iOS

アイキューブドシステムズによる、iOS 7のビジネスおよび教育向け機能について解説

※本サイトは、アフィリエイト広告および広告による収益を得て運営しています。購入により売上の一部が本サイトに還元されることがあります。

iOS 7

iOS 7

Appleが、iOS 7で実装した「ビジネス機能」「教育向け機能」に関して、CLOMO MDMを販売するアイキューブドシステムズに、質問する形で解説を行ってもらいました。

iOS 7のビジネスおよび教育向け機能は、iOS 7に対応したMDMサービスを利用することを前提とした機能が多いからで、単に動作保証するといった単純なレベルでは、iOS 7に対応しているとは言えないことも理解出来ると思います。

また、iOS 7は、デザインが変わっただけでなく、非常に大規模導入に対応した堅実な機能実装が多くされていることも分かると思います。


Q1:Managed open in という新機能を使えば、「共有パネルで利用できるアプリケーションのリストをIT担当者が設定できるようにします」と紹介されているが、具体的にどういう機能か?

・回答の概要
 Managed Open In は、以前より提供されている Open In 機能を制御するための新たな機構です。

Open In は、アプリ間のファイル受け渡しする機能の事で、例えば、メールで受信した添付ファイルを Dropbox や Evernote 等へ受け渡すことが可能です。新たに追加された Managed Open In を利用すると、Open In 機能を、「制限しない / Managed Apps(後述)にのみ許可する / 全て許可しない」 といった制御ができるようになります。



・Before
 iOS 5 から MDM サービスに Managed Apps 機能が備わっていますが、この機能を有効にすると、MDM 管理下にあるデバイスに「アプリのインストール誘導」、「アプリの強制アンインストール」や「バックアップ制限」が行え、以前よりもセキュアなアプリの管理を行えます。このように MDM サービスを通じて、Managed Apps 機能にて配布されたアプリは、Managed Apps アプリ=管理可能なアプリと言えます。

 しかし、Managed Apps アプリとして管理されている状態であっても、Open In の機能を備えたアプリは、たとえ業務で認めていない場合でも、アプリへ受け渡しすることを制限できませんでした。その為、Dropbox や LINE 等、ファイルをコピーや転送できるアプリを通じた業務データの情報漏えいリスクを抱えていました。

・After
 iOS 7 では Managed Open In が加わったことで、「Managed Apps アプリに対しては、Open In を許可する」など、会社が利用を認める / 認めないという Managed Apps アプリに対して、より詳細な管理・運用を行える事となります。

・可能になる利用シーン
 Managed Open In 機能を利用して、Managed Apps アプリからその他アプリへのファイル連携を禁止すると、Managed Apps アプリ内の業務データを、業務で認めていないアプリとの連携を禁止できます。Dropbox や LINE など、ファイルをコピーや転送できるアプリを通じた業務データの情報漏えいを防げます。

・利用時の注意点 / 当社の対応
 Managed Open In 機能は、Managed Apps アプリとその他アプリ間での制御設定に限られています。よって、アプリ単位毎には細かく設定できず、アプリケーションを配布する際に、Managed Apps アプリとして配布するか、または、非 Managed Apps アプリとして配布するかは、Managed Open In 機能(ファイル受け渡しの制限範囲)に影響がする事へ、十分な注意が必要です。


Q2:Per app VPN という新機能を使えば、「アプリケーションを起動した時、それが自動的にVPNに接続されるように設定できます」と紹介されているが、具体的にどういう機能か?

・回答の概要
 Per App VPN 機能は、アプリ単位での自動的な VPN 接続先を設定・運用を管理する機能です。

・Before
 以前より、VPN オンデマンドという特定の URL アドレスに自動的な VPN 接続を設定する機能が iOS では提供されています。しかし、設定を行ったURLアドレスへのアクセスの必要性があると、VPN 接続を行いますが、VPN 接続された後は、全てのアプリは、VPN 上で通信されてしまうため、VPNの必要性にもとづいた制御はできず、プライバシーへの配慮や、通信負担を考えると、柔軟な運用が行えませんでした。

・After
 iOS 7 では Per App VPN が加わり、企業側が配布した Managed Apps アプリ(※Q1参照)は、アプリ毎に予め設定した VPN 設定情報を用いて、自動的に VPN 経由で企業ネットワークへ接続できるようになりました。

・可能になる利用シーン
 管理者は Per App VPN 機能を利用した VPN 設定を予め作成しておき、 MDM サービスを通じて VPN 設定を遠隔設定できます。本機能によって従業員は、プライベートな通信は、VPN を経由せずに通信し、企業側は、VPN を必要とするアプリが自動的に VPN 経由での通信を行うよう設定が可能になり、通信上の安全性確保とプライバシーの両立が可能になります。

・利用時の注意点 / 当社の対応
 Per App VPN 機能は、Managed Apps アプリのみ設定可能です。


Q3:「App Store Volume Purchase Programでは新たに、企業がアプリケーションのライセンスを完全に所有、管理しながら、自らのユーザーにアプリケーションを割り当てることができるようになりました」とあるが、具体的にはどういったライセンス管理が行える様になるのか?

・回答の概要
 新しい「Volume Purchase Program(以下、VPP)」では、従来から提供されていた有償アプリの一括購入と、利用権利の配布に加え、アプリケーションの利用権利の回収を行えるようになりました。

・Before
 従来の VPP で購入したアプリは、Apple ID に割り当てられた際、その Apple ID がアプリを購入したものとされていました。よって、もしも従業員が、退職や異動でアプリが不要となったとしても、その従業員の Apple ID に利用権利があり、企業はアプリの利用権利を回収できませんでした。



・After
 新しい VPP では、管理者は、Apple ID に割り当てられたアプリ利用権利をいつでも回収できます。本機能によって、個人所有の Apple ID に対しても柔軟に VPP で購入したアプリを提供可能となるので、より BYODにマッチしたアプリのライセンス管理を行えます。



・可能になる利用シーン
 各企業は、個人所有の Apple ID を含めアプリ利用権の付与先を選択することが可能になり、従業員は自身の Apple ID を用いる事で、使い慣れた端末を利用するための障害が軽減されます。また、企業側は、退職や異動に伴う配慮が不要となることで、必要最低限のアプリ購入で済むようになります。デバイス・アプリを含めた、効率的で詳細な運用を実現できます。

・利用時の注意点 / 当社の対応
 国内メーカーでは、CLOMO MDM のみ VPP に対応しています。但し、iOS 7 の新しい VPP は、まだ国内では開始されておりませんので、アプリ利用権利の回収はできません。新しい VPP の開始にあわせて、CLOMO MDMでは、管理コンソールから VPP で購入したアプリの Apple ID との紐付けやライセンス管理・回収等が行えるように対応する予定です。


Q4:「アプリケーションのライセンスをVPPウェブサイトで購入したら、社内のMDMソリューションを使ってそのアプリケーションをワイヤレスで社員に割り当てられます」とあるが、VPPとMDMソリューションは通信できるようになったのか?貴社の製品を含め、どのMDMでも利用可能となるのか?
→Q3をご覧ください

Q5:「社員のみなさんは個人のApple IDを使って登録できますが、その際、自分のApple IDを会社に提供する必要はありません。アプリケーションは「購入済み」リストに表示されるので、社員はそれを自分自身でダウンロードできるほか、<中略>アプリケーションはいつでも無効にでき、ほかの社員に割り当て直すこともできます。」とあるが、これまでビジネスで利用するアプリは必ず企業が提供するApple IDで購入していたが、iOS 7からどういった仕組みで個人のApple IDでライセンス管理できるのか?この部分が最も理解できない。
→Q3をご覧ください


Q6:「アプリケーションは「購入済み」リストに表示されるので、<中略>MDM経由で自動的にインストールされるようにすることもできます。」とあるが、iOS 7からMDM経由でアプリを自動的にインストールできるのか?貴社の製品を含め、どのMDMでも利用可能となるのか?

・回答の概要
 VPP に対応した MDM サービスでは、有償アプリケーションの購入を簡素化する事が可能であり、利用権利を付与した Apple ID では、「購入済み」リストにアプリケーションが表示されます。

iOS 6 までは、アプリの自動的なインストール(Silent Installation)はできませんでしたが、iOS 7 では、VPP と、Managed Apps 機能を利用して、アプリの自動的なインストール(Silent Installation)ができるようになります。

・利用時の注意点 / 当社の対応
 国内メーカーにおいて、VPP と Managed Apps 機能に対応した製品は、CLOMO MDM だけです。

本機能の内、アプリの自動的なインストール(Silent Installation)には、 Apple Configulator でデバイスを「監視対象デバイス」に設定する必要があります。


Q7:「iOS 7のMDMプロトコルには、他社製のMDMソリューションを一段とパワフルなものにする多くの新しいコマンド、クエリ、構成オプションが含まれています」とあるが、ここで挙げられている5つの新しいMDM構成オプションについて具体的に紹介して欲しい。

・管理しているアプリケーションのワイヤレスでの設定
・カスタムフォントのインストール
・アクセシビリティオプション
・AirPrintプリンタの設定
・AirPlayの通信先のホワイトリスト化

<管理しているアプリケーションのワイヤレスでの設定>
・回答の概要
 「アプリの強制インストール」「Per App VPN」「Managed Open In」等、管理しているアプリケーション(Managed Apps アプリ)におけるワイヤレスで設定可能な新機能を指していると想定されます。(※それぞれの詳細は、前のQで紹介しています。)

<カスタムフォントのインストール>
・回答の概要
 今までは、iOS デバイスに標準搭載されていないフォントは利用できませんでしたが、iOS デバイスに搭載されていないフォントデータを MDM サービス経由で iOS デバイスに配信できるようになりました。

<アクセシビリティオプション>
・回答の概要
 iOS 7では、画面に表示されるものを音声で説明する VoiceOver や、画面全体の拡大 / 縮小、自動ロック など、デバイスの使い勝手に関わる点が改良されています。しかし、現時点では、MDMサービスでは本機能に対する設定変更はできません。

<AirPrintプリンタの設定>
・回答の概要
 従来、AirPrint のプリンタ設定は従業員自身が実施する必要がありましたが、iOS 7 では、AirPrint のプリンタ設定を MDM サービスから遠隔で設定できます。

<AirPlayの通信先のホワイトリスト化>
・回答の概要
 従来、AirPlay の接続先を制限できず、外出先や自宅での業務データの投影による情報漏えいリスクを抱えていましたが、iOS 7 では、AirPlay の接続先をホワイトリスト形式で、MDM サービスから遠隔で設定できます。

・利用時の注意点 / 当社の対応
 本機能のホワイトリスト設定には Apple Configulator でデバイスを「監視対象デバイス」に設定する必要があります。


Q8:「エンタープライズシングルサインオン(SSO)が、App Storeからダウンロードしたものを含むすべてのアプリケーションで、ユーザーの認証情報を使用できるようにするからです」とあるが、OS Xに搭載されているシングルサインオンがiOS 7にも搭載されたという事なのか?

・回答の概要
 Enterprise Single Sign On は、Managed Apps アプリが、認証を必要とするサーバ等へ対して、認証処理を1度で済ますことができるようになる機能です。Mac OS X 同様に、Kerberos サーバを用いて、アプリ内の認証処理の共通化が図れます。

・Before
 これまでは、SSO に対応したアプリ開発を行おうとすると、アプリ毎に SSO に対応する開発を行う必要がありました。その際、アプリ間で認証情報を連携しようとした場合には、App ID Prefix を同一にすることなどの制限があり、論理的に、同一開発者の開発したアプリにおいてのみ、SSO が実装可能な制限がありました。

・After
 iOS 7 で追加された、Enterprise Single Sign On は、 iOS SDK が SSO 機能を提供することで、SSO に対応するアプリを開発しやすくなり、また、個々の Managed Apps アプリ(※Q1参照)では、予め認証サービスの設定を行っておくことで、Kerberos を用いたユーザー認証処理を共用することができます。よって、すでに認証されているユーザーは、パスワードの再入力やサインアウト処理を個別に行う必要がなくなります。

・可能になる利用シーン
 Managed Apps アプリとして配布した業務アプリの利用時に、ユーザーにログインの手間を省略し、手軽な利用を実現します。

・利用時の注意点 / 当社の対応
 Enterprise Single Sign On は、Managed Apps アプリのみが対象です。


Q9:「これからはすべての他社製アプリケーションでデータ保護機能が自動的に有効になるため、App Storeアプリケーション内に保存された情報は、ユーザーがデバイスを再起動してロックを解除しない限り、ユーザーのパスコードで保護されます」とあるが、具体的にはどういった暗号化機能でデータ保護を行うのか?貴社の製品でも利用可能となるのか?

・回答の概要
 Managed Apps アプリ として配布するとデバイスの初回起動・再起動時にアプリ内のデータは自動的に暗号化され、パスコードの認証と同時に暗号化が解除されます。

・可能になる利用シーン
 盗難・紛失時に、位置情報などの取得が行えない様に電源を落とされた場合、パスワードの認証を解除できる利用者の手元に渡るまで、アプリ内のデータを暗号化して情報漏えいが実現しづらい環境を実現します。


Q10:「Apple Configurator 1.4について」に挙げられている、以下の4つの新機能について具体的に紹介して欲しい。貴社の製品でも利用可能となるのか?

・Web コンテンツフィルタを構成
・ロック画面でのコントロールセンターまたは通知センターを許可
・“準備”パネルの新しい“セットアップ”タブを使って、各デバイスをタップせずに、監視対象でない複数のデバイスを MDM に登録
・Remote を使用せずに設定アシスタントを完了し、Apple TV を MDM に登録

<Web コンテンツフィルタを構成>
・回答の概要
 Safari において WEB ページの閲覧を制限できる Web コンテンツフィルタ を指していると想定されます。

・Before
 今までの Safari は、WEB ページの閲覧を制限できませんでした。

・After
 iOS 7 で Web コンテンツフィルタを利用すると、Safari でアダルトコンテンツを自動的に除外して、特定の Web サイトへのアクセスを許可または拒否する設定が行えます。また、特定の Web サイトのみ表示できる様に設定して、それらの Web サイトのブックマークを作成も行えます。

<ロック画面でのコントロールセンターまたは通知センターを許可>
 デバイスのロックが解除されていない状態における、コントロールセンターや通知センターの利用を禁止できます。ロック画面からフライトモードに設定して MDM サービスとの通信を停止させたり、スケジュールやメールの内容を覗き見したりといった、デバイス紛失時のセキュリティを考慮した運用を実現できます。

<“準備”パネルの新しい“セットアップ”タブを使って、各デバイスをタップせずに、監視対象でない複数のデバイスを MDM に登録>
「Streamlined Device Enrollment」を利用した、Apple Configurator が新たに提供する、デバイス運用を簡略化する為のサービスです。(詳細はQ11をご覧ください。)

<Remote を使用せずに設定アシスタントを完了し、Apple TV を MDM に登録>
Remote アプリを利用せずに、Apple Configurator のみで Apple TV をMDMサービスの管理化におくことができます。


Q11:教育機能に簡素化されたMDM登録とあるが、具体的に何が簡素化されているのか?

・回答の概要
 「簡素化された MDM 登録」とは、Apple が新たに提供する、デバイスの運用。特に、デバイスの初期導入を簡略化する為のサービス Streamlined Device Enrollment を指しています。

・Before
 従来、「MDMサービス への登録」「運用ポリシーを適用する(機能を制限する)」「アプリをインストールする」など、デバイスのキッティングにおいて、様々な工程が必要で、数千台規模の導入も続々と生まれている昨今、大きなコストとなっています。
 
・After
 購入したデバイスを事前(開封前)に「Enrollment Service」に登録し、適用すべき各設定やプロファイルを関連付けておくことで、MDM サービスへの登録作業などを一連のアクティベーション作業の中に含めることができます。

 なお、MDM サービス管理下にすることを受け入れずに設定アシスタントを完了させるなどをオプションとして指定もできます。



・可能になる利用シーン
 スマートデバイスの企業内導入開始時や、新入社員の増加によるデバイス追加時などに、非常に少ないキッティングコストで従業員へ渡すスマートデバイスを準備できます。

・利用時の注意点 / 当社の対応
 本機能は、日本国内ではまだ提供開始されていませんが、サービス開始時に伴い詳細の情報が開示される予定と聞いております。


Q12:iOS 7 の機能は、どのMDMでも対応可能なのか?CLOMOはどうか?
(各質問で聞かれているため、まとめて意思を表明)

 iOS 7 で実装される機能仕様は、多くが公開されており、サービス提供者は、MDM サービスを強化対応させる事が可能です。

しかし、Managed Apps 機能や VPP 機能など、高度な統合を必要とする機能に関して、各社ごとに対応レベル・対応方法が異なっています。

 CLOMO は、国内初の iOS 向け MDM サービスとして登場し、マルチデバイスを実現した現在も、 iOS での管理機能強化に努めており、国内メーカーの MDM サービスで唯一、Managed Apps 機能、VPP 機能に対応するなど、iOS の進化を意識しながら、設計・開発を行っています。今回の iOS 7 による機能強化についても現状で多くに対応しており、また、「新しい VPP」「新しいデバイス導入方式(Streamlined Device Enrollment)」等、国内でのサービス開始に合わせ、対応を予定しています。


関連記事

この記事のハッシュタグ から関連する記事を表示しています。

新着記事