macOS Catalina の変更点について熟々書いてみる

macOS Catalina の変更点について熟々書いてみる

macOS Catalina の最も大きな変更点は多くあります。これについて熟々書いてみたいと思います。

0. 監視モードとアクティベーションロック

これも iOS デバイスと同じように Automated Device Enrollment に対応した macOS Catalina コンピュータは、監視モード及びアクティベーションロックが行えるようになります。条件としては以下のコンピュータになります。macOS でアクティベーションロックとか悪夢だと思ってしまう管理者も多いかもしれませんが、こちらも iOS 同様アクティベーションロックのバイパスを行うコマンドが実装されているため心配ありません。

1. T2セキュリティチップを採用した Macコンピュータ（2018年モデル以降）
2. macOS Catalina へアップグレードされている
3. 設定されている Apple ID が2ファクタ認証設定されている
4. セキュアブート設定では、完全なセキュリティ及び外部メディアからの起動禁止が設定されている
   

監視モードに関してですが、まだそれほど影響は大きくありませんが、今後数年で企業向けの Macコンピュータも監視モード必須化の流れが始まるかなと見ています。

1. 32bit アプリケーションのサポート終了

かなりインパクトの大きい 32ビットアプリケーションのサポート終了があります。iOS でも通った道ですが、macOS では避けられない対応となります。

【Apple】32 ビット App と macOS High Sierra 10.13.4 以降の互換性
"Apple の 64 ビットテクノロジへの移行は完了しました。macOS Catalina 以降では、32 ビットの App は macOS との互換性がなくなります。32 ビットの App をお使いの場合は、App のデベロッパにお問い合わせの上、64 ビット版の提供予定をご確認ください。"

2. iTunes が無くなった

iTunes は macOS では引退になりました。音楽を管理するためだったツールがデバイスを管理するツールになったので、色々無理くり感があったのですが、デバイスの管理は macOS の Finder に統合されてスッキリしました。コンテンツ管理も Music と TV と Podcasts に分割されました。
Finder 内には、一般、Music、映画、テレビ番組、Podcast、オーディイオブック、ブック、写真、ファイル、情報のタブが並び、それぞれ同期に関する設定を行うことができます。

---

3. デフォルトシェルは bash から zsh へ

macOS Catalina からはデフォルトシェル は zdh となります。zsh は Bourne シェルと互換性の高いシェルで、bash とも高い互換性があります。macOS Mojave でもデフォルトシェル を zsh にしたい場合は、以下の手順で設定できます。

1. 設定アイコンをクリック
2. ユーザとグループ選択
3. （鍵マークロックを解除）
4. （自分のユーザ名を control キー押しながらクリック）
5. 詳細オプションを選択
6. ログインシェルのプルダウンから /bin/zsh を選択

システム管理者は、シェルが変更される可能性を考慮せずにbashスクリプトを作成していることが多く、 macOSのすべてのシェルには多くの類似点がありますが、それらはすべて微妙に異なります。 既存のbashスクリプトの多くが機能する可能性もありますが、機能しない可能性もあります。もしデフォルトシェルを変更せずに、Terminal 起動で zsh でスクリプトをテストしたい場合は以下の手順で設定します。

1. Terminal を起動
2. command + , で環境設定を開く
3. 開くシェルを「デフォルトのログインシェル」から「コマンド」に切り替え、/bin/zsh を指定します

また、bash プロファイルを利用している場合は、以下のようにマイグレーションすることができます。

• .bash_profile を使っていたユーザは .zprofile に変更するとログイン時に実行
• .bashrc を使っていたユーザは、.zshrc に変更すると新しいターミナルセッションごとに実行
• .profile を使っていたユーザは、.zprofile に以下のコマンドを追加
  [[ -e ~/.profile ]] && emulate sh -c 'source ~/.profile'

4. Script の互換性が色々課題になりそう

現状の Catalina ではまだ問題ありませんが、今後は Script の互換性に関して色々と管理者は腐心しなければならなくなりそうです。

macOSで利用できるスクリプト言語のいくつか＝PHP、Perl.Ruby、Python、および OpenSSLなどの、
いくつかについて、サーバー管理者が確実に気をつけなければならない注意事項があります。

1. Perl、Ruby、Pythonなどのスクリプト言語ランタイムは、レガシーソフトウェアとの互換性のためにmacOSに含まれています。macOSの将来のバージョンでは、スクリプト言語ランタイムはデフォルトで使用できなくなり、追加パッケージのインストールが必要になる場合があります。（XCode 11リリースノート）
   macOSには常にこれらが含まれていましたが、現在の Catalina にはまだ含まれていましたが、将来のバージョン、おそらく次のバージョンには含まれない可能性があります。
2. Python 2.7の使用は推奨されません。このバージョンは、レガシーソフトウェアとの互換性のために macOSに含まれています。 macOSの将来のバージョンには Python 2.7 は含まれません。代わりに、ターミナルで Python3 を実行することをお勧めします。（XCodeベータノート）
   

4. Apple File System（APFS）

筆者の中では macOS の最大の変更点はここに尽きると思っています。iPad 用の App が macOS で動作するようになることをずっと仄めかしてきた Apple ですが、iPadOS と macOS の垣根をどんどん少なくしようとしているように思えます。

APFS: リードオンリーになったシステムボリューム

Apple File Systyem における最大の変更点とも言える、APFS コンテナ技術に基づく Multi Volume の採用で、システムファイルは全てリードオンリーのコンテナ化された Volume に格納されます。これによってマルウェアなどによるシステム侵害の危険がなくなります。このリードオンリーボリュームをオプトアウトすることは出来ません。

APFS: ファームリンクの追加

今まで macOS には同じファイルのノード番号を持つ実体リンク（ハードリンク）と、ファイルまたはディレクトリへのパスを記述したシンボリックリンクの2種類がありましたが、今回のリードオンリーボリュームの実装のために、新たにリードオンリーボリュームとの相互リンクを可能とするファームリンクが追加されました。これはリードオンリーボリュームのディレクトリとの相互リンク用に実装され、ユーザやアプリケーションがこれを利用することは出来ません。

APFS: ボリュームレプリケーション

APFSでは、単一のAPFSコンテナ内のボリューム間でスペース共有可能になりました。ボリュームを複製したい理由は様々ですが、主に教室を設置する学校や、多くのコンピューターを設置する会社でシステムの復元というニーズがあります。

これを Apple System Recovery (ASR) を使用して行うことができます。

macOS Catalina APFSとASRは統合され、ボリュームの複製に関していくつかの新しい変更が加えられました。

暗号化された特定のボリュームは複製される時に複合化され、複製を復元するときに再度暗号化が自動で行われます。

ASRを使用してボリュームの複製または復元が可能ですが、復元には2つのオプションがあります。①復元先として既存のボリューム、または②新しいボリュームが指定できます。また、常にフルボリュームから復元する必要がなく、過去に記録したスナップショットから復元することもできます。これは、macOS Catalinaで可能になりました。

新しいAPFSの変更により、スナップショットから復元し、APFSボリュームの内容を別のスナップショットで上書きできるため、macOSを多数のコンピューターに非常に高速に展開可能になるでしょう。さらに、ボリュームに復元する場合、ASR は2つのボリュームまたはスナップショット間で異なるファイルのみを復元できるため、復元が大幅に高速化される利点もあります。

5. MDM のペイロード関係の変更点

コンテンツキャッシュ・ペイロード

ネットワーク帯域の大幅な節約が可能となるコンテンツキャッシュ機能ですが、Catalina から3つのオプションが MDM から指定可能になりました。

1. システムが他のアプリ用のディスク領域を必要とするときにキャッシュからコンテンツを削除する（初期値：有効）
2. ステータスアラートの表示（初期値：無効）
3. キャッシュがオンのときにコンピューターがスリープしないようにする（初期値：無効）

Dock ペイロード

「ドキュメントを開くときにタブを優先する」のルールとして、「常に」「全画面のときのみ」「手動」が選択できます。（初期値：全画面のときのみ）

Finder ペイロード

画面ロックが追加されました。初期値は有効ですが、ユーザが画面をロックできるかどうかを指定できます。

機能制限ペイロード

割と macOS 管理者が待ち望んでいた機能制限項目が追加になっています。ソフトウェアアップデート遅延制限です。
下記の項目が追加になりました。

1. 「ディクテーションを許可」（初期値：有効）
2. 「iCloud写真を許可する」と「iCloudノートを許可する」（初期値：有効）
3. 「コンテンツキャッシュを許可する」（初期値：有効）
4. 「ソフトウェアの更新を延期する」（初期値：無効　有効時は1〜90日までの範囲で指定可能）
   
5. HandOff を禁止（初期値：無効）
   

ソフトウェアアップデートペイロード

純粋なソフトウェアアップデートは機能制限に移行しましたが、以下の2つがソフトウェアアップデートオプションとして選択可能になっています。

1. 「macOSアップデートを自動的にインストールする」（初期値：有効）
   
2. 「App Storeからアプリアップデートを自動的にインストールする」（初期値：有効）

プライバシー環境設定ポリシー制御ペイロード

個別のアプリケーション毎にアクセスを許可する対象を設定できます。

• 「ダウンロード」フォルダ
• イベントリスト
• ファイルプロバイダ
• 入力デバイス（マウス、キーボード、トラックパッド）
• メディアライブラリ
• ネットワークボリューム
• リムーバブルボリューム
• 画面の取り込み
• 音声認識

Webコンテンツフィルタペイロード

iOS と iPadOS でも実装されているアダルトコンテンツフィルターと許可・拒否リストが設定できるフィルターですが、新たに以下の3つが追加になりました。

1. データをフィルタ
   
2. パケットをフィルタ
3. フィルタ・グレード・タイプを設定: ファイアウォールまたはインスペクタ

シングルサインオン拡張ペイロード（新規追加）

シングルサインオン拡張ペイロードは、6つの異なる設定で構成されています。既に iOS では実装されていますが、macOS では新規追加になりました。

1. 「拡張識別子」
   シングルサインオンを実行する拡張機能のアプリバンドル識別子。
2. 「チーム識別子」（macOSのみ）
   アプリの開発チームの識別子。
3. 「サインオンタイプ」
   「資格情報」と「リダイレクト」の2つから選択します。
4. 「レルム」
   大文字と小文字を区別する設定です。
5. 「ドメイン」
   アプリがシングルサインオンを実行できるドメインのリスト。
6. カスタム設定
   3つの異なるフィールド「キー」、「タイプ」、および「値」を持つテーブルを構成できます。 「アイテムを追加」ボタンをクリックで追加、「アイテムの削除」ボタンをクリックして削除が行えます。「ファイルのアップロード」ボタンで、CSVファイルをアップロードして、設定をテーブルに追加することもできます。

関連ドメインペイロード（新規追加）

このペイロードは新規に追加されたペイロードで、アプリを特定のドメインに関連付けることができます。用途としては、パスワードの自動入力、シングルサインオン、ユニバーサルリンクなどとアプリの関連付けがあります。

その他ペイロード

証明書ペイロードで、P12 証明書に抽出可能タグの指定が可能になりました。
VPNペイロードで、以下の3つが追加になりました。

1. ローカルネットワークを許可
   
2. 任意のネットワークを許可
3. プロバイダのタイプ（app-proxyまたはpacket-tunnel）
   

IKEv2ペイロードでは以下の4つが追加になりました。

1. 証明書タイプのリストに Ed25519WPA3 が追加
   
2. 暗号化アルゴリズムのタイプにChaCha20Poly1305が追加
3. Diffie-Hellmanセキュリティ設定がタイプ31 に追加
   
4. フォールバックが許可
   

MDMからのリモートコマンド

macOS コンピュータへの監視モードの追加にあたって、以下の4つのコマンドが追加になりました。

1. アクティベーションロックを許可
   ユーザが「探す」を有効にすると、監理対象のMacにアクティベーションロックがかかります。このコマンドは、監理対象でないMacコンピュータでは無視されます。
   
2. アクティベーションロックを有効にする
   MDMソリューションに登録されている特定の監理対象Macコンピュータのアクティベーションロックを許可します。
   
3. アクティベーションロックのバイパスコードを取得
   MDMソリューションに登録されている特定の監理対象Macコンピュータに使用するアクティベーションロックのバイパスコードを取得します。
   
4. アクティベーションロックのバイパスコードを消去
   MDMソリューションに登録されている特定の監理対象Macコンピュータに使用するアクティベーションロックのバイパスコードを消去します。
   
5. ローカル管理者を作成コマンドへの新しい属性の追加（コマンドは 10.11 以降）
   

いかがでしたでしょうか？macOS Catalina で随分と管理者も気をつけるべきポイントが増えたようにも思えますが、より iOS や iPadOS との管理目標の統合が行われてきているようにも思えます。やっぱりゆくゆくは iPadOS と macOS は互換性が・・・なんて風にも思ってしまいますよね。

最後までお付き合いいただきありがとうございました。

当社の「iOS デバイス導入支援サービス」についての詳細はこちらをご覧ください。