WWDC23

Keisuke Sakagawa

どうも、日頃コーヒーと家具しか呟いてない私ですが、今更ですがWWDC23の基礎講演ではなく、各セッションをコーポレートITの目線から気になったとこをピックアップしてみました。英語のお勉強中なのでミスは許して下さい🙇‍♂️

ハイライトは以下から見れます。

What’s new in managing Apple devices

というタイトルで、Appleのデバイス管理における新機能についてのセッションです。気になったところだけピックします。

Automated Device Enrollment.

ADEはユーザにシームレスな登録とセットアップを提供する素晴らしい物ですね!
そしてIT担当者は、FileVaultがオンになっているか、デバイスのバージョンは問題ないか、MDMに登録されているか心配になってますよね。

macOS Sonomaでは、ネットワークに接続しなければセットアップアシスタントが(iOSのように)進めらないように?何にしてもセットアップアシスタントでは、MDMへの登録をすぐに行うか、または登録を8時間まで延期するかの選択肢が用意されるようです。

これって前からだっけ?

  1. "Currently, in the case where the Mac is not connected to a network during the initial setup, the MDM enrollment is skipped."(現在、Macが初期セットアップ時にネットワークに接続されていない場合、MDMの登録はスキップされます。)

  2. "After a network is connected, the user will be presented with 'Setup Assistant' giving them two options: continuing the enrollment, or 'Not Now' which will allow the user eight hours before they will be required to enroll in MDM."(ネットワークに接続した後、ユーザーは「セットアップアシスタント」が表示され、登録を続行するか、「今はしない」を選択できます。ただし、8時間後にはMDMへの登録が必要となります。)

・セットアップアシスタントの中に、FileVaultを有効にできる。
・管理者はFileVault復旧キーをエンドユーザーに表示するかどうかを選択できる。
・管理者はFileVaultの復旧キーをMDMサーバーに預けることを選択できる。

・MDMは、デバイスが登録できるように特定の最小OSバージョンにすることを要求できます
 →MDMはデバイスに問い合わせを送信し、Macが指定された最小OSバージョン以上で実行されているかどうかを確認します。
 →必要なOSバージョンが実行されていない場合、ユーザーはMacを必要なOSバージョンに更新するプロセスを通じて案内され、必要に応じて再起動が実行されます。
 →必要なOSバージョンがインストールされると、Macは登録と設定プロセスを完了するためにSetup Assistantに戻ります。

  • 強制的な自動デバイス登録

また、macOSのバージョンが古くてアップデートが必要な場合、ユーザーはMacをアップデートするプロセスを案内されます。(再起動は自動的に実行されます。)
完了すると、Macはセットアップアシスタントに戻り、ユーザは登録とセットアップのプロセスを完了できます。

現在、初期セットアップ中にMacがネットワークに接続されていない場合、MDM登録はスキップされます。今回の変更点はネットワーク接続が確立されると、ユーザが自動デバイス登録を完了するように促すような通知が出てくるようです。

ネットワークが接続されると、"Setup Assistant "が表示され、登録を続けるか、"Not Now "の2つの選択肢があります。
注意点として、ユーザーはシステム設定からいつでも登録することができて強制ではなさそうです。というかこの辺深く知りたいですね。

Platform SSOを強化するで〜という話

Platform SSOがさらに進化させ、ユーザーがmacOSのさらに多くの場所で企業のIDを使用できるようにするようです。*この辺私が知識が疎くてうまくまとめられません。5:50~ check!

システム設定では、Platform SSOのステータスを表示できるようになり、そこから登録を更新したり、IdPを再認証したりできるようです。

また、組織で利用しているMDMが Bootstrap Tokensをサポートしており、macOS SonomaのデバイスがIdPと通信できる状態であり、またFileVaultのロックが解除されている場合、ログインウィンドウでIdPのユーザ情報を使用してローカルアカウントを作成することができるようです(みんな望んでたやつ)

macOS 14は、企業のIdPとの統合を更に進めるため、パスワード管理に新たな機能を導入し、企業はAppleが定めるパスワードの要件を上回るような、自身のビジネス環境に適した厳格なパスワードポリシーを設定することが可能になります。

一部の企業にとっては、パスワードの条件を正規表現を用いて具体的に設定するという新機能は非常に魅力的かもしれません。正規表現を使用することで、パスワード要件を細かく調整し、自社のセキュリティ基準に合わせたカスタムルールを適用することが出来るようです!

さらに、macOS 14では、ユーザーのパスワードが設定したポリシーに適合していない場合、そのことをユーザーに分かりやすく通知する新たな仕組みを導入しました。認証時にパスワードが要求されるたびに、その通知が表示され、直接パスワード変更画面へ遷移することが可能になります。(ユーザーのパスワードが企業の要件を満たすまで、通知はユーザーに繰り返し示されます)

まとめ

  • 自動デバイス登録: これまではデバイスが初めて登録され、ユーザーが初めてログインする前に、特定のセキュリティ設定が適用されていることを確認するのが困難でした。しかし、macOS 14では、セットアップアシスタント中にMDMがFileVaultの有効化を要求できるようになり、IT管理者は、FileVault回復キーの表示や、オプションでMDMに預ける選択が可能となりました。

  • ネットワーク接続の保証: 以前は、Macが初期設定中にネットワークに接続されていない場合、MDM登録がスキップされてしまうことがありました。macOS 14では、ネットワークが接続されたら、ユーザーがMDM登録を続行するか、8時間後に再度登録を求めるかを選べるようになりました。

  • プラットフォームSSOの強化: macOS 14では、ユーザーがシステムのさらに多くの場所で企業のIDを使用できるようになり、新規ユーザーのオンデマンド作成もサポートされるようになりました。

  • パスワード管理の強化: 複雑なパスワード要件を正規表現で定義できるようになりました。また、パスワードポリシーが強化され、通知を通じてユーザーがパスワードの準拠状況を確認できるようになりました。

  • 新たな制限の追加: macOS 14では、ユーザーや管理者がMacで設定できる内容をさらに制限できるようになりました。これには、Apple IDやインターネットアカウントのログインを変更できないようにする、ローカルユーザーアカウントの追加を防止する、Time Machineのバックアップを制限する、などが含まれます。

  • 管理デバイス認証の強化: macOS 14では、iOSと同じく、デバイス認証機能が提供されるようになりました。これにより、デバイスが信頼性のある情報を提供してリソースにアクセスすることを確認できます。

  • アプリケーション管理の強化: macOS 14では、InstallApplicationコマンドが機能強化され、パッケージが複数のアプリケーションをインストールできるようになりました。


この記事が気に入ったらサポートをしてみませんか?