デバイス管理から見たWWDC2023

みなさんこんにちは。

今年のiPhoneも発表され、iOS17のリリースも間近という時期になってきました。

そこで6月のWWDCで発表されたデバイス管理に関するトピックについて、今一度振り返ってみたいと思います。
全体を網羅するというより、個人的に気になるトピックをピックアップしたものになりますので、その点はご了承ください。

公式情報はこちらにまとめられています。

Appleプラットフォーム導入の新機能

Managed Apple IDの機能拡充

Managed Apple IDはApple Business（School）Managerで作成し、組織が一元管理できるApple IDです。
主にiCloudやバックアップのために利用するかと思います。

今年から同期項目が個人用Apple IDと遜色ない範囲まで拡大し、キーチェーンやウォレットも同期できるようになるそうです。

また、どの項目をiCloudで同期可能とするか、ABM側のポリシーで制御できるようになるとのこと。
MDMペイロードの方でもiCloudとの同期項目を制限する項目がありますから、そことの関係性は気になるところです。

それに加え、Managed Apple IDのサインイン先を組織のデバイスに限定する機能も追加されるようです。

従来はデバイスさえ用意すれば別の端末からManaged Apple IDでサインインし、データを同期することが可能でした。
そのためデータ漏洩対策の1つとして活用できるのではないかと思います。
Webからのアクセスがどうなるのか気になりますが、良いアップデートだと思います。

ABMのIDプロバイダーの拡充

ABMのアカウント管理において、現状ではAzureAD（Entra ID）とGWSがIDプロバイダーとして利用できます。

この制約を無くして、OIDCやSCIMに対応したIDプロバイダーであればABMで利用できるようになるそうです。
SaaSの増加に伴ってIDの一元管理は重要性を増していますから、時代の要請に応えた形と言えるでしょう。

セッションの中では今年後半にOktaをサポートすると言ってました。

Apple WatchがMDM登録可能に

これまでApple Watch用のMDM管理機能は提供されていませんでした。
今回のアップデートで、独立したデバイスとしてMDM登録できるようになるそうです。
Apple Watchは着実に広がりを見せていますし、フロントラインワーカー等で利用するケースが増えているのかもしれません。

仕組みとしては、ペアリング先のiPhoneに構成プロファイルをインストールすることで、AppleWatchがMDM登録されるようになります。

Supervisedの表現を使っていたのですが、監視モードの扱いになるのかはよくわかりませんでした。

留意点は、MDMが宣言型デバイス管理の仕組みを利用する必要がある点です。

宣言型デバイス管理の拡大

宣言型デバイス管理は2021年に発表された新しいMDMプロトコルです。
正直私も詳細まで理解していないのですが、従来のプロトコルのレスポンスを改善した、次世代のプロトコルと考えれば良いのではないかと思います。
Apple的には宣言型デバイス管理への移行を促していきたい思惑が感じられます。

今年の機能追加では、OSソフトウェアアップデートやアプリの配布なども宣言型デバイス管理で行えるようになるそうです。
ソフトウェアアップデートについてはインストール期限を設定してユーザーに細かく通知するなど、実用的な機能が追加された印象です。

また、従来のMDMプロファイルが適用された端末で、宣言型デバイス管理への切り替えがスムーズに行える仕組みも提供されるそうです。

同じ制御内容であれば、一時的に制御が外れるといったことなく宣言型デバイス管理に切り替えることができるようです。
うまく動作するなら、宣言型デバイス管理への切り替えが進んでいきそうな予感はします。

まとめ

WWDCのセッションはなにぶん抽象的な内容なので、実際にどのように動くかはリリース後に確かめるほかありません。
上記の内容は実運用にも役立ちそうな内容ですので、これから確認していきたいと思います。
特にABM側でManaged Apple IDの制御ポリシーが構成できる点は興味深いです。

新機能の実装はMDMベンダーの開発状況に依存するので、利用しているMDMサービスの情報も注視する必要があります。
私は主にIntuneを相手にしていますので、Microsoftのリリース情報も見ていきたいと思います。

ここまでお読みいただきありがとうございました。