こんにちは!市川です!
iPhoneをApple Business Manager(ABM)に登録後、Intuneと連携することで、端末は会社で管理できる状態となります。この状態が、”監視モード”です。
今回は、「監視モードのiOS端末にアプリを自動配布・ポリシーを一括適用する方法」をご紹介します。
実際に、アプリのインストール制限やWi-Fi設定の自動構成、不要な機能の無効化を行い、会社管理の端末に自動でアプリを配布する方法などを試します。これにより、ユーザーが自由に操作できる状態を防ぎ、企業のポリシーに沿った安全なデバイス運用が実現されます。ぜひご参考ください!
– 会社管理端末(監視モード)のブログシリーズ –
Part 1:iOS端末をApple Business Manager(ABM)に登録する方法
Part 2:MDMと連携してiOS端末を管理対象にする方法
Part 3:本ブログ
目次
1.アプリケーションの自動配布
ABMでアプリを入手
ABMでアプリを入手し、Intuneにて配布していきます。
1.Apple Business Managerにサインインし、「アプリとブック」をクリックします。
2.iOS端末に配布するアプリをクリックし、「割当先」を選択します。
※検索バー(青枠内)より該当アプリを探すことができます。
3.希望数量を入力し、「入手」をクリックします。
※価格に「\0」と記載のあるものは無償です。数量は自由に入力してください。
4.更新後、再度アプリを確認すると「ライセンスを管理」に入手したアプリが表示されていました。
5.ABMでの手順は以上です。今回は、「Microsoft Authenticator」も同様に配布します。
Intuneで配布グループを割り当て
次に、Intuneでアプリを配布するグループに割り当てます。
1.Microsoft Intune 管理センターを開き、「アプリ」をクリックします。
2.「プラットフォーム」のタブより「iOS/iPadOS」をクリックします。
3.目次1-4にて入手したアプリが表示されています。
4.ABMで入手したアプリは、「iOS Volume Purchase Program アプリ」と表示されます。
5.自動作成された「Microsoft Teams」のアプリを開くと、詳細を確認することができます。
6.「プロパティ」を開くと、自動的にアプリを配布するためのポリシーが作成されていることがわかります。
7.「割り当て」まで下にスクロールし、「編集」をクリックします。
8.「グループの追加」をクリックします。
9.アプリを配布するグループにチェックを入れ、「選択」をクリックします。
10.「レビューと保存」をクリックします。
11.正常に保存されました。
12.Microsoft Authenticator も同様に、アプリを配布するグループを割り当てます。
アプリインストールの確認
対象のiOS端末とIntuneで、アプリのインストール状況を確認します。
1.対象のiOS端末で確認すると、「Teams」と「Authenticator」がインストールされていることが確認できました。
2.Intuneの「Microsoft Teams」アプリからも、インストール状況を確認できました。
3.「デバイスのインストール状態」と「ユーザーのインストール状態」にて詳細が確認できます。
4.「Microsoft Authenticator」アプリでも同様に、インストール状況を確認できました。
2.デバイス構成プロファイルの作成
Intuneでデバイス構成プロファイルを作成し、会社管理の端末を制限します。
※設定後の表示や挙動については目次3をご参考ください。
今回は、Microsoft の公開情報「iOS/iPadOS 監視デバイスのセキュリティ構成の例」を参考に、セキュリティレベル3の強固なセキュリティ構成を設定します。
iOS/iPadOS 監視対象デバイスのセキュリティ構成 – Microsoft Intune | Microsoft Learn
<設定一覧表>
1.「デバイス」をクリックします。
2.「デバイスの管理」のタブより「構成」をクリックします。
3.「作成」をクリックし、「新しいポリシー」を選択します。
4.「プラットフォーム」のタブより「iOS/iPadOS」を選択します。
5.「プロファイルの種類」のタブより「テンプレート」を選択します。
6.「デバイスの制限」を選択し、「作成」をクリックします。
7.プロファイル名を入力し、「次へ」をクリックします。
8.「アプリ ストア、ドキュメント表示、ゲーム」の設定項目を開きます。
9.以下の項目を「はい」に設定します。
——————————————————————————————————————-
デバイスの自動登録
・App Store をブロックする
・成人指定の音楽、ポッドキャスト、iTunes U の再生をブロックする
・Game Center の友達の追加をブロックする
・Game Center をブロックする
・Game Center でのマルチプレイヤーゲームのブロック
・ファイル アプリでのネットワーク ドライブへのアクセスをブロックする
——————————————————————————————————————-
10.「組み込みアプリ」の設定項目を開きます。
11.以下の項目を「はい」に設定します。
————————————————————————————————————-
すべての登録の種類
・Siri をブロックする
デバイスの自動登録
・iTunes ストアをブロックする
・”友達を探す” をブロックする
・”友達を探す” の設定をユーザーが変更することをブロックする
・Safari の自動入力をブロックする
————————————————————————————————————-
12.「クラウドとストレージ」の設定項目を開きます。
13.以下の項目を「はい」に設定します。
—————————————————————————————————————–
デバイスの登録とデバイスの自動登録
・Handoff をブロックする
デバイスの自動登録
・iCloud バックアップをブロックする
—————————————————————————————————————–
14.「接続デバイス」の設定項目を開きます。
15.以下の項目を「はい」に設定します。
————————————————————————————————————
デバイスの登録とデバイスの自動登録
・AirPlay 送信要求のペアリング パスワードが必須
・Apple Watch によるロック自動解除を禁止する
デバイスの自動登録
・AirDrop をブロックする
・非 Configurator ホストとのペアリングをブロックする
・AirPrint をブロックする
————————————————————————————————————
16.「全般」の設定項目を開きます。
17.以下の項目を「はい」に設定します。
—————————————————————————————————————–
すべての登録の種類
・スクリーンショットと画面録画をブロックする
デバイスの自動登録
・アカウント設定の変更をブロックする
・ユーザーがデバイス上のすべてのコンテンツと設定を消去することを禁止します
・構成プロファイルの変更をブロックします
・アプリの削除をブロックする
・日付と時刻の自動設定を強制する
・VPN の作成をブロックする
・eSIM 設定の変更をブロックする
—————————————————————————————————————–
18.「パスワード」の設定項目を開きます。
19.以下の項目を設定します。
——————————————————————————————————————-
すべての登録の種類
・パスワードを必須にする:はい
デバイスの登録とデバイスの自動登録
・デバイスがワイプされるまでのサインイン失敗回数 :5
・パスワードの有効期限 (日数):365
・前のパスワードを再利用できないようにする:5
デバイスの自動登録
・パスワード オートフィルをブロックする:はい
——————————————————————————————————————-
20.「ワイヤレス」の設定項目を開きます。
21.以下の項目を「はい」に設定します。
——————————————————————————————————————
デバイスの登録とデバイスの自動登録
・デバイスがロックされている間は音声ダイヤルをブロックする
——————————————————————————————————————
22.「次へ」をクリックします。
23.「グループを追加」をクリックします。
24.割り当てるグループにチェックを入れ、「選択」をクリックします。
25.「次へ」をクリックします。
26.「作成」をクリックします。
27.プロファイルが正常に作成されました。
3.プロファイル適用後の制限状態
構成プロファイルの適用後、会社管理の端末に対してどのような制限がかかるのか確認していきます。
※Microsoft公開情報:Microsoft Intune | Microsoft Learn
| 設定項目 | 挙動 |
| アプリ ストア、ドキュメント表示、ゲーム | |
| App Store をブロックする | 新しいアプリのインストール不可 |
| 成人指定の音楽、ポッドキャスト、iTunes U の再生をブロックする | 音楽・ポッドキャスト・iTunes U の成人指定コンテンツが再生不可 |
| Game Center の友達の追加をブロックする | 友達追加の機能を制限 |
| Game Center をブロックする | Game Center の利用を制限 |
| Game Center でのマルチプレイヤーゲームのブロック | オンライン対戦などの機能を制限 |
| ファイル アプリでのネットワーク ドライブへのアクセスをブロックする | 外部のファイルサーバーへのアクセスを制限 |
■1.App Store をブロックする [▦]
設定後、「App Store」のアプリ自体、表示されなくなります。
■2.成人指定の音楽、ポッドキャスト、iTunes U の再生をブロックする [▦]
<ポッドキャスト>設定後、成人向けコンテンツに指定されているエピソード(Eのマーク)は、視聴が制限されます。
■3.Game Center の友達の追加をブロックする [▦]
設定後、Game Center の友達追加機能がブロックされます。
※画像はAIで生成した、設定後のイメージ図です。
■4.Game Center をブロックする [▦]
設定後、「Game Center」の項目が表示されなくなります。
■5.Game Center でのマルチプレイヤーゲームのブロック [▦]
設定後、Game Center のマルチプレイヤー機能がブロックされます。
※画像はAIで生成した、設定後のイメージ図です。
■6.ファイル アプリでのネットワーク ドライブへのアクセスをブロックする [▦]
設定後、「サーバへ接続」の項目が表示されなくなります。
| 設定項目 | 挙動 |
| 組み込みアプリ | |
| Siri をブロックする | Siriの起動をブロック |
| iTunes ストアをブロックする | 音楽・映画などの購入をブロック |
| “友達を探す” をブロックする | 位置情報共有機能をブロック |
| “友達を探す” の設定をユーザーが変更することをブロックする | 位置情報の共有設定の変更をブロック |
| Safari の自動入力をブロックする | ブラウザでの個人情報(住所・氏名・電話番号・クレジットカード情報など)自動入力をブロック |
■7.Siri をブロックする [▦]
設定後、「Siriに話しかける」の項目がグレーアウトします。
■8.iTunes ストアをブロックする [▦]
設定後、「iTunes」のアプリ自体、表示されなくなります。
■9.”友達を探す” をブロックする [▦]
設定後、「人を探す」の項目が表示されなくなります。
■10.”友達を探す” の設定をユーザーが変更することをブロックする [▦]
設定後、位置情報の共有設定の項目が表示されなくなります。
■11.Safari の自動入力をブロックする [▦]
設定後、「自動入力」の項目がグレーアウトします。
| 設定項目 | 挙動 |
| クラウドとストレージ | |
| Handoff をブロックする | 他のAppleデバイスとの連携をブロック |
| iCloud バックアップをブロックする | iCloudへのデータバックアップをブロック |
■12.Handoff をブロックする [▦]
設定後、「Handoff」の項目が無効化され、「オン」に切り替えることができなくなります。
■13.iCloud バックアップをブロックする [▦]
設定後、「iCloud」の項目がグレーアウトします。
| 設定項目 | 挙動 |
| 接続デバイス | |
| AirPlay 送信要求のペアリング パスワードが必須 | AirPlay送信(ほかの機器に画面や音声を送信)時にパスワード入力を必須化 |
| Apple Watch によるロック自動解除を禁止する | Apple Watchでの自動ロック解除を制限 |
| AirDrop をブロックする | デバイス間のファイル共有機能をブロック |
| 非 Configurator ホストとのペアリングをブロックする | Apple Configuratorで監視されていないデバイスへの接続をブロック |
| AirPrint をブロックする | プリンターへの印刷をブロック |
■14.AirPlay 送信要求のペアリング パスワードが必須 [▦]
設定後、 AirPlay送信(他の機器に音声・映像・画面を送る機能)使用時に毎回パスワード入力が求められます。
※画像はAIで生成した、設定後のイメージ図です。
■15.Apple Watch によるロック自動解除を禁止する [▦]
設定後、「Apple Watchでロック解除」の項目が無効化され、「オン」に切り替えることができなくなります。
■16.AirDrop をブロックする [▦]
設定後、AirDropの「連絡先のみ」と「すべての人(10分間のみ)」の選択が無効化され、ファイルの受信ができなくなります。※送信も同時にブロックされます。
■17.非 Configurator ホストとのペアリングをブロックする [▦]
設定後、iPhoneを接続しても、「このコンピューターを信頼しますか?」という確認メッセージが表示されず、デバイスとの接続ができなくなります。
■18.AirPrint をブロックする [▦]
設定後、「プリント」の項目が表示されなくなります。
| 設定項目 | 挙動 |
| 全般 | |
| スクリーンショットと画面録画をブロックする | スクリーンショットと画面録画をブロック |
| アカウント設定の変更をブロックする | 個人情報やサインインとセキュリティなどの変更をブロック |
| ユーザーがデバイス上のすべてのコンテンツと設定を消去することを禁止します | ユーザーによるデバイスの初期化を制限 |
| 構成プロファイルの変更をブロックします | 設定画面よりプロファイルの変更・削除をブロック |
| アプリの削除をブロックする | インストール済みアプリの削除をブロック |
| 日付と時刻の自動設定を強制する | 日付と時刻の自動設定を強制 |
| VPN の作成をブロックする | VPN構成の追加をブロック |
| eSIM 設定の変更をブロックする | eSIM(デジタルSIM)の追加をブロック |
■19.スクリーンショットと画面録画をブロックする [▦]
設定後、スクリーンショットが無効化され、画面録画の機能も制限されます。
■20.アカウント設定の変更をブロックする [▦]
設定後、「アカウント設定」の項目がグレーアウトします。
■21.ユーザーがデバイス上のすべてのコンテンツと設定を消去することを禁止します [▦]
設定後、「すべてのコンテンツと設定を消去」の項目がグレーアウトします。
■22.構成プロファイルの変更をブロックします [▦]
設定後、プロファイルの「削除」の項目が表示されなくなります。
■23.アプリの削除をブロックする [▦]
設定後、「アプリを削除」の項目が表示されなくなります。
※アプリを長押ししても「ホーム画面から取り除く」しか表示されず、アプリは削除できません。
■24.日付と時刻の自動設定を強制する [▦]
設定後、「自動設定」の項目が固定され、「オフ(手動設定)」に切り替えることができなくなります。
■25.VPN の作成をブロックする [▦]
設定後、「VPN構成を追加」の項目が表示されなくなります。
■26.eSIM 設定の変更をブロックする [▦]
設定後、「eSIMを追加」の項目が表示されなくなります。
| 設定項目 | 挙動 |
| パスワード | |
| パスワードを必須にする | デバイスにパスワード設定を強制 |
| デバイスがワイプされるまでのサインイン失敗回数 | サインインを5回失敗するとデバイスが初期化される |
| パスワードの有効期限 (日数) | デバイスのパスワードを365日ごとに変更するよう要求 |
| 前のパスワードを再利用できないようにする | 過去5回分のパスワード再利用を禁止 |
| パスワード オートフィルをブロックする | Safariやアプリでのパスワード自動入力機能をブロック |
■27.パスワードを必須にする [▦]
設定後、「パスコードをオフにする」の項目がグレーアウトします。
■28.デバイスがワイプされるまでのサインイン失敗回数 [▦]
設定後、「データを消去」の項目が固定され、「オフ」に切り替えることができなくなります。
■29.パスワードの有効期限 (日数) [▦]
設定した有効期限に近づくと、パスワードを変更するよう促す通知が届きます。
※画像はAIで生成した、設定後のイメージ図です。
■30.前のパスワードを再利用できないようにする [▦]
設定した回数分、過去に使用したパスワードは再利用できません。
※画像はAIで生成した、設定後のイメージ図です。
■31.パスワード オートフィルをブロックする [▦]
設定後、Safariやアプリのログイン画面でパスワードの自動入力が使えなくなり、手入力が必要になります。
※画像はAIで生成した、設定後のイメージ図です。
| 設定項目 | 挙動 |
| ワイヤレス | |
| デバイスがロックされている間は音声ダイヤルをブロックする | デバイスがロックされている間のSiriや音声操作をブロック |
■32.デバイスがロックされている間は音声ダイヤルをブロックする [▦]
設定後、「音声ダイヤル」の項目がグレーアウトします。
その他お困りごとも動画で解説!
