iOS 12:企業向けのOAuthについて

背景
最初のiOS 12開発者向けベータビルドをベースにして、AppleはMDMで導入可能なMicrosoft Exchangeアカウントに対するOAuth 2.0サポートを追加しました。OAuthの長い物語を知っている方にとって、OAuth 2.0の出現は初めてではありません。iOS 11では、Microsoft Exchangeアカウントに対応するOAuth 2.0が一般に提供されました。この時のOAuth 2.0はユーザー主導の機能だったので、企業はiOS 11上でOffice 365メールのセキュリティを確保するのに苦労しました。OAuthの仕組みを知りたい、またはもう一度確認したい方は、私の過去のブログ(パート1/パート2)をご覧ください。最初のiOS 12ベータ版で今後の機能拡張が見えており、今ではOAuth機能はExchangeペイロードの一部となりました。つまりIT管理者は、iOSのネイティブメールアカウントをOAuth機能でiOSデバイス群に導入できます。このブログでは、企業がOAuthを検討する理由、メールに対応するOAuthの設定、Exchange導入後のユーザー体験について解説します。
iOS OAuth機能の歴史
iOS 11が出る前は、iOSのネイティブメールクライアントは、Office 365メール作成のアクティブな認証がなければ導入できませんでした。アクティブな認証では、メールクライアントは、その認証情報(基本認証または証明書に基づく認証)をMicrosoft Azureに直接提示する必要があります。 iOS 11のネイティブメールクライアントでは、SAML 2.0、OpenID Connect、OAuth 2.0、WS-Federationなど、最新の認証承認規格を利用できるようになりました。このような規格を利用することで、ユーザーはクラウドサービスにセキュアにアクセスし、企業はIDプロバイダー(IdP)経由で認証情報を制御できます。
iOS 11がOAuth 2.0を導入した当初、多くの企業が新しい認証方法でOffice 365メールを利用できるようになることを期待しました。OAuth機能では企業がIdPをセキュアに認証できますが、多要素認証(MFA)や条件アクセスなど、従来のアクティブフローより多くの機能も許可されます。しかし期待は不安に変わりました。OAuthはもともとiOS 11でユーザー主導のアカウント作成向けに導入され、添付ファイルをマネージドアプリだけに許可する機能や、デバイスの使用終了時やコンプライアンス違反時に企業メールアカウントを削除する機能など、多くのアクセス制限や制御機能が使えなくなったからです。
iOS 12 OAuthと企業
iOS 12のリリースでは、新しく計画されたMDM機能の大半がExchangeのペイロードに入りました。iOS 12の開発者向けベータ版で、Appleは、OAuthをオプションのブール値として追加し、S/MIMEのサポートも少し追加しました。iOSとmacOSの新しい機能の詳細は、Appleの設定プロファイルの参照リンク1をご覧ください。OAuthをオンにしたExchangeプロファイルのサンプルも以下に挙げてあります2。
キー |
タイプ |
値 |
OAuth |
ブール値 |
省略可。接続がOAuthを認証に使用するかどうかを指定します。有効の場合、パスワードは指定しません。デフォルトはfalseです。iOS 12.0以降でのみ利用可能です。 |
OAuthを有効にしたExchangeプロファイルをデバイスに導入した後のエンドユーザーのフローを以下の動画で紹介しています。
-
ユーザーにポップアップウィンドウが表示され、[設定を編集] からExchangeアカウントのパスワードを入力するよう求めます。
-
設定ページで、ユーザーは [パスワードを再入力] を選択します。
-
選択すると、Safari View Controller(SFVC)と呼ばれるシステムブラウザが起動し、IDプロバイダー(IdP)での認証が行われます。
-
この操作が初めての場合、新しいアプリのiOS Accountsがユーザーに提示され、認証を求めます。これは、Azure ADを認証に使用する(OAuth 2.0)ためにAppleが作成したAzureアプリです。
-
ユーザーがiOSアカウントの許可を承認すると、ネイティブのExchangeアカウントがメールの同期を開始します。
企業におけるOAuthのセキュリティ
マネージドメールプロファイルのプロビジョニングは、企業導入の出発点にすぎません。GDPRが本格化すれば、自社ドメイン内のデータにも適用する必要が出てきます。機密情報にアクセスするすべてのデバイスにきちんとした安全対策が必要です。 iOS 12によるOAuthサポートに投資する際の注意事項について、今後の記事もお見逃しなく。
2 MobileIron Cloud、MobileIron Core