ビジネスにも iPhoneとiPadを 配備シナリオ

ビジネスにも iPhone と iPad を
配備シナリオ
2012 年 9 月
iPhoneとiPadをシームレスにエンタープライズ環境に統合する方法について、
配備シナリオにそって説明します。
• Microsoft Exchange ActiveSync
• 標準規格に基づくサービス
• 仮想プライベートネットワーク
• Wi-Fi
• デジタル証明書
• セキュリティの概要
• モバイルデバイス管理
• Apple Configurator
iPhoneとiPad の配備
Exchange ActiveSync
iPhoneとiPad は、Microsoft Exchange ActiveSync(EAS) を 使 用 し てMicrosoft Exchange
Serverと直接通信でき、Eメール、カレンダー、連絡先、タスクを自動的にアップデートします。さらに
Exchange ActiveSync によって、ユーザーはグローバルアドレス一覧(GAL)にアクセスできるように
なり、管理者はパスコードポリシーを適用したり、リモートワイプ機能を使ったりできるようになります。
iOS は、Exchange ActiveSync の Basic 認証と証明書ベースの認証の両方に対応しています。会社で
現在 ActiveSyncを使っている場合は、iPhoneとiPad のサポートに必要なサービスがすでに構成され
ているため、追加の構成は必要ありません。会社でExchange
ており、Exchange
Server 2003、2007、2010を使用し
ActiveSyncをはじめて使う場合は、次の手順を確認してください。
Exchange ActiveSync の設定
ネットワーク構成の概要
• ファイアウォールでポート443が開いていることを確認します。Outlook Web Accessを有効にしてい
る場合、通常であればポート443はすでに開いています。
• フロントエンドサーバで、サーバ証明書がインストールされていることを確認し、IIS の Exchange
ActiveSync 仮想ディレクトリでSSLを有効にします。
対応しているExchange
ActiveSync セキュリ
ティポリシー
•
•
•
•
リモートワイプ
デバイスでのパスワード入力を要求
最小のパスワード長
ローカルワイプされるまでのパスワード入力を失敗
• 数字とアルファベットの組み合わせが必要
• 分単位の休止時間(1∼60分)
そのほかの Exchange
•
•
•
•
•
•
•
•
ます。
• ネットワークの DNS から、イントラネットのクライアントとインターネットのクライアントの両方に、
Exchange ActiveSyncサーバに外部から接続可能なアドレスが1つ返されることを確認します。
この確認は、デバイスで双方の接続がアクティブな場合に同じIPアドレスで接続し、通信できるようにす
るために必要です。
できる回数
(Exchange
• Microsoft ISA(Internet Security and Acceleration)Serverを使用している場合は、サーバ証明
書がインストールされていることを確認し、接続を受け入れられるようパブリックDNSをアップデートし
ActiveSync ポリシー
2007および2010のみ)
単純なパスワードの許可または禁止
パスワードの有効期限
パスワードの履歴
ポリシーの更新間隔
複合文字の最小数
ローミング中に手動のシンクを要求
カメラの使用を許可
ウェブブラウジングを許可
• Microsoft ISA Serverを使用している場合は、ウェブリスナーおよび Exchangeウェブクライアントアク
セス公開ルールを作成します。詳しくは、Microsoft の製品ドキュメントを参照してください。
• すべてのファイアウォールとネットワーク機器で、アイドルセッションタイムアウトを30分に設定します。
ハートビートおよびタイムアウトの間隔については、Microsoft Exchange の製品ドキュメント(http://
technet.microsoft.com/en-us/library/cc182270.aspx)を参照してください。
• Exchangeシステムマネージャを使用して、モバイル機能、ポリシー、およびデバイスセキュリティ設定
を構成します。Exchange Server 2007および2010の場合は、Exchange 管理コンソールで行います。
• Microsoft Exchange ActiveSync Mobile Administrationウェブツールをダウンロードしてインス
トールします。このツールはリモートワイプを実行するために必要です。Exchange Server 2007およ
び2010の場合は、Outlook Web Accessまたは Exchange 管理コンソールを使用してリモートワイプ
を実行することもできます。
3
Basic 認証(ユーザー名とパスワード)
• Active Directoryサービスを使用して、特定のユーザーまたはグループの Exchange ActiveSyncを
有効にします。
Exchange Server 2003、2007、2010では、これらは組織レベルですべてのモバイルデバイスに対
してデフォルトで有効になっています。Exchange Server 2007および2010の場合は、Exchange 管
理コンソールの「受信者の構成」を確認してください。
• デフォルトでは、Exchange ActiveSync は Basic 認証を行うように構成されています。Basic 認証を使
用する場合は、認証中に資格情報が確実に暗号化されるように、SSLを有効にすることをおすすめします。
証明書ベースの認証
• ドメイン内のメンバーサーバまたはドメインコントローラにエンタープライズ証明書サービスをインストー
ルします(これが認証局サーバとなります)
。
• Exchangeフロントエンドサーバまたはクライアントアクセスサーバ上の IISを、Exchange
ActiveSync 仮想ディレクトリに対する証明書ベースの認証を受け入れるように構成します。
• すべてのユーザーに対して証明書を許可または要求するには、「Basic 認証」をオフにし、「クライアント
証明書を受諾する」または「クライアント証明書を要求する」を選択します。
そのほかの Exchange
•
•
•
•
•
ActiveSyncサービス
グローバルアドレス一覧の検索
カレンダーでの出席依頼の承諾と作成
タスクのシンク
Eメールメッセージのフラグ設定
Exchange Server 2010による、返信および転送
フラグのシンク
• Exchange Server 2007および2010でのメール
検索
• 複数の Exchange ActiveSyncアカウントの
サポート
• 証明書ベースの認証
• 選択したフォルダへの Eメールのプッシュ
• 自動検出
• 認証局サーバを使用してクライアント証明書を生成します。公開鍵を書き出し、この鍵を使用するように
IISを構成します。
秘密鍵を書き出し、構成プロファイルを使用してこの鍵を iPhone や iPad に配信します。証明書ベース
の認証は、構成プロファイルでのみ構成できます。
証明書サービスについて詳しくは、Microsoft が提供するリソースを参照してください。
4
Exchange ActiveSync の配備シナリオ
iPhone や iPadと一般的な Microsoft Exchange Server 2003、2007、2010との接続例を示します。
秘密鍵(証明書)
ファイアウォール
ファイアウォール
証明書サーバ
構成プロファイル
公開鍵(証明書)
443
3
1
Active Directory
2
Exchangeフロントエンドサーバまたは
プロキシサーバ
インターネット
クライアントアクセスサーバ
4
6
5
メールゲートウェイまたは
ブリッジヘッドまたは
Exchangeメールボックスまたは
エッジトランスポートサーバ *
ハブトランスポートサーバ
バックエンドサーバ
*ネットワーク構成によっては、メールゲートウェイまたはエッジトランスポートサーバが、境界ネットワーク内(DMZ)にある場合があります。
1
iPhone や iPad は、ポート443(HTTPS)を使用してExchange ActiveSyncサービスへのアクセスを要求します(このポートは、Outlook Web Access やそのほかのセ
キュリティ保護されたウェブサービスで使用されるポートと同じものです。そのため、多くの場合このポートはすでに開かれており、SSLで暗号化された HTTPSトラフィック
を受け入れるように構成されています)
。
2
ISA は Exchangeフロントエンドサーバまたはクライアントアクセスサーバへアクセスを提供します。ISA は、プロキシ(多くの場合はリバースプロキシ)として構成され、
Exchange Server にトラフィックを通します。
3
Exchange Server は、Active Directoryサービスおよび認証局サーバを経由して外部からのユーザーを認証します(証明書ベースの認証を使用している場合)。
4
ユーザーが適切な資格情報や証明書を与え、Exchange
クスへの接続を確立します(Active
5
ActiveSyncサービスへのアクセスがある場合、フロントエンドサーバはバックエンドサーバ上の適切なメールボッ
Directoryグローバルカタログ経由)。
Exchange ActiveSync 接続が確立されます。アップデートや変更はワイヤレスでプッシュされ、iPhoneおよび iPad 上で行われた変更は、Exchange Server に反映さ
れます。
6
iPhoneまたは iPad 上の送信済みメールアイテムも、Exchange ActiveSync によってExchange Server に反映されます(手順5)。Eメールを外部の受信者に送る場合、
Eメールは SMTPを使って、ブリッジヘッド(またはハブトランスポート)サーバから外部メールゲートウェイ(またはエッジトランスポートサーバ)に送信されます。
ネットワーク構成によっては、外部メールゲートウェイまたはエッジトランスポートサーバが、境界ネットワーク内またはファイアウォールの外にある場合があります。
©2012 Apple Inc. All Rights Reserved.Apple、Apple のロゴ、iPhone、iPad、Mac OS は、米国およびその他の国で登録された Apple Inc. の商標です。本書に記載されているその他の製品名および会社名はそれぞれの会社の
商標である場合があります。製品仕様は予告なく変更する可能性があります。この資料は情報提供のみを目的として提供されます。Apple はこの資料の使用に関する一切の責任を負いません。2012年9月
iPhoneとiPad の配備
標準規格に基づくサービス
iOS は、IMAPメールプロトコル、LDAPディレクトリサービス、CalDAVカレンダープロトコルおよび
CardDAV 連絡先プロトコルといった規格をサポートしているため、標準規格に基づくEメール、カレンダー、
連絡先を利用するほぼすべての環境に統合することができます。ネットワーク環境がユーザー認証とSSL
を要求するように構成されている場合、iPhone や iPad は標準規格に基づく社内の Eメール、カレンダー、
タスク、連絡先にアクセスするための安全なアプローチを提供します。
一般的な構成の場合、iPhoneとiPad は IMAPとSMTP のメールサーバに直接アクセスし、ワイヤレスでE
メールを送受信します。IMAP ベースのサーバとワイヤレスでシンクすることもできます。また、iOSデバイ
スは、LDAPv3で構成された企業内ディレクトリにも接続でき、ユーザーがメール、連絡先、メッセージな
どのアプリケーションから、社内の連絡先にアクセスできます。CalDAV サーバとの同期により、ユーザー
はワイヤレスでカレンダーの出席依頼を作成・承諾したり、カレンダーの更新情報を受信したりすることが
でき、リマインダーアプリケーションのタスクもシンクされます。さらに、iPhoneとiPad は CardDAV に対
応しているため、vCardフォーマットを使用した CardDAV サーバとシンクして連絡先を管理できます。す
べてのネットワークサーバは DMZサブネットワーク内、企業のファイアウォールの背後、またはその両方
に配置できます。iOS は、SSLを使って、128ビットの暗号化と、主要認証局が発行した X.509ルート証明
書をサポートします。
一般的なポート
•
•
•
•
•
IMAP/SSL:993
SMTP/SSL:587
LDAP/SSL:636
CalDAV/SSL:8443、443
CardDAV/SSL:8843、443
IMAPまたは POP 対応のメールソリューション
iOS は、Windows、UNIX、Linux、Mac OS
X などのさまざまなサーバプラットフォームで稼働
する、業界標準の IMAP4および POP3対応のメー
ルサーバをサポートしています。
CalDAVおよび CardDAV 標準
iOS は、CalDAVカレンダープロトコルおよび
CardDAV 連絡先プロトコルをサポートします。
どちらのプロトコルもIETF によって標準化されて
います。
詳細については、CalConnect
Consortium
(http://caldav.calconnect.org/および h
ttp://carddav.calconnect.org/)を参照してく
ださい。
ネットワークの設定
IT 管理者またはネットワーク管理者は次の重要な手順を実施し、iPhoneとiPad からIMAP、LDAP、
CalDAV、CardDAVサービスへのアクセスを有効にする必要があります。
• ファイアウォールで適切なポートを開きます。一般的なポートとしては、993(IMAPメール)、587(SMTP
メール)、636(LDAPディレクトリサービス)
、8443(CalDAV によるカレンダー)
、8843(CardDAV によ
る連絡先)があります。
プロキシサーバとバックエンドの IMAP、LDAP、CalDAV、CardDAV サーバとの通信でもSSLを使用す
るように設定することを推奨します。また、ネットワークサーバ上のデジタル証明書は VeriSign など信頼で
きる認証局(CA)で署名されたものを使用することをおすすめします。この重要な手順により、iPhoneと
iPad が企業内インフラストラクチャにあるプロキシサーバを信頼できるエンティティとして確実に認識でき
るようになります。
• 外部向けの SMTP Eメール用にポート587、465、25を開き、Eメール送信を許可する必要があります。
iOS は、ポート587、465、25の順に自動的にチェックします。ポート587はユーザー認証を要求するため、
最も信頼できる安全なポートです。ポート25は認証を必要としないので、一部の ISPではスパム防止のた
めにデフォルトでこのポートをブロックしている場合があります。
6
配備シナリオ
iPhone や iPadと一般的な IMAP、LDAP、CalDAV、CardDAVとの接続例を示します。
ファイアウォール
ファイアウォール
3
636
(LDAP)
LDAPディレクトリサーバ
8443
4
(CalDAV)
CalDAVサーバ
1
2
リバースプロキシサーバ
インターネット
8843
5
(CardDAV)
993(IMAP)
587(SMTP)
CardDAVサーバ
6
メールサーバ
1
iPhoneとiPad は、指定されたポートでネットワークサービスへのアクセスをリクエストします。
2
サービスによっては、ユーザーが企業のデータにアクセスする際、リバースプロキシから認証を受けるか、サーバから直接認証を受ける必要があります。すべてのケースで、
接続はセキュアゲートウェイとして機能するリバースプロキシ
(通常は企業のインターネットファイアウォール内に設置されている)
により中継されます。認証が完了すると、
ユー
ザーはバックエンドサーバ上の企業データにアクセスできるようになります。
3
iPhoneとiPad は LDAPディレクトリでの検索サービスを提供します。これにより、ユーザーは LDAPサーバ上の連絡先やアドレスブック内のそのほかの情報を検索できるよ
うになります。
4
CalDAVカレンダーでは、ユーザーはカレンダーにアクセスし、更新することができます。
5
CardDAV の連絡先は、サーバ上に格納され、一度読み込めば iPhoneとiPadではオフラインで確認することができます。CardDAV 連絡先のフィールドを変更すると、
CardDAVサーバに反映されます。
6
IMAPメールサービスでは、プロキシを経由してメールサーバに接続し、既存および新規のメールをiPhone や iPadで読むことができます。
送信するEメールは SMTPサーバへ送られ、ユーザーの「送信済みメッセージ」フォルダにメールのコピーが置かれます。
©2012 Apple Inc. All Rights Reserved.Apple、Apple のロゴ、iPhone、iPad、Mac OS は、米国およびその他の国で登録された Apple Inc. の商標です。UNIX は The Open Group の登録商標です。本書に記載されているその他の
製品名および会社名はそれぞれの会社の商標である場合があります。製品仕様は予告なく変更する可能性があります。この資料は情報提供のみを目的として提供されます。Apple はこの資料の使用に関する一切の責任を負いません。
2012年9月
iPhoneとiPad の配備
仮想プライベートネットワーク
iPhone や iPadでは、業界標準の仮想プライベートネットワーク(VPN)プロトコルを使用して、企業のプ
ライベートネットワークに安全にアクセスできます。iOS に内蔵されているVPNクライアントか、Juniper
Networks、Cisco、SonicWALL、Check Point、Aruba Networks、F5 Networks などのサードパーティ
製アプリケーションを使えば、エンタープライズシステムへの接続も簡単です。iOS はあらかじめ、Cisco
IPSec、L2TP over IPSec、PPTP に対応しています。会社がこのいずれかのプロトコルに対応していれば、
特別なネットワーク構成やサードパーティ製アプリケーションを用意しなくても、iPhone や iPad からVPN
に接続できます。また、iOS は SSL VPN に対応しており、Juniper
Networks、Cisco、SonicWALL、
Check Point、Aruba Networks、F5 Networks の SSL VPNサーバにアクセス可能です。各社の VPN
クライアントアプリケーションをApp Store からダウンロードするだけで、すぐに使用できます。iOS が対応
しているほかの VPNプロトコルと同様、SSL VPN の構成には、デバイス上で手動で行う方法と、構成プロファ
イルを使用する方法があります。
iOS は、IPv6、プロキシサーバ、スプリットトンネリングなどの業界標準のテクノロジーに対応しているため、
企業のネットワークに接続する際に VPN の機能を存分に活かすことができます。また iOS は、パスワード、
二要素トークン、デジタル証明書など、さまざまな認証方式に対応しています。証明書ベースの認証が使
用されている環境で効率的に接続できるよう、iOS には VPNオンデマンド機能が用意されています。この機
能により、指定したドメインに接続する際に VPN セッションが動的に開始されます。
対応しているプロトコルと認証方式
SSL VPN
パスワード、二要素トークン、証明書によるユーザー認証に対応しています。
Cisco IPSec
パスワードと二要素トークンによるユーザー認証、および共有シークレットと証明書によるコンピュータ認証
をサポートします。
L2TP over IPSec
MS-CHAP v2パスワード、二要素トークンによるユーザー認証、および共有シークレットによるコンピュー
タ認証をサポートします。
PPTP
MS-CHAP v2パスワードおよび二要素トークンによるユーザー認証に対応しています。
8
VPNオンデマンド
iOS には、証明書ベースの認証を使用した構成のための、VPNオンデマンド機能が用意されています。
VPNオンデマンド機能を使えば、事前に定義されているドメインにアクセスする際に、自動的に接続が
確立されるため、ユーザーに意識させることなくVPN 接続を行うことができます。
これは iOS の機能の一部なので、特別なサーバ構成は不要です。VPNオンデマンドの構成は、構成プ
ロファイルを使って行うことも、デバイス上で手動で行うこともできます。VPNオンデマンド機能のオプ
ションは次のとおりです。
常に確立
指定されたドメインと一致するアドレスに対して接続する際に、VPN 接続を開始します。
不使用
指定されているドメインに一致するアドレスに対してVPN 接続を開始しませんが、VPN がすでにアクティ
ブである場合は VPNを使用できます。
必要に応じて確立
DNS ルックアップが失敗した後でのみ、指定されているドメインに一致するアドレスに対するVPN 接続
を開始します
VPN 設定
• iOS は既存の多くの VPNネットワークと互換性があり、構成は最小限で済みます。
配備の準備をする際には、企業の既存の VPNプロトコルと認証方式に iOS が対応しているかどうかを確
認することをおすすめします。
• iOS が対応している規格が、実際の環境で有効になっていることを確認するために、認証サーバへの認
証経路を確認することもおすすめします。
• 証明書ベースの認証を計画している場合は、公開鍵インフラストラクチャをその鍵配布プロセスでデバ
イスベースおよびユーザーベースの証明書をサポートするように構成されていることを確認します。
• URL 固有のプロキシ設定を構成するには、PACファイルを基本 VPN 設定でアクセスできるウェブサーバ
上に置いて、MIMEタイプを application/x-ns-proxy-autoconfig に指定します。
プロキシ設定
すべての構成に対し、VPNプロキシを指定することもできます。すべての接続に対して単一のプロキシ
を構成するには、「手動」設定を使用し、必要に応じてアドレス、ポート、認証を提供します。PACまた
は WPADを使用して自動プロキシ構成ファイルを指定するには、「自動」設定を使用します。PACS の場
合は、PACSファイルの URLを指定します。WPAD の場合は、iPhone や iPad が DHCPおよび DNS に
適切な設定を照会します。
9
配備シナリオ
VPNサーバまたはコンセントレータと、企業のネットワークサービスへのアクセスを制御する認証サーバを含む典型的な構成例を示します。
ファイアウォール
ファイアウォール
3a
3b
認証
VPN 認証サーバ
証明書またはトークン
トークンの生成または証明書による認証
ディレクトリサービス
2
1
4
VPNサーバ/コンセントレータ
プライベートネットワーク
5
インターネット
プロキシサーバ
1
iPhone や iPad は、ネットワークサービスへのアクセスをリクエストします。
2
VPNサーバまたはコンセントレータは、受信したリクエストを認証サーバに渡します。
3
二要素トークンの環境では、認証サーバは、キーサーバによって時刻同期されたトークンキー発行を管理します。
証明書による認証方式を採用している場合、認証に先立って固有名証明書をインストールしておく必要があります。パスワード方式が採用されている場合、ユーザーの確認
を経て認証プロセスが続行されます。
4
ユーザーが認証されたら、認証サーバは、ユーザーとグループのポリシーを検証します。
5
ユーザーとグループのポリシーの検証が完了すると、VPNサーバにより、トンネリングおよび暗号化されたネットワークサービスへのアクセスが提供されます。
プロキシサーバを使用している場合、iPhone や iPad はプロキシサーバを経由してファイアウォールの外の情報にアクセスします。
©2012 Apple Inc. All Rights Reserved.Apple、Apple のロゴ、iPhone、iPad、Mac OS は、米国およびその他の国で登録された Apple Inc. の商標です。App Store は、Apple Inc. のサービスマークです。本書に記載されている
その他の製品名および会社名はそれぞれの会社の商標である場合があります。製品仕様は予告なく変更する可能性があります。この資料は情報提供のみを目的として提供されます。Apple はこの資料の使用に関する一切の責任を負いま
せん。2012年9月
iPhoneとiPad の配備
Wi-Fi
iPhoneとiPadは、特別な設定をすることなく、企業用またはゲスト用の Wi-Fiネットワークに安全に接続
できるため、場所を問わず利用可能なワイヤレスネットワークにすばやく簡単にアクセスできます。
iOS は、WPA2エンタープライズなどの業界標準のワイヤレスネットワークプロトコルにも対応しているた
め、安全にアクセスできる企業向けワイヤレスネットワークをすばやく構成できます。WPA2エンタープラ
イズでは、実績のあるブロックベース暗号化方式である128ビットAES が使用されているので、ユーザー
のデータは非常に高いレベルで保護されます。
iOS は802.1X に対応し、さまざまな RADIUS 認証環境に統合できます。iPhoneとiPadでサポートされ
ている802.1Xワイヤレス認 証 方 式には、EAP-TLS、EAP-TTLS、EAP-FAST、EAP-SIM、PEAPv0、
PEAPv1、LEAP があります。
ユーザーは、利用できるWi-Fiネットワークに自動的にアクセスするように iPhoneとiPadを設定すること
ができます。ログイン資格情報やそのほかの情報を要求するWi-Fiネットワークは、別のブラウザセッショ
ンを開かなくても、Wi-Fi 設定またはメールなどのアプリケーション内からすばやくアクセスできます。また、
電力消費が小さいパーシステントWi-Fi なので、アプリケーションへ Wi-Fiネットワークを利用してプッシュ
通知を配信できます。
ワイヤレスセキュリティプロトコル
•
•
•
•
•
WEP
WPA パーソナル
WPA エンタープライズ
WPA2パーソナル
WPA2エンタープライズ
•
•
•
•
•
•
•
802.1X 認証方式
EAP-TLS
EAP-TTLS
EAP-FAST
EAP-SIM
PEAPv0(EAP-MS-CHAP v2)
PEAPv1(EAP-GTC)
LEAP
大規模なエンタープライズ Wi-Fiネットワークでのローミングについては、iPhoneとiPad は802.11k およ
び802.11rをサポートしています。*802.11kでは、ベースステーションからの報告を使うことでiPhoneお
よび iPadをベースステーション間で移行させることができます。一方802.11rでは、デバイスがあるアクセ
スポイントから別のアクセスポイントへ移動する際に802.1X 認証を更新します。
構成プロファイルを使ってワイヤレスネットワーク、セキュリティ、プロキシ、認証設定を構成すれば、設
定および配備の時間短縮につながります。
WPA2エンタープライズの設定
• ネットワーク機器の互換性を確認し、iOS が対応している認証タイプ(EAPタイプ)を選択します。
• 認証サーバで802.1X が有効になっていることを確認し、必要に応じてサーバ証明書をインストールして、
ユーザーとグループにネットワークアクセス権を割り当てます。
• ワイヤレスアクセスポイントを802.1X 認証用に構成し、対応するRADIUSサーバ情報を入力します。
• 証明書ベースの認証を計画している場合は、公開鍵インフラストラクチャを、それに対応する鍵配布プロ
セスを使ってデバイスベースおよびユーザーベースの証明書をサポートするように構成します。
• 証明書フォーマットと認証サーバの互換性を確認します。iOS は PKCS#1 (.cer, .crt, .der) および
PKCS#12に対応しています
• ワイヤレスネットワークの規格および Wi-Fi Protected Access(WPA)に関する資料については、
www.wi-fi.orgを参照してください。
11
WPA2エンタープライズ /802.1X 配備シナリオ
RADIUS ベースの認証を利用した安全なワイヤレスネットワークの典型的な配備例を示します。
802.1Xをサポートする
ファイアウォール
ディレクトリサービス
認証サーバ(RADIUS)
3
2
4
1
802.1Xをサポートする
EAP のタイプに応じた
ワイヤレスアクセスポイント
ネットワークサービス
証明書またはパスワード
1
iPhoneとiPad は、ネットワークへのアクセスをリクエストします。ユーザーが利用可能なワイヤレスネットワークを選択すると、接続が開始されます。また、以前構成され
たネットワークが検出されると、自動的に接続が開始されます。
2
リクエストは、アクセスポイントで受信された後、認証のため RADIUS サーバに渡されます。
3
RADIUSサーバは、ディレクトリサービスを使ってユーザーアカウントを検証します。
4
ユーザーの認証が完了すると、アクセスポイントは RADIUS サーバの指示に従って、ポリシーと権限をユーザーに与え、ネットワークへのアクセスを許可します。
*iPhone 4S、iPhone 5、新しい iPad、および iPod touch(第5世代)は802.11kと802.11rをサポートしています。
©2012 Apple Inc. All Rights Reserved.Apple、Apple のロゴ、iPhone、iPad、Mac OS は、米国およびその他の国で登録された Apple Inc. の商標です。本書に記載されているその他の製品名および会社名はそれぞれの会社の
商標である場合があります。製品仕様は予告なく変更する可能性があります。この資料は情報提供のみを目的として提供されます。Apple はこの資料の使用に関する一切の責任を負いません。2012年9月
iPhoneとiPad の配備
デジタル証明書
iOSはデジタル証明書をサポートしているので、ビジネスユーザーは企業サービスに安全かつ効率的にアク
セスできます。デジタル証明書は、公開鍵、ユーザーに関する情報、証明書を発行した認証局に関する情
報で構成されています。デジタル証明書は効率的な認証、
データ整合性、暗号化を可能にする識別方法です。
iPhoneとiPadでは、証明書はさまざまな目的で使用されます。デジタル証明書によって署名されたデータ
は、情報が書き換えられていないことを確認するのに役立ちます。また、証明書は、作成者または署名者
の身元を保証するために使用できます。さらに、構成プロファイルやネットワーク通信を暗号化して、機密
情報や個人情報をより確実に保護するためにも使用されます。
iOSで証明書を使う
デジタル証明書
デジタル証明書を使用すると、ユーザー名、パスワード、ソフトトークンなどの入力を必要とせずに、企
業サービスを利用するユーザーを安全に認証することができます。iOSでは、Microsoft Exchange
ActiveSync、VPN、Wi-Fiネットワークへの接続に対する、証明書ベースの認証をサポートしています。
サポートされている証明書および固有名の
フォーマット:
• iOS は RSAキーを使用した X.509証明書をサポート
しています。
• .cer、.crt、.der、.p12、.pfx の拡張子を認識でき
ます。
認証局
認証リクエスト
エンタープライズサービス
ディレクトリサービス
イントラネット、Eメール、VPN、Wi-Fi
ルート証明書
iOS には、多数のルート証明書があらかじめインス
トールされています。
プリインストールされているシステムルート
の一覧を確認するには、Apple のサポート
記事(http://support.apple.com/kb/
HT5012?viewlocale=ja_JP)を参照してくださ
い。プリインストールされたルート証明書ではなく、
サーバ証明書
デジタル証明書はネットワーク通信の検証および暗号化に使用することもできます。これにより内部および
外部のウェブサイトとの通信を安全に行えるようになります。Safariブラウザは X.509デジタル証明書の有
効性を確認し、最大256ビットの AES 暗号化を使用した安全なセッションを確立します。これにより、その
ウェブサイトの身元が正当で、サイトとの通信が安全であることを確認でき、個人情報や機密情報の傍受を
防止できます。
社内で作成した自己署名されたルート証明書など
を使用している場合は、本文書の「証明書の配布
とインストール」に記載されているいずれかの方法
で、証明書を配布することができます。
HTTPSリクエスト
ネットワークサービス
認証局
13
証明書の配布とインストール
iPhoneとiPad に証明書を配布する方法はシンプルです。証明書を受け取ったら、タップして内容を確認
してから、もう一度タップして証明書をデバイスに追加するだけです。固有名証明書をインストールする場
合には、この証明書を保護するためのパスフレーズを要求するメッセージが表示されます。証明書の真偽
が確認できない場合、デバイスに追加される前に警告が表示されます。
構成プロファイルによる証明書のインストール
Exchange、VPN、Wi-Fi などの企業サービスの設定を配布するために、構成プロファイルを使用してい
る場合は、証明書をプロファイルに追加することで効率よく配布できます。
メールまたは Safariを使用して証明書をインストールする
証明書を Eメールで送信する場合、添付ファイルとして表示されます。Safariを使用して、ウェブページか
ら証明書をダウンロードすることもできます。証明書を安全なウェブサイトでホストして、証明書をデバイ
スにダウンロードするための URLをユーザーに知らせることもできます。
SCEP(Simple Certificate Enrollment Protocol)を使って証明書をインストールする
SCEP は、証明書を大規模に配布するための簡単な方法を提供できるように設計されています。この
SCEP により、デジタル証明書をiPhoneとiPad にワイヤレスで登録できます。この証明書は、企業サー
ビスに対する認証と、モバイルデバイス管理(MDM)サーバへの登録に使用できます。
SCEPおよびワイヤレス登録について詳しくは、www.apple.com/jp/iphone/business/resourcesを
参照してください。
証明書の削除と無効化
インストールされている証明書を手動で削除するには、「設定」>「一般」>「プロファイル」の順にタップ
します。アカウントやネットワークへのアクセスに必要な証明書を削除した場合、それらのサービスには接
続できなくなります。
証明書をワイヤレスで削除するには、モバイルデバイス管理サーバを使用します。このサーバでは、デバ
イス上のすべての証明書を表示し、インストールされている証明書を削除できます。
さらに、オンライン証明書状況プロトコル(OCSP)がサポートされており、証明書の状態を確認できます。
OCSP に対応した証明書を使用している場合、iOS はリクエストされたタスクを実行する前に、証明書が
無効になっていないことを確認します。
©2012 Apple Inc. All Rights Reserved.Apple、Apple のロゴ、iPhone、iPad、Mac OS、Safari は、米国およびその他の国で登録された Apple
Inc. の商標です。本書に記載されているその他の製品名および会社名はそれぞれの会社の商標である場合があります。
製品仕様は予告なく変更する可能性があります。この資料は情報提供のみを目的として提供されます。Apple はこの資料の使用に関する一切の責任を
負いません。2012年9月
iPhoneとiPad の配備
セキュリティの概要
iPhone や iPad の中核であるオペレーティングシステム、iOS には、何層ものセキュリティ機能が装備され
ています。この仕組みのおかげで、iPhone や iPad が企業サービスに安全にアクセスしたり、重要なデー
タを保護したりすることができます。iOS には、データ転送時の強力な暗号化、企業サービスにアクセスす
るための実績ある認証方式のサポート、デバイスに保存されている全データのハードウェア暗号化などの
機能が備わっています。
また、パスコードポリシーを使用することでデータを確実に保護します。パスコードポリシーはワイヤレスネッ
トワーク経由で配布し、適用することができます。万が一デバイスが悪意のある人物の手に渡ってしまった
場合、ユーザーや IT 管理者は、リモートワイプコマンドを実行して機密情報を消去できます。
以下の情報を理解しておくと、企業でiOSを使用するにあたってセキュリティを検討する際に役立ちます。
•
•
•
•
デバイスのセキュリティ:デバイスの不正利用を防止する機能
データのセキュリティ:デバイスを失くした場合やデバイスが盗まれた場合でも安全にデータを保護する機能
ネットワークのセキュリティ:ネットワークプロトコルと転送されるデータの暗号化
アプリケーションのセキュリティ:iOS の安全なプラットフォーム基盤
これらの機能がスムーズに連係し、安全なモバイルコンピューティングプラットフォームを提供します。
デバイスのセキュリティ
•
•
•
•
•
•
デバイスのセキュリティ
企業の情報を保護するには、iPhone や iPad へのアクセスに強力なポリシーを設定することが重要です。
強力なパスコード
デバイスのパスコードは、権限のないアクセスを防ぐ第一の方法となるもので、ワイヤレスで構成し、適用
パスコードの有効期限
することができます。iOSデバイスは、各ユーザーが設定した固有のパスコードを使用して強力な暗号鍵を
パスコード再利用の履歴
生成し、デバイス上の Eメールやアプリケーションの重要なデータの保護をさらに強化します。加えてiOS
入力を失敗できる回数
には、特定の設定、ポリシー、制限を必要とするエンタープライズ環境でデバイスを構成するための安全な
ワイヤレスでのパスコードの強制
方法が、複数用意されています。その中から柔軟に選択し、権限のあるユーザーのための標準レベルの保
高度なパスコードのタイムアウト
護を実現できます。
パスコードポリシー
デバイスパスコードは、不正なユーザーがデータにアクセスしたり、デバイスを不正に使用したりすること
を防ぎます。iOSでは、タイムアウトまでの時間、パスコードの強度、パスコードの変更頻度など、さまざ
まなパスコードの必要条件を選択できるので、セキュリティのニーズを満たすことができます。
次のパスコードポリシーに対応しています。
•
•
•
•
•
•
•
•
•
•
デバイスでのパスコードの要求
単純値を許可
英数字の値が必要
最小のパスコード長
複合文字の最小数
パスコードの有効期限
自動ロックまでの時間
パスコードの履歴
デバイスロックの猶予期間
入力を失敗できる回数
15
ポリシーの適用
前述のポリシーをiPhone や iPad に設定する方法は複数あります。ポリシーを、ユーザーがインストー
ルする構成プロファイルに含めて配布することができます。プロファイルは、管理者パスワードがある場
合にのみ削除できるように定義できます。また、プロファイルをデバイスにロックし、デバイス上のすべて
のコンテンツを完全に消去しない限りプロファイルを削除できないように定義するという方法もあります。
さらに、ポリシーをデバイスに直接プッシュできるモバイルデバイス管理(MDM)ソリューションを使用
して、パスコード設定をリモートで構成することもできます。この方法を使えば、ユーザーが特定のアク
ションを実行しなくてもポリシーの適用や更新が可能になります。
また、Microsoft
Exchangeアカウントにアクセスするようにデバイスが 構成されている場合は、
Exchange ActiveSync ポリシーがワイヤレスでデバイスにプッシュされます。利用できるポリシーは、
Exchange のバージョン(2003、2007、2010)によって異なることに注意してください。実際の構成
でサポートされるポリシーの内容については、『Exchange ActiveSyncとiOS 搭載デバイス』を参照し
てください。
安全なデバイスの構成
構成プロファイルは XMLファイルです。これには、デバイス保護ポリシー、制限、VPN 構成情報、
Wi-Fi 設定、Eメールアカウント、カレンダーアカウント、iPhone や iPadとエンタープライズシステムと
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
サポートされている構成可能なポリシーと制限
の連係を許可する認証の資格情報が含まれています。構成プロファイルでパスコードポリシーとデバイ
デバイスの機能
ス設定を適用することで、組織で規定されているセキュリティ標準に従って適切に社内のデバイスを構
アプリケーションのインストールを許可
成することができます。構成プロファイルを暗号化し、ロックしておけば、設定を削除・変更したり、ほ
Siriを許可
かの人と共有したりすることはできなくなります。
デバイスのロック中に Siri も許可
ロック中の Passbook 通知を許可
カメラの使用を許可
FaceTimeを許可
画面の取り込みを許可
ローミング中の自動同期を許可
メール履歴の同期を許可
音声ダイヤルを許可
In-App Purchaseを許可
購入時に常に iTunes Store パスワードを要求
マルチプレイヤーゲームを許可
Game Center の友人の追加を許可
許可されるコンテンツレーティングの設定
アプリケーション
•
•
•
•
YouTube の使用を許可
iTunes Store の使用を許可
Safari の使用を許可
Safari のセキュリティ設定
iCloud
•
•
•
•
バックアップを許可
書類同期を許可
コンテンツが保護され、対象となるデバイスにのみインストールが許可されます。構成プロファイルは、
3DESおよび AES 128をサポートするCMS(Cryptographic Message Syntax、RFC 3852)を使用
して暗号化されます。
暗号化された構成プロファイルをはじめて配布する場合は、構成ユーティリティを使ってUSB 経由でイン
ストールするか、ワイヤレス登録によってインストールします。このほかにも、暗号化された構成プロファ
イルを添付ファイルとしてEメールで配信したり、ユーザーがアクセスできるウェブサイトでホストしたり、
ソリューションを使用してデバイスにプッシュする、
という方法があります。
モバイルデバイス管理(MDM)
デバイスの制限
デバイスの制限では、そのデバイスでユーザーがアクセスできる機能を設定します。制限する対象は通
常、Safari、YouTube、iTunes
Store など、ネットワークを使用するアプリケーションですが、アプリ
ケーションのインストールやカメラの使用など、デバイスの機能を制御することもできます。制限を定義
することで、要件に応じたデバイスの構成が可能になり、ユーザーはビジネス慣行に応じた方法でデバ
イスを利用できるようになります。制限は、各デバイス上で手動で構成するか、構成プロファイルを使
用して適用するか、MDMソリューションを使用してリモートで適用することができます。また、パスコー
ドポリシーと同様に、カメラとウェブブラウジングの制限も、Microsoft
Exchange Server 2007およ
び2010を介してワイヤレスで適用することができます。
フォトストリームを許可
デバイスに制限とポリシーを設定できることに加え、iTunesデスクトップアプリケーションも、IT 部門が
共有フォトストリームを許可
構成し、管理できます。そうすることで、不適切なコンテンツへのアクセスを禁止したり、ユーザーが
セキュリティとプライバシー
• 診断データをApple に送信することを許可
• 信頼されていない TLS 証明書の受け入れをユーザーに
許可
• 強制的に暗号化バックアップ
監視対象のみの制限
•
•
•
•
•
•
•
構成プロファイルでは、署名と暗号化の両方を利用できます。構成プロファイルに署名することにより、
適用される設定は一切変更できなくなります。また、構成プロファイルを暗号化すると、プロファイルの
iMessageを許可
Game Centerを許可
アプリケーションの削除を許可
iBookstoreを許可
iBookstore のポルノを許可
Siri の不適切な単語フィルタを有効にする
構成プロファイルの手動インストールを許可
iTunes からアクセスできるネットワークサービスを定義したり、新しいソフトウェアアップデートをユー
ザーがインストールできるかどうかを設定したりできるようになります。詳しくは、『iOS 搭載デバイスの
ための iTunes の配備』を参照してください。
16
データのセキュリティ
データのセキュリティ
•
•
•
•
•
•
ハードウェア暗号化
データ保護
リモートワイプ
ローカルワイプ
会社や顧客の機密情報を扱う環境では、iPhoneとiPad に保存されたデータを保護することが重要です。
iPhoneとiPadでは、転送中のデータを暗号化できるほか、デバイスに保存されたすべてのデータをハー
ドウェア暗号化し、Eメールおよびアプリケーションデータも暗号化することで、データ保護をさらに強化
します。
構成プロファイルの暗号化
万が一、デバイスを紛失したり、盗まれたりした時には、デバイスを無効にし、保存されているデータ
iTunes のバックアップデータの暗号化
を消去することが重要です。パスコードの入力に一定回数失敗すると、デバイスをワイプするポリシーを
コンテンツレート
• 不適切なミュージックとPodcastを許可
• レーティングの地域の設定
• 許可されるコンテンツレートの設定
設定するのも効果的です。デバイスへの不正アクセスに対する重要な防御策になります。
暗号化
iPhoneとiPadでは、ハードウェアベースの暗号化を使用できます。ハードウェア暗号化では、256ビッ
トAESを使用してデバイスのすべてのデータを保護します。暗号化は常に有効で、ユーザーが無効にす
ることはできません。
さらに、iTunes やユーザーのコンピュータに作成されたバックアップデータを暗号化できます。これは、
ユーザー自身で有効にするか、構成プロファイルのデバイス制限設定を使用して適用します。
iOS はメールでS/MIMEをサポートしているため、iPhoneとiPadでは暗号化された Eメールメッセージ
を表示したり、送信したりすることができます。メールメッセージが複数のアカウント間を移動したり、
1つのアカウントで受信したメッセージが別のアカウントに転送されたりしないように、制限を適用する
こともできます。
データ保護
iPhoneとiPad のハードウェア暗号化機能に加え、iOS に組み込まれたデータ保護機能を使用すること
で、デバイスに保存された Eメールメッセージや添付ファイルをさらに強力に保護することができます。
データ保護機能では、ユーザーごとに異なるデバイスパスコードをiPhone や iPad のハードウェア暗号
化と組み合わせることで、強力な暗号キーを生成します。デバイスがロックされると、この暗号鍵によっ
てデータへのアクセスが禁止され、万が一デバイスを紛失したり、盗まれたりした場合でも、重要な情
報をしっかり守ることができます。
データ保護機能を有効にするには、デバイス上でパスコードを設定するだけです。
データ保護の効果はパスコードの強度に依存します。そのため、企業のパスコードポリシーを設定する
際に、5桁以上の強度の高いパスコードを要求し、適用するようにしておくことが重要です。
パスコード設定画面を表示すると、デバイスでデータ保護が有効になっているかどうかを確認できます。
モバイルデバイス管理(MDM)ソリューションでデバイスを照会し、この情報を確認するという方法も
あります。
これらのデータ保護 API はアプリケーション開発者も使用でき、社内または商用のアプリケーションの
データを保護するために使用できます。
高度なパスコードのタイムアウト
リモートワイプ
パスコードの入力に何度も失敗した場合に、自動的にワ
iOS はリモートワイプをサポートしています。デバイスが紛失した場合や盗まれた場合、管理者やデバ
イプを実行するように iPhone や iPadを構成することが
イス所有者はすべてのデータを削除し、デバイスを無効にするリモートワイプコマンドを実行できます。
できます。間違ったパスコードを何度も入力すると、iOS
Exchangeアカウントを使用してデバイスが構成されている場合は、管理者が Exchange 管理コンソー
Server 2007または2010)または Exchange ActiveSync Mobile Administration
ウェブツール(Exchange Server 2003、2007、
または2010)
を使用してリモートワイプを実行できます。
Exchange Server 2007または2010の場合は、OWA(Outlook Web Access)を使用して直接リモー
トワイプコマンドを実行することもできます。会社でExchangeサービスが使用されていない場合でも、
MDMソリューションからリモートワイプコマンドを実行するという方法もあります。
は長時間使用できなくなります。パスコードの入力に失
敗した回数が一定の回数を超えると、デバイス上のすべ
てのデータと設定が消去されます。
ル(Exchange
17
ローカルワイプ
パスコードの入力に一定回数を超えて失敗した場合に、自動的にローカルワイプを実行するようにデ
バイスを構成することもできます。この構成は、デバイスに強引にアクセスしようとする試みからデータ
を守る手段となります。パスコードを設定すると、ユーザーが、設定から直接ローカルワイプを有効に
できます。デフォルトでは、パスコードの入力に10回失敗すると自動的にデバイスのデータを消去しま
す。ほかのパスコードポリシーと同様、ワイプされるまでの試行の最大回数は、構成プロファイルまた
は MDMサーバで設定するか、Microsoft
Exchange ActiveSync ポリシーを使用してワイヤレスで適
用することができます。
iCloud
iCloudでは、音楽、写真、アプリケーション、カレンダー、ドキュメントなど、さまざまなデータを保
存し、ユーザーのすべてのデバイスに自動的にプッシュします。iCloud は、デバイス設定、アプリケー
ションデータ、テキストメッセージ、MMSメッセージなどの情報も、Wi-Fi 経由で毎日バックアップしま
す。iCloud は、コンテンツをインターネット経由で送信する際に暗号化し、暗号化フォーマットで保存
し、認証にセキュアトークンを使うことで、コンテンツをしっかり保護します。さらに、フォトストリーム、
ドキュメントの同期、バックアップといったiCloud の機能を、構成プロファイルによって無効にすること
も可能です。iCloud のセキュリティとプライバシーの詳細については、http://support.apple.com/
kb/HT4865?viewlocale=ja_JPをご覧ください。
ネットワークのセキュリティ
ネットワークのセキュリティ
• Cisco IPSec、L2TP、PPTP VPN のビルトイン
サポート
•
•
•
•
•
•
•
•
•
App Storeアプリケーションを使用した SSL VPN
X.509証明書を使用した SSL/TLS
802.1Xを使用した WPA/WPA2エンタープライズ
•
•
•
•
•
•
せん。その際には、ユーザーの認証と伝送時のデータ保護も確実に行う必要があります。iOS には、
Wi-Fiネットワーク接続と携帯電話データネットワーク接続の両方においてこれらのセキュリティ要件を
満たすための、実績のある技術が備わっています。
既存のインフラストラクチャに加え、FaceTime セッションや iMessageでの会話は、すべてエンドツー
証明書ベースの認証
エンドで暗号化されます。iOS がユーザーごとに固有の IDを作成するため、コミュニケーションの内容
RSA SecurID、CRYPTOCard
は暗号化され、適切なルーティングと接続が行われます。
VPNプロトコル
Cisco IPSec
L2TP/IPSec
PPTP
SSL VPN
VPN
認証方法
•
•
•
•
•
モバイルユーザーは、世界中のどこからでも企業の情報ネットワークにアクセスできなければなりま
パスワード(MSCHAPv2)
RSA SecurID
CRYPTOCard
X.509デジタル証明書
共有シークレット
802.1X 認証プロトコル
EAP-TLS
EAP-TTLS
EAP-FAST
EAP-SIM
PEAP v0、v1
LEAP
サポートされる証明書形式
iOSでは RSA 鍵を使用した X.509証明書を
サポートしています。
認識されるファイル拡張子は、.cer、.crt、.der
です。
多くのエンタープライズ環境では、何らかの形態で仮想プライベートネットワーク(VPN)が構築されて
います。こうした安全なネットワークサービスがすでに配備されている場合は、通常、最小限の設定と
構成だけで、iPhone や iPadを統合することができます。
iOS は、Cisco IPSec、L2TP、PPTPをサポートしているので、特別な設定を行わなくても、一般に使
用されているさまざまな VPN 環境に組み込むことができます。iOS は、Juniper Networks、Cisco、
SonicWALL、Check Point、Aruba Networks、および F5 Networks のアプリケーションを介した
SSL VPN に対応しています。これらのプロトコルに対応するので、機密情報の転送時には、最高レベ
ルの IP ベース暗号化を利用できます。
iOS は、既存の VPN 環境に安全にアクセスできるだけでなく、定評あるユーザー認証方式も採用してい
ます。標準的な X.509デジタル証明書による認証は、企業のリソースへの効率的なアクセスを可能にし、
ハードウェアベースのトークンの代わりとして利用できます。また、証明書認証により、iOSでVPNオン
デマンド機能を利用できるため、ユーザーに VPN 認証プロセスを意識させることなく、強力な認証によっ
てネットワークサービスにアクセスできるようになります。二要素トークンが必要なエンタープライズ環
境では、iOS に RSA
SecurID や CRYPTOCardを統合できます。
iOS は、ネットワークプロキシ構成に加え、スプリットIPトンネリングもサポートしているので、パブリッ
クネットワークドメインへのトラフィックも、プライベートネットワークドメインへのトラフィックも、会社
独自のポリシーに従って中継することができます。
18
SSL/TLS
iOS は、SSL v3に加え、次世代のインターネットセキュリティ標準であるTLS v1.0、1.1、1.2(Transport
Layer Security)もサポートしています。Safari、カレンダー、メール、そのほかのインターネットを使
うアプリケーションは、これらのメカニズムを自動的に開始し、iOSと企業サービスとの間での通信を暗
号化します。
WPA/WPA2
iOSでは WPA2エンタープライズがサポートされているので、社内ワイヤレスネットワークへのアクセス
に対して認証を行うことができます。WPA2エンタープライズは、128ビットの AES 暗号化を採用してい
るため、ユーザーが Wi-Fiネットワーク経由で情報を送受信する際、高いレベルでデータを保護します。
iPhoneとiPad は802.1X に対応しているため、さまざまな RADIUS 認証環境に統合できます。
アプリケーションのセキュリティ
アプリケーションのセキュリティ
•
•
•
•
•
•
ランタイム保護
コード署名の強制
キーチェーンサービス
iOS は、セキュリティを重視して設計されたプラットフォームです。たとえば、「サンドボックス化」によっ
て、アプリケーションのランタイム保護を実現したり、署名を要求したりすることでアプリケーションの改
ざんを防いでいます。さらに、アプリケーションとネットワークサービスの資格情報を、暗号化されたキー
Common Crypto APIs
チェーンに安全に保存するためのフレームワークもあります。アプリケーション開発者向けには、アプリ
アプリケーションのデータ保護
ケーションのデータストアの暗号化に使用できる共通の暗号アーキテクチャが用意されています。
管理されたアプリケーション
ランタイム保護
デバイス上のアプリケーションは「サンドボックス化」されているため、ほかのアプリケーションによって
保存されたデータにはアクセスできません。また、システムファイル、リソース、およびカーネルは、ユー
ザーのアプリケーション空間から保護されています。アプリケーションがほかのアプリケーションのデー
タにアクセスする必要がある場合は、iOS が提供するAPIとサービスを使用した時のみアクセスできます。
コード生成も防ぎます。
コード署名の強制
すべての iOSアプリケーションには署名が義務づけられています。デバイスと共に提供されるアプリケー
ションは、Apple が署名しています。サードパーティ製アプリケーションについては、アプリケーション
開発者が Apple 発行の証明書を使用して署名しています。これにより、アプリケーションに改ざんや変
更が加えられていないことを確認できます。さらに、アプリケーションを前回使用した後に、信頼できな
い状態になっていないかどうかを確認するためにランタイムチェックが実行されます。
カスタムアプリケーションや社内アプリケーションの使用は、プロビジョニングプロファイルで制御できま
す。ユーザーは、アプリケーションを実行する前に、プロビジョニングプロファイルをインストールする
必要があります。プロビジョニングプロファイルのインストールや削除は、MDMソリューションを使用し
て、ワイヤレスで行えます。管理者は特定のデバイスに対してアプリケーションの使用を制限することも
できます。
安全な認証フレームワーク
iOS には、デジタル ID、ユーザー名、およびパスワードを格納するための、安全で暗号化されたキー
チェーンが備わっています。キーチェーンのデータは分割されているので、サードパーティ製アプリケー
ションで保存された資格情報に、別の IDを持つアプリケーションがアクセスすることはできません。こう
したメカニズムにより、iPhoneとiPad に保存された、企業内のさまざまなアプリケーションとサービス
の認証資格情報がしっかり保護されます。
一般的な暗号化アーキテクチャ
アプリケーション開発者は暗号化 API にアクセスして、さらにアプリケーションデータを保護できます。
データは、AES、RC4、3DES など実績のある方式を利用して対称鍵方式で暗号化されます。さらに、
iPhoneとiPad には AES 暗号化および SHA1ハッシュのためのハードウェアアクセラレーションが搭載さ
れているので、アプリケーションのパフォーマンスを最大限に引き出すことができます。
19
アプリケーションのデータ保護
アプリケーションは、iPhone や iPad に搭載されているハードウェア暗号化を使用して、重要なアプリケー
ションデータをより強固に保護します。アプリケーション開発者は、データを保護したい特定のファイル
を指定し、アプリケーションや侵入者がファイルの内容にアクセスできないよう、デバイスがロックされ
た際にファイルの内容を暗号化するように設定しておくことができます。
管理されたアプリケーション
MDMサーバは App Store から入手したサードパーティ製アプリケーションや、企業の社内アプリケー
ションを管理することができます。アプリケーションを管理対象として設定すれば、デバイス上のアプリ
ケーションとその関連データを MDMサーバから削除できるかどうかを指定できるようになります。また、
サーバでは、管理されたアプリケーションのデータが iTunes や iCloud にバックアップされないようにす
ることもできます。これにより、IT 部門は機密性の高いビジネス情報を含んでいる可能性のあるアプリ
ケーションを、ユーザーが直接ダウンロードしたアプリケーションよりも細かく管理できます。
管理されたアプリケーションをインストールするために、MDMサーバからデバイスにインストールコマ
ンドが送信されます。管理されたアプリケーションをインストールするには、ユーザーの承認が必要で
す。管理されたアプリケーションについて詳しくは、「iOS のモバイルデバイス管理について」(www.
apple.com/jp/iphone/business/integration/mdm)を参照してください。
完全なセキュリティを備えた革新的なデバイス
iPhoneとiPad は、転送中または保存されているデータと、iCloud や iTunes へのバックアップ中のデー
タを暗号化して保護します。ユーザーが企業の Eメールにアクセスしている時も、個人のウェブサイトを
見ている時も、企業ネットワークにアクセスするための認証を行っている時も、iOS は、認証済みのユー
ザー以外は企業の機密情報にアクセスできないようにします。また、
エンタープライズクラスのネットワー
ク機能とデータ損失防止のための包括的な機能を備えているので、実績のあるモバイルデバイスセキュ
リティとデータ保護が実装されているという確信を持ってiOSデバイスを導入することができます。
©2012 Apple Inc. All Rights Reserved.Apple、Apple のロゴ、FaceTime、iPad、iPhone、iTunes、Passbook、Safari、Siri は、米国およびその
Inc. の商標です。iMessage は Apple Inc. の商標です。iCloudおよび iTunes Store は、米国およびその他の国で登録された
Apple Inc. のサービスマークです。App StoreおよびiBookstore はApple Inc. のサービスマークです。この資料に記載されたその他の製品名および企業名は、
他の国で登録された Apple
それぞれ各社の商標の場合があります。製品仕様は予告なく変更する可能性があります。
2012年9月
iPhoneとiPad の配備
モバイルデバイス管理
iOS は、組織を横断して広範に配備された iPhone や iPadを管理するモバイルデバイス管理(MDM)
をサポートしています。
MDM 機能は、構成プロファイル、ワイヤレス登録、Appleプッシュ通知サービスなど、既存の iOSテ
クノロジーを基に構築されており、社内またはサードパーティ製のサーバソリューションと統合できます。
これにより、IT 部門は、iPhone や iPadをエンタープライズ環境に安全に導入し、設定の構成や更新を
ワイヤレスで行い、企業のポリシーへの準拠状況を監視し、さらには管理対象のデバイスをリモートで
消去したりロックしたりすることが可能になります。
iPhoneおよび iPad の管理
iOSデバイスの管理は、モバイルデバイス管理(MDM)サーバを介して行います。このサーバは IT 部
門が社内に設置することも、社外のソリューションプロバイダから購入することもできます。デバイスは
サーバと通信して、保留になっているタスクがあるかどうかを確認し、適切なアクションで応答します。
これらのタスクには、ポリシーのアップデート、要求されたデバイスやネットワーク情報の提供、設定と
データの削除などがあります。
管理機能のほとんどはバックグラウンドで実行されるので、ユーザーの操作は必要ありません。たとえ
ば、IT 部門が VPNインフラストラクチャを更新する場合、MDMサーバが、iPhone や iPad にワイヤレ
スで新しいアカウント情報を設定します。その後、社員が VPNを使用する際には、適切な構成がすでに
設定されているので、社員はヘルプデスクに問い合わせたり、設定を手動で変更したりする必要はあり
ません。
ファイアウォール
Appleプッシュ通知サービス
サードパーティ製
MDMサーバ
21
モバイルデバイス管理(MDM)とAppleプッシュ通知サービス
MDMサーバが iPhoneまたは iPadとの通信を行う場合は、Appleプッシュ通知サービスを使って、サー
バへのチェックインを促すサイレント通知がデバイスに送信されます。デバイスに通知するプロセスでは、
Appleプッシュ通知サービスとの間で機密情報のやり取りは行われません。プッシュ通知によって実行さ
れるタスクは、MDMサーバをチェックするようにデバイスに合図を送ることのみとなります。すべての
構成情報、設定、照会は、サーバから直接 iOSデバイスに送信され、デバイスとMDMサーバの間で
は暗号化された SSL/TLS 接続が使用されます。iOS は、バッテリー駆動時間、パフォーマンス、信頼性
といったユーザーエクスペリエンスへの影響を最小限に抑えるために、すべての MDM のリクエストや
アクションをバックグラウンドで処理します。
プッシュ通知サーバが MDMサーバからのコマンドを認識できるようにするには、まずサーバに証明書
をインストールする必要があります。この証明書は、Apple
Push Certificates Portalでリクエストし、
ダウンロードする必要があります。Appleプッシュ通知証明書が MDMサーバにアップロードされると、
デバイスの登録を開始できます。MDM 用に Appleプッシュ通知証明書をリクエストする方法の詳細に
ついては、www.apple.com/jp/iphone/business/integration/mdm/を参照してください。
iOSとSCEP
iOS は SCEP(Simple Certificate Enrollment
Protocol)をサポートしています。SCEP は IETF のイン
ターネットドラフトで、証明書の大規模な配布を簡単に
行える方法を提供するよう設計されています。SCEPを
利用すれば、固有名証明書をワイヤレスでiPhone や
iPad に登録し、企業サービスに対する認証に使用する
ことができます。
Appleプッシュ通知ネットワークの設定
MDMサーバとiOSデバイスがファイアウォールの内側にある場合、MDMサーバを正しく機能させるた
めに、ネットワークの構成が必要となる場合があります。MDMサーバからAppleプッシュ通知サービス
に通知を送信するには、TCP ポート2195が開いている必要があります。フィードバックサービスを利用
する場合は、TCP ポート2196も開く必要があります。Wi-Fiでデバイスからプッシュサービスに接続する
には、TCP ポート5223が開いている必要があります。
プッシュサービス用の IPアドレスの範囲は変更される場合があるため、MDMサーバは IPアドレスでは
なくホスト名で接続するのが理想的です。プッシュサービスでは、同一のホスト名に対して異なるIPアド
(開発用プッ
レスを生成する負荷分散スキームが使用されます。ホスト名は gateway.push.apple.com
シュ通知環境では gateway.sandbox.push.apple.com)です。また、17.0.0.0/8アドレスブロック全
体が Apple に割り当てられるため、その範囲を指定するファイアウォールのルールを確立できます。
詳しくは、ご 利 用 の MDM ベンダ ー に 問 い 合 わ せるか、iOS
Developer Library の「Developer
TN2265」( 英 語 )(http://developer.apple.com/library/ios/#technotes/
Technical Note
tn2265/_index.html)を参照してください。
登録
モバイルデバイス管理サーバとネットワークの設定が完了して最初の iPhoneまたは iPad の管理作業
は、MDMサーバを使用して登録することです。これにより、デバイスとサーバの関係が確立され、そ
の後はユーザーが操作しなくても、必要に応じてデバイスを管理できるようになります。
この操作は、iPhoneまたは iPadを USB 経由でコンピュータに接続することで行えますが、ほとんどの
ソリューションでは登録プロファイルをワイヤレスで配信できます。MDM ベンダーによって方法が異な
り、アプリケーションを使用してこのプロセスを開始する場合と、ユーザーをウェブポータルに移動させ
て登録を開始する場合があります。どちらの方法にもそれぞれのメリットがありますが、両方ともSafari
を経由したワイヤレス登録プロセスの起動に使用されます。
22
登録プロセスの概要
ワイヤレス登録のプロセスには、自動ワークフローで組み合わせて、エンタープライズ環境で最も拡
張性の高い方法でデバイスを安全に登録できるようにするフェーズが含まれています。フェーズは以
下のとおりです。
1. ユーザー認証
ユーザー認証では、受信した登録リクエストが権限のあるユーザーからのものであることと、証明書
の登録に進む前にユーザーのデバイス情報が記録されていることが確認されます。登録プロセスを
開始するようユーザーに通知する際、管理者は、ウェブポータル、Eメール、SMSメッセージ、アプリケー
ションを利用できます。
2. 証明書登録
ユーザーの認証後は、iOS によってSimple
Certificate Enrollment Protocol(SCEP)で証明書
登録要求が生成されます。この登録リクエストはエンタープライズ認証局(CA)に直接送信され、
iPhone や iPad は CA からのレスポンスとして固有名証明書を受信できます。
3. デバイスの構成
ID 証明書がインストールされると、デバイスは暗号化された構成情報をワイヤレスで受信できます。
この情報は、対象のデバイスにのみインストールすることができ、情報には、デバイスが MDMサー
バに接続するために必要な設定が含まれています。
登録プロセスの最後の段階では、デバイスにインストール画面が表示され、ユーザーは、MDMサー
バがそのデバイスに対してどのようなアクセス権を持つのかを確認できます。プロファイルのインス
トールに同意すると、ユーザーのデバイスは自動的に登録されます。それ以上の操作は必要ありま
せん。
管理対象のデバイスとしてiPhone や iPadを登録すると、MDMサーバから動的に設定の構成や情
報照会を行ったり、リモートワイプを実行したりできるようになります。
管理
モバイルデバイス管理には、MDMサーバが iOSデバイスに対して実行できる数多くの機能が用意さ
れています。これには、構成プロファイルやプロビジョニングプロファイルのインストールと削除、ア
プリケーションの管理、MDMサーバとの関係の停止、デバイスのリモートワイプなどが含まれます。
管理対象の構成
デバイスの構成プロセスの初期の段階で、MDMサーバは、バックグラウンドでインストールされた
構成プロファイルを iPhoneとiPad にプッシュします。時間がたつと、登録時に実装された設定とポ
リシーは更新または変更が必要になる場合があります。そうした変更を行うために、MDMサーバは、
新しい構成プロファイルをインストールし、既存のプロファイルをいつでも変更または削除できます。
また、ユーザーの場所や組織内での役割によっては、状況に応じた構成をiOSデバイスにインストー
ルする必要が出てくる場合もあります。たとえば、ユーザーが海外出張している場合、MDMサーバ
はメールアカウントの同期を自動ではなく手動で行うように強制できます。通信業者のローミング費
用が発生しないように、MDMサーバを使って、リモートで音声サービスやデータサービスを無効に
することもできます。
23
管理されたアプリケーション
MDMサーバは App Store から入手したサードパーティ製アプリケーションや、企業の社内アプリケー
ションを管理することができます。サーバは管理されたアプリケーションとそれに関連付けられたデータ
を必要に応じて削除できるほか、MDMプロファイルが削除された時にアプリケーションを削除するか
どうか指定することも可能です。さらに、MDMサーバでは、管理されたアプリケーションのデータが
iTunesとiCloud にバックアップされないように指定できます。
管理されたアプリケーションをインストールするために、MDMサーバからユーザーのデバイスにインス
トールコマンドが送信されます。管理されたアプリケーションをインストールするには、ユーザーの承認
が必要です。MDMサーバが管理されたアプリケーションを App
Store からインストールするようにリク
エストすると、そのアプリケーションは、インストール時に使用されるiTunesアカウントで引き換えられ
ます。有料アプリケーションの場合、MDMサーバは Volume
Purchasing Program(VPP)引き換え
コードを送信する必要があります。VPP の詳細については、www.apple.com/jp/business/vpp/を
ご覧ください。
App
Store が無効化されている場合、ユーザーのデバイスにApp Store のアプリケーショ
ンをインストールすることはできません。
監視対象デバイスをMDMで管理する
Apple Configuratorを使ってアクティベートしたデバイスは「監視」の対象になり、追加の設定や
制限をインストールすることができます。Apple Configurator によって監視対象になったデバイスに
は、適用可能な設定や制限をすべて、MDMを介してワイヤレスでインストールすることもできます。
Apple ConfiguratorとMDMでデバイスの構成と管理を行う方法の詳細は、「iPhoneとiPad の配備:
Apple Configurator」を参照してください。
デバイスの削除または消去
デバイスがポリシーから外れているか、紛失または盗難されたことが判明した場合、または従業員が退
社した場合、MDMサーバはさまざまな方法で社内情報を保護するアクションを実行します。
IT 管理者は、MDMサーバの情報を含む構成プロファイルを削除することで、デバイスとの MDM 関係
を終了させることができます。これによって、その構成プロファイルに基づいてインストールされたアカ
ウント、設定、アプリケーションはすべて削除されます。別の方法として、MDM 構成プロファイルはそ
のままにしておき、削除を要する構成プロファイル、
プロビジョニングプロファイル、管理されたアプリケー
ションだけを、MDMを使って削除することも可能です。このアプローチでは、デバイスを MDM の管理
下に留めておくことができ、ポリシー違反が解決した場合に再登録を行う必要もありません。
どちらの方法でも、IT 部門はポリシーに準拠しているユーザーおよびデバイスに対してのみ情報を提供
すると共に、音楽、写真、個人用アプリケーションといったユーザーの個人データに影響を与えることなく、
確実に会社のデータを削除することができます。
デバイス上のすべてのメディアとデータを完全に削除し、出荷時の状態に戻す必要がある場合は、
MDM によってiPhone/iPad のリモートワイプを行います。紛失したデバイスをまだユーザーが探して
いる状況であれば、デバイスにリモートロックコマンドを送る方法もあります。デバイスの画面はロック
され、解除するにはユーザーのパスコードが必要です。
ユーザーが単にパスコードを忘れてしまった場合は、MDMサーバでデバイスのパスコードを削除し、
60分以内に新しいパスコードを作成するようにユーザーに指示を出すことができます。
24
サポートされている管理コマンド
管理対象の構成
•
•
•
•
構成プロファイルのインストール
構成プロファイルの削除
データローミング
音声ローミング(一部のキャリアでは使用不可)
管理されたアプリケーション
•
•
•
•
•
管理されたアプリケーションのインストール
管理されたアプリケーションの削除
管理されたアプリケーションの一覧
プロビジョニングプロファイルのインストール
プロビジョニングプロファイルの削除
セキュリティコマンド
• リモートワイプ
• リモートロック
• パスコードの消去
設定
デバイスのアカウント、ポリシー、制限を構成するため、MDMサーバは「構成プロファイル」と呼ばれ
るファイルをデバイスに送信します。プロファイルは自動的にインストールされます。構成プロファイル
は XMLファイルです。このファイルには、アカウント情報、パスコードポリシー、制限、そのほかのデ
バイス設定など、デバイスとエンタープライズシステムの連係を可能にするための設定や権限が含まれ
ています。デバイスの構成を前述の登録プロセスと組み合わせることで、IT 部門は、信頼できるユーザー
だけが企業サービスにアクセスしていることと、定められたポリシーに従ってユーザーのデバイスが適
切に構成されていることを確信できます。
構成プロファイルは署名による暗号化が可能なので、設定を変更したり、ほかの人と共有したりするこ
とはできません。
25
サポートされる設定可能なアイテム
アカウント
•
•
•
•
•
•
•
•
Exchange ActiveSync
IMAP/POP Eメール
Wi-Fi
VPN
LDAP
CardDAV
CalDAV
照会するカレンダー
パスコードポリシー
•
•
•
•
•
•
•
•
•
•
デバイスでのパスコードの要求
単純値を許可
英数字の値が必要
最小のパスコード長
複合文字の最小数
デバイスの機能
•
•
•
•
•
•
•
•
•
•
•
•
•
•
パスコードの履歴
デバイスロックの猶予期間
入力を失敗できる回数
デバイスのロック中に Siriを許可
ロック中の Passbook 通知を許可
カメラの使用を許可
FaceTimeを許可
画面の取り込みを許可
ローミング中の自動同期を許可
メール履歴の同期を許可
音声ダイヤルを許可
In-App Purchaseを許可
購入時に常に iTunes Store のパスワードを要求
マルチプレイヤーゲームを許可
Game Center の友人の追加を許可
アプリケーション
パスコードの有効期限
自動ロックまでの時間
アプリケーションのインストールを許可
Siriを許可
•
•
•
•
YouTube の使用を許可
iTunes Store の使用を許可
Safari の使用を許可
Safari のセキュリティ設定
セキュリティとプライバシー
iCloud
• バックアップを許可
• 診断データをApple に送信することを許可
• 信頼されていない TLS 証明書の受け入れをユーザー • 書類同期を許可
に許可
• フォトストリームを許可
• 強制的に暗号化バックアップ
• 共有フォトストリームを許可
監視対象のみの制限
•
•
•
•
•
•
•
iMessageを許可
Game Centerを許可
アプリケーションの削除を許可
iBookstoreを許可
iBookstore の成人向けコンテンツを許可
Siri の不適切な単語フィルタを有効にする
構成プロファイルの手動インストールを許可
そのほかの設定
•
•
•
•
•
•
資格情報
ウェブクリップ
SCEP 設定
APN 設定
グローバル HTTPプロキシ(監視対象のみ)
シングルアプリケーションモード(監視対象のみ)
コンテンツレーティング
• 不適切なミュージックとPodcastを許可
• レーティングの地域の設定
• 許可されるコンテンツレーティングの設定
26
デバイスのクエリ
MDMサーバには、構成に加え、多様な情報についてデバイスにクエリする機能があります。この情報
を使って、デバイスが常に必要なポリシーに準拠していることを確認できます。
サポートされているクエリ
デバイス情報
•
•
•
•
•
•
•
•
•
•
UDID(Unique Device Identifier)
デバイス名
iOSおよびビルドバージョン
モデル名および番号
シリアル番号
容量と空き領域
IMEI
モデムファームウェア
バッテリー残量
監視のステータス
ネットワーク情報
•
•
•
•
•
•
•
ICCID
Bluetooth®および Wi-Fi の MACアドレス
現在のキャリアのネットワーク
加入者のキャリアのネットワーク
キャリア設定のバージョン
電話番号
データローミング設定(オン/オフ)
コンプライアンスとセキュリティ情報
•
•
•
•
•
インストールされている構成プロファイル
有効期限付きでインストールされている証明書
適用されているすべての制限の一覧
ハードウェア暗号化機能
パスコードの設定有無
アプリケーション
• インストールされているアプリケーション(アプ
リケーションID、名前、バージョン、サイズ、
およびアプリケーションのデータサイズ)
• 有効期限付きでインストールされているプロビ
ジョニングプロファイル
27
プロセス概要
次の図は、モバイルデバイス管理(MDM)サーバの基本的な配備例を示しています。
1
ファイアウォール
3
2
4
Appleプッシュ通知サービス
サードパーティ製 MDMサーバ
5
1
モバイルデバイス管理サーバの情報を含む構成プロファイルがデバイスに送信されます。ユーザーに対して、サーバによる管理対象や問い合わせ対象に関する情報が提示
されます。
2
ユーザーはプロファイルをインストールして、デバイスが管理されることを許可します。
3
プロファイルがインストールされるとデバイスが登録されます。サーバはデバイスを検証してアクセスを許可します。
4
タスクやクエリを確認するためにチェックインするよう、サーバからデバイスにプッシュ通知が送信されます。
5
デバイスは HTTPSを使用して直接サーバに接続します。サーバがコマンドまたは要求情報を送信します。
モバイルデバイス管理の詳細については、www.apple.com/jp/iphone/business/integration/mdmを参照してください。
©2012 Apple Inc. All Rights Reserved.Apple、Apple のロゴ、FaceTime、iPad、iPhone、iTunes、Passbook、Safari、Siri は、米国およびその他の国で登録された Apple Inc. の商標です。iMessage は Apple Inc. の商標です。
iCloudおよび iTunes Store は、米国およびその他の国で登録された Apple Inc. のサービスマークです。App Storeおよび iBookstore は、Apple Inc. のサービスマークです。Bluetooth のワードマークとロゴは、Bluetooth SIG, Inc. が所
有する登録商標であり、Apple はライセンスに基づきこのマークを使用しています。本書に記載されているその他の製品名および会社名はそれぞれの会社の商標である場合があります。製品仕様は予告なく変更する可能性があります。2012年
9月
iPhoneとiPad の配備
Apple Configurator
iOSデバイスは、さまざまなツールと方法を使って、エンタープライズ用に構成できます。エンドユーザー
が IT 部門からの簡単な指示に従って手動でデバイスを設定することも、構成プロファイルまたはサードパー
ティ製のモバイルデバイス管理(MDM)サーバを使って自動で設定することもできます。
配備のシナリオによっては、IT 部門が一連のデバイスを同じ設定および同じアプリケーションを使って一括
構成した上で、エンドユーザーに配布することがあります。1日のうちに同じデバイスを何人ものユーザー
が使う場合は、通常この方法で構成を行います。また、デバイスをしっかり管理し、定期的に特定の構成
にリセットしなければならない配備シナリオもあります。
システム条件
• Macコンピュータ
• OS X Lion v10.7.5
• iTunes 10.7(iOS 6が実行されているデバイスを管理
する場合)
Apple Configurator は、iOS 4.3以降が実行されてい
5.0以降が実行されているデ
るデバイスで動作し、iOS
バイスを監視できます。
Apple Configuratorを使うと、次の3つの簡単なオプションを有効にするだけで、このような状況での
iPhoneとiPad の一括構成と配備を簡単に実行できます。
デバイスの準備。複数の新しい iOSデバイスを準備する際は、統一的な構成を1つ用意して、ユーザーに
配布することができます。デバイスを最新バージョンの iOS にアップデートし、構成プロファイルとアプリケー
ションをインストールし、組織の MDMサーバに登録した上で、デバイスをユーザーに配布します。iOSデ
バイスを日常業務用として従業員に提供する場合、デバイスの準備は最適な配備オプションです。
デバイスの監視。iOSデバイスを監視する方法では、デバイスを直接的な制御下に置いておくことができ、
継続的な構成が可能です。デバイスは構成を適用して配布し、使用後は Apple
Configurator に再接続す
るだけで構成を再適用することができます。特定のタスク(小売、現場サービス、医療など)専用にデバイ
スを配備する場合や、クラスや研究室で学生にデバイスを共有させる場合、iOSデバイスを(たとえばホテ
ル、レストラン、病院などで)顧客に一時的に貸し出す場合などには、デバイスの監視が最適です。
デバイスの割り当て。最後に、監視対象のデバイスを組織内の特定のユーザーに割り当てることができます。
デバイスを特定のユーザー向けにチェックアウトし、そのユーザーのデータをすべて含むバックアップをデ
バイスに復元します。デバイスを再度チェックインする時には、ユーザーのデータを後で使用できるように
バックアップします。別のデバイスにデータを持ち越すことも可能です。ユーザーが、どのデバイスを与え
られても、長期にわたって同じデータやドキュメントを使用する必要がある場合は、この方法が最適です。
29
設定とアプリケーションの構成
デバイスのアクティベーション
iOS 設定アシスタントを使わなくてもよいようにデバイス
の準備をするためには、すでに iOS 設定アシスタントを
完了したデバイスのバックアップを使ってデバイスを復元
iOSデバイスの配備前に準備、監視、割り当てのいずれを行う場合も、Apple Configurator によって簡
単にあらゆる設定を構成し、App Store のアプリケーションと社内アプリケーションの両方をインストール
します。
することができます。
重要:iOS 設定アシスタントに新しいページ(たとえば
iOS 5の「Siri」)が追加された場合は、新しいアシスタ
ントを完了して新規バックアップを作成しないと、アシス
タントを完全に回避することはできません。
そうしない場合、ユーザーには新しいページが提示され
ます。
設定
iTunesと同様、Apple Configuratorでもデバイスに名前を付け、iOS のアップデートをインストールする
Configuratorでは、ホーム画面のレイアウト、その他デバイス上で手動
で構成してApple Configurator にバックアップできる各種設定の構成が可能です。
ことができます。さらに Apple
Apple Configuratorを使用すれば、多数のデバイスに同じ設定を適用するのも簡単です。1つのデバイ
Configuratorを使ってバックアップすれば、あとはそのバックアップを
ほかのデバイスに復元するだけです。デバイスは最大30台まで、USBで同時に接続できます。
スを希望どおりに設定し、Apple
iPhone 構成ユーティリティやプロファイルマネージャ、サードパーティ製のモバイルデバイス管理ソリュー
Configuratorでは以下の設定について構成プロファイルを作成し、インストー
ションなどと同様に、Apple
ルすることができます。
•
•
•
•
•
•
•
Exchange ActiveSyncアカウント
VPN 設定および Wi-Fi 設定
パスコードの長さと複雑さ、ローカルワイプの設定
MDM 登録設定
デバイスの制限
証明書
ウェブクリップ
ほ か のツ ー ル で 作 成した 構 成プ ロファイル も、 簡 単 に Apple
Configurator にイン ポ ート可 能 で
Configuratorで 利 用 で き る 構 成 プ ロ ファ イ ル の 一 覧 は、http://help.apple.com/
configurator/mac/1.0でご覧いただけます。
す。Apple
デバイスをモバイルデバイス管理サーバに接続する必要がある場合は、エンドユーザーにデバイスを引き
渡す前に、Apple
Configuratorを使ってMDM 設定をインストールします。デバイスを組織の MDMサー
バに登録しておけば、設定をリモートで構成したり、会社のポリシーへの準拠状況を監視したり、デバイ
スをワイプまたはロックしたりすることができます。iOSでのモバイルデバイス管理機能の詳細については、
www.apple.com/jp/iphone/business/integration/mdmをご覧ください。
30
アプリケーション
デバイス情報の表示または書き出し
デバイスに App
Apple Configurator のインスペクタには、監視対象デ
バイスの iOS のバージョン、シリアル番号、ハードウェア
IDとアドレス、使用可能容量などのデバイス情報が表示
よびダウンロードし、Apple
Store のアプリケーションをインストールするには、iTunesでアプリケーションを購入お
Configurator に追加して、デバイスの構成中にアプリケーションをインストー
ルします。
デベロッパのプロビジョニングポータル用に特にフォー
Apple Configuratorを使ってApp Store の有料アプリケーションをインストールするには、Volume
Purchase Program(VPP)に 参 加 す る 必 要 が あ りま す。Apple Configurator は VPP Program
Facilitatorまたは正規の購入者によって提供された引き換えコードを自動的に使用し、アプリケーション
マットされたファイルに書き出します。組織のソフトウェ
のインストールを行います。
されます。ほとんどの情報は、コンマ区切りのスプレッド
シートファイルに書き出すこともできます。または、iOS
ア開発担当者は、社内用の iOS エンタープライズアプリ
ケーションのプロビジョニングプロファイルを作成するた
めにこのファイルにアクセスします。
Apple Configurator のアプリケーション一覧では、無料のアプリケーションと、有料アプリケーションの
引き換えコードの残数を確認することができます。デバイスにアプリケーションをインストールするたびに、
Apple Configurator にインポートした VPPスプレッドシートの引き換えコードが1つ消費されます。引き
換えコードを再利用することはできません。コードが足りなくなった場合、
ほかのデバイスにアプリケーショ
ンをインストールするにはコードを追加でインポートする必要があります。監視対象デバイスまたは割り当
てられたデバイスから有料アプリケーションをアンインストールすれば、そのアプリケーションをあとでほ
かのデバイスにインストールできます。VPPコードは再度アクティベーションされないので、その後のイン
ストールは、最初にそのアプリケーションをインストールした MacでApple
Configuratorを使って行う
必要があります。
App Store の有料アプリケーションのインストールには、法人向けまたは教育機関向けの Volume
Purchase Programを通して入手した引き換えコードが必要です。Volume Purchase Program は、
地域によってはご利用いただけません。詳しくは、www.apple.com/jp/business/vppまたは www.
apple.com/jp/education/volume-purchase-programを参照してください。
また、iTunes
Storeで購入するのではなく、組織内で開発および配布された社内アプリケーションも
インストールが可能です。アプリケーション(配布用プロビジョニングプロファイルを含む)をApple
Configurator に追加し、その後デバイスの構成中にそのアプリケーションをインストールします。
重要:Apple
Configuratorを使ってインストールされたアプリケーションは、特定の Apple IDではなく、
Configuratorを使って配備したアプリケーショ
ンをアップデートするには、アプリケーションのインストールに使った Mac に再度接続する必要があります。
また、iTunes in the Cloudを介してこれらのアプリケーションを再ダウンロードすることもできません。
インストールされたデバイスに紐付けられます。Apple
Apple ConfiguratorとMDM の併用
Apple Configuratorとモバイルデバイス管理(MDM)には、それぞれ独自の機能があります。Apple
Configurator には、デバイスの監視、一括設定、自動更新などの機能があり、一方 MDM はアプリケー
ション、デバイスのクエリ、リモートワイプを管理します。配備のシナリオによって、両方のツールを使っ
てそれぞれの機能を利用することができます。たとえば小売環境では、シングルアプリケーションモードを
利用するために Apple
Configuratorでデバイスを監視し、次に MDMでリモートワイプを追加してセキュ
リティを高めるということができます。
両方のツールを使う場合は、共有する機能と共有しない機能を把握しておくことが重要です。Apple
ConfiguratorサーバとMDMサーバはどちらも構成プロファイルとアプリケーションをインストールでき
Configurator に接続する頻度を考慮して、タスクごとにどちら
のツールを使うかを決めてください。Apple Configurator が監視しているデバイスに MDMを使って
構成プロファイルまたはアプリケーションをインストールする場合、効率よく管理するための設定が2つ
あります。デフォルトでは、Apple Configurator はデバイスが接続されるとすぐにデバイスを更新し、
Apple Configurator 経由でインストールされなかった構成プロファイルやアプリケーションを削除しま
す。MDMをお使いの場合は、
Apple Configurator の環境設定でこの設定を無効にすることができます。
るので、デバイスを更新のため Apple
こうすると、MDMサーバで行った変更はそのまま残ります。
31
配備の例
以下のシナリオは、Apple
Configuratorを使ってカスタマイズしたデバイスを簡単に配備する方法を示
しています。
個人使用向けに新しいデバイスを準備する
デバイスを個人使用のためにユーザーに配備する前に、「準備」オプションであらかじめ設定の構成を行
います。これにはたとえば、iOS の最新バージョンへのアップデート、社内ネットワーク構成、MDMサー
バ用の登録情報などが含まれます。
Apple Configurator によるデバイスの準備が済んでいれば、エンドユーザーが使いやすいように再構成
Configurator には認識されません。たとえば、監
視対象外デバイスの場合、ユーザーは自分の iTunes に接続して、好きなコンテンツを同期させることが
できます。ユーザーがデバイスを自由にパーソナライズできるようにする場合は、Apple Configurator
で準備を行って、監視対象外デバイスを配備し、その後 MDMを使用して各デバイスの設定、アカウント、
することができます。それ以後は再接続してもApple
アプリケーションなどをリモート管理する方法が適しています。
監視対象外デバイスの構成は通常一度しか行わないため、その後はユーザーが責任を持ってデバイスを
使用します。監視対象外デバイスの接続を解除すると、Apple
Configurator はその段階でそのデバイ
スの情報を破棄し、その後再接続した場合、新しいデバイスとして扱います。
不特定のユーザーへの配備向けにデバイスを監視する
デバイスを制御下に置き、Apple
Configuratorで継続的に構成する必要がある場合は、デバイスの準
備中に監視対象に設定することができます。たとえば、同一の構成が必要で、特定のユーザーに紐付け
ない複数のデバイスを監視することができます。監視対象のデバイスは、Apple
Configurator に接続す
るたびに消去され、再構成されます。前のユーザーのデータは残りません。また、監視対象のデバイスは、
iTunesと同期させたり、別の Mac 上の Apple Configuratorと同期させたりすることはできません。
監視対象のデバイスを配備する場合、デバイスを配布し、回収し、当初の構成を再適用して再び配布す
るという流れが一般的です。監視対象デバイスはグループに分けて整理することができるため、共通の構
成を自動的に適用するのも簡単です。
重要:準備プロセス中に最初にデバイスを監視対象に設定した時点で、コンテンツや設定はすべてワイ
プされます。これは意図的な処理です。これによって、個人のデバイスがユーザーの知らないところで監
視対象に置かれることを防ぐことができます。
32
監視対象デバイスを特定のユーザーに割り当てる
監視対象としてセットアップしたデバイスは、指定のユーザーに割り当てることができます。デバイスを
特定のユーザー向けにチェックアウトすると、Apple
Configurator は、デバイスをそのユーザーが最後
に使用した時の状態に戻します。ユーザーの設定やアプリケーションのデータはすべて復元されます。
デバイスを再度チェックインすると、Apple
Configurator は、ユーザーが新しく作成したデータを含め、
ユーザーの設定とアプリケーションのデータを次回の使用に備えてバックアップした後、前ユーザーがデ
バイスに残した情報をすべて消去します。デバイスのチェックインとチェックアウトによって、各ユーザー
に個人デバイスと同様の使用感を提供することができ、しかも同じグループのデバイスを複数のユーザ
グループに割り当てることもできます。ユーザーは手動で追加できるほか、Open
Directory や Active
Directory からインポートして、カスタマイズしたグループに分けて整理することも可能です。
Keynote や Pages のように、iTunesファイル共有に対応するアプリケーションをインストールする場合、
デバイスをチェックアウトしたユーザーがすぐに利用できるよう、ドキュメントもインストールしておくこ
とができます。デバイスを再度チェックインすると、ユーザーのデータや設定のバックアップが作成され、
同期されたユーザーのドキュメントには Apple
Configurator から直接アクセスすることができます。
©2012 Apple Inc. All Rights Reserved.Apple、Apple のロゴ、iPad、iPhone、iTunes、Keynote、Mac、Mac のロゴ、OS X、Pages は、米国およびその他の国々
Inc. の商標です。iCloudおよび iTunes Store は、米国およびその他の国で登録された Apple Inc. のサービスマークです。App Store は米
国 Apple 社のサービスマークです。本書に記載されているその他の製品名および会社名はそれぞれの会社の商標である場合があります。製品仕様は予告なく変更
する可能性があります。2012年9月
で登録された Apple