IT管理者にとって、AppleのiPhone構成ユーティリティは、ネットワーク上のiPhoneにとって重要なセキュリティツールとなります。新しい2.0リリースでは、いくつかの嬉しい改善が見られますが、ドキュメントの充実が望ましく、まだいくつかの点で不十分な点もあります。
iPhone OS 3.0のリリースに伴い、Appleはビジネス環境でのiPhoneの利便性向上に役立つ多くの便利な機能を追加しました。その後まもなく、iPhone構成ユーティリティ(ICU)がリリースされました。ICUは、システム管理者が構成プロファイル(iPhone上のXMLファイル)を作成、管理、暗号化、プッシュするのを支援するツールです。構成プロファイルには、企業イントラネットにおけるデバイスの安全な通信に不可欠な情報が含まれています。
バージョン 2 がリリースされて以来、私は ICU をかなり長い時間使ってきましたが、概ね満足のいくものでした。(注: 当社では社内アプリケーションの開発やプリロードアプリケーションの開発を行っていないため、ICU 2 のアプリケーション機能やプロビジョニングプロファイル機能は使用していません。)
ICUの初期バージョンから設定をアップグレードする必要はありません。そのまま動作し、変更せずに使い続けるために追加の作業は一切必要ありません。これは、新しいソフトウェアに移行する管理者にとって大きなメリットです。
構成プロファイルの設定画面では、新機能をより使いやすくするためにUIが調整されました。パネル上部にタブが縦に並んでいたのがなくなり、個々の機能が縦に並び、アイコンも見やすくなりました。小さな変更点ですが、新しいレイアウトは使い勝手が格段に良くなったと感じています。
LDAP、CalDAV、SCEP などの完全に新しい機能は簡単に使用できます。たとえば、構成プロファイルで LDAP アカウントを設定するには、アカウントの説明 (ユーザーに表示される「名前」)、必要に応じてアカウントのパスワードとユーザー名、LDAP サーバーの DNS 名または IP アドレス、SSL を使用するかどうか、および検索ベース情報を入力します。
CalDAVの場合、アカウントの説明、サーバーのDNS名またはIPアドレスとポート、ユーザー名とパスワード(オプション)、そしてアカウントでLDAPを使用するかどうかを指定します。IT部門の観点から見ると、設定は非常に簡単です。
既存のオプションにも新しい機能が追加されました。たとえば、会社支給の iPhone を構成する場合、デバイスをワイプする以外でプロファイルを削除できないように設定できます。パスコードを強制することもできますが、英数字以外の文字を使ったより複雑なパスコードを要求したり、エージング/自動ロック/パスコード履歴を設定したり、猶予期間 (ロック解除にパスコードを必要とせずにデバイスをロックできる期間) を設定したり、デバイスに機密データがある iPhone ユーザーにとって非常に有利になる、失敗の最大回数を設定したりできます。これにより、デバイスでの失敗の最大回数 (4~16) を設定できます。失敗回数がその回数に達すると、デバイス上のすべてのデータが自動的に消去されます。これは、機内モードを使用してリモート ワイプを防ぐほど賢い泥棒に対処するときに便利です。
制限セクションでは、不適切なコンテンツ、Safari、YouTube、iTunes Music Store、App Store、デバイスへの独自のアプリのインストール、カメラなどからユーザーを完全にロックアウトできます。
カメラ制御は、セキュリティが問題となる企業にとって重要であり、カメラ付きスマートフォンを従業員が使用するにはリスクが高すぎると考える組織でも、iPhone を導入できるようになるかもしれません。
ICU では複数の構成プロファイルを作成できるため、Exchange ActiveSync に既に登録されているユーザー向けに LDAP 専用のプロファイルを作成できました。プロファイル間で機能が異なるのが 1 つだけの場合(例: VPN ユーザーと非 VPN ユーザー)、プロファイルを複製して変更を加えるだけで済みます。
ああ、SCEPはどこにいるの?
ICUバージョン1では、構成プロファイルを配布するには、iPhoneをICUが稼働しているワークステーションに直接接続するか、プロファイルをユーザーにメールで送信するか、ユーザーがWebサイトにアクセスしてファイルをiPhoneにダウンロードするかのいずれかしかありませんでした。そのため、このプロセスはIT部門(iPhoneに直接接続)に委ねられるか、ユーザーがプロファイルをインストールする必要がありました。
真の無線(OTA)セットアップでは、ユーザーはSafariで安全なURLにアクセスし、そのURLで認証を行い、そこから設定を進めます。通常、入力する必要のあるその他の情報はメールアドレスとパスワードのみです。これはICUの最初のバージョンでは十分に実装されておらず、多くの企業が求めていた機能でした。
例えば、メールプロファイルのデメリットの一つは、メールがiPhoneでしか開けないことでした。iPhoneをメール用に設定していない場合、外部メールアカウントを持つデバイスに会社のプロビジョニングプロトコルを送信する必要があり、デバイスには少なくとも1つのメールアカウントが設定されている必要がありました。個人用の携帯電話であれば、この設定は可能だったかもしれませんが、そうでないかもしれません。会社支給の携帯電話の場合はどうでしょうか?デバイスをプロビジョニングするには、デバイスをプロビジョニングする必要がありました。これはあまり良い選択肢ではありません。
Web サイトのオプションは少しは役立ちましたが、間違った人がプロファイルにアクセスできないようにするために、プロセスにさらに複雑さが加わり、ユーザーは依然としてプロファイルを手動で承認するなどの作業が必要になりました。実際には少しは改善されましたが、それほど大きな違いはありませんでした。
AppleはICU 2で、企業がより自動化されたOTA方式でプロビジョニングを処理できる手段を提供しました。これはSCEP(Simple Certificate Enrollment Protocol)に基づいています。これにより、企業はSCEPサーバーを構築し、IMEI番号、デバイスのMACアドレス、チャレンジトークン(パスワード/パスコード)といったデバイス固有の情報を使用することで、デバイスをほぼ自動的に設定できるようになります。ユーザーが入力する必要がある追加情報は、メールアドレスやメールのパスワードなど、ユーザー固有の情報のみになります。
Appleにとって大きな前進ですが、問題があります。iPhone Enterprise Deploymentガイドは、プロセスの仕組みやXMLレスポンスの例を分かりやすく説明しているものの、SCEPサーバーの設定に関する有用な情報は提供されていません。SCEPはCiscoが提案したインターネットドラフトであり、(最終的には)Ciscoからドキュメントが公開される予定ですが、Ciscoの機器をお持ちでなければ役に立たない上に、Appleはそもそもその情報へのリンクを提供していません。
Apple は、SCEP に関する「ヘルプ」として 3 つのリンクを提供しています。
- IPSec VPN 向けデジタル証明書 PKI
- 公開鍵インフラストラクチャ
- IETF SCEPプロトコル仕様
以上です。社内にSCEPの専門家がいるなら、おそらく導入には十分でしょう。そうでなければ、あまり役に立ちません。SCEPはシスコにとってもまだ新しい技術であり、Mac OS X Serverで動作させようと考えている場合、現時点では導入を支援するツールが実質的に存在しません。つまり、素晴らしいアイデアではありますが、実装に関するドキュメントが作成され、普及するまでは、現状では実質的に役に立たないと言えるでしょう。
ICU 2 に対する最後の不満は、LDAP のサポートが不十分なことです。例えば、私のユーザーレコードはすべて Open Directory 経由で LDAP に保存されています。直接接続でインストールする場合、Exchange Active Sync プロファイルなどをユーザー名に指定して、LDAP サーバーからメールアドレスとパスワードを取得できないのはなぜでしょうか? 特に Apple の Mail サーバーや CalDAV サーバーを使用している場合、あるいはメールサーバーが Open Directory に接続されている場合、メールや CalDAV でも同じことができないのはなぜでしょうか?
この情報を安全に取得することは全く不可能ですが、そうではないため、ユーザーはユーザー名、メールアドレス、パスワードを入力する必要があり、不必要に面倒です。(SCEPではLDAPと連携しているので、これは問題にならないかもしれませんが、SCEP、特にiPhoneのプロビジョニングに関する適切なドキュメントが不足していることを考えると…さて、どうなるかは分かりません。まあ、Appleだと思いますが、今のところは何も明かされていません。)
ICUの新しい機能セットは本当に便利で、本当に感謝しています。しかし残念なことに、このユーティリティは、多くの人が求めている機能の適切な実装ドキュメントなど、本来あるべきではない壁にぶつかってしまいます。本当にイライラしますし、Appleのやり方とはかけ離れています。
[ジョン・C・ウェルチは、ジマーマン・エージェンシーの上級システム管理者であり、長年 Mac IT の専門家です。 ]
