2021.6.21

WWDC2021に見えた人種差別に対するAppleの変わらぬ姿勢

エンタープライズiOSと人種差別には一見何の関係も無さそうです。が、WWDC2021のエンタープライズ関連セッションにAppleの変わらないスタンスが表れていましたので紹介します。

 

人種差別に対するAppleの姿勢

Appleは元より多様性を尊重し、イノベーションの源泉であるとして専用サイトまで用意して自社の取り組みを公表しています。公開当初は少し話題にもなったので知ってる方も多いと思います。


(人種という区切り以外にも年齢や性別で偏った見方をAppleがしていないことを示すレポート)

このレポートはAppleの姿勢の片鱗ですが 、古くから、そして今もなお人種差別に「否」を示し続けています。昨年のWWDC2020キーノートでは、米国で拡大するBLM運動(Black Lives Matter:人種差別抗議運動)について言及されました。


(WWDC2020は、BLM運動が拡大するきっかけとなった事件の直後だった)

さらに Apple はWWDC2020の直後に Updates to coding terminology というリリースを出し、inclusive(不平等/不公平)な表現を排除し置き換えていくことを宣言します。


(non-inclusive (不平等/不公平)な言葉を削除し置き換えていくという宣言。日本語はこちら)

これはBLM運動の広がりがIT業界にコーディングやドキュメント用語の置き換えとして広く影響を与えていたことに Apple も呼応したものです。

Appleはリリースのとおり、2020年7月時点でドキュメント類やUIの表記ガイドラインである Apple Style Guide 中の blacklist / whitelist という表現をなくしました。他にもswift言語のリポジトリには black や slave といった表現が同年早々に削除されたコミットログも残っています。

 

WWDC2021のセッションに見えた変わらぬ姿勢

さて1年経ったWWDC2021。Appleの姿勢は変わっていないということが、キーノートでも技術セッションでも示されました。WWDC2021キーノートでは黒人開発者や女性開発者向けプログラムについて紹介されました。

そして上述の Updates to coding terminology 宣言はいよいよ実装面にも及びます。以下は、WWDC2021のエンタープライズ向けセッション What’s new in managing Apple devices での1枚のスライドです。ことの大きさが想像できるでしょうか。


(スライド右上に Inclusivity Changes とある。赤枠は筆者)

このスライド表現は、構成プロファイルやMDMのアップデートでAppleがよく使うものです。今回のセッションでは新しいペイロードの追加等に加えて、Inclusive(不平等/不公平)な表現をなくすための仕様変更をすることが示されました。

現状の構成プロファイル仕様を一部紹介します。例えば、監視モードの端末で標準アプリを削除する構成プロファイルを作れば plist は以下のようになります。


(削除するアプリのIDを blacklist として列挙する)

WiFiでの接続先SSIDを指定したものだけに限定する構成プロファイルではこうなります。


(接続許可されたWiFiのことを white としている)

blacklist / whitelist という言葉が使われていますね。該当する設定を含む構成プロファイルが手元にある方は、是非テキストエディタで中身を見てみて下さい。

紹介したものは現状使われている inclusive な表現の一部です。興味のある方はAppleの公式ドキュメント Configuration Profile Reference で blacklist / whitelist をキーワードに検索をかけてみると良いでしょう。かなりの数の black/white の表記が見つかります。


(blacklist / whitelist のキーワードが驚くほど使われているのが分かる)

これら構成プロファイルの設定キー名称も全て denylist / allowlist といった non-inclusive な表現に変わります(当面は共存すると思われる)。興味深いのは、この仕様変更の影響範囲が決して小さくないことです。

  • 構成プロファイルを解釈するiOS/iPadOS (Apple内)
  • 構成プロファイルを作成・解釈するApple Configurator2 や macOS server の実装 (Apple内)
  • 構成プロファイルを作成するMDMサービス (Apple外。全世界数十社の全MDMベンダー)
  • 構成プロファイルのXML(plist)を作成する独自のスクリプトやツール (開発会社やSIer)
  • 構成プロファイルを扱うオープンソースなプロダクト (オープンソースコミュニティ)

Appleは、これらの決して小さくない影響範囲を承知の上で変更するということです。通常、実装にかかわる仕様のキーワードは一度決めたら余程のことが無い限り変えないものです。その変更には機能的な向上はなく、やろうがやるまいが動作は変わらないからです。

その意味でAppleは徹底しています。運動に迎合した形だけの姿勢ではないAppleの本気が表れていると筆者は感じました。これらの変更はiOS15がリリースされる時期から各関連プロダクトに反映されていくことになるでしょう。

 

以上、人種差別抗議運動の広がりがエンタープライズiOSの世界にも影響を与えているということを紹介しました。

2021.6.14

エンタープライズiOS関係者に視聴をお勧めするWWDC2021セッション3選

2021年6月7日から5日間、WWDC2021が開催されました。


(昨年に引き続き今年もオンラインで開催された)

初日のキーノートでは、iOS15/iPadOS15を中心にAppleの全OSでの新機能が数多く紹介されました。昨年と違って今年は、個人向けの iCloud+ や開発者向けの Xcode Cloud など、クラウド関連の新しい方向性も示されました。


(エンタープライズ関係者にはメールでWWDCのセッション案内が届いた)

もちろんエンタープライズ向けの新機能も発表されました。キーノートに続く数々のセッションで詳細を見ることができますが、本稿では中でもお勧めのセッション3つを紹介したいと思います。

 

1. What’s new in managing Apple devices


(10130 What’s new in managing Apple devices)

他のエンタープライズiOS関連セッションの概要紹介のほか、iOS15/iPadOS15での機能強化を幾つか紹介してくれるセッション。後半は主にmacOSに関する内容ですので、前半だけ見ておくと良いでしょう。

紹介されていた追加機能で最も興味深かったのは RequiredApp と呼ばれる新機能。

MDMからアプリがインストールされる時、監視モードでなければ「インストールしますか?」という確認ダイアログが出るということを過去の投稿で紹介しました。(参考 : iOSの監視モードとは何か)


(iOSの監視モードとは何かより。監視モードでない場合はこの確認画面が出る)

この画面でユーザに拒否されると管理側は困る場合があります。かといって監視モードにもできない事情があるし困った…となるようなケースを RequiredApp は解決してくれます。

RequiredApp は、MDM側で指定したアプリ1つに限って、監視モードでない端末に確認ダイアログなしのインストールが可能になる機能です。

MDMと連動するようなエージェントアプリ(監理支援アプリ)を必ず入れておきたいケースや、施設設置用途に限定されたiOS端末などで便利に使える機能になる筈です。

その他、情報漏えいを防ぐ Managed Clipboard や、iPadを共用する Shared iPad での新たな制限機能など幾つかエンタープライズ向け機能が紹介されています。全てのエンタープライズiOS関係者が見ておくと良いセッションです。

 

2. Meet declarative device management


(10131 Meet declarative device management)

iOS15/iPadOS15ではMDMが大きく進化します。セッション中に強調されているキーワードは Autonmous (自律的) と Declarative (宣言的) の2つ。


(端末がiPad端末である場合に発動する設定定義への参照を定めるJSON)

Declarative Device Management では、こうあるべきというiOS設定の「宣言」をMDMからiOS端末にあらかじめ流しこんでおき、iOS端末側が自分の状態と比較して「自律的」に設定を適用してくれるようになります。

MDMが常に端末の状態を収集し正しく設定されているかどうかを監視する従来のアーキテクチャから、あるべき設定を流し込んで後はiOS端末側に任せて状態変更時にはそれをMDMに伝えるという端末主体のアーキテクチャに変わります。

MDMのパラダイムシフトと言っても過言ではありません。MDMベンダーはかなり大がかりな対応作業が必要になるでしょう。大変さをアプリ開発の世界で例えるなら、UIがフラット化したiOS6→iOS7アップデートの惨状に相当するでしょうか。(iOS6,7時代を経験した関係者は大変さが共感頂けるでしょう)

Declarative Device Management への対応可否がMDMサービスの淘汰を進めるかも知れません。ただ対応したMDMでは管理オペレーションが随分楽になるのは間違いありませんので、自社で使用しているMDMがいつ Declarative Device Management 対応するのかベンダーからの発表に注目しておきましょう。

 

3. Manage software updates in your organization


(10129 Manage software updates in your organization)

基本macOS向けの話ですが、エンタープライズiOSの関係者は16:00から17:30の1分半だけ見ておきましょう。iOSバージョンアップの新しいオプション設定について紹介があります。

エンタープライズiOS現場あるあるの、

「新しいメジャーバージョンにはUPさせたくないが、現状のメジャーバージョンでは最新版まではUPさせたい」

といったポリシーの運用が可能になります。具体的には来年iOS16系がリリースされた時に、iOS16系へのアップデートは控えたいがiOS15最新版(iOS15.5とか)にだけは上げれるようにしておきたい…という運用ができるようになるということですね。

実はこれ、あらゆるOSの業務利用で発生する要件です。iOS15がこの問題に対応するということで、エンタープライズ現場に寄り添うAppleのこれまで通りのスタンスを感じれる発表だったと思います。

 

以上、WWDC2021で筆者が筆者が注目したエンタープライズ関連セッションを紹介しました。全部を紹介することはできませんので、興味のある方は WWDC2021 Videos のページからセッション検索をして見てみて下さい。


(WWDC2021の全セッションを検索できる。enterprise や manage 等で検索すると関連セッションを探せる)

iOS/iPadOSだけでなく、macOS の業務利用にも関係する開発者やSIerは特に、本記事で紹介した3つ以外も関連セッションもチェックしておくことをお勧めします。

2021.6.7

MDMとDEPの組み合わせで設定アシスタントをカスタマイズする

前回の投稿でDEP(Device Enrollment Program)は以下の特徴を持つ特別なiOS端末(DEP端末)を購入できる制度だという紹介をしました。(DEP端末の購入方法は前回の投稿を参照)

  • 自動的にMDMにチェックインする
  • 自動的に監視モード(Supervised Mode)になる

自動チェックインによってMDMから設定(構成プロファイル)もアプリも勝手に流し込まれることになりますし、同時に監視モードにもなるわけですから、DEP端末は非常に便利です。

監視モードでは、構成プロファイルで「管理端末のみ」の設定を流し込める以外にも、設定アシスタントのカスタマイズも可能です。有線接続したiOS端末に対して、Apple Configurator2 から監視モード化する途中で設定するのでした。(参考 : iOSの監視モードとは何か)


(Apple Configurator2 で監視モード化した後の再起動で初期の各種画面をスキップする設定ができる)

では、自動で監視モードになってくれるDEP端末ではどうでしょうか。同じように設定アシスタントをカスタマイズできるのでしょうか。

答えはもちろんYESです。

ただDEP端末の場合は Apple Configuartor2 を使いません。出荷前のDEP端末にMacを有線接続できる筈もありませんから。ではどのようにやるのか。本稿では、DEP端末に対して設定アシスタントをカスタマイズする方法と、実際にカスタマイズした端末の挙動を紹介します。

 

MDMでDEP用のプロファイルをカスタマイズする

再掲になりますが、Apple Configurato2 による監視モード化では以下のような画面で設定アシスタントのカスタマイズをしました。


(表示するアシスタント画面を取捨選択できた。上図は全部スキップする例)

DEP端末の場合は、MDMサービスの管理画面から同様のことを行います。


(設定アシスタントの各画面のON/OFFをMDM上で指定する様子。項目はiOSアップデートと共に数が増えていく)

設定アシスタントの設定をひとまとめに「プロファイル」と言います。iOSに対する設定を表す「構成プロファイル」と言い方が似てますが似て非なるものです。間違えないようにしましょう。区別しやすいようにDEPプロファイルと呼ぶMDMサービスもあります。(本サイトでも分かり易さのためにDEPプロファイルと呼びます)

MDM上でDEPプロファイルを作った後、それをどのDEP端末に適用するかを紐付けます。


(BizMobileではDEPプロファイルを複数作成できどの端末に紐付けるかを設定できる。n:nの設定ができて便利)

MDMによっては、DEP端末全体に1つのDEPプロファイルしか設定できないものもあります。つまり、スキップするパターンを複数作れないということです。この是非は企業毎によりますのでMDM選定の際の判断基準にすると良いでしょう。(配布するアプリによって全部スキップが適切でない場合もあります)

さて、以上でDEP端末の設定アシスタントのカスタマイズは完了です。スキップするしないを定めるDEPプロファイルを作り、適用したいDEP端末に紐付けただけです。簡単ですね。

このあと、DEP端末の電源をONすると自動的に

  • MDMに自動チェックインして監視モードになる
  • DEPプロファイルの指定通りに設定アシスタントが表示される
  • MDMから構成プロファイルやアプリがインストールされる

となるわけです。以下に実際の様子を動画にしてみましたので見てみて下さい。(音が出ます)


(設定アシスタントがカスタマイズされており、開梱直後なのに「ようこそ」とすら言われずHOME画面にいくのが分かる)

箱から出して初めて電源ONした端末(iPod touch)が、WiFiの設定をしただけで、設定アシスタントをほぼ何も表示せずHOME画面に遷移し、監視モードでしかできない「標準アプリの非表示」まで自動で行っている様子を確認できます。

Zero Touch Deployment がどれだけ楽か感じて頂けると思いますがどうでしょうか。

 

DEPプロファイルはiOSの進化と共にメンテしていく必要がある

何度もiPhone/iPadを買い替えている方は、設定アシスタントがiOSアップデートと共に増えていくことをよくご存知でしょう。昔は設定アシスタントの画面は数える程でしたが最新のiOS14では結構な数の画面になります。

設定アシスタントの各画面のON/OFFを決めるのがDEPプロファイルですから、実はiOSが更新される度にDEPプロファイルも追随していく必要があります。おそらく新しく追加されるアシスタント画面もスキップしたいですよね。


(各項目がiOSバージョンの幾つから増えたのかが分かる。iOSアップデートの度にMDMもアップデートされる)

DEPプロファイルは一度作ったら終わりではなく、毎年DEPプロファイルをメンテナンスしていくようにしましょう。メンテナンスを怠ると、設定アシスタントを全部すっ飛ばすつもりが最新iOS端末でなぜか1,2画面は表示されてしまう…ってなことが起こってしまいます。

まさに上で紹介した動画の最後がそうなっていますね(笑) 以下は動画中の 02:00 あたりの様子で、設定アシスタントがスキップしきれていないことが分かります。


(DPEプロファイルの作成後にメジャーアップデートされたiOSをDEP購入するととこうなる)

クリティカルな現象ではありませんが、余計なサポート時間を減らす意味でもDEPプロファイルは毎年更新を徹底するのが賢明です。継続的にiOS端末を新規DEP購入しながら展開していくことが見込まれる企業では特に意識しておきましょう。

 

以上、DEP端末での設定アシスタントのカスタマイズについて解説しました。

理想をいうと、DEP端末を現場配布する前に、設定アシスタントのスキップが意図した通りに行われるか「お試し」したいものですが、端末1台で1回しかできないテストのために端末を余計に購入するのは現実的ではありません。Appleや販売店的には嬉しいでしょうが。ただ、このテストを費用をかけずに何度も行う方法がありますので、また別の記事で紹介したいと思います。

DEPは本当に強力な仕掛けですのでMDMと組み合わせて是非使いこなして下さい。

2021.5.31

DEP(Device Enrollment Program)とは何か

MDMは業務用iOS端末管理には必須なものですが、MDMだけで理想的な端末管理環境は構築できません。MDMだけに頼った端末管理では以下の課題に直面します。

  • (A) MDMチェックインが面倒くさい
  • (B) 監視モードにするのが面倒くさい

(A)については MDMの導入から利用開始まで(2) -MDMチェックイン- を、(B)については iOSを監視モードにする方法 〜保存版 : Apple Configurator2編〜 をそれぞれ参照して下さい。

(A)も(B)も原則1台1台手動で行う必要があり、数十台・数百台と台数が増えるほど結構な労力が必要になります。さらに一桁増えて数千台になるといよいよ現実的ではなくなってきます。

そこで、こう考えるわけです。「MDMチェックインを楽にできないか?」「監視モードをMacとの有線接続に頼らずにできないだろうか?」と。本稿では、そんな思いに応えてくれる仕組みDEP(Device Enrollment Program)について解説します。

DEPを使いこなすと端末管理の労力が10分の1に、いぇそれ以上の労力削減効果がありますのでので是非使いこなして下さい。

 

DEPで得られる恩恵

DEPにより以下のことが可能になります。

  • 自動でMDMチェクインできる
  • iOS端末を最初から監視モードにできる

この2つの特徴を備えた特別なiOS端末を購入できる制度をDEP(Device Enroll Program)と言います。そして、この購入制度で購入した端末をDEP端末と呼びます。

DEP端末では、チェックイン操作も監視モード化する作業も不要です。購入したiOS端末を従業員にただ配るだけ。電源を入れてWiFiに繋ぐと自動でチェックインされ、勝手に監視モードになり、続いてMDMからアプリや設定(プロファイル)が同期されて、初期設定作業が自動で完了します。

なんて素晴らしい仕組みなのでしょう。この全自動設定を Zero Touch Deployment と呼ぶこともあります。


(DEPを活用した業務用アプリ配布の全貌を示す図。ABMやMDMと蜜に連携し、全自動設定を実現する)

今までの人海戦術を使った設定作業は一体何だったのか。DEPがまだない時代にiOS端末を初期設定した経験がある管理部門の方は特にそう思うでしょう。電源をONして、WiFiに繋ぐ(またはキャリア回線と疎通する)と全ての設定が勝手に終わるのですから。

DEPは労力軽減を目指す管理部門にとっての福音です。その恩恵を受けるにはDEP端末を手に入れる方法を知る必要があります。どうすればいいのでしょう?

 

DEP端末はどうやって手に入れるのか

以下に掲げる2つの方法で、DEP端末を手に入れることができます。ただし制約があり法人のみです。残念ながら個人はDEPの恩恵を受けることはできません。

  • Appleから直接購入する
  • Apple VAR や三大携帯キャリアから購入する

注意すべきポイントはDEP端末として購入する必要があること。法人名義で端末を発注すれば、勝手にDEP端末として納品される…というわけではありません。購入時にDEP端末を購入したい旨を伝えることが必要です。なぜなら、DEP端末はABMと連動するようApple側で特別な受注処理が必要になるからです。(参考 : ABM(Apple Business Manager)とは何か)

普段から Apple 製品を業務で使っていて、Apple Japan 法人部門の担当者がついている場合や、Appleの正規販売代理店(Apple VARと言います)の担当者がついている場合は、発注を申し出ると「DEP端末としてですよね?」と気の利いた対応をしてくれる筈です。

一方でApple製品をまとめて購入するのが初めての企業の場合は注意が必要です。間違っても近くの量販店で個人購入と同じノリで買わないで下さい。以下3つの選択肢のいずれかで進めましょう。

  • (A) リアル店舗の Apple Store で法人担当に繋いでもらう (Apple Store には法人担当がいます)
  • (B) Apple at Work のサイトを参照し電話等で Apple に相談する
  • (C) Apple VAR の一覧から正規販売代理店を選んで連絡する

個人的にお勧めなのは(A)か(B)です。ある程度の数が見込まれたり継続的な端末導入が予定されている場合は、自社専用 Apple Online ストアを作ってくれたりもします。


(自社専用のオンラインApple Store。画面左上に for XXXX と自社名が入る)

見積・発注機能も備えたECサイトとなっており、ここからオンライン購入するだけで自動的にDEP端末として納品されるようになります。Appleから直接購入する場合、3桁4桁の台数なら法人割引をして貰える可能性がありますのでApple法人部門の担当者に尋ねると良いでしょう。

 

以上、DEP(Device Enrollment Program)についての概要とDEP端末を入手する方法について解説しました。購入したDEP端末がどのようにMDMに自動チェックインされるのか、具体的な仕組みの部分は別の投稿で紹介したいと思います。

最後に余談ですが、2020年頃からは、DEPのことをADE(Automated Device Enrollment)と表記するケースもありますので覚えておくと良いでしょう。これについても機会があればまた別投稿で紹介しようと思います。

DEP端末についての悩み事がある場合は、よろしければ当所コンサルティングサービスからお尋ね下さい。

2021.5.24

MDMの導入から利用開始まで(3) -はじめての遠隔制御:ロック/ワイプ/パスコード消去-

MDM導入に必要な最低限の準備を以下投稿で紹介してきました。

実はこの2つを完了させるだけで、MDMの基本機能を幾つか試せるようになります。その1つが遠隔制御。手軽に試せる上に、MDMが機能していることを分かり易く実感できますので、導入初期設定が正しくできているかの確認にも使えます。

本稿では、遠隔制御の実際の様子を動画で紹介します。遠隔制御といっても色んなコマンドがあるのですが今回紹介するのは以下3つです。

それでは順に見ていきましょう。

 

MDMを使った遠隔ロック

遠隔ロックは、社用端末の紛失・盗難時に最初に使う遠隔制御です。文字通り遠隔で端末をロックします。以下に、MDMを操作するブラウザと管理対象のiPhoneを同時録画して重ねた動画を掲載します。遠隔制御がどのようなタイミングで働くか見てみて下さい。


(端末側を一切操作しておらず、強制的にロックされていることが分かる)

MDMでロックする命令を送った直後に、ほどなく端末がロックされる様子がわかると思います。

実際の現場では、盗難にあった直後や自動ロック設定をしてない端末を紛失した場合に使われます。管理部門に連絡して「紛失しました。念のためにロックお願いします」という運用になるでしょうか。

ただ遠隔ロックは一時的な対応にすぎません。すぐに端末を回収できない限り、万が一パスコードロックを破られてしまった場合のことを考えると心配です。情報漏洩の可能性をゼロに近づけるため、通常は続いて紹介する遠隔ワイプで端末初期化を行うことが多いです。

 

MDMを使った遠隔ワイプ

遠隔ワイプは、紛失・盗難にあった回収が見込めない場合や、その他の理由で端末を初期状態に戻したいときに使います。以下の動画で、強制初期化される様子を見ることができます。(発動まで10秒ほどの「間」があります)


(ネットワーク状況等により遠隔制御が即時発動しない場合もある。数分待つことも…)

端末に一切触れていないのに Appleマークが現れ、初期状態で立ち上がってくるのを確認できると思います。このように遠隔ワイプの命令を受け取った端末は、自らを初期化します。動画では一部早送りしていますが、処理が開始されてから初期状態起動まで1,2分程度の時間を要します。

なお、一度送ったワイプの遠隔制御命令は原則キャンセルすることができません。管理部門は間違って他の端末をワイプしてしまわないよう慎重に行う必要があります。そのためにも、MDM上で端末に付与する識別子やその他の付加情報で、どこの誰の端末かを区別しやすいようにしておくことが重要です。

 

MDMを使った遠隔パスコード消去

遠隔パスコード消去は、端末利用者がロック解除のパスコードを忘れてしまった時に使います。


(最初はパスコードを入力して解除していたのに、遠隔制御後は入力することなくロック解除ができている)

何十/何百と業務端末を配布しているとパスコード忘れの報告は必ずあるものですので、意外に役立つ遠隔制御命令の一つです。なお、プロファイルでパスコード設定が強制されている場合、パスコードを再設定するよう以下のようなメッセージが表示されます。


(一定時間の猶予の後は設定を回避できなくなる(右))

 

以上、MDMによる3つの遠隔制御について解説しました。動きをイメージして貰い易いように動画を掲載しましたが、MDM導入済みのエンドユーザ案件に関わる方は実際にMDMを触れてみることをお勧めします。

本サイトはACNメンバーの(株)フィードテイラーが運営するエンタープライズiOS情報サイトです

最近の投稿