Appleデバイスに管理対象アプリを配付する
組織によっては、ユーザに配付されたアプリが内部のリソースに接続する方法や、ユーザが退職する場合のデータセキュリティの取り扱い方法を管理することが必要になる場合があります。デバイス管理サービスを使用して無料、有料、およびカスタムアプリをワイヤレスで配付し、データのフローを管理することで、組織のセキュリティとユーザの自由度のバランスを取ることができます。
管理対象アプリ
デバイス管理サービスを使ってインストールするアプリは、「管理対象アプリ」と呼ばれます。これらのアプリには機密情報が含まれることがあり、ユーザがダウンロードするアプリよりも詳細に管理する必要があります。
管理対象アプリは、デバイスから次のようにして削除できます:
デバイス管理サービスによってリモートで。
ユーザがデバイス管理サービスからデバイスの登録を解除したとき。
iPhone、iPad、およびApple Vision Proでは、アプリを削除すると、アプリのデータコンテナに関連付けられたデータも削除されます。iPhone、iPad、およびApple Vision Pro上でアプリのライセンスがデバイス管理サービスによって無効になっても削除されない場合、そのアプリはデバイス上で30日間そのまま利用できます。アプリデベロッパが受信確認を実装している場合は、それよりも早くアプリが無効になる可能性があります。Macでは、受信確認が行われるまでアプリをそのまま利用できます。
無効になったアプリは起動できなくなり、ユーザに通知されます。ただし、アプリはデバイスに残り、データは保持されます。ユーザがコピーを購入すると、アプリを再度使用できるようになります。
管理対象アプリの制限と機能
管理対象アプリには以下の機能および制限を搭載でき、セキュリティとユーザエクスペリエンスが向上しています:
デバイス管理サービスからの登録解除: ユーザがデバイス管理サービスから登録解除したときに管理対象アプリとそのデータをデバイス上に残すかどうかを指定する。
アプリを変換する: 管理対象外アプリを管理対象アプリに変換する。
デバイスが監視対象の場合、デバイス管理サービスによって管理対象外アプリから管理対象アプリへの切り替えが要求されると、ユーザの操作なしに切り替えが実行されます。デバイスが監視対象でない場合は、ユーザが正式に管理を承諾する必要があります。アプリ変換はユーザ登録には対応していません。
アプリのバージョンのアップデート: 定期的にApp Storeでアプリの新バージョンをチェックし、アプリをアップデートするためのアプリインストールコマンドをデバイスに送信する。このチェックはカスタムアプリにも適用されます。デバイスに割り当てられ、デバイス管理サービスによってインストールおよび管理されているアプリは、そのサービスによってアップデートする必要があります。App Storeではユーザにアプリのアップデート通知が表示されません。
タッチ決済を許可する(iOS): iOS 16.4以降を搭載したデバイスでは、フォアグラウンドで動作する支払いアプリを、タッチ決済取引の際でも安全に使用できるとマークできます。設定されている場合は、カードPINを入力するためにデバイスが顧客に手渡されるすべての取引のあとで、ユーザがFace ID、Touch ID、またはパスコードを使ってデバイスのロックを解除する必要があります。
Managed Open Inの制限を使用する(iOS、iPadOS): 組織のアプリデータを保護するために3つの機能から選択できます:
管理対象出力先で管理対象外ソースからの書類を許可。この制限を適用することで、ユーザの個人ソースおよびアカウントからの書類を組織の管理対象出力先で開けなくすることができます。たとえば、この制限によって、ユーザは組織のPDFアプリで無作為なWebサイトからPDFを開くことができなくなります。
管理対象外出力先で管理対象ソースからの書類を許可。この制限を適用することで、組織の管理対象ソースおよびアカウントからの書類をユーザの個人出力先で開けなくすることができます。この制限により、組織の管理対象メールアカウントからの機密メール添付ファイルをユーザの個人アプリで開けなくなります。
Managed pasteboard。iOS 15およびiPadOS 15以降を搭載したデバイスでは、この制限により、管理対象と管理対象外の出力先の間でのコンテンツのペーストを制御できます。上記の制限が適用されると、コンテンツのペーストは、カレンダー、ファイル、メール、メモなどの他社製またはファーストパーティー製のアプリ間のManaged Open Inの境界を尊重するように設計されます。この制限が使用され、コンテンツが管理対象境界を越えている場合、アプリはペーストボードから項目を要求できません。iOS 16およびiPadOS 16.1以降を搭載したデバイスでは、管理対象ドメインも含まれます。
アプリを削除不可としてマークする(iOS、iPadOS): iOS 14およびiPadOS 14以降を搭載したデバイスでは、管理対象アプリは削除不可としてマークできます。これまでは、管理者がホーム画面を完全にロックしてすべてのアプリの削除を禁止する必要があり、ユーザが自分のアプリを管理する機能が制限されていました。ユーザは引き続き、アプリを並べ替えたり、新しいアプリをインストールしたり、インストールしたほかのアプリを削除したりできます。管理者は、ミッションクリティカルな管理対象アプリを削除不可としてマークできます。管理対象アプリをユーザが削除したり取り除いたりしようとしても、この手続きは阻止されて警告が表示されます。管理対象アプリを削除不可にすることによって、組織のユーザは必要なアプリが自分のデバイス上に常に存在していることが保証されます。
管理対象アプリがデータをバックアップできないようにする(macOS): 管理対象アプリがFinder(macOS 10.15以降)、iTunes(macOS 10.14以前)、またはiCloudにデータをバックアップできないようにすることができます。バックアップを禁止すると、管理対象アプリがデバイス管理サービスにより削除され、あとでユーザが再インストールした場合にデータを復元できないようにすることができます。
アプリ構成設定を使用する: アプリデベロッパは、管理対象アプリとしてインストールされる前またはされたあとで設定できる構成設定を識別できます。例えば、デベロッパは、アプリに管理対象アプリの紹介画面をスキップさせるために、SkipIntro設定を指定できます。
デバイス管理サービスで読み取り可能なアプリのフィードバック設定を使用する: アプリデベロッパは、デバイス管理サービスが読み取り可能なアプリ設定を識別できます。例えば、デベロッパは、アプリが正しく起動および設定されているかどうかを判断するためにデバイス管理サービスが照会できる、
DidFinishSetupキーを指定できます。Safariから管理対象書類をダウンロードする: Safariからダウンロードしたものは、それが管理対象ドメインからのものであれば管理対象書類と見なされます。例えば、ユーザが管理対象ドメインからPDFをダウンロードした場合、そのPDFはすべての管理対象ドメイン設定に従います。詳しくは、管理対象ドメインの例を参照してください。
管理対象アプリがiCloudにデータを保存できないようにする: 管理対象外アプリでユーザが作成したデータは、引き続きiCloudに保存できます。
注記: 利用できるオプションはデバイス管理サービスによって異なります。お使いのデバイスで使用できるオプションについては、デベロッパのデバイス管理サービスの資料を参照してください。
管理対象アプリを構成する
組織では、特定のニーズやユーザグループに合わせてアプリのユーザ体験をカスタマイズする必要が生じることがよくあります。
iOS 18.4、iPadOS 18.4、visionOS 2.4以降を搭載したデバイスでは、組織は、ManagedAppフレームワークを採用している管理対象アプリに、アプリ固有の構成と機密情報(パスワード、証明書、IDなど)を安全に導入できます。これにより、組織はcom.apple.configuration.app.managed構成を使用してアプリの動作をカスタマイズし、ユーザ体験を簡素化し、セキュリティを強化できます。例を以下に挙げます:
特定のデバイスまたはユーザ向けに管理対象アプリまたはアプリ機能拡張を事前に構成します。
自動的にプロビジョニングされた識別情報を認証と署名に使用します。
APIアクセストークンを安全に受信します。
カスタムの信頼(証明書のピン留め)用の証明書を取得します。
強力なデバイス認証のためにハードウェアにバインドされた鍵と管理対象デバイスの認証を使用します。
詳しくは、Apple Developer Webサイトの「ManagedAppフレームワーク」(英語)を参照してください。
管理対象ブック
作成した管理対象ブック、EPUBブック、PDFをデバイス管理サービスで配付することもできます。
デバイス管理サービスが配付するEPUBブックおよびPDFのプロパティは、ほかの管理対象書類と同じです。必要に応じて新しいバージョンにアップデートしたり、ほかの管理対象アプリのみと共有したり、管理対象Apple Accountを使ってメールで送信したりできます。デバイス管理サービスでは、ユーザが管理対象ブックをバックアップできないようにすることもできます。これらのブックはユーザに割り当てられますが、デバイス管理サービスでユーザに割り当てられたiPhoneおよびiPadデバイスでしか表示できません。
注記: Apple Vision Proは管理対象ブックには対応していません。
他社製キーボードを制限する
iOSおよびiPadOSでは、他社製キーボード機能拡張に適用されるManaged Open Inルールがサポートされます。これらのルールにより、管理対象外キーボードは管理対象アプリに表示されなくなります。