日本時間2022年6月10日〜6月14日にかけて、Apple社が主催するWWDC(世界開発者会議)2024が開催されました。

今回は、WWDC 2024で紹介されたいくつかのエンタープライズ関連な機能をまとめてみました。

Apple Business Manager/Apple School Managerに関連するアップデート

アクティベーションロックの管理機能の強化

What's new in device managementのセッションで発表された、Apple Business Manager/Apple School Managerにおけるアクティベーションロックの管理機能強化について

アクティベーションロックは紛失時などにおいて、不正なユーザーがデバイスを使用することを防げます。

アクティベーションロックの設定を有効化している場合、MDMソリューションによってはアクティベーションロックのバイパスコードを収集して、ワイプ時にアクティベーションロックの解除などが可能でした。 しかし、意図せずアクティベーションロックが有効化されてしまった場合やバイパスコードが収集できていなかった場合、誤ってインベントリを削除してしまった場合などにおいて、デバイスの再利用が困難になることがありました。

今回のアップデートにより、Apple Business Manager/Apple School Manager上に登録されているデバイスであればアクティベーションロックの解除(オフ)が可能になります。

Managed Apple Account(旧Managed Apple ID)のドメイン制限

What's new in device managementのセッションで発表された、Apple Business Manager/Apple School ManagerにおけるManaged Apple Account(旧Managed Apple ID)のドメイン制限について

組織のドメインでManaged Apple Accountを展開した場合においても、エンドユーザーが個人のApple Accountを組織のドメインで作成できてしまいました。ただし、IdPのFederationを有効化する場合にのみエンドユーザーが個人のApple Accountを組織のドメインで作成できなくする方法はありました。

今回のアップデートにより、IdPに接続せずとも組織のドメインにおいてManaged Apple Accountを強制できます。

既存のApple AccountのManaged Apple Accountへの変換

What's new in device managementのセッションで発表された、Apple Business Manager/Apple School Managerにおける既存のApple AccountのManaged Apple Accountへの変換について

すでに組織のドメインで存在するApple AccountをManaged Apple Accountに変換するオプションが提供されます。

30日の間にアカウントの所有者がアクションを取らない場合、既存のアカウントは個人アカウントのまま残り、自動的に名前が変更されます。

こちらもIdPのFederationを有効化する場合はこの機能が使用可能でしたが、今回のアップデートによりIdPに接続せずともこの機能が使用可能となります。

セットアップアシスタントにおけるスキップ項目の追加

What's new in device managementのセッションで発表された、macOSのセットアップアシスタントのスキップできる項目の追加

iOS/iPadOS 18、およびmacOS 15 Sequoiaから、Apple IntelligenceがOSに標準搭載されます。

セットアップアシスタントにおいても、Apple Intelligenceに関する項目が追加されるため、この項目をスキップするように構成できます。

また、iOS/iPadOS 18に関しては読み上げなどで使用されるボイス選択の項目もスキップも可能になります。

ベータプログラムへのアップデート管理

What's new in device managementのセッションで発表された、Apple Business Manager/Apple School Managerにおけるベータプログラムへのアップデート管理について

Apple School Manager/Apple Business Managerの管理者ロールを持つユーザーが、AppleSeed for ITと連携すると、組織のデバイスは、組織トークンを使用していつでもベータプログラムに参加できます。

通常のソフトウェアアップデート同様に、ベータリリースにおいても監視対象デバイスにおいて強制および延期が可能です。 また、組織が管理デバイスのベータプログラム登録を追跡できます。

自動デバイス登録におけるベータプログラムの選択

What's new in device managementのセッションで発表された、Apple Business Manager/Apple School Managerにおける自動デバイス登録におけるベータプログラムの選択について

iOS/iPadOS 17.5、およびmacOS 14.5以降では、自動デバイス登録におけるセットアップアシスタント中にベータプログラムを設定できます。

ソフトウェアアップデートに関するアップデート

ソフトウェアアップデートの仕組みの刷新

What's new in device managementのセッションで発表された、iOS/iPadOSのソフトウェアアップデートの仕組みの刷新について

監視対象デバイスに対して、ソフトウェアアップデート強制時の1時間前の通知や再起動カウントダウン、ベータ版の管理などが可能になります。

Safariに関するアップデート

Safariの拡張機能の管理

What's new in device managementのセッションで発表された、Safariの拡張機能の管理について

iOS/iPadOS、およびmacOSのSafariの拡張機能が管理できます。

  • 許可する拡張機能を定義し、ユーザーがオンまたはオフを選択する
  • 拡張機能を常にオンまたはオフにするかどうかを制御し、IT管理者が必要に応じて選択
  • 拡張機能が実行できるサイトを許可または制限するために、ドメインおよびサブドメインで拡張機能のWebサイトアクセスを構成

上記以外に、「セキュアな拡張機能を構成および管理」が可能となるという説明がされていました。しかし、ドキュメントや例などが提示されなかったため、何を持ってセキュアと判断するのかなど具体的にどのようなことができるのかは不明です。

これらが適用されているかを認識するためのUIも提供されます。 また、これらの構成はSafariのプライベートブラウジングでも機能します。

iOS/iPadOSに関するアップデート

以下のアップデートのほとんどが、iOS/iPadOS 16から実現される予定です。 すでにベータ版はAppleSeed for ITから使用できます。GA版は2022年の秋にリリースが予定されています。

セルラーに関するアップデート

What's new in device managementのセッションで発表された、iOS/iPadOSのセルラーに関するアップデート

通常、デバイスを消去するとeSIMの設定も削除されてしまいます。 今回のアップデートにより、ユーザーがローカルでデバイスを消去する際にeSIMが削除されないように設定できます。

また、新しくセットアップされたデバイスにeSIMの設定を転送できるかどうかを設定できます。 この構成を有効化すると、ユーザーはQRコードを長押しするかリンクをクリックして、新しくセットアップされたデバイスでeSIMを設定できるようになり、デバイスをより簡単に構成できます。

ネットワークスライシングPer-App VPNの両方がアプリケーションに対して設定されている場合、管理されたアプリケーションから来るすべてのトラフィックは、VPNを使用する利点を提供しながら、特定された5Gネットワーク・スライスにルーティングすることが可能となります。

さらに、複数のPrivate Cellular Networkペイロードをサポートし、最大5つのプライベート5GまたはLTEネットワークの設定が可能となります。

アプリケーションのロックと非表示機能の管理

What's new in device managementのセッションで発表された、iOS/iPadOSのアプリケーションのロックとアプリケーションの非表示機能の管理

基調講演内でも発表されていた、アプリケーションのロックとアプリケーションの非表示機能に関して、管理機能が追加されます。

組織は、管理下にあるデバイス上のすべてのアプリケーションのロックと非表示の無効化などの制限ができます。 また、管理下にあるアプリケーションについては、アプリケーションごとにロックと非表示を制御できます。

アプリケーションを非表示にすると、アプリケーションは合わせてロックされます。 そのため、アプリケーションのロックを制限すると、アプリケーションの非表示も制限される挙動になる点に注意するようにアナウンスされていました。

盗難デバイスの保護

What's new in device managementのセッションで発表された、iOS/iPadOSの盗難防止機能について

iOS 17.3から導入された盗難デバイスの保護機能が有効化されると、iPhoneで重要な操作の前に1時間のセキュリティ遅延を発生させます。セキュリティ遅延を発動させる条件としては以下が選択できます。

  • iPhoneが普段いる場所から離れているとき
  • 常に

このセキュリティ遅延が発生する操作は以下の通りです。

  • Apple Accountのパスワードの変更
  • Apple Accountのサインアウト
  • Apple Accountアカウントのセキュリティ設定(信頼できるデバイス、復旧キー、復旧用連絡先など)の更新
  • Face IDまたはTouch IDを追加または削除
  • Face IDまたはTouch IDを追加または削除
  • iPhoneのパスコードの変更
  • すべての設定のリセット
  • 「探す」のオフ
  • 「盗難デバイスの保護」をのオフ

iOS 17.4からはセキュリティ遅延を発生させる対象として以下が追加されました。

  • MDMに登録
  • Exchangeアカウントを手動で追加
  • パスコードやExchangeペイロードの手動インストール

iOS 18では、盗難デバイスの保護が有効になってから最初の3時間内に新しくセットアップされたデバイスでMDMに登録する場合、セキュリティ遅延が発生しない特別な例外が追加されます。

in-houseアプリケーションの信頼

What's new in device managementのセッションで発表された、iOS/iPadOSのin-houseアプリケーションの信頼について

iOS/iPad OS 18から、MDMを使用せず、新しいチームIDを使用して独自の社内アプリケーション(in-houseアプリケーション)をインストールするには、「設定」でチームIDを信頼することに加えて、再起動が必要になります。チームIDごとに、1回のデバイスの再起動が必要です。

macOSに関するアップデート

以下のアップデートのほとんどがmacOS 15 Sequoiaから実現される予定です。 すでにベータ版はAppleSeed for ITから使用できます。GA版は2024年の秋にリリースが予定されています。

自動デバイス登録におけるWebAuthnのサポート

What's new in device managementのセッションで発表された、macOSの自動デバイス登録におけるWebAuthnのサポート

たとえばMicrosoft Intuneのセットアップアシスタント中の先進認証を使用すると、セットアップアシスタント中にIdP(Identity Provider)への認証が可能です。これにより、MDMソリューション上において、セットアップのより前段でデバイスとユーザーを紐付けることが可能です。

筆者の理解が正しければ、今回の発表ではおそらくこのセットアップアシスタント中の認証画面において、WebAuthn、つまりセキュリティキーやパスキーが使用できることを意味していると思われます。

サービス構成ファイルに関するアップデート

What's new in device managementのセッションで発表された、macOSのサービス構成ファイルに関するアップデート

サービス構成ファイルに実行可能ファイルのサポートを追加されます。 たとえば、IT管理ツールやそのほかのスクリプトを安全で改ざんされにくい場所にインストールできます。

また、エージェントなどの設定ファイル(LaunchAgentやLaunchDaemon)も配布できます。

現在は一部のサービスシステムがサポートされていますが、おそらく任意のサービスがサポートされると思われます。 また、安全で改ざんされにくいというのが、暗号化されて設置されるのか、SIP (System Integrity Protection)のような機能で制限されるのかは不明です。

サービス構成ファイル機能はmacOS 14 Sonomaから導入され、独自の設定を配布1できるようになりました。

  • sshd 2 (com.apple.sshd)
    • SSHサービスの有効化/無効化、リスニングアドレス、リスニングポート、認証方法の変更、SSH経由でマシンにリモートアクセスできるユーザーの指定などが可能となる
  • sudo 3 (com.apple.sudo)
    • sudoersファイルを変更して、特定のユーザーやグループに所属しているユーザーがsudoを使用して実行できるコマンドのしていなどが可能となる
  • PAM 4 (com.apple.pam)
    • アプリケーションに動的な認証サポートを提供し、たとえば、2要素認証や生体認証アクセス制御などの高度な認証プロトコルを実装するようにPAMを構成可能となる
  • CUPS 5 (com.apple.cups)
    • 使用できるプリンタデバイスの定義、デフォルトのプリンタの設定、プリンタにユーザーアクセス制御を割り当ておよびプリンタプーリングの構成などが可能となる
  • Apache httpd 6 (com.apple.apache.httpd)
    • Apache HTTP Serverソフトウェア内で、DocumentRootやディレクトリの権限などhttpdの各種設定が可能となる
  • bash (/private/etc/profile) 7 (com.apple.bash)
    • グローバルなbashrcbash_profileの設定ファイルを構成することにより、システム全体の関数、エイリアス、または環境変数などの定義が可能となる
  • zsh (/private/etc/zprofile) 8 (com.apple.zsh)
    • グローバルなzprofileの設定ファイルを構成することにより、システム全体の関数、エイリアス、または環境変数などの定義が可能となる

新しいディスク管理設定

What's new in device managementのセッションで発表された、macOSのディスク管理設定について

新しいディスク管理の構成が提供されます。また、外部およびネットワークストレージに関してもサポートされます。 許可、禁止、読み取り専用にするかどうかを選択できます。

従来のディスク管理設定は非推奨となっていました。 しかし、代替が用意されずにいましたが、今回のアップデートで正式に移行先が用意された形です。

Platform Single Sign-Onの機能強化

What's new in device managementのセッションで発表された、macOSのPlatform Single Sign-Onの機能強化について

IdPの認証を用いてFileVaultのロック解除が可能となります。

具体的には、Platform SSOのFileVaultポリシー(FileVaultPolicy)に AttemptAuthentication を設定することで、先に進む前にIdPの認証が試行されます。

<!-- com.apple.extensiblesso -->
<key>PlatformSSO</key>
<dict>
  <key>FileVaultPolicy</key>
  <array>
    <string>AttemptAuthentication</string>
  </array>
</dict>

もしIdPのサーバーが利用できない場合は、ユーザーが提供したクレデンシャルが正しい場合でもログインが可能なようにフォールバックされます。

また、ログインウィンドウやロック画面でもIdPの認証を用いるように構成できます。 具体的には、Platform SSOのロック解除のポリシー(UnlockPolicy)やログインウィンドウポリシー(LoginPolicy)にRequireAuthenticationを設定することでIdPの認証が要求されます。

<!-- com.apple.extensiblesso -->
<key>PlatformSSO</key>
<dict>
<key>UnlockPolicy</key>
<array>
  <string>RequireAuthentication</string>
  <string>AllowOfflineGracePeriod</string><!-- IdPの認証でオフラインの場合でも、IdPの認証以外の認証方法を使うことを許可 -->
  <string>AllowTouchIDOrWatchForUnlock</string><!-- IdPの認証以外の認証方法の一つとしてTouchIDとWatchでのロック解除の許可 -->
</array>
<key>LoginPolicy</key>
<array>
  <string>RequireAuthentication</string>
  <string>AllowOfflineGracePeriod</string><!-- IdPの認証でオフラインの場合でも、IdPの認証以外の認証方法を使うことを許可 -->
  <string>AllowTouchIDOrWatchForUnlock</string><!-- IdPの認証以外の認証方法の一つとしてTouchIDとWatchでのロック解除の許可 -->
</array>
</dict>

さらに、HPKE9を含む、より強力なセキュリティオプションが追加される旨が発表されていましたが、具体的に具体的なユースケースや設定方法などは示されていませんでした。

システム設定の構成プロファイルの表示場所の変更

What's new in device managementのセッションで発表された、macOSのシステム設定の構成プロファイルの表示場所の変更について

システム設定の「一般」配下に、構成プロファイルに関する項目が表示されるように変更されます。 また、項目名もDevice Managementに変更されます。

Rotate Wi-Fi address機能の導入

What's new in privacyのセッションで発表された、macOSへのRotate Wi-Fi address機能の導入について

iOS/iPadOS 14において、MACアドレスをWi-Fiアドレスごとにランダム化するプライベート Wi-Fiアドレスという機能が導入されました。 この機能がさまざまなタイミングでランダム化する機能に強化され「Rotate Wi-Fi address」という名称に変更されます。

この機能が、macOS 15 Sequoiaにも導入され、デフォルトでは有効化された状態になる予定です。

そのため、組織内でMACアドレス制限などを行っている場合、注意が必要です。

visionOSに関するアップデート

以下のアップデートのほとんどがvisionOS 2.0から実現される予定です。

自動デバイス登録のサポート

What's new in device managementのセッションで発表された、自動デバイス登録について

visionOS 2.0から、自動デバイス登録がサポートされる予定です。

すでにvisionOS 1.1からはデバイス登録とユーザー登録がサポートされていましたが、自動デバイス登録がサポートされることで、デバイスの初期設定をよりスムーズに行えます。

MDM機能の拡充

What's new in device managementのセッションで発表された、visionOSのMDM機能の拡充について

visionOS 2.0では、新しい構成(ペイロード)、MDMコマンド、および多くの制限機能が追加されます。

新たに追加されたペイロードは以下の通りです。

  • Domains
    • マークされていないメールドメインと管理対象Webドメインの定義
  • Passcode
    • パスコードのポリシー設定
  • Content Filter
    • フィルタタイプと許可および拒否するURLの設定

新たに追加されたMDMコマンドは以下の通りです。

  • Settings ApplicationAttributes
  • DeviceConfigured
  • DeviceLock
  • Settings DeviceName
  • Settings MDMOptions
  • Settings Timezone

新たに追加された制限は以下の通りです。

  • allowAccountModification
  • allowCamera
  • allowOpenFromManagedToUnmanaged
  • allowOpenFromUnmanagedToManaged

終わりに

今回紹介していない内容やアップデートされる機能などもあります。ぜひ一次情報もご確認ください。

  1. /private/var/db/ManagedConfigurationFiles/ ディレクトリにサービス構成ファイルが設置される 

  2. sshd (Secure Shell Daemon)は安全なリモートアクセスを可能にするプログラム 

  3. sudo (SuperUser DO)は、システムのセキュリティポリシーで指定されたとおりに、許可されたユーザーがスーパーユーザーまたは別のユーザーとしてコマンドを実行できるようにするコマンドラインユーティリティ 

  4. PAM (Pluggable Authentication Modules)はユーザーを認証するためのメカニズム 

  5. CUPS (Common UNIX Printing System)は、エンドポイントをプリントサーバーとして機能させるモジュール式の印刷システム。このシステムにより、コンピュータはプリンタと通信し、印刷ジョブの整理が可能 

  6. Apache httpdはオープンソースのWebサーバー 

  7. bash (Bourne Again Shell)は、macos catalina未満でデフォルトシェルとして採用されていたシェル。/private/etc/profileは、bashのシェルセッションが開始された際にすべてのユーザーに対して実行されるシステム全体の設定ファイル 

  8. zsh (Z Shell)は、macos catalina以降でデフォルトシェルとして採用されているシェル。/private/etc/zprofileは、zshのシェルセッションが開始された際にすべてのユーザーに対して実行されるシステム全体の設定ファイル 

  9. HPKE (Hybrid Public Key Encryption)は公開鍵暗号方式と共通鍵暗号方式を組み合わせて任意の平文を暗号化するための、汎用的な枠組みとしてRFC 9180で定義されている