iOS 13 では BYOD への取り組みが本気モードです
梅雨の長雨なので長文を書いてみました。WWDC2019 で iOS 13 周りが iPadOS などの実装で一段とワサワサしている昨今ですが、ファイル管理においても iOS 13 は Files アプリにおいて、USB ドライブと SMB 接続がデフォルトで使えるという発表があって、iPad だけじゃないのかと驚きました。「今日日今更USBメモリでもなかろう」と思われる向きはかなりデジタルトランスフォーメーションの進んだ企業の方で、実際にコンサルティングしている自分から見ると「USBメモリでデータを渡される」という向きがいかに多いことかという事が、昨今のデジタルトランスフォーメーション推進企業と、そうでない企業のデータ交換に関する切実な課題であることに気付かされます。この件は、また次の機会で書きたいと思いますが今日は BYOD に関するお話しです。
腰が引けまくっていた Apple の BYOD
Apple は長らくプライバシーを大切にするが余り、企業向けという市場で身動きが取れなくなってBYOD という取り組みに対して腰が引けていた感があります。
デバイス管理では過去 BYOD から始まり、様々なが用語が生まれてきましたが現在一般的に使われるのは3つあります。(BYOx という言葉も色々ありますけど基本は BYOD の仲間ってことで思ってください。)
一方 Google は Android Enterprise でかなり本気モードの BYOD , COPE , COBO を実現して見せました。デバイス内で完全に分離された領域ストレージが作成され、コピー&ペーストを含む情報の完全な分離が実現できる設計を実装したのです。Android Enterprise では以下の3つのモードが実現できます。
デバイス管理では過去 BYOD から始まり、様々なが用語が生まれてきましたが現在一般的に使われるのは3つあります。(BYOx という言葉も色々ありますけど基本は BYOD の仲間ってことで思ってください。)
- BYOD(CYOD) --- Bring Your Own Device (個人所有のデバイスを一部企業で利用)
- COBO --- Corporate Own , Business Only (会社所有のデバイスでビジネス利用限定)
- COPE --- Corporate Own , Personally Enabled (会社所有のデバイスでビジネスと個人利用を許可)
一方 Google は Android Enterprise でかなり本気モードの BYOD , COPE , COBO を実現して見せました。デバイス内で完全に分離された領域ストレージが作成され、コピー&ペーストを含む情報の完全な分離が実現できる設計を実装したのです。Android Enterprise では以下の3つのモードが実現できます。
- Work Profile ----- BYOD(CYOD) を実現するためのモード
- Fully Managed ----- COBO を実現するためのモード
- Work profiles on fully managed --- COPE を実現するためのモード
COPE だったら Android Enterprise の方が分かりやすい
企業所有のデバイスを個人で利用しても良いよ、という COPE においても Android Enterprise の実装の方が優れているように感じます。基本的には領域を分けるという概念のため Work Profile であれば個人所有デバイスの中に企業領域を、Work Profile on fully managed であれば企業所有デバイスの中に個人領域を作成して完全な分断化が行えます。企業用の Google Chrome と個人用の Google Chrome も別なアプリケーションがインストールされます。Google Map なども全て同じです。領域間でのデータの交換が行えない点も含めて、ユーザからすると非常にわかりやすい設計と言えると思えます。
Android Enterprise の後追いぽい iOS 13 の BYOD実装
今回の WWDC2019 を観ていて、ほぉ~と思ったのは、Apple が BYOD に関する取り組みを発表したことです。企業の MDM 配下に自分のデバイスを登録する新たなオプション User Enrollment として発表されたのですが、MDM配下に個人のデバイスを置きつつ、個人のプライバシーは完全に護られる点や、企業領域が(Managed APFS Volume)が作成される設計等、Android Enterprise の Work Profile にかなり設計思想が近いと感じました。
⓪管理 Apple ID
User Enrollemnt には管理 Apple ID が必要になります。企業用のアプリやアカウントにはこの Apple ID が利用されます。
①User Enrollment すると、企業領域が(Managed APFS Volume)作成され、以下のようなデータが格納されます。
②インベントリーとして管理者が閲覧できるのは以下のデータに限られます。
③アプリのインストール(Unenrollment されると削除されます)は User base VPP または in-house アプリ配布で行います。
④利用可能なペイロード
⑤機能制限
というわけで、iPhone ユーザのための BYOD の新たな潮流が来るのかどうか…デモを観た限りでは、Files アプリの中に iCloud Drive が個人用と企業用の2つ並んでるみたいな感じで、メモもグループとして企業用のグループが出来るようです。企業用グループと個人用グループのメモ間のコピー&ペーストなどが禁止できるのかは、次回試してみてまた報告したいと思います。
なんにしても BYOD を推奨する以上、iPhone ユーザしかいないということはまず考えられないため、iOS デバイスと Android デバイスの両方が管理できる MDM 製品が必要になってくると思われます。
⓪管理 Apple ID
User Enrollemnt には管理 Apple ID が必要になります。企業用のアプリやアカウントにはこの Apple ID が利用されます。
①User Enrollment すると、企業領域が(Managed APFS Volume)作成され、以下のようなデータが格納されます。
- App コンテナ
- メモ(企業用)
- iCloud 文書
- キーチェイン
- メール本文と添付ファイル
- カレンダーデータ
②インベントリーとして管理者が閲覧できるのは以下のデータに限られます。
- 企業用インストールアプリケーション一覧
- 企業用証明書一覧
- プロビジョニングプロファイル一覧
③アプリのインストール(Unenrollment されると削除されます)は User base VPP または in-house アプリ配布で行います。
④利用可能なペイロード
- Per-app VPN が、メールドメイン、連絡先ドメイン、カレンダードメインの指定で利用ができます。
- パスコードは6桁で単純地は禁止が指定できます。
- Wi-Fiペイロードでは WPAD Proxy が指定できます。
⑤機能制限
- Openin 制御
- ロック画面関連の表示
- バックアップの暗号化の強制
というわけで、iPhone ユーザのための BYOD の新たな潮流が来るのかどうか…デモを観た限りでは、Files アプリの中に iCloud Drive が個人用と企業用の2つ並んでるみたいな感じで、メモもグループとして企業用のグループが出来るようです。企業用グループと個人用グループのメモ間のコピー&ペーストなどが禁止できるのかは、次回試してみてまた報告したいと思います。
なんにしても BYOD を推奨する以上、iPhone ユーザしかいないということはまず考えられないため、iOS デバイスと Android デバイスの両方が管理できる MDM 製品が必要になってくると思われます。
iOS 13 で追加されるMDM関連の変更点
その他、主な変更点は以下のような感じです。
今回は BYOD=非監視モードデバイスの管理について Apple からの回答となった User Enrollment について書いてみました。実際にどんな具合に動作するのか興味が尽きませんが、今度検証した結果をまた報告したいと思います。
- 証明書の透明性(CT)に関してセンシティブな証明書やドメインをオプトアウトするペイロードが追加されます。
- Wi-Fiペイロードでは WPA3 のパーソナル、エンタープライズがサポートされます。
- APNs との認証が token ベースが利用可能となります。
- DEP プロファイルにおいては、遂に監視モードとMDM登録の強制が必須化され、PCペアリングの禁止は廃止予定です。(Restriction ペイロードでやってねという話し)
- macOS では、Apple Remote Desktop の有効無効、リモート管理の全員強制、オプションの有効化がMDMから行えるようになります。
- macOS では、boot FileVault SYstem をモバイルアカウントに許可できるようになります。ブートストラップトークンをMDMが管理し、ユーザのサインイン時にセキュアトークンを生成するために利用されます。
- macOS では、FileVault 利用のためにユーザ承認型MDMプロファイルインストールが必要になります。
- macOS ではプライバシーポリシーとして、新たにキーロガーの有効化、画面録画の有効化、非公認Appのホワイトリスト登録が行えるようになります。
- macOS でも、夏以降の実装となりますが iOS と同様に Activation Lock のバイパスが行えるようになります。
- iOS に関して最も大きい変更点が、非監視モードデバイスに対する Restriction が廃止予定という話しです。一応猶予期間も設けるようですが、これもかなり前から言い続けてますけどね…。今後は非監視モードデバイスへの機能制限は、User Enrollmnt を使ってくださいね、というオチなのでデバイス管理の観点ではスッキリしたなと言えなくもありません。
今回は BYOD=非監視モードデバイスの管理について Apple からの回答となった User Enrollment について書いてみました。実際にどんな具合に動作するのか興味が尽きませんが、今度検証した結果をまた報告したいと思います。
RSS フィード
