システム拡張ホワイトリスト

システム拡張により、ネットワーク拡張機能やエンドポイント・セキュリティー・ソリューションなどのソフトウェアは、カーネル・レベルのアクセスを必要とせずに macOS の機能を拡張できます。

このタスクについて

インストールが完了すると、ホワイトリストに登録された拡張機能を macOS システム上のすべてのユーザーが使用できるようになり、以前にカーネル拡張用に予約されていたタスクを実行できます。システム拡張について詳しくは、こちらを参照してください。

注:

1 つのポリシー自体に、複数のシステム拡張ホワイトリストを指定できます。
複数のシステム拡張ホワイトリスト・ポリシーを「ポリシー・グループ」に追加してデプロイできます。

システム拡張ホワイトリスト・ポリシーを作成するには、次の手順に従います。

MDM アプリケーションを開きます。
「ポリシーの作成」をクリックします。
ポリシー・タイプのリストから「システム拡張ホワイトリスト」を選択します。以下のページが表示されます。
次の詳細を入力します。
- ポリシー名: ポリシーの名前を入力します。
- 説明: ポリシーの説明を入力します。
- オペレーティング・システム: これは macOS にのみ適用されるので、変更できません。
- サイトへのポリシーの割り当て: ドロップダウン・メニューからサイトを選択し、ポリシーを選択したサイトに割り当てます。マスター以外のオペレーターの場合は、アクセスできるサイトのみドロップダウン・メニューに表示されます。
「システム拡張ホワイトリストを定義」に、チーム ID とバンドル ID を入力します。
- チーム ID: チーム ID は、特定の開発チームに固有です。これは 10 桁の英数字ストリングで、Apple が生成し、開発者またはベンダーの「開発者 ID」に関連付けます。
- バンドル ID: バンドル ID は、システム拡張ポリシーを一意に識別する英数字のストリングです。特定のチーム ID に対して、複数のバンドル ID をコンマで区切って指定できます。
チーム ID とバンドル ID を特定するには、以下のコマンドを使用して、ターミナル経由でマシンに存在するシステム拡張のリストを取得します。
```
systemextensionsctl list
```
このコマンドは、すべての製品にわたってマシン上で有効なすべてシステム拡張を表示します。ホワイトリストへの登録に関係するものを見つけ、ホワイトリストに登録するすべてのものを対象とするポリシーを作成する必要があります。
出力は以下のようになります。
```
bigfixmdm@LP2-US-xxxxxxxx mdm % systemextensionsctl list

1 extension(s)

--- com.apple.system_extension.network_extension

enabledactiveteamIDbundleID (version)name[state]

**PXPZ95SK77com.paloaltonetworks.GlobalProtect.client.extension (5.2.6-87/1)GlobalProtectExtension[activated enabled]
```
ここで、PXPZ95SK77 はチーム ID で com.paloaltonetworks.GlobalProtect.client.extension はバンドル ID です。
注:
- 特定のベンダーのアプリケーションのシステム拡張をホワイトリストに登録するには、チーム ID とバンドル ID の両方を指定する必要があります。
- リストの最後のエントリーのみが実際に使用されるので、同じチーム ID を持つ複数のエントリーを追加しないでください。同じチーム ID を使用してホワイトリストに登録する複数のシステム拡張がある場合は、すべてのバンドル ID をコンマで区切って 1 つのエントリーに追加します。例:
```
Bundle IDs: BundleID1,BundleID2,BundleID3
```
- 拡張タイプを指定しない場合、ポリシーはチーム ID に関連付けられたすべてのシステム拡張が許可されていると想定します。
許可されるシステム拡張タイプ:
- ドライバー拡張: DriverKit フレームワークを使用し、ユーザーが macOS にインストールできる USB、シリアル、NIC、HID デバイス用のドライバーを作成する場合に選択します。DriverKit について詳しくは、こちらを参照してください。
- ネットワーク拡張: ネットワーク拡張アプリ (コンテンツ・フィルター、DNS プロキシー、VPN クライアントなど) を macOS のシステム拡張として配布する場合に選択します。ネットワーク拡張について詳しくは、こちらを参照してください。
- エンドポイント・セキュリティー拡張: エンドポイント検出および応答ソフトウェア、アンチウィルス・ソフトウェアを含むエンドポイント・セキュリティー・クライアントは、新しいエンドポイント・セキュリティー API を使用して、システム・イベントのモニターとブロックを行い、セキュリティー・ポリシーにさらに準拠し、潜在的な悪意のある行為から保護します。エンドポイント・セキュリティーについて詳しくは、こちらを参照してください。
システム拡張の追加: 1 つのポリシー内で異なるベンダーの複数の製品をホワイトリストに登録する場合は、「拡張の追加」をクリックして、チーム ID とバンドル ID を同じポリシーに追加します。
「保存」をクリックします。システム拡張ホワイトリストが作成されます。

タスクの結果

システム拡張ホワイトリスト・ポリシーが作成され、デプロイの準備ができました。

次のタスク

作成したポリシーを「ポリシー・グループ」に追加し、MDM サーバーまたは適格なデバイスにデプロイします。