2021.4.5

カスタムApp(CustomApp)とは何か(5)〜自社専用業務アプリを従業員の個人所有端末に配布する〜

前回からカスタムAppを社内配信する方法について紹介しています。

前回はABMとMDMを使って社用管理端末にカスタムAppを配布する方法について書きましたが、本稿ではもう一つの配布方法である引き換えコードについて紹介します。(上図の中央の茶色線)

 

引き換えコードを使うケース

カスタムAppの配布は原則MDM連携です。ただMDM管理下にない端末にカスタムAppをインストールさせたい場合もあります。例えば以下のようなケースです。

  • 社用端末はあるが都合でMDM管理できない端末がある場合
  • 社用端末を用意せず個人所有のiOS端末を業務にも使って貰っている場合
  • 社内報アプリのように社用端末を前提とするには大げさ過ぎるカスタムAppが対象になる場合

等々、企業や業務の都合、アプリの種類によってMDMで集中管理…とはいかない時は引き換えコードでカスタムAppを配布する必要があります。

それでは具体的に引き換えコードでカスタムAppを購入する方法と、従業員の端末にインストールして貰う方法(配布方法)について見てみましょう。

 

引き換えコードでのカスタムApp購入と配布

カスタムAppの申請が通過すると自社のABM画面に現れます。(申請についてはカスタムApp(CustomApp)とは何か(2) 〜ABMとの関係と申請方法について〜を参照)

目的のカスタムAppを選択して、ライセンスの種類を「引き換えコード」にします。


(MDMと連携させる管理対象ライセンスとは違い「割当先」 のような概念はない)

取得したい数を入力して [入手] をクリックします。


(1000や10000などの大きな数も指定可能。5000を超える場合はライセンス発行に時間がかかる → 参考)

多くの場合カスタムAppはその性質上0円ですが、0円以外の場合は指定数と価格を積算した金額がABMに登録したクレジットカードで決済されます。購入が完了するとカスタムAppの詳細画面の最下部に「引き換えコード」という欄が現れます。


(ダウンロードリンクは購入直後は表示されないため、5分10分程度待つと良い)

引き換えコードで購入する度に行が追加されていきます。購入ごとにダウンロードリンクが用意されますので、クリックしてExcelファイルを入手します。

Excelファイルには、引き換えコード購入に関する基本情報と、購入した個数分の12桁の英数字列が列挙されています。A列が引き換えコードです。各コードに対応するURLも一緒に提供されます。

 

カスタムAppの引き換えコード配布と留意点

配布する前に、引き換えコードは再利用できないことに注意しましょう。


(コード一覧のExcelファイルで使用済みのものは redeemed と表記される)

Aさんが使った引き換えコードを、Bさんが使うことはできないということです。BさんにはBさん用の引き換えコードを割り当ててあげる必要があります。もし引き換えコードが不足する場合はABMから追加購入します。

重複しないよう各従業員に引き換えコードを割り当て、どう配布するのが良いか。これは企業や業務の都合、アプリの特性によるでしょう。確実なのは手作業を避け、社内システムやプログラムと連動させることです。弊社では以下のような運用を推奨しています。

  • Excelから一覧部分のみを切り出してCSV化して既存社内システムに取り込む
  • 従業員ID・名前・メールアドレスなどの既存テーブルと結合して管理
  • 1行単位でメール送信するか、従業員IDをキーに社内ポータルのマイページ等に掲載する

事情はそれぞれ異なるでしょうから、紐付けが管理できて重複なく配布できる仕組みをあらかじめ検討しておくことをお勧めします。

一番やってはいけないのは、Excelファイルを共有フォルダで全社共有して適当にコードを選ばせる方法です。重複問題が発生し易いですし、何よりコード一覧が関係者以外に漏洩してしまうリスクを高めます。カスタムAppはABM利用企業の従業員や業務委託者以外に配布してはいけないことに留意して下さい。

 

引き換えコードでカスタムAppをインストールする

従業員に配布するのは、コードでもURLでもどちらでも構いません。以下にそれぞれの使い方を紹介しますので、社内都合や事情に合わせて選んで下さい。

引き換えコードそのもの

12桁英数字の引き換えコードそのものの配布を受けたら、iOS端末上でAppStoreアプリを起動して、右上のAppleIDアカウントアイコンをタップします。

アカウントメニューが現れますので、[ギフトコードまたはコードを使う]をタップします。

カスタムAppのインストールはカメラからの読み取りには対応していませんので、[コードはキーボードでも入力できます]をタップします。

引き換えコードを入力して[完了]し、最後に[コードを使う]をタップします。

しばらくするとカスタムAppがインストールされ、HOME画面に現れます。

引き換えコードつきのURL

URLで提供を受けた場合、そのURLを mobile Safari で開くだけでカスタムAppのインストールが完了します。iOS14以上の端末でデフォルトブラウザを変更している場合は、明示的にSafariでURLを開いて下さい。

URLを開くだけで、自動的に引き換えコード入力とインストールまでが完了します。楽ですね。


(インストールされるカスタムAppのアイコンが表示される)

ただ注意しなければいけないのは、iTunes Store アプリがインストールされていなければならないという点です。iOS端末にiTunes Storeアプリがインストールされていない場合、引き換えコード用のURLを踏むと以下のようなダイアログが表示されます。


(iTunes Store アプリがない場合、復元を求められる。ユーザによっては混乱してしまうかも知れない)

これは意外に見落としがちなポイントです。iTunes Store アプリは標準で手動削除できますので、カスタムAppの引き換えコードをURL配布する場合は、iTunes Store アプリが必要なことを周知しておきましょう。

 

以上、カスタムAppを引き換えコードを使って配布する方法をご紹介しました。MDMを使えない企業や、MDM管理できない端末がある場合に活用を検討してみて下さい。

ただどちらを選ぶにしても、引き換えコードはライセンス配布より面倒なのは違いありません。運用を楽にしたい、ユーザのサポート対応時間を少なくしたい、と考える場合はMDM導入を検討するのが先かも知れません。

2021.3.29

カスタムApp(CustomApp)とは何か(4)〜自社専用業務アプリをMDM連携で配布する〜

カスタムAppの配布にはABMが必要となります。

カスタムAppとは何か(2) 〜ABMとの関係と申請方法について〜 で、非公開Appの登録領域を確保するためにABMが必要であると解説しましたが、ABMはカスタムAppを配布する側でも重要な役割を担っています。


(ABMはカスタムApp登録の器を用意してくれるのと同時に配布手段も提供してくれる)

これから2回に渡って、ABMを使ったカスタムAppの購入と配布について解説します。

 

カスタムAppを配布するときの注意点

カスタムAppを「配布」するといっても、まずは「購入」する必要があります。(例え0円のアプリでも)まず「購入」ありきの配布になるわけですが、気をつけなければならないのは購入の方法が配布の方法を決めるという点です。

購入してから配布方法の内訳を決めるのではないため、どのように配布するかを決めた上で購入する必要があります。以下にカスタムAppの購入方法と配布方法の関係を並べました。

購入方法 配布先となる端末 説明
管理対象ライセンス MDM管理端末 推奨。会社が購入&配布する端末にカスタムAppをインストールする場合
引き換えコード MDM非管理端末 個人所有の端末にカスタムAppをインストールする場合(いわゆるBYOD)

カスタムAppの配布先となる端末が、MDM配下の管理端末なのか、そうでないのか、きちんと把握したうえで配布計画を立てる必要があります。

カスタムAppは¥0で登録されることが大半ですので無計画でも大きな問題にはなりませんが、もしカスタムAppが有償なら購入費用を無駄にしてしまう可能性があります。(カスタムAppとは何か(3)で紹介した既存アプリのカスタマイズ版が有償カスタムAppとして提供される場合もある)

 

管理対象ライセンスとして一括購入する

カスタムAppの申請が審査通過してから Ready for Sale 状態になると、申請時に指定した組織IDのABM画面上に当該のカスタムAppが表示されて「購入」できるようになります。

カスタムAppの一覧から目的のアプリをクリックし、ライセンスの種類を「管理対象ライセンス」にします。右側の「割当先」には、ABMとMDMを連携していればABM利用申請時に指定した自社組織名が唯一の選択肢として表示さます。(割当先の詳細は別の記事で解説予定)

数を指定して入手をクリックします。最初に数個だけ購入して後から追加していくこともできます。

購入が無事に終われば、購入数分の使用権(つまりライセンス)を入手できたことになります。入手したライセンスの個数はカスタムAppごとに管理されており、カスタムAppの詳細画面に表示されます。

使用中0とありますが、購入直後はまだどの端末にもインストールされていませんので当然ですね。管理対象ライセンスで購入したカスタムAppを配布するには、後述のMDM側の操作が必要となります。

 

MDMで端末とアプリを紐付けて同期する

ABMで購入したアプリのライセンス情報は、ABMと連携しているMDMに自動的に転送されます。早ければ購入から5分後ぐらいにはMDM側でライセンス情報を確認できます。


(ABMでの購入情報は連携したMDMに自動で同期される。赤枠がカスタムApp。AppStore公開アプリのライセンスも一緒に同期される)

次にMDMの画面から、どの端末にカスタムAppを配布するのかを設定します。設定のUIはMDMサービスごとに異なりますが、端末のグループ単位でカスタムAppを紐づけて一斉配信する機能を備えているのが一般的です。


(BizMobileではテンプレートという概念を使ってカスタムAppを複数の端末に一斉配信する)

設定を保存すると、あとはMDMの仕組みでアプリが端末に配布されます。


(MDM管理下の端末が監視モードならダイアログ表示もなくサイレントインストールされる。参考 → iOSの監視モードとは何か)

もし端末数に対してカスタムAppのライセンス数が不足している場合は、MDMサービスが警告等を表示してくれますのでABMで追加購入しましょう。

 

以上、カスタムAppをMDM連携で配布する方法を紹介しました。

カスタムAppを社内配布する場合、基本的に本稿で紹介したMDM経由の配布が推奨されます。管理側のオペレーションだけでカスタムAppの配布作業が完結するからです。

端末をMDM管理できない事情があったり、そもそもアプリの用途がMDMで管理される端末を想定してない場合もあるでしょう。そんな時はもう一つの配布方法である引き換えコードを活用することができます。次回の投稿では、カスタムAppを引き換えコードで配布する方法について解説します。

2021.3.15

カスタムApp(CustomApp)とは何か(2) 〜ABMとの関係と申請方法について〜

前回の投稿の続きです。前回はカスタムAppの概要や他の配布方法との比較をしました。本稿では、カスタムAppの申請について紹介します。

 

カスタムAppとABMの関係

前回のカスタムAppとは何か(1)の投稿で、カスタムAppは、AppStore内の非公開領域に登録されたアプリで、その非公開領域は企業毎に分かれていることを紹介しました。

AppStore内にある、この企業毎の非公開領域(上図のA,B,C社の領域)はどうやって作って貰うのでしょう。Appleに直接申請するのでしょうか?ADPを契約した企業なら勝手に作られるものなのでしょうか?

…答えは ABMを利用申請して受理されると作られる です。

非公開アプリを使う企業がABMを利用申請することに注意して下さい。ABMは、デバイス・アプリ・AppleID・MDMを管理する法人用ポータルサイトですが、DUNS番号を持つ企業であれば企業規模によらず利用申請ができます。(参考 : ABMとは何か)

ABMの利用申請がAppleに受理されると、自社専用のAppStore非公開領域が作られ、領域を識別する7桁の組織IDが割り当てられます。


(ABM上で組織IDを確認できる。カスタムAppでは組織IDが重要になる)

この組織IDをカスタムAppの申請先として指定します。

 

カスタムAppはどのように申請するのか

カスタムAppとは(1)の投稿で書いた通り、カスタムAppもAppStoreアプリなのでした。ですので、カスタムAppの申請方法はAppStore公開アプリと一点を除いて全く同じです。


(AppStore公開アプリを作成するのと同じ)

App Store Connect でアプリを新規作成し、Xcodeでビルドした ipa をアップロード、各種メタデータを登録して申請する…。手続きは全く何も変わりません。

Provisioning Profile には AppStore 用のものを使用。App Store Connect で作成した「バージョン」に対して、ビルドしたipaファイルを Xcode または Transporter を使ってアップロードするのも一緒です。


(XcodeからカスタムAppをアップロードする様子。通常のAppStore公開アプリと何も変わらない)

もちろん、TestFlight の内部テスト・外部テストも使えます。課金のTierを設定したり配信国を決めるところも一緒です。唯一公開アプリと違うのは、配信の設定のみ。[価格及び配信状況]→[Appの配信方法] の画面で非公開を選択する点だけです。


(カスタムAppを申請するとは、つまり、非公開でAppStoreに申請するということ)

非公開を選べば、もうそのアプリはカスタムAppです。画面上に新たな入力フィールドが現れますので、ここで先ほどの組織IDを使います。


(組織IDと組織名を入力する。組織名もABMで確認できる)

ここで、どの企業の非公開領域にアプリを登録申請するか指定するわけです。UIから想像がつくと思いますが複数の組織IDを指定することもできます。(同じアプリを色んな企業に非公開配布できるということ)

ここまでの内容で、カスタムApp申請時に非公開領域の組織IDが必要で、非公開領域と組織IDはエンドユーザ企業がABM利用申請して作られることが分かりました。ということは、カスタムApp申請には、アプリを使うエンドユーザ企業にまずABM申請をして貰う必要があることを意味します。

一方、申請する側のADPはどうでしょう?

 

カスタムAppのためのADPは誰が契約するのか。エンドユーザ?開発会社?

カスタムAppの申請にはADP(Apple Developer Program)の契約が必要です。ではそのADPは誰が契約すべきなのでしょうか?これは、案件の性質やアプリの種類によって異なります。

以下にカスタムAppのパターンを全て列挙してみました。

  開発スタイル ADPを契約するのは カスタムAppを申請するのは
(A) エンドユーザが内製する エンドユーザ企業 エンドユーザ企業
(B) 開発会社に外注する エンドユーザ企業 エンドユーザ企業 or 開発会社
(C) 既存アプリのカスタム版の提供を受ける 既存アプリの開発元企業 既存アプリの開発元企業

エンドユーザ企業が独自の業務用アプリを開発しようとすることが多いので、通常は(A)か(B)です。(C)は既存アプリのカスタマイズバージョンを個別提供する(提供して貰う)パターンです。長くなりますので (C) は別の記事で紹介します。

上の表から読み取れる通り、ADP契約はアプリの著作権・所有権を持つ企業が取得します。

エンドユーザ企業視点で書くと、自社専用アプリを新たに開発するなら内製か外注かによらずエンドユーザ自身でADPを契約しなければなりません。

開発側視点で書くと、受託開発アプリが最終的に顧客の「もの」なら、エンドユーザのADPアカウントを使う必要があります。ADPが未契約なら契約して貰い、App Mangaer の権限を貰いましょう。自社(開発会社)のADPアカウントからお客様の受託開発アプリをカスタムApp申請してはなりません。というのも、エンドユーザ側のABMでアプリの見え方に不都合が生じるからです。


(ある顧客企業に feedtailor Inc. のADPアカウントからカスタムApp申請した時の顧客側ABMの画面。feedtailor Inc. のアプリとして表示される)

ABMのカスタムAppの画面、上図の赤枠部分で、カスタムApp申請をするADPアカウントの企業名が表示されます。これが気持ち悪くなければ別に構わないのですが、発注するエンドユーザ企業の立場では普通に違和感を覚えるでしょう。自社の業務アプリなのに、ABM上では発注先企業のアプリのように表示されるのですから。

ということで、自社専用アプリを独自開発したいと考えるエンドユーザ企業は、カスタムApp申請用にADPの契約は必須です。またカスタムAppを使うために、ABMの利用申請も必要になります。

 

以上、カスタムAppとABMの関係、申請の方法、カスタムAppでADPを誰が契約するのか説明しました。ポイントは以下の通りです。

  • AppStoreの非公開アプリ用領域はABM利用申請が受理されると作られる
  • カスタムAppはAppStore公開アプリと申請方法がほぼ一緒
  • AppStore申請時に「非公開」を選ぶとカスタムApp申請となる
  • カスタムApp申請では組織ID・組織名を指定する

次回はさらに深掘りして、カスタムAppの特殊な使い方である、既存アプリのカスタマイズバージョンの提供について解説します。

2021.3.1

VPP(Volume Purchase Program)・アプリ一括購入とは何か

VPPとは、企業がアプリやブックを一括購入するプログラム(Appleとの契約)のことです。

VPPによって、企業はアプリ購入費を各従業員に立て替えさせたり、1つのAppleIDを使ってアプリを共有利用するグレーな運用をしなくてもよくなります。法人向けパッケージソフトのように、人数分のライセンスをまとめて購入する仕組みをAppleはちゃんと用意してくれているのですね。


(VPPは一括購入専用の法人用サービス。利用には専用のAppleIDを用意してAppleに申請する必要があった)

昔は上図のようなVPP専用の画面がありましたが、今はABMに一括購入の機能が統合されています(参考 : ABMとは何か)。本稿ではそんな歴史にも軽く触れつつ、アプリ一括購入についてご紹介します。

 

VPPとアプリ一括購入の歴史

まず簡単にVPP(Volume Purchase Program)の歴史を見ておきましょう。

2011年 VPP発表
2012年 VPPが日本でも利用可能になる
2014年 端末の一括購入を支援するDEP(Device Enrollment Program)の登場。「一括」系を支援するプログラムとして VPP と DEP はまとめて Apple Deployment Programs (ADP) と呼ばれるようになる
2018年 ABM(Apple Business Manager登場。一括購入はVPPからABMへの移行が促される
2019年 VPP廃止

2012年の「日本でも利用可能」というのが面白い表現ですね。これはAppStoreが国別に用意されていることに関係していて、AppStoreと連携する一括購入の仕組みも国ごとに異なるからです。このことは後述の一括購入したアプリの配布方法で重要なポイントになりますので、覚えておいて下さい。


(2011年のVPP発表当初は米国のみ。2012年に日本を含む米国以外の9ヶ国に対応した)

振り返ってみると、2008年に登場したiOSが、早くも2009年にMDM対応し、2011年にVPPで一括購入の仕組みが用意されたということですので、Appleの法人向け戦略にスピード感があったことがよく分かります。

その後、2019年にVPPは廃止され専用の管理画面もログインできなくなり、AppleもオフィシャルにはVPPという言葉をほぼ使わなくなりました。


(VPPにはサインインできないようになり、ABMへの誘導リンクがあるのみ)

ですが、今でも関係者の間ではVPPは一括購入を表す言葉として残っています。VPP購入と表現する人もいますし、一部のMDMサービスでは管理画面上でまだVPPという言葉を使っていたりします。実は、Appleの公式ドキュメント(利用規約やマニュアル)の一部でもVPPという言葉がまだ残っています。

紆余曲折してきた結果、全体としてまだ余り統制が取れていないのが分かりますね。ただ余り気にする必要はなく、こんな歴史があったということだけ念頭に置いて「VPP = 一括購入」とザックリ捉えておけば問題はないでしょう。

さて、歴史はこれぐらいにして、以下アプリ一括購入の詳細を解説していきます。

 

一括購入できるもの

一括購入できるアプリは大きく分けると2種類あります。

  • AppStore向けアプリ (公開アプリ)
  • カスタムApp (非公開アプリ。業務用アプリ)

AppStoreアプリというと普通は前者だけが思い浮かびますが、実はAppStore上には特定の企業にしか見えない非公開の業務アプリが多数存在します。どういうことか。


(AppStoreアプリを申請するADPの画面。アプリごとに配信方法を決める。通常は公開だが非公開も選択可)

VPPの登場した2011年から「非公開」のAppStore申請はできるようになってました。ADEPのInHouse配布があったので余り知られていなかっただけです。AppStoreの非公開アプリを当初はカスタムB2Bと呼んでいましたが、今はカスタムAppと呼びます。

カスタムAppは、特定の顧客企業向け、あるいは自社の業務専用アプリをAppStoreインフラを使って非公開で配布する方法で、2021年現在ADEPによるInHouse配信に代えて使用することが推奨されています。(参考 : ADEPはもう取得することができないと諦めたほうが良い理由)

少し横道にそれましたが、カスタムAppも公開アプリと同じAppStoreインフラを使いますので、公開アプリと同様に一括購入の対象となります。とにかくAppStoreのインフラに乗っかれば一括購入対象になると捉えると良いでしょう。

加えて、(アプリではありませんが)AppleBooksで公開されているブックも一括購入対象となります。業務に使える電子書籍がもしあれば活用できるでしょう。ということで、

  • iOS向けアプリ
  • iPadOS向けアプリ
  • macOS向けアプリ
  • tvOS向けアプリ
  • ブック

これらが一括購入できるものになります。アプリの有償・無償関係ありません。また公開・非公開、どちらのアプリも対象になります。(非公開ブックは存在しない)

 

一括購入での決済手段

決済手段は以下の2種類が用意されています。

  • クレジットカード
  • ストアクレジット

前者は想像の通りですね。個人向けAppStoreと変わりません。一括購入では法人用のコーポレートカードをABMに登録します。設定画面が用意されており、ABMで一括購入すると法人カードで決済されます。


(請求先情報に住所と法人カード情報を登録する。一度登録すると一括購入時にカード決済してくれる)

もう一つのストアクレジットは馴染みがない方が多いかも知れません。一言で言うと、法人向けプリペイドクーポンです。個人がコンビニなどで購入できる、1円単位で金額指定可能なバリアブルiTunesカードの法人版です。

Appleと日頃から取引がある企業はAppleから提供を受けている専用サイト(MyAccess)から、Apple製品の正規販売代理店と付き合いのある企業は当該代理店に、「ABMでアプリを一括購入するので10万円分のクレジットが欲しい」ってな感じで依頼して下さい。然るべき対応をしてくれる筈です。

普段の取引と同様に、見積書→発注書→請求書→入金→領収書の流れでクーポンを入手、ABMに登録するとクーポンの金額分を一括購入の原資にあてることが可能になります。


(ストアクレジットを販売店に発注し請求書払いすればカードが使えなくても一括購入ができる)

以上2種類の決済手段のみとなります。法人カードの決済上限額が問題になる場合もあるでしょうから、ある程度の企業規模ではクレジットカードとストアクレジットを併用するのが良いでしょう。

 

一括購入したアプリを配布する方法

一括購入したアプリは配布してナンボですね。500個購入したら500人(あるいは500台)に届けなければなりません。ここでは一括購入したアプリの配布方法について見ておきます。

配布方法は以下の2通りが用意されています。

配布方法 使うシーン
管理対象ライセンス MDMを使って組織所有の管理端末に配布する
引き換えコード 引き換えコードを使って個人所有の非管理端末に配布する

一括購入する際に、2種類の配布方法からいずれかを選択して購入します。


(配布方法を選んでいる様子。AppStore公開アプリの無料アプリは、管理対象ライセンスしか選べない)

購入した後に配布方法を変えることはできません。一括購入をする前に配布方法を決定しておくことが重要です。どちらを選ぶべきか判断材料を以下にまとめました。

管理対象ライセンス 配布先 会社配布のMDMチェックイン済み端末
メリット インストールさせ易い (設定次第で強制インストールも可)
退職者に割り当てたライセンス回収が可能
MDMで集約管理ができる
デメリット MDMにチェックインした端末にしか使えない
コード配布 配布先 個人所有の端末
メリット MDMを必要としない
デメリット インストールを強制・管理できない
退職者に割り当てたライセンス回収ができない
ABMとAppleIDの国が異なると使えない

以下、それぞれ深堀りして解説します。

ライセンス配布

iOS端末を会社で調達し従業員に配布していたり、施設に配備するなどしていて、MDMで集中管理している場合はライセンス配布を選ぶべきです。ABMとMDMを連携させると一括購入したアプリのライセンスをMDMに転送でき、MDM上でアプリと端末を併せて管理できるからです。


(最も理想的な配布・配備が可能になる)

特に従業員が辞めた時や端末の利用者が変わった時にこのメリットが活きてきます。MDMで端末との紐付けを設定するだけでどの端末にどのアプリをインストールするか制御できますので、ライセンスの回収や付与先変更が容易なのですね。

デメリットはMDMの管理対象端末でしか使えないことです。もし業務用に使わせたい一括購入アプリを従業員の個人所有端末に配布したいという場合は、以下に解説する引き換えコードを選ぶ必要があります。

引き換えコード

会社として業務用端末を調達しておらず、従業員の個人所有端末を業務に使わせて貰うような場合に使用します。引き換えコードの方式で購入すると、一括購入した数だけ各従業員が AppStore で使えるコードを発行して貰えます。


(一括購入後にコード一覧のExcelファイルをダウンロードできる)

ダウンロードからコード一覧が書かれたExcelファイルを入手できます。


(3つ一括購入した時のExcelファイル)

重複しないように従業員1人に1コードずつ配布します。メールで個別に送信しても良いでしょうし、ログイン機能のある社内ポータルサイトがあればマイページ等で個別に表示して提供するのもありでしょう。

従業員は、コードを入手したら個人端末上でAppStoreアプリを起動し、「コードを使う」画面から使用します。


(AppStoreアプリのゲームタブやAppタブの最下部にある)

コードを入力するとライセンスが個人のAppleIDにひも付いてアプリがインストールされるという仕組みですね。一括購入時に決済は完了しているので従業員側での支払いは不要です。

Excelファイルには各コードに対応するURLも提供されています。これを従業員に提供し、iOSの Mobile Safari からURLを踏んで貰うという配布も可能です。


(URLを踏むとAppStoreアプリの起動とコード入力までしてくれる。このあとアプリは自動インストールされる)

以上が引き換えコードの詳細です。MDMが不要なので一見便利なのですが、注意点が2つあります。

1つ目はライセンスが個人のAppleIDに紐づくという点。当該従業員が退職した後に、アプリを強制アンインストールしたり、アプリの継続利用や再インストールを禁止することはできません。カスタムAppの企業内専用アプリを引き換えコードで一括購入する場合は、アプリ内に独自の認証機構がないと情報漏えいに繋がる可能性があるので特に気をつけて下さい。

2つ目は国。ABMを使用する企業の国と引き換えコードを使用するAppleIDの国は一致している必要があることにも注意しましょう。

例えば、ABMを使う日本の企業が引き換えコードで一括購入したアプリを、米国駐在員に使ってもらおうとするケース。もし駐在員が個人端末を米国AppStoreのAppleIDメインで使っている場合はインストールできないということです。

ABMとAppleIDの国が異なると、コードの適用時に以下のような画面がでます。


(日本でABMを使う企業の引き換えコードを米国のAppleIDで使っている端末に適用しようとして失敗する例)

冒頭で言及しましたが、AppStoreと一括購入の仕組みが国ごとに異なっていることは、こんなところに影響してくるのですね。事業を国際展開している企業がコード引き換えを使う場合は注意が必要です。

 

以上、VPP(Volume Purchase Program)とアプリ一括購入について解説してきました。長くなった為、実際に一括購入する手順は紹介できませんでしたが、これはまた別の記事で紹介したいと思います。

2021.2.22

Apple Push Certificates Portal で使うべき AppleID のガイドライン

エンタープライズiOSでは複数のAppleIDが必要になります。主なものを以下に挙げてみました。

No. AppleIDが必要なサービス・契約 必要な時
(1) Apple Push Certificates Portal MDMを使う場合
(2) Apple Business Manager (ABM) 業務用アプリの一括購入やDEP端末を使用する場合
(3) Apple Developer Program (ADP) 業務用アプリを自社開発(外注含む)して使用する場合
(4) Apple Developer Enterprise Program (ADEP) iDEP,ADEPを取得していてInHouseアプリを運用している場合
(未取得企業なら2021年現在は考慮不要。こちら参照)

大半の企業では (1), (2) の2つのみが必要で、自社専用アプリを開発する場合は (3) を加えた最大3つのAppleIDを管理・運用することになります。

悩ましいのは、それぞれで使用するAppleIDがどうあるべきかのガイドラインを Apple が示してくれていないことです。

そこで本稿では、Apple Push Certificates Portal で使うAppleIDについて指針を示したいと思います。(Apple Push Certificates Portal についてはMDMの導入から利用開始まで(1) 〜PUSH証明書の取得〜を参照のこと)

 

Apple Push Certificates Portal に個人AppleIDを使うと運用で詰む

ときどきある間違いが、MDM導入初期の担当者個人の AppleID を使ってしまうことです。「AppleID が必要なのね、なるほどなるほど、既に持ってるよ」的なノリで、

  • 担当者のプライベートな私用のAppleID
  • 会社供与の個人用メールアドレスに紐づくAppleID

を使用してしまうと、将来、運用上のトラブルを発生させる可能性があります。なぜでしょうか?


(PUSH証明書取得のためにしか使わない Apple Push Certificates Portal)

Apple Push Certificates Portal で取得するPUSH証明書は、申請時のAppleIDとユニークに紐づきます。そのため、1年後の更新時は、取得時と全く同じAppleIDでサインインする必要があり、他のAppleIDを使って更新することはできません


(サインイン後の画面は、そのAppleIDで取得したPUSH通知書が並ぶだけ。これ以外の機能は一切ない)

例えば、担当者Aさんの個人AppleIDで取得したPUSH証明書は、翌年またAさんが更新しなければなりません。もし翌年、Aさんが退職していたらどうなるでしょうか?…PUSH証明書の更新が極めて困難になるということは想像に難くありません。

PUSH証明書を更新できなければ、MDMの全機能が使用不可となります。

別のAppleIDでPUSH証明書を取得し直すこともできますが、残念ながらその場合は「更新」ではなく「新規」の扱いとなります。これは、全デバイス再登録を含むMDM初期設定作業のやり直しを意味しています。目も当てられない事態ですね。


(同じドメインの別AppleIDでサインインした様子。同じ会社ドメインのAppleIDなのに何も表示されてない…)

ですから、個人に紐付いたAppleIDは使うべきではありません。

Apple Push Certificates Portal は、AppleIDがどこの企業のものかを全く気にしないことに留意しましょう。提出されたCSRがファイルとして適切なら、サインインしてきたAppleIDにPUSH証明書が発行されます。証明書をMDMサービスに紐付けたが最後、そのAppleIDで更新し続けなければならなくなります。

 

PUSH証明書は企業内共用AppleIDで取得する

前節の繰り返しですが個人のAppleIDは使うべきではありません。その代わりに、

  • info@example.com のような共用メールアドレス
  • devgroup@example.com のようなメーリングリストやエイリアス

で作成した AppleID を使用すべきでしょう。もし可能なら push@example.com や apcp@example.com など Apple Push Certificates Portal に使うことが分かるようにしておくと、いざPUSH証明書を更新する時に迷わずに済むのでお勧めです。(1年後なのでだいたい忘れているものです)

サインインパスワードは自社のセキュリティポリシーに従って共有管理して下さい。(弊社では法人向けパスワード管理サービスの 1Password Teams を推奨しています)

また、AppleIDでは、2ファクタ認証のため電話番号も必要になります。


(2021年現在、全てのAppleIDで2ファクタ認証が必須)

確認コードを受け取る電話番号もメールアドレスと同様、プライベート用か会社供与のものか関係なく個人に紐付いた番号は避けるべきです。情報システム部門として共用の電話番号を確保し、それを紐付けるのが良いでしょう。

 

ABM の Managed AppleID を使うこともできる

余りないケースですが、MDM導入前からABMが利用可能な場合は Managed AppleID を使うのもお勧めです。(参考 : ABM(Apple Business Manager)とは何か)

Managed AppleIDは、通常の AppleID と違って登録時の煩わしい各種入力が不要で、ABMの画面から簡単に作ることができます。


(ABMから作成する Managed AppleID は誕生日等の入力項目がなく必要最低限でok)

パスワードや電話番号のリセットも容易に行えますし、AppStoreアプリやiTunesのコンテンツが元々購入できない制限付きAppleIDですので、管理側として都合が良いです。


(Managed AppleIDはABM上から各種リセットが行える)

例えば、ABMで push@example.com といった Managed AppleID を作っておき、MDMサービスを契約後、Apple Push Certificates Manager にサインインしてPUSH証明書を取得、MDMに証明書を登録し、ABMとMDMも連携させる。こうすれば、ABMにMDM関連が集約できて分かり易いですね。

iOS端末の業務導入が初めて…という場合は、MDMサービスの選定を行うと同時に、ABMを利用申請しておくのも良いでしょう。iOS端末の業務活用を推し進めるとどうせABMは使うことになるからです。

  

以上、Apple Push Certificates Portal で使用する AppleID について紹介しました。まとめると、Apple Push Certificates Portal に使う AppleID ガイドラインは以下となります。

  • 公私関わらず個人に紐づくAppleIDの使用は避ける
  • info@〜等の社内共用のAppleIDを使う
  • 可能であればABMのManaged AppleIDを使う

適切な AppleID を使用して将来のMDMトラブルを避けましょう。

本サイトはACNメンバーの(株)フィードテイラーが運営するエンタープライズiOS情報サイトです

最近の投稿