Edited at

【MDM】AppleID / iCloud / AppStore問題

More than 3 years have passed since last update.


前回

http://qiita.com/nakamuras/items/e23e8f98d29002a09c75

上記で書いたMDM導入について、AppleIDの問題が生じたので備忘録としてメモ

※Apple IDは個人で使うことを目的として作られたものですので

Apple IDの仕様の問題を指摘する記事ではありません。

※Apple Configurator使えばいいじゃん という意見があると思いますが

今回はApple Configurator ⇢ MDMへの移行段階での記事です。

あくまでApple IDを会社で管理・使用しようとする際の注意点としてお読みください。


AppleIDを会社で管理・使用する際の問題点


Apple IDとは何か

Apple IDは、Apple製品を使う際に"だいたい"必要になるIDです。

例えば、iPhone / iPad / Mac / iPodなどを利用する際には必ず必要となります。

これ、結構面倒臭くてネットでも結構トラブってる方を見かけます。

登録には以下の情報が必ず必要になってきます。

・名前

・生年月日

・郵便番号

・住所

・電話番号

・メールアドレス(AppleのiCloudメールアドレスを発行する事もできる)

上記は、登録の際に限らずAppStoreからアプリを最初にダウンロードする時にも求められます。


Apple IDを会社で管理する

会社支給のiPhoneやiPadなどを利用する場合、アプリケーションのインストールやセットアップなどで

必要となるApple IDですが、これを会社で管理するというのは意外と難しい事が判明しました。

リスクレベルも異なりますし、ユースケースも異なる問題が多いので箇条書きでまとめてみました。


❏ Apple ID作成にはメールの受信環境が必要

Apple IDを既存のメールアドレスで登録する場合には、必ず必要となるのが

"メールの受信環境"です。

会社支給のiPhoneに限らずPCでも構わないのですが、確認コードが発行されますのでこの手順は避けられません。

更に、作成するApple IDが社員に対しパーソナルな物であった場合は各自メールを受信出来る環境

またはApple IDを作成・登録できる状況にある社員及び ヒト がやらなければなりません。

情シスとしては上記は大きな課題になる可能性があります。

これは、Apple ID作成の対象となる社員がそれぞれメールを受信しApple IDの作成手順を踏まなければいけないからです。


❏ Apple IDに対して制限ができない

iPhone / iPadは単体でも様々な機能を使うことが出来ますが、iCloudと一緒に使うことで

更に色々な機能が使えます。

例えば、電話帳の同期・iCloudバックアップ・フォトストリーム・iPhoneを探す などです。

iPhone / iPadなどには、機能制限や管理用プロファイルがあり操作を制限できますが、

iCloudの機能を制限できることと言えば、iCloudバックアップの無効化やフォトストリームの無効化などに限られます。

これは、逆に捉えるとユーザー次第で電話帳の同期が出来てしまうという事です。

言い換えると電話帳をiCloudのアカウントにアップロード出来るという事ですね。

この機能は、一般的には便利な機能として知られていますが

会社で管理する側としては、電話帳は個人情報ですので流出しては困ります。

なので、機能をオフにするというだけではエビデンス的によろしくありません。


❏ Apple IDや利用端末の監査ができない

複数のApple IDを管理する事はそもそも想定されていないようです。

その為、ユーザーがどのような動きをしているのかを監査する事はできません。

もし、自分のiPhoneや他の端末にApple IDを同期させたかどうかを確認したい場合は

100ユーザー居ると仮定した場合、100個のIDでログインし1つ1つ確認する必要があります。

但し、個々のIDにログインする事ができれば、サインイン中のデバイスを表示したり

サインイン中のデバイスを切断したりする事が可能です。

これにより、もし個別に監査をする場合は多大な工数に加え

そのApple IDのパスワードを知り得ておく必要があります。


❏ Apple IDをパーソナルなものにしておくメリットとデメリット

これまでは不可能な事、注意点にフォーカスして書きましたがメリットも有ります。


◆メリット


ユーザーで管理してもらえるので、管理側の手間が減る

これは、ID/パスワードを管理側で保有しておく必要がなく

更に電話帳や写真データの同期を有効にする場合は、端末の変更があった場合や

紛失の際にもデータが残るというメリットがあります。


◆デメリット


リスキーすぎる

ユーザーが管理しなければならない情報レベルが高く、リスクが大きいという事です。

ユーザーが管理可能な情報は

・電話帳

・写真データ

・ボイスメモ

・メモ

・その他Appsのデータ

などなど、仕事で個人情報や機密情報を扱う際には最も流出してはならない分類のものです。

前回書いたMDMと併用したとしても、この情報の管理をユーザーにまかせる事は不可能に近い不可能です。


結果


Apple IDは会社で管理・使用するのにトコトン向いていない

ということです。

そもそも、Appleデバイスを会社で利用する際には上記注意点が湧いて出てきますね :sweat: