ディレクトリサービスの設定 (macOS デバイスポリシー)

ディレクトリサービスの設定では、ポリシーが割り当てられたときに Mac が参加する Active Directory のドメインを指定します。

注: ここで設定する Active Directory のドメインが、セルフサービスポータルで使用しているものと同じ場合、Mac に適用されている macOS ユーザーポリシーは、その Mac にログインしているすべての Active Directory ユーザーに適用されます。

全般設定


設定/フィールド	説明
ドメインのホスト名	参加する Active Directory ドメインの DNS ホスト名。
AD 管理者名	Active Directory サーバーに接続するために使用されるユーザーアカウントの認証情報。このユーザーには、Active Directory データベースにデバイスを追加するアクセス権が必要です。
パスワード
組織単位	参加するコンピュータが追加される Active Directory の組織単位 (OU)。

ユーザーエクスペリエンス


設定/フィールド	説明
モバイルアカウントを作成する	ネットワークユーザーの初回ログイン時に、macOS でモバイルアカウントが作成されます。モバイルアカウントを使用すると、ユーザーは、Mac が Active Directory サーバーに接続していないときでも、Active Directory 認証で Mac にログインできます。
モバイルアカウントを作成する前に確認を要求する	ユーザーはモバイルアカウントを作成するかどうかを選択します。
強制的にローカルホームフォルダを使用する	このチェックボックスを選択すると、強制的に起動ディスクにユーザープロファイルが作成されます。この設定はモバイルアカウントを使用する場合に必要です。チェックボックスの選択を外すと、純粋なネットワークホームディレクトリが使用されます。
Active Directory の UNC パスを使用する	Active Directory のユーザーアカウントで指定されているホームフォルダが、macOS でマウントされます。
ネットワークプロトコル	ホームフォルダをマウントするためのプロトコル。
デフォルトのユーザーシェル	ユーザーが使用するコマンドラインシェル。このフィールドを空白にすると、/bin/bash が使用されます。

マッピング


設定/フィールド	説明
UID の属性	macOS の一意のユーザー ID (UID) にマッピングされる Active Directory の属性。
ユーザー GID の属性	macOS のユーザーアカウントのプライマリグループ ID にマッピングされる Active Directory の属性。
グループ GID の属性	macOS のグループアカウントのグループ ID にマッピングされる Active Directory の属性。

重要: これらのマッピングの設定を後から変更した場合、ユーザーが変更前に作成されたファイルにアクセスできなくなることがあります。

管理用


設定/フィールド	説明
推奨 DC サーバー	最初に問い合わせる Active Directory のドメインコントローラ (DC)。このフィールドを空白にすると、macOS は、サイト情報とコントローラの応答状況によりドメインを選択します。
パスワードの信頼間隔 (日数)	Active Directory ドメインに参加している Mac のコンピュータアカウントのパスワードが、macOS で変更される頻度を指定します。このフィールドを空白にした場合、14日ごとにパスワードが変更されます。値を「`0`」に設定すると、パスワードの自動変更が無効になります。
ネームスペース	フォレスト名前空間のサポートが有効になります。Active Directory フォレスト内のさまざまなドメインに存在する同じログイン名持つ複数のユーザーのログインが可能です。ユーザーは`ドメイン名\ユーザー名` という形式でログイン名を入力する必要があります。ドメイン名前空間のサポートが無効になります。ユーザーのログイン名は一意である必要があります。
パケット署名	macOS は、Active Directory との通信に使用する LDAP 接続に署名して暗号化することができます。許可: macOS は LDAP 接続に署名と暗号化 (またはそのどちらか) を行うかどうかを判定します。無効: macOS は LDAP 接続に署名と暗号化のいずれも行いません。必須: macOS は常に LDAP 接続に署名して暗号化します。 SSL/TLS: macOS は常に LDAPS (SSL/TLS を使用した LDAP) を使用します。
パケット暗号化
マルチドメイン認証	Active Directory フォレスト内のすべてのドメインに存在するユーザーがログインできます。
ドメイン管理者グループ	Active Directory グループの一覧。これらのグループのメンバーには、Mac の管理者権限が付与されます。複数のグループを入力するには、各項目を入力した後、「Enter」を押してください。
DDNS の制限	ネットワークインターフェースの一覧。デフォルトで macOS は、すべてのネットワークインターフェースに対して、DDNS (Dynamic Domain Name System) を使用します。特定のインターフェースに対して DDNS を制限するには、対象のインターフェースの BSD 名を入力します。たとえば、ビルトインのイーサネットポートの DDNS を制限するには、`en0` と入力します。複数のインターフェースを入力するには、各項目を入力した後、「Enter」を押してください。