Active Directory のグループポリシー(GPO)項目と同じ内容を Mac に設定できますか?

macOS に標準装備されている Active Directory プラグインでは、Active Directory のユーザIDとパスワードで認証・ログインを行うことが可能ですが、USBメモリーの制限や、Webサイトへのアクセス制限、カメラの使用禁止などの企業ポリシーを適用することは行えません。

それらを行えるようにするのが、「Active Directory 改修サービス」になります。

ただし、ここで説明させていただいている「企業ポリシー」は、Windows Active Directory のグループ・ポリシー・オブジェクトとは異なります。

Windows と Apple社の macOS, iOS, tvOS は全く異なる設計思想と機能の OS になります。
そのため、仮に、Active Directory のGPOをそのまま Apple社の OS に適用できたとしても現実的には全く実用にはなりません。

Active Directory 改修サービス適用後、Mac クライアントの管理には macOS Server に搭載されている Profile Manager の「プロファイル」を使用します。

Profile Manager の管理項目はADのグループポリシーと異なっているため、全て同じ設定を行えるとは限りません。

Microsoft社は自社の Windows を組織のポリシーで管理・運用するために必要な項目を Active Directory の グループポリシーとして用意しており、
Apple社は自社のmacOS, iOS, tvOS を組織のポリシーで管理・運用するために必要な項目を Profile Manager のプロファイルに用意しています。

そのため、一般的に必要な内容、例えば「USBメモリの使用」「カメラへの制限」「ネットワーク接続の制限」など、機能として重なっているものが多いと思われます。
また、 Macに特有な項目、例えば「Game Center の使用」「AirDropの使用」「Dockに関する設定」等も多くございます。

Profile Manager で設定できる項目(大項目)は下記となります。
(一部、ユーザに設定できる項目、デバイスに設定できる項目で異なる部分がございますが)

macOS, iOS, tvOS 共通で設定できる項目

一般
ネットワーク
証明書
SCEP

macOSとiOS 共通で設定できる項目

パスコード
VPN
フォント
AirPlay

iOSとtvOS 共通で設定できる項目

グローバルHTTPプロキシ
App構成

iOS で設定できる項目

制限
シングルAppモード
コンテンツフィルタ
ドメイン
シングルサインオン
AirPrint
メール
Exchange
LDAP
連絡先
カレンダー
Googleアカウント
照会カレンダー
Webクリップ
セルラー
macOS Serverアカウント
ホーム画面のレイアウト
ネットワーク使用ルール
通知
ロック画面のメッセージ

macOS で設定できる項目

識別子
制限
セキュリティとプライバシー
AD証明書
ディレクトリ
ログインウィンドゥ
ログイン項目
モバイル環境
Dock
ソフトウェア・アップデート
プリント
省エネルギー
ペアレンタルコントロール
Time Machine
Finder
アクセシビリティ
Xsan
プロキシ
カスタム設定

tvOS で設定できる項目

制限
シングルAppモード
会議室のディスプレイ

 

このように大項目だけ見ても Windows には搭載されていない機能も多く見られ、それらは当然 Windows GPOには用意されていません。
つまり GPO 項目をそのまま持って来るだけでは Apple 製品を組織運用することはできないということになります。

さらに詳しいご説明などは、関東圏無料の訪問説明、或いは無料デモンストレーションをご請求ください。

Active Directory 改修サービス」につきましてはこちらから

AD改修サービス