2021.6.7

MDMとDEPの組み合わせで設定アシスタントをカスタマイズする

前回の投稿でDEP(Device Enrollment Program)は以下の特徴を持つ特別なiOS端末(DEP端末)を購入できる制度だという紹介をしました。(DEP端末の購入方法は前回の投稿を参照)

  • 自動的にMDMにチェックインする
  • 自動的に監視モード(Supervised Mode)になる

自動チェックインによってMDMから設定(構成プロファイル)もアプリも勝手に流し込まれることになりますし、同時に監視モードにもなるわけですから、DEP端末は非常に便利です。

監視モードでは、構成プロファイルで「管理端末のみ」の設定を流し込める以外にも、設定アシスタントのカスタマイズも可能です。有線接続したiOS端末に対して、Apple Configurator2 から監視モード化する途中で設定するのでした。(参考 : iOSの監視モードとは何か)


(Apple Configurator2 で監視モード化した後の再起動で初期の各種画面をスキップする設定ができる)

では、自動で監視モードになってくれるDEP端末ではどうでしょうか。同じように設定アシスタントをカスタマイズできるのでしょうか。

答えはもちろんYESです。

ただDEP端末の場合は Apple Configuartor2 を使いません。出荷前のDEP端末にMacを有線接続できる筈もありませんから。ではどのようにやるのか。本稿では、DEP端末に対して設定アシスタントをカスタマイズする方法と、実際にカスタマイズした端末の挙動を紹介します。

 

MDMでDEP用のプロファイルをカスタマイズする

再掲になりますが、Apple Configurato2 による監視モード化では以下のような画面で設定アシスタントのカスタマイズをしました。


(表示するアシスタント画面を取捨選択できた。上図は全部スキップする例)

DEP端末の場合は、MDMサービスの管理画面から同様のことを行います。


(設定アシスタントの各画面のON/OFFをMDM上で指定する様子。項目はiOSアップデートと共に数が増えていく)

設定アシスタントの設定をひとまとめに「プロファイル」と言います。iOSに対する設定を表す「構成プロファイル」と言い方が似てますが似て非なるものです。間違えないようにしましょう。区別しやすいようにDEPプロファイルと呼ぶMDMサービスもあります。(本サイトでも分かり易さのためにDEPプロファイルと呼びます)

MDM上でDEPプロファイルを作った後、それをどのDEP端末に適用するかを紐付けます。


(BizMobileではDEPプロファイルを複数作成できどの端末に紐付けるかを設定できる。n:nの設定ができて便利)

MDMによっては、DEP端末全体に1つのDEPプロファイルしか設定できないものもあります。つまり、スキップするパターンを複数作れないということです。この是非は企業毎によりますのでMDM選定の際の判断基準にすると良いでしょう。(配布するアプリによって全部スキップが適切でない場合もあります)

さて、以上でDEP端末の設定アシスタントのカスタマイズは完了です。スキップするしないを定めるDEPプロファイルを作り、適用したいDEP端末に紐付けただけです。簡単ですね。

このあと、DEP端末の電源をONすると自動的に

  • MDMに自動チェックインして監視モードになる
  • DEPプロファイルの指定通りに設定アシスタントが表示される
  • MDMから構成プロファイルやアプリがインストールされる

となるわけです。以下に実際の様子を動画にしてみましたので見てみて下さい。(音が出ます)


(設定アシスタントがカスタマイズされており、開梱直後なのに「ようこそ」とすら言われずHOME画面にいくのが分かる)

箱から出して初めて電源ONした端末(iPod touch)が、WiFiの設定をしただけで、設定アシスタントをほぼ何も表示せずHOME画面に遷移し、監視モードでしかできない「標準アプリの非表示」まで自動で行っている様子を確認できます。

Zero Touch Deployment がどれだけ楽か感じて頂けると思いますがどうでしょうか。

 

DEPプロファイルはiOSの進化と共にメンテしていく必要がある

何度もiPhone/iPadを買い替えている方は、設定アシスタントがiOSアップデートと共に増えていくことをよくご存知でしょう。昔は設定アシスタントの画面は数える程でしたが最新のiOS14では結構な数の画面になります。

設定アシスタントの各画面のON/OFFを決めるのがDEPプロファイルですから、実はiOSが更新される度にDEPプロファイルも追随していく必要があります。おそらく新しく追加されるアシスタント画面もスキップしたいですよね。


(各項目がiOSバージョンの幾つから増えたのかが分かる。iOSアップデートの度にMDMもアップデートされる)

DEPプロファイルは一度作ったら終わりではなく、毎年DEPプロファイルをメンテナンスしていくようにしましょう。メンテナンスを怠ると、設定アシスタントを全部すっ飛ばすつもりが最新iOS端末でなぜか1,2画面は表示されてしまう…ってなことが起こってしまいます。

まさに上で紹介した動画の最後がそうなっていますね(笑) 以下は動画中の 02:00 あたりの様子で、設定アシスタントがスキップしきれていないことが分かります。


(DPEプロファイルの作成後にメジャーアップデートされたiOSをDEP購入するととこうなる)

クリティカルな現象ではありませんが、余計なサポート時間を減らす意味でもDEPプロファイルは毎年更新を徹底するのが賢明です。継続的にiOS端末を新規DEP購入しながら展開していくことが見込まれる企業では特に意識しておきましょう。

 

以上、DEP端末での設定アシスタントのカスタマイズについて解説しました。

理想をいうと、DEP端末を現場配布する前に、設定アシスタントのスキップが意図した通りに行われるか「お試し」したいものですが、端末1台で1回しかできないテストのために端末を余計に購入するのは現実的ではありません。Appleや販売店的には嬉しいでしょうが。ただ、このテストを費用をかけずに何度も行う方法がありますので、また別の記事で紹介したいと思います。

DEPは本当に強力な仕掛けですのでMDMと組み合わせて是非使いこなして下さい。

2021.5.31

DEP(Device Enrollment Program)とは何か

MDMは業務用iOS端末管理には必須なものですが、MDMだけで理想的な端末管理環境は構築できません。MDMだけに頼った端末管理では以下の課題に直面します。

  • (A) MDMチェックインが面倒くさい
  • (B) 監視モードにするのが面倒くさい

(A)については MDMの導入から利用開始まで(2) -MDMチェックイン- を、(B)については iOSを監視モードにする方法 〜保存版 : Apple Configurator2編〜 をそれぞれ参照して下さい。

(A)も(B)も原則1台1台手動で行う必要があり、数十台・数百台と台数が増えるほど結構な労力が必要になります。さらに一桁増えて数千台になるといよいよ現実的ではなくなってきます。

そこで、こう考えるわけです。「MDMチェックインを楽にできないか?」「監視モードをMacとの有線接続に頼らずにできないだろうか?」と。本稿では、そんな思いに応えてくれる仕組みDEP(Device Enrollment Program)について解説します。

DEPを使いこなすと端末管理の労力が10分の1に、いぇそれ以上の労力削減効果がありますのでので是非使いこなして下さい。

 

DEPで得られる恩恵

DEPにより以下のことが可能になります。

  • 自動でMDMチェクインできる
  • iOS端末を最初から監視モードにできる

この2つの特徴を備えた特別なiOS端末を購入できる制度をDEP(Device Enroll Program)と言います。そして、この購入制度で購入した端末をDEP端末と呼びます。

DEP端末では、チェックイン操作も監視モード化する作業も不要です。購入したiOS端末を従業員にただ配るだけ。電源を入れてWiFiに繋ぐと自動でチェックインされ、勝手に監視モードになり、続いてMDMからアプリや設定(プロファイル)が同期されて、初期設定作業が自動で完了します。

なんて素晴らしい仕組みなのでしょう。この全自動設定を Zero Touch Deployment と呼ぶこともあります。


(DEPを活用した業務用アプリ配布の全貌を示す図。ABMやMDMと蜜に連携し、全自動設定を実現する)

今までの人海戦術を使った設定作業は一体何だったのか。DEPがまだない時代にiOS端末を初期設定した経験がある管理部門の方は特にそう思うでしょう。電源をONして、WiFiに繋ぐ(またはキャリア回線と疎通する)と全ての設定が勝手に終わるのですから。

DEPは労力軽減を目指す管理部門にとっての福音です。その恩恵を受けるにはDEP端末を手に入れる方法を知る必要があります。どうすればいいのでしょう?

 

DEP端末はどうやって手に入れるのか

以下に掲げる2つの方法で、DEP端末を手に入れることができます。ただし制約があり法人のみです。残念ながら個人はDEPの恩恵を受けることはできません。

  • Appleから直接購入する
  • Apple VAR や三大携帯キャリアから購入する

注意すべきポイントはDEP端末として購入する必要があること。法人名義で端末を発注すれば、勝手にDEP端末として納品される…というわけではありません。購入時にDEP端末を購入したい旨を伝えることが必要です。なぜなら、DEP端末はABMと連動するようApple側で特別な受注処理が必要になるからです。(参考 : ABM(Apple Business Manager)とは何か)

普段から Apple 製品を業務で使っていて、Apple Japan 法人部門の担当者がついている場合や、Appleの正規販売代理店(Apple VARと言います)の担当者がついている場合は、発注を申し出ると「DEP端末としてですよね?」と気の利いた対応をしてくれる筈です。

一方でApple製品をまとめて購入するのが初めての企業の場合は注意が必要です。間違っても近くの量販店で個人購入と同じノリで買わないで下さい。以下3つの選択肢のいずれかで進めましょう。

  • (A) リアル店舗の Apple Store で法人担当に繋いでもらう (Apple Store には法人担当がいます)
  • (B) Apple at Work のサイトを参照し電話等で Apple に相談する
  • (C) Apple VAR の一覧から正規販売代理店を選んで連絡する

個人的にお勧めなのは(A)か(B)です。ある程度の数が見込まれたり継続的な端末導入が予定されている場合は、自社専用 Apple Online ストアを作ってくれたりもします。


(自社専用のオンラインApple Store。画面左上に for XXXX と自社名が入る)

見積・発注機能も備えたECサイトとなっており、ここからオンライン購入するだけで自動的にDEP端末として納品されるようになります。Appleから直接購入する場合、3桁4桁の台数なら法人割引をして貰える可能性がありますのでApple法人部門の担当者に尋ねると良いでしょう。

 

以上、DEP(Device Enrollment Program)についての概要とDEP端末を入手する方法について解説しました。購入したDEP端末がどのようにMDMに自動チェックインされるのか、具体的な仕組みの部分は別の投稿で紹介したいと思います。

最後に余談ですが、2020年頃からは、DEPのことをADE(Automated Device Enrollment)と表記するケースもありますので覚えておくと良いでしょう。これについても機会があればまた別投稿で紹介しようと思います。

DEP端末についての悩み事がある場合は、よろしければ当所コンサルティングサービスからお尋ね下さい。

本サイトはACNメンバーの(株)フィードテイラーが運営するエンタープライズiOS情報サイトです

最近の投稿