Appleデバイスの管理とIDの新機能

こんにちは WWDCへようこそ Grahamです AppleのDevice Management チームに所属しています このセッションは 組織内のAppleデバイスの導入や 保護を担当する皆さんや デバイス管理ツールまたはID ソリューションを構築するデベロッパに おすすめです Appleでは 人に力を与える製品が 優れた製品だと信じています これには職場や教室の 様々な人々が含まれます 当社のハードウェア ソフトウェア サービスは連携して動作することで データを保護し 生産性を高め 直感的な体験を作り出すように 設計されています Appleは 皆さんが組織のセキュリティ ニーズのバランスを取りながら ユーザーに優れた体験を提供できるように したいと考えています 今年は Appleがどのようにそれを さらに推進しているか紹介します このセッションは4つの主要な トピックで構成されています まず Apple Business Managerと Apple School Managerの更新を含む Appleサービスの新機能を紹介します 次に デバイス管理の機能強化 について説明してから アプリ管理の新機能を紹介します 最後にIDの統合について 詳しく説明します まず Appleサービスから始めます これはAppleデバイスを大規模に 導入し管理するための基盤です Apple Business Managerと Apple School Managerは MDMとシームレスに連携する 無料のWebベースのサービスで 組織全体にわたるデバイスの構成 アプリの購入 アカウントの 管理に役立ちます 管理対象Apple Accountの 更新から始めましょう

これらのアカウントは職場や 学校向けに設計されていて アカウントとそれに関連する データは各ITチームが所有します ITチームがドメインの設定と IDプロバイダの接続を行うことで フェデレーション認証が有効になり ユーザーはすでに使用している 認証情報でサインインできます

昨年 Appleは ITチームがドメインを ロックし そのドメインで作成された Apple Accountの所有権を 取得する機能を導入しました これを開始すると ユーザーはアカウントを更新する プロセスの実行を促されます

そして今年 管理者はドメインにある 個人用Apple Accountの一覧を ダウンロードできるので アカウントの更新について ユーザーに連絡を取ることができます 更新が完了したら ユーザーは新しいサービスやアプリの 公証など組織がプロビジョニングした すべてのサービスにアクセスできます アプリの公証に加えて アクセス管理も拡張しており 個人のApple Accountで 組織が所有するデバイスにサインイン するのを防ぐことができます つまり 確実に 職場のデバイスでは職場の アカウントしか使用できないようにできます これには 設定アシスタントや システム設定など想定される すべての場所が含まれます また MDMに関する要件や 依存もありません この新しい設定は組織内の すべてのデバイスに適用されます これらの変更により Appleは組織での 管理対象Apple Accountの採用が 簡単になると期待しています 最初にドメインをロックし個人アカウントの 作成をブロックすることをおすすめします そこから アカウントのキャプチャ フェデレーション ユーザーが必要とするサービスの 有効化に進むことができます 次に デバイスインベントリ について説明します 当社は組織内のデバイスに対して アクティベーションロックステータスや デバイスストレージなどの情報を 追加してきました 今年の初めには IMEIやEIDなどの 携帯電話情報を追加しました また リリースデバイスの情報も拡大し 誰がいつリリースしたかを含めました 今年後半には iPhoneとiPadの BluetoothやWi-Fiの MACアドレスを追加する予定です これらの情報を使用して ネットワークアクセスを 管理している組織に役立ちます そして最後に AppleCareの保証情報を追加しています この情報は ITチームが 補償範囲をトラッキングし 十分な情報に基づいて修理や交換に 関して判断するのに役立ちます これまで この情報はWebブラウザでしか 確認できませんでした 本セッションで 組織向けの Apple Business Manager APIと Apple School Manager APIを 紹介できることを嬉しく思います 当社が提供するAPIの初期セットを 使用するとデバイスインベントリデータや MDMサーバ割り当てに関する 操作を実行できます エンドポイントの一覧を見てみましょう デバイスの一覧に関する 情報をクエリしたり デバイス管理サービスに デバイスを割り当てたり バッチアクティビティのステータスを 取得したりできます この機能の利用を開始するには まずAPIアカウントを作成します これは管理者とサイトマネージャのみが 作成できます その後 プライベートAPIキーを 生成してダウンロードし アプリやサービスで使用します 最後に Apple Business Managerと Apple School Managerの導入に 関する更新について 説明します 自動デバイス登録はシンプルで 簡単なデバイス管理を目指す Appleのアプローチの基盤であり ITチームがすべての 機械に触れる必要なく ジャストインタイムで ハードウェアを提供できます 昨年 私たちはこれを Apple Vision Proに拡張しました しかし 組織で使用する すべてのデバイスが 通常のチャネルから 購入されるわけではありません 今回 visionOSではiPhone用の Apple Configuratorにより Vision Proを組織に追加できるようになり 期待通りに機能します Vision Proで設定アシスタントを実行中に Apple Configuratorを起動したiPhoneを Vision Proに近づけると ペアリングコードが表示されます iPhoneでペアリングコードを入力すると デバイスが組織に追加されます この変更により Apple Configuratorを使用して すべてのMDM対応デバイスを 組織に追加できます またさらに visionOSで 設定アシスタントの ペインのスキップがサポートされました 新しいスキップキーについてはデバイス 管理のドキュメントをご参照ください 自動デバイス登録は すべての導入で 必ず利用できるわけではないため ユーザーが管理対象Apple Accountを 使用して登録できる シンプルでプライバシーを重視した方法の アカウント主導の登録を提供しています アカウント主導の登録には MDMに登録するための リダイレクトURLを提供する 周知のエンドポイントが必要です 当社は これをドメインに設定するのが ITチームにとって難しい場合があることを 知っており 別の方法を用意しました MDMサーバを使用して サービス探索URLを構成できます つまり デバイスがドメインで エンドポイントを発見できない場合 Apple Business Managerまたは Apple School Managerを 確認して登録を完了します MDMサーバでリダイレクト URLを構成したら Apple Business Managerか Apple School Managerにログインし アカウント主導の登録を 提供する各デバイスに デフォルトのデバイス管理 サービス割り当てを指定します すべての設定が完了すると MDMサーバで アカウント主導の登録のための 包括的なエンドツーエンド ソリューションを提供できます この変更により 会社所有で 個人利用可能なデバイスや 個人所有のデバイスについて 組織でのアカウント主導の登録を より簡単に採用できるでしょう サービスについてのまとめとして 複雑なプロセスを大幅に簡単化する 素晴らしい新機能を紹介します 買収が行われた場合やオンプレミスから クラウドベースのMDMへの移行または デバイス管理ソリューションの切り替えを 実施した場合 組織ではMDMサーバ間で デバイスを移動する必要があります これには通常 完全なデバイスワイプや ユーザーによる手動プロセスが必要です このセッションでは Apple Business Managerと Apple School Manager内での デバイス管理の移行について紹介します iPhone iPad Macを新しい デバイス管理サービスに 再割り当てして移行を 開始できるようになりました また 移行を完了する必要がある 期限を設定することもできます その後 ユーザーは 移行する必要があることと期限が いつかを知らせる通知を受け取ります 期限までに作業を行わなかった場合 移行が自動的に開始され ユーザーは移行手順に案内されます 移行が完了すると 新しいデバイス管理サービスにより アクティベーションロックを引き継ぎ ブートストラップトークンを使用して FileVaultキーをローテーションできます 古い構成は削除されて 新しい 構成がインストールされるため 混乱を避けるため 構成を できるだけ一致させることを おすすめします アプリとアプリデータを保持するには await device configuredを使用して 登録フローの終了前にすべてのアプリが 再インストールされていることを確認します 当社は デバイス管理の移行により MDMサーバ間の移行タスクが 非常に簡単になると考えています 以上がサービスに関する更新です 詳細については ドキュメントを 必ず確認してください 次に デバイス管理における 最新の改善点について説明します デバイス管理については ソフトウェアアップデート Safariの管理の更新 Apple Intelligenceのコントロール 「サービスに戻す」の機能強化に関する 重要な発表を取り上げます デバイスを最新の状態に保つことは 組織のデバイス管理の重要な部分です 宣言型デバイス管理を使用した ソフトウェアアップデートは iOS 17 iPadOS 17 macOS Sonomaで初めて導入され 非常に多くの肯定的な フィードバックがありました 今年は これらすべての機能を Vision ProとApple TVに導入します これには 更新の延期の制御 更新頻度の設定 更新期限の 定義が含まれます 当社のすべての プラットフォームにわたる 宣言型デバイス管理への 移行の完了に伴い Appleは MDMを使用した 古いソフトウェアアップデート管理が 非推奨となることをお知らせします これは 引き続き機能しますが 将来的に削除されることを意味します 次に Safariの管理は進化を続けており 新しい宣言型構成を使用して ブックマークを管理する機能や デフォルトのホームページを 設定する機能が追加されました これにより ユーザーが新しい タブまたはウィンドウを開くと 従業員ポータルまたは学校の ポータルが表示されます また 制限ペイロードで管理されていた Safariの設定をこの機会に統合しました つまり すべてのSafariの管理が 宣言型デバイス管理で 利用可能になりました 次に Apple Intelligenceの作文ツール 通知の要約 Image Playground などの機能により 従業員や学生の生産性が向上します Apple IntelligenceはvisionOS 2.4の Vision Proで登場しました 組織が業界の規制や内部ポリシーを 満たすことができるように 適用される様々な制限を visionOSにも適用しました 最後に「サービスに戻す」の 新しい機能を紹介します 小売や医療などの業界では ユーザー間で デバイスを共有することが多く 「サービスに戻す」はデバイスを迅速に リセットするための優れた方法です 今年は このプロセスをさらに改善しました iPhoneとiPadではリセット時に管理対象 アプリを保持できるようになりました ユーザーデータは以前と同様に 消去されますが アプリは残ります アプリを再ダウンロードする必要がなくなり 次のユーザーの貴重な時間を節約できます この機能はクラウド構成の 新しいキーで有効になります 新しいキーに加えてawait device configuredも設定する必要もあります デバイスが awaiting configuration状態になったら 保持したいアプリを インストールできます デバイスをリリースすると システムは現在インストールされている アプリのスナップショットを作成します 次のリセット後 待機構成から デバイスをリリースする前に InstallApplicationコマンドまたは ManagedApp宣言を送信して 保持されたアプリの管理を 引き継ぐ必要があります アプリの再ダウンロードなく リセットすることは ユーザー間のターンアラウンド タイムを短縮するだけでなく ネットワークに制約のある 環境でも役立ちます 「サービスに戻す」はiPhoneとiPad にとって素晴らしいものでしたが 当社は共有ユースケースが 一般化し始めている 新しいプラットフォームにも 導入したいと考えています それはApple Vision Proです visionOSでは 次のユーザーのために デバイスを準備する新しい方法を導入します 「サービスに戻す」を設定すると Vision Proのコントロールセンターに新しい オプションが表示されます 選択すると デバイスの取り外しまでの 10秒のタイマーが表示され 終了すると リセットプロセスが開始されます また Vision Proでは Digital Crownを押すだけで ロック画面でリセットできます 新規ユーザーにとってVision Proの 準備がとても簡単になり アプリの保持により 組織固有の アプリが維持されるため ダウンタイムが最小限で済みます 当社は これまでVision Proの 素晴らしい導入を見てきました 今後も新しい魅力的なユースケースが 登場すると確信しています これまで説明してきた内容の ドキュメントに加えて 以下の内容についてもデバイス管理の ドキュメントをご参照ください iPadのバッテリーの状態に関する情報 メッセージと通話のための デフォルトアプリの設定 メッセージとFaceTimeに関する SIMごとの新しい制限 AirPodsとBeatsヘッドフォンの 一時的な使用の許可 ネットワークリレープロファイルでの 完全修飾ドメイン名のサポート追加 Network Extensionの 新しいURL Filtering API この詳細については 「Filter and tunnel network traffic with Network Extension」をご覧ください デバイス管理については以上です 次にアプリ管理に進みます アプリにより ユーザーは創造性を発揮し 生産性を高め 外出先で情報を入手できます アプリを最新の状態に保つことは セキュリティ確保のために不可欠です ただし一部のミッションクリティカルな アプリでは 更新ロールアウト前の検証など ITチームによる 詳細な制御が必要です 今年は それに関連する変更も行いました iOSおよびiPadOSでは 管理対象アプリの設定に 更新動作をアプリごとに 定義するオプションが追加されました これにより 組織は管理対象 アプリをより詳細に制御できます アプリの自動更新を強制 または無効化できます アプリを特定のバージョンに 固定することもできます これにより リリースプロセスを より適切に制御できます ステータスチャネルでアプリの インストールの進行状況と バージョン情報を リアルタイムに確認できます 管理者は携帯電話を介したアプリの ダウンロードを制限するかも指定できます これらの多彩な新機能により ITチームはデバイスのアプリを より詳細に制御できます 当社はiOS 18.4とiPadOS 18.4の一環として 管理対象アプリのベータ段階を正式に終了し visionOS 2.4に必須アプリの サポートを追加しました 次に Macについて説明します macOS Tahoeから App Storeアプリ カスタムアプリ パッケージを 宣言型デバイス管理を使用して 導入できるようになりました アプリとパッケージのどちらも必須 またはオプションとして導入できます また ステータスチャネルによりサーバの インストールステータスが更新されます MDMデベロッパがセルフサービスアプリを 作成するのを実現する ManagedAppDistributionフレームワークが 今年の後半にMacで利用 できるようになります 最後に iOS 18.4 iPadOS 18.4 visionOS 2.4で アプリのデベロッパは 新しいManagedAppフレームワークを アプリに組み込むことができます このAPIを使用することで組織は 設定 パスワード 証明書 IDなどの アプリの構成を安全に導入できます Appleでは このAPIには 数多くの興味深い ユースケースがあると考えています 例えば アプリの体験を カスタマイズする機能 APIアクセストークンの安全な取得 カスタム信頼証明書の追加 アプリでデバイスポスチャの強力な証明を 取得できるようにする ハードウェアに バインドされたキーへのアクセスがあります 詳細は「Discovering ManagedApp Framework」 セッションをご覧ください 宣言型デバイス管理によるアプリ管理は アプリを管理するための最善の方法です 新しいManagedAppフレームワークでは より優れたユーザー体験を構築できます 最後のトピックであるIDの統合の 更新について説明します IDはどのような導入に おいても重要な要素です 許可されたユーザーのみをデータや リソースにアクセス可能にすることで プラットフォームSSOは ユーザーが IDプロバイダを使用してMacにログインし 同期されたパスワードやSecure Enclaveで保護されたキーを使用して アプリやWebサイトに自動的に サインインできるようにします 現在 プラットフォームSSOへの登録は ローカルユーザーがMacを 設定したあとに行われます 今年は この登録プロセスを 合理化するために 自動デバイス登録時の設定アシスタントに プラットフォームSSOを組み込みます ユーザーの目線でこのプロセスを 確認してみましょう Macがデバイス管理への登録を開始すると 新しいプラットフォームSSOペインが 設定アシスタントに表示され IDプロバイダを使用した認証を ユーザーに促します ユーザーはプラットフォームSSOに 登録しないと続行できません サインインが成功すると SSOは認証された登録を デバイス管理に提供でき 同じIDプロバイダに連携している場合 ユーザーを 管理対象Apple Accountに サインインさせられます ローカルアカウントが作成され パスワードがIDプロバイダと同期されるか Secure Enclaveで保護されたキーを使用して ユーザーがパスワードを設定します さらにアカウントのプロフィール写真を IDプロバイダと同期できます まとめると プラットフォームSSOの 簡素化された設定により Macの導入が効率的になり ユーザーは組織の認証情報を 使用して新しいMacを迅速に 設定し起動できます これは1人1台の導入には最適ですが 実際には共同利用のための 導入も頻繁に行われます Appleは そのための更新も行います 共同利用に最適化された 認証済みゲストモードを導入します これを設定すると ユーザーはログイン 画面からクラウドIDを使用して Macにログインできます 認証はパスワードかスマートカードの いずれかを使用して完了でき ログインするにはMacが オンラインである必要があります ログイン後 ユーザーは SSOを最大限に活用でき アプリやWebサイトに 簡単にサインインできます ユーザーが作業を終了しログアウトすると そのセッションのユーザーデータが すべてデバイスから消去されます この機能の設定を最適化するために プラットフォームSSOとAuto Advanceを 組み合わせることができます これにより 設定中に Macは自動的にプラットフォーム SSOへの登録を完了し デバイス管理への登録を行い ユーザーがログインできる状態の ログイン画面を表示します 多くの共同利用環境では すばやくログインしてリソースに アクセスできることが重要です ユーザーは1日に何度も 多数の異なるマシンでそれを行う 必要がある可能性があります 医師や看護師が異なる部屋の患者を 1日を通して訪問するのがその例です 今年 Appleは「タップでログイン」で その体験を改善することを決定しました ここ数年 様々な企業や学校がAppleウォレットを 使用した社員証や学生証の 採用を開始しています これらを使用すると iPhoneやApple Watchで タップしてドアを開けることができます 物理的なカードは必要ありません Appleは Macにもこれと同じ 体験をもたらそうとしています 認証済みゲストモード用に 設定されたMacをユーザーが iPhoneまたはApple Watchでタップすると シングルサインオンにより すべてのアプリとWebサイトに すばやくログインして作業を 開始できるようになります ユーザー認証情報は iPhoneのアプリを通じて アクセスキーとしてウォレット パスにプロビジョニングできます アクセスキーはSecure Enclaveに保存されるため ハードウェアによって 保護および暗号化され 改ざんや抽出から保護されます 交通系ICカードと同様に エクスプレスモードを使用すると タップだけでログインでき デバイスの起動やロック解除は不要です Macを認証済みゲストモードに 設定するのに加えて 外部NFCリーダーを接続する必要があります この機能はとても魅力的で 教育機関 小売店 医療機関など デバイスを共有する組織にとって 素晴らしいものになるでしょう SwiftConnectのような社員証や 学生証をプロビジョニング済みの デベロッパは アクセスキーの プロビジョニングを「タップでログイン」で 使用することに取り組んでいます ここでは 様々な情報を扱ったので 少し時間を取ってまとめておきます 管理対象Apple Accountには 優れた新機能が数多くあります これらの機能を使用すると 素晴らしい 体験をユーザーに提供できることでしょう Apple Business Managerと Apple School Managerの 新しいサービスAPIにより 多くの一般的なタスクを実行でき これまで以上に簡単に デバイスを管理できます デバイス管理の移行により MDMサーバ間でのデバイスの 移行がより簡単になりました アプリの配信が更新されたため 宣言型デバイス管理を使用した アプリの管理を始める絶好の機会です 「サービスに戻す」を使用して Apple Vision Proを共有できます プラットフォームSSOの更新により iPhoneまたはApple Watchの タップでMacにサインインできます developer.apple.com/jp/には 素晴らしいドキュメントが多数あり ここで説明した多くの新機能について 詳しく調べることができます ご視聴ありがとうございました 皆さんの取り組みにより デベロッパ 管理者 ユーザーが Appleデバイスを 楽しく管理できるようになるのを 待ち遠しく思います WWDCをお楽しみください