iOS13アップデートでMDMが効かなくなる？

9月5日, 2019BlackBerry, iOS, Jamf, サービス案内

こんにちは。株式会社チェンジにおきまして新卒１年目のタキヤマと申します。
今回は、9月中旬以降のリリースが予定されているiOS13において、見過ごせない
ニュースをみつけたので、みなさまに共有させていただきます。

社給端末を「監視モード」に設定していない企業様
MDMにより、カメラ、iCloudなどの機能を制御している企業様
アップデートで対応が必要なのはわかるが具体的にどうしたらいいかわからない企業様

以上の方々、必見の記事となっております！

iOS13アップデートでMDMが効かなくなるかも？

iPhoneのDEP（Device Enrollment Program）で購入した端末にのみ付与される監視モードでないと、制御できない項目が存在しているのはみなさまもご存知だと思います。

そして、今回のアップデートによって、DEP端末でないと制御できない項目がさらに
増えてしまいました…。

Apple社が公開している技術情報によると、従来MDMを導入することで制御可能であった12個の端末機能が、iOS13では”「監視モード」下においての制御可能”となっていることがわかりました。(Apple社Developer向けサイトDevice Management Profile-Restrictionsより)

従来MDMで制御が効かなくなった12の端末機能

iOS13アップデート以降、「監視モード」状態でないと従来MDMで制御できなくなった
端末機能は以下の通りです。

これらの機能の中には、カメラ機能やiCloudへの同期といった直接情報漏洩につながりかねないものから、AppStoreからアプリケーションのダウンロード許可など、シャドーITを助長するものがあるため、放置しておくと大変なことになるかもしれません…

実際アップデートしたらどうなるの？

実際にiOS13にアップデートした際の影響がどうなるのか？
既に公開されているiOS13のベータ版で先月以下のような条件下で検証をしてみました。

監視モード下にないiPhone（iOS 12.2）、iPad（iOS12.3）を用意
iOS13ベータ版へのバージョンアップや再キッティングを行い、実機検証しました。

検証結果は…

現行端末への影響は限定的監視モード下にない端末をiOS12からiOS13へアップグレードしたとしても、MDMで制御済みの機能が解除されることはない見込み
（例）カメラアプリを削除していた場合、iOS13へアップグレード後も削除されたままになる
新規端末/再キッティングは要注意！新規に導入する端末や、既存の端末を初期化してiOS13としてキッティングする場合、上記12個の機能を制御するには監視モードが必須!

これまでMDM端末で既に端末制御を行っていた場合、制御済みの機能が解除されることは今のところなさそうです。
しかし、

紛失・故障に伴い、新規に端末を購入した場合
既存の端末を初期化して、iOSバージョンを最新化した場合

といったことが起こると、制御が効かなくなる可能性が高いです…。

制御が効かないってじゃあどうするの？

制御が効かないのであれば、今後紛失・故障があった場合や端末初期化をした場合もう打ち手はないのか…？

いいえ、まだ打ち手はあります！

セキュリティポリシーの見直し
これまで制限していた端末機能について、今後も制御し続ける必要が本当にあるか、ユーザビリティの観点を考慮しながら再検討する
（例）ユーザービリティ向上のためカメラ機能の制限を緩め、運用ルールで用途を制限する
監視モード対応端末の準備
新規購入した際に監視モード対応できるよう、端末を準備する
※監視モード化については、
「AppleConfigurator 2を利用する方法」と「Device EnrollmentProgram（DEP）」を採用する方法の2つに大別される
iOS13アップデート前の端末を用意する
端末予備機（iOS12以下）の準備iOS13の端末がエンドユーザに渡らないよう、iOS13正式リリース前に端末を購入・確保しておき
端末の紛失・故障があった場合などには、あらかじめ購入しておいた端末予備機を配付する

しかし、これらの打ち手を実行しようとすると…