2021.1.11

iOS端末が監視モードかどうかを確認する方法

以前の投稿で監視モードにする方法を紹介しました。

本稿では、iOS端末が監視モードになっているかどうかを確認する方法について紹介します。DEP端末の仕組みで監視モードとなっている端末についても同様に確認が可能です。

 

Apple Configurator2 の端末一覧や端末詳細で確認する

最も分かり易いのは、調べたいiOS端末をUSBでMacに接続し、Apple Configurator2を起動してリストビューで端末一覧を表示することです。

監視モードのiOS端末は、監理対象の列が上図の通り「はい」となります。逆に監視モードでない場合は同列が「いいえ」となります。

または、画面上部にある「管理対象」フィルタをONにしても良いでしょう。

監視モード端末だけが表示されるようになりますので、この一覧に残っていれば監視モードです。

なお、端末をダブルクリックして詳細画面を開くと、「組織」という欄で詳細な組織情報を全てみることができます。

(監視モード化する時に割り当てた組織の情報全てを確認できる)

DEP端末の仕組みで監視モードになっている端末でも同様です。DEP端末で表示される組織情報は、Apple Business Manager や Apple School Manager に登録されている組織情報となります。

 

iOS端末の「設定」アプリから確認する

Mac や Apple Configurator2 が使えない場合、iOSの「設定」アプリを使えばiOS単体で監視モードかどうかを確認することができます。設定アプリを起動して画面の一番上を見て下さい。

赤枠で示した表示がある場合、その端末は監視モード化されています。通常の個人利用している端末と比べると明らかに異なりますので、監視モードかどうかは設定アプリを見るだけですぐ分かります。

 
(左が監視モードの端末、右がノーマルの状態)

赤枠部分に表示されている組織名（上図では株式会社テスト）は、Apple Configurator2 で監視モード化した時に指定した組織の組織名です。組織名以外の情報はiOS上では表示されません。それらを確認するには上述の通り Apple Configurator2 で端末の詳細画面を確認するようにして下さい。

 

以上、iOS端末が監視モードかどうかを確認する方法について解説しました。監視モードについては以下の投稿も参考にして下さい。

• iOSの監視モード（Supervised Mode）とは何か
• iOSを監視モードにする方法 〜保存版 : Apple Configurator2編〜

2021.1.4

iOSを監視モードにする方法 〜保存版 : Apple Configurator2編〜

iOSの監視モードでは、管理上都合の良い様々なことができると以前の記事で紹介しました。（参考 : iOSの監視モード（Supervised Mode）とは何か）

では監視モードにする方法は？というと、実は大きく2種類、細かく分類すると全部でなんと5種類もあります。

AppleConfigurator2を使う	Apple Configurator2 上で「準備」する
	cfgutil prepare コマンドをターミナルで実行する
	Automator で「デバイスを準備」アクションを使用する
DEP端末の仕組みを利用する	新規にDEP端末を購入する
	既存のiOS端末をDEP化する

本稿ではこれら5つの方法のうち、MacとiOS端末さえあれば誰にでもできる最も簡単な方法（上記一番上の Apple Configurator2 のUIを使う方法）をご紹介します。他の4種類の方法については、機会があれば別投稿でまた個別に紹介してみようと思います。

 

Apple Configurator2 を使って監視モード化する時の留意点

まず最初に、今回紹介する方法でiOS端末を監視モードにする時に意識しておくべきことをあげておきます。

• (a). 監視モードにするとき端末は必ず初期化される（アプリ・データ・設定等は削除される）
• (b). 監視モードにするときiOSのバージョンはアップデートされない
• (c). 監視モード化はMDMから遠隔で行うことができない

今ある端末の状態のまま監視モードにだけする…ということはできませんので注意して下さい。

また初期導入や運用プロセスを検討する際、(c)は特に注意しましょう。MDMで監視モード端末として管理をしたい場合には、MDMにDEP端末として登録するか、監視モード化してからMDMにチェックインする必要があります。

以上が主な留意点です。それでは、iOS端末を監視モードにする具体的手順を見てきましょう。
 

詳解 : AppleConfigurator2 を使った監視モード化

まず、AppleConfigurator2がインストールされたMacと監視モードにしたいiOS端末(iPhone,iPad,iPod touch)を用意してください。

(1) 対象となるiOS端末をUSBケーブルでMacと繋ぎます

(USB Hubを使えば連続して監視モード化するのも容易)

(2) AppleConfigurator2を起動し、端末一覧から監視対象にしたい端末を選びます。右クリックから [準備] をクリックするか、ツールバーの [準備] アイコン（ギヤボタン）をクリックします。

(3) デバイスを準備というダイアログが現れますので、以下のように指定します。

(「ペアリングを許可」をOFFにすると、監視モード化した端末は本作業実施Mac以外では制御できなくなる)

(4) MDMに登録するかどうかを聞いてきますので、ここでは「MDMに登録しない」のまま[次へ]をクリックします。

(5) 割り当てる組織を選びます。

監視モード化における「組織」とは何でしょうか。

監視モードの端末は、特定組織が保有する端末であることを前提としています。監視モードでできることを考えれば当然ですね。監視モードのiOSでは、どの組織の端末かを示す情報が保持されるようになっており、この画面ではその組織情報を選択または新規登録します。

もし本作業を行うMacが過去に別の端末を監視モード化をしたことがある場合、すでに組織情報が登録されている筈ですのでリストボックスから選択して「次へ」をクリックし手順(9)に進みます。

監視モード化の作業が初めてのMacでは新規組織を選択して「次へ」をクリックします。

(6) 新規組織を選択した場合、AppleIDでのログインが求められます。ASM(Apple School Manager)やABM(Apple Business Manager)のアカウントがない場合は「スキップ」をクリックします。

ABM(Apple Business Manager)のアカウントがある場合は、ABM利用申請時に登録した組織情報をそのまま取り込むことができますので、管理上の観点からここでログインするのがお勧めです。ここでログインに成功すると手順(8)に移ります。

(ABMについては「ABM(Apple Business Manager)とは何かを参照)

(7) 手順6でスキップした場合は、新規組織作成ダイアログが現れますので「名前」を入力します。

(名前のみが必須項目。iOS端末上では監視モード時の組織情報のうち名前しか表示されないので他は余り重要ではない)

(8) 管理識別情報を求められますので、前任の担当者や端末納品SIerから指定がない限りは前者の「新しい監理識別情報を生成」を選択して「次へ」をクリックします。

(9) 監視モードではiOS初期設定時の各種画面をスキップできます。ここではスキップしたい画面のチェックボックスをOFFにして「準備」をクリックします。

(スキップした設定は基本的にデフォルト値となる)

(10) 端末の状態によっては以下の警告が表示されます。アプリやデータは全て削除されますので、本当に監視モード化したい端末かどうかを確認して「消去」をクリックします。

(一度でもHOME画面まで進めたことのある端末の場合この警告が表示される。つまり大半の端末で表示される)

(11) 監視モード化のプログレスバーの表示を待ちます。1台あたり所要時間は2,3分程度です。

(Apple Configurator2 上の一覧から該当端末はいったん消える)

(12) 端末が再起動され、監視モード端末として Apple Configurator2 の一覧に表示されます。

以上でiOS端末を監視モード化する作業は終了です。iPhone, iPod touch, iPad のどれであっても手順は同様です。

 

監視モード化の作業を間違ってしまった場合

万が一、作業を間違った（違う組織を割り当ててしまった、アシスタント画面の設定を誤った…など）場合、もう一度手順1からやり直します。監視モード化した端末を連続で監視モード化しても大丈夫です。納得いくまで何度でもやり直しましょう。

ただ、間違っても「復元」だけはしないようにして下さい。「監視モードにしてしまったけど、やっぱり監視モードを解除したい」という場合にやりがちなミスオペレーションです。

Apple Configurator2 から「復元」すると、iOSが最新版にアップデートされてしまいます。状況によっては致命的なことになりますので十分に注意して下さい。（監視モードにしたかっただけなのに旧バージョン端末を喪失してしまうという惨事に…）

監視モードだけを解除するには、iOS端末側で初期化する必要があります。「設定」アプリを起動して、[一般]→[リセット]→[すべてのコンテンツと設定を消去] をタップします。

初期化＆再起動後、監視モードではない端末として Apple Configurator2 の一覧に現れます。

 

以上、Apple Configurator2 を使った監視モード化について解説しました。監視モードの詳細については iOSの監視モード（Supervised Mode）とは何か をご覧ください。また Apple Configurator2 については Apple Configurator2 とは を参考にして頂くと良いかと思います。

2020.11.23

iOSの監視モード（Supervised Mode）とは何か

iOSには大きく2つの動作モードがあります。1つは普段から使用している通常モード、もう1つは各種制限をかけられる監視モード(Supervised Mode)です。

(iOSDC Japan 2020 での講演スライドより)

監視モードとは、iOSの標準機能の多くに制限をかけたり特別な振る舞いをさせることができる特別なモードのこと。企業でのiOS利用を想定してAppleが用意してくれているもので、Apple Confirugrator2 を使うなど複数の方法で有効にすることができます。

監視モードでは、標準アプリを非表示にしたり、逆にアプリを削除できなくしたり、管理部門にとっては非常に都合がいいことが多いため、昨今では企業が調達して配布・配備するiOS端末は、監視モードにするのが当たり前になってきています。

(提案力UPに繋がるので、SIerやアプリ開発会社も監視モードを理解していることが推奨される)

監視モードについて知ってるか知らないかは、エンドユーザ企業では運用のし易さ、アプリ開発会社では提案の優劣に影響します。そこで本稿では、監視モードで何ができるようになるのか？について以下3点を解説します。

• (A) サイレントインストールが行えるようになる [インストールの強化]
• (B) 構成プロファイルの「管理対象のみ」の設定項目を使用できるようになる [設定の強化]
• (C) MDMやApple Configurator2 から特別な命令(コマンド)を送れるようになる [制御の強化]

本稿を読むことで、監視モードとは何かをイメージして頂けるようになると思います。(監視モードにする具体的な方法は別記事で投稿します)

 

(A) サイレントインストールが行えるようになる (インストールの強化)

監視モードでは、アプリや構成プロファイルのインストール時の振る舞いが少し変わります。具体的には、

• (1) MDMを使ったアプリのインストール
• (2) Apple Configuartor2 を使った構成プロファイルのインストール

この2つのインストールの際に、デバイス側の確認が不要となりインストールを強制できるようになります。順に見ていきましょう。

(1) MDMでのアプリインストール

通常、MDMからアプリがインストールされる時には以下のようなダイアログが表示されます。

(デバイス利用者がインストールに「同意」する必要がある。誤ってキャンセルを押してしまう可能性も…)

上図ではMDMからGmailアプリがインストールされようとしていますね。ただ、端末利用者が「キャンセル」を押せばアプリは当然インストールされません。一度キャンセルされてしまうと、MDMからの定期的な同期命令が届くのを待つか、手動でMDM上から命令を送るかしないとアプリをインストールさせられません。

いずれにしてもインストールするかしないかをユーザに委ねている状態ですから、台数が2桁/3桁/4桁と増えていくほどインストールの徹底が困難になることは容易に想像がつくでしょう。

MDMでアプリの配布は確かに楽になるのですが、インストールを強制させられるわけではないのです。

しかし監視モードでは、この確認ダイアログが表示されません。MDMからインストール命令が届いた途端、強制的にアプリがインストールされます。

(問答無用にインストールされる。翌朝起きるとアプリが勝手に増えているなんてことも可能)

これをアプリのサイレントインストールと言います。MDMでの設定さえ正しく行えば管理者の意図した通りにアプリインストールを徹底できるのですから、監視モードを使わない手はないでしょう。

(2) Apple Configurator2 での構成プロファイルインストール

Apple Configurator2 を使って構成プロファイルをインストールする場合、以前の記事(構成プロファイルの作成とインストールの基礎 〜Apple Configurator2を使う方法〜)で紹介した通り、端末側での操作が必要になるのでした。

(端末ユーザ側のオペレーションを必要とする)

しかし監視モード端末では、これも強制できます。

いちいちデバイス側で操作をしなくても、Apple Configurator2 から構成プロファイルがインストールされたら即設定が適用されます。(ちなみに、MDM経由のプロファイルインストールではデバイス側の確認はそもそも不要)

これを構成プロファイルのサイレントインストールと言います。

実際のところ Apple Configurator2 をメインツールにして管理運用するケースは限られますが、それでも検証やトラブル対応時に使うことはままあります。そんな時に作業効率UPに繋がるのは嬉しい仕様と言えるでしょう。

 

(B) 構成プロファイルの「監理対象のみ」の設定が使えるようになる (設定の強化)

次に制限の強化を見てみましょう。

監視モードでは、Apple Configurator2のプロファイルエディタで「監理対象のみ」と書かれた特別な設定、また構成プロファイル仕様書に supervised only と書かれた設定が使えるようになります。

(監理対象のみの項目は意外に多い。監視モードでなければ得られる恩恵は半減するということでもある)

監視モードで有効な設定には、例えば以下のようなものがあります。

• Single App Mode (単一アプリ制限モード)
• iOS アップデートの抑制
• WiFi接続先アクセスポイントの制限
• 標準アプリを非表示にする
• Appを削除できないようにする
• iOS を勝手に初期化できないようにする

魅力的な制限が並びますね。全て監視モードでなければ使えません。冒頭で「監視モードを知っているかどうかが提案の優劣に繋がる」と書いた意味がお分かり頂けるかと思います。

監視モードで制限できることの一覧は、以下のようにAppleが公開していますので見てみると良いでしょう。(iPhoneおよびiPadデバイスの監理対象の制限)

(監視モードでのみ制限できることが驚くほど多いことが分かる)

また、構成プロファイル仕様書を supervised というキーワードで検索して眺めてみるのもオススメです。

(Appleが公式に公開している仕様書なので、各設定のより詳細な情報を得ることができる)

一点念頭に置いておきたいのは「監理対象のみ」の項目は年々増えているという点です。

毎年iOSアップデートと共に設定項目が追加されますが、最近はほぼ追加される項目が「監理対象のみ」になっています。また、従来監視モードでなくても有効だった設定項目が「監理対象のみ」に格上げされるケースも多く見られます。

これは「業務用のiOSデバイスは極力監視モードで配備すべきである」というAppleからのメッセージであると捉えるのが順当でしょう。

 

(C) MDMや Apple Configurator2 から特別な命令を送れるようになる (制御の強化)

監視モードの端末では、通常モードではできない特別な制御も可能になります。例えば以下のようなことです。

• (1) 再起動
• (2) 管理対象紛失モード化

具体的にどのようなことか、以下順に見てみましょう。

(1) 再起動

監視モードの端末には再起動の命令を送ることができます。監視モードでない端末には送れません。

(MDMのBizMobileから遠隔再起動をしようとする様子。監視モードでない端末ではメニューに再起動が存在しない)

また、Apple Configurator2 からも再起動コマンドを送ることができます。

:
(監視モードになっていない端末でも再起動のメニューをクリックはできるが、再起動はしない)

ただ実際の運用では、再起動を使う機会は余り無いかも知れません。しいてあげれば Single App Mode の端末を初期状態に戻す時ぐらいでしょうか。ですが、監視モードの端末に再起動命令が送れることは覚えておいて損はないでしょう。

(2) 管理対象紛失モード化

実はiOSには管理対象紛失モードというさらに特別なモードが用意されています。監視モードの端末だけが、MDMから命令をうけてこのモードに切り替わることができます。名前の通り、端末を紛失した時に使います。

従来、端末を紛失した場合、遠隔で工場出荷時に初期化(リモートワイプ)するのが一般的な運用でした。ただこの運用では、紛失が勘違いだったとか、すぐ見つかったといった場合に「端末が見つかったは良いけど初期化された後だった」ということになってしまう可能性があったのです。

この課題を解決するのが管理対象紛失モード。MDMから命令を送ると以下のような画面になります。

(管理対象紛失モードに切り替わった端末の画面)

一度このモードに変わったが最後、以降はいかなる操作も受け付けられません。端末が見つかって利用者本人の手に戻ったら、管理者がMDMからモード解除してあげることで以下のような画面になり、再び使えるようになります。

(続けるをタップすると管理対象紛失モード化される直前の状態に戻る。もちろん監視モードのまま)

管理対象紛失モードはセキュリティと利便性を絶妙にバランスさせた機能といえます。

2つの例を紹介しましたが、このように監視モードでしか送れない特別なコマンドがあります。興味ある方は MDM Protocol reference の PDF を supervised で検索してみると良いでしょう。

 

まとめ

本稿では、監視モードとは何かについて解説しました。大きくは以下3つのことができるようになるiOSの特別なモードということでした。

• (A) サイレントインストールが行えるようになる [インストールの強化]
• (B) 構成プロファイルの「管理対象のみ」の設定項目を使用できるようになる [設定の強化]
• (C) MDMやApple Configurator2 から特別な命令(コマンド)を送れるようになる [制御の強化]

管理者にとって非常に都合の良い機能だということがご理解頂けたと思います。監視モードにする方法や、監視モードに関連する機能や制限の詳細は、別投稿でまた改めてご紹介しようと思います。