2020.11.23

iOSの監視モードとは何か（Supervised Mode）

iOSには大きく2つの動作モードがあります。1つは普段から使用している通常モード、もう1つは各種制限をかけられる監視モード(Supervised Mode)です。

(iOSDC Japan 2020 での講演スライドより)

監視モードとは、iOSの標準機能の多くに制限をかけたり特別な振る舞いをさせることができる特別なモードのこと。企業でのiOS利用を想定してAppleが用意してくれているもので、Apple Confirugrator2 を使うなど複数の方法で有効にすることができます。

監視モードでは、標準アプリを非表示にしたり、逆にアプリを削除できなくしたり、管理部門にとっては非常に都合がいいことが多いため、昨今では企業が調達して配布・配備するiOS端末は、監視モードにするのが当たり前になってきています。

(提案力UPに繋がるので、SIerやアプリ開発会社も監視モードを理解していることが推奨される)

監視モードについて知ってるか知らないかは、エンドユーザ企業では運用のし易さ、アプリ開発会社では提案の優劣に影響します。そこで本稿では、監視モードで何ができるようになるのか？について以下3点を解説します。

• (A) サイレントインストールが行えるようになる [インストールの強化]
• (B) 構成プロファイルの「管理対象のみ」の設定項目を使用できるようになる [設定の強化]
• (C) MDMやApple Configurator2 から特別な命令(コマンド)を送れるようになる [制御の強化]

本稿を読むことで、監視モードとは何かをイメージして頂けるようになると思います。(監視モードにする方法は iOSを監視モードにする方法 〜保存版 : Apple Configurator2編〜 と DEP(Device Enrollment Program)とは何かをご覧下さい)

 

(A) サイレントインストールが行えるようになる (インストールの強化)

監視モードでは、アプリや構成プロファイルのインストール時の振る舞いが少し変わります。具体的には、

• (1) MDMを使ったアプリのインストール
• (2) Apple Configuartor2 を使った構成プロファイルのインストール

この2つのインストールの際に、デバイス側の確認が不要となりインストールを強制できるようになります。順に見ていきましょう。

(1) MDMでのアプリインストール

通常、MDMからアプリがインストールされる時には以下のようなダイアログが表示されます。

(デバイス利用者がインストールに「同意」する必要がある。誤ってキャンセルを押してしまう可能性も…)

上図ではMDMからGmailアプリがインストールされようとしていますね。ただ、端末利用者が「キャンセル」を押せばアプリは当然インストールされません。一度キャンセルされてしまうと、MDMからの定期的な同期命令が届くのを待つか、手動でMDM上から命令を送るかしないとアプリをインストールさせられません。

いずれにしてもインストールするかしないかをユーザに委ねている状態ですから、台数が2桁/3桁/4桁と増えていくほどインストールの徹底が困難になることは容易に想像がつくでしょう。

MDMでアプリの配布は確かに楽になるのですが、インストールを強制させられるわけではないのです。

しかし監視モードでは、この確認ダイアログが表示されません。MDMからインストール命令が届いた途端、強制的にアプリがインストールされます。

(問答無用にインストールされる。翌朝起きるとアプリが勝手に増えているなんてことも可能)

これをアプリのサイレントインストールと言います。MDMでの設定さえ正しく行えば管理者の意図した通りにアプリインストールを徹底できるのですから、監視モードを使わない手はないでしょう。

(2) Apple Configurator2 での構成プロファイルインストール

Apple Configurator2 を使って構成プロファイルをインストールする場合、以前の記事(構成プロファイルの作成とインストールの基礎 〜Apple Configurator2を使う方法〜)で紹介した通り、端末側での操作が必要になるのでした。

(端末ユーザ側のオペレーションを必要とする)

しかし監視モード端末では、これも強制できます。

いちいちデバイス側で操作をしなくても、Apple Configurator2 から構成プロファイルがインストールされたら即設定が適用されます。(ちなみに、MDM経由のプロファイルインストールではデバイス側の確認はそもそも不要)

これを構成プロファイルのサイレントインストールと言います。

実際のところ Apple Configurator2 をメインツールにして管理運用するケースは限られますが、それでも検証やトラブル対応時に使うことはままあります。そんな時に作業効率UPに繋がるのは嬉しい仕様と言えるでしょう。

 

(B) 構成プロファイルの「監理対象のみ」の設定が使えるようになる (設定の強化)

次に制限の強化を見てみましょう。

監視モードでは、Apple Configurator2のプロファイルエディタで「監理対象のみ」と書かれた特別な設定、また構成プロファイル仕様書に supervised only と書かれた設定が使えるようになります。

(監理対象のみの項目は意外に多い。監視モードでなければ得られる恩恵は半減するということでもある)

監視モードで有効な設定には、例えば以下のようなものがあります。

• Single App Mode (単一アプリ制限モード)
• iOS アップデートの抑制
• WiFi接続先アクセスポイントの制限
• 標準アプリを非表示にする
• Appを削除できないようにする
• iOS を勝手に初期化できないようにする

魅力的な制限が並びますね。全て監視モードでなければ使えません。冒頭で「監視モードを知っているかどうかが提案の優劣に繋がる」と書いた意味がお分かり頂けるかと思います。

監視モードで制限できることの一覧は、以下のようにAppleが公開していますので見てみると良いでしょう。(iPhoneおよびiPadデバイスの監理対象の制限)

(監視モードでのみ制限できることが驚くほど多いことが分かる)

また、構成プロファイル仕様書を supervised というキーワードで検索して眺めてみるのもオススメです。

(Appleが公式に公開している仕様書なので、各設定のより詳細な情報を得ることができる)

一点念頭に置いておきたいのは「監理対象のみ」の項目は年々増えているという点です。

毎年iOSアップデートと共に設定項目が追加されますが、最近はほぼ追加される項目が「監理対象のみ」になっています。また、従来監視モードでなくても有効だった設定項目が「監理対象のみ」に格上げされるケースも多く見られます。

これは「業務用のiOSデバイスは極力監視モードで配備すべきである」というAppleからのメッセージであると捉えるのが順当でしょう。

 

(C) MDMや Apple Configurator2 から特別な命令を送れるようになる (制御の強化)

監視モードの端末では、通常モードではできない特別な制御も可能になります。例えば以下のようなことです。

• (1) 再起動
• (2) 管理対象紛失モード化

具体的にどのようなことか、以下順に見てみましょう。

(1) 再起動

監視モードの端末には再起動の命令を送ることができます。監視モードでない端末には送れません。

(MDMのBizMobileから遠隔再起動をしようとする様子。監視モードでない端末ではメニューに再起動が存在しない)

また、Apple Configurator2 からも再起動コマンドを送ることができます。

:
(監視モードになっていない端末でも再起動のメニューをクリックはできるが、再起動はしない)

ただ実際の運用では、再起動を使う機会は余り無いかも知れません。しいてあげれば Single App Mode の端末を初期状態に戻す時ぐらいでしょうか。ですが、監視モードの端末に再起動命令が送れることは覚えておいて損はないでしょう。

(2) 管理対象紛失モード化

実はiOSには管理対象紛失モードというさらに特別なモードが用意されています。監視モードの端末だけが、MDMから命令をうけてこのモードに切り替わることができます。名前の通り、端末を紛失した時に使います。

従来、端末を紛失した場合、遠隔で工場出荷時に初期化(リモートワイプ)するのが一般的な運用でした。ただこの運用では、紛失が勘違いだったとか、すぐ見つかったといった場合に「端末が見つかったは良いけど初期化された後だった」ということになってしまう可能性があったのです。

この課題を解決するのが管理対象紛失モード。MDMから命令を送ると以下のような画面になります。

(管理対象紛失モードに切り替わった端末の画面)

一度このモードに変わったが最後、以降はいかなる操作も受け付けられません。端末が見つかって利用者本人の手に戻ったら、管理者がMDMからモード解除してあげることで以下のような画面になり、再び使えるようになります。

(続けるをタップすると管理対象紛失モード化される直前の状態に戻る。もちろん監視モードのまま)

管理対象紛失モードはセキュリティと利便性を絶妙にバランスさせた機能といえます。

2つの例を紹介しましたが、このように監視モードでしか送れない特別なコマンドがあります。興味ある方は MDM Protocol reference の PDF を supervised で検索してみると良いでしょう。

 

まとめ

本稿では、監視モードとは何かについて解説しました。大きくは以下3つのことができるようになるiOSの特別なモードということでした。

• (A) サイレントインストールが行えるようになる [インストールの強化]
• (B) 構成プロファイルの「管理対象のみ」の設定項目を使用できるようになる [設定の強化]
• (C) MDMやApple Configurator2 から特別な命令(コマンド)を送れるようになる [制御の強化]

管理者にとって非常に都合の良い機能だということがご理解頂けたと思います。監視モードについては以下のような関連投稿がありますので併せてご覧ください。

• iOSを監視モードにする方法 〜保存版 : Apple Configurator2編〜
• iOS端末が監視モードかどうかを確認する方法
• iOSのアップデートができないように抑制する方法 〜前編〜
• iOSのアップデートができないように抑制する方法 〜後編〜