Appleデバイスで内蔵のネットワークセキュリティ機能を使用する
Appleデバイスでは、ユーザの認証とデータ転送中のデータ保護を実現する、組み込みのネットワークセキュリティテクノロジーが採用されています。Appleデバイスのネットワークセキュリティは以下に対応しています:
内蔵のIPsec、IKEv2、L2TP
App Storeのアプリを使用したカスタムVPN(iOS、iPadOS、visionOS)
他社製VPNクライアントを使用したカスタムVPN(macOS)
Transport Layer Security(TLS 1.0、TLS 1.1、TLS 1.2、TLS 1.3)およびDTLS
X.509証明書を使用したSSL/TLS
802.1Xを使用したWPA/WPA2/WPA3エンタープライズ
証明書ベースの認証
共有シークレットおよびKerberos認証
RSA SecurID、CRYPTOCard(macOS)
iOS、iPadOS、macOS、およびtvOSのネットワークリレー
iOS 17、iPadOS 17、macOS 14、tvOS 17以降で新しい内蔵リレーを使用することで、VPNの代替として暗号化されたHTTP/3またはHTTP/2接続を使用し、トラフィックのセキュリティを保護することができます。ネットワークリレーは、パフォーマンス用に最適化され、最新のトランスポートおよびセキュリティプロトコルを使用する、特殊なタイプのプロキシです。特定のアプリ、デバイス全体、内部リソースにアクセスする際のTCPおよびUDPトラフィックを保護するために使用できます。iCloudプライベートリレーを含む複数のネットワークリレーを並行して使うことができます。アプリは必要ありません。詳しくは、ネットワークリレーを使用するを参照してください。
VPNとIPsec
多くの企業環境に、何らかの形態の仮想プライベートネットワーク(VPN)があります。こうしたVPNサービスでは、通常、最小限の設定と構成だけで、Appleデバイスを統合することができます。Appleデバイスは、多くの一般的なVPNテクノロジーと統合できます。
iOS、iPadOS、macOS、tvOS、watchOS、およびvisionOSは、IPsecプロトコルと認証方法に対応しています。詳しくは、「VPNの概要」を参照してください。
TLS
SSL 3暗号化プロトコルとRC4共通鍵暗号スイートは、iOS 10とmacOS 10.12では推奨されません。デフォルトでは、SecureTransport APIで実装されたTLSクライアントまたはサーバでRC4暗号スイートが有効になっていません。このため、使用できる暗号スイートがRC4のみである場合は接続ができません。安全性を高めるには、RC4を必要とするサービスまたはアプリをアップグレードして、暗号スイートを有効にします。
そのほかのセキュリティ機能の強化:
SMB接続に必要な署名(macOS)
macOS 10.12以降では、Kerberos対応NFSの暗号化方式としてAESをサポート(macOS)
Transport Layer Security(TLS 1.2、TLS 1.3)
TLS 1.2でAES 128とSHA-2の両方をサポート。
SSL 3(iOS、iPadOS、visionOS)
DTLS(macOS)
Safari、カレンダー、メールなどのインターネットアプリでは、これらを使用して、iOS、iPadOS、macOS、およびvisionOSと企業サービスの間の通信チャンネルの暗号化を有効にしています。
EAP-TLS、EAP-TTLS、PEAP、およびEAP-FASTを使う802.1Xネットワークペイロードの最小および最大のTLSバージョンも設定できます。例えば、以下のように設定できます:
両方を特定の同じTLSバージョンに設定します
TLS最小バージョンを低い値、TLS最大バージョンを高い値に設定し、そのあとにRADIUSサーバとネゴシエーションを行います
値を設定しません。これにより、TLSバージョンについては802.1XサプリカントがRADIUSサーバとネゴシエーションを行います
iOS、iPadOS、macOS、およびvisionOSでは、サーバのリーフ証明書をSHA-2系の署名アルゴリズムを使って署名し、2048ビット以上のRSAキーまたは256ビット以上のECCキーを使用する必要があります。
iOS 11、iPadOS 13.1、macOS 10.13、visionOS 1.1以降では、802.1X認証にTLS 1.2を使用できるようになります。TLS 1.2をサポートする認証サーバは、互換性を確保するために以下のアップデートが必要になることがあります:
Cisco: ISE 2.3.0
FreeRADIUS: バージョン2.2.10および3.0.16にアップデート。
Aruba ClearPass: バージョン6.6.xにアップデート。
ArubaOS: バージョン6.5.3.4にアップデート。
Microsoft: Windows Server 2012 - ネットワークポリシーサーバ。
Microsoft: Windows Server 2016 - ネットワークポリシーサーバ。
802.1Xについて詳しくは、Appleデバイスを802.1Xネットワークに接続するを参照してください。
WPA2/WPA3
すべてのAppleプラットフォームでは業界標準のWi-Fi認証および暗号化プロトコルをサポートしているので、以下の保護されたワイヤレスネットワークへの認証を用いたアクセスと機密保持を提供します:
WPA2パーソナル
WPA2エンタープライズ
WPA2/WPA3トランジショナル
WPA3パーソナル
WPA3エンタープライズ
WPA3エンタープライズ192ビットセキュリティ
802.1Xワイヤレス認証プロトコルのリストを表示するには、Mac用802.1X構成を参照してください。
アプリを非表示にする/ロックする
iOS 18およびiPadOS 18以降では、アプリを開いたり、ホーム画面からアプリを非表示にしたりするために、Face ID、Touch ID、またはパスコードを要求するようにユーザが設定することができます。MDMは、以下によってこれらのオプションを利用できるかどうかを管理できます:
ユーザがアプリごとに管理対象アプリを非表示にしたりロックしたりできるかどうかを制御する
監視対象デバイスのすべてのアプリの非表示とロックを無効にする
ユーザ登録で登録されたデバイスの場合、非表示のアプリは、管理対象の場合のみMDMに報告されます。デバイス登録で登録されたデバイスの場合、非表示のアプリは、インストールされているすべてのアプリの一部としてMDMに報告されます。
macOS用のローカルネットワークアクセス
macOS 15以降では、ユーザのローカルネットワーク上のデバイスを操作したい第三者アプリまたは起動エージェントは、初めてそのローカルネットワークをブラウズしようとするときに許可を求める必要があります。
iOSおよびiPadOSと同様に、ユーザは「システム設定」>「プライバシー」>「ローカルネットワーク」と選択してこのアクセスを許可または拒否できます。
FaceTimeとiMessageの暗号化
iOS、iPadOS、macOS、およびvisionOSでは、FaceTimeとiMessageの各ユーザに固有のIDを作成することで、通信の適切な暗号化、ルーティング、接続を確保します。