WWDC 2020で発表されたエンタープライズ関連の新機能

日本時間2020年6月23日〜6月27日にかけて、Apple社が主催するWWDC（世界開発者会議）2020が開催されました。その中で、今年もエンタープライズ機能のアップデートが紹介されました。

今回は、WWDC 2020で紹介されたいくつかの機能をまとめてみました。

macOSにおける新機能
iOS/iPadOSにおける新機能
Apple Business Manager/Apple School Managerにおける新機能
- SCIMのサポート
[番外編] Fleetsmithの買収
まとめ

macOSにおける新機能

主に2020年秋にリリース予定のmacOS Big Surにて追加される新機能を紹介します。

これらはWhat’s new in managing Apple devicesのセッションで紹介されていました。

Automated Device Enrollmentの改善

tvOSではAuto Advanceと呼ばれる機能を以前よりサポートしています。これは管理者がセットアップアシスタントの画面を操作することなくApple TVをセットアップできる機能です。今回、これと似た機能がmacOS Big Surにて導入される予定です。

執筆現在も、セットアップアシスタントをスキップできる機能はありましたが、OSのアップグレード時のセットアップアシスタントもスキップ可能となる予定です。

セッション中に、Auto Advance for Macにより真のゼロタッチデプロイが実現できるという話がありましたが、詳細は不明です。上記のみのアップデートだとすると、個人的には依然として真のゼロタッチデプロイとはギャップがある状態であると思っています。

UAMDM（User Approved MDM）の機能拡張

Automated Device Enrollmentを介さずにmacOSデバイスを管理下に置く場合、macOS 10.13.2よりUAMDMというしくみで実現されてきました。

ただし、このUAMDMはAutomated Device Enrollmentを介したデバイス登録と比べ、いくつか機能が制限されていました。

macOS Big Surでは、UAMDMを使用してもAutomated Device Enrollmentとまったく同じ機能が使用できるようになる予定です。たとえば、

アクティベーションロックのバイパス
ブートストラップトークンの使用
追加のプロファイルのインストール

などが使用できます。

Apple社ではAutomated Device Enrollmentで登録したデバイスをorganization-owned（組織所有）、UAMDMで登録したデバイスをuser-owned（個人所有）という用語に統合したようです。

ソフトウェアアップデートの管理

MDMコマンドを介して、macOSデバイスにソフトウェアアップデートを強制的にダウンロードさせ、再起動させることができます。

また、メジャーおよびマイナーOSアップデートを最大90日間延期できます。

iOSやiPadOSではすでに上記のような管理ができましたが、今回macOSにも同様の機能が導入されることになります。

App Storeのアプリケーションの管理

執筆現在、Volume Purchasing（以前のVolume Purchase Program）で購入したアプリケーションをmacOSデバイスに対してMDM経由でインストールできます。しかし、iOSやiPadOSのようにアプリケーションをアンインストールできませんでした。

macOS Big SurではMDMを介してアプリケーションをアンインストールできるようになる予定です。

可能な場合は、管理されていないアプリケーションを管理下におくこともできるそうですが、どのような状態の場合に適用されるかの解説がなかった、または聞き逃している可能性があるためわかりませんでした。もしわかる方がいらっしゃいましたらご教示ください。

コンテンツキャッシュの改善

同じネットワーク上のデバイス間でAppleからのアプリケーションやブック、OSのアップデートなどのコンテンツのダウンロードを共有するコンテンツキャッシュ機能が搭載されています。

macOS Big Surでは、このコンテンツキャッシュに対してインターネットリカバリがサポートされる予定です。また、6GBの完全なリカバリイメージがキャッシュされます。

さらに、Content Caching InformationというMDMコマンドを介して、コンテンツキャッシュのメトリックスを取得できるようになる予定です。つまり、デバイスでどの程度キャッシュが利用されているかを把握できます。

プロファイルをダウンロードしたときの挙動の変更

macOS Big Sur以前のOSの場合、プロファイルをダウンロードすると、即座にプロファイルがインストールされました。

macOS Big Surでは「システム設定 > プロファイル」の「ダウンロードされたプロファイル」という新しいグループに追加されます。プロファイルを一度確認し、管理者パスワードを入力してインストールするというフローに変更になります。

もし、ユーザーが8分間何もアクションを起こさない場合、ダウンロードしたプロファイルは自動的に削除されます。

また、コマンドラインを使用しても（おそらく sudo を使用しても）完全にはプロファイルがインストールできなくなります。コマンドラインでインストールを行うと、同様にダウンロードされたものとして扱われ、同様に手動での操作が必要になります。

おそらくですが、MDMコマンドを使用したプロファイルのプッシュ（インストール）に関してはこの制限の対象外であると思われます。

標準ユーザーにおけるnetworksetupコマンドの制限

macOS Big Sur以前のOSの場合、管理者ユーザーおよび標準ユーザーは networksetup コマンドを使用することで、一部ネットワークの設定を変更できました。

macOS Big Surからは、標準ユーザーは networksetup コマンドを使用してもread onlyであり、ネットワーク設定に関しては、

Wi-Fi-のオン/オフ
アクセスポイントの変更

のみが可能です。

ただし、sudo を使用することでこの制限を回避できます。

シリアル番号の仕様変更

執筆現在、シリアル番号は12桁の文字列であり、デバイスの

製造日時
場所
ID

の情報を内包していました。 Automated Device Enrollmentにおいてこのシリアル番号は必須の存在ですが、上記の仕様により一意性を担保する文字列が短くなっているため悪用される可能性があります。

そのため、今後発売される新製品に関しては、10桁の完全にランダムな10文字が割り当てられます。

MDMサーバーを提供しているサードパーティのサービスは対応するべきですが、MDMを使用する立場の場合はさほど気にする必要がありません。

Mac ProのLights Out Management（LOM）の復活

以前存在していたLOMが、macOS Big Surを搭載したMac Proで復活する予定です。これにより、新しいMac Proをで大規模に管理できます。 MDM登録をしたLOMを介してリモートで電源投入、再起動、そのほか帯域外管理作業が可能です。

iOS/iPadOSにおける新機能

主に2020年秋にリリース予定のiOS 14およびiPadOS 14にて追加される新機能を紹介します。

これらはWhat’s new in managing Apple devicesのセッションで紹介されていました。

共有iPadの改善

iPadOS 14以前は、制限されたユーザーでしかストレージ容量を指定できませんでしたが、iPadOS 14以降は数の制限がなくユーザーごとにデバイスのストレージ容量を設定できるようになる予定です。

また、共有iPadからすべてのユーザーを一度に削除するMDMコマンドをサポートします。

これらの機能に合わせて、ユーザーごとのストレージ容量と共有iPadの存在するユーザー数をMDMを介して取得できるようになる予定です。

さらに、Managed Apple IDを使用しない、ゲストのような一時的にデバイスにサインインできる機能が追加されます。サインアウトすると、そのユーザーのデータはすべて削除されます。

アプリケーションを削除できないようにする機能の追加

組織において、特定のアプリケーションが存在しないことでミッションクリティカルになりうるケースがあります。

そのため、指定したアプリケーション（おそらくVolume Purchasingを介して配布したアプリケーションのみ）を削除できないようにする機能が追加される予定です。

実際には、対象のアプリケーションを削除しようとするとアラートが表示され、管理者によって制限されている旨が通知され、アプリケーションの削除が行われません。

ショートカットアプリケーションの管理

ショートカットアプリケーションは便利ですが、意図せずデータが外部に流出する可能性があります。

そのため、許可しないアクションをポリシーで設定すると、ショートカットを実行した際に、強制的にショートカットを停止する機能が追加されます。

通知機能の制限

通知は便利ですが、通知内容によっては意図せず機密情報が外部に流出してしまう可能性がありました。

そのため、通知プレビューを制御する機能が追加されます。今までも個別のアプリケーションに関しては通知を制御できましたが、全体の通知機能として設定する方法はありませんでした。具体的には、

常に通知を表示しない
常に通知を表示する
デバイスのロックが解除されたあとに通知を表示する

など、いくつかの制限が可能となる予定です。

安全なDNS設定

今までは、安全に名前解決をする場合、DNSトラフィックをラップするためにVPN接続が必要でした。

iOS/iPadOS 14では、デバイスとDNSサーバー間のDNSトラフィックを暗号化する機能が追加される予定です。

詳細はわかっていませんが、MDMを介すことで、この安全なDNS設定を制御する機能が提供されるようです。

Wi-FiのMACアドレスのランダム化

iOS/iPadOS 14からは、デバイスがWi-Fiネットワークに接続する際に使用するMACアドレスを、ハードウェアのものではなくランダムなMACアドレスを使用します。

組織のネットワークによっては、MACアドレスでフィルタリングを行っている場合があるかもしれませんが、そのような環境では予期せぬ動作が発生する可能性があるため注意が必要です。

Apple Business Manager/Apple School Managerにおける新機能

Apple Business ManagerおよびApple School Managerは、組織でApple IDやデバイス、アプリケーションを管理するためには必須であるポータルサイトです。

以下はLeverage enterprise identity and authenticationのセッションで紹介されていました。

SCIMのサポート

IdPとしてMicrosoft Azure Active Directoryを使用している場合、今まではID連携の機能を提供していましたが、今後はSCIMもサポートされる予定です。

これにより、Managed Apple IDのプロビジョニングが可能となります。

[番外編] Fleetsmithの買収

WWDC 2020では発表がありませんでしたが、開催期間中にFleetsmithというAppleデバイスを管理するMDMサービスがApple社に買収されました。¹

Appleデバイス管理については、Jamf NowおよびJamf Proが有名です。これらのサービスを提供しているJamf社を買収するのではなく、スターアップであるFleetsmith社を買収したことに何人ものMacAdminsが注目していたと見受けられました。

ただ、買収当日にVolume Purchasing以外のサードパーティ製のmacOSアプリケーションを配布するサービスが停止するなど阿鼻叫喚な状態だったようです。²

個人的な見解としては、この買収によりApple社のエンタープライズ機能がさらに強化され、結果としてJamf社などのサードパーティのプロダクトもその機能郡を使用することでAppleデバイスがよりエンタープライズ市場において存在感を強めて行くと考えています。

まとめ

WWDC 2020で発表されたエンタープライズ機能のアップデートを一部紹介しました。

特に、macOSに関してはアップデートが多かった印象を受けました。おそらくですが、iOS/iPadOSと同様のArmベースのCPUを搭載したデバイスが今後販売されるという発表があったように、だんだんとiOS/iPadOSとの機能の差異を埋めていくと思われます。

ここで紹介していない内容のほかにもアップデートされる機能がいくつもあります。それらに関しては、WWDC 2020のセッションやApple Developerのサイトを参照してください。