備忘録を兼ねて、あらためてIntuneでのiOS管理で使った内容についてまとめてみました。Office365は新しい機能が随時追加されてるのだけど、Intuneも同様に新しい機能が追加されます。気が付けば管理できる幅が広がっているのはありがたいのだけど、以前のドキュメントと内容が変わる箇所が出るのはお約束ですね。
〇〇ポリシーという言葉がいっぱいですが、順を追っていきましょう。
2020830 内容を組みなおししました。
1.デバイスの設定
1-1.デバイス構成ポリシー
1-2.iOS / iPadOS のソフトウェア更新ポリシー
2.アプリの設定
2-1.アプリ(アプリの配布や禁止)
2-2.アプリの構成ポリシー
3.デバイスの登録とコンプライアンスポリシー
3-1.デバイスの登録制限
3-2.コンプライアンスポリシー
4.条件付きアクセス
1.デバイスの設定
まずは、デバイスそのものの設定にかかわる箇所から。
1-1.デバイス構成ポリシー
パスワードの桁数は複雑さの設定、Wifiとか、インストール禁止アプリなどのデバイスそのものの設定を行うものです。証明書の配布や、VPNポリシーもここから設定できます。
Automated Device Enrollment (ADE ) と組み合わせると、iOSの「監視モード」も使える。監視モードでは、通常のMDMの設定ではできないような設定も可能になる。特に、「紛失時の位置情報を管理者が探す」機能を使うには監視モードが必須なので、この要件があるだけでも ADE 必須ですね。
※ADE …以前はDEPという名前だった。[ ADE Apple ]で検索しても違う意味のものが出てくる。ややこしい。
1-2.iOS / iPadOS のソフトウェア更新ポリシー
ミニマムバージョンを強制するポリシー。たとえば、13.5をミニマムバージョンに設定して、それ未満の場合は強制でアップデートさせることができる。
意識してアップデートしてくれるユーザーばかりだといいんですが、そうでないユーザーもやっぱりいますから強制させるには必須だと思います。ただし、監視モードが必須。
アップデートを遅らせるポリシー、アップデートを禁止するポリシーはありません。ただ、最大90日、ユーザーへの通知を遅らせる機能は別にあります。ただし、ブロックできるわけでもないんですよね。
2.アプリの設定
デバイスの設定のつぎは、アプリに関する設定にかかわる箇所を。
2-1.アプリ(アプリの配布)
デバイスにアプリをインストールさせる機能。たとえば、TeamsとEdgeは強制インストール、など。
インストールさせたいアプリアプリごと・グループごとに、強制あるいは任意インストールを設定できる。また、アプリを配布するOSミニマムバージョンを設定できる。13以降のデバイスだけに強制配信、とかも可です。特定URLへのショートカットを配布することもできます。
アプリインストールを禁止する設定はデバイス構成ポリシーで行います。
またVPPというアプリ購入・配布方法を使えばAppleIDがなくても配布できたりします。
2-2.アプリの構成ポリシー
インストールした後のアプリに対し、設定を行う機能。たとえば、Edgeのブックマークを管理者が強制で設定する、なども可。
アプリによっては、初回起動時にパラメータを設定しなければならないケースもありますが(対象URLやアカウントとか)、この方法でスキップさせることも可能です。
2-3.アプリ保護ポリシー
対象のアプリを開く際にPINを強制したり、許可したアプリ以外にファイルやテキストをコピーを禁止する制御を行う機能。たとえば、Outlookのメールをコピーしても、Safariにはペーストできなくする、などができます。
適用できるアプリはM365系を除けばまだごく一部。Adobe AcrobatやZoomなどは対応していると書かれていますが、このリストにないアプリでもFoxitのように対応しているケースもあるようです。
3.デバイスの登録とコンプライアンスポリシー
デバイスの設定もアプリの設定も行ったら、認証認可にかかわる箇所を。
3-1.デバイスの登録制限
UPN1つ当たりデバイスの登録できる台数を制限できる。たとえば、最大5台まで、最大2台まで、とかも可能。
そもそもデバイス登録できる種類も設定できるので、iOSは使ってない、Andoroidを使ってない、なんてケースの場合はデバイス登録アクセス自体をブロックできる。あくまでデバイス登録できないだけなので、この後の条件付きアクセスと組み合わせて考える必要があります。
3-2.コンプライアンスポリシー
組織側で定めたポリシーを満たしているかどうかを判定します。たとばデバイスのパスコードがデバイス管理ポリシーの要件を満たしているか、決めた日数の間にアクセスがあるか、などを判定し、「準拠している」「準拠していない」を判定します。
準拠していない場合は、ユーザーにアラートを送るとかデバイスをワイプする、なども可能です。
4.条件付きアクセス
Intuneの機能ではなく、Azure ADの機能であるけど、「あるグループのユーザーが、あるアプリ(たとえば、Office365)に、あるOSデバイス(たとえばiOSデバイス)からアクセスする場合、特定の条件を満たす場合のみ許可する」というルール設定を行って、認可を制御できます。
たとえば、
・iOSからのOffice365へのログインの場合
・コンプライアンスポリシーに準拠しているデバイスで、
・かつデバイス登録されているデバイスからのアクセスで、
・かつアプリ保護ポリシーで保護されているアプリからの場合は、
認可する、なんてことが制御できます。
細かい制御があれこれできますが、適用対象外のケース(適用対象のグループに所属していない、適用対象のOSでない場合、など)への対応を踏まえて設計しましょう。
まとめ
iOSでの管理についてまとめてみました。WindowsやMac、Androidでもできるらしいのですが私はほとんど触ってません。
これらのポリシーは、ADのセキュリティグループ単位で設定できる。セキュリティグループごとにどのポリシーを割り当てるかというマトリクス表を作っておけば管理もラクになりそうです。