デバイス管理の新機能

こんにちはDevice Managementチームの エンジニアリングマネージャー Mikeです 今日はAppleデバイスの管理に関する 今年の新機能を紹介します Appleの使命は 人々の暮らしを 豊かにするプロダクトを作ることであり 教育機関や企業における取り組みは それに不可欠なものであると考えています 世界中の学校やオフィスで あらゆる年齢層のユーザーの 学びや生産性を後押しするために Appleデバイスが活用されています 私たちは IT管理者が Appleデバイスを使うユーザーに 素晴らしい体験を簡単に 届けられるようにしたいと考えています このセッションでは Appleデバイスの導入と管理に役立つ IT管理者向けの新機能を紹介し MDMやID認証のソリューションに それらのアップデートを 実装する方法について説明します 最初に Apple Business Managerと Apple School Managerの 新機能を紹介し 続いて Appleプラットフォームの 更新された管理機能について説明します 最後に 教育機関向けのツールの 機能強化についてお話しします では Apple Business Managerと Apple School Managerから見ましょう IT管理者向けに無料で提供されている これらのWebベースのポータルは サードパーティのMDMソリューションと 連携しており デバイスの導入 インベントリの表示 アプリの一括購入 ユーザーアカウントの管理を簡単に行えます まずは導入についてです 自動デバイス登録を使うと IT部門が デバイスをユーザーに直接出荷し MDMへの登録から 設定環境のカスタマイズ 管理対象としての準備まで すべてをデバイスに物理的に 触れることなく行えます 自動デバイス登録は Mac、iPhone、 iPad、Apple TVに加え 今年発売の最新デバイスである Apple Vision Proでも利用できます visionOS 2.0では 現在の他のAppleデバイスと同じように IT部門が設定アシスタントで自動的に Apple Vision ProをMDMに登録できます 組織はVision Proを購入して Apple Customer Numberに関連付けると Apple Business Managerと Apple School Managerで Vision Proに アクセスできるようになります Device Assignment APIコレクションには Vision Proの値が追加されています Vision Proについては セッションの後半で詳しく説明します 自動デバイス登録には IT部門がさらに簡単に Appleデバイスを導入していけるよう 他にもアップデートが加えられています macOS 15では 自動デバイス登録のWeb認証で WebAuthNがサポートされます ASWebAuthenticationSessionを使うと 公開鍵暗号方式によって 登録のカスタマイズが簡単になり 安全対策としてセキュリティキーと パスキーもサポートされるので 規制の厳しい業界の組織に最適です 最後に 設定アシスタントの 新しいスキップキーや拡張については いつものように ドキュメントを参照してください 例えば iOSのWelcomeキーは macOSにも適用されるようになりました また 設定アシスタントペイロードの SkipSetupItemsの配列が macOSで受け入れられるようになりました Apple Business Managerと Apple School Managerでは 組織所有のすべてのデバイスを 一元的に確認できます 次に デバイスに関する 新機能を見てみましょう

この画面では 組織が所有する デバイスの全体像を確認できます Apple Vision ProとApple Watchが デバイスリストに表示されています Apple Vision Proと Apple Watchはどちらも 購入した時点で自動的に組織に追加できます Apple WatchのMDMへの登録は ペアリングのプロセスで行われますが Apple Business Managerと Apple School Managerには 組織所有のデバイスに利用できる 管理機能が他にもあります その1つがアクティベーションロックです 私たちは 多くのIT部門からよく聞かれる 問題の解決に着手しました アクティベーションロックは デバイスがワイプまたはロックされた時に デバイスが不正なユーザーに 使用されることを防ぐ機能です しかし アクティベーションロックを 無意識にオンのままにしておくと デバイスの再プロビジョニングが できなくなってしまう問題がありました Apple Business ManagerとApple School Managerでは 組織所有のデバイスについて アクティベーションロックを 解除できるようになりました 操作は簡単で 管理者がデバイスを選択してメニューを開き を 選択するだけです

この機能は 組織のデバイスであれば iPhone、iPad、Mac、Apple Watch、 Vision Proのいずれでも利用できます

また 組織とユーザーどちらの アクティベーションロックにも利用できます つまり 例えばMacの場合 MacをMDMに登録する前に ユーザーがアクティベーションロックを 個人のApple Accountで 有効にしていた場合でも そのロックを解除することができます

Apple Business Managerと Apple School Managerの 導入とデバイスに関する アップデートをいくつかご紹介しました 次はIDについてです 管理対象Apple Accountは 企業や学校のような組織における 使用を目的として 特別に作られたApple Accountです これにより 組織はアカウントと そのデータの両方を所有することができます これはあらゆる導入において重要な要素です 昨年 管理対象Apple Accountが 大幅にアップデートされ Appleの幅広いアプリやサービスが iCloudに対応するようになりました 連係 デベロッパ パスキーなどです 私たちは 管理対象Apple Accountを すべての組織に導入してほしいと考えており そのためにドメイン取得プロセスを 効率化し オプションも増やして すべてのアカウントが組織のドメインを 使用できるようにすることで 導入をいっそう簡単にするよう 取り組んでいます 現在 新しい管理対象Apple Accountを 組織のドメインで作成する場合は ドメインの確認が必要になりますが 個人のApple Accountでは このドメインを引き続き使うことができ それらは管理対象にならないため IDプロバイダに接続しない限り 新規のアカウントはブロックされ 管理対象でない既存のアカウントが ドメインから取り込まれます

今年から新たに ドメインで作成される 新しいApple Accountを 管理対象Apple Accountだけに制限するよう IT管理者が設定できるようになりました また 組織のドメインを使用している すべてのApple Accountを 組織の所有にして管理する場合は IDプロバイダに接続しなくても それらのアカウントを 取り込めるようになっています

現在は 組織のドメインを使用している Apple Accountを取り込むプロセスを 組織が開始すると ユーザーは別のメールアドレスを 選ぶように求められます それにより アカウント名が解放されて 再利用できるようになりますが これだと 管理対象Apple Accountを 作成する以前に アカウントが仕事用だけで いくつも作成されることになります そのため今年から 既存のアカウントを 管理対象Apple Accountに変換できる ユーザー向けのオプションが追加されました これによりアカウントが Apple Business Managerと Apple School Managerの組織に 自動的に追加されます 30日が経過してもユーザーが対応しなければ アカウントは個人用のままになり アカウント名が自動的に変更されます

Apple Business Managerと Apple School Managerでは 組織向けの重要なツールであり IT部門はこれらの機能を使うことで 組織のデバイスの管理や 管理対象Apple Accountの使用を より簡単に行えるようになります Apple Business Essentialsでも これと同じ機能が提供される予定です 次は 管理対象デバイス向けの 新機能を見てみましょう すべてのプラットフォームに共通する作業に ソフトウェアアップデートの管理があります

デバイスを最新の状態に保つことは 組織環境でデバイスを 管理する上で欠かせません 昨年は アップデートを特定の日時に 強制適用する機能を発表しました 今年は ソフトウェアアップデート設定の 新しい構成が導入されています 従来のMDMソフトウェアアップデートの 管理コマンド、プロファイル、制限は すべてこれに置き換えられます この宣言は iOS／iPadOS 18および macOS 15以降を搭載した監視対象デバイスで ソフトウェアアップデートのあらゆる 側面の管理に使用できます 新しい機能としては 強制適用の1時間前までは 通知を表示しないように 通知の動作を変更する方法 再起動までのカウントダウン ベータ版アップデートの管理などがあります また 組織でのパブリックや AppleSeed for ITの ベータ版プログラムへの参加も かつてなく簡単に管理できます 最初のステップは 管理者の役割を持つユーザーの登録です Apple School Manager またはApple Business Managerで beta.apple.com/itから AppleSeed for ITに登録します デバイスは 組織のトークンを使って いつでもベータ版プログラムに追加できます ユーザーがApple Accountでに サインインしている必要はありません

プログラムで提供されるベータ版リリースは ソフトウェアのアップデートや アップグレードと同様 監視対象デバイスで 強制適用や延期が可能です

また 宣言型ステータスレポートが 見やすくなり 組織の管理対象デバイスについて ベータ版プログラムへの登録を 追跡できるようになりました

トークンの生成と取得が どのように行われるか見てみましょう まず Apple School Managerまたは Apple Business Managerで Apple School Manager またはApple Business Managerで beta.apple.com/itに登録します 次に その組織とシード期間に対する 一意のトークンが生成されます MDMはトークンを取得するために OSベータ版登録トークンエンドポイントを チェックして 利用可能な プログラムを見つけます 他のサービスエンドポイントと同様に MDMソリューションの認証には OAuthを使う必要があります 最後に プログラムトークンが Apple Business Managerと Apple School Managerに返され そこからMDMに返されます

デバイスを管理に登録した後は MDMソリューションでそのトークンを使って 監視対象のiPhoneやiPadのデバイスを 提供、登録、登録解除、ブロックできます これはベータ版プログラムから ベータ版辞書を使って ソフトウェアアップデートの 新しい宣言で行います さらに iOS／iPadOS 17.5および macOS 14.5以降ではベータ版プログラムを 設定アシスタントの自動デバイス登録の際に 設定することもできます 登録時 MDMソリューションは 403ステータスコードを含む HTTP応答を返して 特定のベータ版を強制することがあります 応答本文にはJSONまたはXML オブジェクトが含まれます

応答の本文に含めることができる RequireBetaProgram辞書には ベータ版プログラムを設定する 特定のキーが必要です ベータ版プログラムの説明を示す Descriptionと もう1つはTokenです

ベータ版プログラムに登録したデバイスには それ以降 ベータ版アップデートが提供されます 組織は利用可能な構成オプションを使って 様々なデバイスを リモートで各種の ベータ版プログラムに登録できます また ベータ版や公式版のリリースを 延期するオプションと組み合わせて 段階的なテストやロールアウトの アプローチを実装することもできます これはベータ版の最初の リリースから始まります ソフトウェアアップデートの管理の詳細は ソフトウェアアップデートの新しい ドキュメントで説明されています これはAppleSeed for ITから ダウンロードできます 次は Safariの管理に関する 新機能を見ていきます SafariはAppleデバイスに最適なブラウザで 業界トップクラスの速度と 長いバッテリー駆動時間を誇ります 今年の改良により IT担当者は アプリでのユーザーの活動を さらに簡単に管理できるようになります また iOS／iPadOS／macOSで Safari Extensionを 管理できるようになりました 新しいSafari Extensionの構成では 許可するExtensionを定義して ユーザーがオンとオフを 切り替えられるようにしたり Extensionを常にオンにするか 常にオフにするかを決めて IT管理者が必要なほうを 選べるようにしたり ドメインやサブドメインごとにExtensionの Webサイトアクセスを設定できるほか そのすべてを Safariプライベート ブラウズに対しても行えます

そしてもちろん 管理対象のExtensionは 視覚的にわかりやすいように 表示されます 次は Apple Vision Proを 見ていきましょう Vision Proは デジタルコンテンツを 現実の世界とシームレスに融合し 企業や教育の現場に 画期的な変化をもたらします 企業のユースケースはすでに 仕事の効率化 デザインのコラボレーション シミュレーションとトレーニング ガイド付き作業などの幅広い分野に 見られています 「Introducing enterprise APIs for visionOS」セッションでは 企業のお客様による さらに多くのユースケースを デベロッパ向けに紹介しています 大規模な導入をサポートするため Appleでは今年の初めに visionOS 1.1で Vision ProにMDMを導入しました IT部門にとって Vision Proの管理は 現在のiPhoneやiPadの管理と 同じようなものと考えてよいでしょう 現在と同じ 使い慣れたデバイス管理機能と インフラストラクチャを使用するからです

visionOS 1.1は 2種類の登録に対応しています デバイス登録とユーザー登録です どちらの種類の登録でも ユーザーは管理対象Apple Accountで サインインするだけです

設定アプリでから に移動し 「勤務先または学校のアカウントで サインインしてください」を選択します 管理機能について ユーザーが意識する必要はなく IT部門がデバイスについて 設定した内容が表示されます デバイス登録またはユーザー登録を 管理対象Apple Accountで使用すると iCloud Drive、メモ、リマインダーなどで データの分離も有効になります これは iCloud Driveでの データの分離の例です ユーザーの個人用のiCloud Driveが 会社のiCloud Driveとは 別に表示されています これは 管理対象Apple Accountに 関連付けられているものです テキストメッセージや写真などの 個人データは 組織所有のデバイスでも 常にプライバシーが保たれます

すでにお話ししたように visionOS 2.0 には登録の種類がもう1つあります 組織所有のデバイスについては 自動デバイス登録で デバイスに触れずに導入を行えます iPhoneやiPadと同じように 監視も有効になります 設定アシスタントでは ユーザーに新しい 画面が表示されます この画面はそれが 組織所有のデバイスであることを示すもので ユーザーはMDM登録を 完了するように求められます 登録後は IT部門が設定を行ったり アプリを導入したりもできます アプリの導入プロセスは iPhoneやiPadと同じで アプリをデバイスに直接導入し 管理対象にすることができます そしてMDMのデベロッパ向けに 「Apps and Books for Organizations API」に アプリのvisionOSとの互換性に 関する情報が追加されました 自動デバイス登録の他にも 今年はVision Proの管理機能が 大幅に拡張されています 新しい構成やペイロード 新しいMDMコマンドに加え 新しい制限もかなりあります visionOS 2.0は現在 ほとんどの 構成とペイロードに対応しており Passcode policy、Domains、Web Content Filterなどのペイロードも含まれます また 多くの新しいMDMコマンドもあります DeviceConfiguredやDeviceLockSettingsの 各種サブコマンドなどです さらに 関連する一般的な制限もあります Managed Open-Inの制限や アカウントの変更など ほとんどはiOSやiPadOSの場合と 同じように機能しますが allowCameraについては Vision Proのようなカメラ中心の デバイス向けに少し修正されています 例えば スクリーンショットを撮ると 背景が削除され アクティブなウインドウだけが キャプチャされます visionOS 2.0では Apple Vision Proの管理機能が拡張され MDMのほどんどのペイロード、構成、 コマンドに対応するようになりました Vision Proの管理は iPhoneやiPadの管理と同じくらい簡単です 次は Macについてです Appleでは昨年 サービス構成ファイルのインストール用に sudo PAM SSHなどを追加しました その上で 各自の構成ファイルに それらを利用するよう コミュニティを後押ししました 今年は 実行可能ファイルのサポートが サービス構成ファイルに加わっています 管理者はIT管理ツールや他のスクリプトを 改ざんの恐れがない場所にインストールし 同じzipアーカイブ形式に すべてまとめて配布できます さらに バックグラウンドタスクサービスの 構成を使った launchd構成ファイルのインストールも 可能になり IT部門が バックグラウンドタスクを簡単に 作成して制御できるようになりました これらも 改ざんの恐れがない 安全な場所に保管されます 規制の対象となる業界では どの外部データソースが Macコンピュータ上で使用可能かを 管理することが求められます 今年はさらに IT管理者が外部ストレージと ネットワークストレージを管理するための 新しいディスク管理構成を導入します 外部ストレージやネットワークストレージを すべて許可するか禁止するかを IT管理者が決めることができます マウントを読み取り専用のボリュームに 制限するかどうかも選択できます この新しい構成は すでに非推奨となり 今後のリリースで削除される予定の メディア管理ペイロードに代わるものです

プラットフォームシングルサインオン （プラットフォームSSO）を利用して macOSのログインウインドウにまで及ぶ SSO機能拡張を構築すれば ユーザーがローカルアカウントの 認証情報を IDプロバイダ（IdP）と 同期できるようになります

今年はプラットフォームSSOの機能が 拡張され IDプロバイダからの情報を さらに多くの 場所で活用できるようになりました IDプロバイダ認証では FileVaultのロックを解除できます FileVault ログインウインドウ そしてロック画面では IdP認証を必須にするように ログインポリシーで設定できます HPKEなど より強力なセキュリティ オプションも追加されています 構成の例を簡単に見てみましょう FileVaultログイン画面の FileVaultポリシーが AttemptAuthenticationに設定され この場合 次に進む前に IdP認証が試行されます サーバを利用できない場合も ユーザーが提供した認証情報が正しければ ユーザーはそのままログインできます スクリーンセーバからのロック解除を 制御するUnlockPolicyについては RequireAuthenticationが設定されています そのため スクリーンセーバからのログインは より制限されます 次に進むには 有効なIdP認証が必要ですが いくつか例外が指定されています ここではAllowOfflineGracePeriodが 設定されているので デバイスがオフラインの場合は OfflineGracePeriodを使って ユーザーが有効な認証情報で 続行できるかが判定されます また AllowTouchIDOrWatchForUnlockも 設定されているのがわかります これは IdP認証の代わりに 生体認証とWatchを使って スクリーンセーバのロックを 解除できることを意味します

最後に 補足ですが セクションの名前は に変わり の下に移動しています これはiPhoneやiPadに対応させたものです セクションも にあります 次に iPhoneとiPadの 最新情報を見てみましょう モバイル通信に関しては 様々な改良が加えられました まず eSIMの削除を防ぐ 2つの新しい制限を追加しました 1つ目は ユーザーがローカルで デバイスを消去した際に eSIMを強制的に保持することで eSIMが一緒に削除されるのを防ぎます 2つ目は eSIMの送信転送を許可することで 新しく設定したデバイスに eSIMを移行可能かどうかを制御できます ユーザーはQRコードを長押ししたり リンクをクリックしたりすることで 設定するデバイスの eSIMを設定できるようになるため ユーザーが自分のデバイスを構成するのが これまでよりも簡単になりました アプリに対してネットワークスライシングと アプリごとのVPNの両方が構成されている場合 管理対象アプリからのトラフィックは いずれも特定された5Gネットワーク スライスにルーティングされるので 引き続きVPN利用のメリットが得られます iOS／iPadOS 18は Private Cellular Networkの 複数のペイロードに対応し 最大5つのプライベート5Gまたは LTEネットワークの構成が可能になります iOS／iPadOS 18には ユーザー向けのコントロールとして Face ID、Touch ID、パスコードを 必須にしてアプリをロックしたり アプリをホーム画面で非表示にしたりできる コントロールがあります ユーザーによるそれらのコントロールの 使用については 組織が2つの方法で管理できます 監視対象デバイスのすべてのアプリについて ロックや非表示化を制限する方法と 管理対象のアプリについて ロックや非表示化を アプリ単位で制御する方法です アプリは非表示にすると 同時にロックされるため アプリをロックする機能を制限すると 非表示化も制限されます デバイス登録の際は 非表示のアプリもMDMで認識されます 同様に ユーザー登録の際は 非表示の管理対象アプリも MDMで認識されます

盗難デバイスの保護機能は iPhoneが自宅や職場など 使い慣れた場所から離れている際の セキュリティを強化します iPhoneが盗まれた場合でも 重大な操作が実行されないよう 1時間のセキュリティ遅延が 強制的に発生します 対象となる操作は MDMへの登録や Exchangeアカウントの手動追加のほか パスコード、宣言、Exchangeペイロードの 手動インストールなどです iOS 18で 新しく設定されたデバイスについては 使い慣れた場所以外で MDMへの登録を行っても 盗難デバイスの保護を 有効にしてから3時間は セキュリティ遅延が発生しないよう 特別な例外が追加されています

iOS／iPadOS 18以降では 独自の社内向けアプリを 新しいチームIDでインストールする場合 でIDを信頼することに加え 再起動することが必要になります この要件が適用されるのは MDMを使わずに インストールされる社内向けアプリだけです 新しいチームIDを使うたびに デバイスを1回再起動する必要があります iOS／iPadOS 18にアップグレードする前に 信頼されていたチームIDは そのまま移行されるため そのIDを使用するアプリが インストールされたままであれば 再起動は必要ありません 今日は多くのことを取り上げましたが プラットフォームの変更点は他にもあります iPhoneミラーリングや FaceTime遠隔制御の制限などです それらについては デベロッパ向け ドキュメントを参照してください 次に 教育機関向けに設計された 機能強化をいくつか見てみましょう Easy Student Sign-Inでは 教師が管理対象Apple Accountで iPadにサインインしていれば そのデバイスを使って 生徒を各自のデバイスに すぐにサインインさせることができます さらに iPadOS 17.4とmacOS 14.4で 導入された新しい機能では 教師が管理対象の Apple Accountを使用していれば アカウントのステータスに関係なく 近くにある任意の iPadデバイスやMacデバイスで クラスルームを使用できます Easy Student Sign-inと Unmanaged Nearby Classes in Classroomは どちらもApple School Managerの で 利用できるようになったため 各機関で管理者が独自に制御できます

スクールワークは 教師向けのiPadアプリで 時間の節約 傾向の把握 進捗の確認などにより 教師が各生徒の 可能性を最大限に引き出せるよう支援します 教師はスクールワークを使って 課題 クラス通信 学習のリマインダーなどを作成し 送信できます そして スクールワーク3.0では 新しい評価と採点の ワークフローが導入されました iPadOS 17.5以降では 教師が 既存の文書をスキャンまたはインポートして 評価を送信できるようになりました これには Pages/Numbers/Keynoteや Google Suiteの文書やPDFが含まれます 教師はそれらを使って採点を行い 生徒の成績を課題ごとに 分析することもできます こうした新しい評価と採点の機能は 教師がアナリティクスを活用して 傾向を把握し 生徒一人ひとりに合わせた 学習体験を提供するのに役立ちます 最後に アセスメントモードでは デベロッパがアプリの構成で 特定のハードウェアやソフトウェアの機能を 起動時に無効にするよう構成することで 安全なテスト環境を構築できます iPadOS 17.6以降では iPad向けの マルチアプリモードが導入されました これには メモ帳やスプレッドシートなどの セカンダリアプリ 支援アプリ コーディングアプリ そしてもちろん iPad用の新しい計算機アプリも含まれます 新しい計算機アプリは 授業用にカスタマイズできるよう そして標準化された試験や 主要な試験にも対応できるよう アセスメントモードとMDMの構成が 組み込まれていて 科学計算モードや数学ノートを オフにする機能などがあります 教育向けの最新情報について ここでは一部だけ紹介しました これ以外の情報については デベロッパ向けドキュメントや オープンソーススキーマで 確認してください

では 本日のまとめに移りましょう Apple Business Managerと Apple School Managerの ドメイン取得にはいくつか 大きな改良が加えられ 組織での管理対象Apple Accountの導入が これまでより簡単になりました 新しいアクティベーションロック機能では 誤ってロックをオンにした組織のデバイスを これまでより簡単に復旧できます オンにしたのがMDMとユーザーの どちらであっても対応できます ソフトウェアアップデートの 新しいコントロールを使うと 最初のベータ版から 段階的なロールアウトを実施できます Safari Extensionの管理と有効化は IT部門がMDMから直接行えるようになり Safariを組織に合わせてすぐに カスタマイズできるようになりました visionOS 2.0のアップデートでは Apple Vision Pro向けの 重要なMDMコマンドや ペイロード 宣言 制限が追加されました ご視聴ありがとうございました WWDCをお楽しみください