この記事では、Intune で管理される iOS デバイスのバックアップを自動的に暗号化する動作について説明します。
現象
iTunes を使用して Intune で管理されている iOS デバイスをバックアップしようとすると、Encrypt ローカル バックアップ オプションが自動的に選択され、選択を解除することはできません。
原因
この問題は、Intune 証明書プロファイルがデバイスに展開された場合に発生します。
プロファイルに (ペイロードとして) 埋め込まれている証明書など、特定の項目が iOS デバイス上にある場合、iTunes は自動的にバックアップ暗号化を有効にします。 この動作は仕様によるものです。
詳細
Apple のセキュリティの概念の詳細については、Apple Platform Security Web サイトの「 Keychain data protection および data Protection 用の Keybags を参照してください。 次の情報は、このシナリオに関連する概念の概要です。
作成されたバックアップ ペイロードは、iOS によって作成されたキーチェーン項目を含む backup keybag と呼ばれます。 これらのキーチェーン項目の場合、次のクラス保護オブジェクトは nonmigratory としてフラグが付けられます。
- VPN 証明書 Always、nonmigratory
- Bluetooth キー Always、nonmigratory
- Apple Push Notification サービス トークン Always、nonmigratory
- iCloud 証明書と秘密キー Always、nonmigratory
- iMessage キー Always、nonmigratory
- 構成プロファイルによってインストールされる証明書と秘密キー Always、nonmigratory
- SIM PIN Always、nonmigratory
セキュリティの目標は、 Always、nonmigratory キーチェーン項目としてフラグが設定されているオブジェクトに対して、UID 派生キーを使用してラップされたままにすることです。 この目標により、最初にバックアップされたデバイスに復元し、別のデバイスでアクセスできないようにすることができます。 この動作により、バックアップは強制的に暗号化されます。