2021.6.7

MDMとDEPの組み合わせで設定アシスタントをカスタマイズする

前回の投稿でDEP(Device Enrollment Program)は以下の特徴を持つ特別なiOS端末(DEP端末)を購入できる制度だという紹介をしました。(DEP端末の購入方法は前回の投稿を参照)

  • 自動的にMDMにチェックインする
  • 自動的に監視モード(Supervised Mode)になる

自動チェックインによってMDMから設定(構成プロファイル)もアプリも勝手に流し込まれることになりますし、同時に監視モードにもなるわけですから、DEP端末は非常に便利です。

監視モードでは、構成プロファイルで「管理端末のみ」の設定を流し込める以外にも、設定アシスタントのカスタマイズも可能です。有線接続したiOS端末に対して、Apple Configurator2 から監視モード化する途中で設定するのでした。(参考 : iOSの監視モードとは何か)


(Apple Configurator2 で監視モード化した後の再起動で初期の各種画面をスキップする設定ができる)

では、自動で監視モードになってくれるDEP端末ではどうでしょうか。同じように設定アシスタントをカスタマイズできるのでしょうか。

答えはもちろんYESです。

ただDEP端末の場合は Apple Configuartor2 を使いません。出荷前のDEP端末にMacを有線接続できる筈もありませんから。ではどのようにやるのか。本稿では、DEP端末に対して設定アシスタントをカスタマイズする方法と、実際にカスタマイズした端末の挙動を紹介します。

 

MDMでDEP用のプロファイルをカスタマイズする

再掲になりますが、Apple Configurato2 による監視モード化では以下のような画面で設定アシスタントのカスタマイズをしました。


(表示するアシスタント画面を取捨選択できた。上図は全部スキップする例)

DEP端末の場合は、MDMサービスの管理画面から同様のことを行います。


(設定アシスタントの各画面のON/OFFをMDM上で指定する様子。項目はiOSアップデートと共に数が増えていく)

設定アシスタントの設定をひとまとめに「プロファイル」と言います。iOSに対する設定を表す「構成プロファイル」と言い方が似てますが似て非なるものです。間違えないようにしましょう。区別しやすいようにDEPプロファイルと呼ぶMDMサービスもあります。(本サイトでも分かり易さのためにDEPプロファイルと呼びます)

MDM上でDEPプロファイルを作った後、それをどのDEP端末に適用するかを紐付けます。


(BizMobileではDEPプロファイルを複数作成できどの端末に紐付けるかを設定できる。n:nの設定ができて便利)

MDMによっては、DEP端末全体に1つのDEPプロファイルしか設定できないものもあります。つまり、スキップするパターンを複数作れないということです。この是非は企業毎によりますのでMDM選定の際の判断基準にすると良いでしょう。(配布するアプリによって全部スキップが適切でない場合もあります)

さて、以上でDEP端末の設定アシスタントのカスタマイズは完了です。スキップするしないを定めるDEPプロファイルを作り、適用したいDEP端末に紐付けただけです。簡単ですね。

このあと、DEP端末の電源をONすると自動的に

  • MDMに自動チェックインして監視モードになる
  • DEPプロファイルの指定通りに設定アシスタントが表示される
  • MDMから構成プロファイルやアプリがインストールされる

となるわけです。以下に実際の様子を動画にしてみましたので見てみて下さい。(音が出ます)


(設定アシスタントがカスタマイズされており、開梱直後なのに「ようこそ」とすら言われずHOME画面にいくのが分かる)

箱から出して初めて電源ONした端末(iPod touch)が、WiFiの設定をしただけで、設定アシスタントをほぼ何も表示せずHOME画面に遷移し、監視モードでしかできない「標準アプリの非表示」まで自動で行っている様子を確認できます。

Zero Touch Deployment がどれだけ楽か感じて頂けると思いますがどうでしょうか。

 

DEPプロファイルはiOSの進化と共にメンテしていく必要がある

何度もiPhone/iPadを買い替えている方は、設定アシスタントがiOSアップデートと共に増えていくことをよくご存知でしょう。昔は設定アシスタントの画面は数える程でしたが最新のiOS14では結構な数の画面になります。

設定アシスタントの各画面のON/OFFを決めるのがDEPプロファイルですから、実はiOSが更新される度にDEPプロファイルも追随していく必要があります。おそらく新しく追加されるアシスタント画面もスキップしたいですよね。


(各項目がiOSバージョンの幾つから増えたのかが分かる。iOSアップデートの度にMDMもアップデートされる)

DEPプロファイルは一度作ったら終わりではなく、毎年DEPプロファイルをメンテナンスしていくようにしましょう。メンテナンスを怠ると、設定アシスタントを全部すっ飛ばすつもりが最新iOS端末でなぜか1,2画面は表示されてしまう…ってなことが起こってしまいます。

まさに上で紹介した動画の最後がそうなっていますね(笑) 以下は動画中の 02:00 あたりの様子で、設定アシスタントがスキップしきれていないことが分かります。


(DPEプロファイルの作成後にメジャーアップデートされたiOSをDEP購入するととこうなる)

クリティカルな現象ではありませんが、余計なサポート時間を減らす意味でもDEPプロファイルは毎年更新を徹底するのが賢明です。継続的にiOS端末を新規DEP購入しながら展開していくことが見込まれる企業では特に意識しておきましょう。

 

以上、DEP端末での設定アシスタントのカスタマイズについて解説しました。

理想をいうと、DEP端末を現場配布する前に、設定アシスタントのスキップが意図した通りに行われるか「お試し」したいものですが、端末1台で1回しかできないテストのために端末を余計に購入するのは現実的ではありません。Appleや販売店的には嬉しいでしょうが。ただ、このテストを費用をかけずに何度も行う方法がありますので、また別の記事で紹介したいと思います。

DEPは本当に強力な仕掛けですのでMDMと組み合わせて是非使いこなして下さい。

2021.5.31

DEP(Device Enrollment Program)とは何か

MDMは業務用iOS端末管理には必須なものですが、MDMだけで理想的な端末管理環境は構築できません。MDMだけに頼った端末管理では以下の課題に直面します。

  • (A) MDMチェックインが面倒くさい
  • (B) 監視モードにするのが面倒くさい

(A)については MDMの導入から利用開始まで(2) -MDMチェックイン- を、(B)については iOSを監視モードにする方法 〜保存版 : Apple Configurator2編〜 をそれぞれ参照して下さい。

(A)も(B)も原則1台1台手動で行う必要があり、数十台・数百台と台数が増えるほど結構な労力が必要になります。さらに一桁増えて数千台になるといよいよ現実的ではなくなってきます。

そこで、こう考えるわけです。「MDMチェックインを楽にできないか?」「監視モードをMacとの有線接続に頼らずにできないだろうか?」と。本稿では、そんな思いに応えてくれる仕組みDEP(Device Enrollment Program)について解説します。

DEPを使いこなすと端末管理の労力が10分の1に、いぇそれ以上の労力削減効果がありますのでので是非使いこなして下さい。

 

DEPで得られる恩恵

DEPにより以下のことが可能になります。

  • 自動でMDMチェクインできる
  • iOS端末を最初から監視モードにできる

この2つの特徴を備えた特別なiOS端末を購入できる制度をDEP(Device Enroll Program)と言います。そして、この購入制度で購入した端末をDEP端末と呼びます。

DEP端末では、チェックイン操作も監視モード化する作業も不要です。購入したiOS端末を従業員にただ配るだけ。電源を入れてWiFiに繋ぐと自動でチェックインされ、勝手に監視モードになり、続いてMDMからアプリや設定(プロファイル)が同期されて、初期設定作業が自動で完了します。

なんて素晴らしい仕組みなのでしょう。この全自動設定を Zero Touch Deployment と呼ぶこともあります。


(DEPを活用した業務用アプリ配布の全貌を示す図。ABMやMDMと蜜に連携し、全自動設定を実現する)

今までの人海戦術を使った設定作業は一体何だったのか。DEPがまだない時代にiOS端末を初期設定した経験がある管理部門の方は特にそう思うでしょう。電源をONして、WiFiに繋ぐ(またはキャリア回線と疎通する)と全ての設定が勝手に終わるのですから。

DEPは労力軽減を目指す管理部門にとっての福音です。その恩恵を受けるにはDEP端末を手に入れる方法を知る必要があります。どうすればいいのでしょう?

 

DEP端末はどうやって手に入れるのか

以下に掲げる2つの方法で、DEP端末を手に入れることができます。ただし制約があり法人のみです。残念ながら個人はDEPの恩恵を受けることはできません。

  • Appleから直接購入する
  • Apple VAR や三大携帯キャリアから購入する

注意すべきポイントはDEP端末として購入する必要があること。法人名義で端末を発注すれば、勝手にDEP端末として納品される…というわけではありません。購入時にDEP端末を購入したい旨を伝えることが必要です。なぜなら、DEP端末はABMと連動するようApple側で特別な受注処理が必要になるからです。(参考 : ABM(Apple Business Manager)とは何か)

普段から Apple 製品を業務で使っていて、Apple Japan 法人部門の担当者がついている場合や、Appleの正規販売代理店(Apple VARと言います)の担当者がついている場合は、発注を申し出ると「DEP端末としてですよね?」と気の利いた対応をしてくれる筈です。

一方でApple製品をまとめて購入するのが初めての企業の場合は注意が必要です。間違っても近くの量販店で個人購入と同じノリで買わないで下さい。以下3つの選択肢のいずれかで進めましょう。

  • (A) リアル店舗の Apple Store で法人担当に繋いでもらう (Apple Store には法人担当がいます)
  • (B) Apple at Work のサイトを参照し電話等で Apple に相談する
  • (C) Apple VAR の一覧から正規販売代理店を選んで連絡する

個人的にお勧めなのは(A)か(B)です。ある程度の数が見込まれたり継続的な端末導入が予定されている場合は、自社専用 Apple Online ストアを作ってくれたりもします。


(自社専用のオンラインApple Store。画面左上に for XXXX と自社名が入る)

見積・発注機能も備えたECサイトとなっており、ここからオンライン購入するだけで自動的にDEP端末として納品されるようになります。Appleから直接購入する場合、3桁4桁の台数なら法人割引をして貰える可能性がありますのでApple法人部門の担当者に尋ねると良いでしょう。

 

以上、DEP(Device Enrollment Program)についての概要とDEP端末を入手する方法について解説しました。購入したDEP端末がどのようにMDMに自動チェックインされるのか、具体的な仕組みの部分は別の投稿で紹介したいと思います。

最後に余談ですが、2020年頃からは、DEPのことをADE(Automated Device Enrollment)と表記するケースもありますので覚えておくと良いでしょう。これについても機会があればまた別投稿で紹介しようと思います。

DEP端末についての悩み事がある場合は、よろしければ当所コンサルティングサービスからお尋ね下さい。

2021.5.17

MDMの導入から利用開始まで(2) -MDMチェックイン-

以前の投稿で、MDM導入初期に必要なPUSH証明書の取得について解説しました。PUSH証明書とは、以下の図の(1)ができるようにするためのものでした。


(MDMによる端末管理の登場人物は、MDMサービスとAPNsと端末の3者)

次に必要になるのがMDMにiOS端末を登録することです。これをMDMチェックインと言います。本稿ではこのMDMチェックインの基本を解説します。

 

MDMチェックインとは

MDMの運用では、その管理者がいきなり任意のiOS端末を制御できるようになるわけではありません。もし勤務先の情シスが使っているMDMサービスが、いきなり自分の個人端末を遠隔制御し始めたら困りますよね。

当然そんなことができる筈もなく、MDMによる端末管理では最初にまずiOS端末側から「私はあなた(MDM)にコントロールされても構いません」と明示的に宣言する儀式を行う必要があります。


(端末側からMDMサービスに管理(支配)を依頼する。MDMから端末を管理(支配)しにいくわけではないことに注意)

端末側が主体であることに注意して下さい。例えるなら、MDMサービス側に端末の入る箱をまず用意して、端末からその箱に入りに行く感じです。まさにホテルのチェックインですね。

一度チェックインすると端末はMDM支配下に収まり、それ以降はMDMサービスから(つまり管理部門から)遠隔制御、アプリや設定のインストール、各種の情報収集などが行われるようになります。

それでも良いですよ構いませんよと端末から意思表明することがMDM チェックイン(Check in)です。次に紹介するMDMチェックインの手順は、チェックインが端末主体であることをよく示しています。

 

MDMチェックインの具体的手順

弊社でよく使っているBizMobile Goを例にMDMチェックインするまでの手順を紹介します。

(1) まずMDMサービス側で管理対象端末が入る「箱」を作ります(BizMobile Go では「デバイス」という言葉が使われています)

(2) MDMサービスが(1)で作った「箱」にチェックインするためのURLやQRコードを生成してくれます (BizMobile Go に限らず他のサービスも同様です)

(3) チェックインすべき端末で(2)のQRコードをカメラで読み取るか、Mobile Safari でURLを直接開きます。MDMプロファイルなるものが提供されますのでダウンロードします。MDMプロファイルとはMDMチェックインするための特別なデータを含むプロファイルです

(4) MDMプロファイルのダウンロードが終われば、設定アプリを開いて [ファイルがダウンロードされました] をタップしてプロファイルの詳細に「リモート・マネジメント」と表示されていることを確認します。


(右図のように削除ボタンがあることは、この時点で端末側がMDM管理下に入ることを拒否できることを意味する)

(5) 右上の[インストール] をタップすると信頼するかどうかを聞いてきますので[信頼]をタップします。もちろん、心当たりがなければ [信頼] してはいけません。

以上でMDMチェックインは完了となります。どこまでも端末主体であり、MDM側から一方的に管理し始められるものではないことが理解できたと思います。手順(1)(2)はMDMサービス毎に異なりますので、詳細は各サービスのマニュアルを参照して下さい。

ちなみに、手順(3)にあるMDMプロファイルには、MDM payload という特別なデータが含まれていて、これが端末に取り込まれるとMDMチェックインのプロセスが発動するようになっています。MDMチェックインで何が行われているか技術的な興味がある人は、Appleが公開しているMDMプロトコル仕様書の第2章 MDM Check-in Protocol を読むと良いでしょう。


(iOS端末のMDMプロトコルについて詳細を記すAppleの技術文書)

 

MDMチェックアウト

ここまでMDMチェックインについて解説しましたが、逆に、ホテルの「チェックアウト」で退室するようにMDM管理下から逃れる方法はあるのでしょうか。

答えはYESです。

MDMチェックインした端末で、設定アプリを開き [一般]→[デバイス管理] の画面を表示すると以下のような表示になります。

[削除]というボタンがあるのが分かります。これをタップすると最終確認の後にMDM管理下から逃れることができます。以後、MDMは端末を遠隔制御したり情報収集したりすることはできません。

前節で解説した手順でチェックインした場合、必ずこの画面に削除ボタンが表示されます。MDMに管理されるのも、MDMの管理から外れるのも、端末を操作する側の自由であるということですね。

…しかし。これでは意味ないのでは?

管理下から勝手に外れて貰っては管理の意味がありませんよね。そう考える管理者もいるでしょう。運用でカバーする方法もありますが、できれば禁止したい。そんな管理部門の期待に応えるのが DEP(Device Enrollment Program) という機能です。

DEPを使えばMDM管理から外れる行為を禁止することができます。(ついでにチェックインを自動化したり自動で監視モード化することも可能になります)


(DEPによる自動チェックインをした端末での [一般]→[デバイス管理] の画面。削除ができず管理下から逃れられない)

 

以上、MDMの導入準備二大項目の1つ目PUSH証明書の取得&登録に続く、MDMチェックインについて紹介しました。まとめると以下のとおりです。

  • MDMから勝手に任意の端末を管理・コントロールできるわけではない
  • MDMは端末側からチェックインして貰ってはじめてその端末を管理できる
  • MDM管理下にある端末は任意でMDMの管理対象から外れることができる
  • DEP機能を使えば管理対象から外れることを禁止したり自動チェックインができる

最後に言及したDEPは、また別の記事で解説します。本稿ではひとまずMDMチェックインの基本的な振る舞いについて紹介しました。

2021.5.10

カスタムApp(CustomApp)とは何か(10) 〜引き換えコード配布でのアップデートや再インストールについて〜

以前の投稿でカスタムAppにはインストール方法が2つあると紹介しました。

本稿では、後者の引き換えコードでカスタムAppを配布した場合の再インストールやアップデートについて解説します。(ライセンス配布の場合については前回の記事を参照して下さい)

 

引き換えコード配布はAppleIDに紐づく

カスタムAppを引き換えコードとして購入した場合、コードを従業員に配布し、各従業員は受け取ったコードを使ってインストールするのでした。下図中央の配布フローです。


(AppStoreアプリ内で引き換えコードを使ってインストールする)

この引き換えコードで配布した場合、 カスタムAppのアップデートや再インストールはどのように行うのでしょうか。

MDMを介したライセンス連携配布とは異なり、引き換えコード配布されたカスタムAppは必ず従業員のAppleIDに紐づくことになります。従って何か特別な運用になるというよりは、通常のAppStore公開アプリを従業員が勝手にインストールしている時と同じような運用になります。順にみていきましょう。

 

引き換えコード配布したカスタムAppのアップデート

通常のAppStore公開アプリと同じです。

従業員の端末側の設定でAppStoreアプリの自動アップデートがONになっていれば、カスタムAppも自動的にアップデートされます。一方、自動アップデートの設定がされていなければ、従業員が手動でアップデートするまで最新バージョンはインストールされません。


(OFFにしている従業員がいるかも知れないので、カスタムAppのアップデートの周知徹底が必要になる)

カスタムAppは、過去に紹介した通りAppStoreアプリの一種です。また引き換えコードのインストールではAppStoreアプリを使います。非公開アプリであるということ以外に、AppStore公開アプリと異なる点は全くないわけですね。

ですから、アップデートが配信されるかどうかは従業員側に委ねられ、管理部門は一切コントロールできません。カスタムAppを引き換えコード配布で運用する場合は、アプリ内部で「最新バージョンになっていなければアップデートを促す」といった仕組みが必要になるでしょう。

 

引き換えコード配布したカスタムAppの再インストール

削除してしまったアプリは通常AppStoreアプリから検索して再インストールします。が、カスタムAppはAppStoreアプリで検索しても検索結果には現れないのでした。ではどうやってカスタムAppを再インストールするのでしょう?

答えは、AppStoreアプリの購入済みアプリの一覧からとなります。配布済みの引き換えコードを再度使ってもらうのではないことに注意して下さい。引き換えコードは一度使うと再利用できないからです。


(引き換えコードは使い切り。再インストールに未使用コードを提供しても良いが運用が煩雑となり現実的ではない)

購入済みアプリの一覧を見るには、AppStoreアプリを起動して、画面右上のAppleIDアイコンをタップします。


(AppStoreアプリからアカウント画面を表示する。多くのユーザには余り馴染みのない画面)

次に、[購入済み]をタップすると、過去に入手したアプリの一覧が確認できます。


(カスタムAppとAppStore公開アプリとの区別は無い。上図では2つ目のアプリがカスタムApp)

一覧には引き換えコードでインストールしたカスタムAppも含まれていますので、アプリ右端のアイコンタップで再インストールできます。

分かってしまえば何のことはないのですが、事前に知らされていなければ誤ってカスタムAppを削除した従業員は混乱してしまうことでしょう。引き換えコードを使って運用する場合は、アプリの再インストール方法を一緒に案内しておくことをお勧めします。

 

以上、引き換えコードを使ってカスタムAppを配布した場合のアップデートと再インストールについて紹介しました。完全に従業員に委ねることになりますので、管理部門にとって不都合である場合がほとんどです。

従って、業務用アプリは原則的にライセンス連携でMDM経由の配布を行うべきです。MDM経由で配布できない事情がある特別な場合や、MDM経由の配布が不適切なアプリである場合でのみ、引き換えコードを使うのが良いでしょう。

2021.5.3

カスタムApp(CustomApp)とは何か(9) 〜ライセンス連携配布でのアップデートや再インストールについて〜

過去の投稿でカスタムAppには配布方法が2つあると紹介しました。

本稿では前者のライセンス購入でカスタムAppを配布した場合の、アプリの再インストールやアップデートについて解説します。何度か掲載している下図の一番右端の配布フローとなります。

カスタムAppをライセンス購入した場合、アプリの個数情報がMDMに同期されます。MDM側では購入個数を超えない範囲で「どの端末にどのカスタムAppをインストールするか」を設定し、その設定に従ってアプリがインストールされるのでした。

では運用フェーズに入ってから、カスタムAppがアップデートされた時はどんな挙動になるのでしょうか?また、万が一ユーザが端末側でアプリを誤って削除してしまった場合、どうすれば再インストールできるのでしょうか?順にみてみましょう。

 

ライセンス購入配布したカスタムAppのアップデート

MDMの設定によりますが、

  • 自動でアップデートされる
  • 手動でアップデートしてもらう

のどちらかになります。通常の個人利用の端末では、自動 or 手動をユーザが設定アプリで指定しますが、MDM管理下にある業務端末の場合はMDM側でアップデートのポリシーを定めます。


(BizMobileの場合はアプリ毎に自動更新にするかどうかを切り替えられる、自動更新のチェックを入れていなければ手動)

自動にするか手動にするか。これはカスタムAppの種類にもよりますし、同じカスタムAppでもバージョンによってどちらが良いかは変わってきます。よく吟味して設定しましょう。

 

ライセンス購入配布したカスタムAppの再インストール

デバイス側で万が一カスタムAppを削除してしまったらどうなるのでしょうか。答えは、

インストール命令が再び送られ、再インストールされる

です。大半のMDMサービスは、端末をMDMで設定した通りの状態にしようと積極的に働きかけてきます。端末側のアプリ一覧にMDMでインストール指定したアプリがなければ「欠けてるぞ。インストールせよ!」と命令が降ってくるイメージです。そうしないと遠隔管理の意味がないですから当然の動きですね。


(MDMの設定と差分がないか定期的な確認と同期命令が送られる)

よってユーザがカスタムAppを勝手に削除してしまった場合でも心配無用。MDMからの命令により再インストールされることになります。ただし監視モードでない端末では以下のようになる点は留意してください。(参考 : iOSの監視モードとは何か)


(監視モードでない場合は再インストールを強制できない。強制したい場合は監視モードにすること)

MDMがカスタムAppの削除を認識するタイミングや再インストール命令を送ってくるタイミングは、MDMサービスによって異なります。詳しくはMDMベンダーに確認しておくのが良いでしょう。(弊社がよく利用するBizMobileでは毎日深夜2:00頃とされています)

一方ユーザ(従業員)から「間違って削除してしまった…」と連絡があった場合は、その都度MDMから当該端末を「同期」してあげれば数秒後に再インストールされます。

なお当然ながら、自動手動に関わらずアプリ内に含まれていたデータは復旧しませんので注意して下さい。

 

以上、ライセンス購入したカスタムAppのアップデートと再インストールについて解説しました。次回はもうひとつのカスタムApp配布方法である「引き換えコード」を使った場合の、アップデートと再インストールについて解説します。

本サイトはACNメンバーの(株)フィードテイラーが運営するエンタープライズiOS情報サイトです

最近の投稿