2021.1.18

iOSのアップデートができないように抑制する方法 〜前編〜

業務用途でiOS端末を使用している場合、必ずと言っていいほど「iOSの最新版にアップデートされるのは困る」というシーンがあります。業務用のアプリを使用している場合は特にそうでしょう。

2020年秋にiOS14が突然公開されたことで現場は騒然としたものです。混乱を象徴するかのように、当時業務用アプリの開発元各社から以下のようなメールが多数飛んでいました。

ただ、ユーザに案内したところで誤ってアップデートする人は必ずいます。iOSがそもそもアップデートをするよう促してくるのですから当然と言えば当然でしょう。

   
(iOSは執拗にアップデートするように勧めてくる)

情シス部門にとってiOSアップデートは本当に厄介な話で、できれば業務アプリ一式の動作確認後にアップデートを許可したいもの。そんな用途にピッタリとハマるのが、今回ご紹介するiOSアップデートの抑制機能です。

簡潔に要点をまとめると、

• iOSアップデートのインストールを90日間まで抑制可能
• 監視モード必須

となります。以下、具体的にみていきましょう。

 

iOSアップデート抑制の実際

ここではiOS13.7がインストールされた端末を使って、アップデート抑制をしている・していないでどのような差があるかiOS14リリース直後に見比べた結果を紹介します。

2020/9/20に確認しました。この端末にとっての次バージョンはiOS14。iOS14がリリースされたのは2020/9/16ですので、確認したのはリリースから4日後となります。ここに7日間アップデートを抑制する設定を行います。以下、時系列。

2020/9/16	iOS14リリース
2020/9/20	確認日。iOS14リリースから4日経過。アップデートを7日間抑制する設定を行った
2020/9/23	iOS14リリースから7日目。この日までアップデートが抑制される筈

設定の有無で以下のように見え方が変わります。左が通常状態。右が抑制の設定をした状態です。

 → 
(抑制された状態の右側では、iOS14へのアップデートができなくなっている)

このようにアップデートがそもそも存在しないように振る舞います。ユーザはアップデートの存在すら認識できないのですから、そもそもiOSをアップデートする事故が起こるわけがありません。情シス部門には嬉しい設定です。

 

iOSアップデート抑制の方法

それでは設定する方法を見ていきましょう。iOSアップデート抑制の設定は、構成プロファイルに記述して端末に流し込むことで行います。流し込みは Apple Configurator2 でも MDM 経由でもどちらでも構いません。

(構成プロファイル内では enforcedSoftwareUpdateDelay というキーが使われる)

ここでは Apple Configurator2 を使ってプロファイルを作成します。構成プロファイルエディタで [制限] のカテゴリから [機能] タブを選び、一番下までスクロールして下さい。

一番下に「ソフトウェア・アップデートの遅延」という項目がありますので、チェックをONにして日数を入力します。これがアップデートを抑制したい日数となります。

保存した .mobileconfig ファイルを Apple Configurator2 を使ってUSB経由で直接流し込むか、MDMに登録して同期します。設定がされた後アップデート画面を確認すると、先に紹介した通りアップデートが存在しないかのように振る舞います。

 

iOSアップデート抑制の条件と制約

iOSアップデート抑制の設定を使用する際、注意すべき点が幾つかあります。

A. 抑制可能な日数の上限

繰り返しになりますが、iOSアップデートを永久に抑制することは不可能です。抑制できる日数は、上限90日間までとなっています。

(Apple Configurator2 では91以上を入力するとエラーとなる)

B. 抑制した日数を越えた後の挙動

設定された日数を過ぎると、抑制する前、つまり見えなくなっていたアップデートが見える状態になります。先に紹介した例でいうと、iOS13.7の端末に抑制7日の設定をした場合、以下のような振る舞いとなります。

2020/9/16	iOS14リリース
2020/9/23	iOS14リリースから7日目。この日までiOS14へのアップデートは表示されない
2020/9/24以降	iOS14リリースから8日目。この日からiOS14へのアップデートが表示される

C. 監視モードでのみ有効

iOSアップデート抑制の設定は監視モードの端末でなければ発動しない点にも注意が必要です。後から監視モード化するのは大変ですので、以下を参考にあらかじめ監視モード化しておくことをお勧めします。

• iOSの監視モード（Supervised Mode）とは何か
• iOSを監視モードにする方法 〜保存版 : Apple Configurator2編〜

  

以上、iOSアップデート抑制について紹介しました。旧来のWindowsベースの業務システムの発想でいるとOSを特定バージョンに固定できる前提で考えがちですが、iOSでは異なります。

原則、常に最新バージョンに追随する運用で設計しましょう。本投稿でご紹介したアップデート抑制の設定は、iOSをバージョン固定する仕組みではなく、新しいiOSの評価期間を確保する仕組みと考えて下さい。

 

後編の予告 : 抑制してもアップデートが表示される場合があるのはなぜ？

ところで、アップデート抑制の設定をiOS11や12など古いバージョンのiOS端末に行うと、一見違和感のある表示になります。

以下は、iOS11.4.1のiPhoneをiOS14.3リリース直後に見比べたキャプチャです。左が通常状態。右が、90日間のアップデート抑制を設定している状態です。撮影日付はiOS14.3のリリースから30日程度しか経っていない2021/1/15。

 → 
(左はiOS11.4.1の端末の通常状態で最新の14.3へのアップデートが表示されている。右は、90日間の抑制設定をした状態)

90日も経過していないのにアップデートが表示されています。なぜでしょうか？ しかもiOS14.0.1という中途半端なバージョンは一体…。後編では、この謎を紐解きたいと思います。(2021年1月25日頃を予定)

2021.1.11

iOS端末が監視モードかどうかを確認する方法

以前の投稿で監視モードにする方法を紹介しました。

本稿では、iOS端末が監視モードになっているかどうかを確認する方法について紹介します。DEP端末の仕組みで監視モードとなっている端末についても同様に確認が可能です。

 

Apple Configurator2 の端末一覧や端末詳細で確認する

最も分かり易いのは、調べたいiOS端末をUSBでMacに接続し、Apple Configurator2を起動してリストビューで端末一覧を表示することです。

監視モードのiOS端末は、監理対象の列が上図の通り「はい」となります。逆に監視モードでない場合は同列が「いいえ」となります。

または、画面上部にある「管理対象」フィルタをONにしても良いでしょう。

監視モード端末だけが表示されるようになりますので、この一覧に残っていれば監視モードです。

なお、端末をダブルクリックして詳細画面を開くと、「組織」という欄で詳細な組織情報を全てみることができます。

(監視モード化する時に割り当てた組織の情報全てを確認できる)

DEP端末の仕組みで監視モードになっている端末でも同様です。DEP端末で表示される組織情報は、Apple Business Manager や Apple School Manager に登録されている組織情報となります。

 

iOS端末の「設定」アプリから確認する

Mac や Apple Configurator2 が使えない場合、iOSの「設定」アプリを使えばiOS単体で監視モードかどうかを確認することができます。設定アプリを起動して画面の一番上を見て下さい。

赤枠で示した表示がある場合、その端末は監視モード化されています。通常の個人利用している端末と比べると明らかに異なりますので、監視モードかどうかは設定アプリを見るだけですぐ分かります。

 
(左が監視モードの端末、右がノーマルの状態)

赤枠部分に表示されている組織名（上図では株式会社テスト）は、Apple Configurator2 で監視モード化した時に指定した組織の組織名です。組織名以外の情報はiOS上では表示されません。それらを確認するには上述の通り Apple Configurator2 で端末の詳細画面を確認するようにして下さい。

 

以上、iOS端末が監視モードかどうかを確認する方法について解説しました。監視モードについては以下の投稿も参考にして下さい。

• iOSの監視モード（Supervised Mode）とは何か
• iOSを監視モードにする方法 〜保存版 : Apple Configurator2編〜

2021.1.4

iOSを監視モードにする方法 〜保存版 : Apple Configurator2編〜

iOSの監視モードでは、管理上都合の良い様々なことができると以前の記事で紹介しました。（参考 : iOSの監視モード（Supervised Mode）とは何か）

では監視モードにする方法は？というと、実は大きく2種類、細かく分類すると全部でなんと5種類もあります。

AppleConfigurator2を使う	Apple Configurator2 上で「準備」する
	cfgutil prepare コマンドをターミナルで実行する
	Automator で「デバイスを準備」アクションを使用する
DEP端末の仕組みを利用する	新規にDEP端末を購入する
	既存のiOS端末をDEP化する

本稿ではこれら5つの方法のうち、MacとiOS端末さえあれば誰にでもできる最も簡単な方法（上記一番上の Apple Configurator2 のUIを使う方法）をご紹介します。他の4種類の方法については、機会があれば別投稿でまた個別に紹介してみようと思います。

 

Apple Configurator2 を使って監視モード化する時の留意点

まず最初に、今回紹介する方法でiOS端末を監視モードにする時に意識しておくべきことをあげておきます。

• (a). 監視モードにするとき端末は必ず初期化される（アプリ・データ・設定等は削除される）
• (b). 監視モードにするときiOSのバージョンはアップデートされない
• (c). 監視モード化はMDMから遠隔で行うことができない

今ある端末の状態のまま監視モードにだけする…ということはできませんので注意して下さい。

また初期導入や運用プロセスを検討する際、(c)は特に注意しましょう。MDMで監視モード端末として管理をしたい場合には、MDMにDEP端末として登録するか、監視モード化してからMDMにチェックインする必要があります。

以上が主な留意点です。それでは、iOS端末を監視モードにする具体的手順を見てきましょう。
 

詳解 : AppleConfigurator2 を使った監視モード化

まず、AppleConfigurator2がインストールされたMacと監視モードにしたいiOS端末(iPhone,iPad,iPod touch)を用意してください。

(1) 対象となるiOS端末をUSBケーブルでMacと繋ぎます

(USB Hubを使えば連続して監視モード化するのも容易)

(2) AppleConfigurator2を起動し、端末一覧から監視対象にしたい端末を選びます。右クリックから [準備] をクリックするか、ツールバーの [準備] アイコン（ギヤボタン）をクリックします。

(3) デバイスを準備というダイアログが現れますので、以下のように指定します。

(「ペアリングを許可」をOFFにすると、監視モード化した端末は本作業実施Mac以外では制御できなくなる)

(4) MDMに登録するかどうかを聞いてきますので、ここでは「MDMに登録しない」のまま[次へ]をクリックします。

(5) 割り当てる組織を選びます。

監視モード化における「組織」とは何でしょうか。

監視モードの端末は、特定組織が保有する端末であることを前提としています。監視モードでできることを考えれば当然ですね。監視モードのiOSでは、どの組織の端末かを示す情報が保持されるようになっており、この画面ではその組織情報を選択または新規登録します。

もし本作業を行うMacが過去に別の端末を監視モード化をしたことがある場合、すでに組織情報が登録されている筈ですのでリストボックスから選択して「次へ」をクリックし手順(9)に進みます。

監視モード化の作業が初めてのMacでは新規組織を選択して「次へ」をクリックします。

(6) 新規組織を選択した場合、AppleIDでのログインが求められます。ASM(Apple School Manager)やABM(Apple Business Manager)のアカウントがない場合は「スキップ」をクリックします。

ABM(Apple Business Manager)のアカウントがある場合は、ABM利用申請時に登録した組織情報をそのまま取り込むことができますので、管理上の観点からここでログインするのがお勧めです。ここでログインに成功すると手順(8)に移ります。

(ABMについては「ABM(Apple Business Manager)とは何かを参照)

(7) 手順6でスキップした場合は、新規組織作成ダイアログが現れますので「名前」を入力します。

(名前のみが必須項目。iOS端末上では監視モード時の組織情報のうち名前しか表示されないので他は余り重要ではない)

(8) 管理識別情報を求められますので、前任の担当者や端末納品SIerから指定がない限りは前者の「新しい監理識別情報を生成」を選択して「次へ」をクリックします。

(9) 監視モードではiOS初期設定時の各種画面をスキップできます。ここではスキップしたい画面のチェックボックスをOFFにして「準備」をクリックします。

(スキップした設定は基本的にデフォルト値となる)

(10) 端末の状態によっては以下の警告が表示されます。アプリやデータは全て削除されますので、本当に監視モード化したい端末かどうかを確認して「消去」をクリックします。

(一度でもHOME画面まで進めたことのある端末の場合この警告が表示される。つまり大半の端末で表示される)

(11) 監視モード化のプログレスバーの表示を待ちます。1台あたり所要時間は2,3分程度です。

(Apple Configurator2 上の一覧から該当端末はいったん消える)

(12) 端末が再起動され、監視モード端末として Apple Configurator2 の一覧に表示されます。

以上でiOS端末を監視モード化する作業は終了です。iPhone, iPod touch, iPad のどれであっても手順は同様です。

 

監視モード化の作業を間違ってしまった場合

万が一、作業を間違った（違う組織を割り当ててしまった、アシスタント画面の設定を誤った…など）場合、もう一度手順1からやり直します。監視モード化した端末を連続で監視モード化しても大丈夫です。納得いくまで何度でもやり直しましょう。

ただ、間違っても「復元」だけはしないようにして下さい。「監視モードにしてしまったけど、やっぱり監視モードを解除したい」という場合にやりがちなミスオペレーションです。

Apple Configurator2 から「復元」すると、iOSが最新版にアップデートされてしまいます。状況によっては致命的なことになりますので十分に注意して下さい。（監視モードにしたかっただけなのに旧バージョン端末を喪失してしまうという惨事に…）

監視モードだけを解除するには、iOS端末側で初期化する必要があります。「設定」アプリを起動して、[一般]→[リセット]→[すべてのコンテンツと設定を消去] をタップします。

初期化＆再起動後、監視モードではない端末として Apple Configurator2 の一覧に現れます。

 

以上、Apple Configurator2 を使った監視モード化について解説しました。監視モードの詳細については iOSの監視モード（Supervised Mode）とは何か をご覧ください。また Apple Configurator2 については Apple Configurator2 とは を参考にして頂くと良いかと思います。

2020.11.23

iOSの監視モード（Supervised Mode）とは何か

iOSには大きく2つの動作モードがあります。1つは普段から使用している通常モード、もう1つは各種制限をかけられる監視モード(Supervised Mode)です。

(iOSDC Japan 2020 での講演スライドより)

監視モードとは、iOSの標準機能の多くに制限をかけたり特別な振る舞いをさせることができる特別なモードのこと。企業でのiOS利用を想定してAppleが用意してくれているもので、Apple Confirugrator2 を使うなど複数の方法で有効にすることができます。

監視モードでは、標準アプリを非表示にしたり、逆にアプリを削除できなくしたり、管理部門にとっては非常に都合がいいことが多いため、昨今では企業が調達して配布・配備するiOS端末は、監視モードにするのが当たり前になってきています。

(提案力UPに繋がるので、SIerやアプリ開発会社も監視モードを理解していることが推奨される)

監視モードについて知ってるか知らないかは、エンドユーザ企業では運用のし易さ、アプリ開発会社では提案の優劣に影響します。そこで本稿では、監視モードで何ができるようになるのか？について以下3点を解説します。

• (A) サイレントインストールが行えるようになる [インストールの強化]
• (B) 構成プロファイルの「管理対象のみ」の設定項目を使用できるようになる [設定の強化]
• (C) MDMやApple Configurator2 から特別な命令(コマンド)を送れるようになる [制御の強化]

本稿を読むことで、監視モードとは何かをイメージして頂けるようになると思います。(監視モードにする方法は iOSを監視モードにする方法 〜保存版 : Apple Configurator2編〜 をご覧下さい)

 

(A) サイレントインストールが行えるようになる (インストールの強化)

監視モードでは、アプリや構成プロファイルのインストール時の振る舞いが少し変わります。具体的には、

• (1) MDMを使ったアプリのインストール
• (2) Apple Configuartor2 を使った構成プロファイルのインストール

この2つのインストールの際に、デバイス側の確認が不要となりインストールを強制できるようになります。順に見ていきましょう。

(1) MDMでのアプリインストール

通常、MDMからアプリがインストールされる時には以下のようなダイアログが表示されます。

(デバイス利用者がインストールに「同意」する必要がある。誤ってキャンセルを押してしまう可能性も…)

上図ではMDMからGmailアプリがインストールされようとしていますね。ただ、端末利用者が「キャンセル」を押せばアプリは当然インストールされません。一度キャンセルされてしまうと、MDMからの定期的な同期命令が届くのを待つか、手動でMDM上から命令を送るかしないとアプリをインストールさせられません。

いずれにしてもインストールするかしないかをユーザに委ねている状態ですから、台数が2桁/3桁/4桁と増えていくほどインストールの徹底が困難になることは容易に想像がつくでしょう。

MDMでアプリの配布は確かに楽になるのですが、インストールを強制させられるわけではないのです。

しかし監視モードでは、この確認ダイアログが表示されません。MDMからインストール命令が届いた途端、強制的にアプリがインストールされます。

(問答無用にインストールされる。翌朝起きるとアプリが勝手に増えているなんてことも可能)

これをアプリのサイレントインストールと言います。MDMでの設定さえ正しく行えば管理者の意図した通りにアプリインストールを徹底できるのですから、監視モードを使わない手はないでしょう。

(2) Apple Configurator2 での構成プロファイルインストール

Apple Configurator2 を使って構成プロファイルをインストールする場合、以前の記事(構成プロファイルの作成とインストールの基礎 〜Apple Configurator2を使う方法〜)で紹介した通り、端末側での操作が必要になるのでした。

(端末ユーザ側のオペレーションを必要とする)

しかし監視モード端末では、これも強制できます。

いちいちデバイス側で操作をしなくても、Apple Configurator2 から構成プロファイルがインストールされたら即設定が適用されます。(ちなみに、MDM経由のプロファイルインストールではデバイス側の確認はそもそも不要)

これを構成プロファイルのサイレントインストールと言います。

実際のところ Apple Configurator2 をメインツールにして管理運用するケースは限られますが、それでも検証やトラブル対応時に使うことはままあります。そんな時に作業効率UPに繋がるのは嬉しい仕様と言えるでしょう。

 

(B) 構成プロファイルの「監理対象のみ」の設定が使えるようになる (設定の強化)

次に制限の強化を見てみましょう。

監視モードでは、Apple Configurator2のプロファイルエディタで「監理対象のみ」と書かれた特別な設定、また構成プロファイル仕様書に supervised only と書かれた設定が使えるようになります。

(監理対象のみの項目は意外に多い。監視モードでなければ得られる恩恵は半減するということでもある)

監視モードで有効な設定には、例えば以下のようなものがあります。

• Single App Mode (単一アプリ制限モード)
• iOS アップデートの抑制
• WiFi接続先アクセスポイントの制限
• 標準アプリを非表示にする
• Appを削除できないようにする
• iOS を勝手に初期化できないようにする

魅力的な制限が並びますね。全て監視モードでなければ使えません。冒頭で「監視モードを知っているかどうかが提案の優劣に繋がる」と書いた意味がお分かり頂けるかと思います。

監視モードで制限できることの一覧は、以下のようにAppleが公開していますので見てみると良いでしょう。(iPhoneおよびiPadデバイスの監理対象の制限)

(監視モードでのみ制限できることが驚くほど多いことが分かる)

また、構成プロファイル仕様書を supervised というキーワードで検索して眺めてみるのもオススメです。

(Appleが公式に公開している仕様書なので、各設定のより詳細な情報を得ることができる)

一点念頭に置いておきたいのは「監理対象のみ」の項目は年々増えているという点です。

毎年iOSアップデートと共に設定項目が追加されますが、最近はほぼ追加される項目が「監理対象のみ」になっています。また、従来監視モードでなくても有効だった設定項目が「監理対象のみ」に格上げされるケースも多く見られます。

これは「業務用のiOSデバイスは極力監視モードで配備すべきである」というAppleからのメッセージであると捉えるのが順当でしょう。

 

(C) MDMや Apple Configurator2 から特別な命令を送れるようになる (制御の強化)

監視モードの端末では、通常モードではできない特別な制御も可能になります。例えば以下のようなことです。

• (1) 再起動
• (2) 管理対象紛失モード化

具体的にどのようなことか、以下順に見てみましょう。

(1) 再起動

監視モードの端末には再起動の命令を送ることができます。監視モードでない端末には送れません。

(MDMのBizMobileから遠隔再起動をしようとする様子。監視モードでない端末ではメニューに再起動が存在しない)

また、Apple Configurator2 からも再起動コマンドを送ることができます。

:
(監視モードになっていない端末でも再起動のメニューをクリックはできるが、再起動はしない)

ただ実際の運用では、再起動を使う機会は余り無いかも知れません。しいてあげれば Single App Mode の端末を初期状態に戻す時ぐらいでしょうか。ですが、監視モードの端末に再起動命令が送れることは覚えておいて損はないでしょう。

(2) 管理対象紛失モード化

実はiOSには管理対象紛失モードというさらに特別なモードが用意されています。監視モードの端末だけが、MDMから命令をうけてこのモードに切り替わることができます。名前の通り、端末を紛失した時に使います。

従来、端末を紛失した場合、遠隔で工場出荷時に初期化(リモートワイプ)するのが一般的な運用でした。ただこの運用では、紛失が勘違いだったとか、すぐ見つかったといった場合に「端末が見つかったは良いけど初期化された後だった」ということになってしまう可能性があったのです。

この課題を解決するのが管理対象紛失モード。MDMから命令を送ると以下のような画面になります。

(管理対象紛失モードに切り替わった端末の画面)

一度このモードに変わったが最後、以降はいかなる操作も受け付けられません。端末が見つかって利用者本人の手に戻ったら、管理者がMDMからモード解除してあげることで以下のような画面になり、再び使えるようになります。

(続けるをタップすると管理対象紛失モード化される直前の状態に戻る。もちろん監視モードのまま)

管理対象紛失モードはセキュリティと利便性を絶妙にバランスさせた機能といえます。

2つの例を紹介しましたが、このように監視モードでしか送れない特別なコマンドがあります。興味ある方は MDM Protocol reference の PDF を supervised で検索してみると良いでしょう。

 

まとめ

本稿では、監視モードとは何かについて解説しました。大きくは以下3つのことができるようになるiOSの特別なモードということでした。

• (A) サイレントインストールが行えるようになる [インストールの強化]
• (B) 構成プロファイルの「管理対象のみ」の設定項目を使用できるようになる [設定の強化]
• (C) MDMやApple Configurator2 から特別な命令(コマンド)を送れるようになる [制御の強化]

管理者にとって非常に都合の良い機能だということがご理解頂けたと思います。監視モードについては以下のような関連投稿がありますので併せてご覧ください。

• iOSを監視モードにする方法 〜保存版 : Apple Configurator2編〜
• iOS端末が監視モードかどうかを確認する方法
• iOSのアップデートができないように抑制する方法 〜前編〜
• iOSのアップデートができないように抑制する方法 〜後編〜

2020.10.2

構成プロファイルの作成とインストールの基礎 〜Apple Configurator2を使う方法〜

以前の投稿で紹介した通り、構成プロファイルとは

iOSの設定情報が記述された設定ファイルのことで、通常はmacOS専用ソフトウェアの Apple Configurator2 を使って作成します。

ということでした。そこで本稿では、Apple Configurator2 を使った構成プロファイルの作成と、作成した構成プロファイルをiOS端末にインストールして確認する方法までをご紹介します。

(macOS BigSur の登場と共に Apple Configurato2 のアイコンは初めて変更された)

 

Apple Configurator2 で構成プロファイルを作成する

構成プロファイルを作成する方法を一つ一つ順を追ってみていきましょう。

(1) まずApple Configurator2 をインストール＆起動して、構成プロファイルエディタを立ち上げます。メニューから [ファイル]→[新規プロファイル] をクリックするか、command + [N] のショートカットです。

(2) 最初に [一般] という項目にフォーカスがあたっています。これは構成プロファイルの基本情報でインストール時や確認時に参照されます。運用保守のことを考えて、関係者が分かり易い表記にしておくのが良いでしょう。

各項目の詳細は以下の通りとなっています。

項目名	必須	内容
名前	◯	構成プロファイルにつける任意の名前を指定します (インストール時やインストール後の設定アプリ内に表示されます)
識別子	◯	構成プロファイルを一意に識別する識別子を指定します
組織		会社名や部署名などプロファイルを作成した組織名を入力します (インストール時やインストール後の設定アプリ内に表示されます)
説明		構成プロファイルの概要を入力します (インストール時やインストール後の設定アプリ内に表示されます)
同意メッセージ		構成プロファイルで設定することの同意を求める文章を入力します。 インストール時の「承諾」画面に表示されます
セキュリティ	◯	プロファイルの削除を可否を定めます。 「常に」「認証時」「取り除かない」の3つから選択します。 通常は「常に」を選びます
プロファイルを自動削除	◯	プロファイルを自動削除する場合に設定します。 「自動削除しない」「指定日」「一定期間後」の3つから選択します。 通常は「自動削除しない」を選びます

必須でない項目も幾つかありますが、分かり易さのために全て入力しておくことをお勧めします。

(3) 次に構成プロファイルに含める設定項目を選びます。項目は多岐にわたり「制限」「ドメイン」「VPN」など約30カテゴリありますが、ここでは比較的分かり易い Wi-Fi を選んでみましょう。(1つの構成プロファイルに複数のカテゴリの設定が含まれても問題ありません)

(4) [構成] ボタンを押すと WiFi カテゴリで設定できる詳細項目が現れます。WiFi設定ではおなじみのSSIDやパスワードの入力欄が現れますので入力します。

余り馴染みのない「キャプティブネットワーク検出を無効にする」や「高速レーンのQoSマーキング」などの項目は、関連しそうな部署や出入り業者の担当者に確認して必要に応じて入力します。(ちなみに前者は公衆無線LANで使う機能、後者はCiscoのアクセスポイントで使える機能です)

ちなみに、複数のWiFi設定を入力したい場合、複数の構成プロファイルを作る必要はありません。構成プロファイルには複数の設定情報を含めることができるからですね。構成プロファイルエディタにも、複数設定を指定できる機能があらかじめ備わっています。

右上の [+] ボタンをクリックして追加します。新たな WiFi 設定フィールド一式が現れますので入力しましょう。追加できる個数に上限はありません(異なるWiFi設定を200個以上登録して運用した実績があります)。削除したい場合は [-] をクリックです。

(5) メニューから [ファイル]→[保存] をクリック(またはショートカットの [command] + [S] を入力)して、適切なファイル名を付けて保存します。拡張子は .mobileconfig となります。

以上で構成プロファイルの作成作業は完了です。

 

Apple Configurator2 で構成プロファイルをインストールする

インストールする方法は色々ありますが、ここでは Apple Configurator2 を使ったインストール手順をご紹介します。

(1) Apple Configurator2 を起動するとmacと接続されているiOS端末が表示されます。目的とする端末があるかどうか確認します。もしなければ正しくUSB接続ができているかどうか確認しましょう。

(十数台をUSBハブで接続する場合、ハブの性能や電源状態によって認識されないこともあるので要注意)

(2) ダブルクリックするとiOS端末の詳細情報が表示されます。

(3) 左サイドバーのプロファイルをクリックします。

(構成プロファイルだけでなく、InHouseアプリのプロビジョニングプロファイルも列挙される)

(4) 作成した構成プロファイル( .mobileconfig)をドラッグ&ドロップします。

(5) 構成プロファイルをドラッグ&ドロップした直後、iOS端末側では下図のようなダイアログが表示されます。(監視モードの端末の場合はこの限りではありません)

(6) ダイアログの指示に従って設定アプリを起動します。[プロファイルがダウンロードされました] という項目が現れていますのでタップします。

(7) 構成プロファイルの詳細情報が表示されます。構成プロファイルエディタの「項目名」「組織」「説明」「内容」で入力した内容が表示されますので、間違いがなければ [インストール] をタップします。

(8) 構成プロファイル作成時に入力した「同意メッセージ」が表示されます。[次へ] をタップします。

(9) 構成プロファイルが署名されていない場合、最後に警告が表示されます。正しく署名を行うことで警告が表示されないようにできるのですが、詳細は別記事に譲ります。ここではこのまま [インストール]→[完了] と順にタップすることにします。

   
(署名方法は幾つかあるが理想はMDM配信。Apple Configurator2 の利用シーンにあわせて署名ポリシーを決めるのが賢明)

以上で構成プロファイルのインストールは完了となります。

 

インストール済みの構成プロファイルを確認する方法

iOS端末上で、インストールした構成プロファイルの詳細を確認できます。

構成プロファイルを1つでもインストールしたiOS端末では、設定アプリ上で [一般]→[プロファイル] というメニューが追加されます。

   

[プロファイル] のメニューから、上記のように構成プロファイルごとに詳細設定まで確認することができます。

 

本稿では構成プロファイルの作成とインストールの基本について解説しました。Apple Configurator2 を使う方法以外にも、MDM・手入力・プログラム生成など様々な方法で構成プロファイルを作成することができます。これらはまた別の投稿でご紹介したいと思います。