アカウント主導のユーザー登録を調べる
ハイライト
iOS 15 のアカウント主導のユーザー登録により、ユーザーは設定に職場アカウントを直接入力して、説明ファイルをダウンロードせずに MDM 登録を完了できます。登録プロセスでは、サービス検出、Web 認証、およびセッション トークンのメカニズムが導入されます。 MDM サーバーは、いつでもユーザーに再認証を要求できるため、BYOD シナリオに前例のないセキュリティを提供します。
主要内容
BYOD (Bring Your Own Device) シナリオには根本的な矛盾があります。それは、ユーザーがデバイスを所有し、組織はデータを保護する必要があるということです。従来のユーザー登録では、ユーザーは Safari から登録プロファイルをダウンロードし、設定で手動でインストールする必要があります。手順が多く、中断しやすく、ユーザー エクスペリエンスが低下します。
iOS 15 と macOS Monterey では、アカウント主導のユーザー登録が導入されています。ユーザーが「設定 > VPN とデバイス管理」で「職場または学校のアカウントにログイン」を直接クリックして組織 ID を入力すると、システムがドメイン名から MDM サーバーを自動的に検出し、Web 認証を通過すると登録が完了します。プロセス全体で説明ファイルをダウンロードする必要はなく、認証プロセスは企業の既存の SSO および ID プロバイダーと統合できます。
詳細
ユーザー登録の 3 つの主要コンポーネント
ユーザー登録は 3 つのコンポーネント (01:00) を中心に設計されています。
- 管理対象 Apple ID: 組織が所有および管理する Apple ID。Azure AD フェデレーション認証をサポートし、iCloud などの Apple サービスへのアクセスを提供します。
- データ分離: 登録時に独立した APFS ボリュームを作成し、異なる暗号化キーを使用し、管理データを個人コンテンツから物理的に分離します。
- 制限された管理機能: MDM は組織のコンテンツのみを制御できます。個人データ、個人アプリ、または固有のデバイス識別子にアクセスすることはできず、デバイス全体をリモートでワイプすることもできません。
デバイスは監視されているとは見なされず、ユーザーは個人データを完全に制御できます。
管理対象 Apple ID と管理対象アプリの機能強化
iOS 15 では、設定の管理対象 Apple ID エクスペリエンスが再設計されています (03:03)。アカウントの管理が設定の上部に表示されるようになり、ユーザーはどの部分が組織によって管理され、どの部分が個人的なコンテンツであるかを明確に確認できるようになりました。
管理対象 Apple ID に iCloud Drive サポートが追加されました (03:38):
- iOS/iPadOS のファイル アプリで新しい場所として表示
- macOS の Finder に追加の場所として表示されます
- ドキュメント ブラウザ アプリケーションは自動的にアクセス許可を取得します
- 管理されたオープンイン制限を遵守する
macOS Monterey は、管理対象アプリのサポートをユーザー登録まで拡張します (04:48):
- アプリケーションデータは別のボリュームに保存されます
- アンインストールまたは登録解除時にデータコンテナを自動的に消去します
- CloudKit を使用する管理対象アプリは、関連付けられた管理対象 Apple ID を自動的に使用します
- にいる必要がある
InstallApplicationコマンドに追加InstallAsManagedkey
マネージド オープンインは、データがマネージド境界の両側に貼り付けられるのを防ぐ新しいクリップボード コントロール (05:41) を追加します。登録中にユーザーからの追加の確認なしで自動的にインストールされる必須アプリを指定することもできます。
アカウント主導の登録プロセスの 4 つのステップ
新しい登録プロセスには 4 つのコンポーネントがあります (07:32)。
1. サービスの検出
ユーザーが組織 ID を入力します (形式:[email protected])、デバイスはドメイン名の部分を抽出し、既知の URL を構築します。https://domain.com/.well-known/com.apple.remotemanagement(08:23)。
デバイスは、JSON が返されることを期待して、この URL に GET リクエストを送信します。
{
"Version": "1.0.0",
"BaseURL": "https://mdm.company.com/enroll"
}
Version: サポートされている登録タイプをデバイスサーバーに通知します。BaseURL: MDMサーバー登録エンドポイントのURL
2. ユーザー認証
デバイスは、デバイスのプロパティを含む plist を登録エンドポイントに POST します (09:10)。サーバーは HTTP 401 Unauthorized を返し、認証プロセスをトリガーします。 401 応答には次の内容を含める必要がありますWWW-Authenticate header:
WWW-Authenticate: Bearer method="apple-as-web", url="https://mdm.company.com/auth"
method:固定値apple-as-web、AuthenticationServices Web ログイン フローの使用を示します。url: 認証エンドポイントのHTTPS URL
デバイスが AuthenticationServices Web ログインを開始します (10:43)。 Web コンテンツは、単純なユーザー名/パスワード形式にすることも、多要素認証のためにエンタープライズ SSO またはサードパーティ IdP にリダイレクトすることもできます。
3. セッショントークン
認証が完了すると、サーバーは HTTP リダイレクトを返し、Location ヘッダーは固定のカスタム スキームを使用します (11:33)。
Location: x-com.apple.remotemanagement?access-token=opaque-token-value
デバイスの抽出access-tokenセッション トークンとして、今回は元の POST リクエストを再送信します。Authorizationトークンはヘッダーに含まれます。
Authorization: Bearer opaque-token-value
4. 登録
サーバーはトークンを検証し、登録プロファイルを返します。 iOS 15 プロファイルには 2 つの新しいキーが含まれています (12:21)。
AssignedManagedAppleID: 関連付けられた管理対象 Apple ID。ユーザーは登録を完了するためにアカウントの認証に成功する必要があります。EnrollmentMode: BYOD タイプを示す固定値。デバイスは値が現在のパターンと一致することを検証します。
登録が成功すると、後続のすべての MDM リクエストはAuthorizationセッション トークンはヘッダーに含まれます。
継続的な認証
iOS 15 では継続的認証機能 (14:45) が導入されており、MDM サーバーはいつでもユーザーに再認証を要求できます。
- サーバーはリクエストごとにセッション トークンを検証します。
- トークンの有効期限が切れると、サーバーは 401 + を返します。
WWW-Authenticateheader - デバイスは、通知センターを通じてユーザーに再認証を求めるプロンプトを表示します。
- ユーザーは通知をクリックし、AuthenticationServices Web ログイン フローを再度開始します。
- 認証が成功すると、新しいトークンが取得され、デバイスは以前に失敗した要求を自動的に再試行します。
認証が失敗した場合、サーバーは機密ペイロードを削除するか、完全に登録を解除できます (17:56)。
重要な違い: 従来のプロファイルベースの登録では、401 応答によって登録解除がトリガーされます。アカウント主導の登録では、401 応答によって再認証がトリガーされます。登録のキャンセルはまだ送信する必要がありますRemoveProfile注文。
登録解除時のデータクリーニングについて
登録を解除すると、完全なクリーンアップが実行されます (18:43)。
- MDMの登録解除
- 管理対象アカウントの削除
- 管理されたデータの削除
- データ切り離しボリューム消去
重要ポイント
-
既知のサービス検出ファイルを展開します: 組織ドメイン名に
/.well-known/com.apple.remotemanagementパス管理された JSON により、デバイスが MDM サーバーを自動的に検出できるようになります。これは、アカウント主導の登録の最初のステップです。 -
統合エンタープライズ ID プロバイダー: AuthenticationServices Web ログイン フローを利用して、SSO や MFA などの複雑な認証シナリオをサポートします。認証エンドポイントは MDM サーバー自体にすることも、サードパーティの IdP にリダイレクトすることもできます。
-
セッション トークン検証ロジックの実装: サーバー側でセッション トークンの有効期限ポリシーと再認証ルールを追加します。機密ペイロードはトークンが有効な場合にのみ配信されるため、BYOD シナリオのセキュリティが強化されます。
-
MDM ペイロードを更新して新しいキーを含める: 登録プロファイルに次のものが含まれていることを確認してください。
AssignedManagedAppleIDそしてEnrollmentMode、キーが欠けていると登録が失敗します。 -
401 応答の処理ロジックを区別する: アカウント主導型登録の 401 は、登録解除ではなく再認証をトリガーします。どうしても登録をキャンセルしたい場合は、
RemoveProfile注文。
関連セッション
- WWDC2021 10130 - Apple デバイスを管理するための新機能 - ユーザー登録関連の管理対象アプリとクリップボード コントロール
- WWDC2021 10131 - 宣言型デバイス管理の概要 - 宣言型管理は現在、ユーザー登録のみをサポートしています。
- WWDC2021 10129 - 組織内のソフトウェア アップデートの管理 — BYOD デバイスのソフトウェア アップデート ポリシー
- WWDC2021 10137 - アプリとブックの MDM 割り当ての改善 — 管理対象 Apple ID のアプリ割り当て
コメント
GitHub Issues · utterances