WWDC2017 で語られた iOS デバイス管理の変更点

6/28/2017

WWDC2017 で語られた iOS デバイス管理の変更点

WWDC 2017 は目を引くような製品が出なかった、という印象で終わってしまいがちなのですが、このイベントでは実は結構面白い話しが沢山出ていました。 iOS11 ではバーコードの生成や、バーコードの読み取り機能がつきます。今まで外部アタッチメントのリーダーが必要だったのですが、今後は不要になって店舗での利用などがより促進される可能性が高まりました。また、macOS High Sierra にも Cache サーバが標準搭載されるようなので、学校や企業内での配布工数がより軽減される可能性も高まりました。

デバイス管理に関しても大きなトピックがいくつか出ていたので、ここで紹介したいと思います。今回の大きなトピックでは Apple School Manager も含まれますが、そこは割愛させていただきます。

Device Enrollment Program (DEP) による Enrollment

企業においてセキュリティを担保したり、管理するためにはMDMのような管理基盤が必須となりますが、その反面では如何にエンロールを簡易にするかというのが命題で、Apple はその課題に対してこの数年真摯に取り組んできており、その成果が今回の WWDC で結実したと言えます。

MDM の必須化

MDM はオプショナルなものではなくなります。DEP を行う上で MDM は今後必須になります。Apple の出した１つ目の回答は MDM が今後必須化されるという点です。

DEP 時の監視モード必須化

今までは DEP を適用するデバイスは、監視モード（Supervised）、非監視モード（Unsupervised）が選択肢とありましたが、今後は監視モードが必須となります。DEP 時という制限は、この先なくなり企業や学校でデバイスの管理をするには、監視モードが必須になる流れだと感じます。

ユーザーベース DEP デバイス登録

今まで DEP デバイスを登録するには、販売チャネルを通じた DEP デバイスの登録しかできませんでしたが、今後はユーザー側が販売チャネルを通さずに DEP デバイスの登録が可能となります。学校などでは寄付されたデバイスなどが簡単に利用可能になるようなメリットがあります。まだ今まで DEP 対象ではなかった自社利用端末なども、簡単に DEP デバイスとして登録できるようになります。iOS11 , tvOS11 と Apple Configurator 2.5 が必要になります。

DEP 登録時のスキップ項目

DEP登録時のスキップ可能手順として、iOS11 からキーボード選択、Apple Watch データ移行がスキップ可能になります。tvOS11 からは、TVプロバイダへのサインイン、自分の iOS デバイスセットアップがスキップ可能となります。

MDM セキュリティ拡張

2018年から App Transport Security(ATS) が完全必須になる他、証明書ハンドリングに関するセキュリティ拡張が行われています。

証明書の部分信頼サポート（Partial trust）
自動インストール時の完全信頼（Full trust）
手動インストール時の部分信頼による信頼確認
SCEP サーバー
- iOS 11 と tvOS 11 から DES は廃止に
- AES と SHA-512 サポート

機能規制ペイロード

下記に関連する設定項目は 2018 年から監視モードが必須化されます。

App インストール
App 削除
FaceTime
Safari
iTunes
コンテンツ制限
iCloud 文書とデータ
マルチプレイ Gamecenter
GameCenter への友達の追加

データ保護機能

iOS 10.3 から構成プロファイルで配布した SSID 以外にアクセスを禁止する管理Wi-Fi機能が搭載されましたが、ここに「キャリアプロファイルは除外する」というオプションがつきました。万が一の時に、MDM からのコマンドが飛ばなくなるリスクを軽減できます。監視モードのみです。
「VPN 設定の作成許可」が設定可能になりました。監視モードのみです。
Exahange と一般メールの個々の S/MIME 署名と暗号化に関する設定が可能になりました。

Classroom

下記に関する設定が可能になります。全て監視モードが必須です。

自発的なスクリーン開示
自発的な App とデバイスロック
クラスへの自動参加

AirPrint

カスタムポートのサポート
TLS の強制（監視モード対象）
iBeacon ベース（監視モード対象）
Keychain 内のクレデンシャル利用許可（監視モード対象）
AirPrint の許可（監視モード対象）

ネットワーク

DNS プロキシの設定（監視モード対象）
キャリアネットワーク接続時のインターネットプロトコルバージョンの指定

共通する設定項目

VPN IKEv2 とWi-Fiペイロードは最小・最大 TLS バージョンをサポートします。
iOS , tvOS , macOS ３つのプラットフォームでのインストール済みアプリは個別に、インストール、アップデートされている app リストをレポートします。
リモート再起動（iOS , tvOS , macOS のサポート）（監視モード対象）
リモート電源断（iOS , macOS のサポート）（監視モード対象）

いかがでしたでしょうか？他にも沢山の変更点や面白い機能が盛り沢山なので、また機会があったら別な話題も取り上げてみたいと思います。

最新のエンタープライズ機能をいち早く企業で採用するには最先端の Apple デバイス管理 MDM - Jamf PRO (Casper Suite) を後利用ください！　Jamf PRO (Casper Suite) についてはこちらをご覧ください！

当社の「iOS デバイス導入支援サービス」についての詳細はこちらをご覧ください。

0 コメント

Jamf Pro (旧 Casper Suite) v9.99.2 リリース

6/23/2017

0 コメント

Jamf Pro (旧 Casper Suite) v9.99.2 リリース

JamfPro (Casper Suite) Ver9.99.2 がリリースされました。主に下記の不具合対応となっています。共有ホスティングのお客様は、2017/06/25 14:00～アップデート作業が行われます。

[PI-004111] JSSは、コンピュータとモバイルデバイスのLDAP拡張属性を正しくマップするようになりました。
[PI-004112] Apple School ManagerでクラスからインポートしたユーザーがすでにJSSに存在する場合、ユーザー拡張属性情報が削除される問題を修正しました。
共有ホスティングに存在していたいくつかのパフォーマンスの問題を解決しました。

詳しくはこちらのリリースノートをご覧ください。
Casper Suite Release NotesVersion 9.99.2

当社の「iOS デバイス導入支援サービス」についての詳細はこちらをご覧ください。

0 コメント