SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

SB C&S

【連載:WS1を知る】Apple User Enrollment端末 をWorkspace ONE UEMと連携してBYODで利用する ~後編~

VMware
2021.09.01

VMware Workspace ONEを中心とした、デジタルワークスペースのソリューション展開を行っている近藤と申します。本稿では、現在携わった案件等でお客様の興味関心が高かった内容を検証し、手順や結果を紹介していきます。どうぞよろしくお願い致します。


◉本稿テーマ
Apple User Enrollment端末 をWorkspace ONE UEMと連携してBYODで利用する

◉目次
Apple User Enrollment端末 をWorkspace ONE UEMと連携してBYODで利用する ~前編~
・検証テーマ選定 背景
Apple User Enrollment とは
・本検証ブログ用語定義
・本検証 環境手順

Apple User Enrollment端末 をWorkspace ONE UEMと連携してBYODで利用する ~後編~
Apple User Enrollment 端末と通常iOS端末の管理機能差異について
BYOD懸念点への対策方法
・Workspace ONE SDKアプリでデータ漏洩防止対策


※注意点:本稿は2021年6月に検証した内容を執筆しています。
製品仕様等変更で、一部執筆内容と異なる場合もあります。
ご利用される際は、再度検証頂きご利用いただければと思います。



◉本題

前編では、BYODを導入する上での検討事項やApple User Enrollmentについて、検証実施する上での環境準備手順をご紹介してきました。 後半では、通常iOS端末と Apple User Enrollment端末をVMware Workspace ONEに連携し、BYOD管理機能差分を明らかにし、機能ごとにどのようなBYOD環境を実施できるのかをユースケース等と併せてご紹介していきます。
早速ですが、検証項目と検証結果は以下の通りです。
スライド16.jpegスライド17.jpeg


今回は検証項目数が多いため、通常iOS端末と Apple User Enrollment端末で差異があった項目に絞った上で、それら管理機能でBYOD懸念点や検討事項(チェックポイント)をクリアにできるかをご紹介します。

スライド18.jpeg
スライド19.jpeg

多くの企業が懸念点として気にされている社員のプライバシー保護問題は、デバイス識別情報、データ分離、MDMによるプライベートアプリ情報取得の機能で解決できると考えられます。


◉デバイス識別情報

Apple User Enrollment 端末の場合で、Workspace ONE UEMと連携させWorkspace ONE UEMの管理コンソールで確認すると[ユーザー加入]として登録され、通常iOS 端末の場合は、[加入済み]として登録されます。

スライド20.jpeg



また、管理コンソールよりApple User Enrollment 端末のデバイスの詳細情報を確認すると[UDID][シリアル番号]の情報がなく、[加入ID]というApple User Enrollment 用のIDとして登録され、通常のiOS端末の場合はiOS固有のUDIDやシリアル番号の情報がWorkspace ONE UEMの管理コンソールで表示されてしまいます。
スライド21.jpegスライド22.jpeg


◉データ分離

Apple User Enrollment 端末の場合、管理用のApple IDとプライベートのApple ID2つのIDを持つことができます。そのため、iCloudも2つ持つことができ、例えばプライベートで撮影した写真や資料はプライベート用のApple IDと紐づいたiCloudに保存することができます。また、BYODとして業務で利用される場合は、業務で使用する資料等は管理用のApple IDと紐づいたiCloudに保存することができ、企業用とプライベート用でクラウドサービスのデータ領域を分離して利用することができます。
注意点としては、プライベートApple IDの場合、最大2TBまで課金しiCloudを利用することができますが、管理用Apple IDでは最大5GBまでしかiCloudを利用することができません。

詳細:https://support.apple.com/ja-jp/HT210737


◉MDMによるプライベートアプリ情報取得

Apple User Enrollment端末でインストールされたプライベートアプリは、Workspace ONE UEMの管理コンソールからでは閲覧することはできず、通常iOS端末でインストールされたプライベートアプリは、Workspace ONE UEMの管理コンソールからでは閲覧することはできます。そのため、Apple User Enrollment 端末の場合、プライベートで利用しているアプリケーションを企業側で見ることはできないため、プライベートと企業用領域の棲み分けがされていることがわかります。


スライド24.jpegスライド25.jpeg

続いてBYODの懸念点としてセキュリティについてご紹介します。


◉企業用アプリのデータ漏洩防止対策(Open-In制御)

OSデバイスに対して、企業は企業用アプリケーションとしてVPPアプリを配布することができます。
本検証では、ABMで購入した企業用アプリケーションを、Workspace ONE UEMを利用してiOSデバイスにGoogleドライブ、Gmailを配信しました。
また、iOSデバイスにプライベートアプリケーションとしてYahoo!メールをインストールしました。
今回は、企業用アプリケーションからプライベートアプリケーションに対して、Open-Inが実施できるかを検証してみます。
検証結果として、Apple User Enrollment 端末はOpen-Inの制限を実施することができましたが、通常のiOS端末は制限できませんでした。
しかし、注意点があります。
Apple User Enrollment 端末は、企業配布アプリとプライベートアプリへのOpen-In制限はできますが、AirDropやネイティブアプリに対してはOpen-Inの制限を実施することはできませんでした。

スライド26.jpegスライド27.jpeg

また、メールの本文に対してもコピー&ペーストが実施できてしまうなど、データ漏洩防止という観点では、Apple User Enrollment で実施できる制限が限られていることが検証を通じてわかりました。ここで、データ漏洩防止を実施するための方法をご紹介していきます。まず始めに、データ漏洩防止で懸念できるされることとして以下のようなことを懸念されるかと思います。


スライド28.jpeg


これらの懸念事項に対しては、Workspace ONE UEMで提供されているSDKアプリというものを利用することで、細かい制限を設定でき、DLP対策を実施することができます。
スライド29.jpeg


本ブログではSDKアプリの詳しい機能についてご紹介しませんが、簡単にイメージを持っていただくために、Workspace ONE SDKアプリのBoxerWebContentを簡単に制限のイメージをご紹介します。
例えば、メールアプリのBoxerでコピー&ペーストの制限をし、メールに添付されたファイルは全て、SDKアプリのContentで表示させる。また、Contentアプリでは、印刷に制限をかけたり、BoxerContentにリンクが貼付されていた場合は、それらリンクは全てSDKアプリのWebでのみリンクを開かせる設定をしたりすることができます。Apple User Enrollment では実施することが難しかった、データ漏洩防止対策も、SDKアプリを組み合わせることで実施することができます。
スライド30.jpeg

ここまで、Apple User Enrollment端末と、通常iOS端末を利用してWorkspace ONE UEMでの管理機能差分を検証していきました。
BYODを導入することで、従業員は好きなデバイス/使い慣れたデバイスで業務に従事することができ、業務効率が上がることが期待できます。
企業としては、BYODを利用することで懸念点もありましたが、iOSデバイスをApple User Enrollment 端末として利用することで、iCloudを分けることや、ユーザーのデバイス詳細情報/アプリケーションのインストール情報など。プライベート情報は限定的になっており、企業とプライベートの棲み分けがしっかりなされていました。
しかし、Apple User Enrollment の管理機能だけでは、セキュリティやデータ漏洩防止、社内アクセスの観点からすると少し懸念点もありました。
これらの回避策としては、Workspace ONE SDKアプリを利用することで十分回避できるかと思います。
また、BYOD導入する上での検討事項として、デバイス紛失時やアプリケーション配布などの検討事項もありますが、それらに対してはMDM製品であるWorkspace ONE UEMを利用することで、今回詳しく取り上げませんでしたが、業務アプリケーションの配信や一定のデバイス制限、デバイス紛失時に企業情報のみをワイプすることなどを実施することが可能です。

スライド5.jpeg

全2回に分けてApple User Enrollment Workspace ONE UEMを組み合わせてBYOD環境を構築できるかを考えてきましたが、Workspace ONEApple User Enrollment を上手く組み合わせることで、BYOD環境を構築できると思いますで、是非BYOD導入を検討してみてください。今後、ブログを通じてWorkspace ONE SDKアプリの機能についても詳しくご紹介できればと思います。ブログを読んでいただき、ありがとうございました。

著者紹介

SB C&S株式会社
ICT事業本部 ICT事業戦略・技術本部 技術統括部 第3技術部 3課
近藤 泰介 -Taisuke Kondoh-

2019年に新卒として、SB C&S株式会社に入社。
主にデジタルワークスペース実現のためのソリューション展開、案件支援、先進事例の獲得、協働パートナーの立ち上げに従事。一人前のプリセールスエンジニアになるべく、日々邁進中。