iOS 13 では BYOD への取り組みが本気モードです
2019/11/10 「JamfPro で iOS 13 の User Enroll の BYOD 機能やってみた」も書いてみたのでよろしければごらんください!
腰が引けまくっていた Apple の BYOD
デバイス管理では過去 BYOD から始まり、様々なが用語が生まれてきましたが現在一般的に使われるのは3つあります。(BYOx という言葉も色々ありますけど基本は BYOD の仲間ってことで思ってください。)
- BYOD(CYOD) --- Bring Your Own Device (個人所有のデバイスを一部企業で利用)
- COBO --- Corporate Own , Business Only (会社所有のデバイスでビジネス利用限定)
- COPE --- Corporate Own , Personally Enabled (会社所有のデバイスでビジネスと個人利用を許可)
一方 Google は Android Enterprise でかなり本気モードの BYOD , COPE , COBO を実現して見せました。デバイス内で完全に分離された領域ストレージが作成され、コピー&ペーストを含む情報の完全な分離が実現できる設計を実装したのです。Android Enterprise では以下の3つのモードが実現できます。
- Work Profile ----- BYOD(CYOD) を実現するためのモード
- Fully Managed ----- COBO を実現するためのモード
- Work profiles on fully managed --- COPE を実現するためのモード
COPE だったら Android Enterprise の方が分かりやすい
Android Enterprise の後追いぽい iOS 13 の BYOD実装
⓪管理 Apple ID
User Enrollemnt には管理 Apple ID が必要になります。企業用のアプリやアカウントにはこの Apple ID が利用されます。
①User Enrollment すると、企業領域が(Managed APFS Volume)作成され、以下のようなデータが格納されます。
- App コンテナ
- メモ(企業用)
- iCloud 文書
- キーチェイン
- メール本文と添付ファイル
- カレンダーデータ
②インベントリーとして管理者が閲覧できるのは以下のデータに限られます。
- 企業用インストールアプリケーション一覧
- 企業用証明書一覧
- プロビジョニングプロファイル一覧
③アプリのインストール(Unenrollment されると削除されます)は User base VPP または in-house アプリ配布で行います。
④利用可能なペイロード
- Per-app VPN が、メールドメイン、連絡先ドメイン、カレンダードメインの指定で利用ができます。
- パスコードは6桁で単純地は禁止が指定できます。
- Wi-Fiペイロードでは WPAD Proxy が指定できます。
⑤機能制限
- Openin 制御
- ロック画面関連の表示
- バックアップの暗号化の強制
というわけで、iPhone ユーザのための BYOD の新たな潮流が来るのかどうか…デモを観た限りでは、Files アプリの中に iCloud Drive が個人用と企業用の2つ並んでるみたいな感じで、メモもグループとして企業用のグループが出来るようです。企業用グループと個人用グループのメモ間のコピー&ペーストなどが禁止できるのかは、次回試してみてまた報告したいと思います。
なんにしても BYOD を推奨する以上、iPhone ユーザしかいないということはまず考えられないため、iOS デバイスと Android デバイスの両方が管理できる MDM 製品が必要になってくると思われます。
iOS 13 で追加されるMDM関連の変更点
- 証明書の透明性(CT)に関してセンシティブな証明書やドメインをオプトアウトするペイロードが追加されます。
- Wi-Fiペイロードでは WPA3 のパーソナル、エンタープライズがサポートされます。
- APNs との認証が token ベースが利用可能となります。
- DEP プロファイルにおいては、遂に監視モードとMDM登録の強制が必須化され、PCペアリングの禁止は廃止予定です。(Restriction ペイロードでやってねという話し)
- macOS では、Apple Remote Desktop の有効無効、リモート管理の全員強制、オプションの有効化がMDMから行えるようになります。
- macOS では、boot FileVault SYstem をモバイルアカウントに許可できるようになります。ブートストラップトークンをMDMが管理し、ユーザのサインイン時にセキュアトークンを生成するために利用されます。
- macOS では、FileVault 利用のためにユーザ承認型MDMプロファイルインストールが必要になります。
- macOS ではプライバシーポリシーとして、新たにキーロガーの有効化、画面録画の有効化、非公認Appのホワイトリスト登録が行えるようになります。
- macOS でも、夏以降の実装となりますが iOS と同様に Activation Lock のバイパスが行えるようになります。
- iOS に関して最も大きい変更点が、非監視モードデバイスに対する Restriction が廃止予定という話しです。一応猶予期間も設けるようですが、これもかなり前から言い続けてますけどね…。今後は非監視モードデバイスへの機能制限は、User Enrollmnt を使ってくださいね、というオチなのでデバイス管理の観点ではスッキリしたなと言えなくもありません。
今回は BYOD=非監視モードデバイスの管理について Apple からの回答となった User Enrollment について書いてみました。実際にどんな具合に動作するのか興味が尽きませんが、今度検証した結果をまた報告したいと思います。
当社の「iOS デバイス導入支援サービス」についての詳細はこちらをご覧ください。