組織のiPadを管理している人を恐怖のどん底に追い落とすような、恐ろしい情報が‥。
iPad 上の iOS13 の挙動変更により Azure AD 条件付きアクセス ポリシーの動作に影響が生じる
Appleの仕様変更で、iPadを13にバージョンアップすると、Safariとかネイティブメーラーは、MacOSとみなすぜ!なので準備してね!ということらしい。
そうなっちゃうと、認証とセキュリティポリシーが影響受けそう。下手すればログインできなくなるとか、セキュリティポリシーの適用外になりかねない。
認証の構成やセキュリティポリシーの適用から、iPadのOSバージョンを12にとどめておきたい。せめて無期限とは言わなくても、検証する間だけでもいいから、ってことで調べてみた。
#ざっくり
Intuneだとこの記事が一番わかりやすい。
Microsoft Intuneで iOS のアップデートを制限する
設定手順の紹介もあるけど、こういうことらしい。
・iOS11.3移行
・監視対象デバイス
・OSのバージョンがリリースされて最長90日までは制限できる
・完全にブロックではなく、あくまで延期でしかない
2010918追記
ソフトウエアのアップデートの設定は上記の記事の通りでしたが、アップデートの延期は上記ではなく、デバイス構成プロファイル→iOS→デバイスの制限→全般、に移動してました。
#公式ドキュメント
いくつかひろってみた。
■Apple 管理対象のソフトウェアアップデートについて
iOS 11.3 以降、tvOS 12.2 以降では、MDM の管理者が、監視対象のデバイスに新しいソフトウェアアップデートが表示される時期を遅らせることができます。
iOS や macOS のソフトウェアアップデートを管理者が遅らせている場合は、管理者によって認められた最新のソフトウェアアップデートがデバイスで実行されているというメッセージが表示されます。
■Intune Intune に iOS ソフトウェア更新プログラム ポリシーを追加する
ソフトウェアの更新ポリシーにより、監視対象の iOS デバイスに利用可能な最新の OS 更新プログラムを強制的に自動インストールします。 ポリシーを構成しているときに、デバイスで更新プログラムをインストールしない日時を追加できます。
この機能は、以下に適用されます。
iOS 10.3 以降 (監督下)
デバイスは約 8 時間ごとに Intune でチェックインされます。 更新プログラムを利用できて、制限時間中ではない場合、デバイスで最新の OS 更新プログラムをダウンロードしてインストールします。 デバイスを更新するために必要なユーザーの操作はありません。 ポリシーにより、ユーザーが手動で OS を更新できなくなることはありません。
10.3ってあるのは誤記?
■AirWatch iOS デバイス用の制限事項プロファイルの構成
このオプションを有効にし、ソフトウェアの更新を延期する日数を指定します。日数は 1 ~ 90 日の範囲です。(iOS 11.3 以降の監視モード デバイス)。日数は、ソフトウェアの更新がリリースされてからの期間です。プロファイルをインストールしてからの期間ではありません。
#荒っぽい方法
アップデート用のサーバーへのアクセスを、常時VPN構成+firewallでブロックという方法もあるらしい。
iOS バージョンアップを止める方法
※2014年の記事のようです。
#まとめ
外部認証サービス使ってたら、そっちの影響も考えなきゃいけない。
とりあえず、β版のiPad用意して検証&
ユーザーのデバイスは延期してその間に検証&対策検討、ですかね・・・。