「宣言型デバイス管理」について知る

MDM：受動的な管理アプローチ

Appleのモバイルデバイス管理（MDM）プロトコルは、組織のmacOS、iOS、iPadOS、tvOSデバイスの管理と維持において重要な役割を担っており、Appleがリリースする最新のオペレーティングシステムのほとんどにMDMプロトコルの新しい機能が追加されています。現在のMDMの多くは受動的な管理アプローチを採用しており、デバイスが管理サービスに登録されると、デバイスの適切な状態を定義するプロファイルがプッシュされ、そのステータスがデバイスから報告される仕組みになっています。サーバがデバイスの状態を確認し必要に応じてアクションを起こすまで、何度かやり取りをする必要がありますが、このようなやり取りが大量のデバイスで発生した場合、管理サーバに大きな負担をかけることになりかねません。

宣言型デバイス管理による、より能動的かつ自律的なデバイスアクション

宣言型デバイス管理 (DDM)の発表により、AppleはMDMに対する自らの姿勢が大きく変わったことを示しました。この新たなアプローチにより、個々のデバイスが管理サーバのポリシーの範囲内でより自律的かつ能動的に行動できるようになります。管理サーバからの反応を待たずに、自らの状態の変化を把握して定義された基準に沿ってアクションを起こすことができるのです。また、サーバにデバイスの状態の変化を定期的に知らせるためのプッシュを待つのではなく、デバイス側で必要に応じてアップデートをサーバに直接送信することができます。その結果、デバイスの情報がより正確かつタイムリーに報告されるようになり、ポリシーをより迅速に適用してデバイスをより適切な状態に保つことができるようになります。

DDMの3つのコアデータモデル：「宣言」「ステータス」「拡張性」

宣言

「宣言」とは、デバイスのポリシーや適切な状態を定義するペイロードのことで、組織がデバイスに適用したポリシーを表します。これらはJSONオブジェクトとしてシリアライズされ（現在はplistファイルが使用されている）、ポリシーを管理サーバと同期させるために必要なプロパティを備えています。宣言には4つのタイプがあります。

1. 構成: デバイスに特定の設定や制限を設けるための既存の構成とよく似ています（例：デバイスのパスコード設定）
2. アセット: デバイスの構成に必要な参照データで、管理サーバまたはコンテンツ配信ネットワーク（CDN）でホストすることができます。
3. アクティベーション：デバイスに自動適用される一連の構成データ。複数の構成が参照される場合、デバイスとは多対多の関係になります。すべての可能な構成を管理対象デバイスにMDMから送信し、個々のデバイスで関連する構成のみが適用されます。デバイスの状態が変化すると、管理サーバからの介入を待たずに、デバイスが自律的にアクションを起こします。
4. 管理: 組織の名前やサーバの管理機能など、デバイスに静的な管理情報を送信します。

ステータスチャネル

デバイスの状態が変化した（例：OSがアップデートされた）時にこのことを管理サーバに報告するための通信チャネルです。さらに管理サーバは、このことを受けて利用可能になった新しいポリシーを適用します。

拡張性

拡張性とは、新しい機能が利用可能になったときに管理サーバと管理対象デバイスが互いにそのことを報告し合う仕組みで、サーバとデバイスの両方が新しい機能を採用するタイミングを把握し、その情報を伝え合います。これにより、サーバやデバイスは新しい機能やペイロードをすぐに使えるようになります。

宣言型デバイス管理を採用すべき理由

DDMで実現する新たな形のデバイス管理は、すべてのステークホルダーに影響を与えます。

• これまでよりも複雑かつ新たな管理戦略の実現
• 管理対象デバイスにおけるユーザエクスペリエンスの全体的な向上
• IT管理者にとって面倒で反復的な作業の軽減
• デバイスに自律的な管理能力を提供

DDMのメリット：宣言とステータス

なぜこのモデルを採用すべきなのかという質問に答えるためには、まずデバイス管理データモデルのメリットについて理解する必要があります。このモデルを構成する2つの重要な要素である「宣言」と「ステータス」については、先に説明した通りです。

• 宣言：アクティベーション、構成、アセット、管理の4タイプが含まれます
• ステータス：ステータス項目とステータスレポートが含まれます

ステータス

ステータスレポートは、管理サーバがデバイスをより詳細に監視できるように質の高いフィードバックチャンネルを提供します。また、非同期アップデートにより、適切な情報をよりタイムリーかつ確実に提示することが可能です。これにより、ネットワーク帯域リソースの使用量が少なくなり効率がアップするだけでなく、これまで使われてきた複雑なポーリングがシンプルになります。また、従来の方法ではデバイスの情報が最新でない可能性がありましたが、ステータスレポートのおかげで今後はプロセスの信頼性が高まります。

開発チームやITにとってのDDMのメリット

開発チームにとっては、サーバーが軽くなったり反応が良くなったりするというメリットがあります。また、ITはデバイスが常に適切な状態であるという自信が得られます。サーバへの接続が切れるなど、問題が発生した場合でも、組織の機密データを保護し続けるための安全な状態を維持することができます。

さらに、組織の構造に忠実なマッピングにより、より直感的なデバイスの変更をより効率的に適用させることができるため、開発チームとITチームの両方にとって最小限の努力で組織のニーズに合ったデバイス管理を行うことができます。これにより、顧客とエンドユーザの両方が喜ぶソリューションが実現します。

• より反応が良く信頼性の高い体験
• デバイスのスピーディーなセットアップ
• デバイスのライフサイクルにおけるリカバリータイムの向上
• 組織からのサポートの向上

開発チームやIT管理者はもちろん、エンドユーザにもより良い体験と効率性を提供する宣言型デバイス管理について、Appleは「プロトコルにおける中心的な機能となる」とクリアに表明しています。このことから、DDMに対応したワークフローをなるべく早く導入することが非常に重要になります。

2022年のWWDCでAppleが発表したDDMの新機能

2022年のWWDCでは、特に以下の3つのトピックに焦点を当てたプレゼンテーションが行われ、Appleのエコシステムに属するOSがどのようにそれらをサポートするのかについて説明がありました。

宣言型デバイス管理の対象が拡大

当初、DDMはiOSベースのシステムにおけるユーザ登録にのみ対応していましたが、今後はMDMプロトコルがサポートするすべてのプラットフォームと登録タイプで利用可能になります。対応はまずmacOS VenturaとtvOS 16、および共有iPadと以下の登録タイプから開始されます。

• 自動デバイス登録
• 監視対象デバイス
• プロファイルベースの登録
• プロファイルおよびアカウントベースのユーザ登録

ステータスレポートの拡張

サブスクライブした項目のステータスをサーバに段階的に報告することで、デバイスは成功したレスポンスを記録し、ステータスアップデートが信頼でき、常に利用可能であることを確認します。デバイスが能動的に働くことで、サーバはデバイスの状態変化を監視するために継続的にポーリングする必要がなくなります。反復的にアップデートできるステータス項目として、Appleは以下の3つのエリアに対象を拡大しました。

1. パスコード： パスコードポリシーが有効になっているデバイスのコンプライアンス状態を、ポリシー割り当てからデバイスに適用されるまでのタイムラグに影響されることなく判断します。また、宣言型モデルでは、デバイスのポーリングを行わずにコンプライアンスを強制適用させることが可能です。
2. 構成によってインストールされたアカウント ：組織によっては、ユーザが会社のリソースにアクセスできるようにアカウント構成がインストールされたデバイスを使用することがあります。新たなDDMステータスリリースでは、例えばメールやカレンダーなど、複数のアカウントタイプに対応した8つのアカウントステータス項目が追加されます。これにより、ITはこれらのアカウントの状態を把握し、問題が発生した際にユーザをサポートすることができます。
3. MDMによってインストールされたアプリ：アプリのインストールステータスを監視することは、ユーザエクスペリエンスや生産性に大きな影響を与えます。DDMでは、JSONオブジェクトの属性を利用してアプリのインストールステータスを能動的にサーバに送信し、状況を段階的に報告することができます。これにより、サーバはインストール（およびアンインストール）のプロセス全般において、報告の対象であるアプリとそのステータスについて把握することができます。

述語の強化

述語は、アクティベーション宣言の一部としての構成がデバイスに適用されるかどうかを決定するオプションデータです。述語を利用してステータス値を含めることで、管理者は新しい宣言を追加して新たな管理プロパティを適用させることができます。簡単に言えば、述語は条件文に従って複数の管理プロパティを適用するためのトリガーとして機能します。

例えば、特定のグループに合致するすべてのユーザに対して特定のアプリをインストールするポリシーがあるとします。他のグループのメンバーは、管理者グループのメンバーでない限り、このアプリを取得することはできません。さらに、どちらのメンバーでもないユーザには、まったく別のアプリが割り当てられます。

この場合、3つの異なる構成プロファイルと、適切な構成プロファイル（最大3つまで）を導入する前に、各デバイスとユーザをポーリングしてメンバーシップレベルを特定するためのサーバ側のロジックが必要になります。DDMでは、すべての宣言がデバイスにあらかじめロードされ、述語がユーザの権限に合った構成を有効にするトリガーとして働きます。

これにより、サーバとネットワークのトラフィックを最小限に抑え、デバイスの状態を迅速に変更する必要性を減らすことができるほか、複雑なビジネスロジックをサーバからデバイスに移行することで、よりスムーズで即時性の高いデバイス管理ワークフローを実現することができます。

注記：macOSと共有iPadデバイスには、2つのMDMチャンネル（デバイスとユーザ）があります。前者はデバイスレベルのステータス管理を行い、後者は特定のユーザの管理を行います。宣言型デバイス管理を成功させるためには、DDMコマンドを送信したり、ステータスレポートを生成する各チャンネルを、個別に有効化および監視する必要があります。

DDMはいつから利用できるのか

宣言型デバイス管理はすでにMDMベンダーに向けて公開されており、Appleの現存のデバイス管理プロトコルに対応しています。この新たな機能性は、ユーザによって登録されたiOSおよびiPadOSデバイスへの対応から始まる予定です。アカウントやパスコードに関する構成はすでにサポートされており、今後さらに多くの機能がリリースされる予定です。ステータスサブスクリプションの構成もすでに利用可能で、受信したいステータスアップデートを指定するために管理サーバによって使用されます。はじめに利用可能になるアクティベーション宣言は、デバイスに適用すべき構成を定義するものです。ユーザの識別情報や認証情報のアセットもすでに利用可能です。また、はじめに利用できるステータス項目には、宣言とデバイスのプロパティが含まれます。

DDMに関する詳しい情報と導入に際して必要な準備については、AppleのデベロッパポータルでWWDC 2021のセッションビデオをご覧ください。

Jamfでは、宣言型デバイス管理がJamf Now、Jamf School、Jamf Proに及ぼす影響について検証しており、このエキサイティングな機能への対応について近日発表する予定です。