2020.5.18
構成プロファイルとは
本稿では、エンタープライズiOSの現場でiOS端末を楽に設定できる構成プロファイルについて紹介します。
エンタープライズiOSで直面する課題
法人でiOS端末を複数台導入する際は必ず、端末の設定をどうやって行うか、という課題に直面します。
『え?設定アプリから設定するだけだよね?』
と思われがちですが、ことはそう簡単ではありません。会社用のWiFiやVPN設定などを例に考えてみましょう。
2,3台の端末なら情シス部門が設定してから配布することも可能ですが、これが10台、100台、1000台と規模が大きくなればなるほど現実的ではなくなってきます。
(エンタープライズiOSの現場では店舗等に常設する大量の端末を管理する場合もある)
設定せずに配って各自・各拠点で設定して貰うという潔い割り切りもなくはないですが、結局、設定できない人からのヘルプコールや意図した通りの設定をして貰えないためのトラブルなどで、返って時間やコストのロスが発生するものです。
たかが設定、されど設定。
人海戦術で何とかしようとは思わないことです。当たり前ですがiOS端末の設定が本質なわけがないのですから、なるべく手間を掛けずに確実かつ漏れなく全端末への設定を終わらせる手段を模索すべきです。
この面倒な設定作業を丸投げで委託できるキッティング業者もありますし、携帯3キャリアもそのようなオプションサービスを提供していますが、まずその前に、設定を楽にするためにAppleが用意している構成プロファイルについて理解しておくのは良いことです。
構成プロファイルはiOS設定を記述したXMLファイル
構成プロファイルとは、iOSの設定情報が記述された設定ファイルのことで、通常はmacOS専用ソフトウェアの Apple Configurator2 を使って作成します。(Apple Configurator2 とはを参照)
(構成プロファイルの作成機能は Apple Configurator2 の重要な機能のひとつ)
プロファイルの拡張子は .mobileconfig です。
余り見慣れない拡張子ですが、ファイルの中身は実はXML(plist)形式で書かれたテキストファイルにすぎません。
構成プロファイルには複数の設定情報を含められるようになっていますので、 .mobileconfig ファイルを端末にインストールできさえすれば、一発で必要な設定が終わります。手間がかからず確実で漏れもありません。構成プロファイルを使わない手はないでしょう。
構成プロファイルは、組織内で1つである必要はありません。大阪拠点用・東京拠点用と場所によって分けたり、部門や設定カテゴリごとに分けても良いでしょう。iOS端末には複数の構成プロファイルをインストールできますので、ある程度の粒度で分けておくのが運用を楽にするコツです。
では、構成プロファイルでどのような設定情報を記述できるのでしょうか。
構成プロファイルで設定できること
iOS向けの構成プロファイルで設定できる項目には、例えば以下のようなものがあります。
- 制限(各種の機能制限)
- コンテンツフィルタ(Safariで閲覧できるURLを制限できる)
- WiFi
- VPN
- Webクリップ(HOME画面に置くURLショートカット)
- …
これはほんの一部。細かなものを含めると数百に及び、iOSのアップデートと共に毎年増えていきますので、ここではそれらを列挙することはしません。本稿では、設定可能項目の情報を入手する方法を記すにとどめておきます。以下に述べる4つの方法を組み合わせて、構成プロファイルの全体像を掴んでください。
Apple公式のペイロード一覧ページ
構成プロファイルの設定可能な項目を確認するには ペイロード全一覧のサイトを確認するのが一番です。構成プロファイルで指定する値をペイロードと呼びますが、その仕様をAppleが公式に解説しています。
構成プロファイルの仕様書
Apple が定期的にアップデートしている Configuration Profile Reference (英語PDF) という構成プロファイルの仕様ドキュメントも参考になります。
Apple Configurator2 の構成プロファイルエディタ
正直、上記2項目の公式情報は大量のドキュメントと見慣れない用語に圧倒されてしまいます。一番のお勧めは Apple Configurator2 を使って全体を把握する方法です。
Apple Configurator2 のメニューから [ファイル]→[新規プロファイル] をクリックして現れる構成プロファイルエディタで、左ペインから興味のあるカテゴリをクリックすると、どんな設定ができるのかほぼ全てみることができます。
全カテゴリで同じことを繰り返せば、10分もかからず「構成プロファイルで何が設定できるか」をおおよそ掴むことができます。
なお「ほぼ」と上述した通り、構成プロファイルで指定できる情報の全てに構成プロファイルエディタが対応している訳ではありません。仕様書には載っているのに、Apple Configurator2 では書けない設定項目もあります。これについては、また別の投稿で紹介します。
AppStore アプリの Apple Configurator2 更新情報
先に、Apple Configurator2 は頻繁にアップデートされると書きましたが、アップデートの度に App Store アプリの Apple Configurator2 アップデート情報欄で、どんな設定項目が増えたか最新の情報を確認することも可能です。
Apple Configuraro2 のアップデートは、iOSのアップデートに連動することが多いです。ですので、「iOSで増えた機能を構成プロファイルでオフにできるのか?」といった視点でアップデート情報欄を見ると良いと思います。
以上、4つの情報収集手段を紹介しました。自分にあった方法で、構成プロファイルで設定できる内容は常に把握しておくようにしましょう。
構成プロファイルで設定できないこと
iOSの設定アプリで設定できることの全てが、構成プロファイルで設定できるわけではないことには特に注意が必要です。設定可能な項目は極めて限定的で、上記で紹介したAppleのオフィシャルドキュメントに記載されていない項目は基本的に設定できません。
(赤枠は設定できない大項目。赤枠以外のものでも指定できる小項目は限られている)
例えば、「サウンドと触覚」「画面表示と明るさ」の項目や「アクセシビリティ」や「バッテリー」は、そもそも項目まるごと設定できませんし、「コントロールセンター」はほんの一部を制御できますが細かな設定はできません。
更に大事なこととして、InHouse配信しているアプリ内の設定項目も記述できません。(アプリ内の設定値を配布するには、Managed App Configuration という仕組みを使います。これはまた別のエントリで紹介します)
一方、構成プロファイルでは、iOSの設定アプリに存在しない特殊設定を指定することができます。
例えば、パスコード長の制限や、スクリーンショット制限の設定など、いかにも企業を意識した項目がそうですね。個人用途ではまず必要とはならない設定です。
できること、できないこと、できるのにできないこと…と構成プロファイルは非常にややこしいですね。
でもだからこそ、何が設定できて何が設定できないのか、そしてどのように設定するのかを把握しておく必要があります。これを知っているか知らないかで、初期導入や有事の際の対応コストに数倍の差がつきます。エンタープライズiOSに関係することになったら、構成プロファイルの全体像は掴んでおきましょう。
以上、iOS端末の設定を楽にする構成プロファイルについて紹介しました。構成プロファイルの具体的な作り方やインストール方法については、また別の投稿でご紹介します。
