構成プロファイルのダウンロードとインストール

マイデバイスポータルのURLはhttps://yourdomain.com/mydevicesとなりユーザは端末のSafariでインターネットからURLにアクセスする。プロファイルマネージャで設定したセキュリティポリシーや端末設定は、構成プロファイルとしてダウンロードされる。端末にこの構成プロファイルをインストールすることで、設定した内容が端末に反映されるというわけだ。この構成プロファイルに設定したポリシーは後からプロファイルマネージャ管理画面から変更することができるので、MDMサービスと遜色なく使える。

プロファイルマネージャ管理画面でのポリシー設計

実際の設定は事前にポリシー設計しておく必要がある。詳細部分までの設定が可能であるが、今回は構成プロファイル全体の設定について触れていく。またiOSの他Mac OSの設定も可能であるが、今回はMacを利用する想定はないためiOSのみとした。

設定したいグループを選択し設定タブをクリックする

グループ名の設定画面から、編集をクリックすると新しいウィンドウが立ち上がる。

これが、構成プロファイルの設定画面で、画面左に設定する項目、右側に設定するパラメータを登録していく。設定する項目は、かなり多いため、まずは構成プロファイル全般とパスコードの強制のみとして必要な制限が生じた場合のみポリシー追加する方針とした。

一般で設定した項目は以下の通り

プロファイルの配布タイプ：自動プッシュ
所属：自動入力
説明：空白
セキュリティ　プロファイルをいつ削除するかの制御：常にする
プロファイルを自動削除：常にしない

この設定を行っておくことで、プロファイルマネージャ管理画面からポリシーを変更するとユーザ操作なしに遠隔でプロファイルの書き換えを行える。説明にはプロファイルに表示される説明文が記入できる。今回は特に必要はないため空白とした。

パスコードで設定した項目は以下の通り

単純値を許可：許可しない
英数字の値が必要：必要
最少のパスコード長：6桁
複合文字の最小数：設定しない
パスコードの有効期限：なし
自動ロックまでの最長時間：５分
パスコード履歴：1回
デバイスロックの最大猶予期間：5分
入力を失敗できる回数：設定しない

気をつけるのは「入力を失敗できる回数」の設定値だ。この回数を超えてユーザが誤ったパスコードを入力すると端末はローカルワイプ（初期化）され全てのデータは消去される。特にTouch IDを利用するケースでは、普段のオペレーションでパスコードの入力を行わないため、パスコードを失念する可能性が高い。従ってパスコードを忘れた時は、マイデバイスポータルに別の端末からアクセスして、パスコードを初期化する、もしくは回数制限を設定しないなど運用を考慮した設定が必要だ。

後は、チームや組織で管理しているパソコンなどの設定と同じレベルでポリシーを設定していく。なお最少のパスコード長を６桁に設定しておくと当然ユーザ側で４桁の設定はできないが６桁以上の設定は可能。

端末のセキュリティ設計は厳しすぎるとユーザビリティが悪くなりユーザが使わなくなったり、初期化されてしまったりするのでバランスを十分に考慮した設計にする必要はありそう。