Appleが、WWDC24において「デバイス管理の新機能」を公開しています。

iOS、iPadOS、macOS、visionOSの最新の管理機能について学習するとともに、Apple Business Manager と Apple School Managerの最新の変更点を見ていきます。

アクティベーションロック、SoftwareUpdate、Safariの管理のアップデートについても確認します。

Apple Vision Pro が Automated Device Enrollment (旧 DEP) で利用可能になりました。

これによってセットアップアシスタント内でApple Vision ProをMDMに自動的に登録できるようになります。

Apple Vision Proの端末情報はApple Business ManagerおよびApple School Managerでアクセス可能です。

組織が所有するすべてのデバイスを一元的に確認できる Apple Business Manager と Apple School Manager においても改善が行われました。

アクティベーションロックは、端末紛失時に権限のないユーザーに使用される事を防ぐことが出来る優れた機能ですが、意図せずオンになってしまうと所有者でもデバイスの再プロビジョニングができなくなってしまっていました。Apple Business ManagerとApple School Managerへ組織が所有するデバイスのアクティベーションロックをオフにできる機能が追加され、これは iPhone、iPad、Mac、Apple Watch、Vision Pro で利用できます。

更に Mac においては、組織の登録デバイスに個人の Apple アカウントでログインし、アクティベーションロックを有効にしていた場合でも、組織はApple Business Manager・Apple School Managerを通じてオフに設定変更できます。

Apple Business Manager・Apple School Managerではアカウント情報と、その中のデータを組織が管理できるように特別に設計された「Managed Apple アカウント」が利用可能です。

現在は組織が Managed Apple アカウント のためにセットアップしたインターネットドメイン名で一般のAppleアカウントを作成する事ができますが、これを禁止して新しくAppkeアカウントを作成されようとした場合に作成できないように設定することで組織のドメイン名では Managed Apple アカウント しか作成できないように出来ます。

また、Managed Apple アカウント と同一のアカウントで一般用Appleアカウントが存在する場合、今後は 既存アカウントをManaged Apple アカウント へ変換するオプションがアカウント所有者に表示されるようになります。

変換オプション表示後30日を経過しても設定されない場合には、一般用Appleアカウントが維持され、Managed Apple アカウント のアカウント名が変更されます。

組織内の端末を常に最新の状態に保つために ソフトウェアアップデートの管理は重要です。

昨年は特定の日時を指定してアップデートを強制する機能を発表しましたが、今年は全く新しいソフトウェア・アップデート設定コンフィギュレーションを導入します。このコンフィギュレーションは、従来のMDMソフトウェア・アップデート管理コマンド、プロファイル、制限をすべて置き換えます。

新しいコンフィギュレーションはiOSとiPadOS 18、およびmacOS 15以降を搭載した監視対象デバイスで使用でき、ソフトウェア・アップデートのあらゆる側面を管理することができるようになります。

実施時間の1時間前にのみ通知を表示するように通知動作を変更する方法や、再起動のカウントダウン、ベータ版アップデートの管理などの新機能が含まれています。

続けて macOS についてです。

特定の業種においては外部データソースの制御は非常に重要ですので、外部およびネットワーク・ストレージを管理できる新しいディスク管理構成を導入します。

管理者は、外部ストレージやネットワーク・ストレージを許可するか、一切許可しないかを選択したり、読み取り専用ボリュームへのマウントを制限するかどうかを選択、設定できます。

この構成導入に伴い、以前に存在したメディア管理ペイロードは非推奨となり、将来削除されます。

昨年導入されたPlatform Single Sign-onの機能も拡張され、IDプロバイダで認証された情報をさらに多くの場所で活用できるようになります。

IDプロバイダ認証で FileVault のロックを解除できるようになったので、ログイン・ポリシーでFileVault、ログイン・ウィンドウ、ロック画面全体で IdP 認証を要求できるようになりました。

万が一、サーバーが利用できずにIDプロバイダ認証がされない場合でも、TouchID・FaceIDやAppleWatchを用いてユーザーが提供したクレデンシャルが正しい場合にはユーザーはログインできます。

iOS 17.4以降、iPadOS 17.4以降から「盗難デバイスの保護」では自宅や職場など使い慣れた場所では無い、離れた場所にある場合にはMDMへの登録、Exchangeアカウントの手動追加、パスコード宣言やExchangeペイロードの手動インストールなどの重要な操作を行った場合には1時間のセキュリティ遅延を強制的に発生させます。

ただし、盗難デバイスの保護が有効になってから最初の3時間はセキュリティ遅延が発生しない例外となります。

教育機関向けに設計された機能強化を見てみましょう。

Easy Student Sign-In によって、Managed AppleアカウントでiPadにサインインしている先生は、そのデバイスを使って生徒を自分のデバイスにすばやくサインインすることができるようになっていますが、これを拡張して iPadOS 17.4とmacOS 14.4では Managed Appleアカウントを利用している先生が、アカウントのステータスに関係なく、近くにあるすべてのiPadとMacデバイスでClassroomを利用できる新機能「Unmanaged Nearby Classes in Classroom」を導入しました。

そして「Apple Schoolwork 3.0」では、教師が傾向を把握し、生徒のためにパーソナライズされた学習体験を作り出すために新しい評価と採点ワークフローを導入しました。

iPadOS 17.5以降では、教師はPages、Numbers、Keynotes、Google Suiteドキュメント、PDFなどの既存ドキュメントをスキャンまたはインポートして評価を生徒へ送信できるようになりました。教師は文書を採点し、問題ごとに生徒の成績を分析することもできます。

iPad用の新しい電卓アプリについては、教室用にカスタマイズできるようになっています。

標準化試験や高得点試験にも対応できるように、科学モードや数学ノートをオフにする機能などもMDMから設定できるようにオプションが作成されています。

最後に、開発者向けの新機能です。

安全なテスト環境を構築するために、起動時に特定のハードウェアおよびソフトウェア機能を無効にするようにアプリを設定する「アセスメントモード」を搭載しました。

また、iPadOS 17.6では、iPad用のMulti-App Modeを提供できるようになりました。