Appleプラットフォーム導入
- ようこそ
- Appleプラットフォーム導入の概要
- 新機能
-
-
- アクセシビリティペイロードの設定
- Active Directory証明書ペイロードの設定
- AirPlayペイロードの設定
- AirPlayセキュリティペイロードの設定
- AirPrintペイロードの設定
- App Lockペイロードの設定
- 関連ドメインペイロードの設定
- 自動証明書管理環境(ACME)ペイロードの設定
- 自律的シングルアプリモードペイロードの設定
- カレンダーペイロードの設定
- モバイルデータ通信ペイロードの設定
- モバイル通信プライベートネットワークペイロードの設定
- 証明書プリファレンスペイロードの設定
- 証明書失効ペイロードの設定
- CT(証明書の透明性)ペイロードの設定
- 証明書ペイロードの設定
- 会議室のディスプレイペイロードの設定
- 連絡先ペイロードの設定
- コンテンツ・キャッシュ・ペイロードの設定
- ディレクトリサービスペイロードの設定
- DNSプロキシペイロードの設定
- DNS設定ペイロードの設定
- Dockペイロードの設定
- ドメインペイロードの設定
- 省エネルギーペイロードの設定
- Exchange ActiveSync(EAS)ペイロードの設定
- Exchange Web Services(EWS)ペイロードの設定
- 拡張シングルサインオンペイロードの設定
- 拡張シングルサインオンKerberosペイロードの設定
- 機能拡張ペイロードの設定
- FileVaultペイロードの設定
- Finderペイロードの設定
- ファイアウォールペイロードの設定
- フォントペイロードの設定
- グローバルHTTPプロキシペイロードの設定
- Googleアカウントペイロードの設定
- ホーム画面レイアウトペイロードの設定
- 識別子ペイロードの設定
- 識別プリファレンスペイロードの設定
- カーネル機能拡張ポリシーペイロードの設定
- LDAPペイロードの設定
- LOM(Lights Out Management)ペイロードの設定
- ロック画面のメッセージペイロードの設定
- ログイン・ウインドウ・ペイロードの設定
- 管理対象ログイン項目ペイロードの設定
- メールペイロードの設定
- ネットワーク使用ルールペイロードの設定
- 通知ペイロードの設定
- ペアレンタル・コントロール・ペイロードの設定
- パスコードペイロードの設定
- プリントペイロードの設定
- 「プライバシー」環境設定ポリシー制御ペイロードの設定
- リレーペイロードの設定
- SCEPペイロードの設定
- セキュリティペイロードの設定
- 設定アシスタントペイロードの設定
- シングルサインオンペイロードの設定
- スマートカードペイロードの設定
- 照会カレンダーペイロードの設定
- システム機能拡張ペイロードの設定
- システム移行ペイロードの設定
- Time Machineペイロードの設定
- TV Remoteペイロードの設定
- Webクリップペイロードの設定
- Webコンテンツ・フィルタ・ペイロードの設定
- Xsanペイロードの設定
- 用語集
- 資料の改訂履歴
- 著作権
Appleデバイスの管理対象デバイスの認証
管理対象デバイスの認証は、iOS 16、iPadOS 16.1、macOS 14、およびtvOS 16以降の機能です。信頼評価の一環として使用できる、デバイスのプロパティに関する強力な証拠が提供されます。このデバイスプロパティの暗号宣言は、Secure EnclaveとApple認証サーバのセキュリティに基づいています。
管理対象デバイスの認証は、以下の脅威に対する保護に役立ちます:
デバイスが攻撃されてプロパティが詐称される
デバイスが攻撃されて期限切れの認証が提供される
デバイスが攻撃されて別のデバイスの識別情報が送信される
不正なデバイスで使用するために秘密鍵が抜き取られる
攻撃者によって証明書要求が乗っ取られ、CAがだまされて攻撃者に証明書を発行する
詳しくは、WWDC23のビデオ「Appleデバイスの管理における新機能」(英語)をご覧ください。
ACME証明書登録要求での管理対象デバイスの認証
組織の発行CA(認証局)のACMEサービスによって、登録デバイスのプロパティの認証を要求できます。この認証により、デバイスのプロパティ(シリアル番号など)が正当であり、詐称されていないことが強力に保証されます。発行CAのACMEサービスでは、認証対象のデバイスプロパティの整合性を暗号学的に検証すること、およびオプションでそれらを組織のデバイスインベントリと照合することができ、検証に成功すると、そのデバイスは組織のデバイスであることが確認されます。
認証が使用される場合、ハードウェアにバインドされた秘密鍵は、証明書署名要求の一環としてデバイスのSecure Enclave内で生成されます。この要求の場合は、そのあとでACMEの発行CAがクライアント証明書を発行できます。この鍵はSecure Enclaveに紐づけられているため、特定のデバイスでのみ使用できます。これは証明書識別情報の仕様に対応する構成で、iPhone、iPad、Apple TV、およびApple Watchで使用できます。Macでは、ハードウェアにバインドされた鍵は、MDM、Microsoft Exchange、Kerberos、802.1Xネットワーク、内蔵VPNクライアント、内蔵ネットワークリレーによる認証に使用できます。
注記: アプリケーションプロセッサが攻撃された場合でも、Secure Enclaveは鍵の抜き取りを防ぐ強力な保護機能を備えています。
これらのハードウェアにバインドされた鍵は、デバイスを消去または復元すると、自動的に削除されます。鍵が削除されるため、復元後はそれらの鍵に依存する構成プロファイルが機能しなくなります。鍵を再作成するには、プロファイルが再適用する必要があります。
ACMEペイロード認証を使うと、MDMで、暗号学的に以下のことを検証できるACMEプロトコルを使用してクライアント証明書の識別情報を登録できます:
デバイスが正規のAppleデバイスであること
デバイスが特定のデバイスであること
デバイスが組織のMDMサーバで管理されていること
デバイスに特定のプロパティ(シリアル番号など)があること
秘密鍵がデバイスにハードウェア的にバインドされていること
MDM要求での管理対象デバイスの認証
MDMソリューションでは、ACME証明書登録要求時に管理対象デバイスの認証を使用する以外に、DevicePropertiesAttestation
プロパティを要求するDeviceInformation
クエリーを発行できます。MDMソリューションで新しい認証が必要な場合は、オプションのDeviceAttestationNonce
キーを送信すると、強制的に新しい認証が取得されます。このキーを省略すると、キャッシュされた認証がデバイスから返されます。その後、デバイスの認証応答によって、カスタムOIDにデバイスのプロパティが含まれたリーフ証明書が返されます。最初の2つのプロパティはシリアル番号とUUIDです(どちらも、ユーザ登録を使用する場合は省略されます)。残りの値は匿名で、sepOSのバージョンやオプションのアンチタイムリプレイ値などのプロパティが含まれます。
次にMDMソリューションで、証明書チェーンのルート認証局が想定通りにApple Certificate Authority(Apple Private PKI Repositoryから取得可能)になっているかどうかを評価することで、応答を検証でき、要求された場合は、DeviceInformation
クエリーで指定されたアンチリプレイ値が検証されます。
アンチリプレイ値を定義すると新しい認証が生成され、デバイスとAppleのサーバのリソースが消費されるため、現在、使用は1台のデバイスあたり7日につき1つの認証に限定されています。デバイスのプロパティが変わらない限り(例えば、オペレーティングシステムのバージョンのアップデートやアップグレードなど)、新しい認証を要求する必要はないと考えられます。