Appleデバイス管理に関する新機能

[Graham　こんにちは WWDCへようこそ Grahamです　同僚の Nadiaとお届けします どちらもAppleのDevice Management チームに所属しています 昨年から私たちは働き方 生活 学び方に 前例のない変化を 強いられました オフィスから食卓へ 居間のソファへと Appleのハードウェア ソフトウェア サービスは 人々がしなければいけない ことは何でも 可能にするための パワーと 柔軟性を提供してきました Appleプラットフォームは システム管理者と モバイルデバイス管理の 開発者に素晴らしいApp リッチなコンテンツ そして 強力なサービスを顧客 従業員 学生 教師に 提供する 大きな機会を提供します Appleでは プライバシー ユーザーエージェンシー そして 管理制御のバランスが 優れたデバイス管理 ソリューションを 生み出すと信じています macOS Montereyと iOS 15では すべての プラットフォームに多数の 優れた新機能が 導入されています 共有すべき新機能が たくさんあるので その多くに向けて詳細な セッションを作成しました 今日のコンテンツに 入る前に 数点のトピックについて 簡単に触れたいと思います ユーザー登録における変更 についてから始めましょう ユーザー登録は 組織ではなく ユーザー自身で所有している デバイス展開を 意図して 設計されています このMDM登録タイプは デバイス上の 企業データを保護しながら 個人データの プライバシーを保護します 今年はデータの分離と ユーザーオンボーディング においていくつか画期的な 改善が加えられました 詳しくは 「アカウント駆動型ユーザ登録」 セッションをご覧ください 次にiPhone用 Configuratorが App Storeに登場し さらに macOS自動デバイス登録の新機能が 追加されたことを お知らせします 「Apple Configuratorによる デバイス管理」セッションを ぜひお見逃しなく デバイス管理プロトコルを 強化して より堅牢で パフォーマンスを 向上させています MDMの将来については 「宣言型デバイス管理について」 をご覧ください 今年はiOS iPadOS macOS向けの ソフトウェアアップデートに関する 変更が多数あります 「組織内でのソフトウェアアップデートの管理」 セッションにて新機能を 確認してください そちらでOSアップデートの テストと展開 および実施について 説明しています では次は NadiaにiOSと iPadOS 15に 今年登場する 非常に楽しみな 新機能について 話してもらいましょう

こんにちは デバイス管理のための iOSとiPadOSの機能 についてお話します 今年は管理アカウントを 表示する方法 デバイスにインストール されているプロファイル および設定でのVPNの 構成方法に大幅な 変更を加えました

VPNとデバイス管理が 組み合わされて デバイスの状態を表示する 包括的な場所が提供されます そこではデバイスが どのように 管理されているかを完全に 理解することができます MDMのもう1つの重要要素 はAppのインストールです 多くのMDMベンダーは デバイス構成の一部として 必要なエージェントAppを 持っているか 従業員が必要とする重要な Appはすべて 組織が持っています 監視対象デバイスでは プロンプトを表示せずに インストールされるため 問題ではありませんが 監視されていないデバイスは Appをインストールする 許可を求めるので ユーザー が拒否する可能性があります これをコントロールできたら 素晴らしいと思いませんか？ 実はできるのです それが「必須App」です これで監視されていない デバイスに インストールするAppを 1つ指定できます ユーザーはMDM登録中に Appのインストールに 同意し このAppのみが 追加のユーザー承認なしに インストールされるため 私達はユーザーの プライバシーが 保護されていることを 確認します App Storeの iTunesストアIDを MDMプロファイルに 追加するだけです 次にAppにデバイスまたは ユーザーライセンスがある ことを確認してAppの インストールコマンドを送信 またユーザーがAppを 削除できないように 管理対象Appの属性を 必ず追加してください App間のデータフローを 保護することも非常に 重要な考慮事項です 管理対象のオープンインを 使うとデータが 管理領域に出入りできるか どうかが制御できます 最も基本的にはデータを 管理対象外のAppから 管理対象のAppに またはその逆に 送信できるかどうかを 個別に制御します そして今 私たちは 管理されたペーストボードで これまで以上の改善を 行っています

requireManaged Pasteboardの制限は コピーと貼付けが影響を 受けるかどうかを制御します 制限を尊重する システムAppには カレンダー メモ メール ファイルが含まれます 他のすべてのAppは この機能の適用に 必要な 追加の変更はありません 通常通りMDMを介して インストールしたAppは 自動的に管理対象として 扱われ ユーザーが インストールしたAppは 管理対象外として扱われます 管理されたペーストボードを 使用するといつでも 貼り付けボタンを 表示できます 制限のためにコンテンツを 貼り付けることが 許可されていない場合は 「貼り付けは 許可されていません」と 表示されます 補足として 通知に 表示される組織名は OrganizationInfo のコマンドを 使って変更できます 昨年 共有iPadを ビジネスに導入しました これにより従業員は 共有デバイスで個人的な 体験をすることができます 共有iPadはこれまで 管理対象Apple ID を必要としていましたが 一時セッションを使えば 誰でも共有iPadを 使うことができます ログアウトすると Safariの閲覧履歴 変更されたユーザー設定 追加されたファイルなど すべてのデータが デバイスから削除され 次のユーザーが 使用できるようになります iOS 14.5ではShared DeviceConfiguration コマンドに３つの 新機能が導入されました TemporarySessionOnly は管理対象Apple IDで ログインする機能を 制限します TemporarySessionTimeout とUserSessionTimeoutは 設定の時間が経過すると 自動的にユーザーを ログアウトして 非アクティブ時間の後も データの安全を保証します タイマーは短すぎる値に 設定しないようにしましょう また電源ボタンや ホームボタンを押すと タイマーがリセットされます ではApple TVの変更点 について説明しましょう TV Remoteのペイロードは 特定のApple TVを iOSやiPadOS のコントロールセンターの リモートウィジェットに 接続するのに役立ちます tvOS 15にはApple TVが Bonjourを介して Macアドレスを 表示しなくなる という新しいセキュリティ 拡張機能があります この変更により テレビへの PINプロンプトの表示を 妨げなくなりました 展開への影響を最小限に 抑えるために TVリモートペイロードに 新しいキーを追加しました TVDeviceIDに加え 新しいTVDeviceName キーでリモートウィジェットの Apple　TVをフィルターします これにより管理対象 デバイスからの不要な ペアリングの試行が 防止されます 注意が必要な その他の変更点としては 単一のプロファイル内の 全ペイロードタイプには 固有のペイロード 識別子が必要です さらに監視されていない デバイスの場合 Take Managementの プロンプトを3回まで 拒否できます その後は24時間 プロンプトを表示しません また より包括的な言語を 使うように いくつかの ペイロードキーを 更新しました 詳細については 更新されたデバイス管理の ドキュメントを 確認してください

iOSとiPadOS 15の 素晴らしい機能を 探索していただき ありがとうございます では次はGrahamに Macに登場する 優れた新機能について 説明してもらいましょう ありがとう Nadia Big Surのルックスや Appleシリコンの導入 Macにとって2020年は 飛躍的な年だったことは 言うまでもありませんね この新世代のMacにより ユーザーはあらゆる種類の 驚くべき新しいことを 実行できるようになりました macOS Montereyには 優れた新しい デバイス管理機能が いくつかあります まずはSystem Extensionについて お話ししましょう System Extensionにより Network Extensionや エンドポイントセキュリティ といったソフトウェアが カーネルレベルのアクセス がなくても macOSの機能を 拡張できるようになりました 管理エクスペリエンスの向上 のために System Extensionペイロードに 変更を加えました macOS 11.3では System Extensionペイロードを インストールするとSystem Extensionの状態が変更されます 例えばSystem Extensionが ユーザーの承認を 待っている場合ペイロードを インストールすると Extensionが アクティブになります 逆にペイロードを 削除すると System Extensionが 非アクティブになります macOS Montereyでは RemovableSystemExtension と呼ばれる新機能があります これによりAppが System Extensionを 非アクティブ化するとき 例えばAppが それ自身をアンインストール できるようになります この機能を使用すると System Extensionを 削除するのに管理者 パスワードは必要ありません これはMacで 管理者ユーザーがいない 展開で役立つかもしれません macOS Big Surでは Kernel Extensionを 変更するためにMacを 再起動する必要がありました Kernel Extensionの管理を 容易にするために いくつか機能を追加しました まず再起動時に Kernel Extensionキャッシュを 再構築するようにMacに 指示するオプションを コマンドに追加しました これはKernel Extensionが 追加または削除 されるたびに必要になります オプションの KextPathsキーで OSに検出されていない Kernel Extensionを指定します これによりユーザーが再起動 する前にAppを 起動しなくても MDMで Appをインストールして Kernel Extension機能を 読み込むことができます 新しいNotifyUser オプションを使うと MDMでユーザーに再起動 通知を表示できます クリックすると ユーザーは Macを正常に 再起動することができます ユーザーへの通知機能は Kernel Extensionの コンテキスト外で 使用できますが これらを組み合わせると さらに有益です System Policy Kernel Extensionペイロードの AllowNonAdminUserApprovals キーを使うと 標準ユーザーは Kernel Extensionの インストールを完了できます ユーザーはシステム環境 設定内から再起動するか MDMからの通知を使って カーネルキャッシュの 再構築をトリガーする必要が あることに注意してください ハードウェアによっては この手順を完了するために ブートストラップトークンが 必要になる場合があります これが必要かどうかは SecurityInfoクエリで 確認できます 次に Appについて 話しましょう Appleシリコンを搭載した Macコンピュータの 最も優れた新機能の1つは iPhoneや iPad Appを 実行する機能です Big Surの初期リリースで iPhoneとiPadの Appのインストールを サポートするかどうかを 報告する新しい DeviceInformation クエリキーを追加しました Appleシリコン OS 11.3ではtrue を返すようになりました App StoreのApp または独自の社内企業 Appをインストールする 準備ができたら InstallApplication コマンドに新しいフラグを 含めてiPhoneと iPad Appであることを 示す必要があります また社内のエンタープライズ Appの場合は マニフェストのURLが .pkgファイルではなく .ipaファイルを指して いることを確認してください iOSスタイルの準備 プロファイルを管理する 機能がサポート されるようになりました この機能により社内の 企業Appと 準備プロファイルを 独立して管理できます ではAppleシリコン限定 の新機能について いくつか説明しましょう Appleシリコン搭載の Macコンピュータにおける DeviceLock コマンドを強化しています この変更により管理者は 6桁のPIN メッセージ および電話番号をデバイス に送信できるようになります これによりMacが再起動し 提供された情報が ユーザーに表示され すべてのMacモデルで 機能が同等になります リモートロックが 設定されているとPINが 提供されるまでユーザーは Macを使用できません PINを入力すると Macが再起動し データはそのままでログイン できるようになります これは素晴らしいスタート ですが 再起動して 回復すると意図しない データアクセサーが 重要なセキュリティ設定を 変更する可能性があるので 回復パスワードを設定する ための新機能を追加します 新しい SetRecoveryLockと VerifyRecoveryLock のMDMコマンドを使うと Macが回復を再起動 する前に入力する 必要のあるパスワードを 設定および検証できます これらの新しいコマンドの 使用について 知っておきたい重要な 詳細がいくつかあります パスワードはMDMでのみ 設定および削除できます なのでユーザーがMDMから 登録解除をすると 回復パスワードが 削除されます 新しいパスワードを設定 するにはMDMサーバーは 既存のパスワードを知って いる必要があります そして最後にMacが 消去されると デバイスロックPINと 回復パスワードの 両方が削除されます なのでこの機能を アクティベーションロックと 組み合わせて使用して 最適なセキュリティを 提供することを お勧めします これらの機能で皆さんには 喜んで頂けたかと 思いますが 最後にもう1つあります Macのコンテンツと設定の すべてを消去する機能です Montereyは素早く コンテンツと設定の すべてを消去することが できます この機能は MDMを通しても ご利用いただける ようになります EraseDeviceコマンド を使うとユーザーデータの すべてが消去されて 次のユーザーのために セットアップアシスタントが 再起動して準備が整います この機能に関する 注意事項がいくつかあります

これはAppleシリコンと Apple T2セキュリティ チップを搭載したMacで サポートされています Macに複数の区画が ある場合は 再起動して今のシステム ボリュームの セットアップに戻り 他は すべて消去されます Appleシリコン搭載の デバイスでは回復で 変更されたセキュリティ 設定もリセットされます またMacの消去を させたくない場合もあるので allowEraseContent AndSettings 制限をMacに導入します 今日は多くの新機能 について取り上げました ぜひご自分の手で 触れてみてください 各シードの最新の 変更点に関しては developer.apple.com から デバイス管理ドキュメント を確認してください AppleSeed for IT がこれらの新機能への アクセスとテストに 役立ちます Apple School Manager またはApple Business Manager の非学生管理対象Apple IDで プログラムに参加できます ご使用の環境でテストする ためのプレリリース Appleソフトウェアへの アクセス テスト計画と フィードバックの提供方法 が含まれています そして他の素晴らしい セッションも ぜひご覧ください デバイス管理機能 に関して より理解が深まると思います

ユーザー登録の更新から 共有iPadへ そして Macの画期的な 新機能まで 皆さんが デバイス管理体験を 次のレベルに 引き上げてくれる ことを楽しみにしています ありがとうございました WWDCをお楽しみください [打楽器音楽]