EPISODE 02

非ITエンジニアが取り組むリモートワーク基盤構築の記録

Profile Managerで端末セキュリティポリシーを設定する

前回はプロファイルマネージャのマイデバイスポータルの設定を行った。この時点でユーザがマイデバイスポータルにアクセスし、登録作業を行えばプロファイルマネージャに端末を登録することができる状態になっている。

構成プロファイルのダウンロードとインストール

マイデバイスポータルのURLはhttps://yourdomain.com/mydevicesとなりユーザは端末のSafariでインターネットからURLにアクセスする。プロファイルマネージャで設定したセキュリティポリシーや端末設定は、構成プロファイルとしてダウンロードされる。端末にこの構成プロファイルをインストールすることで、設定した内容が端末に反映されるというわけだ。この構成プロファイルに設定したポリシーは後からプロファイルマネージャ管理画面から変更することができるので、MDMサービスと遜色なく使える。

プロファイルマネージャ管理画面でのポリシー設計

実際の設定は事前にポリシー設計しておく必要がある。詳細部分までの設定が可能であるが、今回は構成プロファイル全体の設定について触れていく。またiOSの他Mac OSの設定も可能であるが、今回はMacを利用する想定はないためiOSのみとした。

設定したいグループを選択し設定タブをクリックする

f:id:bcorp:20160829174740p:plain

グループ名の設定画面から、編集をクリックすると新しいウィンドウが立ち上がる。

f:id:bcorp:20160829175036p:plain

これが、構成プロファイルの設定画面で、画面左に設定する項目、右側に設定するパラメータを登録していく。設定する項目は、かなり多いため、まずは構成プロファイル全般とパスコードの強制のみとして必要な制限が生じた場合のみポリシー追加する方針とした。

一般で設定した項目は以下の通り

f:id:bcorp:20160829175036p:plain

プロファイルの配布タイプ:自動プッシュ
所属:自動入力
説明:空白
セキュリティ プロファイルをいつ削除するかの制御:常にする
プロファイルを自動削除:常にしない

この設定を行っておくことで、プロファイルマネージャ管理画面からポリシーを変更するとユーザ操作なしに遠隔でプロファイルの書き換えを行える。説明にはプロファイルに表示される説明文が記入できる。今回は特に必要はないため空白とした。

パスコードで設定した項目は以下の通り

f:id:bcorp:20160829175918p:plain

単純値を許可:許可しない
英数字の値が必要:必要
最少のパスコード長:6桁
複合文字の最小数:設定しない
パスコードの有効期限:なし
自動ロックまでの最長時間:5分
パスコード履歴:1回
デバイスロックの最大猶予期間:5分
入力を失敗できる回数:設定しない


気をつけるのは「入力を失敗できる回数」の設定値だ。この回数を超えてユーザが誤ったパスコードを入力すると端末はローカルワイプ(初期化)され全てのデータは消去される。特にTouch IDを利用するケースでは、普段のオペレーションでパスコードの入力を行わないため、パスコードを失念する可能性が高い。従ってパスコードを忘れた時は、マイデバイスポータルに別の端末からアクセスして、パスコードを初期化する、もしくは回数制限を設定しないなど運用を考慮した設定が必要だ。

後は、チームや組織で管理しているパソコンなどの設定と同じレベルでポリシーを設定していく。なお最少のパスコード長を6桁に設定しておくと当然ユーザ側で4桁の設定はできないが6桁以上の設定は可能。

端末のセキュリティ設計は厳しすぎるとユーザビリティが悪くなりユーザが使わなくなったり、初期化されてしまったりするのでバランスを十分に考慮した設計にする必要はありそう。