iOS/Android 向け AirWatch アプリでの SSO および認証の動作の変更

概要

iOS および Android 向けの AirWatch アプリの最新バージョン (一部のアプリについては次期バージョン) では、SDK プロファイルで認証および SSO が有効になっている場合、アプリの動作が変わります。この記事では、変更後のアプリの動作について詳述します。

目次

 

該当する構成 - iOS

  • アプリのセキュリティ ポリシーで 認証タイプ が「パスコード」または「ユーザー名とパスワード」に、シングル サインオン が「有効」に設定されている場合、その環境で使用している AirWatch SDK アプリの動作が、以下に示すように変わります。アプリのセキュリティ ポリシーは、AirWatch コンソールの 設定 > アプリ > 設定とポリシー > セキュリティ ポリシー で設定します。
  • iOS デバイス構成の場合、これ以外の AirWatch コンソール設定は、この動作変更に関連しません。上記の設定を利用しているすべての環境で、下記の動作変更が発生します。

該当する iOS アプリ

この動作変更が生じるアプリとそのバージョンを以下に示します。

AirWatch アプリ バージョン
VMware AirWatch Agent 5.4+
VMware AirWatch Container 2.4+
VMware AirWatch Browser 5.12+
VMware AirWatch Content Locker 3.12+
VMware AirWatch Inbox 2.12+
VMware AirWatch Video 1.12+
AirWatch SDK を使用するアプリ 5.9.3+

iOS アプリでの主な動作変更

AirWatch アプリ全般

  • AirWatch アプリが終了すると、そのアプリの SSO セッション (認証セッション) は失効します。他の AirWatch アプリで SSO セッションや有効なセッションが残っている場合でも、ユーザーはアプリのパスコードを再入力するか、Touch ID による認証を行う必要があります。この状態のアプリは「App のバックグラウンド更新」に応答しません。アプリが終了するのは、アプリがクラッシュした場合、ユーザーがアプリの切り替え画面でそのアプリを上にスワイプした場合、メモリの逼迫により OS がフォアグラウンドにいないアプリを停止した場合、などです
  • SSO セッション中、アプリを頻繁に使用している途中で認証のタイムアウトが発生した場合、認証を求めるプロンプトはすぐには表示されません。その SSO セッションのアプリが次回、起動されたとき、またはアクティブ状態になったときに、プロンプトが表示されます。
  • SDK プロファイルで認証とシングル サインオン (SSO) を有効にしている場合でも、上記のアプリ表に記載された新しいバージョンのアプリと、以前のバージョンのアプリとの間で SSO セッションは共有されません。以前のバージョンのアプリ間では、セッションが共有されます。

Content Locker

ドキュメント拡張機能を介して Content Locker を使用する場合、認証タイプによっては動作の変更が生じます。

  • 認証を有効にしている場合、サード パーティ アプリで開くことを許可された Content Locker ファイルは拡張機能を介して、単にファイルをインポートするだけのアプリ (Import モードまたは ExportToService モードでファイルにアクセスするアプリ) からアクセス可能です。E メール クライアントや読み込み機能しか持たないアプリがこれに相当します。Word などの編集機能を持つアプリ (Open モードまたは MoveToService モードでファイルにアクセスするアプリ) は、拡張機能を介したアクセスが制限されます。
  • 認証を無効にしている場合、Content Locker のドキュメント拡張機能に関して動作の変更はありません。Content Locker は拡張機能を介してサード パーティ アプリからアクセスでき、サード パーティ アプリではインポート、編集、保存が可能です。このようなアプリとして、Microsoft アプリ、E メール クライアント、他の生産性向上アプリなどが挙げられます。

既知の問題など

  • アプリを上記の表に記載された新しいバージョンに更新した後、パスコードを変更すると、以前のバージョンのアプリでは Touch ID による認証ができなくなります。
  • SDK プロファイルでパスコードの複雑度の要件を変更しても、アプリでパスコードを使用して認証を行うまで、(新しい要件での) パスコードの再作成は要求されません。Touch ID による認証はパスコード作成のトリガとはなりません。この問題は将来のバージョンで解決される予定です。

 

iOS デバイスのための推奨構成

  • アプリでの認証を利用する場合は、SDK プロファイルで Touch ID を有効にしてください。また、ユーザーにはデバイスに指紋を登録するように勧めてください。
  • 利便性向上のために、可能であればシングル サインオンを有効にして AirWatch アプリ間でパスコードを共有してください。
  • Touch ID を有効にする場合は、OS が提供する最新のセキュリティを活用できるように、各デバイスの OS を iOS 9 以降にしてください。
  • 最適なユーザー エクスペリエンスのために、エンドユーザーにすべてのアプリを上記の表に記載したバージョンに更新してもらうことをお勧めします。これらのアプリの新しいバージョンと以前のバージョンとの混用は避けてください。

 

該当する構成 - Android

  • アプリのセキュリティ ポリシーで 認証タイプ が「パスコード」または「ユーザー名とパスワード」に、シングル サインオン が「有効」に設定されている場合、その環境で使用している AirWatch SDK アプリの動作が、以下に示すように変わります。アプリのセキュリティ ポリシーは、AirWatch コンソールの 設定 > アプリ > 設定とポリシー > セキュリティ ポリシー で設定します。
  • Android Agent を使用して加入した Android デバイスでは、AirWatch コンソール 9.0.1 で利用可能な Key Encryption With User Input が有効になっている場合、以下の動作変更が生じます。この設定には、設定 > デバイスとユーザー > Android > セキュリティ からアクセスできます。

 

該当する Android アプリ

この動作変更が生じるアプリとそのバージョンを以下に示します。

AirWatch アプリ バージョン
VMware Workspace ONE 2.2+
VMware AirWatch Agent 7.0+ 
VMware AirWatch Container 3.3+
VMware AirWatch Browser 5.12+
VMware AirWatch Content Locker 2.12+
VMware AirWatch Inbox 2.12+
VMware AirWatch Video 1.12+
AirWatch SDK を使用するアプリ 16.10+

デバイス管理の構成内容によっては、この変更がバックグラウンドで実行される Android Agent の重要な処理に影響を与える場合もあります。たとえば、順守ポリシーの変更やプロファイルの設定は、ユーザーがデバイスを再起動して Agent にアプリのパスコードを入力するまで反映されません。詳細については、後述の「主な動作変更」を参照してください。

また、バージョン 5.3 以降のアプリ ラッピング エンジンでラッピングされたアプリでも、下記の動作変更が生じます。

:VMware Boxer アプリは、AirWatch との統合時点 (v3.9) から、この認証プロセスに対応しています。現在のバージョンの Boxer は、他の AirWatch アプリとの SSO をサポートしていません。他の AirWatch アプリを上記のバージョンに更新しても、SSO は利用できません。また、AirWatch コンソール 9.0.1 での設定 (上記の「該当する構成」) に当てはまる場合でも、Boxer の動作は変わりません。しかし、将来のバージョンでは、他の AirWatch アプリとの SSO に対応する予定です。

 

Android アプリでの主な動作変更

シングル サインオン (SSO) を有効にしたアプリ

  • SSO を有効にした AirWatch アプリがすべて「強制終了」された場合、ユーザーがアプリのパスコードを入力するまで、アプリのバックグラウンド同期は制限されます。
  • 上記のアプリ表に記載されたものよりも前のバージョンのアプリでは、管理者が Android Agent を 7.0 以上に更新するまで、新しいバージョンのアプリとの間で SSO セッションは共有されません。
  • 認証タイプを「パスコード」に設定している場合、アプリを新しいバージョンに更新して起動すると、以前のパスコードを入力して新しいパスコードを作成するように求められます。新しいバージョンでは、パスコードの有効期間と履歴はリセットされます。一度パスコードを作成すれば、その後 SSO を有効にした他のアプリを更新しても、パスコードの作成を求められることはありません。
  • デバイスが再起動された場合、SSO を有効にしたアプリのいずれかでユーザーがパスコードを入力するまで、アプリのバックグラウンド同期は制限されます。

シングル サインオン (SSO) を無効にしたアプリ

  • AirWatch アプリが「強制終了」された場合、ユーザーがそのアプリでパスコードを入力するまで、そのアプリのバックグラウンド同期は制限されます。
  • デバイスが再起動された場合、ユーザーがアプリのパスコードを入力するまで、そのアプリのバックグラウンド同期は制限されます。
  • 認証タイプを「パスコード」に設定している場合、アプリを新しいバージョンに更新して起動すると、以前のパスコードを入力して新しいパスコードを作成するように求められます。新しいバージョンでは、パスコードの有効期間と履歴はリセットされます。

Android Content Locker

  • ログアウト機能はロック機能に置き換わります。エンドユーザーは必要に応じてアプリをロックできます。また、SDK プロファイルで指定した認証タイプ (「パスコード」か「ユーザー名とパスワード」) を使用して、再度ログインできます。
  • 管理者が SDK プロファイルの認証タイプを「パスコード」に設定していないと、ユーザーはアプリのパスコードを設定できません。
  • スタンドアロン加入モードの場合、Content Locker でユーザーを変更するには、アプリ データを消去する必要があります。
  • スタンドアロン加入モードの場合、更新後にアプリを使用するには、ユーザーが各自の資格情報で認証を行う必要があります。
  • Content Locker の設定画面にアプリの利用規約は表示されません。アプリの利用規約は、ユーザーが最初にアプリにログインする際に表示されます。
  • Content Locker はブランディング画像をサポートしません。

Android Inbox

  • AirWatch Inbox 2.12 は認証にデバイスの HMAC トークンを利用します。Inbox アプリの SSO を無効にしていると、アプリを初めて起動するとき、ユーザーは一度だけ AirWatch の資格情報の入力を求められます (ユーザーの E メールの資格情報ではありません) 。認証が成功すると、Inbox アプリは HMAC トークンを受け取るので、SDK プロファイルの設定で明示的に指定していない限り、ユーザーはそれ以降、認証のための資格情報を入力する必要はなくなります。SSO を有効にしていると、アップグレード後でも資格情報を求めるプロンプトは表示されません。
  • E メール プロファイルの中で Inbox パスコードを有効にしており、さらに SDK プロファイルでもパスコードを有効にしている場合、Inbox パスコードはアプリの更新時に SDK プロファイルの設定で置き換えられます。
  • E メール プロファイルの中で Inbox パスコードを有効にしていても、SDK プロファイルで認証タイプを「無効」に設定している場合は、引き続きこの Inbox パスコードが使用されます。

既知の問題など

  • 上記の表に記載された新しいバージョンのアプリのいずれかを手動でロックしても、以前のバージョンのアプリのセッションはロックされません。
  • v3.3 よりも前のバージョンの Container を使用して加入している場合、他のアプリでの認証 (「パスコード」または「ユーザー名とパスワード」) が試行失敗回数の上限に達しても、企業情報ワイプは実行されません。
  • Android 向け AirWatch アプリでのパスコード作成では、常にインターネット接続が必要になります。

 

Android デバイスのための推奨構成

  • 貴社のセキュリティ ポリシーで許容されている場合は、SDK プロファイルでシングル サインオンを有効にしてください。この設定により、パスコードの入力回数を可能な限り減らすことができます。
  • バックグラウンド同期の新たな制限についてユーザーに周知し、再起動後、少なくとも一度はアプリでパスコードを入力するように促してください。
  • SDK プロファイルでシングル サインオンを有効にしている場合は、Agent などのアプリを上記のアプリ表に記載されたバージョンに更新してください。
  • 最適なユーザー エクスペリエンスのために、エンドユーザーにすべてのアプリを上記の表に記載したバージョンに更新してもらうことをお勧めします。これらのアプリの新しいバージョンがすべて利用可能になった後では、新しいバージョンと以前のバージョンとの混用は避けてください。

免責事項:これは英文の記事「SSO and authentication behavior changes for AirWatch iOS and Android apps」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

Have more questions? Submit a request

4 Comments

Article is closed for comments.