Apple 2019 秋季リリースに向けての準備

概要

前回の開催から 1 年が過ぎ、今年も WWDC が開催されました。Apple 社は WWDC 2019 において、iOS 13、macOS Catalina 10.15、tvOS 13、そして iPadOS 13 からなる 2019 年の秋季リリース ラインアップの各機能を発表しました。Workspace ONE チームは、これらのリリースに対応するために懸命に取り組んでおり、今秋の一般公開に向けて必要な情報や事前に確認するべきことを、このページでまとめてご提供します。なお、このページでは、企業に影響のあるアップデートや、それらに対応するための Workspace ONE の変更に重点を置いて説明します。このページの受信登録 (SUBSCRIBE) を行い、最新情報を入手できるようにしてください。WWDC の一般的なアップデートは、Apple Developer サイトを参照してください。

 

一般情報およびベータ テスト

2019 年 6 月 3 日、Apple 社の OS メジャー アップデート、Xcode 11 などのアプリ、Apple Configurator 2.10 が Apple Developer 向けのベータ版としてすべて公式にリリースされました。これらのパブリック ベータ版は今夏に予定されています。お客様においては、これらのベータ版をダウンロードして検証デバイスをアップグレードし、ご利用の Workspace ONE UEM 環境で互換性を確認することを推奨します。Workspace ONE プラットフォームおよびアプリケーション チームは、新しいアップデートの互換性を検証する取り組みをすでに開始しています。見つかった問題はすべて、このページの「既知の問題」または「解決済みの問題」セクションでお知らせします。
 

iPadOS

iOS での最大の変更の 1 つは、iOS ではなく iPad 向けに最適化された iPadOS と呼ばれる独自のプラットフォームが用意されたことです。このアップデートが公開されると、iPad は iPadOS 13 にアップグレードされます。iPhone や iPod は iOS 13 にとどまります。今のところ、これらのデバイス管理において iOS と異なることによる影響はないようです。なお、デバイス情報のクエリではデバイスが iOS 13 デバイスと報告されます。

Apple 社によって発表された 1 つの影響は、これらのデバイス上の Safari によりユーザー エージェントが Mac として報告されるため、開発者にとって信頼性の高いハードウェア インジケータにはならないことです。現在、Workspace ONE UEM はこの値を使用して、モバイル デバイスやデスクトップ デバイスにそれぞれ最適な Web ページを表示しています。Safari を使用してある環境のホスト名 (例:https://example.com) にアクセスしようとすると、iPad や iPhone では Web 加入画面が表示されますが、Mac では UEM コンソールのログイン画面が表示されます。
常に Web 加入画面を表示するには、URL の最後に「/enroll」を追加してください (例:https://example.com/enroll)。
 

User Enrollment (ユーザーの加入)

企業における iOS、iPadOS、および macOS の最大のアップデートは、「User Enrollment」という管理機能についての Apple 社の発表です。この新たな加入方法では、加入プロセス中に各ユーザーの管理対象 Apple ID を指定することによって、デバイスに対してではなくユーザーに対して管理リソースを提供することが可能になります (管理対象 Apple ID の詳細は、下記のセクションを参照してください)。デバイスに個別の管理対象 ID とデータ パーティションが作成されますが、ユーザーは引き続き個人用の Apple ID を同時に利用することが可能です。また、不明瞭な通知やプライバシーについて驚かせるようなメッセージを表示する代わりに、一元的に利用規約に同意して管理対象 Apple ID とパスワードを入力することができるようになります (以下を参照)。

この新たな管理モードにより、一部の管理機能が利用できるようになります。詳細なリストはあきらかにされていませんが、判明している一部の機能は以下のとおりです。

User Enrollment で許可されている機能 User Enrollment で禁止されている機能
  • アカウントの構成
  • アプリ ベース VPN の構成
  • アプリのインストール
  • パスコードの要求
  • 特定の制限の適用
  • 管理アプリ情報のクエリ
  • 構成済みアプリやアカウントの削除
  • シリアル番号、UDID、Exchange ActiveSync ID などのデバイスに保持されている ID の取得
  • 複雑な英数字のパスコードの要求
  • デバイス パスコードの消去
  • ユーザー自身がインストールしたアプリの管理の引き継ぎ
  • 個人アプリ情報のクエリ
  • デバイス全体のリモート ワイプ
  • セルラー機能へのアクセス
  • デバイスのログを収集するペイロードの追加
  • ユーザー デバイスに対する監視対象の制限の追加

 

管理対象 Apple ID

管理対象 Apple ID は数年前から、Apple School Manager (ASM) において、管理者が生徒の代わりにアカウントを作成するために利用されてきました。Apple 社は今春、学校で利用されている Microsoft Azure Active Directory を統合することにより、これらのアカウントを連携して作成するオプションを発表しました。これらの機能は今秋、Apple Business Manager (ABM) でも利用できるようになります。管理対象 Apple ID は、前述の User Enrollment を構成する際に利用することができます。
 

自動加入でのカスタム画面 (ABM に加入しているデバイスのみ)

自動加入機能のリリース以来、DEP または ABM に追加されるデバイスでは、厳格な加入プロセスにより、エンドユーザーの認証プロセスをカスタマイズすることがほとんどできませんでした。Apple 社はこの機能に対して大幅な強化を発表し、設定アシスタント画面に至る前の加入プロセス中に、MDM で用意した Web ページ URL を表示することができるようになります。この Web ページに制約はなく、MDM 事業者はカスタマイズした利用規約、先進認証プロバイダへのリダイレクト、二要素認証やその他の必要なオプションを表示することができます。
 

シングル サインオン拡張機能

Apple 社は、プロファイルを介しての構成が可能なシングル サインオン拡張機能を新たに追加しました。管理者は、この新しい拡張機能を利用するアプリや Web サイトを指定して、特定の認証を実行することができるようになります。この拡張機能を利用することにより、アプリ開発者はアプリでいくつもの異なる認証方法 (OAuth、SAML、Kerberos など) をサポートする必要がなくなります。企業で推奨されている認証方法を指定して、この拡張機能をすべての Apple プラットフォームに対して構成することができます。ただし、アプリ開発者はアプリに、適切な対応を追加する必要があります。この機能は、トークンを取得するためのリダイレクトや資格情報のチャレンジなどの、さまざまな認証ワークフローに利用できます。

 

iOS 13

iOS および iPadOS の両方に含まれる iOS 13 の新機能では、新たに発表されたオプションが導入されるだけでなく、既存のコマンドやプロファイルのペイロードに対してもアップデートが行われます。

Workspace ONE チームは今年、より簡単にアクセスできるよう、弊社の GitHub ページで新しいペイロードやコマンドごとにカスタム XML を公開する予定です。このページの受信登録 (SUBSCRIBE) を行い、最新情報を入手できるようにしてください。
 

Dynamic Compromised Detection (動的な侵害検出) 機能

Dynamic Compromised Detection は、SDK アプリがネットワーク経由で侵害検出アルゴリズムをセキュアに更新することができる新しい機能です。これにより、誤検知が発生したときに素早く対処することができます。Dynamic Compromised Detection をサポートする新しい SDK バージョンを使用するアプリにより、お客様や開発者はアプリの更新や再リリースが不要になります。特に Dynamic Compromised Detection 機能を利用する場合、ユーザーが使用しているアプリがサポート対象バージョンであることを確認していただくことを推奨します。
:すでに Workspace ONE チームにおいて、iOS 13 ベータ 1 で侵害検出が誤検知される問題が見つかっており、早急に解決すべく取り組んでいます。

アプリ iOS 13 をサポートするバージョン iPadOS 13 をサポートするバージョン Dynamic Compromised Detection 機能のサポート
Workspace ONE Boxer     5.4.1
Workspace ONE Content     4.17.1
Workspace ONE Intelligent Hub     19.03
Workspace ONE Notebook     未定
Workspace ONE PIV-D Manager     1.4.1
Workspace ONE SDK (Objective C)     5.9.9
Workspace ONE SDK (Swift)     19.2
Workspace ONE Send     該当なし
Workspace ONE Tunnel     該当なし
Workspace ONE Web     7.4
Workspace ONE アプリ     3.3.5

 

Exchange

MDM により構成された Exchange アカウントで、メール、連絡先、カレンダー、ノート、およびリマインダーを含む、どのサービスをアカウントに対して有効にするかを指定できるようになります。
 

制限

既存の制限のいくつかは、監視対象の iOS 13 デバイスでのみ利用可能になります。これらの制限がすでに適用されている監視対象外デバイスを iOS 13 にアップグレードした場合、制限はこれまでどおり機能する点に注意してください。ただし、これらの制限を削除または更新すると無効になります。監視対象モードのみで利用可能に変更される制限を以下に示します。

  • iTunes
  • Safari
  • カメラ
  • FaceTime
  • 不適切な単語フィルタ
  • iCloud へのバックアップ
  • iCloud とのドキュメントの同期
  • iCloud とのキーチェーン同期
  • Game Center での友人の追加
  • Game Center でのマルチプレイヤー ゲーム

また、Apple 社はさらなる管理を実現するため、以下の制限を新たに追加しました。これらはすべて監視対象デバイスでのみ利用可能です。

  • 「友達を探す」を禁止
  • 「iPhone を探す」を禁止
  • クイックパス キーボード (iOS 13 の新機能) の禁止
  • Wi-Fi のオン/オフの切り替え


その他のペイロード

以下の表に、iOS 13 で更新される既存のペイロードを示します。

ペイロード 更新内容
シングル アプリ モード 音声コントロールおよびキーボードの使用が対象機能に追加され、シングル アプリ モードで構成することができるようになります。
Wi-Fi WPA3 が暗号化タイプに追加され、パーソナルとエンタープライズ レベルの認証を利用することが可能になります。
ネットワーク アプリの規則は不要になり、SIM の規則が追加されます。
ネットワーク使用規則 証明書タイプに Ed25519WPA3 が追加されます。
アプリ ベース VPN アプリ ベース VPN でメール、カレンダー、および連絡先のドメインに対応し、これら指定することが可能になります。
VPN このペイロードで、以下の 3 つの値が新たに使用できるようになります。
  • Allow local networks (ローカル ネットワークを許可)
  • Allow any networks (任意のネットワークを許可)
  • ProviderType (プロバイダ タイプ):値には「app-proxy」または「packet-tunnel」を設定
IKEv2 このペイロードに以下の 4 つの値が追加されます。
  • 証明書タイプに Ed25519WPA3 を追加
  • 暗号アルゴリズム タイプに ChaCha20Poly1305 を追加
  • Diffie-Hellman セキュリティ設定にタイプ 31 を追加
  • Allow fallback (フォールバックを許可)

 

コマンド

ペイロード同様、コマンドにおいても iOS 13 で変更または新たに追加されるものがあります。以下に、それぞれの詳細を示します。

コマンド 更新内容
iPad での eSIM プランの更新* eSIM プランの更新を許可できるようになります (2018 年秋以降の iPad モデルでサポート)。
アクティベーション ロック 次の場合にのみロック解除トークンを利用することができるようになります。
  • MDM ソリューションにデバイスを加入した直後
  • デバイスのパスコードを設定する前
デバイス名の設定 名前の変更を禁止する制限を有効にしていても機能するようになります。
セキュリティ情報 デバイスの管理状態 (ユーザーによる管理など) を返すようになります。
プロファイル、プロビジョニング プロファイル、証明書リストのクエリ それぞれの管理アイテムのみをクエリするオプションが利用できるようになります。

:*新しいコマンド

 

tvOS 13

tvOS 13 では、監視対象の Apple TV がスリープ モードに移行するのを禁止する制限が新たに追加されます。

 

macOS Catalina (10.15)

macOS Catalina では、既存のプロファイルに対して多数の変更が行われるとともに、主に iOS プラットフォームに存在するペイロードを移植する形で、いくつかの新規プロファイルが導入されます。

Workspace ONE チームは今年、より簡単にアクセスできるよう、弊社の GitHub ページで新しいペイロードやコマンドごとにカスタム XML を公開する予定です。このページの受信登録 (SUBSCRIBE) を行い、最新情報を入手できるようにしてください。
 

監視

macOS Catalina では、「監視モード」と呼ばれる、iOS で以前から提供されている管理モードが新たに導入されます。ABM または ASM で自動加入フローを実行することでのみ、このモードを利用できます。アクティベーション ロック管理などの今後導入される MDM 機能は、デバイスを監視対象モードにしておく必要があります。
 

アクティベーション ロック

macOS Catalina では、長く待ち望まれていたアクティベーション ロックが、監視対象デバイスに対する管理機能群とともにサポートされます。MDM の新機能により、再プロビジョニング プロセス中にアクティベーション ロック機能を許可または禁止することや、自動的に有効にすること、そして解除することもできます。
 

プロファイル

ペイロード 更新内容
関連ドメイン* Extensible Single Sign-on、Universal Links、Password AutoFill などの機能で使用する関連ドメインを構成することができるようになります。
Web コンテンツ フィルタ* WebContentFilter ペイロードを使用して、デバイスがどの Web サイトを閲覧できるかを選択することが可能になります。
証明書 キーチェーンで PKCS12 証明書を「抽出可能」としてタグ付けするかどうかを指定できるようになります。
プライバシー環境設定ポリシー管理 MDM 管理者は、以下のリソースに対してアクセスできる承認済みアプリを設定することができるようになります。
  • ダウンロード フォルダ
  • イベント リスト
  • FileProvider
  • 入力デバイス (マウス、キーボード、トラックパッド)
  • メディア ライブラリ
  • ネットワーク ボリューム
  • リムーバブル ボリューム
  • スクリーン キャプチャ
  • 音声認識
制限 Apple デバイスでユーザーが Handoff を使用することを許可または禁止できるようになります。
Dock ウインドウのタイトル バーでダブル クリックしたときの動作を設定することが可能になります。以下のようなオプションがあります。
  • 書類をタブで開くかについて、「手動」、「常に」、または「フルスクリーン時のみ」に設定
  • 最近使ったアプリを表示
  • 最小化
  • 全画面表示
  • 何もしない
VPN 以下の 3 つの値が新たに使用できるようになります。
  • Allow local networks (ローカル ネットワークを許可)
  • Allow any networks (任意のネットワークを許可)
  • ProviderType (プロバイダ タイプ):値には「app-proxy」または「packet-tunnel」を設定
IKEv2 以下の 4 つの値が追加されます。
  • 証明書タイプに Ed25519WPA3 を追加
  • 暗号アルゴリズム タイプに ChaCha20Poly1305 を追加
  • Diffie-Hellman セキュリティ設定にタイプ 31 を追加
  • Allow fallback (フォールバックを許可)

:*新しいペイロード
 

コマンド

ペイロード同様、コマンドにおいても macOS Catalina で変更または新たに追加されるものがあります。以下に、それぞれの詳細を示します。

コマンド 更新内容
アクティベーション ロック* iOS デバイスと同様、監視対象の macOS デバイスで以下の管理機能が新たに利用できるようになります。
  • ユーザーが「iPhone を探す」を有効にした場合に、監視対象デバイスでアクティベーション ロックを有効化することを許可
  • 監視対象の Mac コンピューターにおいてアクティベーション ロックを自動的に有効化
  • 再プロビジョニングの場合に、アクティベーション ロックのバイパス コードを取得または消去
ローカル管理者設定 現在の仕様では、OS X 10.11 以降の Mac にローカル管理者アカウントを作成するコマンドを送信することができます。macOS Catalina では、このコマンドに以下の属性が追加され、ユーザー アカウント作成画面での動作を管理することができるようになります。
  • ユーザー アカウント作成画面でユーザーの氏名、ユーザー名、およびパスワードを自動入力
  • ユーザー アカウント作成画面のフィールドを変更できないようにロック
  • ユーザー アカウント作成画面のフィールドへの自動展開を無効化
ブートストラップ トークン* FileVault で暗号化された APFS ボリュームにおいては、FileVault ログイン画面が表示され、ログインするたびにアカウント固有のセキュア トークンが必要です。macOS Catalina より前の OS バージョンでは、モバイル アカウントでセキュア トークンを有効化するためには特定のワークフローが必要でした。また、一部のワークフローでは、FileVault の新規ユーザー アカウントを有効にするために、セキュア トークンを有効にしている既存の管理者の資格情報を入力する必要がありました。
ブートストラップ トークン コマンドでは、ボリュームが暗号化された Mac でネットワーク ユーザーがモバイル アカウントを作成する際、追加の既存認証情報を要求する必要がなくなります。このコマンドは、ローカル ユーザーには使用できません。
デバイス情報 デバイスの監視状態を返すようになります。
セキュリティ情報 デバイスの管理状態 (ユーザーによる管理など) を返すようになります。

:*新しいコマンド

 

Apple Business Manager および Apple School Manager

Apple Deployment Program (Volume Purchase Program およびデバイス登録プログラム (DEP)) は、2019 年 12 月 1 日をもって Apple School Manager および Apple Business Manager に移行されます。ご利用の環境を、できるだけ早くアップグレードすることを推奨します。

また、デバイスに対する 2 つのオプションが ASM および ABM プログラムに追加され、デバイス登録プログラムは次期アップデートでデバイスを加入することができなくなります。これらは数年前に発表されていますが、間もなく有効になります。今秋より、MDM 加入オプションや監視対象外のデバイスの設定は無視され、その結果として、ABM や ASM に追加されたデバイスすべてに対して MDM および監視が強制されるようになります。

最後に、いくつかの新しい設定アシスタント画面が各プラットフォーム (1 つは macOS 用、もう 1 つは iOS 用) で利用できるようになります。Workspace ONE UEM の将来のバージョンで提供されるこれらの機能にご期待ください。

 

既知の問題

ISDK-173155:iOS 13 ベータ 1 で侵害検出が誤検知される。

 

参考情報

 

お問い合わせ

サポートが必要な場合やフィードバックをお送りいただく場合は、My Workspace ONE からチケットを提出するか、お客様の地域のサポート ラインにご連絡ください。

 

敬具
VMware Workspace ONE チーム

Other Languages: English

免責事項:これは英文の記事「Getting Ready for Apple Fall 2019 Releases」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

Have more questions? Submit a request

1 Comments

Article is closed for comments.