ソフトブレーン・インテグレーション株式会社
iPhoneやiPadなどのスマートデバイス導入コンサルティング
​ソフトブレーン・インテグレーション株式会社 

​お問い合わせ: 03-6892-1180(平日9:00~17:30)
  • ホーム
  • トピックス
  • サービス案内
    • Jamf >
      • Jamf Pro
      • Jamf Now
      • Jamf Now リモート導入支援
      • [Jamf×Mac] オフィス内の管理されていないMacが企業に脅威をもたらす
      • Jamf Protect
      • Jamf Connect
    • iOS ビジネスコネクト >
      • スマートフォン導入支援サービス
      • iPhone/iPad/Macキッティング
    • AMC (Advanced Mobile Center)
    • Ivanti Neurons for MDM >
      • ACCESS / SENTRY
      • Threat Defense
      • UEM
    • Zoom (Web会議システム)
    • Okta (ID管理クラウドサービス)
    • RemoteOperator Helpdesk
    • iOS 教育サービス >
      • iOS アーキテクチャ講習会
      • iOS ユーザー向け講習会
  • 会社案内
    • 会社概要
    • ご挨拶
    • 企業理念
    • 所在地
    • 採用情報
  • ブログ
  • お問い合せ

iOS 13 の本気モード BYOD とデバイス管理変更点

6/30/2019

0 コメント

 

iOS 13 では BYOD への取り組みが本気モードです

 梅雨の長雨なので長文を書いてみました。WWDC2019 で iOS 13 周りが iPadOS などの実装で一段とワサワサしている昨今ですが、ファイル管理においても iOS 13 は Files アプリにおいて、USB ドライブと SMB 接続がデフォルトで使えるという発表があって、iPad だけじゃないのかと驚きました。「今日日今更USBメモリでもなかろう」と思われる向きはかなりデジタルトランスフォーメーションの進んだ企業の方で、実際にコンサルティングしている自分から見ると「USBメモリでデータを渡される」という向きがいかに多いことかという事が、昨今のデジタルトランスフォーメーション推進企業と、そうでない企業のデータ交換に関する切実な課題であることに気付かされます。この件は、また次の機会で書きたいと思いますが今日は BYOD に関するお話しです。

2019/11/10 「JamfPro で iOS 13 の User Enroll の BYOD 機能やってみた」も書いてみたのでよろしければごらんください!

腰が引けまくっていた Apple の BYOD

 Apple は長らくプライバシーを大切にするが余り、企業向けという市場で身動きが取れなくなってBYOD という取り組みに対して腰が引けていた感があります。

 デバイス管理では過去 BYOD から始まり、様々なが用語が生まれてきましたが現在一般的に使われるのは3つあります。(BYOx という言葉も色々ありますけど基本は BYOD の仲間ってことで思ってください。)
  1. BYOD(CYOD) --- Bring Your Own Device (個人所有のデバイスを一部企業で利用)
  2. COBO --- Corporate Own , Business Only (会社所有のデバイスでビジネス利用限定)
  3. COPE --- Corporate Own , Personally Enabled (会社所有のデバイスでビジネスと個人利用を許可)
 一時は BYOD 良いね!という感じで市場は盛り上がりましたが、割と早期に「BYODは悪夢でしかない」と言われて、今や BYOD を導入している企業は少なくなりました。コストの問題。プライバシーの問題。管理範囲の問題。考えすぎるとBYODは面倒なので「個人のデバイスを仕事で使っていいよ」というだけの性善説に立った運用か、完全にコンテナ化されたアプリケーションだけを使わせるかのどちらかになっているのが実情です。(特に労基が厳しい昨今では尚更ですね)

 一方 Google は Android Enterprise でかなり本気モードの BYOD , COPE , COBO を実現して見せました。デバイス内で完全に分離された領域ストレージが作成され、コピー&ペーストを含む情報の完全な分離が実現できる設計を実装したのです。Android Enterprise では以下の3つのモードが実現できます。
  1. Work Profile ----- BYOD(CYOD) を実現するためのモード
  2. Fully Managed  ----- COBO を実現するためのモード
  3. Work profiles on fully managed --- COPE を実現するためのモード
 更にこれに加えて Dedicated device という完全な業務端末化するモードなども実装されており、店舗で利用したり、工場で使うなどのニーズにも幅広く対応できるようになっています。この KIOSK モードと呼ばれる実装は、Apple の Sngle App Mode に近い実装ですが、Apple が1つの App で固定され他の機能が一切使えなくなるのとは違い、KIOS モードでは複数の App 限定というデバイスが作れます。

COPE だったら Android Enterprise の方が分かりやすい

 企業所有のデバイスを個人で利用しても良いよ、という COPE においても Android Enterprise の実装の方が優れているように感じます。基本的には領域を分けるという概念のため Work Profile であれば個人所有デバイスの中に企業領域を、Work Profile on fully managed であれば企業所有デバイスの中に個人領域を作成して完全な分断化が行えます。企業用の Google Chrome と個人用の Google Chrome も別なアプリケーションがインストールされます。Google Map なども全て同じです。領域間でのデータの交換が行えない点も含めて、ユーザからすると非常にわかりやすい設計と言えると思えます。

Android Enterprise の後追いぽい iOS 13 の BYOD実装

 今回の WWDC2019 を観ていて、ほぉ~と思ったのは、Apple が BYOD に関する取り組みを発表したことです。企業の MDM 配下に自分のデバイスを登録する新たなオプション User Enrollment として発表されたのですが、MDM配下に個人のデバイスを置きつつ、個人のプライバシーは完全に護られる点や、企業領域が(Managed APFS Volume)が作成される設計等、Android Enterprise の Work Profile にかなり設計思想が近いと感じました。

⓪管理 Apple ID
 User Enrollemnt には管理 Apple ID が必要になります。企業用のアプリやアカウントにはこの Apple ID が利用されます。

①User Enrollment すると、企業領域が(Managed APFS Volume)作成され、以下のようなデータが格納されます。
  • App コンテナ
  • メモ(企業用)
  • iCloud 文書
  • キーチェイン
  • メール本文と添付ファイル
  • カレンダーデータ
などが格納され、Unenrollment されると同時に削除される仕組みです。

②インベントリーとして管理者が閲覧できるのは以下のデータに限られます。
  • 企業用インストールアプリケーション一覧
  • 企業用証明書一覧
  • プロビジョニングプロファイル一覧
リモートコマンドもワイプなど行うことはできません。

③アプリのインストール(Unenrollment されると削除されます)は User base VPP または in-house アプリ配布で行います。

④利用可能なペイロード
  • Per-app VPN が、メールドメイン、連絡先ドメイン、カレンダードメインの指定で利用ができます。
  • パスコードは6桁で単純地は禁止が指定できます。
  • Wi-Fiペイロードでは WPAD Proxy が指定できます。

⑤機能制限
  • Openin 制御
  • ロック画面関連の表示
  • バックアップの暗号化の強制
のみが使え、監視モード限定機能制限やメディア制限は利用できません。

 というわけで、iPhone ユーザのための BYOD の新たな潮流が来るのかどうか…デモを観た限りでは、Files アプリの中に iCloud Drive が個人用と企業用の2つ並んでるみたいな感じで、メモもグループとして企業用のグループが出来るようです。企業用グループと個人用グループのメモ間のコピー&ペーストなどが禁止できるのかは、次回試してみてまた報告したいと思います。
なんにしても BYOD を推奨する以上、iPhone ユーザしかいないということはまず考えられないため、iOS デバイスと Android デバイスの両方が管理できる MDM 製品が必要になってくると思われます。

iOS 13 で追加されるMDM関連の変更点

その他、主な変更点は以下のような感じです。
  • 証明書の透明性(CT)に関してセンシティブな証明書やドメインをオプトアウトするペイロードが追加されます。
  • Wi-Fiペイロードでは WPA3 のパーソナル、エンタープライズがサポートされます。
  • APNs との認証が token ベースが利用可能となります。
  • DEP プロファイルにおいては、遂に監視モードとMDM登録の強制が必須化され、PCペアリングの禁止は廃止予定です。(Restriction ペイロードでやってねという話し)
  • macOS では、Apple Remote Desktop の有効無効、リモート管理の全員強制、オプションの有効化がMDMから行えるようになります。
  • macOS では、boot FileVault SYstem をモバイルアカウントに許可できるようになります。ブートストラップトークンをMDMが管理し、ユーザのサインイン時にセキュアトークンを生成するために利用されます。
  • macOS では、FileVault 利用のためにユーザ承認型MDMプロファイルインストールが必要になります。
  • macOS ではプライバシーポリシーとして、新たにキーロガーの有効化、画面録画の有効化、非公認Appのホワイトリスト登録が行えるようになります。
  • macOS でも、夏以降の実装となりますが iOS と同様に Activation Lock のバイパスが行えるようになります。
  • iOS に関して最も大きい変更点が、非監視モードデバイスに対する Restriction が廃止予定という話しです。一応猶予期間も設けるようですが、これもかなり前から言い続けてますけどね…。今後は非監視モードデバイスへの機能制限は、User Enrollmnt を使ってくださいね、というオチなのでデバイス管理の観点ではスッキリしたなと言えなくもありません。

 今回は BYOD=非監視モードデバイスの管理について Apple からの回答となった User Enrollment について書いてみました。実際にどんな具合に動作するのか興味が尽きませんが、今度検証した結果をまた報告したいと思います。
多用なデバイスで BYOD をとお考えのお客様は、是非当社に一度ご連絡ください!!
当社の「iOS デバイス導入支援サービス」についての詳細はこちらをご覧ください。
0 コメント

あなたのコメントは承認後に投稿されます。


返信を残す

    Author

    ソフトブレーン・インテグレーション株式会社
    代表取締役
    柴崎忠生
    ビジネス・インキュベーター
    セキュリティ・コンサルタント
    ITIL プロフェッショナル

    Archives

    4月 2025
    3月 2025
    1月 2025
    11月 2024
    10月 2024
    9月 2024
    7月 2024
    6月 2024
    3月 2024
    1月 2024
    12月 2023
    10月 2023
    9月 2023
    6月 2023
    5月 2023
    4月 2023
    3月 2023
    2月 2023
    1月 2023
    12月 2022
    11月 2022
    10月 2022
    9月 2022
    8月 2022
    7月 2022
    6月 2022
    5月 2022
    4月 2022
    3月 2022
    2月 2022
    1月 2022
    12月 2021
    11月 2021
    10月 2021
    9月 2021
    7月 2021
    6月 2021
    5月 2021
    4月 2021
    3月 2021
    2月 2021
    1月 2021
    12月 2020
    11月 2020
    10月 2020
    9月 2020
    8月 2020
    7月 2020
    6月 2020
    5月 2020
    4月 2020
    3月 2020
    12月 2019
    10月 2019
    9月 2019
    8月 2019
    7月 2019
    6月 2019
    5月 2019
    3月 2019
    2月 2019
    12月 2018
    9月 2018
    8月 2018
    7月 2018
    6月 2018
    5月 2018
    4月 2018
    3月 2018
    2月 2018
    1月 2018
    12月 2017
    11月 2017
    10月 2017
    9月 2017
    7月 2017
    6月 2017
    5月 2017
    4月 2017
    3月 2017
    1月 2017
    12月 2016
    10月 2016
    9月 2016
    8月 2016
    7月 2016
    6月 2016
    5月 2016
    4月 2016
    3月 2016
    2月 2016
    1月 2016
    12月 2015
    11月 2015
    10月 2015
    9月 2015
    8月 2015
    7月 2015
    4月 2015
    3月 2015
    12月 2014
    11月 2014
    10月 2014
    9月 2014
    8月 2014
    7月 2014
    6月 2014
    5月 2014

    Categories

    すべて
    Apple Transport Security
    Apple TV
    Apple Watch
    AppleConfigurator2
    Google Chrome
    ICloud
    IOS Security
    IOS ウィルス
    IOS セキュリティ
    IOS マルウエア
    IOS 安全性
    IOS7
    IOS8
    Ios8.2
    IOS9
    IOS9 コンテンツブロッカー
    IPad
    IPhone
    IPhone 6 Plus
    IPhone 6 Plus カメラ交換プログラム
    IPod Touch
    ITunes
    MacOSX
    MacOSX EL Capitan 10.11
    Microsoft Exchange
    WatchOS2
    XCodeGhost
    スクリプト
    セキュリティ
    バッテリー
    ベーシック認証廃止
    モバイルセキュリティ
    モバイル安全性
    モビリティ設計
    運用
    設計
    年金情報流出
    年金情報漏洩

    RSSフィード

ソフトブレーン・インテグレーション株式会社
〒
103-0012 東京都中央区日本橋堀留町2丁目3-5 木下ビルディング8階
tel 03-6892-1180 fax 03-6892-1183 url https://www.sbi.co.jp/
ホーム  | トピックス | セミナー情報  | お問合せ
会社案内 | 会社概要 | ご挨拶 | 企業理念 | 所在地
サービス案内 | 導入支援 | キッティング | AMC | ​Jamf Pro | Jamf Now | Jamf Nowリモート導入支援 | Mobile Iron | Zoom | Okta | iOSアーキテクチャ講習会 | iOSユーザ向け講習会 
サイトポリシー | サイトマップ 
Picture
ソフトブレーン・インテグレーション株式会社は、Apple Consultants Network に参加しています。Appleに認定されたコンサルタントとしてiOS/MAC 等Apple製品の導入支援事業を行っております。
▲上に戻る

Copyright(C) SOFTBRAIN INTEGRATION Co.,Ltd. All Right s Reserved.