> For the complete documentation index, see [llms.txt](https://docs.keeper.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.keeper.io/keeperpam/jp/endpoint-privilege-manager/reference/macos-protected-path-design-intent.md).

# macOS: 保護パスの設計意図

### /Applicationsと/System/Applicationsが保護される理由 <a href="#why-applications-and-system-applications-are-protected" id="why-applications-and-system-applications-are-protected"></a>

macOSでは、`/Applications` と `/System/Applications` は**保護パス**です。これらのディレクトリ内の実行ファイルに対しては、ワイルドカードのファイルアクセスポリシーが意図的にバイパスされます。これは制限ではなく、設計上の仕様です。

`{applications}/*.app` や `{applications}/*.app/Contents/MacOS/*` のような包括的なワイルドカードポリシーは、`/Applications` 内のすべてのアプリケーションを区別なく対象にしてしまい、JamfなどのMDMソリューションで正当に展開されたソフトウェアも含まれます。これらのディレクトリを保護することで、管理対象かつ承認済みのアプリケーションが誤ってブロックされたり、本来不要な承認ワークフローに巻き込まれたりするのを防げます。

さらに、標準ユーザーは管理者資格情報なしでは `/Applications` にソフトウェアをインストールできません。非承認ソフトウェアのインストールという脅威モデルは `/Applications` ではなく、ユーザーが昇格権限なしで自由にアプリケーションをダウンロードして実行できるホームディレクトリにあります。

{% hint style="info" %}

### **ポリシー設計への影響** <a href="#what-this-means-for-policy-design" id="what-this-means-for-policy-design"></a>

* ワイルドカードのファイルアクセスポリシーは、**ユーザーのホームディレクトリとダウンロード**向けの適切な手段です。管理外ソフトウェアのインストールは実際にここで発生します。`{home}/*.dmg`、`{downloads}/*.app`、`{downloads}/*.pkg` などのパターンを使い、承認済みソフトウェアのみの実行を強制し、管理チャネル外でダウンロードされたものには承認を要求するかブロックします。
* `/Applications` または `/System/Applications` 内のアプリケーションについては、**明示的なパス**を指定します。これは意図的な設計であり、管理対象アプリケーション群全体への影響を抑えつつ、特定のアプリケーションを正確に制御できます。
  {% endhint %}

### **macOSで適切なワイルドカードポリシー対象の例** <a href="#examples-of-appropriate-wildcard-policy-targets-on-macos" id="examples-of-appropriate-wildcard-policy-targets-on-macos"></a>

<table><thead><tr><th width="178.45455932617188">パターン</th><th>活用事例</th></tr></thead><tbody><tr><td><code>{downloads}/*.app</code></td><td>ユーザーが直接ダウンロードしたアプリのブロックまたは承認要求</td></tr><tr><td><code>{downloads}/*.dmg</code></td><td>ダウンロードフォルダ内ディスクイメージのブロックまたは承認要求</td></tr><tr><td><code>{downloads}/*.pkg</code></td><td>ユーザーがダウンロードしたインストーラパッケージのブロックまたは承認要求</td></tr><tr><td><code>{home}/*.app</code></td><td>ホームディレクトリから直接実行されるアプリのブロックまたは承認要求</td></tr></tbody></table>

### **/Applications 向けの明示的パスポリシーの例** <a href="#examples-of-explicit-path-policies-for-applications" id="examples-of-explicit-path-policies-for-applications"></a>

<table><thead><tr><th width="551.7879028320312">パターン</th><th>活用事例</th></tr></thead><tbody><tr><td><code>{applications}/Google Chrome.app/Contents/MacOS/Google Chrome</code></td><td>Chrome起動時の承認要求</td></tr><tr><td><code>{system}/Applications/Calculator.app/Contents/MacOS/Calculator</code></td><td></td></tr></tbody></table>


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.keeper.io/keeperpam/jp/endpoint-privilege-manager/reference/macos-protected-path-design-intent.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.