コンテンツにスキップ

ディレクトリサービスの設定 (macOS デバイスポリシー)

ディレクトリサービス」の設定では、ポリシーが割り当てられたときに Mac が参加する Active Directory のドメインを指定します。

ここで設定する Active Directory のドメインが、Sophos Central Self Service Portal で使用しているものと同じ場合、Mac に適用されている macOS ユーザーポリシーは、その Mac にログインしているすべての Active Directory ユーザーに適用されます。

全般設定

設定 説明
ドメインのホスト名 参加する Active Directory ドメインの DNS ホスト名。
AD 管理者名

Active Directory サーバーに接続するために使用されるユーザーアカウントの認証情報。

このユーザーには、Active Directory データベースにデバイスを追加するアクセス権が必要です。

パスワード
組織単位 参加するコンピュータが追加される Active Directory の組織単位 (OU)。

ユーザーエクスペリエンス

設定 説明
モバイルアカウントを作成する

ネットワークユーザーの初回ログイン時に、macOS でモバイルアカウントが作成されます。

モバイルアカウントを使用すると、ユーザーは、Mac が Active Directory サーバーに接続していないときでも、Active Directory 認証で Mac にログインできます。

モバイルアカウントを作成する前に確認を要求する ユーザーはモバイルアカウントを作成するかどうかを選択します。
強制的にローカルホームフォルダを使用する

このチェックボックスを選択すると、強制的に起動ディスクにユーザープロファイルが作成されます。この設定はモバイルアカウントを使用する場合に必要です。

チェックボックスの選択を外すと、純粋なネットワーク ホーム ディレクトリが使用されます。

Active Directory の UNC パスを使用する Active Directory のユーザーアカウントで指定されているホームフォルダが、macOS でマウントされます。
ネットワークプロトコル ホームフォルダをマウントするためのプロトコル。
デフォルトのユーザーシェル

ユーザーが使用するコマンドラインシェル。

このフィールドを空白のままにすると、/bin/bash が使用されます。

マッピング

警告

これらのマッピングの設定を後から変更した場合、ユーザーが変更前に作成されたファイルにアクセスできなくなることがあります。

設定 説明
UID の属性 macOS の一意のユーザー ID (UID) にマッピングされる Active Directory の属性。
ユーザー GID の属性 macOS のユーザーアカウントのプライマリグループ ID にマッピングされる Active Directory の属性。
グループ GID の属性 macOS のグループアカウントのグループ ID にマッピングされる Active Directory の属性。

管理用

設定 説明
推奨 DC サーバー

最初に問い合わせる Active Directory のドメインコントローラ (DC)。

このフィールドを空白にすると、macOS は、サイト情報とコントローラの応答状況によりドメインを選択します。

パスワードの信頼間隔 (日数)

Active Directory ドメインに参加している Mac のコンピュータアカウントのパスワードが、macOS で変更される頻度を指定します。

このフィールドを空白にした場合、14日ごとにパスワードが変更されます。

値を「0」に設定すると、パスワードの自動変更が無効になります。

名前空間
  • フォレスト: 名前空間のサポートが有効になります。Active Directory フォレスト内のさまざまなドメインに存在する同じログイン名持つ複数のユーザーのログインが可能です。

    ユーザーは DOMAIN\name という形式でログイン名を入力する必要があります。

  • ドメイン: 名前空間のサポートが無効になります。ユーザーのログイン名は一意である必要があります。
パケット署名

macOS は、Active Directory との通信に使用する LDAP 接続に署名して暗号化することができます。

  • 許可: macOS は LDAP 接続に署名と暗号化 (またはそのどちらか) を行うかどうかを判定します。
  • 無効: macOS は LDAP 接続に署名と暗号化のいずれも行いません。
  • 必須: macOS は常に LDAP 接続に署名して暗号化します。
  • SSL/TLS: macOS は常に LDAPS (SSL/TLS を使用した LDAP) を使用します。
パケット暗号化
マルチドメイン認証 Active Directory フォレスト内のすべてのドメインに存在するユーザーがログインできます。
ドメイン管理者グループ

Active Directory グループの一覧。

これらのグループのメンバーには、Mac の管理者権限が付与されます。

グループを追加するには、Active Directory ドメイン名、バックスラッシュ、およびグループアカウント名を入力します。たとえば、ADS\Domain Admins などです。

入力する項目では、大文字と小文字が区別されます。

DDNS の制限

ネットワークインターフェースの一覧。

デフォルトで macOS は、すべてのネットワークインターフェースに対して、DDNS (Dynamic Domain Name System) を使用します。特定のインターフェースに対して DDNS を制限するには、対象のインターフェースの BSD 名を入力します。

たとえば、ビルトインのイーサネットポートの DDNS を制限するには、en0 と入力します。

複数のインターフェースを入力するには、各項目を入力した後、「Enter」を押してください。