前回は、iOS/iPad OSを監視対象にする方法について説明しました。ポイントは次の2点でした。
- iOS / iPad OSを監視対象にして、組織などが各種制限をかけることが出来る
- 監視対象の端末しか制限をかけることが出来ない項目がある
これらを踏まえ、今回は、Intune登録だけで制限できる項目や、監視対象にしないと制限できない項目を説明しながら、実際にプロファイルを割り当ててみたいと思います。
構成プロファイルについて
Intuneでは、iOS/iPad OSの構成プロファイルを作成する事が出来ます。
構成プロファイルを用いることで、デバイスの制限やネットワーク設定などユーザーやデバイスごとに異なる要件を一元的に管理し、モバイルデバイス管理の効率性とセキュリティを高めることが出来ます。
以下が、主な機能と設計可能な項目になります。
- デバイスの制限
- 機密データの保護の役割を果たし、デバイスのロックやパスコードの要求、アプリのインストールの制限、Siriのブロックなどのセキュリティポリシーを設定することが出来ます。
- VPN
- 組織のネットワークへのVPN接続を作成および構成することができます。
- Wi-Fi
- ユーザーがアクセスするためのWi-Fiネットワークを構成することが出来ます。
- デバイス機能
- デバイス機能によって、iOS / iPad OSデバイス全体の壁紙、AirPrint設定、Webコンテンツフィルターなどを制御することが出来ます。
構成プロファイルの作成方法・設定内容
この章では、構成プロファイルの作成方法から設定内容を説明します。
今回は、デバイスの制限を行う構成プロファイルを作成します。
- Microsoft Intune管理センターにサインインします。
- [デバイス]>[構成プロファイル]をクリックします。
- [プロファイルの作成]をクリックします。
- プラットフォームは[iOS / iPad OS]、プロファイルは[テンプレート]>[デバイスの制限]を選択し[作成]をクリックします。
- [名前]と[説明]を入力し、[次へ]をクリックします。
※名前の入力は必須ですが説明の入力は任意になります。
- 以下の画面で要件に応じて各項目を設定し、[次へ]をクリックします。
※ 詳細に関しては次章の「監視対象と構成プロファイル」で説明します。
- デバイスの割当先を指定し保存をします。
以上が構成プロファイルの設計内容になります。
監視対象と構成プロファイル
先ほどの手順6の設定項目について詳しく見ていきます。
1番の[これらの設定は、デバイス登録によってIntune登録されたデバイスと、Apple School ManagerまたはAppke Business Managerを使用して自動デバイス登録(以前のDEP)によって登録されたデバイスに対して有効です。これにはすべての、監視対象デバイスが含まれています。」が記載されている項目に関しては、端末をIntuneに登録すればできる項目です。
2番の「これらの設定は、Apple School ManagerまたはApple Business Managerを使用してデバイスの自動登録(以前のDEP)によってIntune登録された監視対象デバイスに対して有効です。これには、Appke Configuratorで監視されているデバイスが含まれます。」が記載されている項目に関しては、端末が監視対象になっている必要があります。
2023年8月現在、以下のものが監視対象のみ設定できる項目になります。
- アプリの削除、ブロック
- Webコンテンツのフィルター
- 背景およびロック画面の設定
- iBookstoreの制御
- iMessageの制御
- Game Centerの制御
- AirDropの制御
- クラウドへの同期
- ハンドオフ
- デバイスのワイプ
- アプリの自動ダウンロード
- Apple Musicの制御
- Apple Watchとのペアリング
、、、etc
今回設計した項目は以下のものになります。
iCloudバックアップをブロックする
AirDropをブロックする
App Storeをブロックする
※設計項目の最新情報は下記をご参照ください。
実際の端末の動作
前章で設定した項目を踏まえて実際の端末ではどのような動作をするのか確認していきたいと思います。
iCloudバックアップをブロックする
iPhoneの設定アプリを起動して「iCloudバックアップ」が消えていることを確認します。
上記のように「iCloudバックアップ」の表示が消えてiCloudバックアップが出来なくなりました。
AirDropのブロック
AirDropのアイコンが消えていることを確認します。
上記のようにAirDropのアイコンが消えていることを確認できました。
App Storeをブロック
App Storeのアイコンが消えていることを確認します。
最後に
今回は、監視対象の端末が設定できる項目とIntune登録した端末だけが設定できる項目を説明したうえで、構成プロファイルの適用を心がけました。
Intuneから構成プロファイルの設定をするときに、監視対象の端末だけしか制御できない項目があるとは知らずにつまずいてしまった経験があったため、本記事を書いてみました。
今回は構成プロファイルを配布するときは「すべてのデバイス」でIntuneに登録されているすべてのデバイスに配布しましたが、MAMなどのアプリ保護ポリシーなどではデバイス単位やユーザー単位ではなくグループ単位でしかポリシーを適用できないケースもあるので、検証・設計する際は気を付けていただければと思います。
金山 翔太(日本ビジネスシステムズ株式会社)
Microsoft製品(主にMicrosoft 365やIntune)などの設計に携わったことがあります。趣味はゲームとキャンプです。業務上で学んだことを発信していきます。
担当記事一覧