Merakiで行う家庭モバイルデバイス管理

はじめに

この記事はシスコの有志による Cisco Systems Japan Advent Calendar 2023 の 3日目として投稿しています。

• 2017年版: https://qiita.com/advent-calendar/2017/cisco
• 2018年版: https://qiita.com/advent-calendar/2018/cisco
• 2019年版: https://qiita.com/advent-calendar/2019/cisco
• 2020年版: https://qiita.com/advent-calendar/2020/cisco
• 2020年版(2枚目): https://qiita.com/advent-calendar/2020/cisco2
• 2021年版: https://qiita.com/advent-calendar/2021/cisco
• 2021年版(2枚目): https://qiita.com/advent-calendar/2021/cisco2
• 2022年版(1,2): https://qiita.com/advent-calendar/2022/cisco
• 2023年版: https://qiita.com/advent-calendar/2023/cisco <=== ここ

これはなに？

我が家には、小学校五年生の息子、小学校三年生の娘がいます。各家庭の方針などあるかと思いますが、僕はタブレットやパソコンなどを子ども達に自由に使えるように与えまくって与えています。あんまり使ってないみたいですけど(>_<)

一方で、奥さんは、子ども達が知らず知らずにインターネットの闇に触れてしまったり、事件に巻き込まれたりすることを懸念しているようで、厳密な管理と制限が必要である、と（暗黙に）主張してきます。ここ、無言の駆け引きが発生している、家庭内緊張ポイントの一つです。

家庭内IT担当である私は、ポリシー担当である奥さんの要件を実現すべく、夜な夜な Microsoft Family Safetyと格闘しながら子ども達のWindowsアカウントを管理したり、Kindleのキッズプロファイルを管理したりと、やり過ごしています。この辺りを日頃から真摯に頑張っておくと、僕のガジェットが少々増えようが、Black Fridayで毎日段ボール箱が到着しようが、たぶん安泰なはずです。

そんなある日、奥さんから、「そろそろ息子くんに、携帯があると便利なんだけど（何とかしろ）」いう要件がきました。

奥さんにヒアリングをしてみたところ...

• Must: 子どもが使える電話機能
• Must: 子どもが友達とやり取りできるSMSまたはiMessage的なもの
• Must: カメラは禁止
• Must: ブラウザも禁止
• Nice-to-Have: なんならユーティリティ系もなるべくない方がいい
• アプリ追加や課金は論外

最初は、いわゆるキッズ携帯的なものも話題に上がりましたが、とりあえず「SIMフリーのiPhoneとか転がっているやつに、ゴツいケースを付けて渡せば良くない？」と僕が押し切りました。子どもに持たせるとはいえ、低速で質感もたいしたことない携帯を新規で契約することにすごく抵抗があったのですよね。。。（今は良くなっているのかもしれません、あくまでもイメージです）

iPhoneなのに、カメラやブラウザを禁止するのはどうなのか？というのもあるし、まぁ追々なんとかしてあげよう、年度が上がるとゲームを解放するとか、そういうネタにも使えるかも、とかすでに僕の中で妄想が始まっていたのもあります。

Apple Family Memberとスクリーンタイム

さて、色々と調べていくうちに、Apple Family Memberとスクリーンタイムの機能を使って、子どもアカウントのiPhoneの監視と、ある程度の制限ができることがわかりました。ペアレンタルコントロールを使って、多少のコンテンツ制限もできそうです。

これだけでもけっこう威圧感があり、十分有用なのですが、我が家の要件には少し届かない。このままではiPhoneの許可が出ません...。

実はこの段階で、去年のアドベントカレンダーの記事「Cisco Meraki の System Manager 機能を使ってみた」を覚えていたので、我が家もMeraki MDMを導入しようと思っていたのでした。ちょうど仕事の勉強にもなるし、一石二鳥ですね。

Meraki Systems Manager 導入

早速、我が家で使えるかテストしてみました。
※大まかな設定の流れは、Cisco Meraki の System Manager 機能を使ってみたを参照。

無事にクラウドダッシュボードから端末が見えて、色々とポリシーを作れそうに見えるのですが、どうも一部のポリシーがうまく更新されない。調べてみると、iOS Supervised Modeというのに変更しないと使えない機能が多いようで、企業や学校では当たり前に使われているとのことでした。これだけでも学びがありました。（MDMな方にとっては当たり前なのでしょう）

※iOS Supervision

デバイスの監視は、Systems Manager のような EMM ソリューションに iOS デバイスを登録する際に理解すべき重要な概念です。iOS デバイスを監視することで、Systems Manager は、デバイスを単一のアプリにロックしたり、ホームスクリーンレイアウトを指定したり、iMessage などの追加アプリへのアクセスを制限したりするなど、多くの追加デバイス設定を管理できるようになります。
デバイスが組織の所有物である場合、またはデバイスをより深いレベルで管理したい場合は、通常、デバイスを監視モードに登録することをお勧めします。デバイスを監視モードにするには、デバイスを新規に設定するか、既存のデバイスを工場出荷時の状態にリセットする必要があります。

私が該当していたのは、こちらのエラーでした（マニュアルからスクショ↓）。デバイスを監視モードに変更する必要があり、工場出荷状態にリセットが必要とのこと。また、Apple Configuratorなるアプリを使うと手元でも簡単にできそうであることがわかりました。

Apple Configurator

これですね。

Apple Configuratorの使い方はここでは解説しませんが、スムーズに「監視対象」モードに変更できました。どうでもいいけど、日本語訳が一般用語過ぎて直感的にわかりにくいですね。

※こちらのサイトも参考にさせて頂きました。
https://www.micss.biz/2020/11/23/2499/
https://www.micss.biz/2021/01/04/2659/

Meraki Systems Managerに登録

改めて登録。「スーパーバイス：はい」というのが、監視モード有効になっている印です。いい感じです。

Systems Managerから、端末に対していろいろな命令や設定、監視が行えるようです。

• 設定
  • プロファイルを作成する。様々な制御を定義してデバイスに適用しプッシュ。Merakiから壁紙を変えたりホームスクリーンのレイアウトをプッシュするなど、楽しそう。ここの設定を追い込んで行くことで今回の要件はクリアできそうです。
• ポリシー
  • 期待してチェックしたが（実用上は大切だが）あまりグッとくる設定は無し。
• ジオフェンシング
  • ある一定の領域から外に出ると、アラートを出せるなど。子どもの行動範囲を能動的に確認せずにアラートを受信する手段として使えるかも。
• アラート
  • セキュリティポリシーやジオフェンシングをトリガーにWebhookを発行できる。せっかくエンドポイントの情報をたくさん持っているので、もっとトリガーできる要素が増えれば、エンドポイントのメタデータの状態遷移をトリガーにネットワークコントローラーに命令を送るなど、ネットワークが端末に連動して動的に変化する世界が見えてきますね。
    あたりがすぐに使えそうですね。

設定

行った設定は以下：

• プロファイル

  • 端末の属性に応じたタグ付けを行い、プロファイルを動的に割当てられる。台数が増えてきた時に便利。

• 制限

  • 今回のメイン。アプリの利用制限や、表示させるアプリ、操作の制限などが定義できる。
  • カメラやゲーム機能の制限、ストア関連の制限、非表示アプリの設定などを定義。細かすぎてよくわからない部分もあり、深掘りが必要。
    

• プライバシー＆ロック

  • 位置情報やアクティベーションなど。

• ウォールペーパー

  • ロック画面とホーム画面の壁紙をプッシュできる。
  • この威圧感😃
  • 時々壁紙を変えてあげよう。
  • （ちなみにこの1984的世界観は僕はまったく好きではなく、あくまでもネタということで）
    

• ホームスクリーンレイアウト

  • iPhoneのアイコンレイアウトをプッシュできる。
  • RFIの要件的にミニマルレイアウト。
  • 音楽くらいは自由に聞かせてあげよう！（Apple Music Familyをアカウントにシェア）
  • 株価を眺めて研究して欲しい、という意味で株価アイコンは残してます。
    

ジオフェンシング

• 使い方が合っているのかよくわかりませんが、日常の行動範囲を広めに指定。電車で学校とか行くようになれば、もうちょっと面白い使い方ができそうですが、まずは様子見です。
• あまり監視したくないですけどね。
  

完成

小学校五年生向けのキッズiPhoneのモックができました。（我が家向けカスタム仕様）

• スクリーンタイムやペアレンタルコントロールでベースラインを設定
• カメラやApp Storeなどはすべて無し
• ブラウザ（Safari）も無し
• メインは電話とiMessage
• 天気、コンパス、メモ、ボイスレコーダー、株価、マップ、クロックが入った監視付きミニマルiPhone
• どうしても「フィードバック」アイコンが消せず...無念

完成した端末を、まずは家庭内でデモしたところ、合格！！奥さんからは好評！長男は、まずコンパスで大興奮（そこ！？）。Meraki MX/MR/MS/Camera/Insightなどなど、我が家ではもう8年くらいMerakiを使っていますが、これからは本格的にSystems Managerも仲間入りしそうです。

• 子どもにiPhone 11 Pro Maxはちょっと勿体ないので、もうちょっと手頃なやつをメルカリとかで探しますかね。
• 学年があがるにつれて、使えるアプリを増やすなどのご褒美にも使えるかもしれない。（ロックを解除〜的な感じで）
• こういう監視的なやり方はあまり好きじゃないのですけどね（二度目）

その他

• 大量のエンドポイントを効率よく監視・管理しながら、セキュリティも提供するMDMソリューションですが、ネットワーク屋の自分としては、エンドポイントから取得したデータを元にネットワークが自動連動する、という最近ホットなテーマにMeraki SMももっと関わっていくと面白いと考えています。
• エンドポイントやユーザーの認証や、端末のプロファイリング、トラフィックパターンのAIによるクラスタリングからのラベリングなどに応じたネットワークポリシーの自動適用というのは既に実用化されていますし、その文脈で、MDMをもっと連携させたソリューションを作っていけたら面白いな、と思っています。
• シスコの製品でいうと、Cisco Secure Client（ThousandEyesのEndpoint Agentを含む）が有望かなと思いますが、Meraki中心の場合はMeraki SM Appがインストールされることになりますし、この辺りももう少し整理統合し、エンドポイントの属性やデータをネットワークやクラウドポリシーに反映させられるとカッコイイですね。
• MerakiクラウドダッシュボードにCatalystシリーズの監視が統合されていくことも既に発表されていますし、一部の実装は既に展開されています。エンドポイントのメタデータやIDも含めたネットワークポリシーが、すべてダッシュボード上からできる日が見えてきましたね！

Meraki Systems Manager APIs

ざっとMeraki SMのAPIを眺めてみましたが、端末のワイプやアプリのインストールなどの制御系と、セルラートラフィックの監視といったデータ監視、ユーザー情報なども取得できそうです。これらの情報は、企業組織内ネットワークの制御と絡めることもできますし、クラウドセキュリティやトラフィックステアリングに渡してゴニョゴニョといったことも面白いと思います。
https://developer.cisco.com/meraki/api-v1/checkin-network-sm-devices/

Cisco XDR へのテレメトリソース

最近のシスコの推しのソリューションの一つに、Cisco XDR (Extended Detection and Response)というのがあります。

Extended Detection and Response（XDR）は、ネットワーク、クラウド、エンドポイント、アプリケーション全体のデータを可視化し、分析と自動化を適用して、現在および将来の脅威を検出、分析、ハンティング、および修復します。
https://www.cisco.com/c/ja_jp/products/security/what-is-xdr.html

以下のデモサイトでは、エンドポイントのテレメトリとして、CrowdStrikeやAMPなどがフィーチャーされていますが、この辺にMeraki SMも連携してくるらしいので、ライトなユーザーさんでもMeraki SMとパブリッククラウドを使いまくっている環境において、Cisco XDRを挟み込んだセキュリティの強化みたいな提案もできるかもしれません。拡がりがあって良いですね！

まとめ

ネットワークサービスも端末もどんどん高度になり、大人が遊ぶには楽しくて仕方がない今日この頃ですが、同時に子ども達に利便性と安全性・健全性を担保してあげるのは難しい課題ですし、ITがあるが故の痛ましい事件などを見かけると悲しくて目を背けたくなります（ITなんて無かったら良かったのに..と思ってしまう瞬間があるのも事実）。

学校のIT化には大賛成ですが、モラルやリテラシー教育と並行して、シンプルでシステマチックに子ども達を守る仕組みにも興味があります。自分が出来ること、もっとあるのではないか？と日々考えていますが、こういうのはだいたい飲み会のネタとしては尽きない話題なので、他にいいソリューションがあるよ！という方は、ぜひ個別に教えてくださいませ。

なんだかんだで、Merakiで遊びたかっただけなのですけどね😃

それでは、アッという間に2023年も終わりに近づいていますが、引き続きクリスマス🎄までのカウントダウンをお楽しみ下さい！ここまで読んでくださったみなさま、どうもありがとうございます。

免責事項

本サイトおよび対応するコメントにおいて表明される意見は、投稿者本人の個人的意見であり、シスコの意見ではありません。本サイトの内容は、情報の提供のみを目的として掲載されており、シスコや他の関係者による推奨や表明を目的としたものではありません。各利用者は、本Webサイトへの掲載により、投稿、リンクその他の方法でアップロードした全ての情報の内容に対して全責任を負い、本Web サイトの利用に関するあらゆる責任からシスコを免責することに同意したものとします。