Appleデバイスに管理対象アプリを配付する
組織によっては、ユーザに配付されたアプリが内部のリソースに接続する方法や、ユーザが退職する場合のデータセキュリティの取り扱い方法を管理することが必要になる場合があります。MDM(モバイルデバイス管理)ソリューションを使用して無料、有料、およびカスタムアプリをワイヤレスで配付し、データのフローを管理することで、組織のセキュリティとユーザの自由度のバランスを取ることができます。
管理対象アプリ
MDMを使ってインストールするアプリは、「管理対象アプリ」と呼ばれます。これらのアプリには機密情報が含まれることがあり、ユーザがダウンロードするアプリよりも詳細に管理する必要があります。
管理対象アプリは、MDMソリューションによってデバイスからリモートで削除することも、ユーザがMDMからデバイスを削除するときに削除することもできます。iPhone、iPad、およびApple Vision Proでは、アプリを削除すると、アプリのデータコンテナに関連付けられたデータも削除されます。iPhone、iPad、およびApple Vision Pro上でアプリのライセンスがMDMによって無効になっても削除されない場合、そのアプリはデバイス上で30日間そのまま利用できます。アプリデベロッパが受信確認を実装している場合は、それよりも早くアプリが無効になる可能性があります。Macでは、受信確認が行われるまでアプリをそのまま利用できます。
無効になったアプリは起動できなくなり、ユーザに通知されます。ただし、アプリはデバイスに残り、データは保持されます。ユーザがコピーを購入すると、アプリを再度使用できるようになります。
管理対象アプリの制限と機能
管理対象アプリには以下のMDMの機能および制限を搭載でき、セキュリティとユーザエクスペリエンスが向上しています:
MDMからの登録解除: ユーザがMDMから登録解除したときに管理対象アプリとそのデータをデバイス上に残すかどうかを指定する。
アプリを変換する: 管理対象外アプリを管理対象アプリに変換する。
デバイスが監視対象の場合、MDMソリューションによって管理対象外アプリから管理対象アプリへの切り替えが要求されると、ユーザの操作なしに切り替えが実行されます。デバイスが監視対象でない場合は、ユーザが正式に管理を承諾する必要があります。アプリ変換はMDMへのユーザ登録でサポートされていません。
アプリのバージョンのアップデート: 定期的にApp Storeでアプリの新バージョンをチェックし、アプリをアップデートするためのアプリインストールコマンドをデバイスに送信する。このチェックはカスタムアプリにも適用されます。デバイスに割り当てられ、MDMによってインストールおよび管理されているアプリは、MDMによってアップデートする必要があります。App Storeではユーザにアプリのアップデート通知が表示されません。
タッチ決済を許可する(iOS): iOS 16.4以降では、フォアグラウンドで動作する支払いアプリを、タッチ決済取引の際でも安全に使用できるとマークできます。設定されている場合は、カードPINを入力するためにデバイスが顧客に手渡されるすべての取引のあとで、ユーザがFace ID、Touch ID、またはパスコードを使ってデバイスのロックを解除する必要があります。
Managed Open Inの制限を使用する(iOS、iPadOS): 組織のアプリデータを保護するために3つの機能から選択できます:
管理対象出力先で管理対象外ソースからの書類を許可。この制限を適用することで、ユーザの個人ソースおよびアカウントからの書類を組織の管理対象出力先で開けなくすることができます。たとえば、この制限によって、ユーザは組織のPDFアプリで無作為なWebサイトからPDFを開くことができなくなります。
管理対象外出力先で管理対象ソースからの書類を許可。この制限を適用することで、組織の管理対象ソースおよびアカウントからの書類をユーザの個人出力先で開けなくすることができます。この制限により、組織の管理対象メールアカウントからの機密メール添付ファイルをユーザの個人アプリで開けなくなります。
Managed pasteboard。iOS 15およびiPadOS 15以降では、この制限により、管理対象と管理対象外の出力先の間でのコンテンツのペーストを制御できます。上記の制限が適用されると、コンテンツのペーストは、カレンダー、ファイル、メール、メモなどの他社製またはファーストパーティー製のアプリ間のManaged Open Inの境界を尊重するように設計されます。この制限が使用され、コンテンツが管理対象境界を越えている場合、アプリはペーストボードから項目を要求できません。iOS 16およびiPadOS 16.1以降では、管理対象ドメインも含まれます。
アプリを削除不可としてマークする(iOS、iPadOS): iOS 14およびiPadOS 14以降では、管理対象アプリは削除不可としてマークできます。これまでは、管理者がホーム画面を完全にロックしてすべてのアプリの削除を禁止する必要があり、ユーザが自分のアプリを管理する機能が制限されていました。ユーザは引き続き、アプリを並べ替えたり、新しいアプリをインストールしたり、インストールしたほかのアプリを削除したりできます。管理者は、ミッションクリティカルな管理対象アプリを削除不可としてマークできます。管理対象アプリをユーザが削除したり取り除いたりしようとしても、この手続きは阻止されて警告が表示されます。管理対象アプリを削除不可にすることによって、組織のユーザは必要なアプリが自分のデバイス上に常に存在していることが保証されます。
管理対象アプリがデータをバックアップできないようにする(macOS): 管理対象アプリがFinder(macOS 10.15以降)、iTunes(macOS 10.14以前)、またはiCloudにデータをバックアップできないようにすることができます。バックアップを禁止すると、管理対象アプリがMDMソリューションにより削除され、あとでユーザが再インストールした場合にデータを復元できないようにすることができます。
アプリ構成設定を使用する: アプリデベロッパは、管理対象アプリとしてインストールされる前またはされたあとで設定できる構成設定を識別できます。例えば、デベロッパは、アプリに管理対象アプリの紹介画面をスキップさせるために、SkipIntro設定を指定できます。
MDMで読み取り可能なアプリのフィードバック設定を使用する: アプリデベロッパは、MDMを使って読み取り可能なアプリ設定を識別できます。例えば、デベロッパは、アプリが起動および設定されているかどうかを判断するためにMDMソリューションが照会できる、
DidFinishSetup
キーを指定できます。Safariから管理対象書類をダウンロードする: Safariからダウンロードしたものは、それが管理対象ドメインからのものであれば管理対象書類と見なされます。例えば、ユーザが管理対象ドメインからPDFをダウンロードした場合、そのPDFはすべての管理対象ドメイン設定に従います。詳しくは、管理対象ドメインの例を参照してください。
管理対象アプリがiCloudにデータを保存できないようにする: 管理対象外アプリでユーザが作成したデータは、引き続きiCloudに保存できます。
注記: 利用できるオプションはMDMソリューションによって異なります。お使いのデバイスで使用できるMDMオプションについては、MDMベンダーの資料を参照してください。
管理対象ブック
作成した管理対象ブック、EPUBブック、PDFをMDMソリューションで配付することもできます。
MDMで配付されるEPUBブックおよびPDFの扱いは、ほかの管理対象書類と同じです。必要に応じて新しいバージョンにアップデートでき、ほかの管理対象アプリのみと共有できます。メールを送信するには管理対象アカウントを使用する必要があります。MDMソリューションでは、管理対象ブックのバックアップも防止できます。これらのブックはユーザに割り当てられますが、MDMでユーザに割り当てられたiPhoneおよびiPadデバイスでしか表示できません。
注記: Apple Vision Proは管理対象ブックには対応していません。
他社製キーボードを制限する
iOSおよびiPadOSでは、他社製キーボード機能拡張に適用されるManaged Open Inルールがサポートされます。これらのルールにより、管理対象外キーボードは管理対象アプリに表示されなくなります。