Appleが、WWDC26において「Appleデバイスの管理とIDの新機能」を公開しています。

Apple Business では  API 経由で外部から組織で購入したApple 製品の AppleCare 契約情報が取得可能となる事が発表されました。

昨年のWWDC25では Apple Business/Apple School Manager で参照できる機能が発表されましたので、これが1年で他社MDMからも利用できるようになった事になります。

API 経由で参照できるように追加されたサービスはAppleCare 以外に、ユーザーとグループの変更、アプリライセンス情報、監査イベント取得、Blueprint と Configuration の作成 などがあります。

なお、この機能について Apple School Manager での対応は明言されませんでした。

AppStore からアプリケーションを組織で購入する「VPP (Volume Purchase Program)」において、サブスクリプション の購入が可能になる機能はApple Businee・Apple School Manager に共通して導入されます。

本機能のリリースは後日となりますが、操作については現在の VPP アプリ配布と同じ要領にて可能になるようです。

端末管理については、「宣言的管理 (declarative management)」の対応が更に進められ、将来の機能ではなく「標準機能」となります。

これまでの構成プロファイル (Configuration Profile) では資格情報の参照方法に制限があったので、組織によっては数多くの条件を含む大きなプロファイルが必要になり、更新する際には影響範囲が広大になったりと非効率になりがちでした。

宣言的モデルは多対多の関係をサポートするため、1 つの資格情報を複数の構成が参照できます。

サーバー側はアセット (asset) を変更するだけで、デバイス側において利用しているすべての構成を更新します。

宣言的管理へ切り替える事で、特に証明書、ID、パスワードなどの資格情報のライフサイクル管理において大幅な効率化が実現できます。

宣言的管理への切り替えは、新しいマシンへの移行時に適応されます。

移行アシスタント (Migration Assistant) が、管理された移行機能となり、IT 管理者はアカウント、ファイル、セキュリティとプライバシーの設定を移行するか制御できるようになります。

この変更によって管理者は進捗状況が確認できるようになるだけでなく、ユーザは選択肢がロックされて表示されるので「続ける」をクリックするだけで移行が行われるようになります。

宣言的管理によって端末状況を把握する方法も変わります。

構成プロファイルでは端末の状況を調査するためには MDM から定期的にポーリングする必要がありました、これが端末側から MDM へステータスを宣言するようになります。

27 ではロックダウンモード（Lockdown Mode）の有効化、デバイス登録タイプ、デバイス構成待ち (awaiting device configuration)、返却／再配備状態 (return to service state)、共有 iPad、デバイスの現在の push トークンなどの宣言的ステータス項目が追加されます。

新しい機能であるデバイスのシステムヘルス監視も、ステータスとして取得できるようになります。

iOS と iPadOS のデバイスは、設定アプリを通じてハードウェアコンポーネントの問題をユーザーに知らせることができますが、iOS と iPadOS の 27 では、同じ情報を「デバイスのシステムヘルス」の新しい宣言的管理ステータス項目として提供できます。

この情報にはベースバンド、カメラ、Face ID、Touch ID などの情報も含まれます。

macOS 27 で、Mac 上の Content Caching サービスを制御するための宣言的構成が追加されます。その中には、 IT 管理者がサーバー群の健全性を直接監視できるようにするサービス状態を報告する新しい宣言的ステータス項目も含まれます。

さらに、コンテンツキャッシュサーバーには、任意の HTTPS エンドポイントへ自身のレポートを直接送信できる新機能も追加されますので、高度な監視コンソールも構築できます。

これらの宣言的ステータス項目のサポート追加は、対象項目を購読 (Subscribe) するだけです。Subscribe したデバイスは、ステータス値の変化を検知した時点で、その変更をサーバーへ送信するようになります。

続けて、アプリの管理と構成です。

iOS／iPadOS／visionOS で利用可能な宣言的アプリ構成 (declarative app configuration) 機能が、macOS 27 にも提供されます。

これによってハードウェアに紐づく鍵 (Hardware Bound Keys) の利用や、Managed Device Attestation のサポート有効化により、企業サービスに対してアプリや拡張機能を認証し、安全なプロビジョニングが可能になります。

これにより、macOS 上でより安全なエンタープライズ向けアプリの導入と構成が可能になります。組織の運用を円滑かつ安全に保つため、エンタープライズアプリ開発者にManagedAppフレームワークを採用するように働きかけてください。

次に、パッケージです。

macOS 27 では、宣言的管理パッケージの構成自体が削除された際に、そのパッケージによってインストールされたファイルやディレクトリをすべて削除するオプションが IT 管理者に提供されます。

これにより、不要になったデータやファイルがデバイスに残りません。

次に、プライバシー設定です。

アプリや Safari の Web サイトがカメラ、マイク、位置情報などの機能にアクセスしようとすると、ユーザーにはプロンプトが表示されますが、これらのプロンプトがユーザーによりすぐに却下され、結果としてアプリが不適切な設定のままになってしまうこともあります。

許可プロセスを簡素化するために iOS、iPadOS、macOS 27 からは新しい「統合プライバシー同意プロンプト」が提供されます。統合プライバシー同意プロンプトはアプリが初回起動されたとき、または Safari で Web サイトが初めて表示されたときに表示されます。

プロンプトには、IT 管理者が提供する社名などの正当化文字列 (Justification String) に加え、推奨されるプライバシーデフォルトの対象となる各コンポーネントの詳細、そして各コンポーネントに対するアプリ側の正当化も表示されます。

これにより、何が、なぜ、誰によって求められているのかをユーザーが明確に理解できます。

プロンプトにはデフォルト設定されている「許可 (Allow)」と「後で (Not Now)」の2 つのボタンが表示されます。

「許可（Allow）」を選ぶと、プライバシー設定にデフォルトが適用され、以後アプリ利用中に追加のプロンプトは表示されません。

「後で（Not Now）」を選ぶと、未管理状態と同様に、アプリが各コンポーネントへアクセスする際に同意プロンプトが表示されます。

「許可 (Allow)」ボタンがデフォルトとなっており、ユーザーが正しい選択をしやすいよう明確に強調表示されます。

この設定は アプリ と Web サイトの両方に適応でき、IT 管理者はユーザーがアプリや Web サイトでアクセスする必要があるものを決定し、アプリまたは Web サイトに列挙する宣言的構成を作成できます。

次に、macOS のアプリ管理における「どのアプリやバイナリが実行されるかを制御する」方法についてです。

Mac には App Store 由来のアプリだけでなく、App Store 外からインストールされたバイナリや実行ファイルが存在し、それらには意図的または意図せずユーザーが追加したものも多く、組織の要件に常に適合するとは限りません。

組織は、コンプライアンス規制を満たすために許可されたバイナリを制御する必要があります。

そこで macOS 27 では、バイナリ実行を制御するための新しい宣言的管理設定を追加します。

これは Endpoint Security フレームワークを使用しており、設定に応じてバイナリ実行を許可または拒否し、拒否されたバイナリについては関連するプロセスを終了させます。バイナリに一致させる柔軟なルールが用意されており、コード署名プロパティを利用することで、IT 管理者が制御したいバイナリそのものであることを保証します。

管理対象アプリについては、個別のルールを追加しなくても自動的に許可するオプションも用意します。

これらは、アプリ、バイナリ、プライバシープロンプトなどを制御するための非常に強力な新機能となります。

次に、Mac における重要なエンタープライズ機能として、プラットフォームシングルサインオン（Platform SSO）を利用して ID プロバイダと統合する機能を説明します。

macOS のログインをより直感的で高い安全性を持つものにし、フィッシング耐性の高い方法で、組織のユーザーとデータを Mac 上で安全に保つことを目標として、最近のメジャーリリースのたびに macOS の Platform SSO を大きく改善して来ました。

macOS 27 でも Platform SSO はさらに進化します。

まず、新しいログインとロック解除体験です。 Platform SSO の利用者は組織の資格情報を使っていることが明確です。ユーザーはこれまで通りにパスワードを入力するか Touch ID を使えますが、macOS 27 では IT 管理者は組織デバイスに対して、パスワード入力に加えて Touch ID の使用を必須にできます。

それによって touch ID を組み込まれた第2要素として機能させられます。この組み込み2要素認証ははログイン時、画面ロック解除時、さらに FileVault のロック解除プロセスで強制させることができます。。

現代の認証標準では、ワンタイムコード、条件付きアクセスのプッシュ通知、QR コードサインインなどの多様な認証方法が用意されています。

macOS 27 では Platform SSO に新しい Web ベース認証オプションを導入します。ID プロバイダと組織は、ログインウインドウと画面ロック解除に表示されるセキュアな Web ビューを利用し、カスタムのチャレンジレスポンスシーケンスを含む、あらゆる最新の認証フローを実行できるようになります。

このWeb ビューは、組織とユーザーを保護するために、OS が管理する厳密に制御された実行コンテキスト内で動作します。

また、Web ビューは QR コードのスキャンも可能です。スキャンする際にカメラはセキュアなシステムプロセス内で完全に動作し、Web ビュー自体とは完全に分離されます。また、Web ページが受け取るのは QR コードから復号されたデータのみで、生のカメラ映像や画像データは決して受け取りませんので認証のための Web サイト がユーザーや周囲の画像を取得してしまうことを防ぎます。

Web 認証はログインウインドウ、画面ロック解除、FileVault のロック解除プロセス全体で機能し、安全で強制可能な認証を提供します。

また、オフライン認証もサポートされます。これによってネットワークに接続されていないデバイスでもセキュリティ態勢を弱めることなくアクセスの継続性を確保します。

これらの認証法法を利用する企業においては、ローカライズされたサインインページ、アクセシビリティ最適化フロー、デバイス状態に基づく条件付きプロンプト、既存の ID 基盤とのシームレスな統合など、より深いカスタマイズが可能になります。

Platform SSO の新しい Web ログインと QR コードサポートを組み込むための作業は、Authentik、ClassLink、Identity Automation の開発者が対応中です。

次に、Platform SSO による Authenticated Guest Mode (認証済みゲストモード) についてです。

macOS 27 ではこの機能が拡張され、認証済みゲストユーザーが FileVault で保護された Mac でもサインインでき、FileVault 自体をアンロックできるようになります。

これにより、認証済みゲストユーザーがデバイスを使用している間も、フルディスク暗号化によってデバイス上のデータが保護され、データ保護規制への準拠を確保できます。

例えば病棟を移動する看護師や医師のようなユーザーが、共有 Mac に一時セッションとして素早く安全にログインした際にも、ユーザデータは安全に保護されます。

この機能は Authenticated Guest Mode 用に構成されたデバイスでは自動的に利用可能で、追加の構成は不要です。

最後に、教育向けアップデートです。

先ほど macOS の Authenticated Guest Mode を説明しましたが、これが将来的にShared iPadにも提供されます。

Shared iPad を有効化すると、iPad は一時セッションで起動し、Managed Apple Account でサインインするログイン画面が表示されます。サインインはネイティブ認証または ID プロバイダを用いたフェデレーション認証が可能で、Single Sign-On を完全にサポートします。

Shared iPad のストレージ利用は、固定クォータは無くなり、システムとデバイス容量を共有する柔軟なものになります。

サインアウトすると、すべてのローカルデータと Managed Apple Account は自動的にデバイスから削除されるようになります。

授業中に生徒の集中を課題に向け続けさせるためにClassroom アプリに新しい「ガイド付きブラウジング」機能を追加します。

教師は Classroom アプリを使って、生徒が操作できる Web サイトを 1 つまたは複数のタブにロックできます。さらに、生徒を単一タブにロックして即時に焦点を合わせることもできます。

教師は、このモードで使用する Web サイトを、直接入力するか、授業計画時に用意したブックマークから設定できます。生徒が Web サイト内外を移動できる範囲を制限することもできます。

カメラとマイクへのアクセスも許可できますが、アクセスするかどうかは生徒側に選択権があります。

教師は設定した「ガイド付きブラウジング」のセットへ、1 人の生徒または複数の生徒を誘導できます。

誘導すると、生徒のデバイスはガイド付きブラウザを開き、適切な Web サイトを表示します。

これらの機能を組み合わせることで、今日の教室における重要な問題の 1 つに対処できます。