モバイルデバイス管理のセキュリティの概要
Appleのオペレーティングシステムはモバイルデバイス管理(MDM)に対応しています。これによって、組織は規模に応じて導入されているAppleデバイスを安全に設定し、管理することができます。
MDMが安全に機能する仕組み
MDMの機能は、構成プロファイル、ワイヤレスでの登録、Appleプッシュ通知サービス(APNs)などの既存のオペレーティングシステムのテクノロジーを基礎としています。例えば、APNsは、デバイスがMDMソリューションとセキュリティ保護された接続で直接通信できるようにデバイスをスリープ解除する目的で使用されます。APNsによって機密情報や専有情報が送信されることはありません。
IT部門はMDMを使用することで、企業環境へのAppleデバイスの登録、ワイヤレスでの設定の構成や更新、企業ポリシーへの準拠状況の監視、ソフトウェア・アップデート・ポリシーの管理、管理対象デバイスのリモートワイプやリモートロックなどを行うことができます。
iOS、iPadOS、macOS、およびtvOSでサポートされている従来のデバイス登録オプションに加え、iOS 13以降、iPadOS 13.1以降、およびmacOS 10.15以降では「ユーザ登録」という登録オプションを利用できます。ユーザ登録はBYOD(Bring Your Own Device)環境に特化したMDM登録方法です。BYOD環境では、個人所有のデバイスが、管理された環境で使用されます。ユーザ登録では、監視対象外デバイスの登録と比べて、MDMソリューションに付与される権限の範囲が狭められています。また、暗号化によってユーザのデータと企業のデータが分離されます。
登録の種類
自動デバイス登録: 自動デバイス登録では、組織はデバイスを箱から取り出した瞬間からデバイスを設定し管理することができます(自動進行導入と呼ばれるプロセスを使用します)。これらのデバイスは監視対象と呼ばれ、ユーザがMDMプロファイルを削除するのを防ぐオプションがあります。自動デバイス登録は組織の所有デバイス用に設計されています。
デバイス登録: デバイス登録では、組織がユーザにデバイスを手動で登録させることで、デバイスの使用をさまざまな面にわたって管理できるようになります。これにはユーザがデバイスを消去できるかどうかということも含まれます。デバイス登録には、デバイスに適用できるペイロードと制限が多数そろっています。ユーザが登録プロファイルを削除すると、すべての構成プロファイル、それらの設定、およびその登録プロファイルに基づく管理対象Appが同時に削除されます。
ユーザ登録: ユーザ登録は、ユーザ自身の所有デバイス向けに設計されており、管理対象Apple IDに統合されて、デバイスにユーザの識別情報を確立します。管理対象Apple IDはユーザ登録プロファイルの一部です。登録を完了するためには、ユーザは認証を成功させる必要があります。管理対象Apple IDはユーザがすでにサインインに使用している個人のApple IDと併用できます。管理対象のAppとアカウントは管理対象Apple IDを使用し、個人用のAppとアカウントは個人のApple IDを使用します。
デバイスの機能制限
管理者は、機能制限を有効にしたり、場合によっては無効にしたりすることで、MDMソリューションに登録されている特定のApp、サービス、あるいはiPhone、iPad、Mac、またはApple TVの機能をユーザが利用できないように制限することができます。機能制限は、構成プロファイルの一部である機能制限ペイロードとしてデバイスに送信されます。iPhoneでは、ペアリングされているApple Watchにも特定の機能制限が反映されます。
パスコードとパスワードの設定の管理
デフォルトでは、ユーザのパスコードは数字のPINとして定義できます。Face IDまたはTouch IDを搭載したiOSおよびiPadOSデバイスの場合、最も短いパスコードは4桁です。推測や攻撃を困難にするために、長く複雑なパスコードが推奨されます。
管理者はMDMまたはMicrosoft Exchange ActiveSyncを使用して、あるいは構成プロファイルを手動でインストールするようユーザに求めることで、複雑なパスコードの要件を適用できます。macOSのパスコード・ポリシー・ペイロードをインストールするには管理者パスワードが必要です。パスコードポリシーによっては、特定のパスコードの長さ、構成、またはその他の属性が必要になる場合があります。