Wi-Fiホットスポット2.0
iOSとOS Xの両方がWi-Fi Hotspot 2.0標準をサポートするようになりました。これはIEEE 802.11u標準に基づくもので、基本的にユーザーがサービスに加入しているホットスポットへの自動接続を可能にします。新しいApple APIにより、この機能の設定と管理が可能になります。
OS Xでの暗号化管理
バージョン4.2以降、iOSはデバイスレベルでコンテンツを暗号化できるようになりましたが、この暗号化をオフにするコントロールはありません。
iOSデバイスの場合、新しいAPI制限には、広告トラッキングコントロール、iCloudキーチェーン同期、PKI無線アップデート、ロック画面にWi-Fiおよび機内モードボタンを表示するかどうかが含まれます。
対照的に、デバイスの暗号化はOS Xではオプションでしかありませんでした。OS X Cougarでは初めて暗号化が管理ポリシーの一部となり、OS X Mavericksではさらに制御が拡大されました。IT部門は、ポリシーでユーザが暗号化をオフにするのを防ぐことができるようになり、暗号化リカバリ・キーを直接管理することもできるようになりました。これらのキーは、Apple独自のキーサーバではなく、企業サーバ上のKey Fulfilment Guaranteeを通じて管理できるようになりました。さらに、リカバリキーは、MDMツールを通じてIT部門が使用するプランニングソリューションと統合できるようになりました。
その他のiOSポリシー
デバイスの監視モード設定では、Appleの設定ツールを実行するPCやMacへの物理的な接続が不要になり、監視メカニズムをワイヤレスで実装、管理できるようになりました。
iOSデバイスの場合、新しいAPI制限には、広告トラッキングコントロール、iCloudキーチェーン同期、PKIワイヤレスアップデート、ロック画面にWi-Fiおよび機内モードボタンを表示するかどうかが含まれます。
非接触機器の登録
前述のAPIに加え、Appleは規制対象デバイスを登録するための新しいプロトコルを作成しました。これにより、組織はiPhone、iPad、Mac、さらにはApple TVを、電源を入れたり直接触れたりすることなく、規制対象ポリシーに従って事前に設定することができます。基本的に、IT部門は発注書に記載されたデバイスIDを登録ツールに入力し、適用するポリシーを割り当てるだけです。この新しいデバイス登録サービスは、組織が所有するデバイスのみを対象としており、ユーザーが所有するBYODタイプのデバイスには対応していないことに注意が必要です。
ユーザがデバイスの電源を入れ、アクションを実行すると、デバイスはAppleサーバで認証されます。デバイスが管理対象デバイスの場合、管理対象デバイスは企業の管理サーバーに転送されます。その後、ユーザーは企業から提供されたビジネス認証情報またはスタンドアロン証明書でログインし、企業のサーバーまたは MDM ツールが XML ポリシーコンテンツをデバイスにアップロードしてデバイスを設定し、ユーザーに関連付けられたアプリケーションをインストールします。
ユーザーがデバイスからすべてのデータを消去し、ポリシーのロードだけを残した場合、IT部門がデバイスからポリシーを削除するか、新しいポリシー・セットを適用しない限り、デバイスは企業設定でのみ正常に機能します。ポリシーが更新されると、デバイスも更新され、プロセス全体がバックグラウンドで自動化されます。
この新しいデバイス登録の仕組みにより、ユーザーはApple IDに依存する必要がなくなりますが、企業はユーザーが個人用アプリケーションやその他のサービスにアクセスする際に、iOSデバイスやMacに保存されているApple IDを引き続き使用するよう求めることができます。その結果、ユーザーのApple IDを組織と共有する必要はなくなります。つまり、個人と企業の情報、アプリケーション、認証情報さえも、同じデバイス上で互いに隔離することができます。
このような規制アプリケーションのライセンスは失効させることができ、失効後、アプリケーションは自動的にユーザーに所有されなくなります。取り消されたiOSアプリは最大30日間動作し続け、企業向けでないコピーはすぐに購入できます。失効したOS Xアプリは直ちに動作を停止し、実行中のアプリは直ちに終了します。管理されたアプリは、このメカニズムが機能していることを確認するために、認証ステータスをチェックします。
新しいアプリ管理プロトコルにより、IT部門はアプリのライセンスを直接購入して配布し、iOSデバイスやMacへの特定のアプリのインストールを自動化することができます。
アプリケーションの構成、ステータス、インストール、および削除の管理
アプリケーションの構成とフィードバックと呼ばれる新しいMDM管理機能により、IT部門はプロファイルを通じて管理対象アプリケーションの設定を管理することができ、アプリケーションが起動またはロック解除されるたびに構成ステータスをチェックし、トラブルシューティングのためにエラーメッセージと使用統計を収集することができます。
この機能により、組織によって設定されたアプリケーションは、インストール後にIT部門のガイドラインに従うようになり、障害発生時にユーザーアプリケーションの設定方法をIT部門が迅速に制御できるようになります。
新しいシングルアプリケーションモデルでは、特定のアプリケーションがデバイス全体を占有することができます。このモードは、実店舗の公共デバイスや、投票ツールや患者登録など、iOSデバイスを単一の目的で使用する必要があるその他の環境など、幅広い環境で使用できます。このモードの有効化と無効化はMDMサーバによって制御できるため、アプリは特定の時点でシングルアプリケーションモードに入ることができます。
新しいアプリ管理プロトコルでは、iOSデバイスやMacへの特定のアプリのインストールを自動化するために、IT部門がアプリのライセンスを直接購入して配布することもできます。
これらの認証およびインストール管理の仕組みは、App Store Volume Purchase Programとして知られるAppleの企業向けApp Storeのすべてのアプリケーションで利用可能であり、Appleが従業員の個人的なアプリケーションとみなしている一般向けApp Storeのアプリケーションには影響しません。アップルは、これらのアプリを従業員の個人的なアプリとみなしており、会社が管理する権利はありません。同じユーザーインターフェイスを共有しながらも、iOSとOS Xは、企業のApp Store、Exchange、またはその他のサーバーからのアプリやコンテンツを追跡し、それらを管理するために必要なすべてのツールをIT部門に提供します。一般公開されているApp Storeから購入したアプリや、ユーザのEメールやその他のアカウントからアクセスしたコンテンツは、Apple IDを含め、ユーザの所有物のままです。
この原則はiOSではバージョン4.2から適用されていますが、新しいAPIとプロトコルはアプリケーションとコンテンツ全体で機能するようにこれを拡張しています。その結果、エンタープライズ・データ保護とアプリケーション分離のほとんどのニーズは、ベンダー固有の管理ツールやAPIに依存する必要なくサポートされ、IT部門は特定の管理ベンダーに縛られる心配なく、より幅広いエンタープライズ・アプリケーション・タイプを使用することができます。その結果、IT部門はより多くのアプリケーションを厳重に管理できるようになります。これは、BlackBerry 10のBalance機能、SamsungのKnoxプロトコル、General DynamicsのAndroidバージョン、EnterproidのDivideのようなAndroidツールよりも優れています。これらのソリューションは全てiOS 7と比べるとかなり不便に見えます。
生体認証や、このセキュリティ技術の長所と短所については忘れてください。今のところ、TouchIDはデバイスのロック解除やiTunes Storeアカウントへのサインインにかかるパスワード入力の時間を簡単に短縮します。
TouchIDもお忘れなく!
最後に、新しいiPhone 5Sはホームボタンに指紋リーダーを搭載し、ロック解除コードやiTunes Storeのパスワードを入力する際の無駄な時間を大幅に削減します。このTouchID機能は、パスワード入力の代わりとなるもので、ユーザーは従来のパスワードを設定する必要があり、指紋リーダーは正しいユーザーの指紋を認識した後、パスワードの内容を送信するだけです。 TouchIDは他のアプリケーションでは機能せず、画面のロック解除とiTunes Storeへのログインに限定されます。TouchID機能は他のアプリケーションでは機能せず、画面のロック解除とiTunes Storeへのログインに限定されます。指紋情報のハッシュは現在のデバイスにのみ保存できるため、ユーザーはAppleや他のデバイスに送信できません。
生体認証や、このセキュリティ技術の長所と短所については忘れてください。現状では、TouchIDはユーザーがデバイスのロックを解除したり、iTunes Storeのアカウントにログインするためにパスワードを入力する時間を簡単に短縮します。ユーザーにとっては素晴らしい機能ですが、アプリやIT部門にとっては意味がありません。
