2024年3月5日 / 最終更新日 : 2024年3月5日 株式会社エス・ワイ・シー エンジニア セキュリティ

Microsoft Intune でできる iOS スマートフォンの管理 (後編)

こんにちは、エス・ワイ・シーの郷田です。
Intune 関連記事第 3 回「Intune でできる iOS スマートフォンの管理 (後編)」をお送りいたします。
今回はコンプライアンスポリシーと構成プロファイルを触っていきます。

コンプライアンスポリシーってなに?

コンプライアンスポリシーとは、組織の準拠ユーザーやデバイスであるために、満たす必要があるルールや設定です。
非準拠のデバイスに対するアクションを設定することにより、ユーザーに非準拠の条件を通知したり、非準拠デバイスをブロックすることができます。

コンプライアンス ポリシーの設定は、構成プロファイルの設定より優先されます。

コンプライアンスポリシーは以下の 2 つの設定で構成されます。

「コンプライアンス ポリシー設定」
テナント全体の設定で、デバイス コンプライアンス ポリシーが割り当てられてないデバイスを準拠しているとするかどうかなど、Intune 環境でのコンプライアンス ポリシーの動作のベースラインを設定します。

「デバイス コンプライアンス ポリシー」
ユーザーまたはデバイスの要件を定義した、プラットフォーム固有のルールです。
このルールにより、デバイスの準拠・非準拠を判断し、非準拠デバイスからのアクセスをブロックすることもできます。

  • こんなことが可能です
    脱獄した端末をブロックしたいんだけど、、
    コンプライアンスポリシーの設定 [デバイスの正常性]-[脱獄されたデバイス] の設定でブロックすることが可能です。

特定バージョン以下の iOS 端末に対し、アクションを取りたい

2024年2月21日時点で、iOS および iPadOS の最新バージョンは 17.3.1 です。
テストに使用している iOS 端末のバージョンは 17.1.1 でした。

そこで「デバイス コンプライアンス ポリシー」の設定をしてみます。

管理センターから、画面左 [デバイス]-[ポリシー]-[コンプライアンスポリシー] をクリックし、画面上部「ポリシーの作成」クリック

・以下の内容でコンプライアンスポリシーを作成してみます。
  オペレーティング システムのバージョン
  最小 OS バージョン 17.3

コンプライアンス違反に対して取れるアクションは

【準拠していないデバイスをリモートでロックする】

画面がロックされます。電源ボタンを短く押したときのあれですね。
ロック解除すると普通通り画面の操作ができます。

【デバイスに非準拠のマークを付ける】

管理センターダッシュボードの「デバイスのポリシー準拠」に準拠されていないデバイスの数が表示されるようになり、準拠されていない端末の一覧を確認することができます。

また、[デバイス]-[すべてのデバイス] または [iOS/iPadOS] をクリックするとデバイスのリストが表示されますが、コンプライアンス違反(ここでは iOS バージョンが 17.3 未満)のものは「ポリシー非準拠」としてマークされます。

【メールをエンドユーザーに送信する】

[デバイス]-[コンプライアンスポリシー]-[通知]-[通知の作成] から、デフォルトのメールメッセージの件名や文面を作成する必要があります。
ヘッダに会社ロゴを表示したり、フッダに会社名や連絡先を入れることもできます。
  
[デバイス]-[コンプライアンスポリシー]-[ポリシーの作成] から設定を進め「メッセージテンプレート」をクリックし、作成したデフォルトのメールメッセージを登録することで、端末に紐づいた EntraID のメンバーの情報から、登録されているメールアドレス宛に送信されます。

  メールメッセージ イメージ
  —————————————————————————-
  差出人: Microsoft microsoft-noreply@microsoft.com
  日時: 2024年2月13日 16:41:30 JST
  宛先: xxxxxx@xxx.xxx
  件名: Min iOS Ver

  Min iOS Ver
  お使いの端末はインストールされているiOSのバージョンが古いようです。
  最新バージョンにアップデートをお願いいたします。

  プライバシーに関する声明
  Microsoft Corporation, One Microsoft Way, Redmond, WA 98052
  支援者
  —————————————————————————-

【エンド ユーザーにプッシュ通知を送信する】

端末にプッシュ通知が送信されます。
ポータルアプリにログオンし、「通知」から「xxxxx の iPhone の設定を更新する必要があります」をクリックすると、機種名や
「オペレーティングシステムを更新する
 オペレーティングシステムを 17.3 以上に更新する必要があります」
とのメッセージが表示されます。

画面下部の再試行ボタンを押すとデバイスの設定を確認し、管理センターと通信してセキュリティポリシー準拠状態になったか、再確認することができます。

設定アプリからソフトウェアアップデート (17.3.1) を実施し、準拠状態になったか再確認を実施したところ、ポータルアプリの通知のメッセージが消えました。
また、管理センターにて非準拠となっていたデバイス状態が準拠に更新されたことを確認できました。(反映まで 10 分程度かかります)

一部機能に条件があります

デバイス コンプライアンス ポリシーの機能でロック解除時にパスワードを要求したり、パスワードに関する制限(最小文字数や複雑性)、ロックされるまでの最長時間の制限やインストールアプリを制限することもできます。

こちらはシステムセキュリティ、デバイスのセキュリティから設定を行いますが、Intune に登録されたデバイスと Apple Business Manager もしくは Apple School Manager を利用して自動デバイス登録 (DEP) によって登録されたデバイスのみ有効となりますので、ご利用の際には Apple Business Manager もしくは Apple School Manager との連携をご検討ください。

構成プロファイルってなに?

組織内のデバイスに対して操作を一部制限したり、設定を強制することができます。
ポリシーまたはプロファイルの設定は、デバイスのチェックインのたびに適用されます。

よりセキュリティの高いパスコードを iOS 端末に設定させたい

管理センターから、[デバイス]-[構成]-[ポリシー]タブ-[作成] をクリックします。

プラットホーム:iOS/iPadOS
プロファイルの種類:設定カタログ

設定ピッカーのカテゴリ [Security]-[Passcode] の以下の項目を設定します。

Allow Simple Passcode : False
単純なパスコードを許可する
 
Min Complex Characters : 2
複雑な文字の最小数

Min Length : 8
最小長さ

PIN History : 2
PIN履歴

Require Alphanumeric Passcode : True
英数字のパスコードが必要

構成プロファイルを端末に適用してしばらく待つと、端末側で 59 分以内にロック解除パスコードを変更するよう、プッシュ通知が表示されました。
(既に条件を満たしたパスコードを設定している場合、プッシュ通知はされないようです)

タップを続けていくと新規パスコードとして
「2 文字以上の特殊文字 (#&!) を含む英数字 8 文字以上の強力なパスコードを入力してください」とのメッセージが表示されました。確かに、設定した構成プロファイルが効いています。
(Min Length : 8 と Min Complex Characters : 2 Require Alphanumeric Passcode : True)

また「0000」など同じ文字を続けて入力した場合、メッセージが表示され、パスコード変更ができませんでした。
(Allow Simple Passcode : False)

前回と同じパスワードを設定しようとすると
「このパスコードは最近使用されています」とのメッセージ表示され、違うパスコードを再入力するよう促されます。(PIN History : 2)

今回設定のパスコード要件をすべて満たす例として前回、前々回設定したパスコードと異なる前提で「Hoge#248!fugA」などが挙げられます。

プロファイルの種類:テンプレート

Wi-Fi、VPN や証明書関連、メールやデバイス関連の設定などができます。

デバイス関連の設定は Intune に登録されたデバイスと Apple Business Manager もしくは Apple School Manager を利用して自動デバイス登録 (DEP) によって登録されたデバイスのみ有効となります。
ご利用の際には Apple Business Manager もしくは Apple School Manager との連携をご検討ください。

その他便利な機能 【パスコードの削除】

端末のパスコードが分からなくなったユーザーを救済できます。
管理センターの [デバイス] からパスコードの削除を実行すると、ユーザーはパスコードなしで該当デバイスにアクセスできるようになります。
上記構成プロファイルを設定しておくと、端末ホーム画面で 59 分以内にロック解除パスコードを設定するようプッシュ通知がされますので、そこで新規パスコードを設定してもらう運用も可能です。

Apple Business Manager もしくは Apple School Manager とDEP 端末

【DEP 端末 自動展開のしくみ】

Apple Business Manager もしくは Apple School Manager とDEP 端末の組み合わせで端末の自動展開が可能です。

Apple Business Manager もしくは Apple School Manager のテナントIDを付記して DEP 端末を発注することでDEP デバイス販売ディーラーから、プリセットアップ済の端末が出荷されます。

端末がインターネット通信できた段階で Apple Business Manager もしくは Apple School Manager にデバイスが自動登録され、連携設定している Intune にもデバイスが自動登録されます。
 
そこで Intune で設定されているプロファイルが適用され、配布設定されているアプリなどが自動インストールされることで企業/学校端末として利用可能な状態になる仕組みです。

【さらに細かくデバイス管理ができるメリットも】

これまでも記載してきましたが、さらに細かくデバイス管理がしたい場合、Apple Business Manager もしくは Apple School Manager を利用した自動デバイス登録 (DEP) 端末であることが条件となっている設定が多数あります。

端末自動展開で導入に手がかからず工数削減が狙えるほか、端末のきめ細かい管理でセキュリティ事故を防ぐこともできますので、これから Intune のご導入をお考えでしたら、Apple Business Manager やApple School Manager の導入含め Intune の構築まで、是非弊社 エス・ワイ・シーまでご相談ください!

Apple Business Manager や Apple School Manager の導入は既に Intune ご利用中であっても後付けで連携可能ですので、お気軽にご相談いただければと思います。

まとめ

非準拠端末にアクションを取ったり、細かな制限をかけたりと内容的にかなり MDM らしくなりました。
今回ご紹介した設定例はもちろん一例で、これ以外にも様々な管理を行うことができますので、組織の運用に沿う管理体制が構築できると思います。
次回は「Microsoft Intune でできる Windows 端末の管理」ということで、Windows 端末について触ってみた結果を掲載予定です。

以上、「Microsoft Intune でできる iOS スマートフォンの管理 (後編)」でした。
是非、次回記事もご覧ください。

カテゴリー
セキュリティ
HCI関連

前の記事

Veeam社も注目!?仮想化プラットフォーム「Proxmox VE」を試してみました
2024年2月1日
セキュリティ

次の記事

Microsoft Intune でできる Windows デバイスの管理 (前編)
2024年4月4日