Appleデバイスの管理とIDの新機能

ようこそ！ 私はCyrus Dabooと申します。 デバイス管理チームのエンジニアです。 Appleデバイスの管理における 新機能をご紹介します。 本日の内容はこちらです。 Appleサービスの新機能について説明します。 次に、宣言型管理への いくつかの追加事項をご紹介します。 続いて、アプリ管理のアップデートです。

そして、新しいアイデンティティ管理 機能の詳細についてです。 最後に、教育関連技術の 簡単なアップデートでまとめます。

まず、ビジネスおよび教育向け Appleサービスのアップデートです。 Apple Businessは、 新しいオールインワンプラットフォームです。 あらゆる規模のビジネス向けに ツールを統合しており、 組織を効果的に 運営・成長させることができます。 これには大きな拡大が含まれており、 Apple Businessが200以上の 国と地域で利用可能になりました。 これにより、組織は ゼロタッチ展開などの機能を利用できます。 ユーザー向けManaged Apple Accounts、 そして新しい組み込みの デバイス管理機能が利用できます。 これにより、企業は Appleデバイスの管理を すぐに始めやすくなります。 これらの新機能の 自動化をサポートするために、 Apple Business向けの新しいAPIがあります。 BlueprintsとConfigurationsの作成、 ユーザーとグループの変更、 アプリのライセンス情報の取得、 監査イベントの取得などが含まれます。

これらは既存のAPIに加わり、 サーバー、デバイス、インベントリの一覧表示、 デバイス管理サーバーへの インベントリ割り当て管理、 デバイスのAppleCare 保証詳細の取得を行います。 新しいAPIのドキュメントを ぜひご確認ください。 製品への組み込みを始めましょう。 また、新しいボリュームライセンスの 仕組みもあります。 App Storeアプリの サブスクリプション向けです。 これにより、IT管理者がアプリの サブスクリプションを購入・管理できます。 後ほどApple BusinessおよびApple School Managerで利用可能になります。 デバイス管理サービスを使用して、 アプリのサブスクリプションを割り当てることができます。 同じワークフローを使用して、 大規模なアプリ配布のために 既に存在するものです。 「グループと組織へのサブスクリプションの提供」 ビデオをご覧ください。 詳細はすべてそちらをご確認ください。 これらは素晴らしい新機能です。 Apple BusinessおよびApple School Managerは、 世界中のITチームのニーズに 応えるため、進化し続けます。

次に、変更点をご説明します。 Appleデバイスのデバイス管理 サポートに関するものです。 Appleのデバイス管理における 重要な柱を振り返ることから始めたいと思います。 「デバイス管理の未来は 宣言型管理である」 これは宣言型管理への 移行を表しています。 しかし、未来はすでにここにあります。 宣言型管理は、もはや ロードマップ上のものではありません。 それはここにあります。 出荷されています。 世界中のフリートで 本番稼働しています。 現在、これを使用せずに デバイスを管理しているなら、 必要以上に苦労しています。 したがって、今や「デバイス管理の 標準は宣言型管理です。」

ここでご紹介する宣言型管理の機能強化は、 単独で作られたものではありません。 最近リリースされた素晴らしい新しい ハードウェアと並行して開発されました。 ビジネスと教育において、 信じられないほどの勢いがあります。 それは一部、すべての 新しいMacコンピュータのおかげです。 MacBook Neoは、多くの 初めてのMacユーザーに最適です。 特に初等中等教育や 高等教育で活躍します。

そして最新のMacBook AirとMacBook Proの パフォーマンス向上は、 エンタープライズで人気の高い 高負荷AIワークフローに最適です。 これらを合わせると、 一つの明確なストーリーが見えてきます。 MacとすべてのAppleデバイスラインナップは、 ビジネスと教育のための 単なる選択肢ではありません。 それが唯一の選択肢です。

新しいMacへの移行を容易にするために、 データの移行を支援する新しい マネージド移行機能が利用可能になりました。 デバイス管理の登録と設定を 保持しながら、データを移行できます。 これを有効にするために、 新しい宣言型構成が デバイス管理への登録直後に デバイスに展開されます。

これにより、IT管理者はどのアカウント、 ファイル、 セキュリティおよびプライバシーの設定を 移行するかを制御できます。 Migration Assistantは 宣言型管理のステータスを報告します。 これにより、IT管理者は 移行の進捗状況を監視できます。 これらの設定はユーザーに 表示されますが、ロックされています。 ユーザーは「続ける」をクリックするだけで、 移行プロセスが始まります。 これは、ユーザーが新しいMacを すぐに使い始めるのに最適な方法です。 26.4リリースには、新しい 宣言型構成も含まれていました。 Apple Intelligence、Siri、 キーボード設定向けです。 そして最新のリリースでは、 これらの構成が更新されました。 IT管理者にきめ細かな コントロールを提供するために、 個々のApple IntelligenceおよびSiri機能の ユーザーが利用できるようになったものです。

次に、ご説明します。 宣言型管理データモデルの パワーを活用する方法について、 認証情報管理から始めます。 構成プロファイルには、 認証情報を参照する方法に制限があります。 そのため、大きなプロファイルの使用を 余儀なくされ、更新プロセスが非効率になることがよくあります。 宣言型モデルは多対多の 関係をサポートしているため、 複数の構成が単一の 認証情報を参照できます。 認証情報を使用する 構成プロファイルは、 宣言型構成に移行されています。 これにより、認証情報のライフサイクル管理が より効率的になります。 認証情報を更新する必要があるときは、 サーバーはアセットを 変更するだけでよく、 デバイスはそれを使用するすべての構成の 更新を自動的に処理します。 新しい構成はこちらです。 これらの構成が 認証情報を必要とするときはいつでも、 証明書、アイデンティティ、 パスワードであれ、 認証情報データには 宣言型アセットが使用されます。

ステータスチャンネルは、宣言型管理の もう一つの強力な要素です。 サーバーが不要になります。 デバイスの状態変化を 継続的にポーリングする必要がなくなります。 新しいリリースでは、いくつかの 宣言型ステータスアイテムが追加されました。 登録タイプ、 デバイス構成の待機、 サービス復帰状態、Shared iPad、 デバイスの現在のプッシュトークン、 その他いくつか。 さらに、新しいステータスアイテムがあります。 ユーザーがLockdownモードを 有効にしているかどうかを示します。

ステータスチャンネルが提供する 新しい機能として、 デバイスのシステムヘルス監視があります。 iOSおよびiPadOSデバイスは、 ハードウェアコンポーネントの問題を ユーザーに報告できます。 設定アプリを通じて。 今や、iOS and iPadOS 27は この同じ情報を提供できます。 デバイスシステムヘルスのための 新しい宣言型管理ステータスアイテムで。 これにはベースバンド、カメラなどの ハードウェアコンポーネントが含まれます。 Face ID、Touch ID、その他。 これにより、IT管理者はデバイスの健全性を 包括的に把握できます。 フリート全体にわたって、 積極的な対応を取り、 ユーザーの生産性を維持できます。 デバイス管理のもう一つの新機能は、 ログの収集と提出プロセスを 効率化するものです。 AppleCareへの分析提出。 現在、AppleCareのサポートスタッフは お客様に提供する方法を持っています。 デバイスで拡張ログ収集プロセスを トリガーするリンクを使用して。 iOS、iPadOS、tvOS、 macOS 27のリリースで、 IT管理者は拡張ログ収集を 開始できるようになりました。 組織所有のデバイスで。 これは新しいTriggerEnhancedLogCollection コマンドを使用して行います。 これにより、ITチームはAppleCareが 必要なときに重要なログを収集するのを サポートできます。 また、宣言型ステータスはITチームが このプロセスを監視するのに役立ちます。

ステータスが拡張されたもう一つの 分野はContent Cachingです。 Content Cachingは帯域幅の使用を削減します。 ソフトウェアアップデートの インストールを高速化します。 アプリケーション、Apple Intelligence、 その他のコンテンツをAppleデバイスに、 ローカルネットワーク上のMacコンピュータに それらを保存することによって。 コンテンツキャッシュサーバーはスケールアップして 大規模な組織をサポートできます。 広範なネットワークを持つ組織でも。 macOS 27では、 宣言型構成が追加されました。 MacのContent Cachingサービスを 制御するために、 そしてサービスの状態を報告するための 新しい宣言型ステータスアイテムも追加されました。 これにより、IT管理者は直接的な方法を得ます。 コンテンツキャッシュサーバー フリートの健全性を監視するための。 また、コンテンツキャッシュサーバーには 新しい機能があります。 独自のレポートを 直接送信できる機能です。 任意のHTTPSエンドポイントに。 これにより、より高度な 監視コンソールを構築できます。 IT管理者を支援するために。 これらすべての新しいステータスアイテムは デバイス管理サービスに提供されます。 有用で重要な情報を 報告するより多くの方法で、 IT管理者やサポートスタッフに。 宣言型ステータスアイテムの サポートを追加することを覚えておいてください。 アイテムをサブスクライブするだけの 簡単な作業です。 デバイスはステータス値の 変化をサーバーに送信します。 発生した時点で。

デバイス管理の もう一つの重要な分野は、 アプリの管理と構成です。 これはデバイス管理の 最も重要な側面の一つです。 では、このリリースでのアプリ管理の 変更点を説明します。 まず、宣言型アプリ構成機能は、 iOS、iPadOS、visionOSで利用可能で、 macOS 27に提供されるようになりました。 これにより、マネージドアプリの 安全なプロビジョニングが可能になります。 認証情報と構成で、 ハードウェアバインドキーを 使用する機能を含み、 Managed Device Attestationサポートを 有効にできます。 エンタープライズサービスでアプリと エクステンションを認証するために。 これにより道が開かれます。 macOS上でのより安全なエンタープライズ アプリの展開と構成のための。 エンタープライズアプリの 開発者に促してください。 製品にManagedAppフレームワークを 採用するよう、 組織がスムーズかつ 安全に運営できるように。

次に、パッケージです。 macOS 27では、IT管理者がすべての ファイルを削除するオプションが追加されました。 宣言型管理パッケージによって インストールされたディレクトリも含めて、 パッケージ構成自体が 削除されるときに。 これにより、不要になったデータや ファイルがデバイスに残らないようにします。 不要になったとき。

次に、プライバシー設定について説明します。 開示と同意は、Appleのプライバシーへの アプローチの重要な要素です。 つまり、ユーザーにプロンプトが 表示されます。 アプリやSafariのウェブサイトが カメラ、マイク、位置情報などの 機能にアクセスしようとするとき。 一部のワーカーは、毎日使う アプリのために 複数のプロンプトをタップしなければ なりません。 これらのプロンプトは ユーザーによって素早く閉じられる可能性があり、 アプリが適切に設定されない 結果となります。 このプロセスを効率化するために、 iOS、iPadOS、macOS 27では、 新しい統合プライバシー同意プロンプトがあります。 アプリが最初に起動されたとき、または ウェブサイトがSafariに最初に表示された ときに表示されます。 アプリでこれがどのように機能するか 見てみましょう。 プロンプトには組織名と アプリ名が表示されます。 IT管理者が提供する 正当化文字列、 プライバシーのデフォルトが推奨される 各コンポーネントの詳細、 それぞれに対するアプリ自身の 正当化と共に。 これにより、ユーザーは 何が求められているかを明確に把握できます。 なぜ、誰によって求められているのか。 プロンプトには2つのボタンがあります。 ユーザーが「許可」を選択した場合、 デフォルトがプライバシー設定に 適用されます。 アプリを使用しても 追加のプロンプトは表示されません。 ユーザーが「今は行わない」を選択した場合、 アプリを使用してコンポーネントにアクセスする ときに同意プロンプトが表示されます。 管理されていない状態と同様に。 重要なのは、「許可」ボタンが デフォルトボタンであり、 ユーザーが正しい選択をするように 明確にハイライトされています。 アプリに対する同じプロンプトが Safariでプライバシー許可を求める ウェブサイトにも適用されます。 同じ要素が存在し、デフォルトボタンも 明確に表示されます。 アプリとウェブサイト両方で 管理できるプライバシーコンポーネントです。 IT管理者は、ユーザーがアプリで アクセスする必要があるものを決定します。 またはウェブサイトで、そして 宣言型構成を作成します。 アプリまたはウェブサイトと 選択されたコンポーネントをリストした。 これらの新しいコントロールは ユーザーのプライバシーを保護しながら、複数のプロンプトを排除します。 IT管理者にとって、 安心感を与えます。 ユーザーが正しい選択をする可能性が 高くなったことを知ることで。 では、macOSでのアプリ管理の 重要な部分に注目しましょう： どのアプリや他のバイナリが 実行されているかを制御する機能です。 Macコンピュータには App Storeからのアプリのコレクションが含まれています。 App Store以外からインストールされた バイナリや実行ファイルも多く含まれます。 これらの多くは管理されていますが、 意図的にインストールされたものも 多くあります。 またはユーザーが意図せずインストールした ものも含まれます。 しかし、それらが常に 組織の要件に準拠しているわけではありません。 組織はコンプライアンス規制を 満たすために、 許可されたバイナリを 制御する必要があります。 そのため、macOS 27では、 新しい宣言型管理設定が バイナリの実行を制御するために 利用可能です。 これはEndpoint Securityフレームワークを使用して バイナリの実行を許可または拒否し、 プロセスをシャットダウンします。 拒否されたバイナリに 関連するプロセスを。 バイナリを照合するための 柔軟なルールがあり、コード署名プロパティを利用します。 照合されたバイナリが 確かに対象のものであることを確認するために、 IT管理者が制御したいものであることを。 また、管理されたアプリを 自動的に許可するオプションもあります。 各アプリに特定のルールを 追加することなく。 新しいアプリプライバシーコントロールと バイナリブロック制限は、 新しい宣言型のapp.settings構成の 一部です。 Safariウェブサイトの権限は 既存の宣言型の一部です。 safari.settings構成の。

これらはアプリ、バイナリを 制御するための素晴らしい新機能です。 プライバシープロンプトなど。 次に、Macコンピュータの もう一つの重要なエンタープライズ機能を説明します： プラットフォームシングルサインオンを使用した アイデンティティプロバイダとの統合です。 ここ数回のリリースで 大幅に改善されています。 macOS上のPlatform SSOが 強化されました。 セットアップを簡素化し、 共有ワークフローをより良くサポートするために。 すべてはログインをより直感的にする 目標に基づいています。 高度にセキュアで、 フィッシング耐性のある方法を提供することで、 組織がMacコンピュータ上の ユーザーとデータを安全に保つために。

macOS 27で Platform SSOを さらに進化させています。 新しいログインと アンロックエクスペリエンスから始まります。 最初から、ユーザーには 明確に表示されます。 組織の認証情報を 使用していることが。 ユーザーはパスワードを入力するか、 現在のようにTouch IDを使用できます。 Touch IDは最もセキュアです。 ユーザーがMacをアンロックするための 便利な方法です。 しかし、これまではオプションでした。 macOS 27の新機能として、 IT管理者が ユーザーにTouch IDの使用を 要求できるようになりました。 組織デバイスでパスワードの入力に 加えて、 内蔵の第2要素を提供します。 これはログイン時、 画面アンロック時に強制されます。 FileVaultのアンロックプロセスでも。

現代の認証標準では、 ユーザーを認証するさまざまな方法が可能です。 フィッシング攻撃を防ぐための セキュリティ機能を提供し、 認証インターフェースを 適応させることもできます。 組織のブランディングに合わせて、 セキュリティポリシーや ユーザーの人口統計に応じて。 これには多要素認証のための ワンタイムコードが含まれます。 条件付きアクセスワークフローのための プッシュ通知。 パスワードなしのサインインのためのQRコード、 若い学習者向けに設計されています。 医療、小売、物流などの 共有デバイス環境向けです。 さらに多くの方法があります。 これらをサポートするために、 macOS 27はPlatform SSOに 新しいWebベースの認証オプションを導入します。 アイデンティティプロバイダと 組織は、 安全なWebビューを 使用できるようになりました。 ログインウィンドウと 画面アンロックでレンダリングされます。 これにより、あらゆる 現代の認証フローを実行できます。 カスタムの チャレンジ-レスポンスシーケンスを含む。 Webビューは、厳密に制御された 実行コンテキスト内で動作します。 オペレーティングシステムによって 管理されています。 組織とユーザーが 保護されることを確保するために。 また、WebビューはQRコードを スキャンできます。 スキャンが開始されると、 カメラは安全なシステムプロセス内で 完全に動作し、 Webビュー自体から 完全に分離されています。 Webページが受け取るのは QRコードからデコードされたデータのみです。 カメラの生フィードや 画像データは受け取りません。 これにより、ウェブサイトがユーザーや 周囲の画像をキャプチャできないようにします。 意図せず行われた場合でも。 Web認証は、ログインウィンドウ、 画面アンロック全体で機能します。 FileVaultのアンロックプロセスでも。 セキュアで強制可能な 認証を提供します。 オフライン認証もサポートされており、 アクセスの継続性を確保します。 接続されていないデバイスの セキュリティ態勢を弱めることなく。 エンタープライズにとって、これにより 深いカスタマイズが可能になります： ローカライズされたサインインページ、 アクセシビリティ最適化されたフロー、 デバイスの状態に基づく 条件付きプロンプト、 既存のアイデンティティインフラストラクチャと のシームレスな統合。 Authentik、ClassLink、Identity Automationなどの開発者が、 新しいWebログインを有効にするために 取り組んでいます。 Platform SSOのQRコードサポートを 製品に組み込むために。

次に、Platform SSOを使用した Authenticated Guest Modeについて説明します。 ナースや医師が病室から病室へ移動するような ユーザーが、 共有Macに一時セッションで 素早く安全にログインできます。 macOS 27では、この機能を拡張して、 認証されたゲストユーザーが FileVaultで保護された Macコンピュータにもサインインできるようになりました。 FileVault自体をアンロックするために。 これにより、フルディスク暗号化が デバイス上のデータを保護するために利用可能になりました。 認証されたゲストユーザーが デバイスを使用する際に、 データ保護規制への コンプライアンスを確保します。 この機能は自動的に 利用可能になります。 Authenticated Guest Mode用に 設定されたデバイスで、 追加の設定は 必要ありません。 認証は障壁であってはならず、 橋渡しであるべきです。 最高のサインインとは、ユーザーが 考える必要さえないものです。

これらの新しいアイデンティティとログイン機能は、 組織に柔軟性を提供します。 ユーザーにとって 楽に感じられる体験を設計するための。 そしてセキュリティが確保されているという 確信を持って。

最後に、教育向けの いくつかのアップデートを簡単にご紹介します。 macOS向けのAuthenticated Guest Modeを 先ほど説明しましたが、 このリリースの後半でShared iPadにも 提供されることをお伝えできます。 有効にすると、iPadは 一時セッションで起動し、 ログイン画面が表示されます。 ユーザーはManaged Apple Accountで サインインします。 サインインにはネイティブ認証または フェデレーション認証を使用できます。 アイデンティティプロバイダとともに、 シングルサインオンの完全サポートで。 一時セッションでは、 ユーザー名が画面の 左上隅に表示されます。 また、一時セッションは システムとデバイス容量を共有します。 ハードクォータなしで、 ストレージの使用がより柔軟になります。 ロック画面からサインアウトすると、 すべてのローカルデータと Managed Apple Accountが デバイスから自動的に削除されます。 これはShared iPadへの 素晴らしい追加であり、展開方法がさらに広がります。

iPadやMacコンピュータなどのデバイスは、 教室での学習の 標準となっています。 しかし、教師にとっては 困難なことがあります。 授業中に生徒を手元のタスクに 集中させ続けることです。 お知らせできることを 嬉しく思います。 Classroomアプリの 新しいガイド付きブラウジング機能です。 教師は生徒がアクセスできる ウェブサイトをロックできます。 Classroomアプリを使用して 1つ以上のタブに。 そして生徒を単一のタブに ロックして即座の焦点を当てることができます。 教師はこのモードで使用する ウェブサイトを設定できます。 直接入力するか、 授業計画時に準備した ブックマークを使用して。 ウェブサイトの内外での ナビゲーション能力を制限できます。 カメラとマイクへのアクセスを 許可することもできます。 生徒には有効のままにするかどうかの 主体性があります。 1人の生徒または多くの生徒を 選択したウェブサイトに誘導できます。 生徒のデバイスは ガイド付きブラウザを開きます。 そして適切なウェブサイトを表示します。 総合すると、 これらの機能は今日の教室での 重要な問題に対処するのに役立ちます。

以上が、このリリースでの いくつかのエキサイティングな新機能の概要です。 Appleデバイスとプラットフォームで 利用可能なものです。 すべてのデバイス管理の オブジェクトスキーマとドキュメントは、 オープンソースのGitHubサイトで 今すぐ利用できます。 またdeveloper.apple.comでも。

「App Attest」ビデオもご覧ください。 エンタープライズアプリを安全に識別する 新しい方法の詳細が提供されています。 そして最後に 「Assessment mode」ビデオがあります。 Assessment modeアプリベンダー向けの すべての新機能について。 デバイス管理の標準は 宣言型管理です。 素晴らしい新しいMacハードウェアと 強力なモバイルデバイスにより、 このリリースの素晴らしい新しい デバイス管理機能と組み合わせることで、 それをあなたの標準にすることができます。 ユーザーに最高のクラスの 体験を提供できます。 誰もがAppleデバイスに 期待するものです。 今こそ、デバイス管理ベンダーが アイデンティティプロバイダと共に、 これらの機能のサポートを構築する時です。 IT管理者が遅滞なく ユーザーに届けられるように。 ありがとうございました。