iPadOS×条件付きアクセスの落とし穴。
こんにちは。kazuyaです。
普段はJamfというApple特化のMDM製品を担当しています。
今回初投稿のネタですが、iPadOS×条件付きアクセスについてです。
概要
iPadOSがリリースされ一部アプリの動作が変わりました。
例えばAzureAD条件付きアクセスを利用してiPadのアクセス制御を実施している場合、
影響範囲を確認し、必要に応じてポリシーを見直す必要があります。
読んでもらいたい人
- IT管理者として、AzureAD条件付きアクセス(Conditional Access)でiPadからのアクセスを制御している人。
本文
2019年9月25日、iPad向け新OSとして「iPadOS」がリリースされました。
これまでiPadではiPhoneと同様iOSが提供されてきましたが、今後はiPadOSが提供されることになります。
iPadOSのベースはiOSと同じですが、よりタブレット(iPad)に最適化されており、新機能の追加に加え、一部既存機能が変更されました。変更の一例として、safariではmacOSと同様にデスクトップ用webサイトを表示できるようになります。
ところがこの変更により、AzureAD条件付きアクセスのセキュリティに影響が出る可能性があります。
AzureAD条件付きアクセスでは、デスクトップ用webサイトを表示するsafariをmacOSアプリとして判断するため、ポリシーの内容によってはiPadが制御対象から漏れてしまい、想定外にiPadからのアクセスが野放しになってしまう可能性があります。
特にiOS用条件付きアクセスポリシーは整備しているが、macOS用条件付きアクセスポリシーを持っていない場合は注意が必要です。
公式サイト
必要なアクション: iPadOS の起動に備えて条件付きアクセス ポリシーを評価および更新する(Microsoft社)
検証
さっそく検証です。
AzureAD条件付きアクセスにて以下のポリシーを作成し、iPadOSでの動作を確認しました。
※チェンジ太郎さんがiOS端末でブラウザを使ってメール(ExchangeOnline)を見ようとした時、ブロックするポリシー
結果としては以下の通り。
iPadOSでsafariよりExchangeOnlineを見た時、アクセスポリシーに引っかからずに閲覧できてしまう(網掛け部分)。
ただし、設定より「デスクトップ用webサイトを表示」のチェックを外すとiOSでアクセスした際と同様にブロックされる。
ここで以下のようなmacOS用のポリシーを作成したところ、iPadOSでsafariからのExchangeOnline閲覧をブロックすることができた。
※チェンジ太郎さんがmacOS端末でブラウザを使ってメールを見ようとした時、ブロックするポリシー
おわりに
検証結果から、iPadのsafariがmacOSアプリとして認識される場合があることを確認できました。
やはり、条件付きアクセスでアクセス制御を実施しており対象デバイスとしてiPadがある場合、まずは影響範囲を確認し必要に応じてポリシーの内容を見直すべきかと思います。
その中で、もしmacOSを所持していなくても、iPadOSのためにmacOS用のポリシーを整備することになるかもしれません。
そして、もともとmacOSを所持しておりポリシーも存在する場合、iPadOS用に作成したポリシーと互いへの影響を確認しましょう。
それではまた。
最新の情報についてはMicrosoft社公式サイトを確認してください。