管理者は、Apple Configurator を使用して加入したデバイスに対して監視モードを有効にすることができ、それにより、さらに強化されたセキュリティ機能が有効になります。ただし、監視モードを有効にした場合、デバイスにいくつかの制限が生じます。

メリット

デバイスを監視モードに設定し、Workspace ONE UEM への加入を行った後、管理者は、通常モードのデバイスにはない以下のような高度な機能を構成することができます。

  • [MDM の制限機能を強化]
    • ユーザーによるアプリケーション削除を防止します。アプリケーション削除は、デバイス上の 「システム構成」 の制限事項を使用してローカルに防止することもできます。
    • AirDrop をブロックします。
    • ユーザーが iCloud と Mail のアカウント設定を編集できないようにします。これにより、アカウントの修正を防ぐことができます。
    • iMessage を無効にします。
    • iBooks Store コンテンツ評価制限を設定します。
    • Game Center と iBooks Store を無効にします。
  • [セキュリティの強化]
    • Safari から成人向けコンテンツを含む Web サイトを開けないようにします。
    • Apple TV のような特定の AirPlay 出力先に接続できるデバイスを制限します。
    • 証明書や管理対象外の構成プロファイルのインストールを防止します。
    • すべてのデバイス ネットワーク トラフィックが強制的にグローバル HTTP プロキシを経由するようにします。
  • [キオスク モード]
    • シングル アプリ モードのデバイスを 1 つのアプリにロックダウンし、ホーム ボタンを無効にします。
  • [デバイスの壁紙とテキストをカスタマイズ]
  • [アクティベーション ロックの有効化/解除]

制限

  • 監視対象デバイスに対する USB でのアクセスは、監視側の Mac のみに制限されます。
  • Apple Configurator の ID 証明書がデバイスにインストールされていない場合、iTunes を使用してデバイスへデータをコピーしたりデバイスからデータをコピーしたりすることはできません。
    • 写真や動画などのメディアをデバイスから PC や Mac にコピーすることはできません。このタイプのデータを転送するには、VMware Content Locker を使用してコンテンツをユーザーの Personal Documents セクションと同期させます。または、ファイル共有アプリケーションを使用して WLAN/WWAN 経由でサーバにデータを転送することもできます。
  • 監視モードでは、iPhone 構成ユーティリティ (IPCU) を使用したデバイス側のログへのアクセスが禁止されます。
    • 監視モードを有効にした場合、アプリケーションまたはデバイスに関する問題のトラブルシューティングが難しくなります。デバイスからログを取得できるのは、デバイスが監視側 Mac に接続されているときだけであるからです。こうした課題を軽減するため、ログの送信やアプリケーションから UEM Console へのデータ転送には、Workspace ONE SDK を使用してください。
  • デバイスを工場出荷状態の設定にリセットすることは容易ではありません。
    • デバイスを工場出荷状態にリセットした場合、監視モードに戻すには、監視側の Mac に接続する必要があります。Mac がデバイスの近くにない場合、この手順を実行するのが難しいことがあります。

監視モードを有効にするかどうかを決定する際には、以下の点を検討してください。追加機能が有効になり、デバイス上のセキュリティが強化されますが、USB の制限について考慮する必要があります。

この決定においては、監視側の Mac がデバイスの近くにあるかどうかが重要です。USB の制限があることで、デバイス側のログへのアクセスが妨げられるため、問題が発生したデバイスは IT 部門に送り返して、代理セットアップを行って機能を復元することが必要になります。

監視について前もって決めておくことは重要です。監視モードを有効/無効にするには、デバイスを IT 部門または倉庫に送付する必要があるからです。