業務用iOS端末を特定のWiFi以外に接続できないようにする方法

業務用のiOS端末では、指定したWiFi以外に接続させたくない場合があります。

セキュリティの観点からフリーWiFiに繋げさせたくない場合もあれば、施設設置型のキオスク端末用途で特定のWiFiに繋がってないとアプリが機能しないといった場合もあるでしょう。(施設ローカルネットワークにコンテンツサーバがある等)

(WiFi接続制限は業務用端末ならではの機能の一つ)

そこで本稿では、指定のWiFi以外に接続を許可しない方法について解説します。

接続先WiFiを制限された端末では、設定アプリでの表示が以下のようになります。

→
(通常は左側。右側が制限された端末)

通常ならネットワークの欄に接続先候補が現れますが、制限された端末では待てども待てども表示されません。オープンなSSIDが表示されないのはもちろん、制限を有効にする前に手動で接続したことのあるSSIDも表示されません。

管理部門が許したWiFiにのみ接続できる状態になるわけです。MDM管理下から逃れる以外に、この制約から逃れるすべはありません。MDMに自動チェックインするDEP(ADE)端末なら、端末側からMDM管理下を抜け出すことは不可能ですので、セキュリティ的にかなり安心ですね。

条件は2つです。

監視モード端末に対して、WiFiの接続情報と一緒に制限設定も流し込みます。接続対象とするWiFiは1つに絞る必要はありません。複数個あってもokです。

監視モードや構成プロファイルについては、書くと長くなりますので以下投稿をご覧下さい。

構成プロファイルを作成して監視モードの端末に流し込む必要があります。本稿では Apple Configurator を使って作成する方法で解説しますが、他のツールやMDMに備わっている作成支援機能を使っても良いでしょう。

(1) まず端末を監視モードにします。詳しくは監視モードにする方法やDEPとは何かの投稿をご覧下さい。既に対象端末が監視モードなら不要です。

(2) WiFi の接続情報を含む構成プロファイルを作成します。Apple Configurator の WiFi のカテゴリで [+] をクリックして必要情報を入力します。自動接続させたい場合は「自動接続」のチェックをONにします。

(接続情報を複数個指定しても良い。個数制限はない)

(3) (2)とは別に新たな構成プロファイルを作成し、制限のカテゴリで「Wi-FiペイロードによってインストールされたWi-Fiネットワークのみに接続」のチェックをONにします

(デフォルトはOFF)

(4) (2)で作成した構成プロファイル(WiFi接続情報)と、(3)で作成した構成プロファイル(接続先制限) の両プロファイルを Apple Configurator か MDM を使って端末に流し込みます。

(5) 設定アプリのWiFiから、流し込んだWiFi以外が一覧から見えなくなっていることを確認します。

(制限の構成プロファイルが流し込まれ反映されると、直前まで接続されていたWiFiは一度切断される)

以上です。必要な構成プロファイルを用意して流し込むだけなので簡単ですね。(5)でもし他のSSIDが見えてしまう場合、端末が恐らく監視モードになっていません。iOS端末が監視モードかどうかを確認する方法を参考にしてチェックして下さい。

ところで、上記の設定方法の (2) (3) で、WiFi接続用と接続制限用の構成プロファイルを別々に作りました。しかし、構成プロファイルには幾らでも設定を内包できますので、2つに分けず1つの構成ファイルにまとめることも可能です。

(1つの構成プロファイルに両者を一緒に含めた例)

ですが、構成プロファイルはなるべく細かい粒度で分けるのが推奨されます。柔軟なオペレーションができるからです。例えば上記(2)(3)のように、WiFi接続情報と、WiFi接続制限を別々の構成プロファイルに分けておくことで、以下のような運用が行えます。

1つにまとめてしまうと、こうはいきません。

筆者は様々な構成プロファイルを作成・変更・削除を運用御支援で体験してきましたが、構成プロファイルを肥大化させることが運用時のメリットになったことは一度もありません。なるべく粒度は細かくして、構成プロファイルは小さくするようにしましょう。

本稿では、特定のWiFiにしか接続できないようにする方法について解説しました。

の2つが条件であることと、構成プロファイルの具体的な作成方法をご紹介しました。通信の秘匿性が必要なシーンで導入を検討されると良いでしょう。

本サイトはACNメンバーの(株)フィードテイラーが運営するエンタープライズiOS情報サイトです