Apple Watch向けのデバイス管理

♪ ♪

こんにちは Melissa Nierleです Enterprise and Education Technologiesチームの ソフトウェアエンジニアです 今日はApple Watchのための デバイス管理をご紹介します Apple Watchは今やユーザーにとって 不可欠な日常のパートナーであり 人々のつながりや 活動的で健康的な 生活に役立っています ハンドフリーのコミュニケーション 外出中の通知への返信 転倒検知などの安全機能で Apple Watchは企業カスタマーにとっても 有益なものとなっています 小規模ビジネスや公共事業から 大企業や医療システムまで Apple Watchが活躍する場には 限りがありません Volvoのような企業は既に Apple Watchを使って 業務ログや顧客との会話の合理化を行い 従業員のワークフローを強化しています 私たちは様々な組織が従業員に Apple Watchをデプロイすることで 生産性を向上させ ウェルネスをサポートし 安全性を強化できるような解決方法の 一助になりたいと考えています そのために今年は watchOS用の デバイス管理を導入しました 組織は他のAppleデバイスと共に Apple Watchを デプロイし設定できるようになりました Apple Watchの大規模デプロイにより ユーザーと組織の両者に 実に様々な方法で影響する様子を 見ていきましょう では その仕組みについてからです まずは Apple Watchの 新規登録フローについてで 次に Apple Watchを管理する際に 何を知っておくべきかを話します Apple WatchをMDMに登録する時は 考慮すべき点がいくつかあります まず Apple WatchとiPhoneを ペアとして使うのと同様に 管理もペアとして一緒に行われます 両デバイスはアプリや制限などの 機能をデバイス間で共有し また互いにハンドオフ情報も共有して タスクを滑らかな一つのフローで こなしていきます 私たちはこれを利用してApple Watchの 登録フローを作成しました 登録フローは組織管理者と エンドユーザーのどちら側でも 実際にはiPhoneで始まります Watchの登録フローを開始するには ホストのiPhoneは 既にMDMに登録されて 管理の対象となっている必要があります MDM登録はWatchのペアリングフローが 行われている間に起こるので Apple Watchは新しいものか リセットされたもので始めます 既にペアリング済みのWatchは 登録にはリセットが必要です Apple Watchの登録フローは 宣言型デバイス管理で行うので サーバはApple Watchと 宣言型デバイス管理の 両方をサポートしている必要があります 宣言型デバイス管理の新しい内容については 関連の詳しいセッションをご覧ください 前提条件については分かったので 登録フローのステップを 1つずつ見ていきましょう まずは管理の対象となった iPhoneで始めます 最初に組織管理者が iPhoneに新しい宣言を送ります これは新しい「Watch Enrollment」 の設定です これはiPhoneに対して ペアリングしたいApple Watchを MDMに登録するべきだと知らせています こちらがその設定のコンテンツです ペイロードキーを見てみましょう 最初は登録URLエンドポイントのキーです このエンドポイントはApple Watchが ダウンロード及びインストールする MDMプロファイルを伝達します Apple Watch用のMDMプロファイルは iOSやmacOSのデバイスで 既に使われているMDMと同様です 次のキーはAnchorCertificate AssetReferencesで オプショナルアイテムであり 一連のアンカー証明書を特定します これらのアンカー証明書は 登録プロファイルサーバの 信用査定に使われます このフローで使われる 個々のアンカー証明書は iPhoneで既に表示されるアセット宣言に 含まれていなければなりません これで設定がインストールされたので Apple Watchに入れましょう 先ほど言ったように Apple Watchは ペアリング状態に入り ユーザーがiPhoneから ペアリングを開始すると 両デバイスはリモートマネージメントの 受け入れを促されます ペアリングを続行するには ここでユーザーが リモートマネージメントを 許可する必要があります リモートマネージメントを許可しなければ Watchの設定が終わらないまま ペアリングは終了します Apple Watchの登録フローは 安全性を考えてデザインされていて iPhoneとApple Watchをペアとして 管理する需要に応えるものです 安全性を確保するためには 二つの重要事項があります 一つ目は ホストのiPhoneが 組織の管理するMDMサーバに 登録されていることを 組織管理者が確認することです 二つ目は どのiPhoneと Apple Watchがペアなのか 識別できなければならないことです この新しい登録フローで それが達成できたか見てみましょう Watchのペアリング中に iPhoneは ペアとなるWatchの 登録設定からの情報を Apple Watchに送ります Apple Watchは URLと 与えられたアンカー証明書を使って サーバと初期接触を行います このリクエスト内でWatchは 署名された機械情報を提供します Apple Watchからの 登録リクエストを受理して サーバは機械情報のデータを検査し 新しい「pairing token」キーを探します この最初の試みでは pairing tokenキーは存在しないので サーバは HTTP 403 responseを 発行します その403 responseはこちらです まず エラーコードから分かるのは Watchのpairing tokenが リクエストに入っていないことです そこで detailsの辞書内に セキュリティトークンを付与します この無作為なUUID文字列が Watchによって使われ pairing tokenの回収フローを開始します Watchはこのセキュリティトークンを iPhoneに送ります iPhoneは GetToken checkIn リクエストを行い そこに含まれるのは両デバイスのUDIDと WatchのMDMサーバから受け取った 安全性のトークンです 新しいcheckin requestは このようになります 今年私たちが加えた 新しいCheckInメッセージタイプは 「get token」checkin requestと 呼ばれます この新しいメッセージタイプで デバイスはMDMサーバがサポートする 様々なサービスの安全性トークンを リクエストできます TokenServiceTypeキーが示すのは どのサービスのトークンを リクエストしているかです ここでは値から 必要なのは Watch pairingのトークンだと分かります 次のTokenParametersは トークンサービスタイプに特有の パラメータを含んでいる辞書です Watch pairingトークンのためには iPhoneはWatchからの 安全性トークンと自身のUDID そして Apple WatchのUDIDを含んでいます MDMサーバはこの情報を得て Apple WatchのMDMサーバが 受け取った際に認証できる 安全なペアリングトークンを この情報を使って生成します ここで MDMサーバが 受け取ったUDIDに基づいて iPhoneとAppleの 正しい関係を作成できます サーバは生成したペアリングトークンを iPhoneに送って終了します サーバからのトークンレスポンスの 例を見てみましょう トークンは base64の符号化データの 形式を取っています iPhoneはペアリングトークンを受領すると それをApple Watchに送ります このペアリングトークンは Watchの機械情報に追加され 新たな登録リクエストで MDMサーバに送り返されます 安全なペアリングトークンと一緒に Apple Watchの 機械情報がサーバに送られる 例がこちらに出ています MDMサーバは機械情報と一緒に 受け取ったペアリングトークンを 安全に認証してiPhoneの MDMサーバのアイデンティティと iPhoneとApple Watch間の ペアリング関係を 確認できるようになります これでサーバがApple Watchに MDM登録プロファイルを送ります ユーザーはApple Watchの残りの設定を iPhone上で完了して ペアリングフローの最後に 登録プロファイルが Apple Watchにインストールされます iOSと同様に 登録が正式に完了するのは Apple Watchが Authenticate messageTypeで CheckInリクエストを送る時です これでApple Watchは登録され 管理の対象になりました！ この特殊な登録フローにおいて Apple Watchに関して 覚えておきたいことがいくつかあります まず デバイス管理ソリューションを 作成する時には 登録中にサーバに送られたデータを利用して どのApple WatchがどのiPhoneと ペアリングされているのか検知しましょう ペアを確認する必要がある IT管理者のために この情報を使って 直感的なUIを作成しましょう 覚えておきたいのは Watchの登録設定が iPhoneに適用されると そのiPhoneとペアリングを始めようとする すべてのApple Watchが 管理への登録を促されることです ですが 既にそのiPhoneと ペアになっているApple Watchは 影響を受けないので 登録をしたい場合には 一旦解除して再びペアリングする 必要があります 最後に Apple Watchは登録が済むと 管理対象になっているので 組織の所有するデバイスに すべてのワークフローが追加できます iOSの時と同様 ヘルスケア情報とフィットネス活動は MDMサーバには決して送られません これでApple Watchの 登録方法は分かったので 今度は管理方法についてです まずは watchOSのための 宣言型デバイス管理サポートから 始めましょう watchOS 10では すべての宣言タイプが watchOSでサポートされています アクティベーション宣言での predicateもサポートされているので Watch上でマルチステップの 管理ワークフローが作成できます Apple Watchには ステータスチャネルも登場し すべてのAppleデバイスから プロアクティブな更新が受けられます watchOS 10の宣言型デバイス管理は このようになっています watchOSの管理機能についての 最新情報を載せた Appleのオープンスキーマや デベロッパ用ドキュメントで サポートのフルリストを見てください もちろん MDMプロトコルも 管理対象のWatchでサポートされています Payloadsや Restriction そして MDM Commandや Queriesもすべて 他のAppleデバイスと同様 Apple Watchにも送れます 今年はwatchOSのために幅広い MDM機能がサポートされています では利用可能な構成ペイロードを 少し見てみましょう まずは 一連のネットワーク機能です 今年watchOS 10で新しいのは Apple Watchに専用のVPNを インストールできる機能です 既存のネットワークペイロードや Wi-Fi及びデータ通信に加え アプリごとのVPNペイロードへのサポートを watchOSに加えました これですべてのAppleデバイスが 安全な企業VPNにアクセスできます 次に watchOSの安全性確立に 使用するペイロードです Appleデバイスへの SCEPやACME証明書のインストールや パスコード規則の実施や制限の適用に 使用したペイロードがすべて watchOSでも サポートされるようになりました パスワードポリシーと 制限ペイロードは watchOSではどちらも 特有の動作を共有します それを見ていきましょう iPhoneに適用された 制限やパスコード規則は ペアリングされたApple Watchに 同期されます 例えば パスコードポリシーを iPhoneに適用していれば ペアになって管理されたWatchも パスコードの作成を ユーザーに促します 英数字を使ったパスワードが iPhoneのポリシーで要求されている場合 例えば Apple Watchが 手首から外されている時などは ユーザーはWatchのアンロックに iPhoneを使う必要があります ですが 制限ペイロードと パスワードペイロードの両方が 直接Apple Watchに適用されていれば それはiPhoneに同期されません この規則の方向性における詳細を利用して 各プラットフォームでの制限や パスワードポリシーのペイロードを カスタマイズしましょう MDMクエリはデバイスの 現在のステータスや コンテンツを知るのに便利です もちろんこれらのクエリは サーバからデバイスへ ポーリング方式で動作します 絶え間なくApple Watchに クエリをポーリングする代わりに 宣言型デバイス管理の ステータスチャネルを使うべきです そうすれば Apple Watchは サーバが署名するステータスアイテムに 変化が起こるたびにサーバに プロアクティブに伝えます では watchOSに適用したい コマンドを見てみましょう iOSと同じコマンドが watchOSでもサポートされ Apple Watchにある企業データの 健全性を確保します パスコードの削除 デバイスのロックや 削除もリモートで必要に応じて行えます プロファイルの削除による MDMからの登録解除も watchOSでサポートされていますが デバイス上の動作が異なります それを見てみましょう ユーザーあるいはMDMコマンド経由で Apple WatchからMDMプロファイルが 削除されると Apple Watchは サーバから登録解除されます Apple Watchが登録解除されると ホストiPhoneからもペアが外れ そのコンテンツも設定も すべてが消去されます Apple Watchの登録解除はiPhoneの 登録ステータスには影響しません ホストiPhoneが登録解除された場合は それがユーザーによる場合でも 組織による場合でも Watchも登録解除されます つまり ホストiPhoneから 管理を削除してしまうと 管理されているApple Watchも ペアが外れリセットされる結果になります MDMプロトコルについての最後は アプリのデプロイについてです watchOSでは 異なる3種類のアプリがあります 最初は連動型アプリで このWatchアプリは 補完的なiPhoneアプリと データを共有しますが iPhoneが無い時でも Watchアプリのみで機能します 次は依存型watchOSアプリです これらのApple Watchアプリが機能するには 対になるiPhoneアプリが必要です 最後はスタンドアロンのwatchOSアプリです watchOSプラットフォームのみに存在し 対になるiOSアプリはありません 連動型あるいは依存型 watchOSアプリタイプは 管理者が2つのデバイス間でのアプリを 一緒に管理する必要があります スタンドアロンのwatchOSアプリも サポートされています このアプリの場合App Installコマンドを Apple Watchに送ればいいだけです 連動型アプリや依存型アプリをiPhoneと Apple Watchにインストールする時は アプリは最初にiPhoneに インストールしなければなりません アプリがiPhoneに インストールされたのを確かめたら install app commandを Apple Watchに送ります 連動型あるいは依存型 watchOSアプリタイプの更新時には 両デバイスにアプリの更新のための コマンドが送られなければなりません 同様に 連動型または依存型アプリを 削除する時には 正しい動作を確実にするために 削除コマンドが Apple WatchとiPhoneの両方に 送られる必要があります iPhoneやApple Watchの 連動型や依存的アプリをこのように 並行して管理すると アプリが確実に 利用可能になり 適切に管理されるため ユーザー体験や管理者のワークフローが 最適化されます これはApple Watchの管理で 可能になる数多くのことの ほんの一部です これまで話した最善策を理解すれば みなさんのwatchOS管理も 確実にスムーズになり強化されるでしょう それでは主要点をまとめてみましょう 管理者はiPhoneとwatchOSをペアとして 一緒に管理する必要があるので MDMプロダクトの作成にはこの関係を 念頭に入れることが大事です 組み合わされたワークフローを作成し デバイスの関係をUIに公開することで 管理者は二つのプラットフォームを 互いに同期させておきやすくなります 宣言的デバイス管理に作成された プロアクティブなステータスチャネルを使い パワーを消耗する情報ポーリングが 常にデバイスに行われるのを避けましょう 宣言的デバイス管理のステータスチャネルは 重要な変化が起こるたびに サーバーを更新します Apple Watchの管理には 新たに考慮する事項もありますが 宣言型デバイス管理機能とあわせた MDMプロトコルは みなさんが既に馴染みのある ツールと同じなので すぐにでもApple Watchの管理に 着手できるはずです では 本日Apple Watchについて 話した内容をまとめます Apple WatchはwatchOS 10で 管理ができるようになり iOS 17を実行する管理対象iPhoneと ペアリングできます 今すぐApple Watchの登録と MDMソリューションの 管理サポートを実装して IT管理や組織の強化を図り 企業のApple Watchのワークフローを できる限り簡易にしましょう 管理者のみなさん 管理されたApple Watchで 組織の生産性を最適化しつつ エンドユーザー側の接続性や ウェルネスを向上できるよう 計画を始めましょう みなさんが実装を計画する Apple Watchのワークフローや それがどのようにみなさんの組織の デジタルエコシステムを改善するのか ぜひお聞かせください MDMデベロッパのみなさんからも Apple Watchのデプロイを計画中の 管理者のみなさんからもどうぞ feedback.apple.comでフィードバック リクエストの送信をお忘れなく 最後ですが その他のセッションで 宣言的デバイス管理や Appleデバイス管理の新事項についても ぜひご確認ください 以上 Apple Watchのデバイス管理でした ご視聴ありがとうございました！