2021.2.22
Apple Push Certificates Portal で使うべき AppleID のガイドライン
エンタープライズiOSでは複数のAppleIDが必要になります。主なものを以下に挙げてみました。
No. | AppleIDが必要なサービス・契約 | 必要な時 |
---|---|---|
(1) | Apple Push Certificates Portal | MDMを使う場合 |
(2) | Apple Business Manager (ABM) | 業務用アプリの一括購入やDEP端末を使用する場合 |
(3) | Apple Developer Program (ADP) | 業務用アプリを自社開発(外注含む)して使用する場合 |
(4) | Apple Developer Enterprise Program (ADEP) | iDEP,ADEPを取得していてInHouseアプリを運用している場合 (未取得企業なら2021年現在は考慮不要。こちら参照) |
大半の企業では (1), (2) の2つのみが必要で、自社専用アプリを開発する場合は (3) を加えた最大3つのAppleIDを管理・運用することになります。
悩ましいのは、それぞれで使用するAppleIDがどうあるべきかのガイドラインを Apple が示してくれていないことです。
そこで本稿では、Apple Push Certificates Portal で使うAppleIDについて指針を示したいと思います。(Apple Push Certificates Portal についてはMDMの導入から利用開始まで(1) 〜PUSH証明書の取得〜を参照のこと)
Apple Push Certificates Portal に個人AppleIDを使うと運用で詰む
ときどきある間違いが、MDM導入初期の担当者個人の AppleID を使ってしまうことです。「AppleID が必要なのね、なるほどなるほど、既に持ってるよ」的なノリで、
- 担当者のプライベートな私用のAppleID
- 会社供与の個人用メールアドレスに紐づくAppleID
を使用してしまうと、将来、運用上のトラブルを発生させる可能性があります。なぜでしょうか?
(PUSH証明書取得のためにしか使わない Apple Push Certificates Portal)
Apple Push Certificates Portal で取得するPUSH証明書は、申請時のAppleIDとユニークに紐づきます。そのため、1年後の更新時は、取得時と全く同じAppleIDでサインインする必要があり、他のAppleIDを使って更新することはできません。
(サインイン後の画面は、そのAppleIDで取得したPUSH通知書が並ぶだけ。これ以外の機能は一切ない)
例えば、担当者Aさんの個人AppleIDで取得したPUSH証明書は、翌年またAさんが更新しなければなりません。もし翌年、Aさんが退職していたらどうなるでしょうか?…PUSH証明書の更新が極めて困難になるということは想像に難くありません。
PUSH証明書を更新できなければ、MDMの全機能が使用不可となります。
別のAppleIDでPUSH証明書を取得し直すこともできますが、残念ながらその場合は「更新」ではなく「新規」の扱いとなります。これは、全デバイス再登録を含むMDM初期設定作業のやり直しを意味しています。目も当てられない事態ですね。
(同じドメインの別AppleIDでサインインした様子。同じ会社ドメインのAppleIDなのに何も表示されてない…)
ですから、個人に紐付いたAppleIDは使うべきではありません。
Apple Push Certificates Portal は、AppleIDがどこの企業のものかを全く気にしないことに留意しましょう。提出されたCSRがファイルとして適切なら、サインインしてきたAppleIDにPUSH証明書が発行されます。証明書をMDMサービスに紐付けたが最後、そのAppleIDで更新し続けなければならなくなります。
PUSH証明書は企業内共用AppleIDで取得する
前節の繰り返しですが個人のAppleIDは使うべきではありません。その代わりに、
- info@example.com のような共用メールアドレス
- devgroup@example.com のようなメーリングリストやエイリアス
で作成した AppleID を使用すべきでしょう。もし可能なら push@example.com や apcp@example.com など Apple Push Certificates Portal に使うことが分かるようにしておくと、いざPUSH証明書を更新する時に迷わずに済むのでお勧めです。(1年後なのでだいたい忘れているものです)
サインインパスワードは自社のセキュリティポリシーに従って共有管理して下さい。(弊社では法人向けパスワード管理サービスの 1Password Teams を推奨しています)
また、AppleIDでは、2ファクタ認証のため電話番号も必要になります。
(2021年現在、全てのAppleIDで2ファクタ認証が必須)
確認コードを受け取る電話番号もメールアドレスと同様、プライベート用か会社供与のものか関係なく個人に紐付いた番号は避けるべきです。情報システム部門として共用の電話番号を確保し、それを紐付けるのが良いでしょう。
ABM の Managed AppleID を使うこともできる
余りないケースですが、MDM導入前からABMが利用可能な場合は Managed AppleID を使うのもお勧めです。(参考 : ABM(Apple Business Manager)とは何か)
Managed AppleIDは、通常の AppleID と違って登録時の煩わしい各種入力が不要で、ABMの画面から簡単に作ることができます。
(ABMから作成する Managed AppleID は誕生日等の入力項目がなく必要最低限でok)
パスワードや電話番号のリセットも容易に行えますし、AppStoreアプリやiTunesのコンテンツが元々購入できない制限付きAppleIDですので、管理側として都合が良いです。
(Managed AppleIDはABM上から各種リセットが行える)
例えば、ABMで push@example.com といった Managed AppleID を作っておき、MDMサービスを契約後、Apple Push Certificates Manager にサインインしてPUSH証明書を取得、MDMに証明書を登録し、ABMとMDMも連携させる。こうすれば、ABMにMDM関連が集約できて分かり易いですね。
iOS端末の業務導入が初めて…という場合は、MDMサービスの選定を行うと同時に、ABMを利用申請しておくのも良いでしょう。iOS端末の業務活用を推し進めるとどうせABMは使うことになるからです。
以上、Apple Push Certificates Portal で使用する AppleID について紹介しました。まとめると、Apple Push Certificates Portal に使う AppleID ガイドラインは以下となります。
- 公私関わらず個人に紐づくAppleIDの使用は避ける
- info@〜等の社内共用のAppleIDを使う
- 可能であればABMのManaged AppleIDを使う
適切な AppleID を使用して将来のMDMトラブルを避けましょう。
2020.8.14
ABM(Apple Business Manager)とは何か
エンタープライズiOSでMDMと同じぐらい重要なサービスが ABM(Apple Business Manager)です。
ABMはAppleが2018年から法人向けに無償で提供しているものです。各種の公式ドキュメントやWWDCセッション動画でも言及されていますので、見聞きしたことがある方も多いかも知れません。
(WWDC2020でもエンタープライズ向けセッションで度々言及されていた)
ABMは登場して間もないサービスということもあり、公式マニュアル以外には断片的な内容のブログやQiita投稿ぐらいしか情報がありません。触る機会もなかなかないサービスだということも情報量が少ない一因です。
そこで本稿では、ABMの役割や各機能の詳細を画面キャプチャを多数掲載しつつ御紹介します。本稿を読むことでABMの機能や役割を理解して頂けると思います。
以下、目次です。
- ABMの役割とABMでできること
- (A) 会社から配布する業務用アプリやブックの管理
- (B) 会社から支給する業務用デバイスの管理
- (C) 会社から提供する業務用AppleIDの管理
- (D) ABMと連携するMDMの管理
なお、ABMの説明はその他のエンタープライズiOS用語に触れずに進めることが困難です。本稿では関連する用語も幾つか出てきますが、それぞれ概要解説しながらの記述となっていますのでご安心下さい。
ABMの役割とABMでできること
まずABMの役割を見ておきましょう。ABMのログイン画面にハッキリと書いてる通り、
アプリとデバイスとIDの管理です。ただ、さすがにこれだけでは分かりにくいですので、もう少し厳密に書いてみます。ABMの役割は大きく以下の4つに整理することができます。
- (A) 会社から配布する業務用アプリやブックの管理
- (B) 会社から支給する業務用デバイスの管理
- (C) 会社から提供する業務用AppleIDの管理
- (D) ABMと連携するMDMの管理
(A)や(B)など一部MDMの役割と重複しているように見えるものもありますが、MDMとABMの役割はかぶらないことに注意して下さい。MDMがあるからABMはいらないとかそういうことではなく、強いて言うならABMはMDMだけではできないことを補完する存在です。
ABMを使うとこんなことができるようになります。
役割 | 具体的にできること |
---|---|
(A)アプリやブックの管理 |
・有償AppStoreアプリを会社でまとめて購入してライセンス管理 ・InHouseアプリ以外の方法で非公開の社内独自アプリを配布 |
(B)デバイスの管理 |
・MDMへの自動チェックイン ・Apple Configurator2 を使わない監視モード化 ・初回電源ONで設定とアプリインストールがほぼ完了する Zero touch deployment |
(C)AppleIDの管理 |
・業務で使うAppleIDを会社として取得・管理 ・業務用AppleIDの無効化、パスワードリセット、電話番号認証のやり直し強制 ・iPadを複数アカウントで使用する Shared iPad 機能 |
ABMによって、Appleが提供する三大要素(デバイス・アプリ・AppleID)を法人組織内でより高度に管理できるわけですね。ABMの守備範囲は非常に広いことがよく分かります。
それでは以下、順に各機能について掘り下げて見ていきましょう。
(A) 会社から配布する業務用アプリやブックの管理
ABMのもっとも重要な機能が、社内配布する社用アプリの管理を行うことです。Apple が WWDC で紹介していた以下の図が分かり易いでしょう。
iOS端末にもっとも近い位置にいるMDMには、アプリを配布(遠隔インストール)する機能があるのでした。(参考 : MDMとは何か)
ABMはそのMDMの後方に位置し、社用端末にどんなアプリを配布するのかを管理します。社用アプリのカタログ作成機能と言っても良いかも知れません。
(AppStoreからピックアップした12個のアプリを社用アプリとしているABMの様子)
重要なのは、ABM自体はアプリ配布機能を持っていないということです。アプリ配布はMDMに頼り、ABMは社用アプリとして配布すべき一覧をMDMに提供するまでをその役割としています。
作られた社用アプリ一覧はMDM側に自動的に同期されます。
(ABMで作った社用アプリ一覧がMDM側に同期される。上図はMDMのBizMobile Go!のアプリ一覧画面)
ABMからアプリ一覧を受け取ったMDM側では、どのアプリをどの端末に配信するか設定します。そしてその設定どおりにアプリ配信が行われます。これがABMとMDMの連携によるアプリ配信の全体像です。
さきほどの図を再掲しますが、アプリの実体(.ipaファイル)が AppStore → ABM → MDM へとコピーされていくわけではないことに注意して下さい。同期されるのはアプリIDのみです。
ちなみにABMの役割は単なるアプリ一覧作成機能にとどまりません。以下もう少し細かくみてみます。
AppStoreアプリの一括購入とラインセンス管理
AppStore上に業務で使う有償アプリがあるとしましょう。従業員にアプリを購入して貰って経理が立替精算する…って運用はとても面倒くさいですよね。iTunesカードを購入して従業員に渡すのも何か違います。いずれも法人らしい「管理」とは到底言えません。
この課題を解決するため、ABMにはAppStoreアプリを会社で一括購入する仕組みが備わっています。
(120円のアプリを100個買う様子。法人クレジットカードで決済。カード以外の決済方法もある)
従業員それぞれがAppStoreアプリを使って購入・インストールする必要はありません。配られた手元iOS端末に、業務用のAppStoreアプリが勝手に配信されてくるだけです。情報システム部門がMDMとABMの設定を正しく行っていることが前提ですが、従業員としては決済の手間いらずで便利ですね。
また、ABM上で一括購入したアプリはその合計数がアプリ毎に把握できるほか、社用端末にインストールしている数も把握できるようになっています。100ライセンス購入して使用中は90です…みたいな。このライセンス管理もABMが提供してくれる機能です。
(従業員の退職などでアンインストールされるとライセンスの残数も増える)
有償アプリだけが対象なのではなく、無償アプリも対象となります。
無償アプリは幾つ購入しても0円ですから「従業員に勝手にAppStoreからダウンロードさせりゃいいじゃん」という考え方もあります。ですが、ABMを使うことで集中管理できますし、MDMとの連携で強制インストールができたりしますので、たとえ無償アプリであってもABMで一括「購入」しておくことが推奨されます。
企業によってはAppStoreアプリの使用を禁止する場合もあります。その場合は、ABMのアプリ管理とMDMのアプリ配布に頼るほかありません。
ちなみに、この一括購入の仕組みを従来はVPP(Volume Purchase Program)と呼んでいました。
(ABMと違って数世代前の古めかしいUI。専用にAppleIDを取得して使用する)
ABMはこのVPPをまるごと取り込んだ格好になります。上図のような専用の管理画面まで用意されていたVPPですが、廃止されることが決まっています。ABM登場後はAppleもVPPという言葉を使わなくなっていますので注意しましょう。
CustomAppの一括購入とライセンス管理
ABMが管理するのはAppStoreアプリだけではありません。カスタムApp(CustomApp)という特別なアプリにも対応しています。カスタムAppとは、企業が非公開独自アプリを開発して社内配信できる仕組み、または当該の非公開アプリのことを指します。
(カスタムAppは通常のAppStoreアプリとは別枠で管理する)
ABMのアカウントを保有する法人には、その法人専用のプライベートAppStoreのようなものが用意され、AppStoreと同じ仕組みで非公開の独自アプリを社内限定配信できるようになります。(ADEPで良いのでは?と思われた方は「ADEPはもう取得することができないと諦めたほうが良い理由」の投稿をご覧下さい)
(iTunes Connect でアプリ申請時に指定する配信先。通常は1つ目か2つ目の選択肢を選ぶ)
アプリ開発者の方は iTunes Connect の上図の選択肢に心あたりがあると思いますが、このうち3つ目の選択肢がカスタムAppです。指定した企業のプライベートAppStore空間に非公開アプリを投入すると考えると分かり易いでしょう。
(投入された側の企業のABMでは、自社専用カスタムAppとして見える。publicなAppStore上には見えない)
カスタムApp を利用する側の企業は、ABMでその一括購入とライセンス管理を行います。基本的には上述のAppStoreアプリの一括購入・ライセンス管理と一緒です。アプリの参照元が公開AppStoreなのか、非公開のプライベートAppStoreなのかの違いしかありません。
このカスタムAppの機能は、もともとVPPに CustomB2B という名前で提供されていた機能でした。上述の通りVPPがABMにまるごと取り込まれるのにあわせて名称をカスタムApp(CustomApp)に変え、同じようにABM内で管理することとなりました。
ブックの一括購入とライセンス管理
また、余り使われることはありませんが、ABMではブックストアにあるブックも AppStore アプリと同様に一括購入ができます。
(ブックストアのBookも有償/無償どちらもABMで購入と管理ができる)
(B) 会社から支給する業務用デバイスの管理
アプリの次はデバイスです。
ABMではDEP端末の管理をすることができます。「え…DEP端末って何?」という方もいらっしゃると思いますので、まずDEP端末について解説します。
iOSには Supervised Mode (監視モード) という特別なモードがあります。監視モードは主に業務用端末で使われるモードで、以下のような非常に都合の良い制御が可能になるものです。
- 標準アプリを画面上から消すことができる
- HOME画面を無効化したキオスク端末的な使い方ができる
- AppleIDが不要で確認画面も出さずサイレントにアプリを強制インストールできる
通常、この監視モードにするには Apple Confirugrator2 を使う必要があり、MacとのUSB有線接続が前提となるため非常に手間がかかります。10台,20台程度であっても以下の写真のようにカオスなことになります。
(安定した設定作業を考えると1台のMacに繋ぐことのできる端末数はそう多くない)
この手間を解消するのが DEP(Device Enrollment Program) と呼ばれる仕組みで、開梱時(つまり一度も電源をONにしたことがない未開封状態)から監視モードにできるという特別なiOS端末の購入手段です。この仕組みで購入した特別な端末をDEP端末と呼びます。DEP端末の購入は法人にしかできません。
ABMではこのDEPで購入したDEP端末を管理する機能が備わっています。
(DEP端末の一覧と管理履歴)
ABM上のDEP端末情報はMDMと連携されます。端末は開梱直後の初回起動時から、監視モードiOS端末としてMDMに自動チェックインされます。
(初回電源ONのアクティベーション中に自動チェックインする様子)
自動でMDMにチェックインするということは、電源ONと同時に設定もアプリインストールも完了できる…ということです。iOS端末を初期化して工場出荷時再起動しても、また同じ設定・アプリ・HOME画面に戻すことができます。まさに業務専用端末化ですね。
DEP端末は、iOS端末の初期導入時や故障時交換の際にかかる時間コストを大幅に削減してくれます。そのため、昨今のエンタープライズiOS現場では、新規iOSデバイスをDEP端末として購入することが多くなってきています。
(C) 会社から提供する業務用AppleIDの管理
アプリ、デバイスの次にくる課題がAppleIDの扱いです。これもABMの守備範囲です。
AppleIDは、アプリ購入から、アプリ開発でのADP/ADEPの利用、iCloudの使用、macOS/iOSの各種連携機能など全ての中核にあるIDです。個人用のAppleIDは各従業員が持っていることが多いですが、こと業務用に使うAppleIDは?となると従業員それぞれが個別に会社ドメインのメールアドレスでAppleIDを取得する必要があります。
ご承知の通りこれが驚くほど面倒。過去にはこの作業を代行してくれる業者がいたぐらいです。
加えてその面倒さ以上に問題なのが、そもそも業務に使うAppleIDが集中管理できていないという事実。退職した人のAppleIDが、会社の重要なリソースにアクセスできる状態が放置されかねませんでした。
そこで登場したのが Managed AppleIDです。名前の通り集中管理が可能な業務用AppleIDで、ABMではこの Manged AppleID を作成・管理することができます…というか、ABMのアカウントそのものが Managed AppleID になっています。
ABMで作成したアカウントのメールアドレスは、従業員がAppleID登録作業を改めて行うことなくAppleIDとして使用できます。
(AppleIDが必要なシーンで Managed AppleID を使って普通にログインできる)
ただ、既存で会社用メールアドレスを業務用AppleIDとして登録済みの現場では要注意です。全員 Managed AppleID に切り替えよう…とはいかないのですね。実はAppleIDとして登録済みのメールアドレスは、Managed AppleID として登録ができません。
(登録済みAppleIDはManaged AppleIDとして登録できない)
従って、iOS導入済み企業やアプリ開発企業で Managed AppleID が必要になることはほとんどないと思います。当面はABMのためだけのアカウントとして使用するか、Shared iPad のような特別な機能を使うなどの要件がある場合に限られるでしょう。
Managed AppleID への移行もできますが容易ではありませんので弊社では推奨していません。また Managed AppleID では様々な機能が制限されることも留意しておくべきです。
(Managed AppleID ではAppStoreやiTunesアプリで購入/入手ボタンが押せない)
今後はもう少し使い勝手がよくなるのかも知れませんね。
ところで、ABMは2019年に Microsoft AzureAD と連携できるようになりました。翌年の2020年にはその連携強化も発表されました。(参考 : エンタープライズiOS関係者に視聴をお勧めするWWDC2020セッション3選)
Appleは、既存の社内アカウント情報をそのまま業務用AppleIDとして使えるようにしようとしています。現時点ではAzureAD以外の連携はありませんが、別のIdP(Identity Provier)、例えばGSuiteのアカウントがそのまま業務用AppleIDとして使えるようになる可能性もあるでしょう。
(D) ABMと連携するMDMの管理
アプリ・デバイス・AppleID以外に、ABMではMDMも管理します。
Appleの公式ドキュメントを見ると、ABMとMDMは常に1:1の関係に見えなくもないのですが、実は1:n の関係を持つことが可能です。ABMで管理するアプリやデバイスを、どのMDMに振り分けるかを選択することができるのですね。
(ABMに複数のMDMが紐付いている様子)
これはiOS端末の導入現場が多種多様であることを見越した仕様です。例えば、大手企業であれば異なる事業部で違うMDMを使う可能性がありますし、店舗でキオスク的に利用するiPadと従業員の業務用iPadのように用途が大きく異なる場合にMDMを分けたくなる場合もあるからです。
実際、ABMのデバイスやアプリの管理UIでは、どのMDMと連携するのかを指定する箇所があります。
(デバイスの管理では、DEP端末の情報をどのMDMに割り当てるかを指定する)
(アプリ管理では「場所」という概念を介してどのMDMに連携するか指定する)
MDMの管理は、ABMがMDMの利用を前提としているからこそ備わっている機能です。冒頭に書いた通り、「ABMがMDMと同じぐらいに重要である」ということがABMの画面からよく分かります。
まとめ
MDMと並んで重要な役割を担う ABM について、大きく4つの役割があることを解説しました。
- (A) 会社から配布する業務用アプリやブックの管理
- (B) 会社から支給する業務用デバイスの管理
- (C) 会社から提供する業務用AppleIDの管理
- (D) ABMと連携するMDMの管理
ABMを使うことで、iOS端末やアプリの業務活用をより高レベルに引き上げられることがお分かり頂けたでしょうか。その機能は全て、初期導入や運用時の作業を大幅に減らすために用意されています。しかも無償のサービスですので、iOS端末を業務利用する全ての企業でABMを使用することが推奨されます。
もしMDMは使っているがABMはまだ使っていない場合、確実によりよいiOS端末の活用と運用負荷削減を達成できます。是非ABMに触れてみて下さい。
また、企業内用途のiOSアプリを受託開発する企業におかれては、自社の提案力UPのためにも一度ABMを使ってみることをお勧めします。なぜなら別投稿で紹介した通り、今後企業内アプリではADEPによるInHouse版アプリは使えなくなり、Appleが推奨する代替手段としてカスタムAppを使う必要があるからです。(参考 : ADEPはもう取得することができないと諦めたほうが良い理由)