(Apple at Work のサイトでは管理端末として MacBook が映っていることが多い)

ということで本稿では、業務でiOS端末を導入することになった場合の管理業務用Macのお勧めチョイスと、その購入方法について紹介します。以下目次です。

• 全てのMacがiOS端末管理用途に十分すぎるスペック
• 価格と使い方で選ぶと選択肢は2つに絞り込める
• 中古のMacではダメなのか？
• Macを買わないという選択肢はあるのか？
• Macはどこで購入すべきか？

順に見ていきましょう。

全てのMacがiOS端末管理用途に十分すぎるスペック

ものすごく乱暴に書くと、2023年3月時点で Apple が公式に販売している Mac であればどんな Mac でも構いません。Mac のラインナップには、

• Mac Pro
• Mac Studio
• MacBook Pro
• MacBook Air
• Mac mini

等がありますが、いずれも端末管理の用途としては十分すぎるスペックを持っています。本サイトをご覧頂くと分かりますが、iOS端末管理用途で必要なことは、

1. MDMの操作
2. Apple Configurator の操作
3. 独自業務用アプリのビルドや再署名 (極めて稀)

ぐらいで、いずれを行うにもスペックが不足することはまずないからです。従って、スペックの心配はさておいて、価格と使い方の両軸で選択すると良いでしょう。

価格と使い方で選ぶと選択肢は2つに絞り込める

使い方とは、iOS端末管理の業務をどのように行うか…です。管理業務においてiOS端末とどのように向き合うことになるのかで選ぶべきMacが異なります。

また、前節で「今売ってるものならどんな Mac でも構いません」と書いた通りどれでも良いわけですから、価格が安いほうが良いにきまってます。というわけで、買うべき Mac は以下2通りに絞り込むことができます。

MacPro, Mac Studio, MacBook Pro は、驚くほど高額でかつ、iOS端末管理業務に使うにはオーバースペックにも程があるという水準なので、通常は選択肢には入りません。

それぞれの最低モデルの価格(税込)は2023年3月時点で以下の通りとなっています。

Apple 製CPU (Apple Silicon) の世代を選択できるようになっていますが、2023年春時点で最新のCPU(M2)にする必要はありません。Apple Silicon であるという時点で一世代前のM1であっても管理業務には超高スペックです。

(MacBook Air の購入でM1かM2かを選ぶ画面。M1でも十分高性能)

CPUを決めると次にメモリ/SSDの容量で選択肢が現れますが、いずれも変更不要です。デフォルトの最小スペックで十分です。

(いわゆるBTOができるが基本的には不要)

メモリを増設しないと Apple Configurator が快適に動作しない…なんてことはありませんので、安心して最低スペックのものを選んで下さい。また冒頭で書いた「3. 独自業務用アプリのビルドや再署名」の少し開発よりっぽい作業が必要な場合であっても十分です。

なお、価格優先で後者の Mac mini にする場合、いわゆるデスクトップ型なので、モニター・キーボード・マウスorトラックパッド等の周辺機器が必要になります。予備が社内にあるなら、それを使えば初期コストを安くできます。

(Mac mini は本体のみ。入出力装置は全て別途揃える必要がある)

iOS端末を導入後に、どのような管理業務体制となるかを考えて、ノート型にするかデスクトップ型にするかを決めましょう。BESTチョイスをあげてくれと言われれば、個人的にはノート型で最安価の M1 MacBook Air (¥134,800) です。

中古のMacではダメなのか？

ダメ…ではありませんが、オススメはしません。

Apple は Microsoft と違い、容赦なく旧ハードウェア・旧OSを切り捨てていく企業です。対応の遅い企業に配慮して InternetExplorer のサポート期間を何度も延命した Microsoft とは、根本的に思想が違う事を十分認識しておく必要があります。

Apple は古いものを使い続けることをよしとせず極力最新のものを使うことを要求します。公私ともに約20年Apple製品を使い続けている筆者の感覚的には、OSは2,3世代前まで、ハードウェアは5,6世代前までがサポート範囲です。

(2023年3月時点で最新のmacOSのサポート対象一覧。5,6年程度までがサポート範囲)

MicroSoft のほうが法人に優しい、Appleは厳しい…ということではありません。Apple が古いものを切り捨てるのはセキュリティの為です。購入したMacを長く使えるように、またセキュリティのために、管理業務用Macはなるべく新規に購入することをお勧めします。

中古Macを購入した場合には、以下のような困った事態になる可能性が高いことも覚えておくと良いでしょう。

• しばらくは中古Macで管理業務ができる
• ある年から新しいmacOSにアップデートできなくなる (最新OSの対象ハードウェアから除外される)
• 結果、新しいmacOSに対応した Apple Configuratorを使えない (Apple Configurator も古いOSを除外する)
• 結果、新しいiOS端末を適切に管理できなくなる (欲しい設定を含む構成プロファイルを作れない等)

数年前のモデルを中古で購入すれば、この状況に陥る年月が早く到来するということです。その点も考慮して本当に中古にするか検討して下さい。もし、導入しようとするiOS端末が2,3年の有期限的な用途だといった事情があるなら管理業務用Macは中古でも十分でしょう。

Macを買わないという選択肢はあるのか？

MDMでほぼ全ての管理業務を行うことができますので、Macを買わないという選択肢を完全には否定しません。有りといえば有りでしょう。

(ぶっちゃけMDMだけで管理業務はできる)

ただ Macを社内に置かないということは、管理業務でApple Configurator を使わないことを意味しますので、以下のような不自由を強いられることになります。

• 端末に流し込む構成プロファイルを作成しにくい
• 端末を監視モードに変更しにくい
• 端末をDEP(ADE)端末に変更しにくい

特に、後ろ2つの監視モードとDEP(ADE)は昨今の業務用端末では MUST な設定ですので、正直 Apple Configurator を全く使わない運用は厳しいものがあると考えます。以下も参考にして下さい。

• iOSの監視モードとは何か (Supervised Mode)
• DEP(Device Enrollment Program)とは何か
• SDE, ADP, DEP, ABM, ADE…名称がコロコロ変わる端末登録の歴史

有事の際のサポートスピードや、柔軟な対応ができるかどうかに影響を与えますので、Mac無しでのiOS端末管理業務は余りお勧めしません。円滑な管理業務はメーカ標準・メーカ推奨で揃えてこそです。また、Apple Configurator に触れることで、管理業務スキルが身につくという一面も忘れてはなりません。

結論はこうです。

iOS端末管理業務に十分精通している人が「ウチならMDMだけで十分だ」と判断できる場合を除き、iOS端末導入で初めてApple製品を導入する企業は、管理業務用のMacを必ず購入すべきです。

Macはどこで購入すべきか？

色々と選択肢が考えられますが、自社に都合の良いスタイルを選ぶと良いでしょう。以下に主だった選択肢を列挙します。

• (A) 家電量販店で購入する
• (B) Apple Store Online で購入する
• (C) Apple Store (リアル店舗) で購入する
• (D) Apple正規販売代理店(Apple VAR) に発注する
• (E) 自社専用の Apple Store Online を用意して貰って購入する

会社のルール上、現金やカード決済が難しく、買掛けの請求書払いしかできないなら (D) か (E) です。もしこちらのページに普段IT関連機器調達先としている企業があるなら、そこに依頼するのが一番手っ取り早いでしょう。

Apple と直接やりとりがしたい場合は (B) か (C) か (E) です。(C) のリアル店舗なら、各店舗に法人部門の方がいますので、店内スタッフの方に法人として購入したい旨を伝えると対応してくれます。場合によっては (E) を用意してくれたりもしますので尋ねてみると良いでしょう。ちなみに弊社は (E) です。

(弊社専用に用意して貰った Apple Store Online。ヘッダ部分に「for FEEDTAILOR INC.」と弊社名が明記されている)

また、購入ではなくリースという手段もあります。

が、一般のリース会社からのMac調達は需要と供給のバランスから高額過ぎるため推奨されません。唯一オススメできるのは、Apple Financial Service の利用です。車の残価設定付きリースのApple製品版と言えるサービスですね。

(再販価値の高いApple製品だからこそできる残価設定付きリース)

条件が厳し目ですが、国内であれば Too さんが窓口になりますのでこちらを参考に問い合わせてみると良いでしょう。

以上、管理業務用のお勧めMacについての紹介でした。iOS端末を初めて業務に導入する場合は、Macの同時購入が強く推奨されます。参考にして頂ければと思います。

(MACアドレスはiOSではWi-Fiアドレスと表記される。EC:CE:D7はAppleに割り当てられたベンダーID)

しかし、iOS14以降のiOS端末はMACアドレス制限のかかった無線ネットワークとの相性が非常に悪く、ハマりポイントがあるので注意が必要です。本稿では、iOS14以降のiOS端末をMACアドレス制限有りのネットワーク下で使用する場合の注意点と対策方法をご紹介します。

iOS14以降でハマるプライベートWiFiアドレス

iOS14以降から、プライベートWiFiアドレスなる機能が搭載されました。iOS端末のMACアドレスを隠蔽するためのもので、デフォルトではONになっています。

 → 
(接続中WiFi名の右端 (i) ボタンから詳細情報画面で確認できる)

iOS14以降のiOS端末では、接続される側(ネットワーク機器)から見た場合の端末MACアドレスが真のMACアドレスではなくなっているということですね。デフォルトでこの挙動になります。

MACアドレス制限は通常、端末側のMACアドレスが変わらない前提で「MACアドレスが XX:XX:XX:XX:XX:XX なら接続を許可します」と設定するものです。真のMACアドレスでないのなら、条件が満たされず接続できなくなってしまうことは容易に想像がつきます。

  
(真のMACアドレス(左)と、接続先のネットワーク機器に伝わるMACアドレス(右)の違い。全く異なることが分かる)

結果、プライベートWiFiアドレスの存在を知らずにiOS13以前からiOS14以降にアップデートすると、WiFiが繋がらなくなったというトラブル報告が大量発生してしまうことになります。

MACアドレスのランダム化を無効にするために

もしMACアドレス制限付きのネットワークを構成していて、iOS14以降を使用するのなら、トラブルを避けるためプライベートWiFiアドレス機能を無効にしなければなりません。無効化には以下が必要となります。

• 監視モード端末であること
• 構成プロファイルを流し込むこと

DEP(ADE)端末であれば後者の構成プロファイルのみを意識すれば良いでしょう。そうでない場合はiOS端末を Apple Configurator で明示的に監視モード化する必要があります。詳しくは以下をご覧下さい

• iOSを監視モードにする方法 〜保存版 : Apple Configurator2編〜
• iOSの監視モードとは何か

実は、プライベートWiFiアドレス機能の無効化に監視モードは必須ではありません。しかし、厳密な運用をする為には必要となります。この点は後述します。ひとまずやり方を先に確認しておきましょう。

MACアドレスのランダム化を無効にする方法

手順はいたって簡単で、構成プロファイルの中で無効化を明示するのみです。端末全体に対して設定するのではなくWiFi接続先情報ごとに指定するという点に注意して下さい。

Apple Configurator の構成プロファイルエディタでは、各WiFi接続情報の中にある「関連付けを回避するためのMACランダム化を無効にする」のチェックが該当します。これをONにして保存します。

構成プロファイルのXMLを直接編集している場合は、WiFi接続情報のXMLの中に以下のように DisableAssociationMACRandomization キーに true を指定しましょう。

作成した構成プロファイルを Apple Configurator か MDM を使って流し込むと設定が反映されます。構成プロファイルをMDM上で編集する場合は、各MDMサービスのマニュアルを参照して下さい。

構成プロファイルを流し込んだ後、端末の設定アプリからWiFi接続情報の詳細画面を開くと、本当に無効になっているかどうか確認することができます。

  
(スイッチのON/OFFだけでなく、WiFi一覧でも、接続詳細画面の最上部にも警告が表示される)

MACアドレスがランダム化されたものかどうかを確認する方法

実は、iOS側の設定を見なくても、例えばWiFiアクセスポイント機器の接続端末一覧などの画面で、MACアドレスがランダム化された端末かどうかを(ほぼ確からしく)見分ける方法があります。

MACアドレスは48ビット(6バイト)で構成されますが、ランダム化されたMACアドレスの場合、その最初の1バイト(図中の赤色部分)中の0ビット目(I/Gビット)と1ビット目(G/Lビット)の並びが下図のとおり 10 となります。

従ってMACアドレス表記の2文字目が 2,6,A,E のいずれか(16進数表記で0,1ビット目が10となる)であれば、接続されているiOS端末はプライベートWiFiアドレス機能が有効になっている可能性が高いということです。

(あるアクセスポイントの接続ログ一部。2文字目がA,Eなのでランダム化されたものと思われる)

本件I/GビットとG/Lビットとランダム化ついては、標準化団体IETFに Internet-Draft (草稿文書) として提出されている文書にも記載がありますので、興味のある方は確認されると良いでしょう。

(2022年7月時点のステータスは WG Document)

ちなみにこのランダム化、実はiOS8(iPhone5の時代)から採用されています。ユーザが意図せず位置情報をトラッキングされてしまうことを避けるため、WiFi接続確立前のプローブ要求(Probe Request)に限って長らく使われてきた仕掛けです。

iOS14のプライベートWiFiアドレス機能はその延長線上にあるもので、接続確立前だけでなく接続確立後のMACアドレスも隠すようになったものです。詳しくは以下の資料を参照して下さい。iOS端末の運用だけでなく、ネットワーク管理もされている情シス担当者の方は一読されると良いでしょう。

• MAC認証や位置情報が使えなくなる!?Private MACアドレス説明と影響について(CISCO日本法人)
• Wi-Fiのプライバシー(Apple公式ドキュメント)

昨今のAppleは個人情報を守る姿勢を強めています。プライベートWiFiアドレス機能はその姿勢強化を裏付ける機能と言えるでしょう。

MACアドレスのランダム化の無効に監視モードが必要なわけ

ところで、前述のMACアドレスのランダム化を無効にするためにの項で、監視モードは必須ではないと書きました。実際その通りで、構成プロファイルさえ流し込めば、監視モードかどうかに関わらずプライベートWiFiアドレス機能は無効になります。

が、監視モードでない場合、流し込んだ直後は無効化されるもののユーザが手動で有効化できてしまう点に注意が必要です。

 → 
(監視モードでない場合、簡単にランダム化の無効化を解除されてしまう)

これでは余り意味がありませんね。監視モードの端末であれば、上記のような手動有効化ができず、画面上でも下図の赤枠のように注意書きが表示されるようになります。

(プライベートWi-Fiアドレスのスイッチをタップしても反応しない。つまりユーザが勝手に無効化を解除することはできない)

業務端末としてiOS端末を配布する場合、この画面の存在すら知らない従業員が大半でしょうから、監視モードでなくても別に構わない…という割り切りもアリでしょう。従って、各社ごとプロジェクトごとに諸事情を勘案し総合的に判断することとなります。

以上、MACアドレス制限のかかったネットワークでiOS端末を使用する場合に注意すべきことについて解説しました。

セキュリティの観点からフリーWiFiに繋げさせたくない場合もあれば、施設設置型のキオスク端末用途で特定のWiFiに繋がってないとアプリが機能しないといった場合もあるでしょう。(施設ローカルネットワークにコンテンツサーバがある等)

(WiFi接続制限は業務用端末ならではの機能の一つ)

そこで本稿では、指定のWiFi以外に接続を許可しない方法について解説します。

動作紹介

接続先WiFiを制限された端末では、設定アプリでの表示が以下のようになります。

 → 
(通常は左側。右側が制限された端末)

通常ならネットワークの欄に接続先候補が現れますが、制限された端末では待てども待てども表示されません。オープンなSSIDが表示されないのはもちろん、制限を有効にする前に手動で接続したことのあるSSIDも表示されません。

管理部門が許したWiFiにのみ接続できる状態になるわけです。MDM管理下から逃れる以外に、この制約から逃れるすべはありません。MDMに自動チェックインするDEP(ADE)端末なら、端末側からMDM管理下を抜け出すことは不可能ですので、セキュリティ的にかなり安心ですね。

前提条件

条件は2つです。

• 端末が監視モードであること
• WiFiのSSID接続情報を構成プロファイルでインストールすること

監視モード端末に対して、WiFiの接続情報と一緒に制限設定も流し込みます。接続対象とするWiFiは1つに絞る必要はありません。複数個あってもokです。

監視モードや構成プロファイルについては、書くと長くなりますので以下投稿をご覧下さい。

• 監視モードとは何か
• 監視モードにする方法
• 構成プロファイルとは

設定方法

構成プロファイルを作成して監視モードの端末に流し込む必要があります。本稿では Apple Configurator を使って作成する方法で解説しますが、他のツールやMDMに備わっている作成支援機能を使っても良いでしょう。

(1) まず端末を監視モードにします。詳しくは監視モードにする方法やDEPとは何かの投稿をご覧下さい。既に対象端末が監視モードなら不要です。

(2) WiFi の接続情報を含む構成プロファイルを作成します。Apple Configurator の WiFi のカテゴリで [+] をクリックして必要情報を入力します。自動接続させたい場合は「自動接続」のチェックをONにします。

(接続情報を複数個指定しても良い。個数制限はない)

(3) (2)とは別に新たな構成プロファイルを作成し、制限のカテゴリで「Wi-FiペイロードによってインストールされたWi-Fiネットワークのみに接続」のチェックをONにします

(デフォルトはOFF)

(4) (2)で作成した構成プロファイル(WiFi接続情報)と、(3)で作成した構成プロファイル(接続先制限) の両プロファイルを Apple Configurator か MDM を使って端末に流し込みます。

(5) 設定アプリのWiFiから、流し込んだWiFi以外が一覧から見えなくなっていることを確認します。

(制限の構成プロファイルが流し込まれ反映されると、直前まで接続されていたWiFiは一度切断される)

以上です。必要な構成プロファイルを用意して流し込むだけなので簡単ですね。(5)でもし他のSSIDが見えてしまう場合、端末が恐らく監視モードになっていません。iOS端末が監視モードかどうかを確認する方法を参考にしてチェックして下さい。

構成プロファイルを2つに分ける理由

ところで、上記の設定方法の (2) (3) で、WiFi接続用と接続制限用の構成プロファイルを別々に作りました。しかし、構成プロファイルには幾らでも設定を内包できますので、2つに分けず1つの構成ファイルにまとめることも可能です。

(1つの構成プロファイルに両者を一緒に含めた例)

ですが、構成プロファイルはなるべく細かい粒度で分けるのが推奨されます。柔軟なオペレーションができるからです。例えば上記(2)(3)のように、WiFi接続情報と、WiFi接続制限を別々の構成プロファイルに分けておくことで、以下のような運用が行えます。

• WiFi接続情報(2)のみ流し込んで端末の接続確認とサーバとの疎通確認
• もし繋がらなければ他の接続可能なWiFiに切り替えてトラブルシュート
• 問題解決してからWiFi接続制限(3)を流し込む

1つにまとめてしまうと、こうはいきません。

筆者は様々な構成プロファイルを作成・変更・削除を運用御支援で体験してきましたが、構成プロファイルを肥大化させることが運用時のメリットになったことは一度もありません。なるべく粒度は細かくして、構成プロファイルは小さくするようにしましょう。

まとめ

本稿では、特定のWiFiにしか接続できないようにする方法について解説しました。

• 監視モードにする
• WiFi接続情報とWiFi制限の構成プロファイルを流し込む

の2つが条件であることと、構成プロファイルの具体的な作成方法をご紹介しました。通信の秘匿性が必要なシーンで導入を検討されると良いでしょう。

通常、アプリのインストールにはAppleIDが必須ですが、業務用として設定された端末の場合は AppleID が無くてもアプリのインストールが可能だから…というのが大きな理由です。また、iCloud バックアップや「探す」機能など、AppleIDに紐づく機能の多くは代替する仕組みがあったり、むしろそんな機能は使わせたくない…となることも多いからです。

ただ、不要だからといって AppleID 未設定のまま端末を配布してしまうべきではありません。

(業務用端末に個人のAppleIDを入れられてしまうと…?)

従業員が個人AppleIDを入れることで情報が同期され、業務用端末に余計なアプリがインストールされてしまったり、逆に業務用の情報が個人端末に転送されて情報漏えいに繋がりかねません。端末を顧客や取引先に一時貸与するような場面では、返却後に端末初期化が難しくなったりします。

こういったことを避ける唯一の方法は、AppleiD を設定できないようにすることです。本稿ではその方法をご紹介します。

前提条件

業務用の制限機能の多くと同様に、端末は監視モード(Supervised Mode)でなければなりません。監視モードについてはiOSの監視モードとは何かをご覧下さい。

(iOSには2つのモードがある)

監視モードにするには、Apple Configurator2 から「準備」をするか、DEP(ADE)端末を購入してMDMに自動チェックインさせるか、2つの方法があります。それぞれの具体的方法は以下投稿を参考にして下さい。

• iOSを監視モードにする方法 〜保存版 : Apple Configurator2編〜
• DEP(Device Enrollment Program)とは何か

監視モードにできない端末の場合、AppleIDの無効化はできません。なお MDM へのチェックインは必須ではありません。

設定方法

(1) 監視モード化された端末を用意します。

(2) 次に構成プロファイルを作成します。Apple Configurator2 の構成プロファイルをエディタを使っても良いですし、MDMが備える作成画面を使ってもいいでしょう。「制限」のカテゴリにあるアカウント設定の変更を許可の項目をOFFにして保存します。

もし構成プロファイルを手動で作成する場合は、以下のように PayloadContent 内に allowAccountModification を false とする設定値をXML(plist)内に含めて下さい。

<key>PayloadContent</key>
<array>
    <dict>
...(略)...
        <key>allowAccountModification</key>
        <false/>
...(略)...
    </dict>
</array>

(3) 作成した構成プロファイルを端末に流し込みます。Apple Configruator2 を使う場合は構成プロファイルの作成とインストールの基礎 〜Apple Configurator2を使う方法〜をご覧下さい。MDMの場合は使用するMDMのマニュアルを参照して下さい。

(4) 流し込み完了後、設定が適用され以下のようにAppleIDが入力できないようになります。

 → 
(違いがほとんどなく分かりにくいが、適用後(右側)はAppleIDを入力する行がグレーアウトしタップできなくなる)

手順は以上となります。もしうまくいかない場合は、端末が監視モードかどうか確認しましょう。監視モードかどうか確認するにはiOS端末が監視モードかどうかを確認する方法の投稿を参考にして下さい。

本稿では、AppleIDの入力を無効にする方法について紹介しました。業務用として従業員に配布する端末や、施設に設置して使用するキオスク端末用途では特に有用です。よからぬトラブルを避けるため、AppleID が不要ならあらかじめ無効にしておきましょう。

構成プロファイルを作成していると、iOS標準アプリを全部列挙することに結構難儀します。

工場出荷時状態の端末が手元にあればすぐ分かりますが、そうそうあるものではありません。またiOSのアップデートで標準アプリは増えたり減ったりもしますので、それを調べるのも面倒です。

こう書いた通り実際には結構面倒な作業です。

(1つ1つ登録するのが手間)

「全部アプリを消すがこれだけは表示する」という設定がでれば良いのですが、残念ながらそのような気の利いた仕様になっていません。標準アプリを全部列挙する必要があります。

その面倒臭さを解消するため、iOS標準アプリを全消しする構成プロファイル iOS15対応版を公開することにしました。最初からiOS標準アプリがすべて列挙されている、標準アプリ削除用の構成プロファイルとなります。以下よりダウンロードして下さい。

前提条件

以前の投稿にも書きましたが、標準アプリ削除を行えるのは監視モードの端末です。ダウンロードした構成プロファイルをインストールする端末は、以下のどちらかでなければなりません。

• Apple Configurator2 で監視モードにした端末
• DEP(またはADE)端末として購入しMDMに自動チェックインさせた端末

上記から分かる通り、一般個人ユーザの端末では使用できません。監視モードかどうかを調べるには、iOS端末が監視モードかどうかを確認する方法を参照して下さい。

iOS標準アプリ全消し構成プロファイルの使い方

インストール前に、ダウンロードした構成プロファイルに手を加える必要があります。

(1) 標準アプリ削除用の構成プロファイルをダウンロードする

(2) テキストエディタで開いて以下の通りダミー値を置き換える

(3) 構成プロファイルを端末にインストールする(MDMまたはApple Configurator2を使う)

手順としては以上となります。構成プロファイルをインストールする方法は幾つかありますので、以下を参考に最適なものを選んで下さい。インストールさえできればどんな手段でも構いません。

• 構成プロファイルの作成とインストールの基礎 〜Apple Configurator2を使う方法〜
• 構成プロファイルのインストール方法 〜Apple Configurator2 を使わない方法〜

インストール直後、iOS標準アプリが根こそぎ消えてくれます。

(iPod touchにインストールした直後の様子)

特定のアプリだけは消したくない…という場合、ダウンロードした構成プロファイルのアプリ一覧から該当するものを削除して下さい。どのアプリがどのIDなのかは、apple-bundle-identifiers のページを参照すると良いでしょう。

また、手順(2)の項目にあるUUIDは、汎用一位識別子(Universally Unique IDentifier)と呼ばれるもので、仕様に従って生成されたものでなければなりません。詳しくは、構成プロファイルを自作する時に必要なUUIDの作り方を参照して下さい。

エンタープライズiOSの現場では、必ずと言って良いほどiOS標準アプリを消したくなります。本稿で公開した構成プロファイルを使って少しでも労力軽減して頂ければと思います。

(iPod touchの工場出荷時状態のホーム画面。業務で不要なアプリは結構ある)

大半の標準アプリは下図のようにアプリアイコンを長押しして、削除することができます。

ただ、よく知られている通り全ての標準アプリを完全に消せるわけではありません。下図のアプリは、HOME画面で一時的に非表示にできてもAppライブラリから容易に復元できるので完全削除できないものです。

またこの方法は、一つ一つ削除するという面倒な手動操作が必要になります。一度に複数の端末で例外なく標準アプリを削除したい業務端末には向いていない方法です。

ということで本稿では、業務用iOS端末に適した、任意の標準アプリを(ほぼ)もれなく削除する方法を紹介します。

概要

iOS標準アプリを全て削除するには、構成プロファイルで指定できる「アプリの使用の不許可」設定を使用します。

ここは任意のアプリを使用禁止や使用許可を指定する項目で、ここに消したい標準アプリを使用禁止アプリとして列挙します。エディタを保存し生成した構成プロファイルを端末にインストールすれば、指定した標準アプリを削除できます。(構成プロファイルの作成方法はこちら、インストールについてはこちらとこちらを参照)

インストールした様子が以下です。一瞬で根こそぎ消えているのが分かります。

(Safariと設定アプリを残して標準アプリを全削除する設定を流し込んだ)

以上が全体の流れと実際の動きです。続いて、詳細な作り方や制限事項を詳しく見てみましょう。

iOS標準アプリを削除する構成プロファイルの作り方

まず、Apple Configurator2 で構成プロファイルエディタを起動します。iOS標準アプリ削除用と分かるよう構成プロファイルの一般情報を指定しておきます。(Apple Configurator2についてはこちらを参照)

(構成プロファイルは用途ごとに分けて作成するのが望ましい)

次に「制限」カテゴリをクリックして「App」タブをクリックし、タブ内にある「Appの使用を制限」のリストボックスを「一部のAppを許可しない」に変更します。

リストの下にある「+」ボタンをクリックするとダイアログが現れますので、検索ボックスにアプリ名か、アプリを表すID(バンドルID)を入力します。

上記は株価アプリを指定しようと検索している例です。アプリ名やバンドルIDで検索可能。出てきた候補から削除したい標準アプリを選んでから「選択」ボタンをクリックします。

リストに並びました。

同じ手順で他の削除したい標準アプリを追加していきます。制限数はありません。必要なだけ登録できたら、保存して構成プロファイルのファイル(拡張子 .mobileconfig)を生成します。

インストールの前提条件

構成プロファイルを作る時、「監視対象のみ」と書かれていたことに気づいたでしょうか。

そう、「Appの使用の制限」設定が機能するのは監視モード(Supervised Mode)の端末に限られているのですね。よって、iOS標準アプリを削除する場合、以下いずれかの端末でなければなりません。

• Apple Configurator2 で監視モード化した端末
• DEP端末として購入(またはDEP化)したMDMチェックイン済み端末

個人用の端末はもちろんのこと、MDMチェックイン済みだけど監視モードにはなっていない端末は、上記で作成した構成プロファイルをインストールはできますが、標準アプリは期待通りに消えてくれないので注意して下さい。(監視モードについてはこちら、監視モード化する方法はこちらを参照)

絶対に消せないiOS標準アプリ

実は絶対に消すことができない標準アプリがあります。

• 電話
• 設定

こちらの2つですね。当然と言えば当然でしょう。iPhoneですから「電話」を消したらアイデンティティの喪失です(笑) さすがにそれはできません。設定アプリは言わずもがなですね。全ての設定を一切何も変更できない端末なんて使い物になりませんので消せません。

(使用禁止アプリに電話を指定することもできるが….)

上図の通り禁止対象として指定することはできますが、それらを含む構成プロファイルは端末へのインストールに失敗し、他に指定したアプリも消えてくれません。くれぐれも電話と設定アプリは含めないように注意して下さい。

(インストールに失敗する。電話アプリ・設定アプリ以外に指定していたものも消えない)

iOS標準アプリの一覧について

構成プロファイルを作成していると、iOS標準アプリを全部列挙することに結構難儀します。

工場出荷時状態の端末が手元にあればすぐ分かりますが、工場出荷時状態の端末はそうそう簡単に用意できるものではありません。またiOSのアップデートで標準アプリは増えたり減ったりもしますので、それを調べるのも面倒です。

そこで役立つのが、GitHubに公開されているiOS標準アプリ一覧リポジトリ。

毎年新しいiOSが登場する度に更新してくれていますので、ここを参考に一覧を作っていくことをお勧めします。

ということで、iOS標準アプリを(ほぼ)全て削除する方法を紹介しました。

• (A) MDM
• (B) iOS端末
• (C) Apple Configurator2

初期化は管理部門が使うにはとても便利ですが、従業員が故意に、または誤って端末を初期化してしまうと困ります。

上記の(A),(C)は従業員による勝手な初期化を避けられますが((A)はそもそもMDMを触らせない。(C)は指定Mac以外との接続を禁止)、iOS端末を従業員が自由に触れる場合に(B)による初期化を阻むことはできるのでしょうか。

(デフォルトでは設定アプリを開き、[一般]→[リセット]の画面から誰でも初期化ができてしまう)

ということで、本稿ではiOS端末からの初期化を禁止する方法を紹介します。

iOS端末からの初期化を禁止する方法

iOS端末の操作で初期化するには、設定アプリを立ち上げて [一般]→[リセット]→[すべてのコンテンツと設定を消去] をタップするのでした。

 → 

これを禁止するため、そのものズバリの構成プロファイルの項目が用意されています。(参考→ 構成プロファイルとは)

(Apple Configurator2 で該当のチェックを外して保存したプロファイルを端末に流し込む)

項目名を見ると分かる通り、監視モードでなければこの設定は有効になりません。監視モードについてはこちらの記事を参考にして下さい。端末を監視モードにした上で、この項目をOFF(許可をしない、つまり禁止する)にした構成プロファイルを流し込むとリセット画面が以下のようになります。

(リセットするための項目がなくなっている)

違いが分かるでしょうか。「すべてのコンテンツと設定と消去」の項目がなくなっていますね。これで従業員がiOS端末を初期化することができなくなったというわけです。改めて整理すると、

• 監視モードにする
• “すべてのコンテンツと設定を消去”許可をOFFにした構成プロファイルを流し込む

この2つが、iOS端末からの初期化操作を禁止する方法となります。構成プロファイルの流し込み方は、MDMを使う手法やAppleConfigurator2を使う手法など、運用に最適な方法を選ぶと良いでしょう。

iOS端末からの初期化を禁止するときの留意点

ここであえて、iOS端末からの初期化を禁止する是非について言及しておきたいと思います。

何ごとも禁止すると業務上の運用は楽になりトラブルも起きにくいものですが、ことiOS端末からの初期化については、企業ごと案件ごとに是非が分かれますので慎重に検討して下さい。初期化の手順と初期化後のオペレーションマニュアルを用意して、従業員にやって貰ったほうが良いケースもあるからです。

(this photo by Clay Banks from Unsplash)

特に、商業施設での設置型端末や、各支社の受付・打ち合わせルームに常設するiOS端末がそうです。現地判断で当事者が初期化を行えたほうがいい場合もあります。

また、DEP端末の場合は、iOS端末から初期化すると再度自動チェックインと自動設定が行われることも覚えておくと良いでしょう。DEP+MDMを前提に現地従業員にiOS端末から初期化して貰う運用のほうが楽になることもあります。

以上、端末を初期化させない方法について解説しました。

 → 
(標準が左。抑制設定済みが右。90日間抑制する設定をしているのにも関わらず 14.0.1 のアップデートが表示されている)

iOSのアップデート抑制では、アップデートが存在しないことになる筈ではなかったのか？iOS11.4.1端末でiOS14.0.1へのアップデートが表示されているのはなぜ？

本稿ではこの謎を解きたいと思います。

実はiOSアップデート抑制の設定は、最新のiOSアップデートが存在しないように見える場合があるだけで、iOSアップデートを完全に抑制するものではありません。以下で、iOSアップデート抑制の仕様をみていきましょう。

設置した日数だけiOS端末の時間を巻き戻すに過ぎない

抑制とか遅延という言葉が使われてはいますが、iOS端末の時間を巻き戻して、その時点でアップデートの有無を判断するだけと捉えると分かり易いです。iOSの各バージョンのリリース日と、確認した日(2021/1/16)から何日前かの日数を時系列に並べてみましょう。

冒頭にある画面キャプチャの端末では、アップデート抑制90日の設定をしていました。アップデートの確認を行った2021/1/16から90日前は2020/10/18、14.1 がリリースされる前ですね。

画面はこうなっていたのでした。

90日前時点の最新バージョン v14.0.1 がアップデートとして表示されていたわけですね。これは別の捉え方をすると、直近90日間ぶんのアップデート(14.3〜14.1)を無視するに過ぎないということです。iOSのアップデート遅延の設定の正確な意味をご理解頂けたかと思います。

数世代前でiOS固定したい評価用端末には意味がない

上述の仕様から分かる通り、間違ってアップデートしないように….という主旨で、古いiOSで固定している評価用の端末(iOS11とかiOS12とか)にアップデート遅延の設定をしても意味がありません。

(OSアップデートを完全に非表示にできるわけではない)

結局、最大で現在日付より90日以内のiOSバージョンがインストールされた端末を除き、何かしらのアップデートが表示されてしまうからです。

古いiOSの端末を残しておきたい端末は、アナログな手法ですが「間違ってアップデートしないように」と関係者に周知徹底するしかないでしょう。最低でもアップデートの自動インストール設定をオフにしておくと良いかも知れません。（Apple公式マニュアルのiPhone、iPad、iPod touch をアップデートするも参考にして下さい）

(iOS12で自動アップデートが設定可能に。iOS13.6では自動のダウンロードとインストールに分かれた。標準ではどちらもON)

なおこの設定は、MDMや構成プロファイルでは制御できない項目ですので、端末上で手動設定する必要があります。

以上、iOSアップデートを抑制する設定について2回に渡り紹介してきました。仕様を理解した上で、正しくiOSアップデートのコントロールをしたいものですね。

2020年秋にiOS14が突然公開されたことで現場は騒然としたものです。混乱を象徴するかのように、当時業務用アプリの開発元各社から以下のようなメールが多数飛んでいました。

ただ、ユーザに案内したところで誤ってアップデートする人は必ずいます。iOSがそもそもアップデートをするよう促してくるのですから当然と言えば当然でしょう。

   
(iOSは執拗にアップデートするように勧めてくる)

情シス部門にとってiOSアップデートは本当に厄介な話で、できれば業務アプリ一式の動作確認後にアップデートを許可したいもの。そんな用途にピッタリとハマるのが、今回ご紹介するiOSアップデートの抑制機能です。

簡潔に要点をまとめると、

• iOSアップデートのインストールを90日間まで抑制可能
• 監視モード必須

となります。以下、具体的にみていきましょう。

iOSアップデート抑制の実際

ここではiOS13.7がインストールされた端末を使って、アップデート抑制をしている・していないでどのような差があるかiOS14リリース直後に見比べた結果を紹介します。

2020/9/20に確認しました。この端末にとっての次バージョンはiOS14。iOS14がリリースされたのは2020/9/16ですので、確認したのはリリースから4日後となります。ここに7日間アップデートを抑制する設定を行います。以下、時系列。

設定の有無で以下のように見え方が変わります。左が通常状態。右が抑制の設定をした状態です。

 → 
(抑制された状態の右側では、iOS14へのアップデートができなくなっている)

このようにアップデートがそもそも存在しないように振る舞います。ユーザはアップデートの存在すら認識できないのですから、そもそもiOSをアップデートする事故が起こるわけがありません。情シス部門には嬉しい設定です。

iOSアップデート抑制の方法

それでは設定する方法を見ていきましょう。iOSアップデート抑制の設定は、構成プロファイルに記述して端末に流し込むことで行います。流し込みは Apple Configurator2 でも MDM 経由でもどちらでも構いません。

(構成プロファイル内では enforcedSoftwareUpdateDelay というキーが使われる)

ここでは Apple Configurator2 を使ってプロファイルを作成します。構成プロファイルエディタで [制限] のカテゴリから [機能] タブを選び、一番下までスクロールして下さい。

一番下に「ソフトウェア・アップデートの遅延」という項目がありますので、チェックをONにして日数を入力します。これがアップデートを抑制したい日数となります。

保存した .mobileconfig ファイルを Apple Configurator2 を使ってUSB経由で直接流し込むか、MDMに登録して同期します。設定がされた後アップデート画面を確認すると、先に紹介した通りアップデートが存在しないかのように振る舞います。

iOSアップデート抑制の条件と制約

iOSアップデート抑制の設定を使用する際、注意すべき点が幾つかあります。

A. 抑制可能な日数の上限

繰り返しになりますが、iOSアップデートを永久に抑制することは不可能です。抑制できる日数は、上限90日間までとなっています。

(Apple Configurator2 では91以上を入力するとエラーとなる)

B. 抑制した日数を越えた後の挙動

設定された日数を過ぎると、抑制する前、つまり見えなくなっていたアップデートが見える状態になります。先に紹介した例でいうと、iOS13.7の端末に抑制7日の設定をした場合、以下のような振る舞いとなります。

C. 監視モードでのみ有効

iOSアップデート抑制の設定は監視モードの端末でなければ発動しない点にも注意が必要です。後から監視モード化するのは大変ですので、以下を参考にあらかじめ監視モード化しておくことをお勧めします。

• iOSの監視モード（Supervised Mode）とは何か
• iOSを監視モードにする方法 〜保存版 : Apple Configurator2編〜

以上、iOSアップデート抑制について紹介しました。旧来のWindowsベースの業務システムの発想でいるとOSを特定バージョンに固定できる前提で考えがちですが、iOSでは異なります。

原則、常に最新バージョンに追随する運用で設計しましょう。本投稿でご紹介したアップデート抑制の設定は、iOSをバージョン固定する仕組みではなく、新しいiOSの評価期間を確保する仕組みと考えて下さい。

後編の予告 : 抑制してもアップデートが表示される場合があるのはなぜ？

ところで、アップデート抑制の設定をiOS11や12など古いバージョンのiOS端末に行うと、一見違和感のある表示になります。

以下は、iOS11.4.1のiPhoneをiOS14.3リリース直後に見比べたキャプチャです。左が通常状態。右が、90日間のアップデート抑制を設定している状態です。撮影日付はiOS14.3のリリースから30日程度しか経っていない2021/1/15。

 → 
(左はiOS11.4.1の端末の通常状態で最新の14.3へのアップデートが表示されている。右は、90日間の抑制設定をした状態)

90日も経過していないのにアップデートが表示されています。なぜでしょうか？ しかもiOS14.0.1という中途半端なバージョンは一体…。後編では、この謎を紐解きたいと思います。(2021年1月25日頃を予定)

本稿では、iOS端末が監視モードになっているかどうかを確認する方法について紹介します。DEP端末の仕組みで監視モードとなっている端末についても同様に確認が可能です。

Apple Configurator2 の端末一覧や端末詳細で確認する

最も分かり易いのは、調べたいiOS端末をUSBでMacに接続し、Apple Configurator2を起動してリストビューで端末一覧を表示することです。

監視モードのiOS端末は、監理対象の列が上図の通り「はい」となります。逆に監視モードでない場合は同列が「いいえ」となります。

または、画面上部にある「管理対象」フィルタをONにしても良いでしょう。

監視モード端末だけが表示されるようになりますので、この一覧に残っていれば監視モードです。

なお、端末をダブルクリックして詳細画面を開くと、「組織」という欄で詳細な組織情報を全てみることができます。

(監視モード化する時に割り当てた組織の情報全てを確認できる)

DEP端末の仕組みで監視モードになっている端末でも同様です。DEP端末で表示される組織情報は、Apple Business Manager や Apple School Manager に登録されている組織情報となります。

iOS端末の「設定」アプリから確認する

Mac や Apple Configurator2 が使えない場合、iOSの「設定」アプリを使えばiOS単体で監視モードかどうかを確認することができます。設定アプリを起動して画面の一番上を見て下さい。

赤枠で示した表示がある場合、その端末は監視モード化されています。通常の個人利用している端末と比べると明らかに異なりますので、監視モードかどうかは設定アプリを見るだけですぐ分かります。

 
(左が監視モードの端末、右がノーマルの状態)

赤枠部分に表示されている組織名（上図では株式会社テスト）は、Apple Configurator2 で監視モード化した時に指定した組織の組織名です。組織名以外の情報はiOS上では表示されません。それらを確認するには上述の通り Apple Configurator2 で端末の詳細画面を確認するようにして下さい。

以上、iOS端末が監視モードかどうかを確認する方法について解説しました。監視モードについては以下の投稿も参考にして下さい。

• iOSの監視モード（Supervised Mode）とは何か
• iOSを監視モードにする方法 〜保存版 : Apple Configurator2編〜