WWDC Quick Look 💓 By SwiftGGTeam
Appleデバイス管理の新機能

Appleデバイス管理の新機能

元の動画を見る

ハイライト

Appleは宣言的デバイス管理(Declarative Management)をエンタープライズデバイス管理の標準に位置づけました。macOS 27、iOS 27、iPadOS 27では、認証情報の再利用、システムヘルス監視、プライバシー権限の統一プロンプト、バイナリ実行制御、Web認証ログインなどが加わり、IT管理者はより少ないポーリング、より細かな粒度、より高い自動化でデバイス群全体を管理できます。

主要内容

ポーリングから宣言へ: デバイス管理のパラダイム転換

従来のデバイス管理では、サーバーがデバイスへ問い合わせコマンドを送り続け、状態確認や構成配布を行っていました。デバイス数が増えるほどサーバー負荷は高まり、遅延も増えます。宣言的管理はこのモデルを変えます。IT管理者は「デバイスがどういう状態であるべきか」を定義し、デバイスはポーリングなしで変化を自動的にサーバーへ報告します。

02:43)Appleは、宣言的管理はもはやロードマップ上の将来機能ではなく、すでに本番投入され、世界中のデバイス群で動いていると明言しています。今日デバイスを管理していてまだ使っていないなら、必要以上に重い作業をしていることになります。

Apple Businessの全面的な拡張

00:45)Apple Businessは200以上の国と地域をカバーするようになりました。企業はゼロタッチデプロイ、管理対象Appleアカウント、組み込みのデバイス管理機能を利用できます。

関連するREST APIも拡張され、ブループリント(Blueprints)と構成の作成、ユーザーとグループの変更、アプリライセンス情報の照会、監査イベントの取得に対応しました。既存のデバイスインベントリ管理やAppleCare保証照会のAPIとあわせて、完全な自動化管理の流れを構成します。

01:53)App Storeアプリのサブスクリプションにも一括ライセンスの仕組みが加わりました。IT管理者は通常のアプリ配布と同じように、デバイス管理サービスを通じて従業員にアプリサブスクリプションを割り当てられます。

認証情報管理: 1回更新すれば全体に反映

05:19)構成プロファイル(configuration profiles)が認証情報を参照するときには、古くからの問題がありました。複数のプロファイルが同じ証明書やパスワードを含んでいる場合、更新時にそれぞれを置き換える必要があります。宣言的管理の多対多リレーションモデルは、この問題を解決します。

現在は、複数の構成が同じ宣言的認証情報アセット(declarative asset)を参照できます。認証情報を更新する必要があるとき、サーバーはこのアセットを1回変更するだけで、デバイスがそのアセットを参照するすべての構成を自動的に更新します。これにより、証明書ローテーションとIDライフサイクル管理が大幅に簡素化されます。

06:00)新しい宣言的構成では、証明書、ID、パスワードのどれであっても、認証情報が必要な場合は宣言的アセットを使って認証情報データを保持します。

ステータスチャネル: 受動的な問い合わせから能動的なプッシュへ

06:11)宣言的ステータスチャネル(status channel)により、デバイスは状態が変わったときにサーバーへ能動的にプッシュできます。これによりポーリングの必要がなくなります。今回のアップデートでは、次のステータス項目が追加されました。

  • 登録タイプ(enrollment type)
  • デバイス構成待ち状態
  • 返却後再利用状態(return to service)
  • Shared iPadの状態
  • デバイスの現在のプッシュトークン
  • ユーザーがロックダウンモード(Lockdown Mode)を有効にしているかどうか

06:48)iOSとiPadOS 27では、デバイスのシステムヘルス状態項目も追加され、ベースバンド、カメラ、Face ID、Touch IDなどのハードウェアコンポーネントの状態を扱えます。IT管理者はダッシュボードでデバイス群全体のヘルス状況を把握し、問題がユーザーに影響する前に予防的な対応を取れます。

ログ収集とコンテンツキャッシュ

07:24)IT管理者は新しいTriggerEnhancedLogCollectionコマンドを使い、組織所有のデバイスで拡張ログ収集を開始できるようになりました。AppleCareが問題を分析しやすくなります。宣言的ステータスと組み合わせれば、収集の進捗をリアルタイムに監視できます。

08:12)macOS 27では、コンテンツキャッシュ(Content Caching)の宣言的構成とステータス項目が追加されました。IT管理者はMac上のキャッシュサービスを直接制御し、サービスの健全性を監視できます。キャッシュサーバーは任意のHTTPSエンドポイントへ直接レポートを送信することもでき、より複雑な監視コンソールを構築しやすくなります。

アプリ管理: macOSが追いつく

09:48)iOS、iPadOS、visionOSで使われていた宣言的アプリ構成(declarative app configuration)がmacOS 27に来ました。エンタープライズアプリは、安全な認証情報構成、ハードウェアバインドキー(hardware-bound keys)、管理対象デバイス証明(Managed Device Attestation)を使って、企業サーバーに対してアプリや拡張機能を認証できます。

10:35)macOS 27では、宣言的パッケージ構成を削除するとき、そのパッケージがインストールしたすべてのファイルとディレクトリもあわせて削除できます。構成削除後に不要なファイルが残る問題を避けられます。

プライバシー権限: 複数のポップアップから統一プロンプトへ

10:59)従業員が毎日使うアプリは、カメラ、マイク、位置情報などの権限を何度も要求することがあります。ユーザーが急いでクリックすると、誤った設定を選びやすくなります。iOS、iPadOS、macOS 27では、統一されたプライバシー同意プロンプトが導入されます。

アプリの初回起動時、ユーザーには次を含むサマリープロンプトが表示されます。

  • 組織名とアプリ名
  • IT管理者が提供した理由
  • 各プライバシーコンポーネントのデフォルト値と、それに対応する理由

ユーザーが「許可」をクリックすると、すべてのデフォルト設定が一度に有効になり、その後は追加のポップアップが表示されません。「今はしない」をクリックした場合は従来の挙動が維持され、使用時に個別に確認されます。「許可」ボタンがデフォルトで強調表示され、ユーザーが正しい選択をしやすくなっています。

12:36)SafariのWebサイト権限にも同じ統一プロンプトの仕組みが適用されます。IT管理者は宣言的なapp.settingssafari.settings構成を通じて、これらの権限を制御します。

バイナリ実行制御

13:19)企業はコンプライアンス要件を満たすため、Mac上で実行できるアプリやバイナリを制御する必要があります。macOS 27では、Endpoint Securityフレームワークを基盤とした、バイナリ実行を制御する宣言的管理設定が追加されました。

ルールはコード署名属性を使ってバイナリを照合するため、精度の高い制御が可能です。すべての管理対象アプリを自動的に許可する設定も選べるため、アプリごとにルールを追加する必要を減らせます。あるバイナリが拒否されると、関連するプロセスは終了されます。

Platform SSO: より柔軟で安全な認証

15:06)macOS 27のPlatform SSOには、複数の重要なアップグレードが加わりました。

Touch IDの強制: (15:56)IT管理者は、組織のデバイスでユーザーにパスワードとTouch IDの両方を使わせることができ、組み込みの二要素認証を提供できます。これはログイン、画面ロック解除、FileVaultロック解除のすべてで強制されます。

Web認証: (16:55)macOS 27では、WebViewベースの認証オプションが導入されます。IDプロバイダはログインウィンドウや画面ロック解除画面に安全なWebViewを描画し、カスタムのチャレンジレスポンス、一回限りのコード、条件付きアクセスのプッシュ通知、QRコードによるパスワードレスログインなど、現代的な認証フローを実行できます。

WebViewは、OSが厳密に制御する実行コンテキストで動作します。QRコードをスキャンするとき、カメラは独立した安全なシステムプロセス内で完全に処理されます。Webページが受け取るのはデコード済みデータだけで、元のカメラ映像や画像データを受け取ることはありません。

18:02)オフライン認証にも対応し、ネットワークに接続されていないデバイスでも安全なアクセスの継続性を確保できます。

Authenticated Guest Mode: (18:43)看護師や医師のように複数の共有Macを素早く切り替える必要があるユーザーは、FileVaultで暗号化されたMacでAuthenticated Guest Modeを使ってログインできるようになりました。一時セッションのデータはサインアウト後に自動的に消去され、同時にフルディスク暗号化でデバイスのデータが保護されます。この機能は追加設定なしで、有効化済みのデバイスで自動的に利用できます。

19:54)Shared iPadも今回のアップデートサイクル中にAuthenticated Guest Modeへ対応します。iPadは一時セッションで起動し、ユーザーは管理対象Appleアカウントでログインします。ネイティブ認証とフェデレーションID認証(SSO)の両方に対応します。一時セッションはシステムとデバイス容量を共有し、厳格な容量上限はありません。サインアウト後、すべてのローカルデータとアカウントは自動的に消去されます。

Classroomアプリにガイド付きブラウズが追加

20:55)教師はClassroomアプリを使い、生徒を指定した1つまたは複数のWebサイトタブに固定できます。即時の集中のために単一タブへ固定することもできます。教師はURLを直接入力することも、授業準備で用意したお気に入りを使うこともできます。生徒がWebサイト内外へ移動できる範囲を制限でき、カメラとマイクへのアクセス権を与えることもできます(生徒は有効のままにするかどうかを自分で選べます)。

詳細

宣言的認証情報管理のデータモデル

宣言的管理の中心的な強みはリレーションモデルにあります。従来の構成プロファイルは1対1です。1つのプロファイルが1つの認証情報を含みます。宣言的モデルは多対多の関係をサポートします。

構成 A ──┬── 認証情報アセット X ──┬── 構成 B
         │                        │
         └── 認証情報アセット Y ───┘

認証情報アセットXが更新されると、構成Aと構成Bはどちらも自動的に新しい認証情報を受け取り、個別の更新配布は不要です。

05:48)サーバーがアセットを変更する流れ:

  1. 証明書、ID、パスワードなどの宣言的認証情報アセットを作成または更新する
  2. デバイスがアセット変更を受け取る
  3. デバイスが、そのアセットを参照するすべての構成を自動的に更新する
  4. ステータスチャネルを通じて、更新完了をサーバーへ確認する

デバイスシステムヘルス状態項目のコンポーネント一覧

07:05)iOSとiPadOS 27が報告するシステムヘルスコンポーネントには、次が含まれます。

  • ベースバンド(baseband)
  • カメラ
  • Face ID
  • Touch ID
  • その他のハードウェアコンポーネント

IT管理者がこれらのステータス項目を購読すると、コンポーネントの状態が変わったときにデバイスが自動的に更新をプッシュします。

統一プライバシープロンプトの構成方法

IT管理者は宣言的構成でプライバシー権限を定義します。

  1. ユーザーがアクセスする必要のあるプライバシーコンポーネント(カメラ、マイク、位置情報など)を決める
  2. 各コンポーネントに理由説明(justification string)を用意する
  3. app.settingsまたはsafari.settingsの宣言的構成を作成する
  4. アプリまたはWebサイトと、それに対応するコンポーネントリストを指定する

ユーザーが初めてアプリを起動したりWebサイトを訪問したりすると、システムはサマリープロンプトを表示します。このプロンプトには、IT管理者が提供した組織レベルの理由と、アプリ自身が各コンポーネントに対して提供する理由が含まれます。

バイナリ実行制御のルール照合

14:13)macOS 27のバイナリ実行制御ルールは、次のようなコード署名属性に基づいて照合します。

  • チーム識別子
  • 署名識別子
  • 証明書ハッシュ
  • その他のコード署名属性

ルールは許可(allow)または拒否(deny)に設定できます。拒否されたバイナリに関連するすべてのプロセスは終了されます。「管理対象アプリを自動的に許可」するオプションを有効にして、ルール管理を簡素化することもできます。

Platform SSO Web認証のセキュリティアーキテクチャ

17:10)WebView認証のセキュリティ設計の要点:

  1. WebViewはOSが制御する実行コンテキストでレンダリングされる
  2. IDプロバイダは現代的な認証フローを自由に実行できる
  3. QRコードスキャン時、カメラは独立した安全なシステムプロセスで動作する
  4. Webページはデコード済みの文字列データだけを受け取る
  5. 元の画像データやカメラ映像がWebコンテンツへ公開されることはない

この設計はログインウィンドウ、画面ロック解除、FileVaultロック解除の3つの場面をカバーし、同時にオフライン認証にも対応します。

主な示唆

エンタープライズデバイスヘルスダッシュボードを構築する

何をするか: 新しいシステムヘルス状態項目とContent Cachingの状態項目を使って、リアルタイム監視パネルを開発します。デバイスのベースバンド、カメラ、Face ID/Touch IDのヘルス状態を購読し、キャッシュサーバーの稼働状態と組み合わせて、問題がユーザーに影響する前に能動的に警告します。

なぜやる価値があるか: デバイスのハードウェア障害は、ユーザーから苦情が来る前に兆候が出ることがよくあります。カメラ故障やFace ID異常を早期に見つければ、修理や交換を先回りして手配でき、ユーザーの業務中断時間を減らせます。

始め方: com.apple.system.healthとContent Caching関連の宣言的ステータス項目を購読し、MDMコンソールまたは自社ダッシュボードで集約表示します。

企業の証明書ローテーションを簡素化する

何をするか: 企業ルート証明書、Wi-Fi証明書、VPN IDなどを、再利用可能な宣言的認証情報アセットとして抽象化し、複数の構成から共有参照します。

なぜやる価値があるか: 従来の構成プロファイルは1対1で認証情報を含むため、証明書の有効期限前にプロファイルを個別に置き換える必要がありました。宣言的アセットなら1回更新するだけで、参照しているすべての構成に自動的に反映されます。運用作業は「デバイスごとにプッシュ」から「1か所を変えれば全体に反映」へ下がります。

始め方: 宣言的管理のcredentialアセットタイプを使い、既存プロファイル内の証明書を独立アセットとして抽出し、構成を埋め込み証明書ではなくアセット参照へ変更します。

共有デバイス向けにシームレスなログインを設計する

何をするか: 医療、小売、物流業界の共有デバイス向けに、Platform SSOのWeb認証とQRコードログインを基盤にした、摩擦の少ない一時セッション体験を作ります。

なぜやる価値があるか: 看護師や医師は複数の共有Macを素早く切り替える必要があり、従来のログインフローでは毎回パスワード入力が必要でした。Authenticated Guest Modeなら、ユーザーはQRコードをスキャンしたり社員証をかざしたりするだけでログインでき、セッション終了後はデータが自動的に消去されます。効率とセキュリティを両立できます。

始め方: Authenticated Guest ModeとPlatform SSO Web認証を構成し、provisioning optionsで自動ログインを有効にし、IDプロバイダのQRコード認証フローと組み合わせます。

コンプライアンス駆動のバイナリ管理を開発する

何をするか: macOS 27のバイナリ実行制御を使い、企業向けのアプリ許可リスト/拒否リストシステムを構築します。

なぜやる価値があるか: 金融や医療などの業界では、デバイス上で実行できるソフトウェアに厳しいコンプライアンス要件があります。コード署名属性に基づく精密な照合は、ファイルパスやプロセス名より信頼性が高く、攻撃者が名前変更で回避することを防げます。

始め方: 宣言的なapp.settings構成を作成し、Endpoint Securityルールを設定します。チーム識別子、署名識別子、証明書ハッシュでバイナリを照合し、「管理対象アプリを自動的に許可」を有効にして保守を簡素化します。

教育現場の授業管理ツールを改善する

何をするか: Classroomアプリの新しいガイド付きブラウズ機能を基盤に、教師の授業準備ツールを開発します。

なぜやる価値があるか: 教師はWebサイトのお気に入りと権限テンプレートを事前に構成し、授業中にワンタップで生徒のデバイスへ配布して、指定したWebサイトタブに生徒を固定できます。口頭で「ページを切り替えないで」と伝えるより、はるかに効果的です。

始め方: Classroomアプリのガイド付きブラウズAPIを統合し、Webサイトブックマーク管理と組み合わせて、教師用アプリで授業に必要なURLリストとナビゲーション制限を事前構成します。

関連セッション

  • App Attestの新機能 — エンタープライズアプリを安全に識別する方法を学び、宣言的アプリ構成のManaged Device Attestationを補完する
  • Assessment mode — 試験や評価の場面で使うデバイスロック機能で、教育現場のClassroomガイド付きブラウズと関連する
  • Apple Intelligenceの新機能 — Apple IntelligenceとSiriの宣言的な構成制御は、このセッションのデバイス管理ポリシーと直接関係する
  • SwiftDataの新機能 — 管理対象アプリ構成と組み合わせて使える、エンタープライズアプリ向けのデータ永続化手段
  • アプリ内課金の新機能 — アプリサブスクリプションの一括ライセンスは、このセッションで触れられるエンタープライズ向けサブスクリプション配布と関係する

コメント

GitHub Issues · utterances