloadCertificateUUID

文字列

識別資格情報に用いる証明書ペイロードのUUID。

「Domains」ペイロード

このペイロードは企業の管理下にあるドメインを定義します。ペイロード型としてcom.apple.domains PayloadTypeを与えることにより指定します。

印の付かないメールドメイン

キーEmailDomainsで指定されたどの非管理対象電子メールドメインにも、サフィックスが合致しない電子メールアドレスは、ドメイン外のものであると判断し、「メール(Mail)」アプリケーションでも区別して表示します。

キー

EmailDomains

配列

必要な場合のみ。文字列の配列。どの文字列にもサフィックスが合致しない電子メールアドレスは、ドメイン外のものと判断します。

管理対象のSafariのWebドメイン

管理対象Safariウェブドメインから発信されている文書を開こうとすると、iOSはこれを、「Open In」機能の制御(Managed Open In)の目的で管理されているものとして扱います。

キー

WebDomains

配列

必要な場合のみ。URL文字列の配列。いずれかの文字列に合致するURLは、管理対象であると判断します。macOSでは対応していません。

SafariPasswordAutoFillDomains

配列

必要な場合のみ。URL文字列の配列。iOS 9.3以降でサポートされています。macOSではサポートされていません。

ユーザは、ここに示すパターンに合致するURLのみ、Safariにパスワードを保存できます。

ユーザが使用しているiCloudアカウントによらず、デバイスが監視対象でなければ、ホワイトリストはありません。デバイスが監視対象であればホワイトリストが存在することがありますが、それでもホワイトリストがなければ、次の2つのケースに注意してください。

  • デバイスが共有iPad用に設定されている場合、パスワードは保存できません。

  • デバイスが共有iPad用に設定されていない場合、すべてのパスワードを保存できます。

WebDomainsおよびSafariPasswordAutoFillDomains配列には、次の照合パターンを使用する文字列を使用できます。

形式

説明

apple.com

apple.com以下のパスは一致しますが、site.apple.com/は一致しません。

foo.apple.com

foo.apple.com以下のパスは一致しますが、apple.com/bar.apple.com/は一致しません。

*.apple.com

foo.apple.comまたはbar.apple.com以下のパスは一致しますが、apple.comは一致しません。

apple.com/sub

apple.com/subおよびそれ以下のパスは一致しますが、apple.com/は一致しません。

foo.apple.com/sub

foo.apple.com/sub以下のパスは一致しますが、apple.comapple.com/subfoo.apple.com/bar.apple.com/subは一致しません。

*.apple.com/sub

foo.apple.com/subまたはbar.apple.com/sub以下のパスは一致しますが、apple.comまたはfoo.apple.com/は一致しません。

*.co

apple.coまたはbeats.co以下のパスは一致しますが、apple.co.ukまたはapple.comは一致しません。

接頭辞www.で始まるURLは、照合時には、その接頭辞が付加されない状態で扱われます。たとえば、http://www.apple.com/storeは、http://apple.com/storeとして照合されます。

末尾のスラッシュは無視します。

ManagedWebDomain文字列エントリにポート番号が含まれていれば、その番号を指定したアドレスのみを管理対象と判断します。含まれていない場合は、指定したポート番号を無視してドメインを照合します。たとえば、*.apple.com:8080というパターンであれば、http://site.apple.com:8080/page.htmlは一致しますが、http://site.apple.com/page.htmlには一致しません。なお、*.apple.comというパターンであれば、両方のURLに一致します。

Managed Safari Web Domainの定義は累積します。したがって、すべての「Managed Web Domains」ペイロードに定義されたパターンを、URL要求と照合することになります。

SafariPasswordAutoFillDomainsの定義は累積的です。すべてのSafariPasswordAutoFillDomainsペイロードによって定義されたパターンは、指定したURLに対してパスワードを保存できるかどうかを判断するために使われます。

「macOS Server」ペイロード

このペイロードは、macOS Serverアカウントを定義します。ペイロード型としてcom.apple.osxserver.accountを与えることにより指定します。

キー

HostName

文字列

必須。サーバアドレス。

UserName

文字列

必須。ユーザのログイン名。

Password

文字列

必要な場合のみ。ユーザのパスワード。

AccountDescription

文字列

必要な場合のみ。アカウントの説明。

ConfiguredAccounts

配列

必須。構成済みのアカウントタイプと関連設定を含む辞書の配列。各辞書は、Typeフィールドに加え、Typeに固有の追加設定によって構成されます。

現在、次のConfiguredAccounts辞書がサポートされています。

Documents辞書

キー

Type

文字列

必須。Documentsアカウントタイプ:com.apple.osxserver.documents

Port

数値

必要な場合のみ。サーバへの問い合わせに使用するポート番号を指定します。ポート番号が指定されない場合は、デフォルトポートが使用されます。

「Active Directory」ペイロード

macOS 10.9以降では、Active Directory(AD)ドメインに参加するようにmacOSを設定するために構成プロファイルを使用できます。詳細なADオプションは、ディレクトリユーティリティを使用して設定できます。または次の手順に従って、dsconfigadコマンドラインツールを使用して構成プロファイルを設定することもできます。

  1. プロファイルマネージャで作成された、macOSの「Directory」ペイロードを開始します。

  2. 手動で編集するために、プロファイルを保存してダウンロードします。

次のAD構成キーを「Directory」ペイロードに追加できます(種類はcom.apple.DirectoryService.managed)。設定の中には、関連するフラグキーがtrueに設定されている場合にのみ設定可能なものがあります。たとえば、ADPacketEncryptFlagtrueに設定されていないと、ADPacketEncryptキーをenableに設定することはできません。

キー

解説

HostName

文字列

参加するActive Directoryドメイン。

UserName

文字列

ドメインへの参加で使用するアカウントのユーザ名。

Password

文字列

ドメインへの参加で使用するアカウントのパスワード。

ADOrganizationalUnit

文字列

参加するコンピュータオブジェクトが追加される組織単位(OU)。

ADMountStyle

文字列

「afp」または「smb」を使用するネットワークホームプロトコル。

ADCreateMobileAccountAtLoginFlag

ブール型

ADCreateMobileAccountAtLoginキーを有効または無効にする。

ADCreateMobileAccountAtLogin

ブール型

ログイン時にモバイルアカウントを作成。

ADWarnUserBeforeCreatingMAFlag

ブール型

ADWarnUserBeforeCreatingMAキーを有効または無効にする。

ADWarnUserBeforeCreatingMA

ブール型

モバイルアカウントを作成する前にユーザに警告する。

ADForceHomeLocalFlag

ブール型

ADForceHomeLocalキーを有効または無効にする。

ADForceHomeLocal

ブール型

ローカルのホームディレクトリを強制。

ADUseWindowsUNCPathFlag

ブール型

ADUseWindowsUNCPathキーを有効または無効にする。

ADUseWindowsUNCPath

ブール型

Active DirectoryからのUNCパスを使用してネットワークホームを設定。

ADAllowMultiDomainAuthFlag

ブール型

ADAllowMultiDomainAuthキーを有効または無効にする。

ADAllowMultiDomainAuth

ブール型

フォレスト内の任意のドメインから認証。

ADDefaultUserShellFlag

ブール型

ADDefaultUserShellキーを有効または無効にする。

ADDefaultUserShell

文字列

ユーザシェルのデフォルト(/bin/bashなど)。

ADMapUIDAttributeFlag

ブール型

ADMapUIDAttributeキーを有効または無効にする。

ADMapUIDAttribute

文字列

UIDを属性にマッピング。

ADMapGIDAttributeFlag

ブール型

ADMapGIDAttributeキーを有効または無効にする。

ADMapGIDAttribute

文字列

ユーザGIDを属性にマッピング。

ADMapGGIDAttributeFlag

ブール型

ADMapGGIDAttributeFlagキーを有効または無効にする。

ADMapGGIDAttribute

文字列

グループGIDを属性にマッピング。

ADPreferredDCServerFlag

ブール型

ADPreferredDCServerキーを有効または無効にする。

ADPreferredDCServer

文字列

このドメインサーバを優先。

ADDomainAdminGroupListFlag

ブール型

ADDomainAdminGroupListキーを有効または無効にする。

ADDomainAdminGroupList

文字列の配列

指定したActive Directoryグループによる管理を許可。

ADNamespaceFlag

ブール型

ADNamespaceキーを有効または無効にする。

ADNamespace

文字列

プライマリユーザアカウントの命名規則を設定(デフォルトは「forest」または「domain」)。

ADPacketSignFlag

ブール型

ADPacketSignキーを有効または無効にする。

ADPacketSign

文字列

パケット署名:「allow」、「disable」または「require」(「allow」がデフォルト)。

ADPacketEncryptFlag

ブール型

ADPacketEncryptキーを有効または無効にする。

ADPacketEncrypt

文字列

パケット暗号化:「allow」、「disable」、「require」または「ssl」(「allow」がデフォルト)。

ADRestrictDDNSFlag

ブール型

ADRestrictDDNSキーを有効または無効にする。

ADRestrictDDNS

文字列の配列

動的DNSの更新を指定したインターフェイス(en0、en1など)に制限。

ADTrustChangePassIntervalDaysFlag

ブール型

ADTrustChangePassIntervalDaysキーを有効または無効にする。

ADTrustChangePassIntervalDays

数値

コンピュータが信頼するアカウントでパスワードの変更が必要な頻度(日数で指定、「0」の場合は無効)

暗号化プロファイル

プロファイルは暗号化が可能です。復号にはデバイスにインストール済みの秘密鍵が必要です。

プロファイルを暗号化する手順は次の通りです。

  1. PayloadContent配列を削除し、適切なplistの形にシリアライズする。このplistの最上位オブジェクトは、辞書ではなく配列であることに注意してください。

  2. シリアライズしたplistに対し、エンベロープでラップしたデータとしてCMS暗号化を施す。

  3. このデータをDER形式でシリアライズする。

  4. プロファイルにこのデータを、plist項目「Data」の値として設定する(キーはEncryptedPayloadContent)。

プロファイルの署名

プロファイルに署名を施す場合、DER-エンコード済みのCMS Signed Dataデータ構造体に、XML plistを配置してください。

構成プロファイルの例

「SCEP」ペイロードが含まれる構成プロファイルの例を以下に示します。

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple Inc//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
    <dict>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadUUID</key>
        <string>Ignored</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadIdentifier</key>
        <string>Ignored</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadContent</key>
                <dict>
                    <key>URL</key>
                    <string>https://scep.example.com/scep</string>
                    <key>Name</key>
                    <string>EnrollmentCAInstance</string>
                    <key>Subject</key>
                    <array>
                        <array>
                            <array>
                                <string>O</string>
                                <string>Example, Inc.</string>
                            </array>
                        </array>
                        <array>
                            <array>
                                <string>CN</string>
                                <string>User Device Cert</string>
                            </array>
                        </array>
                    </array>
                    <key>Challenge</key>
                    <string>...</string>
                    <key>Keysize</key>
                    <integer>1024</integer>
                    <key>KeyType</key>
                    <string>RSA</string>
                    <key>KeyUsage</key>
                    <integer>5</integer>
                </dict>
                <key>PayloadDescription</key>
                <string>Provides device encryption identity</string>
                <key>PayloadUUID</key>
                <string>fd8a6b9e-0fed-406f-9571-8ec98722b713</string>
                <key>PayloadType</key>
                <string>com.apple.security.scep</string>
                <key>PayloadDisplayName</key>
                <string>Encryption Identity</string>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadOrganization</key>
                <string>Example, Inc.</string>
                <key>PayloadIdentifier</key>
                <string>com.example.profileservice.scep</string>
            </dict>
        </array>
    </dict>
</plist>