(MACアドレスはiOSではWi-Fiアドレスと表記される。EC:CE:D7はAppleに割り当てられたベンダーID)

しかし、iOS14以降のiOS端末はMACアドレス制限のかかった無線ネットワークとの相性が非常に悪く、ハマりポイントがあるので注意が必要です。本稿では、iOS14以降のiOS端末をMACアドレス制限有りのネットワーク下で使用する場合の注意点と対策方法をご紹介します。

iOS14以降でハマるプライベートWiFiアドレス

iOS14以降から、プライベートWiFiアドレスなる機能が搭載されました。iOS端末のMACアドレスを隠蔽するためのもので、デフォルトではONになっています。

 → 
(接続中WiFi名の右端 (i) ボタンから詳細情報画面で確認できる)

iOS14以降のiOS端末では、接続される側(ネットワーク機器)から見た場合の端末MACアドレスが真のMACアドレスではなくなっているということですね。デフォルトでこの挙動になります。

MACアドレス制限は通常、端末側のMACアドレスが変わらない前提で「MACアドレスが XX:XX:XX:XX:XX:XX なら接続を許可します」と設定するものです。真のMACアドレスでないのなら、条件が満たされず接続できなくなってしまうことは容易に想像がつきます。

  
(真のMACアドレス(左)と、接続先のネットワーク機器に伝わるMACアドレス(右)の違い。全く異なることが分かる)

結果、プライベートWiFiアドレスの存在を知らずにiOS13以前からiOS14以降にアップデートすると、WiFiが繋がらなくなったというトラブル報告が大量発生してしまうことになります。

MACアドレスのランダム化を無効にするために

もしMACアドレス制限付きのネットワークを構成していて、iOS14以降を使用するのなら、トラブルを避けるためプライベートWiFiアドレス機能を無効にしなければなりません。無効化には以下が必要となります。

• 監視モード端末であること
• 構成プロファイルを流し込むこと

DEP(ADE)端末であれば後者の構成プロファイルのみを意識すれば良いでしょう。そうでない場合はiOS端末を Apple Configurator で明示的に監視モード化する必要があります。詳しくは以下をご覧下さい

• iOSを監視モードにする方法 〜保存版 : Apple Configurator2編〜
• iOSの監視モードとは何か

実は、プライベートWiFiアドレス機能の無効化に監視モードは必須ではありません。しかし、厳密な運用をする為には必要となります。この点は後述します。ひとまずやり方を先に確認しておきましょう。

MACアドレスのランダム化を無効にする方法

手順はいたって簡単で、構成プロファイルの中で無効化を明示するのみです。端末全体に対して設定するのではなくWiFi接続先情報ごとに指定するという点に注意して下さい。

Apple Configurator の構成プロファイルエディタでは、各WiFi接続情報の中にある「関連付けを回避するためのMACランダム化を無効にする」のチェックが該当します。これをONにして保存します。

構成プロファイルのXMLを直接編集している場合は、WiFi接続情報のXMLの中に以下のように DisableAssociationMACRandomization キーに true を指定しましょう。

作成した構成プロファイルを Apple Configurator か MDM を使って流し込むと設定が反映されます。構成プロファイルをMDM上で編集する場合は、各MDMサービスのマニュアルを参照して下さい。

構成プロファイルを流し込んだ後、端末の設定アプリからWiFi接続情報の詳細画面を開くと、本当に無効になっているかどうか確認することができます。

  
(スイッチのON/OFFだけでなく、WiFi一覧でも、接続詳細画面の最上部にも警告が表示される)

MACアドレスがランダム化されたものかどうかを確認する方法

実は、iOS側の設定を見なくても、例えばWiFiアクセスポイント機器の接続端末一覧などの画面で、MACアドレスがランダム化された端末かどうかを(ほぼ確からしく)見分ける方法があります。

MACアドレスは48ビット(6バイト)で構成されますが、ランダム化されたMACアドレスの場合、その最初の1バイト(図中の赤色部分)中の0ビット目(I/Gビット)と1ビット目(G/Lビット)の並びが下図のとおり 10 となります。

従ってMACアドレス表記の2文字目が 2,6,A,E のいずれか(16進数表記で0,1ビット目が10となる)であれば、接続されているiOS端末はプライベートWiFiアドレス機能が有効になっている可能性が高いということです。

(あるアクセスポイントの接続ログ一部。2文字目がA,Eなのでランダム化されたものと思われる)

本件I/GビットとG/Lビットとランダム化ついては、標準化団体IETFに Internet-Draft (草稿文書) として提出されている文書にも記載がありますので、興味のある方は確認されると良いでしょう。

(2022年7月時点のステータスは WG Document)

ちなみにこのランダム化、実はiOS8(iPhone5の時代)から採用されています。ユーザが意図せず位置情報をトラッキングされてしまうことを避けるため、WiFi接続確立前のプローブ要求(Probe Request)に限って長らく使われてきた仕掛けです。

iOS14のプライベートWiFiアドレス機能はその延長線上にあるもので、接続確立前だけでなく接続確立後のMACアドレスも隠すようになったものです。詳しくは以下の資料を参照して下さい。iOS端末の運用だけでなく、ネットワーク管理もされている情シス担当者の方は一読されると良いでしょう。

• MAC認証や位置情報が使えなくなる!?Private MACアドレス説明と影響について(CISCO日本法人)
• Wi-Fiのプライバシー(Apple公式ドキュメント)

昨今のAppleは個人情報を守る姿勢を強めています。プライベートWiFiアドレス機能はその姿勢強化を裏付ける機能と言えるでしょう。

MACアドレスのランダム化の無効に監視モードが必要なわけ

ところで、前述のMACアドレスのランダム化を無効にするためにの項で、監視モードは必須ではないと書きました。実際その通りで、構成プロファイルさえ流し込めば、監視モードかどうかに関わらずプライベートWiFiアドレス機能は無効になります。

が、監視モードでない場合、流し込んだ直後は無効化されるもののユーザが手動で有効化できてしまう点に注意が必要です。

 → 
(監視モードでない場合、簡単にランダム化の無効化を解除されてしまう)

これでは余り意味がありませんね。監視モードの端末であれば、上記のような手動有効化ができず、画面上でも下図の赤枠のように注意書きが表示されるようになります。

(プライベートWi-Fiアドレスのスイッチをタップしても反応しない。つまりユーザが勝手に無効化を解除することはできない)

業務端末としてiOS端末を配布する場合、この画面の存在すら知らない従業員が大半でしょうから、監視モードでなくても別に構わない…という割り切りもアリでしょう。従って、各社ごとプロジェクトごとに諸事情を勘案し総合的に判断することとなります。

以上、MACアドレス制限のかかったネットワークでiOS端末を使用する場合に注意すべきことについて解説しました。

セキュリティの観点からフリーWiFiに繋げさせたくない場合もあれば、施設設置型のキオスク端末用途で特定のWiFiに繋がってないとアプリが機能しないといった場合もあるでしょう。(施設ローカルネットワークにコンテンツサーバがある等)

(WiFi接続制限は業務用端末ならではの機能の一つ)

そこで本稿では、指定のWiFi以外に接続を許可しない方法について解説します。

動作紹介

接続先WiFiを制限された端末では、設定アプリでの表示が以下のようになります。

 → 
(通常は左側。右側が制限された端末)

通常ならネットワークの欄に接続先候補が現れますが、制限された端末では待てども待てども表示されません。オープンなSSIDが表示されないのはもちろん、制限を有効にする前に手動で接続したことのあるSSIDも表示されません。

管理部門が許したWiFiにのみ接続できる状態になるわけです。MDM管理下から逃れる以外に、この制約から逃れるすべはありません。MDMに自動チェックインするDEP(ADE)端末なら、端末側からMDM管理下を抜け出すことは不可能ですので、セキュリティ的にかなり安心ですね。

前提条件

条件は2つです。

• 端末が監視モードであること
• WiFiのSSID接続情報を構成プロファイルでインストールすること

監視モード端末に対して、WiFiの接続情報と一緒に制限設定も流し込みます。接続対象とするWiFiは1つに絞る必要はありません。複数個あってもokです。

監視モードや構成プロファイルについては、書くと長くなりますので以下投稿をご覧下さい。

• 監視モードとは何か
• 監視モードにする方法
• 構成プロファイルとは

設定方法

構成プロファイルを作成して監視モードの端末に流し込む必要があります。本稿では Apple Configurator を使って作成する方法で解説しますが、他のツールやMDMに備わっている作成支援機能を使っても良いでしょう。

(1) まず端末を監視モードにします。詳しくは監視モードにする方法やDEPとは何かの投稿をご覧下さい。既に対象端末が監視モードなら不要です。

(2) WiFi の接続情報を含む構成プロファイルを作成します。Apple Configurator の WiFi のカテゴリで [+] をクリックして必要情報を入力します。自動接続させたい場合は「自動接続」のチェックをONにします。

(接続情報を複数個指定しても良い。個数制限はない)

(3) (2)とは別に新たな構成プロファイルを作成し、制限のカテゴリで「Wi-FiペイロードによってインストールされたWi-Fiネットワークのみに接続」のチェックをONにします

(デフォルトはOFF)

(4) (2)で作成した構成プロファイル(WiFi接続情報)と、(3)で作成した構成プロファイル(接続先制限) の両プロファイルを Apple Configurator か MDM を使って端末に流し込みます。

(5) 設定アプリのWiFiから、流し込んだWiFi以外が一覧から見えなくなっていることを確認します。

(制限の構成プロファイルが流し込まれ反映されると、直前まで接続されていたWiFiは一度切断される)

以上です。必要な構成プロファイルを用意して流し込むだけなので簡単ですね。(5)でもし他のSSIDが見えてしまう場合、端末が恐らく監視モードになっていません。iOS端末が監視モードかどうかを確認する方法を参考にしてチェックして下さい。

構成プロファイルを2つに分ける理由

ところで、上記の設定方法の (2) (3) で、WiFi接続用と接続制限用の構成プロファイルを別々に作りました。しかし、構成プロファイルには幾らでも設定を内包できますので、2つに分けず1つの構成ファイルにまとめることも可能です。

(1つの構成プロファイルに両者を一緒に含めた例)

ですが、構成プロファイルはなるべく細かい粒度で分けるのが推奨されます。柔軟なオペレーションができるからです。例えば上記(2)(3)のように、WiFi接続情報と、WiFi接続制限を別々の構成プロファイルに分けておくことで、以下のような運用が行えます。

• WiFi接続情報(2)のみ流し込んで端末の接続確認とサーバとの疎通確認
• もし繋がらなければ他の接続可能なWiFiに切り替えてトラブルシュート
• 問題解決してからWiFi接続制限(3)を流し込む

1つにまとめてしまうと、こうはいきません。

筆者は様々な構成プロファイルを作成・変更・削除を運用御支援で体験してきましたが、構成プロファイルを肥大化させることが運用時のメリットになったことは一度もありません。なるべく粒度は細かくして、構成プロファイルは小さくするようにしましょう。

まとめ

本稿では、特定のWiFiにしか接続できないようにする方法について解説しました。

• 監視モードにする
• WiFi接続情報とWiFi制限の構成プロファイルを流し込む

の2つが条件であることと、構成プロファイルの具体的な作成方法をご紹介しました。通信の秘匿性が必要なシーンで導入を検討されると良いでしょう。

通常、アプリのインストールにはAppleIDが必須ですが、業務用として設定された端末の場合は AppleID が無くてもアプリのインストールが可能だから…というのが大きな理由です。また、iCloud バックアップや「探す」機能など、AppleIDに紐づく機能の多くは代替する仕組みがあったり、むしろそんな機能は使わせたくない…となることも多いからです。

ただ、不要だからといって AppleID 未設定のまま端末を配布してしまうべきではありません。

(業務用端末に個人のAppleIDを入れられてしまうと…?)

従業員が個人AppleIDを入れることで情報が同期され、業務用端末に余計なアプリがインストールされてしまったり、逆に業務用の情報が個人端末に転送されて情報漏えいに繋がりかねません。端末を顧客や取引先に一時貸与するような場面では、返却後に端末初期化が難しくなったりします。

こういったことを避ける唯一の方法は、AppleiD を設定できないようにすることです。本稿ではその方法をご紹介します。

前提条件

業務用の制限機能の多くと同様に、端末は監視モード(Supervised Mode)でなければなりません。監視モードについてはiOSの監視モードとは何かをご覧下さい。

(iOSには2つのモードがある)

監視モードにするには、Apple Configurator2 から「準備」をするか、DEP(ADE)端末を購入してMDMに自動チェックインさせるか、2つの方法があります。それぞれの具体的方法は以下投稿を参考にして下さい。

• iOSを監視モードにする方法 〜保存版 : Apple Configurator2編〜
• DEP(Device Enrollment Program)とは何か

監視モードにできない端末の場合、AppleIDの無効化はできません。なお MDM へのチェックインは必須ではありません。

設定方法

(1) 監視モード化された端末を用意します。

(2) 次に構成プロファイルを作成します。Apple Configurator2 の構成プロファイルをエディタを使っても良いですし、MDMが備える作成画面を使ってもいいでしょう。「制限」のカテゴリにあるアカウント設定の変更を許可の項目をOFFにして保存します。

もし構成プロファイルを手動で作成する場合は、以下のように PayloadContent 内に allowAccountModification を false とする設定値をXML(plist)内に含めて下さい。

<key>PayloadContent</key>
<array>
    <dict>
...(略)...
        <key>allowAccountModification</key>
        <false/>
...(略)...
    </dict>
</array>

(3) 作成した構成プロファイルを端末に流し込みます。Apple Configruator2 を使う場合は構成プロファイルの作成とインストールの基礎 〜Apple Configurator2を使う方法〜をご覧下さい。MDMの場合は使用するMDMのマニュアルを参照して下さい。

(4) 流し込み完了後、設定が適用され以下のようにAppleIDが入力できないようになります。

 → 
(違いがほとんどなく分かりにくいが、適用後(右側)はAppleIDを入力する行がグレーアウトしタップできなくなる)

手順は以上となります。もしうまくいかない場合は、端末が監視モードかどうか確認しましょう。監視モードかどうか確認するにはiOS端末が監視モードかどうかを確認する方法の投稿を参考にして下さい。

本稿では、AppleIDの入力を無効にする方法について紹介しました。業務用として従業員に配布する端末や、施設に設置して使用するキオスク端末用途では特に有用です。よからぬトラブルを避けるため、AppleID が不要ならあらかじめ無効にしておきましょう。

構成プロファイルを作成していると、iOS標準アプリを全部列挙することに結構難儀します。

工場出荷時状態の端末が手元にあればすぐ分かりますが、そうそうあるものではありません。またiOSのアップデートで標準アプリは増えたり減ったりもしますので、それを調べるのも面倒です。

こう書いた通り実際には結構面倒な作業です。

(1つ1つ登録するのが手間)

「全部アプリを消すがこれだけは表示する」という設定がでれば良いのですが、残念ながらそのような気の利いた仕様になっていません。標準アプリを全部列挙する必要があります。

その面倒臭さを解消するため、iOS標準アプリを全消しする構成プロファイル iOS15対応版を公開することにしました。最初からiOS標準アプリがすべて列挙されている、標準アプリ削除用の構成プロファイルとなります。以下よりダウンロードして下さい。

前提条件

以前の投稿にも書きましたが、標準アプリ削除を行えるのは監視モードの端末です。ダウンロードした構成プロファイルをインストールする端末は、以下のどちらかでなければなりません。

• Apple Configurator2 で監視モードにした端末
• DEP(またはADE)端末として購入しMDMに自動チェックインさせた端末

上記から分かる通り、一般個人ユーザの端末では使用できません。監視モードかどうかを調べるには、iOS端末が監視モードかどうかを確認する方法を参照して下さい。

iOS標準アプリ全消し構成プロファイルの使い方

インストール前に、ダウンロードした構成プロファイルに手を加える必要があります。

(1) 標準アプリ削除用の構成プロファイルをダウンロードする

(2) テキストエディタで開いて以下の通りダミー値を置き換える

(3) 構成プロファイルを端末にインストールする(MDMまたはApple Configurator2を使う)

手順としては以上となります。構成プロファイルをインストールする方法は幾つかありますので、以下を参考に最適なものを選んで下さい。インストールさえできればどんな手段でも構いません。

• 構成プロファイルの作成とインストールの基礎 〜Apple Configurator2を使う方法〜
• 構成プロファイルのインストール方法 〜Apple Configurator2 を使わない方法〜

インストール直後、iOS標準アプリが根こそぎ消えてくれます。

(iPod touchにインストールした直後の様子)

特定のアプリだけは消したくない…という場合、ダウンロードした構成プロファイルのアプリ一覧から該当するものを削除して下さい。どのアプリがどのIDなのかは、apple-bundle-identifiers のページを参照すると良いでしょう。

また、手順(2)の項目にあるUUIDは、汎用一位識別子(Universally Unique IDentifier)と呼ばれるもので、仕様に従って生成されたものでなければなりません。詳しくは、構成プロファイルを自作する時に必要なUUIDの作り方を参照して下さい。

エンタープライズiOSの現場では、必ずと言って良いほどiOS標準アプリを消したくなります。本稿で公開した構成プロファイルを使って少しでも労力軽減して頂ければと思います。

8894C432-FA57-4FA5-BF46-198B291F8DAB

のような書き方をして使います。

エンタープライズIOSの世界でUUIDを意識することはほぼほぼありませんが、AppleConfiguraotr2 を使わずに構成プロファイルを手書き・編集する時や、構成プロファイルを自動生成するプログラムを独自に開発する時には意識する必要があります。

(構成プロファイルのXMLにはUUIDが随所に現れる)

本稿では、構成プロファイルで使うUUIDについて解説します。

構成プロファイルにおけるUUID

UUIDは構成プロファイルのXML(plist形式)の主に2箇所で使われます。

• 構成プロファイルそのものを識別するためのUUID
• 構成プロファイル内の各設定(ペイロード)を識別するためのUUID

構成プロファイルのファイル1つにつき前者は1つで、他の構成プロファイルと重複してはなりません。また後者は構成プロファイルに含めた各設定ごとにそれぞれ重複しないように指定します。

(構成プロファイルの構造。各ブロック毎にUUIDが必要。重複してはならない)

いずれも PayloadUUID というキー名を使ってUUIDを指定しますが、XML(plist)形式内のタグ構造が上図のようになっていることを意識していれば混乱することはありません。

興味深いのは、構成プロファイルの仕様書 で PayloadUUID は必須の項目であるとされていながら、

A globally unique identifier for the profile. The actual content is unimportant, but it must be globally unique.

とあり、実は余り重要ではない(unimportant)とされていることです。じゃぁなぜ作った…という話なのですが(笑)

実際には PayloadUUID とセットで指定するPayloadIdentifier のほうを一位性を担保する値として使っているようです。とはいえ PayloadUUID の一意性を軽んじて、将来万が一仕様変更されて影響を受けるのも避けたいですので、構成プロファイル内で使用するUUIDは全て異なるよう都度生成した方が良いでしょう。

UUIDの作り方

UUIDの仕様はWikipediaが詳しいです。16進数で32文字を闇雲に並べたらそれでokというわけではありませんので、UUIDを生成する時は仕様にそって作ってくれるツールを使う必要があります。以下で順に紹介します。

MacでUUIDを作る

Macには uuidgen というUUID生成コマンドが最初から入ってますのでこれを使います。

Finderでアプリケーションから[ユーティリティ]フォルダを開き、中にある [ターミナル] を起動して、 以下のように uuidgen コマンドを実行するだけでUUIDの生成完了です。

簡単ですね。生成されたUUIDをコピペして構成プロファイル内に貼り付けて使います。コピーするのが面倒臭いなら

$ uuidgen | pbcopy

のように pbcopy コマンドをパイプで繋いでも良いでしょう。自動的にクリップボードにコピーしてくれます。

WindowsでUUIDを作る

Windowsの場合は PowerShell を使うのがオススメです。

[Windowsキー] + [R] で powershell を入力して PowerShell を起動。New-Guid を入力してエンターでUUIDが生成できます。

生成結果の Guid と書かれた16進数表記部分をコピペして使います。コピーが面倒な場合は PowerShell で

> (New-Guid).Guid | clip

を入力しても良いでしょう。クリップボードにUUIDがコピーされます。

ブラウザでUUIDを作る

いわゆるコマンドラインを操作する事に慣れていない方は、以下のようなUUIDを生成できるサイトを使うことができます。

(右側 Version4 UUID Generator を使うのが良い)

ところでUUIDは重複することがないのか？と疑問に思われる方は、こちらの検証記事が参考になりますので興味があれば参照して下さい。

以上、UUIDの生成について紹介しました。構成プロファイルの中身に直接手を入れるようなことがある場合に活用して下さい。

人種差別に対するAppleの姿勢

Appleは元より多様性を尊重し、イノベーションの源泉であるとして専用サイトまで用意して自社の取り組みを公表しています。公開当初は少し話題にもなったので知ってる方も多いと思います。

(人種という区切り以外にも年齢や性別で偏った見方をAppleがしていないことを示すレポート)

このレポートはAppleの姿勢の片鱗ですが 、古くから、そして今もなお人種差別に「否」を示し続けています。昨年のWWDC2020キーノートでは、米国で拡大するBLM運動(Black Lives Matter:人種差別抗議運動)について言及されました。

(WWDC2020は、BLM運動が拡大するきっかけとなった事件の直後だった)

さらに Apple はWWDC2020の直後に Updates to coding terminology というリリースを出し、inclusive(不平等/不公平)な表現を排除し置き換えていくことを宣言します。

(non-inclusive (不平等/不公平)な言葉を削除し置き換えていくという宣言。日本語はこちら)

これはBLM運動の広がりがIT業界にコーディングやドキュメント用語の置き換えとして広く影響を与えていたことに Apple も呼応したものです。

• GitHub、「マスター」「スレーブ」などの用語を見直し–人種差別撤廃に賛同
• Linuxでも「ブラックリスト」「スレーブ」などの用語を変更へ
• Twitter、コードやドキュメント内の用語「Whitelist/Blacklist」「Master/Slave」「Dummy value」などを好ましい用語へ置き換え、具体例も発表
• blacklist/whitelist master/slave に関する情報集め

Appleはリリースのとおり、2020年7月時点でドキュメント類やUIの表記ガイドラインである Apple Style Guide 中の blacklist / whitelist という表現をなくしました。他にもswift言語のリポジトリには black や slave といった表現が同年早々に削除されたコミットログも残っています。

WWDC2021のセッションに見えた変わらぬ姿勢

さて1年経ったWWDC2021。Appleの姿勢は変わっていないということが、キーノートでも技術セッションでも示されました。WWDC2021キーノートでは黒人開発者や女性開発者向けプログラムについて紹介されました。

そして上述の Updates to coding terminology 宣言はいよいよ実装面にも及びます。以下は、WWDC2021のエンタープライズ向けセッション What’s new in managing Apple devices での1枚のスライドです。ことの大きさが想像できるでしょうか。

(スライド右上に Inclusivity Changes とある。赤枠は筆者)

このスライド表現は、構成プロファイルやMDMのアップデートでAppleがよく使うものです。今回のセッションでは新しいペイロードの追加等に加えて、Inclusive(不平等/不公平)な表現をなくすための仕様変更をすることが示されました。

現状の構成プロファイル仕様を一部紹介します。例えば、監視モードの端末で標準アプリを削除する構成プロファイルを作れば plist は以下のようになります。

(削除するアプリのIDを blacklist として列挙する)

WiFiでの接続先SSIDを指定したものだけに限定する構成プロファイルではこうなります。

(接続許可されたWiFiのことを white としている)

blacklist / whitelist という言葉が使われていますね。該当する設定を含む構成プロファイルが手元にある方は、是非テキストエディタで中身を見てみて下さい。

紹介したものは現状使われている inclusive な表現の一部です。興味のある方はAppleの公式ドキュメント Configuration Profile Reference で blacklist / whitelist をキーワードに検索をかけてみると良いでしょう。かなりの数の black/white の表記が見つかります。

(blacklist / whitelist のキーワードが驚くほど使われているのが分かる)

これら構成プロファイルの設定キー名称も全て denylist / allowlist といった non-inclusive な表現に変わります(当面は共存すると思われる)。興味深いのは、この仕様変更の影響範囲が決して小さくないことです。

• 構成プロファイルを解釈するiOS/iPadOS (Apple内)
• 構成プロファイルを作成・解釈するApple Configurator2 や macOS server の実装 (Apple内)
• 構成プロファイルを作成するMDMサービス (Apple外。全世界数十社の全MDMベンダー)
• 構成プロファイルのXML(plist)を作成する独自のスクリプトやツール (開発会社やSIer)
• 構成プロファイルを扱うオープンソースなプロダクト (オープンソースコミュニティ)

Appleは、これらの決して小さくない影響範囲を承知の上で変更するということです。通常、実装にかかわる仕様のキーワードは一度決めたら余程のことが無い限り変えないものです。その変更には機能的な向上はなく、やろうがやるまいが動作は変わらないからです。

その意味でAppleは徹底しています。運動に迎合した形だけの姿勢ではないAppleの本気が表れていると筆者は感じました。これらの変更はiOS15がリリースされる時期から各関連プロダクトに反映されていくことになるでしょう。

以上、人種差別抗議運動の広がりがエンタープライズiOSの世界にも影響を与えているということを紹介しました。

エンタープライズiOSで直面する課題

法人でiOS端末を複数台導入する際は必ず、端末の設定をどうやって行うか、という課題に直面します。

『え？設定アプリから設定するだけだよね？』

と思われがちですが、ことはそう簡単ではありません。会社用のWiFiやVPN設定などを例に考えてみましょう。

2,3台の端末なら情シス部門が設定してから配布することも可能ですが、これが10台、100台、1000台と規模が大きくなればなるほど現実的ではなくなってきます。

(エンタープライズiOSの現場では店舗等に常設する大量の端末を管理する場合もある)

設定せずに配って各自・各拠点で設定して貰うという潔い割り切りもなくはないですが、結局、設定できない人からのヘルプコールや意図した通りの設定をして貰えないためのトラブルなどで、返って時間やコストのロスが発生するものです。

たかが設定、されど設定。

人海戦術で何とかしようとは思わないことです。当たり前ですがiOS端末の設定が本質なわけがないのですから、なるべく手間を掛けずに確実かつ漏れなく全端末への設定を終わらせる手段を模索すべきです。

この面倒な設定作業を丸投げで委託できるキッティング業者もありますし、携帯3キャリアもそのようなオプションサービスを提供していますが、まずその前に、設定を楽にするためにAppleが用意している構成プロファイルについて理解しておくのは良いことです。

構成プロファイルはiOS設定を記述したXMLファイル

構成プロファイルとは、iOSの設定情報が記述された設定ファイルのことで、通常はmacOS専用ソフトウェアの Apple Configurator2 を使って作成します。(Apple Configurator2 とはを参照)

(構成プロファイルの作成機能は Apple Configurator2 の重要な機能のひとつ)

プロファイルの拡張子は .mobileconfig です。

余り見慣れない拡張子ですが、ファイルの中身は実はXML(plist)形式で書かれたテキストファイルにすぎません。

構成プロファイルには複数の設定情報を含められるようになっていますので、 .mobileconfig ファイルを端末にインストールできさえすれば、一発で必要な設定が終わります。手間がかからず確実で漏れもありません。構成プロファイルを使わない手はないでしょう。

構成プロファイルは、組織内で1つである必要はありません。大阪拠点用・東京拠点用と場所によって分けたり、部門や設定カテゴリごとに分けても良いでしょう。iOS端末には複数の構成プロファイルをインストールできますので、ある程度の粒度で分けておくのが運用を楽にするコツです。

では、構成プロファイルでどのような設定情報を記述できるのでしょうか。

構成プロファイルで設定できること

iOS向けの構成プロファイルで設定できる項目には、例えば以下のようなものがあります。

• 制限（各種の機能制限）
• コンテンツフィルタ（Safariで閲覧できるURLを制限できる）
• WiFi
• VPN
• Webクリップ（HOME画面に置くURLショートカット）
• …

これはほんの一部。細かなものを含めると数百に及び、iOSのアップデートと共に毎年増えていきますので、ここではそれらを列挙することはしません。本稿では、設定可能項目の情報を入手する方法を記すにとどめておきます。以下に述べる4つの方法を組み合わせて、構成プロファイルの全体像を掴んでください。

Apple公式のペイロード一覧ページ

構成プロファイルの設定可能な項目を確認するには ペイロード全一覧のサイトを確認するのが一番です。構成プロファイルで指定する値をペイロードと呼びますが、その仕様をAppleが公式に解説しています。

構成プロファイルの仕様書

Apple が定期的にアップデートしている Configuration Profile Reference (英語PDF) という構成プロファイルの仕様ドキュメントも参考になります。

Apple Configurator2 の構成プロファイルエディタ

正直、上記2項目の公式情報は大量のドキュメントと見慣れない用語に圧倒されてしまいます。一番のお勧めは Apple Configurator2 を使って全体を把握する方法です。

Apple Configurator2 のメニューから [ファイル]→[新規プロファイル] をクリックして現れる構成プロファイルエディタで、左ペインから興味のあるカテゴリをクリックすると、どんな設定ができるのかほぼ全てみることができます。

全カテゴリで同じことを繰り返せば、10分もかからず「構成プロファイルで何が設定できるか」をおおよそ掴むことができます。

なお「ほぼ」と上述した通り、構成プロファイルで指定できる情報の全てに構成プロファイルエディタが対応している訳ではありません。仕様書には載っているのに、Apple Configurator2 では書けない設定項目もあります。これについては、また別の投稿で紹介します。

AppStore アプリの Apple Configurator2 更新情報

先に、Apple Configurator2 は頻繁にアップデートされると書きましたが、アップデートの度に App Store アプリの Apple Configurator2 アップデート情報欄で、どんな設定項目が増えたか最新の情報を確認することも可能です。

Apple Configuraro2 のアップデートは、iOSのアップデートに連動することが多いです。ですので、「iOSで増えた機能を構成プロファイルでオフにできるのか？」といった視点でアップデート情報欄を見ると良いと思います。

以上、4つの情報収集手段を紹介しました。自分にあった方法で、構成プロファイルで設定できる内容は常に把握しておくようにしましょう。

構成プロファイルで設定できないこと

iOSの設定アプリで設定できることの全てが、構成プロファイルで設定できるわけではないことには特に注意が必要です。設定可能な項目は極めて限定的で、上記で紹介したAppleのオフィシャルドキュメントに記載されていない項目は基本的に設定できません。

(赤枠は設定できない大項目。赤枠以外のものでも指定できる小項目は限られている)

例えば、「サウンドと触覚」「画面表示と明るさ」の項目や「アクセシビリティ」や「バッテリー」は、そもそも項目まるごと設定できませんし、「コントロールセンター」はほんの一部を制御できますが細かな設定はできません。

更に大事なこととして、InHouse配信しているアプリ内の設定項目も記述できません。(アプリ内の設定値を配布するには、Managed App Configuration という仕組みを使います。これはまた別のエントリで紹介します)

一方、構成プロファイルでは、iOSの設定アプリに存在しない特殊設定を指定することができます。

例えば、パスコード長の制限や、スクリーンショット制限の設定など、いかにも企業を意識した項目がそうですね。個人用途ではまず必要とはならない設定です。

できること、できないこと、できるのにできないこと…と構成プロファイルは非常にややこしいですね。

でもだからこそ、何が設定できて何が設定できないのか、そしてどのように設定するのかを把握しておく必要があります。これを知っているか知らないかで、初期導入や有事の際の対応コストに数倍の差がつきます。エンタープライズiOSに関係することになったら、構成プロファイルの全体像は掴んでおきましょう。

以上、iOS端末の設定を楽にする構成プロファイルについて紹介しました。構成プロファイルの具体的な作り方やインストール方法については、また別の投稿でご紹介します。