※念の為、モバイルデバイス管理担当者への注意喚起の記事となります、悪用しないでね※
用意するもの:
- 監視対象でアプリのインストール・Appストアの利用を禁止しているiOS端末(端末A)
- Appストアから個人Apple Accountで好き勝手にアプリをインストールしたiOS端末(端末B・種別は同じに!)
- iTunesをインストールしたWindows PC若しくはApple ConfiguratorをインストールしたMac
手順:
- 端末BをiTunesまたはApple Configuratorでバックアップする
- 端末Aを端末Bのバックアップから復元する
- 起動してきたらMDMにチェックインし直す
- 端末Bにインストールされていたアプリのアイコンが並んでいるのでどれかタップする
- Apple Accountの入力を求められるので端末Bと同じものを入力する
- インストールの完了を待つと禁止アプリが使える\(^o^)/
※但しアップデートできない為いずれは使用できなくなる
防ぐ方法の例:
-
構成プロファイルの制限ペイロードなどでホワイトリスト方式で使用できるアプリを限定する
-
許可アプリ以外のインストールをアラート通知するようになどしてインストールが発見されたものをブラックリスト登録する
→いずれも内部的にインストールされた状態にはなり、MDMのデバイス情報などにはインストールアプリとして許可外のアプリが表示されますがアイコンが表示されず起動できません。 -
構成プロファイルでApple Configurator以外とのペアリングを禁止する
→管理用のMacが必要・機種変更時にiTunesでのデータ移行ができなくなる(例外対応時は許可設定するなら別・ただ事故が起きるのはユーザーで非監視対象→監視対象端末に機種変を行う時なので……)・またペアリングしていないホストでのリカバリーモードを許可しないと起動しなくなった時にユーザーで解消できず厄介かも
防げない設定の例:
構成プロファイルの制限ペイロードで下記を禁止
- アプリのインストール
- アプリの自動ダウンロード
- アカウント設定の変更
→いずれも不可です。
この辺Appleの法人サポートやMDMの開発元もあまりわかってない印象
その他小ネタ
https://developer.apple.com/jp/help/app-store-connect/test-a-beta-version/invite-external-testers/
に「管理対象Apple Accountは、ビルドのテストに使用できません。」と書いてあるのですが、実際は使用できます。
鵜呑みにして使用できないと書いてある記事も幾つかありますが……
エンタープライズiOS研究所さん
https://www.micss.biz/2024/06/10/7129/
では使用できるとちゃんと書いてありますね。流石です。