構成プロファイルで一括設定
「プロファイル」とは輪郭・略歴などの意味を持つ英単語で、iOSの世界では各種設定が記載されたXML形式のファイルを「構成プロファイル」と呼んでいます。iOSデバイスは構成プロファイルを認識すると、その設定をまとめて読み込んで適用します。
構成プロファイルにはWi-FiのアクセスポイントやVPNの接続先、エアプリント(AirPrint)で接続するプリンタの場所などの、主にシステムが利用する設定のほか、参照するカレンダーや電子メールのサーバ設定、グーグルアカウントなどの個人向けの設定、そしてアプリの動作を保証する証明書や、OSの機能制限、コンテンツファイルの設定などといったセキュリティ向けの設定などがひとまとめに記載されています。それぞれの項目に対して複数の設定を登録することができ、たとえば、社内にある複数のWi-Fiアクセスポイントを構成プロファイルにまとめて格納することも可能です。
プロファイルはXML形式のファイルなので、メールで送ったり、サーバからダウンロードしたりといった方法でデバイスに送ることができます。たくさんのデバイスにいちいち手動で設定を入力しなくても、構成プロファイルがあれば一括して同じ設定を適用できるのが利点です。
また、構成プロファイルの設定の中には、iOSの「設定」アプリでは変更できない項目もあります。有名な例が「セルラー」の項目で、「iOSデバイスをどのモバイルデータ通信のネットワークに接続するか」を指定できます。この項目は「APN」というもので、APNは本来iPhoneを販売するキャリアが記入する項目のため、ユーザの自由には変更できないのですが、構成プロファイルを使えばAPN設定を上書きできます。たとえば、iPhoneで格安SIM(MVNO)を使う場合にはAPNの設定を変更する必要があるため、構成プロファイルで上書きすることになります。
なお、構成プロファイルはiOSでよく使われますが、macOSでも読み込むことができます。iOSと同じく、Wi-Fiのアクセスポイントなどをまとめて覚えさせるのに便利です。
構成プロファイルを使えば一括して設定を変更できるため、業務向けデバイスをカスタマイズするときなどによく利用されます。
たとえば、学校の教材としてiPadを使うときや、博物館などでガイド代わりにiPadを貸与する場合、指定のアプリ以外を起動されたり、勝手にアプリを削除されたり、アップストアから勝手にゲームをインストールされたりしたら困ります。こうした操作を禁止するのに便利なのが、アップルが提供するiOSデバイスの集中管理ツール「アップル・コンフィギュレータ2(Apple Configurator2)」による機能制限ですが、これも実は構成プロファイルを使うことで実現されています。(アプリやコンテンツのコピーには、アップル・コンフィギュレータ2の同期機能が使われます)。
企業でiOSデバイスを導入する際には「MDM」や「MAM」などと呼ばれるデバイス管理ツールで設定されていることが多く、これらのデバイスではアップストアへのアクセスが制限されていたり、管理者がリモートでデータを削除したりできますが、これらの機能も、リモートの管理サーバから「プロファイルを一括登録する」ことで実現されています。
構成プロファイルを作成
アップル・コンフィギュレータ2によるWi-Fiアクセスポイントの設定例です。構成プロファイルを作成してiOSデバイスで読み込めば、SSIDやパスワードの入力ミスもなく簡単にアクセスポイントへの接続を確立できます。
システム環境設定パネルの追加
構成プロファイルは主にiOSで利用されますが、実はmacOSも対応しています。拡張子が「.mobileconfig」のファイルをMac上でダブルクリックすると、「システム環境設定」が構成プロファイルを読み込んで、設定が行なわれます。
macOSにも対応
↓
macOSに構成プロファイルを読み込むと、システム環境設定に[プロファイル]のパネルが追加され、Macに読み込んだ構成プロファイルの確認、追加、削除を行うことができます。Mac上に読み込んだ構成プロファイルが1つもなくなると、[プロファイル]のパネルは自動的に消えます。
集中管理から分散管理へ
iOSデバイスが普及するまでは、コンピュータは原則「決められたネットワーク」に所属するものでした。こうした環境ではネットワークの中心に設置された「ディレクトリサービス」と呼ばれるサーバが、ユーザアカウントやグループ、接続されたデバイスの情報などを集中管理しており、コンピュータはディレクトリサービスから情報を取得していました。加えてOSやソフトウェアに対する機能制限なども、ディレクトリサービスから取得して構成していました。
有名なのはマイクロソフトの「アクティブ・ディレクトリ(Active Directory)」で、ユーザごと、コンピュータごとにさまざまな制限を付与することができました。アップルも「macOSサーバ」に「オープン・ディレクトリ(Open Directory)」という類似の仕組みを提供しています。
しかし、ディレクトリサービスによる集中管理は「コンピュータが組織内のネットワークに常時接続されていること」を前提に設計されています。いつでも携帯して、3G、LTE、Wi−Fiとさまざまなネットワークに接続するiOSデバイスではこの前提が成り立ちません。そこで、コンピュータの設定や構成を1つのファイルにまとめて、そのファイルをデバイスに送付する、という構成プロファイルによる管理スタイルが一般的になったのです。
【 構成プロファイルとMDM 】
構成プロファイルは拡張子が「.mobileconfig」のファイルで、その内容はXML形式で記述されます。XMLはHTMLのように「タグ」を使って記述していく形式で、構成プロファイルではアップルが定義した一連のタグを書き込んでいけば、Wi-FiのアクセスポイントやVPN、共有カレンダーや住所録に至るまで、さまざまな項目を設定可能です。また、設定情報の改ざんを防止するため、構成プロファイルには電子署名が施されており、正しい書式で作られた構成プロファイルは「アップル・コンフィギュレータ2」を使ってiOSデバイスに流し込むことが可能です。また、「MDM(モバイル・デバイス・マネジメント)」と呼ばれる管理ソリューションを使えば、管理下にあるiOSデバイスに遠隔操作で構成プロファイルを登録できます。MDMは遠隔初期化(リモートワイプ)などの仕組みも備えており、多数のiOSデバイスを管理する企業には欠かせない仕組みになっています。
【 Active Directory 】
「アクティブ・ディレクトリ」はマイクロソフトの開発したサーバ用OS「マイクロソフト・ウィンドウズ・サーバ」に搭載されたディレクトリサービスと、それを中心とする企業レベルでのシステム管理の一連の仕組みを指します。「ケルベロス(Kerberos)」という認証サービスを利用し、LDAPというプロトコルで情報をやりとりする一方、「GPO(グループ・ポリシー・オブジェクト)」という仕組みでユーザやコンピュータの挙動を制限したり、強制したりといったことができます。GPOを使うことで壁紙を自社指定のものにする、特定の共有ドライブを常時マウントする、ソフトウェアの挙動を一部変更する、などの設定を強制できます。企業レベルでのコンピュータ管理/ユーザ管理では、なくてはならない仕組みです。macOSサーバに搭載されている「オープン・ディレクトリ」もケルベロスとLDAPを中心としたディレクトリサービスで、「MCX(マネージド・クライアント・エクステンション)」という、GPOに類似した仕組みが存在します。
【電子署名】
HTTPSの通信と同じく、電子署名はPKIの枠組みでその正当性(信頼できる証明書が付与されているか)を確認できます。ただし、大手キャリアなどでも「信頼できない証明書」を使っている例が後を絶ちません。
【アンドロイド】
とにかく構成プロファイルを読み込めば動作を制限できるiOSに対し、アンドロイドでは提供されたAPIを使ったクライアントアプリをインストールして、動作制限を実現しています。
文●千種菊理
本職はエンタープライズ系技術職だが、一応アップル系開発者でもあり、二足の草鞋。もっとも、近年は若手の育成や技術支援、調整ごとに追い回されコードを書く暇もなく、一体何が本業やら…。