2020.1.27

MDMとは何か 〜今さら聞けないMDMの基礎〜

iOS4が登場した2009年、iOSは MDM(Mobile Device Management) による端末集中管理に対応しました。あれから10年。MDMの導入は今や常識で、MDMなきiOS端末の業務活用はありえません。

もしお客様のiOS端末導入や業務用アプリ開発を支援する立場なら、MDMを導入済みかどうかの確認、もし未導入であるなら導入の提案、できれば導入と運用の支援まで行いたいものです。

本稿ではMDMの基礎を改めて振り返っておきたいと思います。


(大量のiOS端末を手動設定する様子。MDMを正しくフル活用すればこのような手間はほぼ不要となる)

 

MDMでできること

MDMとは、Mobile Device Management (モバイル端末管理) という言葉から想像できる通り、多数のモバイル端末を管理するための仕組み(プロトコル)、あるいはサービスのことを指します。

iOS端末に限らずAppleTVや、他にも Android 端末、Windows端末、macOS端末も対象になります。が、多くの場合、iOS/Android端末を管理する為に導入します。

MDMができることは以下の4つとされています。MDMサービスによって言い方や分類は微妙に異なりますが、集約すると以下の4つと考えていいでしょう。

機能 詳細
アプリ(コンテンツ)配布
  • AppStoreアプリの配布
  • CustomAppアプリの配布
  • InHouseアプリの配布
  • ブックの配布
設定配信
  • ProfileによるOS設定の配布
  • Managed App Configurationによるアプリ設定の配布
遠隔制御
  • ロック
  • パスコード削除
  • 管理者ロック(iOS9.0以上)
  • 再起動(監視対象のみ、iOS10.3以上)
  • リモートワイプ
情報収集
  • OSやシリアル番号、インストールされているアプリ等

MDMは、iOS等のモバイル端末導入時の懸念をほぼ全て解消します。もし以下のような心配が1つでもあるのなら、台数に関係なく1台だけでもMDMを導入するのがオススメです。

  • 万が一社員が端末をなくした時に情報漏えいしないか?
  • 全端末をいちいち一個ずつ設定しないといけないのか?
  • 社員が端末で何をしているか分からないのではないか?

これらが気にならない責任者や情報管理部門はいないでしょう。従って、MDMは法人では今や必須なのです。

 

MDMサービスはどこを選ぶべきか

MDMは通常、サードベンダーが提供するMDMサービスを契約・初期設定することで導入します。代表的なMDMサービスを以下にあげてみました。(以下、便宜上MDMサービスのことをMDMとよびます)

名称 ベンダー
BizMobile BizMobile
mobi connect インヴェンティット
CLOMO MDM アイキューブドシステム
Jamf Jamf
Meraki Cisco
AirWatch VMWare
Intune Microsoft

これらはほんの一部で、実は国内だけでも何十というMDMサービスがあります。どのベンダーも揃いも揃って自社のMDMがNo.1であると喧伝している面白い業界だったりします。

さて、どこがNo.1かはともかく。

MDMの導入にあたっては、直接ベンダーと契約するか、各メーカが定めている販売パートナーと契約を結びます。初期設定や運用は自分でやる必要があり、設計支援や運用支援までやってくれるところは稀です。(弊社は BizMobile の販売パートナーをさせて頂いており、設定・運用の代行や業務アプリの選定、開発に至るまでMDMの周辺全てをご支援しています)

価格は、1台あたり月額300円、初期費用0円が業界標準です。それ以上の価格の場合、前節で紹介したMDMの主要機能一覧を参考に価格妥当性を見たほうが良いでしょう。よほどの理由がない限り、

  • 初期費用がかかるMDM
  • 1台あたりの月額が300円以上するMDM

はお勧めしません。

誤解を恐れずに言えば、モバイル端末を管理する目的のためならMDMはどこを入れても一緒です。というのも、MDMはMDMプロトコルに準拠したプログラムに過ぎず、実現できることは誰が作ってもほぼ全て同じだからです。

差別化が非常に難しく、特別な事情がない限り「このMDMでないとできない」ということはほぼありません。「FAXをしたい」という機能要件においては、どのFAX機を買っても変わらないのと一緒ですね。

MDMを使って何をしたいのか?もしその「何」が前節の機能一覧にあるのなら、どのMDMを使っても一緒です。無い場合は、そもそもMDMでは解決できない要件の可能性があります。

一度導入すると、ほぼ100%やめれない他のものに変えにくい性質のものなので、何がしたいのかを明確にし、サポートの充実度や価格面も勘案し慎重に吟味することをお勧めします。

 

MDMの技術的な仕組み

MDMがどのように動作するか、技術的な概要もおさえておきましょう。(話を簡単にする為に、ここではiOSに限ります)

MDMがiOSの世界に登場したのは2009年。iOS4が出た年にMDMをぶつけてきたのには、実は技術的な理由があります。MDMの仕組みを図示すると分かり易いでしょう。


(MDMはPUSH通知があってはじめて成立する)

MDMサービスは通常クラウド上で構築されておりブラウザを操作して使いますが、通信の流れとしては以下の通りとなっています。(上図の番号を参照)

  1. MDMサービスはその利用者の操作や設定に応じてAPNsにMDM用PUSHリクエストを投げる
  2. APNs は然るべきiOS端末にPUSHを飛ばす
  3. iOS端末はあらかじめ紐付けられたMDMと通信する

MDMは常にこのトライアングルで動作しています。そう、MDMはPUSH通知なくして機能しないのですね。だからPUSH通知が使えるようになったiOS4と同時にMDM対応となりました。(Appleは当時、一般ユーザの要望に応えるためというよりも、エンタープライズ対応強化のためにPUSH対応したと弊社では考えています)

 

最後にMDM用のPUSH証明書についてもおさえておきましょう。

AppStore向けにアプリ開発する際、原則PUSH機能を使うアプリごとに PUSH 証明書の取得や設定が必要となりますね。デベロッパーの方はよくご存知だと思います。


(アプリ毎にAPNsへPUSHを投げるための証明書を作成する)

これと同様、MDMを使うにはMDMのためのPUSH証明書の取得や設定が必要となります。ただ、MDM用のPUSHはアプリ用のPUSHとは厳密には異なりますので、CSR生成や証明書取得の手順も大きく異なっています。


(Appleが特別に用意する証明書ポータルに、MDMサービス提供会社から入手するCSRを登録して申請する)

MDM用のPUSH証明書に必要となるCSRは法人しか入手できないため、必然的にMDMを使えるのは法人だけとなります。


(BizMobileの初期設定画面で、MDM用の特別なCSRを入手する様子。各MDMが同様の機能を備える)

 

ということで、MDMとは何か基本的なことと仕組みをご紹介しました。

上述の通り、弊社は主にBizMobileを推奨しています。黎明期からある国産MDMであり(あのMDMの内部は実はBizMobile…というケースもある)、運用のし易い作りでサポート体制もよく、価格もリーズナブルであるのがその理由です。

MDMの導入支援・運用支援や代行作業をご希望の方は弊社までお問い合わせ下さい。