Apple端末

MobiControl v14 Manual

2022年 1月 6日
  1. MobiControl Serverが、v14.5.8未満で、
    端末OSが、iOS15、 iPad15、または Monterey v12の場合、同じ種類のペイロードを、1つの構成プロファイルに複数搭載すると、エラーになります
    これは、Appleの仕様です。 ペイロードとは、構成プロファイルのメニューの1項目です。例えば、「Webクリップ」や「WiFiのSSID設定」などです。
  2. MobiControl Serverを v14.5.8(2021年11月2日リリース) 以上にアップデートすると、上記 a. の不都合が解消されます。 同じ種類のペイロードを、1つの構成プロファイルに複数搭載できます。

1. Apple端末の業務アプリの管理

MobiControlは、業務アプリの管理に最適のソリューションをiPhone、iPad、macOSコンピュータに提供します。
  • 監視モード端末では、 アプリのサイレント・インストールとサイレント・バージョンアップを実現します。端末ユーザの操作なくしてインストールされます。
    勤務時間外に、短かい時間で数千台の端末にアプリの配布やバージョンアップができます。業務改善のスピードを速めます。
  • 社内開発し、Appストアに公開したくないアプリは、端末に直接配布し、サイレント・インストールさせます。
  • 業務に関係ないアプリ・アイコンを表示させません。監視モードとして登録直後の端末では、MobiControl管理者が指定したアプリのみを表示します。 端末ユーザに、任意のアプリのインストールを許可したとしても、アプリのブラックリストまたはホワイトリストで、コントロールが可能です。
  • MobiControl管理者が、インストールを指定したアプリを、監視モード端末のユーザがアンインストールすることを禁止できます。
  • Webクリップをリモート設定できます。指定のWebサイトに、ワンタップでアクセスできます。

2. Apple端末の画面をリモートビュー

リモートのApple端末の画面を、コンソールに表示できます。端末ユーザがアプリ操作に戸惑ったときやアプリに不具合があったときに、 コンソールに画面表示して対応できます。
  • 端末が次の操作をしている際は、すぐに、コンソールでリモートビューができます。
  • 他のアプリの場合は、端末ユーザがMobiControlエージェントのメニューの一つである「Remote Screen Sharing」を選択することで リモートビューができます。「iOS端末をリモート表示」を参照ください。

3. macOSコンピュータの「システム環境設定」を一括設定

  • 業務アプリをサイレント・インストールします。
  • 「システム環境設定」をコンソールで一括設定できます。
    • ログイン画面設計、FileVault、Dock、Finder、プリンタ、Xsan、 機能拡張などの面倒な設定をコンソールで一括設定できます。
    • Active Directoryや Open Directoryの「ネットワークアカウント」も、コンソールからリモート 設定できます。
    • ユーザのホームフォルダや、Time Machineによるファイルバックアップ先をサーバ内にすることをリモート設定できます。
  • 情報漏洩対策
    macOSコンピュータの機能とコンテンツの制限を参照ください。 例えば、「どこでも My Mac」を禁止することで、職場のコンピュータから自宅のコンピュータへの情報流出を防げます。
  • ネットワーク・インフラに対するアカウントの自動設定
    社内WiFiやVPNなどを、一斉設定できます。

4. Apple端末の情報漏洩対策の充実

端末利用中の対策

Apple端末には、様々な情報漏洩対策が用意されています。しかし、それは、適切な設定をしていることが前提です。 MobiControlは、適正な設定を強制的に適用します。例えば:-
  • ロック解除のためのパスコードの設定強制。パスコードの複雑性設定や、無効パスコード入力の許容回数を制限します。
  • 別途、無償提供しているブラウザ(SOTI Surf)を利用し、コンテンツ内容に基づくWebサイトのフィルタリングをします。 指定したサイト以外にはアクセスさせません(フィッシング防止)。URL入力欄を非表示にできます。
  • ロック中のSiriの禁止
    (禁止にしてないと、ロック中でもSiriで連絡先の電話番号を知ることができます)
  • iCloudのドキュメントの同期の禁止
    (禁止にしておかないと、会社端末のデータをiCloudに送り、私物のPCやデバイスからiCloudにアクセスし、会社のデータを情報漏洩できます)
  • Cookieの制限(過去に訪問したサイトからのCookieのみに制限)
  • 端末証明書のインストール
    (メールサーバやVPNの利用に際する認証に使う)
  • MobiControlで設定したWiFi/SSID以外のWiFiには、アクセス禁止。WiFiの新規登録を禁止できます。(盗聴を防止します)

紛失時の対策

  • アクティベーションロック
    MDM管理でない端末や、監視モードでない端末は、Apple IDを端末に紐づけています。従って、拾得者は、そのApple IDの パスワードを知らないと、再アクティベーションができなくなっています。
    監視モード端末には、Apple IDを紐づけていません。 それでも、拾得者が再アクティベーションができないようになっています。
  • 監視モード端末は、紛失モードにすることで、次のことができます。
    • MobiControlコンソールに、端末の位置を地図表示
    • 端末画面にメッセージ表示
      端末に連絡先などを記したメッセージを送り、端末画面に表示します。拾得者に連絡先への電話連絡を促します。
  • リモートWipe
    コンソールから端末を工場出荷状態に戻せます。
  • 端末を紛失したユーザ自身が、PCやタブレットを使い、 セルフサービスポータルにアクセスし、MobiControlコンソールと同じ働きかけを 紛失した端末に対し可能。夜間や休日に紛失しても、コンソール管理者に依頼する必要がありません。
    但し、Active Directoryなどの認証サービスのユーザ情報を、端末毎に、MobiControlに登録しておく必要があります。 Active Directory UPNの登録を参照。

5. 4つの登録モード

Apple 端末(iPhone、iPad、macOSコンピュータ)に関しては、大別して2つ、細別して4つの登録モードがあります。
a. 監視モードa-1. ABM経由自動登録新規購入端末が対象
a-2. ABM経由手動登録既に購入済の端末が対象
b. 非監視モード b-1. デバイス登録 「ユーザー登録」に比べて、多くの機能制限が可能。コンソールからのリモートWipeが可能。
b-2. ユーザー登録私物端末に適用します。業務アプリが生成したデータやダウンロードしたデータは、私的アプリでは 開くことができません。逆に、 私的にインストールしたアプリ名などはコンソールには表示されません。 コンソールからのリモートWipeは不能。iOS13以上の端末に適用可能。
会社支給端末の場合は、監視モードに設定することをお勧めします。
「ユーザー登録」は、私用端末を登録する場合を想定しています。詳しくは、「B-2. 「デバイス登録」か「ユーザー登録」かの選択」 を参照ください。

6. 監視モード

iPhone、iPad、macOSコンピュータの設定モードは、「監視モード」と「非監視モード」の2つに大別されることを前述しました。
「非監視モード」でも、全く監視されないということではありません。 但し、「監視モード」に比べると、コントロールされる領域が少なくなります。
監視モードでセットアップするには、AppleのABM(Apple Business Manager(旧:DEP)サーバ経由での、初期設定が必要です。
Apple端末を監視モードにすることで、次のようなメリットが得られます。
  • 機能制限
    監視モードも、非監視モードも、情報漏洩対策及びその他を目的として、端末の機能を制限できます。しかし、監視モードは、非監視モードより 多くの機能の制限が可能になります。
    詳しくは、下記の「監視モードで制限できる端末の機能」を参照ください。
  • アプリをサイレント・インストール
    端末ユーザの操作なくして、ダウンロードとインストールを行なえます。 Appストアアプリの場合は、該当するアプリをVPP(Volume Purchase Planing)アプリとし、 アプリカタログ・ルールに登録します。
  • Apple IDの管理が不要
    アプリカタログ・ルールで指定したAppストアのアプリなら、Apple IDがなくても、ダウンロードできます。
    端末を 監視モードでアクティベーション(初期設定)するときは、AppleへのApple IDの登録をスキップできます。
    また、端末でのApple IDの登録(私有のApple IDの端末への紐づけ)を禁止できます。
    Apple IDを会社支給端末で管理するとなると、Appleに申告した端末ユーザの姓名、生年月日、メールアドレス、パスワード、 秘密の質問などを、会社で記録管理しなければなりません。
  • 紛失モード
    Apple IDを登録せず、従って「iPhoneを探す」を設定していなくても、 紛失モードにすることで、紛失した端末位置の地図表示など、「iPhoneを探す」と同等の 機能を使えます。
  • アクティベーションロックのバイパス
    上記 4項の「紛失時の対策」で、Apple IDがなくても、再アクティベーションを禁止できることを記しました。 初期化された端末には、Apple IDの替わりに、MobiControl管理者が特別のコードを入力して、再アクティベーションをします。
    端末が、信頼できる従業員の手にある場合は、前述の特別のコードを入力しなくても、再アクティベーションができます。 工場出荷状態へ端末をリセットした後に、再アクティベーションする際の手間を減らせます。
    アクティベーションロックとそのバイパスを参照ください。
  • MobiControlへの登録解除を禁止
    端末側操作での、MobiControlへの登録解除を禁止できます。
    端末操作での登録解除の禁止を参照。
    但し、ABM経由手動登録しての監視モード端末は、アクティベーション後30日間は、登録解除が可能です。

7. アプリカタログとVPP

アプリカタログ・ルールを適用したApple端末には、「App Catalog」という名前のWebクリップアイコンが、ホーム画面に表示されます。 これにはアプリの名前とアイコンが表示されています。これにはアプリのダウンロード元へのURLが埋め込まれています。 端末ユーザは、これをタップして業務アプリのダウンロードとインストールをします。
アプリには、Appストアのアプリもあれば、社内限りで社内サーバをダウンロード元とするアプリ(=エンタープライズ・アプリ)もありえます。
Appストアのアプリは、企業/団体としてVPP(Volume Purchase Planning = まとめ買い)契約を することができます。 VPP契約で購入したアプリは、サイレント・インストールができます。従って、無償アプリでもVPP契約をします。
監視モード端末非監視モード端末
VPP契約アプリポップアップ無し。
サイレント・インストール可能
インストールを促すメッセージのポップアップ
VPP契約でないアプリApple IDとパスワード入力のポップアップ 下記の2つのポップアップ
  • インストールを促すメッセージ
  • Apple IDとパスワード入力
In-Houseアプリ
(エンタープライズアプリ)
ポップアップ無し。
サイレント・インストール可能
インストールを促すメッセージのポップアップ
ユーザベースのアプリでは、ユーザのApple IDをVPP契約に紐づけるポップアップが現れる。但し、初回だけ。
詳しくは、アプリカタログルールを参照ください。

8. ABM経由の登録とは

ABM(Apple Business Manager(旧:DEP)は、Apple社のクラウドサービスです。端末(のシリアル番号)と、端末の登録先のMDMサーバ(のURL)を紐づけ(割り当て)たデータベースです。

(図1)

端末には工場出荷時に固有のシリアル番号が埋め込まれています。
個人所有の端末のアクティベーション(初期設定)では、シリアル番号にMDMサーバのURLが紐づけられてないので、Apple IDを登録することで、初期設定が終わります。

シリアル番号に、MDMサーバのURLが紐づけられている場合、その端末は、アクティベーション(初期設定)のときに、MDMサーバに自動的にアクセス(リダイレクト)します。 そして、MDMサーバに登録されます。続けて、その端末用に用意されている構成プロファイル等がダウンロードされます。

ABM経由で端末をMobiControlに登録するには、 当該端末のシリアル番号を、ABMサーバに登録しておきます。
この登録を誰がするかによって、ABM経由登録には、2種類があります。 下表を参照ください。

ABM経由自動登録ABM経由手動登録
対象となる端末
  • Apple販売店番号を持っている販売店から購入する端末
  • 携帯電話会社から直接購入する端末
  • Appleから直接購入する端末
  • Apple販売店番号を持っていない販売店から購入する端末
  • 購入済の端末
  • 非監視モードだが、これを監視モードに変更する端末
端末シリアル番号をABMサーバに登録する人 販売店(購入元) 利用する企業/団体のABM担当アカウント保有者
端末シリアル番号の端末登録ルールへの再配置 MobiControlコンソールへのアクセス権限者が実行 不要
ABMサーバで、登録予定端末の端末シリアル番号とMobiControlサーバのURLとの紐付け 利用する企業/団体のABM担当アカウント保有者

9. 異なる端末グループのユーザ間で、1台の端末を共用

(図2)

端末は、所属する端末グループが異なると、構成プロファイル、ルール、詳細設定、アプリなどが異なります。 端末を共用端末として設定すると、端末ユーザが所属するグループの構成に自動的に従います。 例えば、あるユーザが使うと、設定してあるVPN接続が可能になるが、他のユーザではそれが不可能になります。
あるユーザが使うと、指定のアプリが自動インストールされますが、同じ端末を他のグループのユーザが使い始めると、そのアプリが 自動的にアンインストールされます。そして、新しいユーザに許可されているアプリが、自動インストールされます。
  • 前のユーザの受信済メールは、自動的に削除されます。
  • 端末ユーザは、認証サービス(ディレクトリサービスまたはIDプロバイダ)で、認証を受ける必要があります。
従業員全員に会社支給端末を配布できない場合でも、従業員は、会社支給の共用端末を持ち出して、外出先で使えるようになります。 その共用端末に、今、誰がサインオンしているかは、コンソールで把握できます。

10. Webサイトのフィルタリングを強化できるブラウザ -SOTI Surf

SOTIが無償提供しているブラウザSOTI Surfをインストールできます。 SOTI Surfは次の特長を持ちます。
  • アクセスできるWebサイトを限定できます。
    • Webコンテンツの内容により、フィルタリングをします。
    • URLのブラックリスト、又は、ホワイトリストで、アクセス先を規制します
    • ブックマークをMobiControlコンソールで規定できます
    • URL入力欄を非表示にできます
  • ダウンロードしたファイルを、SNSなどで他に転送することを禁止できます。
詳しくは、「SOTI Surfの設定」を参照ください。

11. APNs

Apple端末は、通常、MobiControlサーバには接続していません。また、MobiControlサーバから端末にアクセスして通信セッションを張ることはありません。

(図3)

Apple端末には、出荷時に「MDMプロトコル」という名前のメカニズムが標準搭載されています。
この「MDMプロトコル」は、APNs(Apple Push Notification service)から通知Noticeを、常時受けるように設定されています。 端末に「リモートロック」「紛失モード」または「Wipe(初期化)」などのコマンドを送るには、 まず、APNs経由でチェックイン要求を送ります。
端末はチェックイン要求に応えて、MobiControlサーバに「チェックイン」をし、コマンドを受け取ります。
端末に対し、構成プロファイルを送ったり、ルールを展開するのにも、端末にチェックイン要求を送ることで実現します。 端末から、MobiControlサーバへの「チェックイン」は、通常のhttps(TCP443)のコールです。
ルールの中には、アプリカタログルールがあり、インストールするべきアプリに関する情報を送ります。 送るべきオブジェクトを送り終わると、端末はすぐにチェックアウトします。
もし、Apple端末を閉域ネットワークで使うとしても、APNsに対すTCP5223ポートは開けておく必要があります。

APNsとのTCPポートについては、「Apple端末とFirewall」を参照ください。

12. MobiControlエージェント

(図4)

MobiControlに端末を登録したのちに、MobiControlエージェント・アプリをアプリカタログに掲示しておきます。 これがインストールされると、付加的な機能を端末に追加できます。
まず、端末をMobiControlサーバに「接続」できるようになります。「接続」をすると 次のようなことができるようになります。
  • 端末画面のリモートビュー
    端末画面の変化をコンソールに表示します。詳しくは、「iOS端末をリモート表示」を参照ください。
  • 端末がオフラインの時でも、端末の立ち寄り先を、コンソールの地図に点描表示できます。 端末がオンライン(接続)したのが直近なら、オフラインの時でも、直近の位置を地図表示します。
    端末は次のときに、MobiControlサーバに接続します。 接続状態の場合は、コンソールに端末の現在位置を地図表示します。
    端末がオフラインでも、「紛失モード」にすれば、現在位置を地図表示します。
  • メッセージ表示
    コンソールからのメッセージを端末の画面に表示し、保存します。
  • コンテンツライブラリ
    端末ユーザは、コンテンツライブラリから様々なファイルや文書をダウンロードできます。
  • ファイル同期ルール
    接続をしたときに、サーバから端末へ、または、端末からサーバへ、指定のファイルを自動的に送ります。
  • 次の端末ステータス情報をサーバに送ります。
    • IPアドレス
    • バッテリ空き容量
    • 総メモリと書込可能なメモリ容量
    • 脱獄(JailBreak)しているかどうか
「MDMプロトコル」によるチェックインと、「MobiControlエージェント」による接続では、送受するオブジェクトが異なります。 詳しくは、「iOS:チェックインと接続」を参照ください。
管理機能が減少しますが、MobiControlエージェントをインストールしなくても、Apple端末の管理は可能です。 これをエージェントレス運用と言います。

13. 認証サービスによる認証

端末ユーザが、認証サービスのグループのメンバーであるかどうかを確認するために、端末を登録するプロセスで、 認証サービスによる認証をさせることができます。
認証サービスには、「ディレクトリサービス」と「IDプロバイダ」の2系統があります。 MobiControlは次の製品をサポートしています。
  • ディレクトリサービス
    AD_DS(Active Directry Domain Service)、Apple OD(Open Directory)
  • IDプロバイダ
    Azure IdP、Shibboleth、Okta、OneLogin、Google Workplace
    (SAML2.0 によるシングルサインオンを実現します)

端末登録時には、認証サービスによる認証操作をスキップし、後で、MobiControlコンソールで、コンソール管理者により、 端末に、認証サービスのユーザ情報を、個別端末に紐づけることもできます。 詳しくは、「Active Directory UPNの登録」を 参照ください。

14. 認証サービスで認証させると、こんなメリットが

  • 端末が、認証サービスで認証を受けるようにしておくと、前述のように、端末を共用端末として、異なる部門の従業員で共用できるようになります。
  • 認証サービスによる本人認証を必要とする外部リソースへの自動ログインが可能になります。 外部リソースとは、次を指します。
    • メールサーバ
    • WiFi
    • VPN
    • CardDAV (社内連絡先)
    • CallDav (社内の同僚、上司のスケジュール)
    • SharePoint2013、WebDavなどのファイル共有システム
  • コンソールの端末一覧に、端末毎に、その端末ユーザ名及び姓名を表示できます。
  • メッセージを複数端末へ一斉送付した場合、その本文に、端末ユーザの姓を表示できます。
    コンソールでのメッセージ作成段階での 「%ENROLLEDUSER_LAST_NAME%さん」という文字列が、端末では、例えば「田中さん」に変わります。
  • 端末を紛失した場合、端末ユーザが、紛失端末以外の、任意のPC、タブレット、スマホで、紛失端末のステータスを視ることができるようになります。 セルフサービスポータルにアクセスすることで実現します。
    紛失端末をロックまたは、Wipe(初期化)ができます。 夜間や休日に、コンソール管理者に出社して対処して貰う必要がありません。

15. SDK for iOS

iPhone、iPadにインストールするアプリに、SDK for iOSをアドオンすると、 端末の業務での活用度が高まります。
  • アプリ操作で動く端末の画面を、コンソールPCの画面にリモート表示できます。アプリ操作の指導や不具合の発見につながります。
  • アプリ配下のサブフォルダのデータファイルをファイルサーバに吸い上げたり、逆にファイルサーバから端末に必要なデータを送ることができます。 アプリ作成において、サーバとのファイル同期の手配が簡単になります。 サーバ側に端末毎のサブフォルダを自動的に作ります。
  • コンソールPCのエクスプロラ・ツールに、端末のアプリ配下のサブフォルダが表示されます。 コンソールPCとの間でファイル送受や更新ができ、アプリのデバッグなどに 役立ちます。
SDK for iOSは無償です。

16. 監視モードで制限できる端末の機能

上記の「監視モード」でのメリット説明以外に、セキュリティ対策や業務の効率化のために、下記の機能を提供できます。
  • アプリの管理
    • アプリのサイレント・インストール 及び サイレント・バージョンアップ
    • アプリのホワイトリストを作り、リスト以外のアプリの起動を禁止
    • アプリのブラックリストを作り、リストされたアプリの機能を禁止
    • Appストアからのアプリの追加ダウンロード禁止
    • Appストア以外のアプリの追加ダウンロード禁止
    • シングルアプリモード(基本的に1つのアプリのみ)
    • アプリの削除禁止
  • AirPrint設定
更には、次に示す機能を制限できます。
  • 端末側操作でのMobiControlの登録解除を禁止
  • ホスト・ペアリングの許可/禁止
    iTunesを起動して、パソコンのデータをiOS端末に移動またはその逆の禁止
  • WiFi専用端末では、プロキシサーバを経由しないと、インターネットに接続できないようにする
  • 指定したURL以外には、ブラウザからアクセスできないようにする
  • 会社で定めたWiFi以外にアクセスさせない(但し、iOS13.1以上の端末のみが対象)
  • Bluetooth設定の変更を禁止。新規接続先を禁止。
  • 「探す」アプリの禁止
    iOS13の「探す」アプリを有効にしておくと、インターネットにオフラインの自分の端末でも、近くにある他人のApple端末が, 自分のデバイスの位置情報を中継して、iCloudへ報知してくれます。Bluetoothでオフラインの自分の端末を検知します。
    また、「探す」アプリでは、iOS13端末を持つ友達の地理的位置も表示してくれます。
    便利な機能ですが、情報漏洩の危惧を持つ場合は、構成プロファイルを送ることで「探す」を無効にできます。
その内、下記の機能制限は、iOS13以上では、監視モードでないと制限を課すことができません。
  • カメラ機能の停止
  • FaceTimeの利用禁止
  • アプリのインストールを禁止
    Appストアアプリも、Appストア以外のアプリもインストール禁止。 App Storeアイコンも非表示
  • iCloud Keychain Syncを禁止
    端末とiCloudアカウントの間でログイン情報の同期を停止する
  • iCloudとのドキュメント同期を禁止
  • 端末データをiCloudへバックアップさせない
  • 「友達を探す」アプリの変更禁止
  • ゲームセンターに友達を登録することを禁止
  • 他の端末と連携してプレイするゲームの禁止
    いわゆるマルチユーザプレイゲームの利用を不能にする
  • Safariの利用禁止
  • Apple Musicを禁止
  • iMessageの利用禁止
  • SIRIでユーザの生成したコンテンツを非表示
  • SIRIの悪口誹謗フィルタ
  • iBook Storeの利用禁止
  • Eroticaコンテンツの禁止
  • AirDropの利用禁止
  • AirPrintでTLS通信を要求
  • AirPrintの利用禁止
  • ロック画面で通知センターを非表示
  • ロック画面で「今日」ビューを非表示
  • Exchangeアカウント変更の禁止
  • 携帯電話回線でのパケット使用量記録の変更の禁止
  • ホスト・ペアリングの禁止
    iTunesを使ってパソコンからiOS端末へのデータ移動が不能になる。
  • OTAによるPKIの更新禁止
  • 端末内のすべてのコンテンツと設定の削除を禁止
  • 構成プロファイルを手動でインストールさせない
  • パスコードの変更を禁止
  • Apple Watchとのペアリングを禁止
  • Spotlightの検索を無効にする
    文章の文字列にあてたスポットライトでのインターネット検索禁止。
  • VPNの設定を無効にすることを禁止
  • 通知設定の変更を禁止
  • 制限の変更を禁止
    端末で「設定」-->「一般」-->「機能制限」のメニューでの可能/不能の変更を不能にする
  • デバイス名の変更を禁止
    端末で「設定」-->「一般」-->「情報」-->「名前」での変更を不能にする
  • 端末での壁紙変更を禁止
  • 音声入力を無効にする
  • 予測キーボードを無効にする
    文字入力時に、予想単語を表示する機能を無効にする
  • キーボードショートカットを無効にする
    外付けキーボードを使う時のショートカット用法の利用禁止
  • 自動修正を無効にする
    文字入力時、applr -->apple などと修正する
  • スペルチェックを無効にする
    文字入力時のスペルチェックを無効にする
  • 定義の辞書検索を無効にする
    文字列をタップして、当該文字列に関する辞書内容を表示する。この機能を無効にする。
  • USB 制限モードを有効にする
    ロック状態になってから1時間以上経過して、端末をPCなどにUSB接続しても、データ伝送はできなくなることをUSB制限モードと言います。 GrayKeyという機器を端末につなぐと、 4桁のパスコードは数時間で盗まれるといわれます。これを有効にしておくと、 このようなパスコード盗難を 防止できます。 (iOS11.4.1以上が必要)
  • 日付&時間を自動的に強制設定する
    (iOS12以上が必要)
  • パスワード近接要求を無効にする
    当該端末に物理的に近づいたiOS端末が、WiFiのパスワードを拾い取るのを禁止する。(iOS12.0以上が必要)
  • パスワード共有を無効にする。
    AirDropを使って、該当端末に保存された全てのパスワードを他のデバイスに送る機能を無効にします。 (iOS12.0以上が必要)
  • パスワードの AutoFill を無効にする。
    Safariまたはアプリに保存したパスワードを使って、画面のパスワード入力欄への自動書き込みを禁止する。 (iOS12以上が必要)
  • ゲームセンターへのアクセス禁止
    (ホーム画面からゲームセンターのアイコン削除)
  • PodCastの禁止
  • シングルアプリモードでのアプリの指定
詳しくは、 「端末機能の制限 」 を参照ください。非監視モードでも、機能制限ができる項目は多くあります。

監視モード端末には、iOS、iPadOS、macOSのバージョンアップが強制されます。しかし、 OSのバージョンアップを最長90日まで延長できます。 逆に、コンソールの指定で、OSのバージョンアップを強制開始できます。 いずれも、監視モードである必要があります。詳しくは、「OSのアップデートをコントロール」を参照ください。