今回はモバイル端末管理(MDM)についてです。
だいぶ前になりますが、モバイル端末管理機能について調査しました。
iOS 携帯端末管理機能を調査せよ!導入編①
この方法で細かいモバイル端末管理を行うことができますが、管理者は証明書を発行したり、ユーザーの端末へMDMプロファイルのインストールを依頼するなど、管理を始めるための準備が大変だったりします。また、BYODを導入されている企業様ですと、私用の個人端末にMDMプロファイルを設定することに、抵抗があるユーザーもいらっしゃるようですね。そんな中、これらの手間を省きつつモバイル端末を簡単に管理できる基本モバイル管理がリリースされました。
基本モバイル管理は、簡易版機能となりますので設定できるセキュリティ項目はシンプルに3つとなります。
・画面ロックを設定する。
・企業アカウントのワイプ(端末はワイプされません)
・端末一覧の表示、検索、管理
基本モバイル管理について見ていきましょう。まず、管理者は管理コンソール「端末管理」の「セットアップ」から、「モバイル管理の有効化」を「有効」にして、「基本」を選んで「保存」します。これで設定完了です。
個人利用の iPhone 端末からドライブアプリを利用して、ユーザーアカウントでログインしてみます。
そして、管理コンソール「端末管理」の「モバイル端末」から確認してみると、管理対象として iPhone 端末が「personal」に登録されていました。とても簡単に管理を開始することができました!
ここから画面ロックを見ていきます。管理者で画面ロックを1分、iPhoneの自動ロックを3分に設定にしてみました。(管理者の画面ロック設定は、「端末管理」の「パスワードを設定」のパスワードポリシーより行っています。)
iPhoneを机において様子を見ていると、90秒ほどで画面ロックされました。管理者で設定したロックがしっかりと反映されているようです。
ロックの時間はiPhoneの自動ロックの設定時間に依存するようで、1分,2分,3分,4分,5分のときは、設定時間の半分の時間で画面ロックがかかっているようでした。ただ、自動ロックをなしに設定した場合は画面ロックをすることができませんでした。
これはどうにかならないかなと思い、いろいろと調べてみたところ自動ロックをなしに設定した場合は、各アプリレベルでロックされる仕様のようでした。(Google Cloud Supportより)
続いては企業アカウントのワイプをしてみたいと思います。
「モバイル端末」から対象端末を選んで、「アカウントをワイプ」してみます。基本モバイル管理なので「リモートワイプ」は選べないようになっていますね。
クリックしてアカウントをワイプしてみました。
iPhoneのドライブアプリからアカウントが削除されると予想していたのですが、検証環境ではうまく削除されませんでした。まだ何かしらの設定が必要なのかも知れません。
画面ロック中心の検証とはなりましたが、管理者はボタン1つで簡単なセキュリティの設定ができる。運用を考えた時にとても便利な機能だなと感じました。こちらの機能は、現在「iOS搭載端末」のみとなってますので、ご注意ください。