Appleプラットフォーム導入
- ようこそ
- Appleプラットフォーム導入の概要
- 新機能
-
-
- アクセシビリティペイロードの設定
- Active Directory証明書ペイロードの設定
- AirPlayペイロードの設定
- AirPlayセキュリティペイロードの設定
- AirPrintペイロードの設定
- App Lockペイロードの設定
- 関連ドメインペイロードの設定
- 自動証明書管理環境(ACME)ペイロードの設定
- 自律的シングルアプリモードペイロードの設定
- カレンダーペイロードの設定
- モバイルデータ通信ペイロードの設定
- モバイル通信プライベートネットワークペイロードの設定
- 証明書プリファレンスペイロードの設定
- 証明書失効ペイロードの設定
- CT(証明書の透明性)ペイロードの設定
- 証明書ペイロードの設定
- 会議室のディスプレイペイロードの設定
- 連絡先ペイロードの設定
- コンテンツキャッシュペイロードの設定
- ディレクトリサービスペイロードの設定
- DNSプロキシペイロードの設定
- DNS設定ペイロードの設定
- Dockペイロードの設定
- ドメインペイロードの設定
- 省エネルギーペイロードの設定
- Exchange ActiveSync(EAS)ペイロードの設定
- Exchange Web Services(EWS)ペイロードの設定
- 拡張シングルサインオンペイロードの設定
- 拡張シングルサインオンKerberosペイロードの設定
- 機能拡張ペイロードの設定
- FileVaultペイロードの設定
- Finderペイロードの設定
- ファイアウォールペイロードの設定
- フォントペイロードの設定
- グローバルHTTPプロキシペイロードの設定
- Googleアカウントペイロードの設定
- ホーム画面レイアウトペイロードの設定
- 識別子ペイロードの設定
- 識別プリファレンスペイロードの設定
- カーネル機能拡張ポリシーペイロードの設定
- LDAPペイロードの設定
- LOM(Lights Out Management)ペイロードの設定
- ロック画面のメッセージペイロードの設定
- ログインウインドウペイロードの設定
- 管理対象ログイン項目ペイロードの設定
- メールペイロードの設定
- ネットワーク使用ルールペイロードの設定
- 通知ペイロードの設定
- ペアレンタルコントロールペイロードの設定
- パスコードペイロードの設定
- プリントペイロードの設定
- 「プライバシー」環境設定ポリシー制御ペイロードの設定
- リレーペイロードの設定
- SCEPペイロードの設定
- セキュリティペイロードの設定
- 設定アシスタントペイロードの設定
- シングルサインオンペイロードの設定
- スマートカードペイロードの設定
- 照会カレンダーペイロードの設定
- システム機能拡張ペイロードの設定
- システム移行ペイロードの設定
- Time Machineペイロードの設定
- TV Remoteペイロードの設定
- Webクリップペイロードの設定
- Webコンテンツフィルタペイロードの設定
- Xsanペイロードの設定
-
- 宣言型アプリ構成
- 認証資格情報と識別情報アセット宣言
- バックグラウンドタスク管理宣言型
- カレンダー宣言型構成
- 証明書宣言型構成
- 連絡先宣言型構成
- Exchange宣言型構成
- Googleアカウント宣言型構成
- LDAP宣言型構成
- レガシー対話型プロファイル宣言型構成
- レガシープロファイル宣言型構成
- メール宣言型構成
- 計算および計算機アプリ宣言型構成
- パスコード宣言型構成
- パスキー認証宣言型構成
- Safari機能拡張の管理の宣言型構成
- 画面共有宣言型構成
- サービス構成ファイル宣言型構成
- ソフトウェアアップデート宣言型構成
- ソフトウェアアップデート設定の宣言型構成
- ストレージ管理宣言型構成
- 照会カレンダー宣言型構成
- 用語集
- 資料の改訂履歴
- 著作権
AppleのIDサービスの概要
Appleは組織に対し、職場でもクラウドでもパスワードとユーザ名を安全に管理できるようにさまざまなIDサービスを提供しています。Appleは、個別のユーザがお気に入りのアプリやその他のリソースごとにユーザ名とパスワードを設定するという追加の面倒な作業なしでそれらにアクセスできるように、認証、認可、IDフェデレーションなどのセキュリティ対策を使用しています。
以下に、IDサービスの主な手法(認証、認可、IDフェデレーション)の概要と、AppleのIDサービスでの使用例を示します。
認証および関連するAppleサービス
セキュリティプロセスの最初の手順は認証です。認証では、ユーザの識別情報を検証して正当であることを確認します。
Appleは多数の認証方法を使用しています。シングルサインオンと、個人用のApple Account、管理対象Apple Account、iCloud、iMessage、およびFaceTimeなどのAppleのサービスを使用すると、安全な通信、オンラインでの書類の作成、個人データのバックアップのすべてを、組織のデータを危険にさらすことなく行うことができます。サービスごとに独自のセキュリティアーキテクチャが使用されます。Appleはこの方法により、Appleデバイス内であってもワイヤレスネットワーク上の転送時であってもデータ処理のセキュリティを確保し、ユーザの個人情報を保護し、情報およびサービスへの悪意のあるアクセスまたは不正アクセスを防ぎます。また、Appleはモバイルデバイス管理(MDM)ソリューションに対応する内蔵のMDMソリューションフレームワークも備えており、これによってAppleデバイスからの特定のサービスへのアクセスの制限や管理ができます。
認可および関連するAppleサービス
認証は自分が誰であるかを証明し、認可はユーザが何を許可されているかを定義します。認可を機能させるため、ユーザが自分のユーザ名とパスワードをIDプロバイダ(IdP)に提供します。概念的に言えば、IdPは「認証局」、ユーザ名とパスワードは「アサーション」(ユーザが自分の識別情報を「アサート」(表明)するため)、ユーザがサインインに成功したあと受け取るデータは「トークン」です。
Appleは多くの種類のトークンと多くの種類のアサーションを採用しています。使用できるアサーションは、証明書、スマートカード、多要素デバイスなどです。
IDフェデレーション
IDフェデレーションとは、ユーザがセキュリティを確保しながら複数のシステム間を自由に移動できるように、複数のセキュリティドメインでIdP間に信頼を確立するプロセスです。IDフェデレーションを機能させるには、相互に信頼する複数のドメインを管理者が設定する必要があり、それらのドメインがユーザを特定する単一の方法について合意する必要があります。
IDフェデレーションの一般的な例の1つは、エンタープライズアカウントを使用してIdPにサインインすることです。例えば、組織の管理対象Apple Accountの作成を合理化できるように、AppleはIDプロバイダ(IdP)、Google Workspace、およびMicrosoft Entra IDとApple School Manager、Apple Business Manager、またはApple Business Essentialsとのフェデレーションを有効にしました。これにより、ユーザは既存のIDプロバイダ(IdP)、Google Workspace、またはMicrosoft Entra IDのアカウントを使用して、iCloudにサインインしたり、Apple School Manager、Apple Business Manager、またはApple Business Essentialsに関連付けられたAppleデバイスにサインインしたりできます。ユーザが再度自分のIDを表明することを求められない場合、フェデレーションはシングルサインオンまたはKerberosシングルサインオン機能拡張を使用して実行されます。