2021.5.17

MDMの導入から利用開始まで(2) -MDMチェックイン-

以前の投稿で、MDM導入初期に必要なPUSH証明書の取得について解説しました。PUSH証明書とは、以下の図の(1)ができるようにするためのものでした。

(MDMによる端末管理の登場人物は、MDMサービスとAPNsと端末の3者)

次に必要になるのがMDMにiOS端末を登録することです。これをMDMチェックインと言います。本稿ではこのMDMチェックインの基本を解説します。

 

MDMチェックインとは

MDMの運用では、その管理者がいきなり任意のiOS端末を制御できるようになるわけではありません。もし勤務先の情シスが使っているMDMサービスが、いきなり自分の個人端末を遠隔制御し始めたら困りますよね。

当然そんなことができる筈もなく、MDMによる端末管理では最初にまずiOS端末側から「私はあなた(MDM)にコントロールされても構いません」と明示的に宣言する儀式を行う必要があります。

(端末側からMDMサービスに管理(支配)を依頼する。MDMから端末を管理(支配)しにいくわけではないことに注意)

端末側が主体であることに注意して下さい。例えるなら、MDMサービス側に端末の入る箱をまず用意して、端末からその箱に入りに行く感じです。まさにホテルのチェックインですね。

一度チェックインすると端末はMDM支配下に収まり、それ以降はMDMサービスから(つまり管理部門から)遠隔制御、アプリや設定のインストール、各種の情報収集などが行われるようになります。

それでも良いですよ構いませんよと端末から意思表明することがMDM チェックイン(Check in)です。次に紹介するMDMチェックインの手順は、チェックインが端末主体であることをよく示しています。

 

MDMチェックインの具体的手順

弊社でよく使っているBizMobile Goを例にMDMチェックインするまでの手順を紹介します。

(1) まずMDMサービス側で管理対象端末が入る「箱」を作ります(BizMobile Go では「デバイス」という言葉が使われています)

(2) MDMサービスが(1)で作った「箱」にチェックインするためのURLやQRコードを生成してくれます (BizMobile Go に限らず他のサービスも同様です)

(3) チェックインすべき端末で(2)のQRコードをカメラで読み取るか、Mobile Safari でURLを直接開きます。MDMプロファイルなるものが提供されますのでダウンロードします。MDMプロファイルとはMDMチェックインするための特別なデータを含むプロファイルです

→→

(4) MDMプロファイルのダウンロードが終われば、設定アプリを開いて [ファイルがダウンロードされました] をタップしてプロファイルの詳細に「リモート・マネジメント」と表示されていることを確認します。

→
(右図のように削除ボタンがあることは、この時点で端末側がMDM管理下に入ることを拒否できることを意味する)

(5) 右上の[インストール] をタップすると信頼するかどうかを聞いてきますので[信頼]をタップします。もちろん、心当たりがなければ [信頼] してはいけません。

以上でMDMチェックインは完了となります。どこまでも端末主体であり、MDM側から一方的に管理し始められるものではないことが理解できたと思います。手順(1)(2)はMDMサービス毎に異なりますので、詳細は各サービスのマニュアルを参照して下さい。

ちなみに、手順(3)にあるMDMプロファイルには、MDM payload という特別なデータが含まれていて、これが端末に取り込まれるとMDMチェックインのプロセスが発動するようになっています。MDMチェックインで何が行われているか技術的な興味がある人は、Appleが公開しているMDMプロトコル仕様書の第2章 MDM Check-in Protocol を読むと良いでしょう。

(iOS端末のMDMプロトコルについて詳細を記すAppleの技術文書)

 

MDMチェックアウト

ここまでMDMチェックインについて解説しましたが、逆に、ホテルの「チェックアウト」で退室するようにMDM管理下から逃れる方法はあるのでしょうか。

答えはYESです。

MDMチェックインした端末で、設定アプリを開き [一般]→[デバイス管理] の画面を表示すると以下のような表示になります。

[削除]というボタンがあるのが分かります。これをタップすると最終確認の後にMDM管理下から逃れることができます。以後、MDMは端末を遠隔制御したり情報収集したりすることはできません。

前節で解説した手順でチェックインした場合、必ずこの画面に削除ボタンが表示されます。MDMに管理されるのも、MDMの管理から外れるのも、端末を操作する側の自由であるということですね。

…しかし。これでは意味ないのでは？

管理下から勝手に外れて貰っては管理の意味がありませんよね。そう考える管理者もいるでしょう。運用でカバーする方法もありますが、できれば禁止したい。そんな管理部門の期待に応えるのが DEP(Device Enrollment Program) という機能です。

DEPを使えばMDM管理から外れる行為を禁止することができます。(ついでにチェックインを自動化したり自動で監視モード化することも可能になります)

(DEPによる自動チェックインをした端末での [一般]→[デバイス管理] の画面。削除ができず管理下から逃れられない)

 

以上、MDMの導入準備二大項目の1つ目PUSH証明書の取得&登録に続く、MDMチェックインについて紹介しました。まとめると以下のとおりです。

• MDMから勝手に任意の端末を管理・コントロールできるわけではない
• MDMは端末側からチェックインして貰ってはじめてその端末を管理できる
• MDM管理下にある端末は任意でMDMの管理対象から外れることができる
• DEP機能を使えば管理対象から外れることを禁止したり自動チェックインができる

最後に言及したDEPは、また別の記事で解説します。本稿ではひとまずMDMチェックインの基本的な振る舞いについて紹介しました。