Appleデバイスへのアクセサリのアクセスを管理する
Macコンピュータを管理する
macOSのアクセサリセキュリティ(制限モードと呼ばれます)は、お客様を有線アクセサリを使ったclose-access攻撃から保護するように設計されています。Appleシリコンを搭載したmacOS 13以降のMacノートブックコンピュータでは、デフォルトで、ユーザに新しいアクセサリの許可を求めるように構成されています。ユーザは、システム設定でアクセサリの接続を許可するための以下の4つのオプションから選択できます:
毎回確認
新規アクセサリの場合は確認
ロックされていない場合は自動的に許可
常にする
ロックされているMacにユーザが未知のアクセサリ(Thunderbolt、USB、またはmacOS 13.3以降の場合はSDXC(拡大容量SD)カード)を接続すると、Macをロック解除するよう求められます。承認済みのアクセサリは、最後にMacがロックされてから3日以内ならロックされているMacに接続できます。3日後にアクセサリが接続されると、「アクセサリを使用するにはロックを解除してください」と表示されます。
環境によっては、ユーザ認証のバイパスが必要になる場合があります。この動作は、MDMソリューションで、既存のallowUSBRestrictedMode
制限を使ってアクセサリを常に許可することで制御できます。
注記: これらの接続は、電源アダプタ、Thunderbolt以外のディスプレイ、承認済みハブ、ペアリング済みのスマートカード、設定アシスタントを実行中のMac、またはrecoveryOSから起動したMacには適用されません。
iPhoneおよびiPadデバイスを管理する
iPhoneおよびiPadがどのホストコンピュータとペアリングできるかは、セキュリティおよびユーザの利便性のために重要です。例えば、ソフトウェアをアップデートしたりMacコンピュータのインターネット接続を共有したりするためにセルフサービスステーションに安全に接続できるようにするには、iPhoneまたはiPadとホストコンピュータの間に信頼関係が必要です。
デバイスのペアリングは通常、ユーザがデバイスをUSB(または、対応する機種のiPadではThunderbolt)ケーブルでホストコンピュータに接続したときに、ユーザが行います。ユーザのデバイスに、コンピュータとの信頼関係を確立するかどうかを尋ねるプロンプトが表示されます。
ユーザはその決定を確認するためのパスコードの入力を求められます。それ以降同じホストコンピュータに接続すると、信頼関係の確立が自動的に進められます。「設定」>「一般」>「リセット」>「位置情報とプライバシーをリセット」と選択するか、デバイスを消去すると、ペアリングの信頼関係を解消できます。また、これらの信頼レコードは30日間使用されないと削除されます。
ホストとのペアリングのMDM管理
管理者は、「Apple Configurator以外のホストとのペアリングを許可」という制限設定により、監視対象Appleデバイスでホストコンピュータを手動で信頼できるようにするかどうかを管理できます。管理者は、ホストとのペアリング機能(およびデバイスへの正しい監視IDの配布)を無効にすることで、有効な監視ホスト証明書を保有していて信頼できるコンピュータにのみ当該iPhoneおよびiPadデバイスへのUSB経由(または、iPadモデルが対応している場合はThunderbolt経由)でのアクセスが許可されるようにできます。ホストコンピュータで監視ホスト証明書が構成されていない場合は、すべてのペアリングが無効になります。
注記: Appleデバイスの登録設定「allow_pairing」はiOS 13およびiPadOS 13.1で非推奨になりました。代わりに、上記のガイダンスでは、引き続き信頼できるホストにペアリングできるようにすることで柔軟性を高められるため、管理者はこれに従って設定を進めてください。また、iPhoneまたはiPadを消去しなくても、ホストのペアリング設定を変更できます。
ペアリングなしでの復元ワークフローのセキュリティを確保する
iOS 14.5およびiPadOS 14.5以降では、ペアリングされていないホストコンピュータがデバイスをrecoveryOS(リカバリモードとも呼ばれます)で再起動し、ローカルでの物理的な操作なしでデバイスを復元することはできません。この変更が行われる前には、権限のないユーザがiPhoneまたはiPadを直接操作せずにユーザのデバイスを消去して復元することができました。必要なのは、ターゲットデバイスとコンピュータへのUSB(または、iPadモデルが対応している場合はThunderbolt)接続(充電機能として提供されているものなど)だけでした。
iPhoneまたはiPadの復元のための外部起動の制限
iOS 14.5およびiPadOS 14.5以降では、以前に信頼したホストコンピュータに対してこのリカバリ機能がデフォルトで制限されます。管理者は、この安全性の高い動作を停止したい場合、「ペアリングが解除されたホストからのiOSまたはiPadOSデバイスのリカバリモードへの移行を許可」という制限設定を有効にすることができます。
iPhoneまたはiPadでEthernetアダプタを使用する
互換性のあるEthernetアダプタを使うiPhoneまたはiPadでは、デバイスの制限がオフになっていれば、デバイスの初期ロックを解除する前でも、接続されたネットワークへのアクティブな接続が維持されます。この方法は、Wi-Fiやモバイルデータ通信ネットワークが利用できず、ユーザが自分のパスコードを忘れて、MDMがそのパスコードを消去しようとしているときなどの、システム終了状態からの起動や再起動後にデバイスのロックが解除されていない状態で、デバイスがMDMコマンドを受信する必要のある場合に便利です。
iPhoneまたはiPadの制限モードの設定は、次のようにして管理できます:
MDM管理者がUSB制限モード制限を使用。これには、デバイスが監視対象であることが必要です。
ユーザが「設定」>「Touch/Face IDとパスコード」>「アクセサリ」で。