SaaS

iOSの緊急セキュリティ対応(Rapid Security Response)をMDM(Jamf Pro)で強制適用する方法

はじめに

先日、iOS/iPadOSの緊急セキュリティ対応(Rapid Security Rensponse:RSR)で16.5.1(a)が公開され、直後に公開停止、後日16.5.1(c)が公開されるという慌ただしい出来事がありました。

前回の記事でMDMでの制御方法をご紹介しましたが、その後の検証で強制的にRSRを適用する方法が判明したので改めてご紹介します。今回のケースであれば、16.5.1(a)のユーザーに対して強制適用が可能になります!、が副作用もあるので悩ましい、というお話です。

おさらい:緊急セキュリティ対応(Rapid Security Response)とは

緊急セキュリティ対応についての公式情報

iOS/iPadOS16/macOS13からは、Apple社が最新バージョンに対するセキュリティ更新のみを速やかに配信する場合には、バージョンアップでなく緊急セキュリティ対応を配信するようになりました。

標準設定では自動的に配信され適用を行うようになっています。

なお、以前のメジャーバージョンであるiOS/iPadOS15やmacOS12/11にはRSRの仕組みがなく、セキュリティ更新は次のマイナーバージョンアップでの対応になります。

本題:MDMから強制適用できるのか

前回の記事でMDMでの制御方法をご紹介しましたが、端末に一括でRSRを配信したり適用できないというご案内をしておりました。追加検証したところ、可能なことが判明しました!その方法をご紹介します。

なお、今回はJamfでの動作検証結果のご紹介となります。

MDMから「デバイスの適格性に基づく最新バージョン」を指定した配信

前回はJamfの一括処理コマンドでバージョンを指定した配信ができないので無理ではないかと判断していました。そこで、「デバイスの適格性に基づく最新バージョン」を指定してみたところ、強制的にバージョンアップされました!

同意や確認なく問答無用で再起動発生し更新という結果です。(びっくり)

「デバイスの適格性に基づく最新バージョン」を指定
16.5.1(c)の補足ビルドバージョンが指定されています
端末上でアイドル状態のまま放置していると、ポップアップが表示され・・・
なんと再起動されました。再起動への同意や確認画面はありません。

どういうことなのか?(ドキュメントと違う)

何かの間違いかと思ったのですが、複数台で再現できており、理由がよくわからない状態です。

Appleのドキュメントでも、パスコードロックがかかっている端末ではバージョンアップにはパスコード入力が求められると記載されています。ところが、実際の動作はこの通りになっていません。

デバイスにパスコードがある場合は、MDMからデバイスにアップデートまたはアップグレードが送信されたあと、デバイスのキューにアップデートまたはアップグレードが入り、ユーザはすぐにインストールを開始するか延期して夜間にインストールするためにパスコードの入力を求められます。

https://support.apple.com/ja-jp/guide/deployment/depafd2fad80/web#dep6b4066d25
Appleのドキュメント

まとめ

ということで、緊急セキュリティ対応の適用をMDMから強制できることがわかりました。

ただし、ユーザーの確認や同意が発生しない問題を抱えているため、現段階ではユーザーを絞って強制的な対応を行いたい場合にだけ使える機能となります。ドキュメントと端末上の挙動が違う問題については、引き続き調査を行ってみる予定です。

参考資料

緊急セキュリティ対応のMDM設定に関する公式情報
緊急セキュリティ対応に関する公式情報
Jamf Proでの一括処理コマンドによるOS更新手順資料

けーはっく

流れ流され好奇心旺盛なまま色んなお仕事をやってきて、その経験を活かしてクラウドネイティブでお仕事しています。リモート情シス&コンサル歴は6年くらいですが、インターネット歴25年。