iOS 緊急セキュリティ対応への Intune の対応
先日初めて iOS、iPadOS、macOS 向けの「緊急セキュリティ対応」がリリースされました。"緊急" と云われればとよっぽどのこと、すぐにインストールされた方も多いかと思います。私もすぐに自分の iPhone 13 mini、iPad mini 6 にインストールし、無事にバージョン「16.4.1 (a)」になりました。
緊急セキュリティ対応 とは
緊急セキュリティ対応とは、以下のとおりです:
緊急セキュリティ対応は、iPhone、iPad、Mac を対象とした新しい種類のソフトウェアリリースです。ソフトウェアアップデートの合間に、セキュリティに関わる重要な改善点を配信します (たとえば、Safari Web ブラウザ、WebKit フレームワークスタック、その他の重要なシステムライブラリに対する機能強化など)。一部のセキュリティ上の問題 (脆弱性を悪用されかねない状況や、被害が報告されている問題など) に迅速に対処する緩和策として用いられる場合もあります。
ざっくりいうと、通常のアップデート リリースを待てないほどの問題が見つかった、ということでしょうか。
インストールした方が無難そうですね。
Intune での iOS 更新管理
Intune 上での iOS / iPadOS の更新管理は、主に2通りの方法があります。
"デバイスの制限" 構成プロファイル
1つ目は、デバイス構成プロファイルの種類 "デバイスの制限" にある、[ソフトウェア更新プログラムの既定の表示を遅らせる] です。
これにより、更新プログラム リリースから最長90日間、ユーザーが手動でもインストールできないようになります。
iOS または iPadOS の更新ポリシー
2つ目は、"iOS または iPadOS の更新ポリシー" です。
これは更新プログラムが自動的にインストールされるタイミングを制御するものです。
こちらの注意が必要なのは、ユーザーによる手動インストールはブロックされない点です。
厳密に更新をブロックするには、1つ目の遅延設定を併せて使用する必要があります。
Intune における"緊急セキュリティ対応"
結論からすると、2つ目 "iOS または iPadOS の更新ポリシー" で制御することはできないようです。(2023年5月8日現在)
上記スクリーンショットのとおり、「16.4.1」の選択肢はあれど、「16.4.1 (a)」の選択肢はありません。
では Intune で何ができるかというと、
・ユーザーによる「緊急セキュリティ対応」インストール可 / 不可
・ユーザーによる「緊急セキュリティ対応」アンインストール可 / 不可
の2つの設定です。
設定はデバイス構成プロファイルの「設定カタログ」にあります。
「緊急セキュリティ対応」を管理者により強制インストールできないのは正直微妙なところですが、今後の対応に期待ですね。(たぶん Apple 側の担当です…)
さいごに
そんな機能忘れた頃にリリースされた「緊急セキュリティ対応」、構成プロファイルの設定値は自組織の管理ポリシーに則して設定を見直しておきましょう。
当社では Microsoft 365 を使い倒すためのお手伝いもしていますので、お気軽にご相談ください!