はじめに...
調査した内容を時系列にまとめた資料なので、その点ご了承ください。
目次
- 実行環境
- 実現したいこと
- CLIを使った制御
- プロファイルを使った制御(ProfileCreator)
- プロファイル生成
- プロファイル適用
- プロファイル動作確認
- まとめ
1. 実行環境
| 項目 | 情報 |
|---|---|
| OS | macOS 11.3.1 |
| HW | MacBook Air (11-inch, Mid 2013) |
| MDM環境 | microsoft intune |
2. 実現したいこと
最終目標
- GUIの操作なしにmacのセットアップが行える環境を整備したい
今回の目標
- GUIの操作なしにシステム環境設定 > セキュリティとプライバシー > プライバシー の設定をセットアップする
3. CLIを使った制御
調査したところ…関連した情報を3つほど得ることができたが、採用は見送りとした。
- tccutilコマンド
- /Library/Preferences/.GlobalPreferences の設定変更
- /Library/Application Support/com.apple.TCC/TCC.db の設定変更
tccutil コマンドは、Big Sur(11.3.1)では、reset(削除)するオプションしか存在せず、「操作」に当たらない。また、Configやsqlite形式のファイルを操作し、設定する方法もあったが、継続利用できるかは不透明なため見送りとする。
参照リンク
4. プロファイルを使った制御(ProifleCreator)
CLIを諦めて、プロファイルにより制御できないか調査した。MDMのポリシー制御設定を使うことで制御できるとの情報があったが、手動で記載するのは辛いため、githubで公開されているProfileCreatorを使って、プロファイルの雛形を作成することにした。
5. プロファイル生成
今回は、テストのしやすさを重視し、Edge For macOSにてcameraデバイスの制御(拒否)を行なってみる。
プロファイルの生成は、ProifleCreatorを使って、Privacy Preferences Policy Control からCameraデバイスを選択、アプリの登録する。
また、アプリの登録については、Finderからアプリをドラッグ&ドロップすれば登録できる。
制御可能な内容は、設定毎に定められており、Cameraデバイスの制御は、「拒否」することしかできないため、注意が必要。
5. プロファイル適用
MDMプロファイルとなるため、何らかのMDMサービス経由で適用が必要。
今回はintuneを利用して、対象端末にプロファイルを適用する。
※ 端末は、すでにintuneへ参加しているものとする。
Microsoft Endpoint Manager Admin Centerにログインし、
デバイス > macOS > 構成プロファイルを開き、プロファイル作成ボタンをクリック。
今回は、以下のようにポリシーを作成/適用。
適用した後、しばらくするとmacOSにプロファイルが適用される。
7. プロファイル動作確認
webブラウザ経由でカメラの動作を確認したところ、プライバシー設定にてカメラを設定しているにもかかわらず、カメラが利用できない状態となった。無事成功。
設定-セキュリティとプライバシー
8. まとめ
- MDM + プロファイルを使って、GUIの操作なしにシステム環境設定 > セキュリティとプライバシー > プライバシーの設定をすることができた
- ただし、プロファイルを設定しても、システム環境設定の設定項目がグレーアウトするなどの機能はなかった
※なお、プロファイルを設定しない状態でカメラが利用できることは確認済