🧠 概要:
概要
この記事では、Microsoft Intuneを使用してiPhoneのパスコード失敗可能回数を設定する方法について説明されています。iPhoneのパスコードを10回間違えるとデータが消去される設定が存在し、MDM(モバイルデバイス管理)を通じてこの制限を設定する際の具体的な手順や注意点が解説されています。
要約
- パスコード設定: iPhoneは10回のパスコード入力失敗でデータ消去が設定可能。
- MDMの利用: Intuneを使用してiPhoneのパスコード設定を管理し、その回数を指定できる。
- 設定の不明瞭さ: 失敗回数の設定が「許可される失敗」と誤解されやすく、明確な説明が不足。
- 検証結果: 10回失敗で初期化することが確認された(iOS18時点)。
- パスコード待機時間: 複数回間違えると待機時間が発生する設定も存在するが、動作が記載と異なる場合がある。
- 注意点: Appleの説明における用語の不一致に留意が必要。
みなさんこんにちは。
iPhoneには、パスコード入力を10回失敗するとデータ消去する設定があります。
割と有名な設定のため、ご存知の方も多いと思います。
MDMでiPhoneを制御する場合もこの設定は利用でき、加えてデータ消去までの回数も指定することが可能です。
しかしそれをIntuneで設定しようと思った場合、何回で設定すれば意図する内容になるのか、説明が少々分かりにくいです。
今回は、その設定についてお話ししたいと思います。
Intune管理センターでの設定と記載
まずIntune管理センターで該当の設定箇所を見てみましょう。
従来からあるデバイスの制限プロファイルでは、「デバイスがワイプされるまでのサインイン失敗回数」という項目になります。
説明には、以下のように書かれています。
設定カタログの方では、「試行失敗の最大数」という項目になります。
説明に色々書かれていますが、AppleのMDMペイロードの説明から引用しているようです。
一応Microsoft Learnの記載も見てみると、「デバイスがワイプされる前に失敗したサインインの数を 2 ~ 11 の範囲で入力します。」と書かれていました。
さて、これらの記載を並べて見てみると、ちょっと釈然としませんよね。
例えば [10] と設定した場合に、
・10回目の失敗時点で初期化される
・10回目はセーフで、11回目の失敗で初期化される
のどちらなのか判断しかねます。
しかもデータの初期化に関わる部分ですから、どちらか分からないというのも困ります。
おまけにAppleの説明にはこんな追記まで付けられていて、最終的にはMDM側の実装によるというようにも読めます。
そんなわけで、実際にiPhoneを使って試してみました。
検証結果
結論としては、[10] で設定すると10回失敗した時点で初期化になりました。(iOS18時点)
日本語の説明としては「デバイスがワイプされるまでのサインイン失敗回数」が一番しっくりくるかもしれません。
少なくとも「許可される失敗の回数」という説明は正確でないように思うので、修正されるべきではないかと思います。
待機時間
ちなみに、パスコードを一定回数連続で間違えると、入力待機時間が発生します。
MDMで設定した場合でも同様です。
先述したMDMペイロードの説明には「パスコードまたはパスワードの待機時間は6回の試行後から適用される」と書かれていますが、検証ではこの動きにはなりませんでした。
実際には以下の情報に記載されている「待ち時間の延長によって総当たり(ブルートフォース)攻撃を抑制する仕組み」の挙動と一致しました。
Appleの公開情報間で表記揺れがありますので、ご注意いただければと思います。
以上が皆様の参考になれば幸いです。
Views: 3
