くらめその情シス:jamfに登録したiOS/iPadOSデバイスにセキュリティ設定してみた
こんにちは
情シス担当、アノテーションの畠山です。
今回は、会社で配布するiPadやiPhoneをjamfに登録して使用する際に、会社の機密データ等をセキュアに管理する方法をご紹介したいと思います。
はじめに
jamfには、iOS/iPadOSデバイスを登録して、AzureADと連携することでMicrosoftの条件付きアクセスを適用することが可能になります。
条件付きアクセスを適用すると、会社所有のデバイスは会社が認めたサイトへのアクセスやアプリケーションのみが利用できる様になり、逆に会社所有のデバイスからのアクセスを遮断することが可能になります。
よって、管理された会社所有のデバイス以外からのデータ漏洩のリスクを減らすことが可能になります。
デバイスへの条件付きアクセス適用
iOS/iPadOSの条件付きアクセスの設定に関しましては、CloudNativeさんの記事を参考にしてください。
Jamf ProでiOS/iPadOSの条件付きアクセスが使えるように なったよ
iOS/iPadOSデバイスをjamfに登録して、AzureAD連携できただけでは、基本的なポリシーに従っているデバイスかどうかしか判断できません。
今回ご紹介する設定により、デバイス上でのデータの取り扱いを制限することが可能になります。
なお、この設定にはいくつかの条件があります。
制限できる機能の条件
制限項目で「監視対象」となっている項目は、VPPを使用してjamfから配信したアプリのみが対象となります
この条件が必須となりますので、制限が必要なアプリは事前にABMにてアプリを購入して、jamf経由で配布できるようにしてください。
この設定で何が制限できるのか
- 会社で使用するアプリを通して使用する機密データをローカルにダウンロード不可にできる
- 他のアプリを介して、会社の機密データを参照を不可にできる
- デバイスの紛失時に、jamfからアプリごと削除することができる
これによって、デバイスに設定された個人のAppleIDを使用してインストールされたアプリや、iCloud等に会社の情報をアップしたり、転送したりすることを制限することができます。
設定方法
では、実際にどの様に設定するのかをご紹介します。
※ なお、この設定はあくまで設定のサンプルであり、ご自身の会社のポリシーに従って、これらの機能制限項目の設定は変更してください。
jamfProの管理画面にて、「デバイス」タブの「構成プロファイル」を選択してください。
- 構成プロファイルで、「+ 新規」ボタンを押して新しく「構成プロファイル」を作成します。
- 左メニューから「制限」を選択します。
- 右の制限できる項目より以下について制限をオンにします。
- AirDrop
- AirDropを管理対象外の出力先とみなす
- 管理対象外Appによる管理対象の連絡先アカウントからの連絡先の読み込み
- 管理対象外出力先での管理対象ソースからの書類
- 管理対象 AppのiCloud へのデータ保存
以上の設定により、会社所有のデバイスのデータを、個人所有のデバイスに転送したり、個人のiCloudにデータを保存したりすることができなくなります。
なお、それ以外にもデバイスに対する色々な制限が可能になっていますので、会社のポリシー等によって、より厳しい制限をかけることが可能になります。
詳しい機能の制限については、jamf Nationをご参照ください。
おわりに
今回は、iOS/iPadOSに対するjamfを使用したデバイス制限のご紹介をしましたが、これらの機能については日々強化されており、条件付きアクセスと合わせて設定することにより、よりセキュアなデバイスの利用が可能になってきています。
また、iOS/iPadOSの方も、バージョンが上がるにつれてセキュリティに関しての機能強化がされてきています。
会社でのこれらのデバイス利用も増えていると思いますので、是非、よりセキュアにこれらの便利なデバイスを活用してください。
jamf関連記事
アノテーション株式会社について
アノテーション株式会社は、クラスメソッド社のグループ企業として「オペレーション・エクセレンス」を担える企業を目指してチャレンジを続けています。「らしく働く、らしく生きる」のスローガンを掲げ、様々な背景をもつ多様なメンバーが自由度の高い働き方を通してお客様へサービスを提供し続けてきました。現在当社では一緒に会社を盛り上げていただけるメンバーを募集中です。少しでもご興味あれば、アノテーション株式会社WEBサイトをご覧ください。
