Appleデバイス管理の新機能

(音楽)

(エレベーターのチャイム) (近づいてくる足音) 聞いて ビビアンと会議の約束をしたわ どうやって？ ちょっと ぶつかったの

(バタンと閉める音) (近づいてくる足音) それで会議を？ そう どうすればいい？ でしたら… いつ？ さっき 会議だよ 木曜 午前８時 来週？ そう いいえ 今週よ マジ？ 無理だ できるわ いい？　円形の箱に戻すのよ まだスケッチだ ２日で？　２週間かかるわ もうクビだ ピザの箱の売り上げを 気分が悪い 丸いピザには丸い箱よ

完璧 何か食べよう ピザの箱の問題点は？ 四角い 無駄なスペース そのとおり 財務のマイクに頼むのか？ そう マイク 送ってほしいものが… 静かに　もう送った (音楽) このアイデアを 立体サンプルにしてほしいの 子供の迎えに行く (音楽) 全員いる？　箱の名前が必要なの メリーゴーランド 丸四角 まん丸箱 その人 誰？ Hey Siri おやすみモードにして (音楽)

(ノックの音) ブライアン？ (電話のアラーム) (シャワーの音) (ノックの音) 起きたよ Hey Siri 遅れると伝えて 違う　違う 間違いだらけ 数字を再確認して 倉庫のエドからは？ サンプルを製作中 (音楽) 何の仕事をしてるの？ 別に

ベツに～！ (音楽) そっちに移動 もっと大きく 記号を やめて！ (音楽) あと一息 それじゃダメだわ 何してる？　返しなさい ヤダ！ (音楽) ビデオをメールで送る AirDropにして

最高 サンプルが届いたわ わお プレゼンで映える すてき おお！

(音楽) (いろいろなデバイスのアラーム) 起きたよ

(時計のアラーム) 時間よ (音楽)

ボタンを押して これがApple at Work

(拍手) 完成しました！　丸いピザの箱です (拍手) Appleがエンタープライズを 軽視しているとは言わせません

セッション303に ようこそお越しくださいました デバイスマネージング エンジニアリングチームのトッドです お会いできて光栄です 楽しいビデオを流しました ここからは真面目に話します Apple デバイスを 皆さんの会社や学校に導入する際― どのようなツールの構築が 必要となるかについてです

私たちは すべてのApple デバイスを 同じツールとテクノロジーで 管理することを目指しています さらに ユーザと組織が 最高のデバイスを選択できること

ユーザは 個人情報のプライバシーを 重視しています 組織は 知的財産のセキュリティを 重視しています Appleは プライバシーとセキュリティを 両方重視し― 同時に デバイス管理の負荷を 軽減したいと考えます 私たちは その最適なバランスを 実現するため― 新しいデバイス管理機能を提供します

それにより Apple デバイスが 組織の多様な環境に溶け込みます 既存のサービスを使い続けながら Apple デバイスが提供する利便性を 最大限に活用できます

それでは アップデートした Apple School Manager(ASM)と Apple Business Manager(ABM)を ご紹介します これらのツールで― デバイスやアカウントや Appとブックの管理が可能です カスタムB2Bアプリケーションは 機能を拡張し― この春から 自社の社員や 他の企業への配布が可能になりました この秋 同じ機能が ASMにも導入されます

続いて…ありがとう (拍手) アカウントについては 今年の春― Azure Active Directoryと ASMの認証連携を開始しました 今年の秋 ABMでも開始します さらに… (拍手) 皆さんは すばらしい聴衆だ

さらに今週から― 最新のiOS搭載のiPadで ABMとASMのサポートが開始されます (拍手) 私たちはiPadも大好きです これらのサービスやアプリケーションが すべてのプラットフォームで使えます ABMとASMは大きな成功を収めています そのため Apple Deployment Programsは 今年末にサポートを終了します 今がABMとASMを始める時です さらなるメリットもあります ABMとASMのサインインに使用する 管理対象 Apple IDで AppleSeed for ITにアクセスできます 今週リリースした― すべてのベータ版ソフトウェアを 入手できます 関連ドキュメントやテスト計画も含まれ 新しいソフトウェアの導入を 円滑にサポートします 製品に気になる点があれば フィードバックアシスタントが 利用できます フィードバックに基づき Appleが各組織における問題を特定し 的確な修正を行います

ABMとASMについては以上です 次は すべてのプラットフォームに 同じツールを提供し 最適なデバイス選択を可能にする クラスルームです

３月に iPadとMac用の 新しいクラスルームをリリースしました 今回 教師がその機能を使って 生徒のiPadとMacを 管理できるようになりました 左側にある システム環境設定のペインでは iPadの設定と同じように 授業の管理が行えます

また iOSに搭載している クラスルームのビヘイビア設定を macOSにも適用しました 例えば Screen Viewの管理機能です それに加えて― macOSの便利な スクリーン表示機能も搭載しています 画面共有　スクリーンショット Apple Remote Desktopや 制限設定など

今週初め クラスルームのシード版を リリースしました もちろん iOS 13の ダークモードに対応しています

新しい機能によって デバイスをロックしなくても 生徒の集中力を保てます Hide Appsと呼ばれる機能です ツールバーの“Hide”をタップすると 生徒のiPadがホーム画面に戻ります

続いて デバイス管理に関して いくつか発表します

Desktop-Class Browsingについては すでに発表しました これが MDM製品を変えます 現在は UserAgent文字列を使って iPadとMacを区別したり UIや登録フローを カスタマイズしたりしています 今後は違います iPadをMacのように使えます Desktop-Class Browsing on iPadで 詳しい情報をご確認ください

さらに iOSやmacOSに搭載された 多くのデバイス管理機能を Apple TVでも使えるようにしました tvOS UIを使って ソフトウェアアップデートの管理や 日付と時間の自動設定が可能です コンテンツキャッシングを行っていれば tvOSのスクリーンセーバーが保存され 帯域幅が軽減されます (拍手) 最初のセクションは以上です 次は セキュリティとプライバシーと 管理の利便性のバランスについてです

基調講演でも話した重要なテーマです ボブが User Enrollmentについて 詳しくご紹介します (拍手) シニアデバイスマネジメント エンジニアのボブです

これまで iOSのデバイス管理には ２つの方法がありました まず 多岐にわたる管理機能を提供する Device Enrollment そして Automated Device Enrollment これは 監視対象のデバイスに対して あらゆる管理や 自動セットアップを行う機能です ユーザは自分が持ち込んだデバイスを 管理者に管理されることを嫌います BYOD管理者も そのデバイスの すべてを管理したくはありません アプリケーションとデータと 設定だけを与えて 効率を高めたいのです そこで BYODデバイスの新しい管理形態 User Enrollmentが誕生しました

MDMの新しい選択肢が BYODに最適なバランスを提供します 個人のプライバシーを保護しながら 企業情報の安全性も確保します ユーザと管理者のより良いバランスが BYODプログラムの促進と ユーザの生産性向上を実現します

３つの柱をご紹介します １つ目が 個人用 IDに付随する 管理対象 Apple ID ２つ目が 暗号化による 個人用と仕事用のデータ分離 ３つ目が 制限付きの デバイス管理機能

ユーザ登録には 管理対象 Apple IDが必要です これが デバイスにおける 仕事用の認証となります マルチユーザシステムではなく １ユーザが 複数の人格を持つ マルチペルソナシステムです 管理者が ASMやABMで 管理対象 Apple IDを作成します 登録プロセスの中で このIDにサインインします 組織からの認証が済んでいるため 認証連携は ユーザにとって大変便利です サインオフすると 管理対象 Apple IDは削除されます

管理用のアプリケーションは 管理対象 Apple IDのiCloud アカウント 個人用のアプリケーションは 個人のApple IDのアカウントを使います 他社製品は 管理対象か対象外かのどちらかで モードの変更や 両方を走らせることはできません メモのような ビルトインのアプリケーションは 両方のアカウントを 使用することが可能です その時 使用している アカウントに応じて アプリケーションが 適切なIDを使用します

次が データ分離です 登録が始まると iOSが 管理対象のAPFSボリュームを作成し 専用の暗号化キーを作成します 登録が終了すると iOSが そのキーと領域を壊すので データが削除されます 登録が適切に終了すると 管理対象データは常に削除されます これが 防御策として機能することで 登録解除中のトラブルにも対応できます

管理対象のAPFSボリュームには これらすべてが格納されます Appコンテナは 他社製品で保存されたローカルデータ メモは APFSボリュームの 管理対象アカウントのローカルデータ さらに 個人用またはAPFSボリュームの 個人用アカウントを保存します

iOSは APFSボリュームと一緒に キーチェーンも作成します 他社のアプリケーションで保存した あらゆるパスワードや証明書 さらに 管理対象アカウントの 認証情報も保存します 添付ファイルやメール本文は 管理対象の領域に保存されます それとは別に メール用の データベースが存在し メタデータと５行のプレビューも 保存されます そして 登録終了後に削除されます

データを分離するなら その管理も別にするべきです User Enrollmentは デバイス管理機能を制限しています 個人用のアプリケーションとデータを 管理する機能は持っていません

修正を加えたMDMプロトコルを 基盤にしています

Device Enrollmentと同様に Enrollment profileから始まります

管理対象 Apple IDのキーは ユーザ登録であることを示しています この値は サインインに必要な 管理対象 Apple IDのユーザ名です PayloadOrganizationキーもあります デバイス登録用のキーですが 企業アカウントと同一に扱われるので ユーザ登録に大変便利です 設定やメモなどに表示されます ここにはアクセス権のキーがありません Device Enrollmentは 管理のためアクセス権を使用しますが User Enrollmentは使用しません

２つのプロトコルには 多くの違いがあるので 重要なポイントだけ説明します プロファイルサービスのプロファイルと ユーザ登録は別物です プロファイルは ユーザ登録によって インストールできます

Device Enrollmentは 最初の識別子にUDIDを使用します User Enrollmentは MDM Server に UDIDや持続的な識別子を提供しません シリアル番号やIMEI/MEIDも含みます 代わりに 登録が始まると iOSが登録IDを作成します すべてのMDM管理において このIDがServerに伝えられます MDM Serverはこれを最初の識別子として 登録に使用できます 登録が終わると iOSはこのIDを削除するので 同じデバイスが再度登録すると 別のIDを作成します ActiveSyncと共通点があります Exchangeアカウントを設定すると ユーザ登録モードに入ります その時 登録時に生成される EASデバイス識別子を使用します デバイス情報の中で Exchange Serverと MDM Serverの両方に伝えられるので 通常と同じように使用できます こちらも登録終了時に削除されます

TokenUpdateコマンドは 解除されたトークンを含みません そのためMDM Serverは デバイスのパスコードを破れません

ユーザがBYODプログラムを拒む 理由は何でしょう それは 管理者がデバイスを消去し 個人データを失う恐れがあるからです User Enrollmentはデバイス消去 コマンドをサポートしていません

(拍手) ActiveSyncと別の共通点もあります Exchangeアカウントが登録モードの時は リモートワイプを実行できません MDM Serverは登録を終了し そのアカウントだけに有効な リモートワイプを実行できます そのため管理対象データだけを 削除することが可能です

管理対象の結果だけを返す クエリもあります 例えば MDM Serverは 個人用デバイスの中身が分かりません これが新しい特徴の１つです 管理対象の専用キーを使い 同じ方法で結果をフィルタリングします

アプリケーションのインストールでは ユーザ登録が引き継がれたり 中断されたりはしません 登録が終わると 常に切り離されます サポートするのは エンタープライズ Appの配布と PurchaseMethodが１の ユーザベースのVPPです この購入コードは 管理対象 Apple IDだけに紐付きます

VPNについては Per-App VPNのサポートに加え 新しいキーによる拡張も行っています これが 関連プロトコルの トラフィックの誘導をサポートします Device Enrollmentでも 有効な機能です しかし User Enrollmentには 重要な制限があります VPN Serverとキーの値の セカンドレベルドメインが 合致しなければなりません 例えば VPN Serverが VPN.acme.comだとします その場合 メールドメインは mail.acme.comは含めても mail.aol.comを 含むことはできません これで管理対象アカウントだけが Per-App VPNを経由します

User Enrollmentが パスコードポリシーを設定すると iOSが６桁のパスコードを要求します

しかし これ以上 複雑なパスコードは求めません それには理由があります これ以上複雑だと ユーザが忘れる可能性が高まるからです その場合 MDM Serverは パスコードのクリアができないので これ以上は要求しません パスコードポリシーの さらに詳しい情報は iOS セキュリティガイドの最新版を お読みください Wi-Fiのプロキシが必要な場合は アクセスポイントに設定された WPADを使用します Wi-Fiのペイロードは プロキシのキーをサポートしていません ログペイロードの 初期値についても同様です これらがトラブルシューティングや Appleへの報告に役立ちます ユーザがそれらを設定することで 個人用のデバイスに加えられる変更を 受け取ることができます

User Enrollmentには 制限機能があります Managed Open Inや allowLockScreenがあるので ロック画面には 管理対象データが出てきません

一方 監視専用の制限は サポートしていません 管理対象データと関係のない 制限についても同様です 例えば コンテンツ評価や allowCloudなど

Exchangeアカウントを使っていれば ActiveSyncにも対応します MDM Serverに関する注意があります 予期しないキーとその結果への 回復機能を有効にしてください これらの機能は 徐々に変更されていきます

次に 同僚のレンがデモを行います レン？ (拍手) ありがとう

こんにちは レンです 今からユーザ登録のデモを行います デバイス登録と同様 プロファイルから始めます 本日は Acme Inc.という企業のサイトを 使ってデモを行います

画面に出ているのは デモ用サイトです 実際は ダウンロードする前に 認証が必要ですが そのステップは割愛します ユーザ登録は 管理対象 Apple IDと 連動しています そこで このサイトにID情報を提供し プロファイルを 生成する必要があります ユーザ名を入れ登録ボタンを押します

注意事項を読みます プロファイルがダウンロードされたので 設定で確認します

設定を開くと― Enroll in Acme, Inc.のセルが 追加されています ここから登録画面に移動できます 実際にやってみます

これがユーザ登録の新しいUIです プロファイル情報 注意事項 合意を １ページにまとめました これでプロファイル設定が 簡単になると思います プロファイル情報の詳細を見る場合は 右上の“詳細”をタップします

このプロファイルの MDMペイロードを確認しましょう

先ほど提供した管理対象 Apple IDが 追加されているのが分かります これがユーザ登録のキーです ユーザ登録に不要な アクセス権のセクションは ペイロードから取り除きました プロファイルのトップページについて 一点お伝えします ここには 企業がこのデバイスに 何を実行できるか明記していません それは MDM Server側で 十分な機能制限を行っているからです 個人用デバイスを使っている皆さんの ユーザ体験を邪魔しません プロファイルの インストールを続けましょう 画面下のボタンをタップします

パスワードを入力 管理対象 Apple IDへの サインイン画面です 認証が完了しているかによって UI表示が若干変わります これは まだ認証されていません アカウントのパスワードを入力して― “Sign In”をタップします

裏で多くの処理が行われています エンタープライズ用の ディスク領域の作成 管理対象 Apple IDへのサインイン デバイスのMDM Serverへの登録 これらは連携しています どれか１つが失敗すると すべてが取り消されて元に戻ります ユーザ登録が完了しました MDM Serverがコマンド送信を開始します アプリケーションのインストール デバイス情報の作成など この画面は MDM Serverから送られていて Slackをインストールする許可を 求めています 承認するとすぐに インストールが始まります

もう１つお見せします アカウントからログアウトしたい場合は 設定に移動します “パスワードとアカウント”を選択 ここにアカウントがあります 同じアカウントが― ファイルやメモなどの アプリケーションにも追加されています ファイルを見てみましょう

Enterpriseタグのついた iCloud Driveが追加されています エンタープライズ用のデータが すべてここに送信されます デモは以上です ありがとうございました (拍手)

User Enrollmentの機能は macOS上でも動作します 管理対象 Apple IDと連動し APFSボリュームを作成します メモのデータは アカウントに応じ 領域が分けられます 管理機能についても プラットフォームの違いはあるものの iOSと似ています つまり 同一の管理対象 Apple IDで 個人用のiOS デバイスとMacに アクセスできます

User Enrollmentは BYODに適切なバランスを提供します 今こそ 管理者とユーザの間に 新しい取り決めが必要です 管理者はユーザ登録の評価を行い セキュリティポリシーを 再評価すべきです 時代遅れの要求は 取り除かなければなりません ユーザを守り安心させる プライバシーポリシーが必要です これが BYODデバイスを 組織に持ち込む最善策です ありがとう (拍手) ありがとう 新しい価値のバランスについて さらにいくつか説明します まず 証明書の透明性 昨年の12月に すべてのOSに搭載した仕組みです 一方で 社内のホスト名が 外部に漏えいする可能性があるため 企業は不安です そこで 新しいペイロードを追加し 機密情報やドメインを オプトアウトできるようにしました 情報管理に必要な数のペイロードを 設定可能です

さらに Wi-Fiペイロード用に WPA3もサポートし 個人と企業 両方の認証に対応しています

また MDM Serverが 登録デバイスを簡単に管理できるように プッシュAPIを活用したいと考えました そこで トークンベースの認証を サポートしています

今年は 去年話したことを 実行に移しました 通常 デバイス登録をすると そのデバイスは監視され 登録が必須になります 今年は 登録時に値を恒久的に設定し ペアリングキーの廃止を進めています ただし 構成プロファイルの制限により いつでも変更することが可能です

次に macOSのトピックに移ります セキュリティを強化しながら 管理の利便性を向上しています まず Mojaveのセキュリティ強化 新しいMacを設定する際の リモート管理を強固にしました macOS 10.14.4は 一対のコマンドを追加して リモートデスクトップ管理を 可能にしました リモートデスクトップを使用して 一般的な管理設定を行うことも可能です

さらに FileVaultを使ったMacで モバイルアカウントを使用できます ブートストラップトークンを MDM Serverが管理できる機能です クライアントMacにトークンを要求し それを自ら預かります 新しいユーザがサインインすると Serverからブートストラップトークンを 要求します そして ファイルシステムに必要な SecureTokenを生成しMacをブートします (拍手) パスワード変更が簡単になります

Catalinaのプライバシーポリシーは 新しい話題ではありません しかし デバイス管理において セキュリティ強化の影響を軽減する― 良い事例です macOS Catalinaは この方法で セキュリティ強化を行っています 例えば 裏でキーロガーや スクリーンレコーディングの実行 認証したくないアプリケーションの ホワイトリスト化 それらのアプリケーションは 認証を求められても起動を続けます

次に macOS Catalinaの変更点です ここでも セキュリティと 管理の利便性を向上しました FileVaultが ユーザの承認した MDM登録を要求します つまり fdesetupコマンド上で 認証情報を渡すことができません MDM製品があれば スクリプトと MDMエージェントを見直して 変更に備えてください

T2搭載MacとmacOS Catalinaの アクティベーションロックについても iOSと同様に MDM経由での管理が可能です MDM ServerがiOSと同様の エンドポイントとAPIを使用します これらのAPIは間もなく公開され 夏以降サービスを開始します 実装テストを行い 秋以降の Catalinaの出荷に備えてください

(拍手) ご期待を

ここでも変更を行いました 機能は継続しながら いくつかを非推奨にしています 例えば コマンドラインからの サイレントプロファイル作成 スクリーンタイム搭載に伴う― パスベースの ホワイト/ブラックリストの非推奨 現在は 機能制限を使って 設定しています MDM Serverが ユーザチャネルだけの 登録を行っていたら macOSの登録に移行してください ユーザ登録だけでなく― 今後の機能強化においても必要です

ついにこのスライドです 毎年 制限事項を並べてきましたが iOS 13の登場でそれも終わりです 今後は 多くを制限するのではなく 必要な監視だけを行うことが可能です しかし 円滑な移行ができるように いくつかの制限は対象外にしています iOS 12を搭載した 監視対象外デバイスに設定された制限は iOS 13にアップデートされても有効です しかし 監視対象外デバイスを バックアップ後に復元した場合は 無効になります 今後 監視対象外デバイスには 制限を送らないからです

ユーザ登録は アンロックトークンを サポートしませんが デバイス登録にも 関連した変更を加えました 今までもお伝えしましたが なるべく早くアンロックトークンを 入手してください 登録後 最初のトークンの アップデートに限り有効です Apple Configuratorで 監視しているデバイスも パスコードの設定前に アンロックトークンの入手が必要です

このセクションの 最後のトピックに移り― いくつか新しい機能をご紹介します 既存のデバイスを使いながら 新しいサービスを追加して Apple デバイスの機能を活用できます 最初は 基調講演でも話した 重要なテーマです 今から シングルサインオンについて マットが説明します どうぞ (拍手)

ありがとう 私は シングルサインオンチームの コンサルティングエンジニアです 企業のアプリケーションと Webサイトには 認証機能が必要です これらは クラウドやオンプレミスの システムとつながっています

近年 認証は複雑さを増し 複数のプロトコルが存在します 例えば　Kerberosや OpenID Connect や SAMLなど

クラウドとつながるには デバイスを信用してパスコードを 認証以外にも使う必要があります この難題の解決策とは？ それが シングルサインオンです

シングルサインオンが 一連のアプリケーションに適用され 一度のログインで すべてに再利用されます たび重なるサインインを 省くことができるため ユーザの認証体験が向上します

パスワードを持たない会社は シングルサインオンで 認証を行う必要があります しかし 認証スタックをサポートする アプリケーションは限られます

さらに 近年のリスク増加に伴い スコアリングデータやその他の情報で 認証プロセスを補完する必要があります

本日 iOS 13と macOS Catalinaに搭載する― 強力なシングルサインオン機能を ご紹介します 拡張可能なMDMプロファイルや 関連ドメインで有効となり User Enrollmentでも動作します 拡張プロファイルのオプションは UIの表示 Webページのロード または リクエストの実行です

これらの変更によって 安全で使いやすい SSOソリューションの提供が可能です 今から機能の概要をご説明します 詳細は セッションの録画と コードサンプルをご覧ください

個人用アプリケーションの Appleでサインイン はご存知ですね すばらしい機能ですが 企業のアプリケーションが直面する― 複雑な状況のすべてには対応できません シングルサインオンは違います Microsoft Okta pingなどの サードパーティIdPを対象としています

また 管理対象 Apple IDは Appleでサインイン では使えません

シングルサインオンに必要なのが アプリケーションとWebサイト そして 設定のための アイデンティティプロバイダです これで シングルサインオンの拡張が 実現します 今から詳しく説明します

まずは 仕組みです 拡張には リダイレクトと クレデンシャルがあります まずは リダイレクト拡張です

リダイレクト拡張は 最新の認証プロトコルに対応しています 例えば　OpenID Connect OAuth 2.0 や SAML 2.0 Web上で動作し― 多くの場合 オンプレミスやクラウドの 認証連携と組み合わされます

フローを確認しましょう

Safariでは Webページを ロードする代わりに シングルサインオン拡張に リクエストを送信します

拡張が そのリクエストの ヘッダ 本文 URLを受け取ります あとは アイデンティティプロバイダと 承認を完了させるだけです

そして 準備ができると URLをSafariに戻します このレスポンスが 大きくてはいけません SAMLレスポンスのWebフォームか Serverに戻すトークンが対象となります そこで１メガ超のWebページを ロードしないでください

この拡張によって 多くのことが可能になります 例を挙げます Webページでなく ネイティブ画面での認証が可能です ユーザ名とパスワードを要求するか あるいは 条件に合わせて 追加エレメントをリクエストできます

Secure Enclaveで キーを生成したとします リクエストと一緒に送信すると デバイスとユーザが強固に結び付き― リクエストの信頼性が高まります トラストスコアを加えて デバイスのOSバージョンなど 必要な情報の信頼度が計算できます

Webページをロードし リダイレクトに従って認証連携するのが 一般的な方法になります 今年 macOSがFIDO2に対応し IdPがサポートしていれば WebAuthNの利用が可能になります

What's New in Authenticationで さらに詳しい情報をご覧ください

ネイティブアプリケーションにも 対応しています これには追加機能がありますが オペレーションも送信できます 例えば　ログイン ログアウト トークンのリフレッシュ アプリケーションの中の 適切なフローに組み込むことが可能です この拡張がうまく融合するでしょう

エンタープライズデベロッパは この拡張機能を 認証ライブラリとして使えます すべてのアプリケーションに ライブラリをコピーしたり 更新したりする手間が省けます

(拍手) どうも

ネイティブアプリケーションの フローを説明します URLリクエストの代わりに シングルサインオンの拡張に オペレーションを送信します

拡張がアイデンティティプロバイダと 認証を完了させます レスポンスを戻す時 最も重要なのはトークンです リクエストしたアプリケーションが 正しく動作するのに必要です 例えば IDトークンや アクセストークンなど

次は 実装方法に移りましょう

iOS 13とmacOS Catalinaの Extensible SSO Profileを使います 画面を見ていきます 識別子はcom.apple.extensiblesso

次に チーム識別子を含む 使用したい特定の拡張を明記します ここではTypeとRedirect

さらに 拡張にリダイレクトされる URLも並んでいます

そして MDMから送信される 拡張値のオプションディクショナリ ここでは ユーザ名ですが 何でも入れられます

次は 関連ドメインです

これが必要となるのは 認証トラフィックを 拡張にリダイレクトできないからです 自分のIdPが所有するトラフィックしか リダイレクトできません

関連ドメインの設定には "authsrv"を使う必要があります コロンのあと 先ほど出ていたURLの ホスト名を続けます

ホストが複数ある場合は それぞれ別々に記述します

さらに ホストアプリケーションIDを 宛先Server上のapple-app-site- association内に置きます

Serverはデバイスからアクセスでき 有効なSSL証明書を実装しています ユーザ承認やカスタムルート証明書は サポートされていません

関連ドメインには― アプリケーションの開発が 伝わらないことがあります 例えば IdPが拡張を実装する際― カスタムホスト名がそれぞれ異なります エンタイトルメントファイルに それらすべては設定できません その際 macOSのManaged Associated Domainsを使用できます

ここで注意してください ペイロード値は アプリケーションの エンタイトルメントファイルと同じです

iOSでは　新しいManaged ApplicationAttributesが使えます ここでもアトリビュート値は ホストアプリケーションの エンタイトルメントファイルと同じです

Managed Associated Domainsの 最後のステップとして ホストアプリケーションファイルに そのエンタイトルメントを含めます これで エンタイトルメント ファイルの値と マネージド値を 使用したいことが分かります ここには Associated Domainsの配列があります 他の値を持つことも可能で MDMからの値をリストに加えます

さらに詳しい使用方法は What's New in Universal Linksを ご覧ください

リダイレクト拡張は以上です クレデンシャル拡張に移りましょう

これは チャレンジレスポンス方式の 認証フローです Kerberos認証が良い例です リダイレクトとは異なり― クライアントがデータを要求したあと 認証を行います リダイレクトは違いました クライアントは事前に トークンを取りに行く必要があります

さらに カスタム認証も サポートしています

クレデンシャル機能拡張は HTTP認証を要求するのではなく オペレーションシステムから 受け取ります 認証は戻されたURLとヘッダを含みます MDMプロファイルは その拡張に対応するホスト または ホストサフィックスを含みます 例えば .example.com は サフィックスに該当します

また オペレーションも サポートの対象となります それに対する ドメインの要求はありません

フローを確認します Safariやアプリケーションが Serverにリクエストを送ります Serverは認証情報を オペレーションシステムに返します 拡張を許可するシステムです 他の拡張機能と同様に アイデンティティプロバイダ または 認証Serverが 認証プロセスを完了させます

準備ができると 拡張がヘッダを オペレーションシステムに戻し それがServerに送られます データがそれを受け取ると アプリケーションにデータを戻します

以上がフローです 今からリックが クレデンシャル拡張の デモをお見せします (拍手) ありがとう プロフェッショナルサービスチーム リック･レモンです 本日は 私たちが構築した クレデンシャル拡張をお見せします この拡張でシングルサインオンが 簡単に実装できます シングルサインオンを開発したら アプリケーションの一部として ユーザに配布するでしょう そのため 意味がないものも 拡張に含まれる可能性があります 例えば ステータス情報の表示や パスワード変更など それをメニューエクストラを使って 実行する方法をお見せしましょう まず 拡張を開きます サインインします ユーザ名とパスワードを入力

クリックします

サインインできました メニューエクストラを見ましょう

次の情報が表示されています サインイン情報 パスワード期限 パスワード変更やサインアウトも ここから行えます 今は シングルサインオンの拡張に サインインして アプリケーションとWebサイトに アクセスします デモ用サイトに移動しましょう サイトをロードします

シングルサインオンで サイトにアクセスできました 認証を求められていません 先ほど サインインした人物と 同一ユーザとして認証されました Safariを閉じます アプリケーションからお見せしましょう これはImageRetrieverという デモ用のアプリケーションです とてもシンプルなものです Web Serverに接続して 認証を要求し― 画像をダウンロードし それを表示します 通常 これを実行するには 認証が数回必要です でも これは違います お見せしましょう

いいですね 私のラストネームにちなんで レモンの画像を選びました 直接Serverに接続して シングルサインオンの拡張で認証し この画像をダウンロードしました (拍手) どうも (拍手) 一旦 終了します 次に 拡張の認証を トリガーにする方法をお見せします まず メニューエクストラから サインアウトします ただし 拡張を作成した場合― 通常 サインアウトの必要はありません 今回はデモのため サインアウトしています では サインアウトして Safariを開きます

デモ用サイトをクリック ご覧のように すぐに認証が行えます

サインインします このように サインインすると Safariがシームレスに認証され すぐにサイトがロードされました では Safariを終了します サインアウトして 再度 ImageRetrieverを開きます

“Display”をクリックし 画像をロードします 再度認証します

サインイン

レモンの画像が 再度ダウンロードされました どうも (拍手)

この拡張について もう少し説明します これを自分の組織で活用できると 考えている方もいるでしょう 私たちも賛成です １つお伝えしたいのが この拡張は Kerberosと Active Directoryを使用しています すばらしい発表をします

この拡張機能が macOS Catalina iOS 13 iPadOSに搭載されます (拍手) ありがとう この機能のベースは Enterprise Connectです すでに Active Directoryを お使いの方もいるでしょう 皆さんのデバイスを Active Directoryと簡単に統合できます Kerberosのサポートに加え― Active Directoryの パスワード管理に役立ちます macOSでは ローカルパスワードと 同期させることが可能です さらに ユーザ名とパスワードを使った 認証の拡張に加え― 証明書やスマートカードを使用した 認証にも対応しています KerberosとActive Directoryの導入が より円滑に進むでしょう

クレデンシャル拡張については以上です

まとめです 今後 多様な拡張機能の構築が可能です シングルサインオンの詳細については ビデオをご覧ください 後ほど WWDCサイトにアップします 以上です

(拍手) どうもありがとう 関連ドメインについて補足します MDMで管理しますが シングルサインオン以外にも対応します ユニバーサルリンクや パスワードオートフィルなども 関連ドメインによって管理が可能です さらに カスタムアプリケーションも サポートしています What's New in Universal Linksで さらに詳しい情報をご覧ください

冒頭に話した認証連携について 再度ご説明します 本日ご紹介した多くの事柄と連動し Apple デバイスの機能を活用しながら 組織の中に融合させることが可能です

管理対象 Apple IDがABMに届くと User Enrollmentが そのIDを要求します つまり 認証済みのIDで User Enrollmentを簡単に活用できます

本日は 新しいユーザ登録を 多く紹介しました 一方 デバイス登録についても 改善を重ねています 例えば デバイス登録を行う際― 設定アシスタントのユーザ画面の カスタマイズが可能になります

大変便利です (拍手) カスタムWeb UIの提供が可能になり 目的に合わせて使用できます 認証タイプを決める際― 先進認証やマルチファクタ認証など 自由に選べます カスタムブランディング さらに 追加情報を登録画面の中で 提供することも可能です 例えば プライバシーポリシー 追加の同意書 利用規約など ここに見慣れた画面が出ています でも 次のペインは 今の設定アシスタントのUIではなく 皆さんの新しいUIです これは Macの認証画面です とてもワクワクします

右側は iPhoneの利用規約です カスタム機能により― 組織の目的に合わせて 最適なユーザ体験を提供できます

コンテンツキャッシングは 帯域幅の最適化に優れた方法です でも これはベストエフォート型です 今後は 必要なインフラとして ネットワーク上のすべてのデバイスに 最適な設定が行えます また 特定のクライアントキャッシュを デバイスに設定することも可能です

もちろん 他にもあります 設定アシスタントの追加機能や 多くの設定機能や制限機能 でも 私の話は終わりにして 一緒にドキュメントを確認しましょう (拍手) 今回 大きな飛躍を遂げ― 包括的で最新のドキュメントを 完成することができました 内部プロセスを改善し 新しいキーと値を追加しています プロファイルペイロードと MDMコマンドを コードから直接インポートしました その後 他のデベロッパドキュメントと 同じフォーマットに統一しました さらに OSリリースに伴う変更点も 分かりやすくまとめています 本日紹介した 様々な機能や 今後追加される機能に より簡単に迅速に対応していくことが 可能になるでしょう 私の話は終わりにして ここからはグラハムが説明します (拍手)

本日は 最新のドキュメントを ご紹介できて光栄です もう見た方は？ いらっしゃいますね まだ見てない方のために ご紹介しましょう お気付きのように Device Managementは ドキュメントページの ホームに追加されています 中には多くの項目があります Configuration Profiles MDM Protocol Deployment Servicesなど Configuration Profilesを 見てみましょう

プラットフォームで使用できる すべてのプロファイルが検索可能です ExchangeActiveSyncの ペイロードを見ましょう

最初の注目点が API Changesのオプションです ここでは 現在のOSと 次のベータ版の違いが確認できます

便利な機能です (拍手) 左側を見ると 既存のキーに １つ変更が加えられ 12個の新しいキーが追加されています OSのリリースに関連する Xcodeのバージョンについては Xcodeリリースノートをご覧ください 下のPropertiesには すべてのキーが表示され― ペイロードを構成する タイプやデフォルト値があります スクロールすると 変更されたキーが 紫色の波形で強調されています 追加されたキーには 緑色のプラス記号がついています

その下に Profile Availabilityがあり― サポートするプラットフォームが 確認できます さらに下には ペイロードを構成するディクショナリや それ以外の関連データがあります

ページ上部のパンくずリストから Device Managementに戻りましょう API Changesの表示で MDMプロトコルの変更も確認できます 見てみましょう

ここには 利用可能なコマンドと クエリが一覧になっています Install an Appのコマンドを 開きましょう

右側には すべてのプラットフォームと それに対応する OSリリースの一覧があります 左側には コマンドとレスポンスの 説明があります その下の Command Availabilityには コマンドを実行する方法が 記載されています MDMコマンドを見てみましょう

InstallApplicationCommandを 構成するすべてのキーがあります 最後に User Enrollmentの変更を どのように記載したか説明します Command Availabilityは サポート機能の確認に便利です ただし キーの動作を 変更する場合もあります 例えばRestrictionsの ペイロードです ここでは 各キーに使い方を説明する テキストを追加しました 例えばallowAccountModificationは 監視対象デバイスで有効となり iOS 7以降で動作します BYODの登録では― Managed Open Inが 最も重要な制限です 実行環境を確認しましょう ここに iOS 7以降で有効 とあります さらに User Enrollmentでも有効 と あります ドキュメントの紹介は以上です トッドに戻します (拍手) ありがとう 皆さん 新しくなったドキュメントを ご確認ください

本日の内容は以上です 新しいドキュメントが 今後の開発に役立つことを祈っています これからは UserAgentの確認や 監視対象外のデバイスに 余計な制限をかける必要はありません

画面のURLから 関連情報や 多くのドキュメントが入手できます ラボにもお越しください Universal Links と Desktop Browsing に関するセッションもご覧ください

本日は以上です 引き続きWWDCをお楽しみください どうもありがとう (拍手)