検証環境でIntuneによるiOS/iPad OSの検証をしていると、適用されるポリシーと適用されないポリシーがありました。
調べていくと、どうやらIntuneでiOS/iPad OSのデバイスを管理する際に、監視対象でないと適用できないポリシーがあるようです。
Appleが2018年に特定の設定・制限を「監視対象」のみに移行することをアナウンスしており、おそらくこれによるものだと思います。
Appleデバイスの監視について - Apple サポート (日本)
今回はiOS/iPad OSを監視対象にする方法を紹介していこうと思います。
監視モードとはなにか
iOS/iPad OSには2つのモードがあります。
1つ目が、通常自分たちが利用している「通常モード」です。
2つ目が、組織や教育機関などが各種制限をかけることの出来る「監視対象」です。
監視対象とは、Appleのモバイルデバイス管理(MDM)を利用してiOSデバイスをより厳密に管理して制御する方法です。組織や教育機関などがiOSデバイスを効果的に管理し、セキュリティや一貫性を確保することが出来るようになります。
通常モードか監視対象かの見分け方は簡単です。
設定画面で「設定」の文字の下に「監視されています」という文章が表示されていたら、監視対象の端末となります。
監視対象モードにする方法
監視モードにする方法は2つの方法があります。
1つ目がAutomated Device Enrollment(以下ADE)を利用して端末を監視対象にする方法です。
ADEを使用すると、新しいデバイスが初めて起動された際に、Apple社より企業向けに提供されている端末管理機能であるApple Business Manager(以下ABM)から設定やポリシーを自動的に適用できます。これにより、デバイスが正しく設定され、セキュリティポリシーが適用された状態でユーザーに提供できるようになります。
ABMの申し込み自体は費用はかからないのですが、組織のドメインのメールアドレスやDUNSナンバー*1が必要になります。
2つ目が、Apple Configuratorを利用して端末を監視対象にする方法です。
Apple Configuratorを利用するにはMac OSがインストールされている端末が必要になります*2。
Apple Configuratorによる監視対象はMDMによる遠隔操作が出来ないので、Mac端末とケーブルで繋いで登録する必要があります。
監視モードの設定方法
今回はApple Configuratorを使った方法で監視対象にする方法を説明していこうと思います。
まず初めに検証に必要な準備物について説明していこうと思います。
- Mac OSがインストールされている端末(以下、Mac端末)
- 検証用のiPhone(または iPad)
- USBケーブル
- App Storeから[Apple Configurator]をパソコンにダウンロードします。
- iPhoneとMac端末をUSBケーブルで接続します。
- Apple Configuratorを起動し、「すべてのデバイス」から監視対象にしたい端末を選択します。
- 右クリックから[準備]を選択するか、上のツールバーから[準備]ボタン(歯車のアイコン)をクリックします。
- 「デバイスを準備」というポップアップが現れますので、以下のように設定を行います。
- 無線でリモート管理するMDMサーバーを聞いてくるので、[MDMに登録しない]を選択します。
- 割り当てる組織を選択する画面で[新規組織]を選択し、[次へ]を選択します。
- 新規組織を選択した場合、ABMのログイン画面が求められますが[スキップ]を選択します。(ABMと連携させて管理するならApple IDを入力してください。Apple Configuratorだけで管理するなら[スキップ]で問題ありません。)
- ここで新規組織の名称のポップアップが現れますので[名前]のみでいいので任意の文字列を入力して[次へ]を入力します。電話番号から住所は任意で入力します。(名前はiPhone上で「(組織名)によって監視されています」という形で表示させるため、入力は必須となります。)
- 管理識別の情報が求められるので[新しい管理識別情報を生成]を選択して、[次へ]を選択します。
- アシスタントの構成設定で[これらのステップを表示しない]を選択して[準備]をクリックします。
- 端末の初期化の画面が表示されます。アプリやデータ、設定が全て削除されてしまいますのでしっかり確認をして[消去]をクリックします。
※もともと初期化されている端末については表示されません。
- 監視対象の作業の進行画面が表示されますので、完了するまで待ちます。(5分程度)
- 端末が初期化された後に、すべてのデバイス上で管理対象が[はい]になっていることを確認します。
- iPhoneの方でも監視対象になっていることを確認します。
以上で、iOS/iPad OSの端末を監視対象にする作業は完了になります。
※ 監視対象を解除するにはiPhoneを初期化し、工場出荷状態に戻す必要があります。PC上では監視対象の無効化が出来ません。
最後に
以上、Apple Configuratorを使用したiPhoneを監視モードにする方法するでした。
今現在のところはパスワードの制限、スクリーンショットの制限などはiPhoneをIntune登録さえすれば制限をかけることは出来ますが、App Storeのブロック、iCloudのバックアップのブロック、AirDropのブロックなどは監視対象にする必要があります。
次回はその辺りのすみ分けを考察しながら、実際の動きなどを確認していこうと思います。
金山 翔太(日本ビジネスシステムズ株式会社)
Microsoft製品(主にMicrosoft 365やIntune)などの設計に携わったことがあります。趣味はゲームとキャンプです。業務上で学んだことを発信していきます。
担当記事一覧