モバイルデバイス管理のセキュリティの概要
Appleのオペレーティングシステムはモバイルデバイス管理(MDM)に対応しています。これによって、組織は規模に応じて導入されているAppleデバイスを安全に設定し、管理することができます。
MDMが安全に機能する仕組み
MDMの機能は、構成、ワイヤレスでの登録、Appleプッシュ通知サービス(APNs)などのオペレーティングシステムのテクノロジーを基礎としています。例えば、APNsは、デバイスをスリープ解除して、MDMソリューションとセキュリティ保護された接続で直接通信することをトリガするために使用されます。機密情報や専有情報がAPNsを介して送信されることはありません。
IT部門はMDMを使用することで、企業や教育機関の環境へのAppleデバイスの登録、ワイヤレスでの設定の構成やアップデート、準拠状況の監視、ソフトウェアアップデートの管理、管理対象デバイスのリモートワイプやリモートロックなどを行うことができます。
iOS 13以降、iPadOS 13.1以降、およびmacOS 10.15以降を搭載したAppleデバイスは、BYOD(Bring Your Own Device)プログラム向けに特別に設計された新しい登録オプションに対応しています。ユーザ登録によって、ユーザは各自の所有デバイスをより自律的に使用できるようになります。一方で企業データは、管理対象のデータを暗号化によって隔離することで、セキュリティが向上します。これによって、BYODプログラムのセキュリティ、プライバシー、ユーザ体験がすべてバランスよく実現します。iOS 17以降、iPadOS 17以降、およびmacOS 14以降では、アカウント駆動型デバイス登録用に同様のデータ隔離メカニズムが追加されています。
登録の種類
ユーザ登録: ユーザ登録は、ユーザ自身の所有デバイス向けに設計されており、管理対象Apple IDに統合されて、デバイスにユーザの識別情報を確立します。管理対象Apple IDは登録を開始するために必要です。ユーザが登録に成功するには、認証を成功させる必要があります。管理対象Apple IDはユーザがすでにサインインに使用している個人のApple IDと併用できます。管理対象のアプリとアカウントは管理対象Apple IDを使用し、個人用のアプリとアカウントは個人のApple IDを使用します。
デバイス登録: デバイス登録では、組織がユーザにデバイスを手動で登録させることで、デバイスの使用をさまざまな面にわたって管理できるようになります。これにはユーザがデバイスを消去できるかどうかということも含まれます。デバイス登録には、デバイスに適用できる構成と制限が多数そろっています。ユーザが登録プロファイルを削除すると、すべての構成、設定、およびその登録プロファイルに基づく管理対象アプリが削除されます。ユーザ登録と同様に、デバイス登録も管理対象Apple IDで統合できます。このアカウント駆動型デバイス登録は、個人のApple IDに加えて管理対象Apple IDを使用でき、暗号化によって企業データを隔離します。
自動デバイス登録: 自動デバイス登録では、組織はデバイスを入手後すぐに設定し管理することができます。これらのデバイスは監視対象と呼ばれ、ユーザがMDMプロファイルを削除するのを防ぐオプションがあります。自動デバイス登録は組織の所有デバイス用に設計されています。
デバイスの機能制限
管理者は、機能制限を有効にしたり、場合によっては無効にしたりすることで、MDMソリューションに登録されている特定のアプリ、サービス、あるいはiPhone、iPad、Mac、Apple TV、またはApple Watchの機能をユーザが利用できないように制限することができます。機能制限は、構成の一部である機能制限ペイロードとしてデバイスに送信されます。iPhoneでは、ペアリングされているApple Watchにも特定の機能制限が反映されます。
パスコードとパスワードの設定の管理
デフォルトでは、ユーザのパスコードはiOS、iPadOS、およびwatchOSでは数字のPINとして定義できます。Face IDまたはTouch IDを搭載したiPhoneおよびiPadデバイスの場合、デフォルトのパスコードの長さは6桁で、最小長は4桁です。推測や攻撃を困難にするために、長く複雑なパスコードが推奨されます。
管理者は、MDMを使用して、またはiOSとiPadOSでは、Microsoft Exchangeを使用して、複雑なパスコードの要件などのポリシーを適用できます。macOSのパスコードポリシーペイロードを手動でインストールするには管理者パスワードが必要です。パスコードポリシーは、特定のパスコードの長さ、構成、またはその他の属性が必要になる場合があります。
Apple Watchはデフォルトでは数字のパスコードを使用します。管理対象Apple Watchに適用されたパスコードポリシーによって数字以外の文字を使用する必要がある場合は、ペアリングされたiPhoneを使用してデバイスのロックを解除する必要があります。