梅雨の長雨なので長文を書いてみました。WWDC2019 で iOS 13 周りが iPadOS などの実装で一段とワサワサしている昨今ですが、ファイル管理においても iOS 13 は Files アプリにおいて、USB ドライブと SMB 接続がデフォルトで使えるという発表があって、iPad だけじゃないのかと驚きました。「今日日今更USBメモリでもなかろう」と思われる向きはかなりデジタルトランスフォーメーションの進んだ企業の方で、実際にコンサルティングしている自分から見ると「USBメモリでデータを渡される」という向きがいかに多いことかという事が、昨今のデジタルトランスフォーメーション推進企業と、そうでない企業のデータ交換に関する切実な課題であることに気付かされます。この件は、また次の機会で書きたいと思いますが今日は BYOD に関するお話しです。

　Apple は長らくプライバシーを大切にするが余り、企業向けという市場で身動きが取れなくなってBYOD という取り組みに対して腰が引けていた感があります。

　デバイス管理では過去 BYOD から始まり、様々なが用語が生まれてきましたが現在一般的に使われるのは３つあります。（BYOx という言葉も色々ありますけど基本は BYOD の仲間ってことで思ってください。）

1. BYOD(CYOD) --- Bring Your Own Device （個人所有のデバイスを一部企業で利用）
2. COBO --- Corporate Own , Business Only （会社所有のデバイスでビジネス利用限定）
3. COPE --- Corporate Own , Personally Enabled （会社所有のデバイスでビジネスと個人利用を許可）

　一時は BYOD 良いね！という感じで市場は盛り上がりましたが、割と早期に「BYODは悪夢でしかない」と言われて、今や BYOD を導入している企業は少なくなりました。コストの問題。プライバシーの問題。管理範囲の問題。考えすぎるとBYODは面倒なので「個人のデバイスを仕事で使っていいよ」というだけの性善説に立った運用か、完全にコンテナ化されたアプリケーションだけを使わせるかのどちらかになっているのが実情です。（特に労基が厳しい昨今では尚更ですね）

　一方 Google は Android Enterprise でかなり本気モードの BYOD , COPE , COBO を実現して見せました。デバイス内で完全に分離された領域ストレージが作成され、コピー＆ペーストを含む情報の完全な分離が実現できる設計を実装したのです。Android Enterprise では以下の３つのモードが実現できます。

1. Work Profile ----- BYOD(CYOD) を実現するためのモード
   
2. Fully Managed  ----- COBO を実現するためのモード
3. Work profiles on fully managed --- COPE を実現するためのモード

　更にこれに加えて Dedicated device という完全な業務端末化するモードなども実装されており、店舗で利用したり、工場で使うなどのニーズにも幅広く対応できるようになっています。この KIOSK モードと呼ばれる実装は、Apple の Sngle App Mode に近い実装ですが、Apple が１つの App で固定され他の機能が一切使えなくなるのとは違い、KIOS モードでは複数の App 限定というデバイスが作れます。

　企業所有のデバイスを個人で利用しても良いよ、という COPE においても Android Enterprise の実装の方が優れているように感じます。基本的には領域を分けるという概念のため Work Profile であれば個人所有デバイスの中に企業領域を、Work Profile on fully managed であれば企業所有デバイスの中に個人領域を作成して完全な分断化が行えます。企業用の　Google Chrome と個人用の Google Chrome も別なアプリケーションがインストールされます。Google Map なども全て同じです。領域間でのデータの交換が行えない点も含めて、ユーザからすると非常にわかりやすい設計と言えると思えます。

　今回の WWDC2019 を観ていて、ほぉ～と思ったのは、Apple が BYOD に関する取り組みを発表したことです。企業の MDM 配下に自分のデバイスを登録する新たなオプション User Enrollment として発表されたのですが、MDM配下に個人のデバイスを置きつつ、個人のプライバシーは完全に護られる点や、企業領域が（Managed APFS Volume）が作成される設計等、Android Enterprise の Work Profile にかなり設計思想が近いと感じました。

⓪管理 Apple ID
　User Enrollemnt には管理 Apple ID が必要になります。企業用のアプリやアカウントにはこの Apple ID が利用されます。

①User Enrollment すると、企業領域が（Managed APFS Volume）作成され、以下のようなデータが格納されます。

• App コンテナ
• メモ（企業用）
• iCloud 文書
• キーチェイン
• メール本文と添付ファイル
• カレンダーデータ

などが格納され、Unenrollment されると同時に削除される仕組みです。

②インベントリーとして管理者が閲覧できるのは以下のデータに限られます。

• 企業用インストールアプリケーション一覧
• 企業用証明書一覧
• プロビジョニングプロファイル一覧

リモートコマンドもワイプなど行うことはできません。

③アプリのインストール（Unenrollment されると削除されます）は User base VPP または in-house アプリ配布で行います。

④利用可能なペイロード

• Per-app VPN が、メールドメイン、連絡先ドメイン、カレンダードメインの指定で利用ができます。
  
• パスコードは6桁で単純地は禁止が指定できます。
  
• Wi-Fiペイロードでは WPAD Proxy が指定できます。
  

⑤機能制限

• Openin 制御
  
• ロック画面関連の表示
• バックアップの暗号化の強制

のみが使え、監視モード限定機能制限やメディア制限は利用できません。

　というわけで、iPhone ユーザのための BYOD の新たな潮流が来るのかどうか…デモを観た限りでは、Files アプリの中に iCloud Drive が個人用と企業用の２つ並んでるみたいな感じで、メモもグループとして企業用のグループが出来るようです。企業用グループと個人用グループのメモ間のコピー＆ペーストなどが禁止できるのかは、次回試してみてまた報告したいと思います。
なんにしても BYOD を推奨する以上、iPhone ユーザしかいないということはまず考えられないため、iOS デバイスと Android デバイスの両方が管理できる MDM 製品が必要になってくると思われます。

その他、主な変更点は以下のような感じです。

• 証明書の透明性（CT)に関してセンシティブな証明書やドメインをオプトアウトするペイロードが追加されます。
• Wi-Fiペイロードでは WPA3 のパーソナル、エンタープライズがサポートされます。
• APNs との認証が token ベースが利用可能となります。
• DEP プロファイルにおいては、遂に監視モードとMDM登録の強制が必須化され、PCペアリングの禁止は廃止予定です。（Restriction ペイロードでやってねという話し）
• macOS では、Apple Remote Desktop の有効無効、リモート管理の全員強制、オプションの有効化がMDMから行えるようになります。
• macOS では、boot FileVault SYstem をモバイルアカウントに許可できるようになります。ブートストラップトークンをMDMが管理し、ユーザのサインイン時にセキュアトークンを生成するために利用されます。
• macOS では、FileVault 利用のためにユーザ承認型MDMプロファイルインストールが必要になります。
• macOS ではプライバシーポリシーとして、新たにキーロガーの有効化、画面録画の有効化、非公認Appのホワイトリスト登録が行えるようになります。
• macOS でも、夏以降の実装となりますが iOS と同様に Activation Lock のバイパスが行えるようになります。
• iOS に関して最も大きい変更点が、非監視モードデバイスに対する Restriction が廃止予定という話しです。一応猶予期間も設けるようですが、これもかなり前から言い続けてますけどね…。今後は非監視モードデバイスへの機能制限は、User Enrollmnt を使ってくださいね、というオチなのでデバイス管理の観点ではスッキリしたなと言えなくもありません。
  

　今回は BYOD＝非監視モードデバイスの管理について Apple からの回答となった User Enrollment について書いてみました。実際にどんな具合に動作するのか興味が尽きませんが、今度検証した結果をまた報告したいと思います。

多用なデバイスで BYOD をとお考えのお客様は、是非当社に一度ご連絡ください！！
当社の「iOS デバイス導入支援サービス」についての詳細はこちらをご覧ください。

iOS 12.3 がリリースされて令和対応になりましたね。macOS Mojave 10.14.5 , tvOS 12.3 , watchOS 5.2.1 , Safari 12.1.1 , Apple TV Software 7.3 も同時に公開されています。

iOS 12.3には、AirPlay 2対応テレビのサポートと新しくデザインされたApple TV Appが含まれています。このアップデートにはバグの修正および改善も含まれます。
AirPlay 2

• AirPlay 2では、iPhoneやiPadからAirPlay 2対応スマートテレビにビデオや写真、音楽などを直接共有が可能
• ワンタップで再生すると最後に再生したテレビ番組や映画が時間と場所に応じて自動的に再生
• Siriからの提案による映画やテレビ番組の視聴にAirPlayのオプションを追加
• インテリジェント入力候補はすべてデバイス上で実行され個人情報のプライバシーを保護

Apple TV App

• 厳選されたコレクションとパーソナライズされたおすすめを強調するまったく新しいデザイン
• Apple TVチャンネルのサブスクリプションは、新しいApp、アカウント、パスワード不要で最大6人の家族と共有が可能
• 新作映画に加えて、10万本以上を揃える映画の全カタログと最大規模の4K HDRタイトルのセレクションをApple TV Appで購入またはレンタルが可能
• 最も近くにあるApple TVまたはAirPlay 2対応テレビで再生するようにインテリジェントに提案

このアップデートには以下の改善およびバグの修正も含まれます:

• 和暦に日本の新元号“令和”のサポートを追加
• Apple Musicの“For You”タブが1日に複数回更新され、お気に入りのジャンルやアーティスト、ムードといったテーマに基づく音楽を提案
• Apple TV Remoteでビデオの一時停止、ビデオのコントロール、対応レシーバーでの音量調節ができなくなる問題を修正
• Wi-Fi通話を使った通話が切れてしまう問題に対処
• 接続されているiPhoneからの曲情報が車載ディスプレイに表示されない問題を修正

• メモリ破壊の問題で、アプリケーションが任意のコードを実行できてしまう問題（AppleFileConduit）
• 入力値検の問題で、悪意のあるアプリケーションが制限付きメモリを読み込めてしまう問題（Contacts）
• メモリ範囲外アクセスの問題で、悪意を持って作成されたムービーファイルを処理すると、任意のコードが実行される問題（CoreAudio）
• メモリ範囲外アクセスの問題で、悪意のあるアプリケーションが制限付きメモリを読み込めてしまう問題（Disk Images）
• 解放後メモリ管理の問題で、悪意のあるアプリケーションが任意のコードを実行できてしまう問題（Kernel）
• メモリ範囲外アクセスの問題で、ローカルユーザーが予期せずシステム終了を引き起こしたり、カーネルメモリが読み込めてしまう問題（Kernel）
• メモリ型判定の問題で、アプリケーションが予期せずシステム終了を引き起こしたり、カーネルメモリへの書き込みが可能となる問題（Kernel）
• ロジックの問題で、物理的にiOSデバイスにアクセスできる人が、iTunes に使用されている電子メールアドレスを見ることができてしまう問題（Lock Screen）
• 入力値検の問題で、悪意を持って作成されたメッセージを処理すると、サービス拒否を引き起こす問題（Mail）
• 解放後メモリ管理の問題で、リモートの攻撃者が任意のコードを実行できてしまう問題（Mail Message Framework）
• シンボリックリンク検証の問題で、ローカルユーザーが保護されたファイルシステムの一部を変更できてしまう問題（MobileInstallation）
• 入力値検の問題で、悪意のあるアプリケーションがroot権限を取得できてしまう問題（MobileLockdown）
• サンドボックスのアクセス権限問題で、サンドボックスプロセスがサンドボックス制限を回避できてしまう問題（Photos Storage）
• 入力値検の問題で、アプリケーションが権限を昇格できてしまう問題（SQLite）
• 入力値検の問題で、悪意のあるアプリケーションが制限付きメモリを読み込めてしまう問題（SQLite）
• メモリ破壊の問題で、悪意のあるアプリケーションが特権に昇格できてしまう問題（SQLite）
• UI の問題で、ロック解除後、ロック画面にロックアイコンが表示される問題（Status Bar）
• シンボリックリンク検証の問題で、ローカルユーザーが保護されたファイルシステムの一部を変更できてしまう問題（StreamingZip）
• メモリ破壊の問題で、アプリケーションがシステム権限で任意のコードを実行できてしまう問題（sysdiagnose）
• メモリ範囲外アクセスの問題で、悪意を持って作成されたWebコンテンツを処理すると、プロセスメモリが漏えいする問題（WebKit）
• 複数のメモリ破壊の問題で、悪意を持って作成されたWebコンテンツを処理すると、任意のコードが実行できてしまう問題（WebKit）
• ブロードキャストMACアドレスによってデバイスが追跡されユーザープライバシーが危険にさらされる問題（Wi-Fi）

​

iOS 12.2 がリリースされましたね。最近の Apple の動きとしては、iOS xx.x のマイナーバージョンアップは、かなりメジャーアップに近い物になりつつあって警戒感が増してしまいます。と思って見ていたら、やっぱりという内容がありましたので後ほど後述します。CES 2019 で Apple が掲げたメッセージ「What happens on your iPhone,stays on your iPhone」という広告に見られる通り、Apple はよりユーザーのプライバシー保護に厳格になっていく姿勢を打ち出しています。その一方で、セキュリティアップデートを見ていると、知らない間にマイクをONにされてしまう問題や、知らない間にディクテーションを開始されてしまうななんてのも報告されていて、セキュリティ的な観点からもアップデートが推奨されます。
さて、このプライバシー保護の観点に基づくものかどうか定かではありませんが、以前からご報告している監視モードデバイスの管理ソース制御における、連絡帳の扱いがまた変更になりました。iOS 11.3 以降でローカル連絡帳データは非管理ソースとして定義されるようになり、FMC をされている企業に大混乱をもたらしました。その後 iOS 12 になって、以下の2つが Restriction ペイロードに追加されました。

• 連絡先の管理対象アカウントが管理対象外アカウントに書き込むことを許可
  
• 連絡先の管理対象外アカウントが管理対象アカウントを読み出すことを許可
  

そしてこのたび、iOS 12.2 になってこの2つの項目は Restriction ペイロードから削除されました。このFMCユーザに対する塩対応ともとれる対応が、「プライバシーを守るんだ！」という声明に準拠したものなのかどうかは定かではありません。1つ言えるのは、とっても残念・・・ということだけです。

Apple からの公表をそのまま掲載しますと新たな iOS 12.2 の機能は以下の通りとなります。

アニ文字

• iPhone X以降、iPad Pro 12.9インチ（第3世代）、およびiPad Pro 11インチに、4つの新しいアニ文字（フクロウ、イノシシ、キリン、サメ）を追加。

AirPlay

• コントロールセンターおよびロック画面に専用のTVコントロールを追加し、素早くTVコントロールにアクセスが可能。
• ビデオ用AirPlayマルチタスク機能によりその他のAppを閲覧可能。また、AirPlayを中断せずにデバイス上の短い形式のオーディオ/ビデオファイルを再生可能。
• AirPlay先をコンテンツ内容に応じてグループ化し、再生先のデバイスをより速く見つけることが可能。

Apple Pay

• Apple Pay Cashの利用者は、Visaデビットカードを使用して銀行口座に送金が可能。
• Wallet Appで、カードの下にクレジットおよびデビットカードの最近の利用履歴を表示。

スクリーンタイム

• 休止時間のスケジュールを曜日別に設定可能。
• 新しい切り替え方法により、簡単にAppの制限を一時的にオンまたはオフにすることが可能。

Safari

• パスワードの自動入力機能により認証情報を入力したあと、Webサイトに自動的にサインイン可能。
• 暗号化されていないWebページを読み込んだときに警告を表示。
• ユーザ識別のためのフィンガープリントとして利用されるのを防ぐため、トラッキング停止要求（Do Not Truck）機能への対応を削除。インテリジェントトラッキング防止機能により、デフォルトでサイト越えのトラッキングを防止。
• スマート検索フィールドの検索語句を検索候補の横の矢印アイコンをタップして変更可能。

Apple Music

• “見つける”タブで、1つのページにエディターからのハイライト情報をより多く表示し、新しい音楽やプレイリストを見つけることが可能。

 AirPods

• 新しいAirPods（第2世代）に対応。

このアップデートには以下の改善およびバグの修正も含まれます:

• “マップ”で、アメリカ、イギリス、インドの空気質指数に対応。
• “設定”に、デバイスの保証期間の有効期限に関する情報を追加。
• “メッセージ”で、オーディオ録音の品質を改善。
• iOS上のApple TV Remoteの安定性およびパフォーマンスを改善。
• 不在着信が通知センターに表示されない場合があった問題を修正。
• 必要がないにもかかわらず、“設定”に操作を促すバッジが表示されることがあった問題に対処。
• “設定”＞“一般”＞“iPhoneストレージ”で、サイズの大きなApp、システムのカテゴリー、およびその他のカテゴリーがストレージのバー表示で正しく表示されないことがあった問題に対処。
• “ボイスメモ”で、車のBluetoothデバイスに接続すると自動的に録音が再生されてしまうことがあった問題を修正。
• “ボイスメモ”で、一時的に録音の名称変更ができない場合があった問題を解決。

iOS 12.1.4 がリリースされました。FaceTime ユーザはアップデート必須です。

iOS 12 でリリースされた、グループ通話機能において、グループ通話に招待されたユーザが招待を拒否をしても、招待を送った側に拒否したユーザ側デバイスのマイクとカメラがONになって筒抜けになるというとんでもバグが修正されています。

業務においてかかってきたFaceTimeを拒否してるのに、こちらの会話が相手に聞こえてるというのはかなり怖いバグですよね。業務で FaceTime をお使いのユーザさんは是非ともアップデートをしていただきたいところです。

iOS 12.1.1 がリリースされました。同時に macOS Mojave 10.14.2 , tvOS 12.1.1 , watchOS 5.1.2 , Shortcuts 2.1.2 ,  iCloud for Windows 7.9 ,  iTunes 12.9.2 for Windows 及び Safari 12.0.2 もリリースされています。
iOS 12.1.1 での追加・改善項目

• iPhone XRで触覚タッチを使って通知のプレビューを表示可能
• iPhone XR、iPhone XS、およびiPhone XS MaxでeSIMを使ったデュアルSIMに対応した通信事業者をさらに追加
• FaceTime通話中に1回のタップで背面側カメラと前面側カメラを切り替えることが可能
• 1対1のFaceTime通話中にLive Photosを撮影可能
• iPadおよびiPod touchでWi-Fi通話時にリアルタイムテキスト（RTT）を使用可能
• 音声入力とVoiceOverの安定性を改善

以下のバグ修正が含まれます:

• Face IDが一時的に利用できなくなることがある問題を修正
• ユーザによってVisual Voicemailをダウンロードできないことがある問題に対処
• "メッセージ"で、中国語または日本語のキーボードから入力したときに予測変換の候補が表示されないことがある問題を修正
• "ボイスメモ"の録音がiCloudにアップロードされないことがある問題に対処
• 時間帯が自動的に更新されないことがある問題を修正

メモリ型の不一致の脆弱性により、悪意のあるアプリケーションが特権的な権限に昇格できてしまう問題（AirPort）
メモリ破壊の問題で、アプリケーションがカーネル特権で任意のコードを実行できてしまう問題（Disk Images）
ロック画面遷移の問題で、ローカルの攻撃者がロック画面に連絡先を表示できてしまう問題（FaceTime）
資格の問題で、悪意のあるアプリケーションがデバイス上の他のアプリケーションの状態を取得できてしまう問題（File Provider）
脆弱性をついて、特権的な立場にある攻撃者がサービス拒否攻撃できてしまう問題（Kernel）
メモリ初期化の問題で、ローカルユーザーがカーネルメモリを読み取れてしまう問題（Kernel）
ロジックの問題で、悪意のあるアプリケーションが特権的な権限に昇格できてしまう問題（Kernel）
メモリ破壊の問題で、アプリケーションがカーネル特権で任意のコードを実行できてしまう問題（Kernel）
入力値検証の問題で、アプリケーションがカーネル特権で任意のコードを実行できてしまう問題（Kernel）
入力値検証の問題で、悪意を持って作成された電子メールを処理するとURLをなりすまされる問題（LinkPresentation）
 構成プロファイルの証明書検証の問題で、信頼できない構成プロファイルを検証済みとみなしてしまう問題（Profiles）
ロジックの問題で、悪意のあるWebサイトにアクセスすると、ユーザーインターフェイスをなりすまされてしまう問題（Safari）
状態遷移管理の問題で、悪意のあるWebサイトにアクセスするとユーザインターフェースをなりすまされる問題（Safari）
「Webサイトのデータと履歴を消去」処理で履歴が削除されない問題がありました（Safari）
メモリ破壊の問題で、悪意を持って作成されたWebコンテンツを処理すると任意のコードを実行できてしまう問題（WebKit）
ロジックの問題でメモリ破壊がひきおこされ、悪意を持って作成されたWebコンテンツを処理すると任意のコードを実行できてしまう問題（WebKit）
複数のメモリ破壊の問題で、​悪意を持って作成されたWebコンテンツを処理すると任意のコードを実行できてしまう問題（WebKit）
​