(Apple at Work のサイトでは管理端末として MacBook が映っていることが多い)

ということで本稿では、業務でiOS端末を導入することになった場合の管理業務用Macのお勧めチョイスと、その購入方法について紹介します。以下目次です。

• 全てのMacがiOS端末管理用途に十分すぎるスペック
• 価格と使い方で選ぶと選択肢は2つに絞り込める
• 中古のMacではダメなのか？
• Macを買わないという選択肢はあるのか？
• Macはどこで購入すべきか？

順に見ていきましょう。

全てのMacがiOS端末管理用途に十分すぎるスペック

ものすごく乱暴に書くと、2023年3月時点で Apple が公式に販売している Mac であればどんな Mac でも構いません。Mac のラインナップには、

• Mac Pro
• Mac Studio
• MacBook Pro
• MacBook Air
• Mac mini

等がありますが、いずれも端末管理の用途としては十分すぎるスペックを持っています。本サイトをご覧頂くと分かりますが、iOS端末管理用途で必要なことは、

1. MDMの操作
2. Apple Configurator の操作
3. 独自業務用アプリのビルドや再署名 (極めて稀)

ぐらいで、いずれを行うにもスペックが不足することはまずないからです。従って、スペックの心配はさておいて、価格と使い方の両軸で選択すると良いでしょう。

価格と使い方で選ぶと選択肢は2つに絞り込める

使い方とは、iOS端末管理の業務をどのように行うか…です。管理業務においてiOS端末とどのように向き合うことになるのかで選ぶべきMacが異なります。

また、前節で「今売ってるものならどんな Mac でも構いません」と書いた通りどれでも良いわけですから、価格が安いほうが良いにきまってます。というわけで、買うべき Mac は以下2通りに絞り込むことができます。

MacPro, Mac Studio, MacBook Pro は、驚くほど高額でかつ、iOS端末管理業務に使うにはオーバースペックにも程があるという水準なので、通常は選択肢には入りません。

それぞれの最低モデルの価格(税込)は2023年3月時点で以下の通りとなっています。

Apple 製CPU (Apple Silicon) の世代を選択できるようになっていますが、2023年春時点で最新のCPU(M2)にする必要はありません。Apple Silicon であるという時点で一世代前のM1であっても管理業務には超高スペックです。

(MacBook Air の購入でM1かM2かを選ぶ画面。M1でも十分高性能)

CPUを決めると次にメモリ/SSDの容量で選択肢が現れますが、いずれも変更不要です。デフォルトの最小スペックで十分です。

(いわゆるBTOができるが基本的には不要)

メモリを増設しないと Apple Configurator が快適に動作しない…なんてことはありませんので、安心して最低スペックのものを選んで下さい。また冒頭で書いた「3. 独自業務用アプリのビルドや再署名」の少し開発よりっぽい作業が必要な場合であっても十分です。

なお、価格優先で後者の Mac mini にする場合、いわゆるデスクトップ型なので、モニター・キーボード・マウスorトラックパッド等の周辺機器が必要になります。予備が社内にあるなら、それを使えば初期コストを安くできます。

(Mac mini は本体のみ。入出力装置は全て別途揃える必要がある)

iOS端末を導入後に、どのような管理業務体制となるかを考えて、ノート型にするかデスクトップ型にするかを決めましょう。BESTチョイスをあげてくれと言われれば、個人的にはノート型で最安価の M1 MacBook Air (¥134,800) です。

中古のMacではダメなのか？

ダメ…ではありませんが、オススメはしません。

Apple は Microsoft と違い、容赦なく旧ハードウェア・旧OSを切り捨てていく企業です。対応の遅い企業に配慮して InternetExplorer のサポート期間を何度も延命した Microsoft とは、根本的に思想が違う事を十分認識しておく必要があります。

Apple は古いものを使い続けることをよしとせず極力最新のものを使うことを要求します。公私ともに約20年Apple製品を使い続けている筆者の感覚的には、OSは2,3世代前まで、ハードウェアは5,6世代前までがサポート範囲です。

(2023年3月時点で最新のmacOSのサポート対象一覧。5,6年程度までがサポート範囲)

MicroSoft のほうが法人に優しい、Appleは厳しい…ということではありません。Apple が古いものを切り捨てるのはセキュリティの為です。購入したMacを長く使えるように、またセキュリティのために、管理業務用Macはなるべく新規に購入することをお勧めします。

中古Macを購入した場合には、以下のような困った事態になる可能性が高いことも覚えておくと良いでしょう。

• しばらくは中古Macで管理業務ができる
• ある年から新しいmacOSにアップデートできなくなる (最新OSの対象ハードウェアから除外される)
• 結果、新しいmacOSに対応した Apple Configuratorを使えない (Apple Configurator も古いOSを除外する)
• 結果、新しいiOS端末を適切に管理できなくなる (欲しい設定を含む構成プロファイルを作れない等)

数年前のモデルを中古で購入すれば、この状況に陥る年月が早く到来するということです。その点も考慮して本当に中古にするか検討して下さい。もし、導入しようとするiOS端末が2,3年の有期限的な用途だといった事情があるなら管理業務用Macは中古でも十分でしょう。

Macを買わないという選択肢はあるのか？

MDMでほぼ全ての管理業務を行うことができますので、Macを買わないという選択肢を完全には否定しません。有りといえば有りでしょう。

(ぶっちゃけMDMだけで管理業務はできる)

ただ Macを社内に置かないということは、管理業務でApple Configurator を使わないことを意味しますので、以下のような不自由を強いられることになります。

• 端末に流し込む構成プロファイルを作成しにくい
• 端末を監視モードに変更しにくい
• 端末をDEP(ADE)端末に変更しにくい

特に、後ろ2つの監視モードとDEP(ADE)は昨今の業務用端末では MUST な設定ですので、正直 Apple Configurator を全く使わない運用は厳しいものがあると考えます。以下も参考にして下さい。

• iOSの監視モードとは何か (Supervised Mode)
• DEP(Device Enrollment Program)とは何か
• SDE, ADP, DEP, ABM, ADE…名称がコロコロ変わる端末登録の歴史

有事の際のサポートスピードや、柔軟な対応ができるかどうかに影響を与えますので、Mac無しでのiOS端末管理業務は余りお勧めしません。円滑な管理業務はメーカ標準・メーカ推奨で揃えてこそです。また、Apple Configurator に触れることで、管理業務スキルが身につくという一面も忘れてはなりません。

結論はこうです。

iOS端末管理業務に十分精通している人が「ウチならMDMだけで十分だ」と判断できる場合を除き、iOS端末導入で初めてApple製品を導入する企業は、管理業務用のMacを必ず購入すべきです。

Macはどこで購入すべきか？

色々と選択肢が考えられますが、自社に都合の良いスタイルを選ぶと良いでしょう。以下に主だった選択肢を列挙します。

• (A) 家電量販店で購入する
• (B) Apple Store Online で購入する
• (C) Apple Store (リアル店舗) で購入する
• (D) Apple正規販売代理店(Apple VAR) に発注する
• (E) 自社専用の Apple Store Online を用意して貰って購入する

会社のルール上、現金やカード決済が難しく、買掛けの請求書払いしかできないなら (D) か (E) です。もしこちらのページに普段IT関連機器調達先としている企業があるなら、そこに依頼するのが一番手っ取り早いでしょう。

Apple と直接やりとりがしたい場合は (B) か (C) か (E) です。(C) のリアル店舗なら、各店舗に法人部門の方がいますので、店内スタッフの方に法人として購入したい旨を伝えると対応してくれます。場合によっては (E) を用意してくれたりもしますので尋ねてみると良いでしょう。ちなみに弊社は (E) です。

(弊社専用に用意して貰った Apple Store Online。ヘッダ部分に「for FEEDTAILOR INC.」と弊社名が明記されている)

また、購入ではなくリースという手段もあります。

が、一般のリース会社からのMac調達は需要と供給のバランスから高額過ぎるため推奨されません。唯一オススメできるのは、Apple Financial Service の利用です。車の残価設定付きリースのApple製品版と言えるサービスですね。

(再販価値の高いApple製品だからこそできる残価設定付きリース)

条件が厳し目ですが、国内であれば Too さんが窓口になりますのでこちらを参考に問い合わせてみると良いでしょう。

以上、管理業務用のお勧めMacについての紹介でした。iOS端末を初めて業務に導入する場合は、Macの同時購入が強く推奨されます。参考にして頂ければと思います。

(WWDC2020でMac端末の自動初期設定を紹介するセッションで zero touch という言葉が使われた)

Deployment とは多数の業務用端末を管理下に置いてポリシーに基づく設定を行うことです。その煩わしい作業を Zero Touch でやることを Zero Touch Deployment と呼んでます。さすがに文字通り Zero Touch とはいかないので実のところ誇張表現ですが、1台1台ポチポチ設定する行為がほぼ不要なので Zero と言っています。

誇張表現になっているからかなのか分かりませんが、Appleが公式に Zero Touch Deployment ということは実は余りありません。また他のエンタープライズiOS用語のように略称で呼ばれることもありません。例えばZTDとでも略記しそうなものですが、そのような表記もありません。

ですが、Zero Touch Deployment を正しく理解しておくことは重要です。設定作業の省力化を突き詰めた究極の理想形であり、全ての業務用iOS端末が目指すべきゴールだからです。

そこで本稿では Zero Touch Deployment の全体像を解説します。複数のエンタープライズiOSキーワードの理解が必須となりますが、長くなるので個別の説明は省きます。ただ既存投稿を参照情報として示して説明しますので、適宜関連投稿を参照しながら読み進めて下さい。

また、最後に Zero Touch Deployment が機能している様子が分かる動画も紹介します。

Zero Touch Deployment = MDM + DEP + ABM

業務用端末で一番大変なことは設定作業です。5台10台なら手作業で何とかなりますが、50台を超えて3桁4桁の台数になってくるともう手に負えなくなります。

(有線だと十数台設定しようとするだけでこんなことになる)

そこで役立つのが MDM (Mobile Device Management)。端末を支配下に置き、遠隔でアプリや設定を流し込めるようになって設定作業を省力化できるのでした。

• MDMとは何か 〜今さら聞けないMDMの基礎〜

ただMDMで万事解決とはいかないことに注意が必要です。そもそもMDMにチェックインしなければ、MDMから遠隔設定やアプリ配布はできません。ではそのチェックインは誰がやるのか。3桁4桁に及ぶ台数の端末のMDMチェックインを手作業で行うのは苦行でしかなく、現実的ではありません。

• MDMの導入から利用開始まで(2) -MDMチェックイン-

それを楽にしてくれるのが DEP (Device Enrollment Program)。DEPの仕組みを使えば、端末をMDMに自動チェックインさせられるのでした。

• DEPとは何か
• SDE, ADP, DEP, ABM, ADE…名称がコロコロ変わる端末登録の歴史

では DEP はどうすれば使えるのか。DEPはMDMチェックインを自動化する仕組みですから、MDMに内包される機能ではない筈です。MDM外の世界に別の仕組みが必要になります。それが ABM (Apple Business Manager) なのでした。

• ABM(Apple Business Manager)とは何か

DEPが使える端末は購入と同時にABMに自動登録され、それらがMDMに連携される。この3つが連携してはじめて Zero Touch Deployment が実現できるというわけです。

Zero Toutch Deployment を行う手順

前項のとおり MDM + DEP + ABM ですので、以下のようにやるべきことは多岐に渡ります。

(1) MDMを契約する
(2) ABMアカウントを取得する
(3) ABMとMDMを連携させる
(4) DEP端末を購入する
(5) ABMでDEP端末をMDMに割り当てる
(6) MDMでDEP端末の自動チェックイン時の設定を行う
(7) MDMでDEP端末に割り当てるアプリやiOS設定情報を紐付ける

ここまでやってようやく、開梱してネットに接続すれば Zero Touch Deployment で自動設定完了できる環境の出来上がりとなります。一つ一つ漏れなく進めていく必要があります。前項に記した関連投稿リンク先を参照することで滞りなく進めることができるでしょう。

また、非公開アプリの配布を含めると上図のように App Store Connect や Custom App 等の理解も必要になります。こちらも長くなりますのでここでは割愛しますが、興味があれば以下を参照して下さい。

• iOSDC 2020 Day1 でエンタープライズiOSについて講演しました（YouTubeで収録動画が公開されました）

Zero Touch Deployment が機能する様子のノーカット動画

実は、Zero Touch Deployment が実際に機能する様子を目にする機会は余りありません。開梱から電源ONしてネットに繋げるだけで設定が完了する…という挙動ですから、そう何度も何度も新規端末購入とその開梱作業に立ち会える訳ではないからです。

そこで、実際に新規DEP端末購入した未開封の端末で Zero Touch Deployment が機能する様子の動画を公開することにしました。

以下は、Appleから納品された未開封のDEP端末である iPod touch を開封、WiFi に繋ぐだけでMDM自動チェックイン、監視モード化、設定アシスタントは「位置情報」のシートのみの表示とし、HOME画面で設定が適用される様子の動画です。設定は「設定アプリ以外を全部非表示化する」のみ。アプリ等は配信していません。(動画はノーカットで約3分)

Zero Touch Deployment の雰囲気や「楽さ」を感じて頂けると思います。

無論、この動画のような「標準アプリ非表示化」の設定は必須ではありません。あくまで見た目に分かり易い例にしているだけです。本来は、各企業や各案件ごとの要件に応じて各種アプリのインストールやその他iOS設定の流し込みをするようMDMを適切に設定することになります。

以上、Zero Touch Deployment の詳細と動画を紹介しました。是非活用してみて下さい。手順にも言及しましたが、自社で行うのは難しそうという場合は MDM ベンダーに頼るのが良いでしょう。弊社にご連絡頂いても結構です。

(設計図-ブループリントを作り、それを然るべき端末郡に適用する)

組織内の全端末が全く一緒というケースは稀ですので、多くの場合、設計図は幾つも作ることになります。ただ設計図を作るといっても、まずその設計図に何が含まれるのか網羅的に把握しておく必要はあるでしょう。

そこで本稿では、設計図を介してデバイスに流し込む「プロファイル」に何が含まれるかを解説します。ただ、MDMによって設定の仕方やUI/UX、使っている用語などが異なるという点は留意して下さい。冒頭の図に沿った基本的なMDMの考え方として捉えて頂ければと思います。

プロファイルは大きく3種類

エンタープライズiOSにおけるプロファイルとは組織として端末をどのように使わせるのかを規定するものです。別の言い方をすると、端末に対する「設定」「制限」「権限」「許可」といったものの定義情報と言えるでしょう。

アプリ開発者の方であれば、プロビジョニングプロファイルに馴染みがある筈です。これはInHouseアプリを起動する「権限」情報ですね。そのプロビジョニングプロファイルを含めて、プロファイルには大きく3種類があります。

そもそもプロファイルという言葉を使わないMDMサービスもありますので、この3種のプロファイル名が言葉通りには出てこなくても心配は不要です。

ようは、(1)OSレベルの設定、(2)DEP端末用の設定、(3)アプリの起動権限、この3つを設計図に紐付けることができるということだけ押さえて下さい。(DEP端末についてはこちらを参考)

順に詳細を見ていきましょう。

(1) OSレベルの設定・制限 : 何ができるか Apple Configurator2 に学ぶ

以前の投稿でMDMの設計指針は Apple Configurator2 のブループリントという機能に学ぶと良いと書きました。実は、Apple Configurator2は、構成プロファイル(OSレベルの設定・制限)について学ぶ学習教材としても最適なツールです。

というのも、適用可能な設定・制限をほぼ全てカバーする構成プロファイルエディタを搭載しているからです。厳密には Apple の公式情報 Configuring Multiple Devices Using Profiles を見るべきですが、Apple Configurator2 の構成プロファイルエディタでほぼ全てを楽に俯瞰することができます。

(Apple Configurator2 の構成プロファイルエディタ。カテゴリ毎に指定可能な設定・制限を俯瞰できる)

左のペインが設定・制限できる大分類です。画面キャプチャでは見えないぐらいにカテゴリが並んでいますね。それぐらいiOSに指定できる設定・制限が多様だということです。是非、手元のMacで Apple Configurator2 から構成プロファイルエディタを起動して、どんな設定が可能なのか眺めてみて下さい。(Apple Configurator2 の使い方はこちら)

さて一方で多くのMDMサービスは、Apple Configurator2 と同様の構成プロファイルエディタ(または設定・制限エディタ)を備えています。

(jamf NOW の画面。制限を指定している様子。構成プロファイルというキーワードは使用していない)

ですが、いきなりMDMサービス上で設定・制限を設計することは余りお勧めしません。MDMサービスの契約プランによって使えない機能があり全貌を把握できない場合があるからです。また、iOS以外にWindowsやAndroidの設定用UIまで混在しているMDMもあり、MDM利用経験が浅い方は混乱必至だからです。

(あらゆるOSの設計図を Policy という概念でまとめている hexnode mdm の例)

これに対し Apple Configurator2 の構成プロファイルエディタなら、iOSに限定してどんな設定ができるのかだけを、ほぼ全て把握できます。またADP/ADEPで developer 登録していたり AppleSeed for IT の契約をしている場合は、未公開beta版の Apple Configurator2 を先行して見ることもできます。

(リリース前のiOSに設定・制限できる見込みの内容を確認できる。これはサードベンダーのMDMサービスではできない)

そういうわけで、できれば常に最新バージョンの Apple Configurator2 の構成プロファイルエディタを使って、OSレベルでどんな設定・制限ができるのか概観しておきましょう。弊社では、情シス部門に最低Mac1台を用意して、リファレンスとして Apple Configurator2 をいつでも確認できるようにしておくことを推奨しています。(Beta版利用のためにもう1台加えた計2台が理想です)

(2) DEP端末の設定 : MDMサービスの管理画面で確認

DEP端末にはOSレベルの設定・制限とは異なる次元の設定・制限があります。これをDEPプロファイルと呼びます。例えば、MDM支配下から外れることを許可するかどうかや、初期設定アシスタントの表示抑制などが含まれます。(詳しくはこちら)

DEPプロファイルの一覧は残念ながら Apple Configurator2 では見ることができません。

 
(DEP化という作業を行う過程でDEPプロファイルに含める設定を見ることができるが面倒臭い)

MDM仕様書の Device Enrollment Program の章(p.96)を見るのもの良い選択ですが、英語な上にこちらも分かりにくいので余りお勧めできません。

(DEP端末の詳細が記載されているが、どちらかというとMDMサービスを開発するベンダーのための内容)

よってDEP端末の設定に何が指定できるのかは、使用しているMDMサービスのサポートに、DEP(Device Enrollment Program)やADE(Automated Device Enrollment)のキーワードを告げて確認するかマニュアルを検索するのが良いでしょう。(DEPやADEの違いについてはこちら)

(弊社がよく使うBizMobile Go!ではDEPプロファイルという設定画面が用意されている)

(3) プロビジョニングプロファイルは詳細確認不要

最後のプロファイルは、プロビジョニングプロファイルです。ただプロビジョニングプロファイルを普段意識する必要はないでしょう。意識する必要があるのは、

• MDMでInHouseアプリを配信している
• 当該InHouseアプリの ipa ファイルのリビルドや再署名が困難

という極めて稀なケースです。

余り知られていませんが、プロビジョニングプロファイルの期限が切れたからといってInHouseアプリを毎年再署名(再ビルド)する必要はありません。実は MDM でInHouseアプリ用のプロビジョニングプロファイルを単体で配信し、期限が切れたInHouseアプリの利用を継続させることができます。

そのような運用が必要な場合に、設計図にInHouseアプリ用のプロビジョニングプロファイルを登録します。ただこの機能に対応していないMDMもありますので注意して下さい。

(MDMの管理下にある端末には、プロビジョニングプロファイルを単体で配信できる)

なおプロビジョニングプロファイルは Apple の Developer Console で生成するもので、InHouseアプリの場合プロビジョニングプロファイルに特別な設定は特に行いません。せいぜい Bundle Identifier と署名時に使う証明書の指定ぐらいです。

(InHouse用のプロビジョニング作成時には特別な設定を何も行わない)

通常は、再署名やリビルドで毎年InHouse用のipaファイルを生成し直す運用が多いことでしょう。プロビジョニングプロファイルは当該InHouseアプリと共にデバイスにインストールされますので、普段は特別に意識しなくてもいいわけです。この件はまた別の投稿で詳しく解説します。

以上、MDMの導入設計に関連して「プロファイル」について解説しました。

今一度まとめると、「設計図」に盛り込むプロファイルが3つあるということでした。

• (1) 構成プロファイル
• (2) DEPプロファイル
• (3) プロビジョニングプロファイル

通常、MDM導入の設計時には構成プロファイル、つまりOSレベルの設定・制限を意識するのみで十分です。(1)に書いた通り Apple Configurator2 の構成プロファイルエディタを設計の参考にして下さい。

そこで本稿では、業務用iOS端末の登録(device enrollment)に関連してAppleが使ってきた用語を時間軸で整理します。端末登録(device enrollment)の用語の歴史を知って頂くことが、複雑なエンタープライズiOSを理解する一助になればと思います。

SDE(Streamlined Device Enrollment)

iOSがMDMに対応したのは2010年のiOS4のとき。MDM対応をうけてiOS端末の業務活用が急加速すると、MDMのチェックインや監視モードにする手間が問題視されるようになりました。

エンタープライズ強化を図っていたAppleは、これを受け満を持してWWDC2013のセッション Managing Apple Devices で端末登録(device enrollment)という概念を新たに発表します。

(同セッションでの「たったこれだけです」というAppleエンジニアからの説明に拍手が起こる。41:29)

同セッションではアプリのサイレントインストールやVPPの仕組みも発表されてますので、2014年は2010年のMDM対応に続くエンタープライズiOS転換点と言えるでしょう。この発表当初は、Streamlined という言葉が使われていました。無駄のない簡素化された端末登録…といったところでしょうか。

(MDM支配下から逃れられなくなることが特に歓迎された)

このセッション中に何度も何度も聴衆から拍手が起こっているのが印象的です。SDEはそれだけエンタープライズiOS界隈で待望だったのですね。

ただ発表当初、SDEが可能なのは米国のみで且つ Apple から端末購入した場合に限られていました。

DEP(Device Enrollment Program) と ADP (Apple Deployment Programs)

翌年、進展があります。

2014年、Streamlined Device Enrollment の仕組みの米国以外への提供、及びApple直販以外の購入(公式リセラーやキャリア経由)でもSDEが可能になるのにあわせて、名称が Device Enrollment Program に変わります。

同時に、「配備」という観点で、アプリ一括購入機能の VPP (Volume Purchase Program) もひとくくりにしてしまって、 Appleは ADP(Apple Deployment Programs) という名称を使うようになりました。(参考 : VPP・アプリ一括購入とは何か)

(Device Enrollment と Volume Purchase の制度という体でひとくくりにされているのが分かる)

エンタープライズ向けのデバイスとアプリの特別な仕組みを「配備プログラム郡(Deployment Programs)」としてまとめたかったAppleの意図を感じることができます。

ABM(Apple Business Manager) の登場

DEPとVPPをADPとして提供していたAppleは、2018年末にADPの後継として Apple Business Manager (ABM) の提供を開始します。(2018年4月には米国企業向けにベータ版は提供開始していた。詳しくはABMとは何かを参照)

ADP(Apple Deployment Programs)のDEP(Device Enrollment Program)を使用していた企業には、ABMにアップグレードを促しはじめます。

(2021年8月現在でもADPでググってたどり着く公式ページはアップグレード誘導ページ)

このアップグレードには、

• DEPとVPPがADPで統合されたように見せかけて実は管理画面のUX/UIは統一されていなかった
• 端末やアプリだけでなくAppleIDの管理も求められるようになってきた

といった事情から、Programのかき集め(Programs)ではなく、Appleが提供する業務用リソースを一括管理できる統合環境という建て付けが必要だった背景があると思われます。

また別の側面もあります。

2015年、Appleは開発者向けプログラムである iOS Developer Program にiOS以外も統合して名称を Apple Developer Program に変えました(参考 : iDEPではなくADEP)。これによって、Apple Deployment Programs (ADP) と Apple Developer Program (ADP) という2つのADPが存在することになってしまいます。

Development(開発)とDeployment(配備)の両方に関わっていた弊社のようなベンダーは大いに困惑したものです。この略称の競合を解消するため、Apple Deployment Programs の名称や位置づけを変えたいという意図もあったでしょう。

ADE(Automated Device Enrollment)

2018年のABMの登場後、AppleはDEPという用語を使うことを避けているようにも見えます。後継である筈のABM内ですら使われていませんし、Appleの公式ドキュメントでも見なくなりました。

そうこうしてるうちに、2020年のWWDCの What’s new in managing Apple devices というセッションで初めて、Automated Device Enrollment (ADE) という新しい用語が現れました。

(WWDC2020のセッション資料)

セッションで解説される内容はDEPそのものでしたので、WWDC2020以降は各MDMベンダーが Automated Device Enrollment という言葉を積極的に使うようになります。Appleの公式ドキュメントでも見られるようになりました。

Automated Device Enrollment は、元々の名称 Streamline Device Enrollment に一旦原点回帰して、より分かり易くした表現とも言えるでしょう。自動で(Automated)、デバイスを(Device)、登録する(Enrollment)ための機能ですから。

ただ筆者感覚ですが、2021年8月現在、ADE という言い方はまだそれほど広がっていないように思います。MDMベンダーが無理して使っている感じでしょうか。DEP端末とかDEP化とかDEPを前提とした表現が既に浸透してしまっていますから、ADEという表現が広がりきるのは結構時間がかかりそう…という見立てをしています。何だか iDEP が ADEP へと名称を変えても多くの人が iDEP と言い続けていたのと似ていますね。

ということで、本稿では端末登録をめぐるキーワード変遷の歴史を見てきました。一連のキーワードを簡潔に数式のように書くとこうなります。

• SDE = DEP = ADE
• ADP = VPP + DEP (だった)
• ABM = ADE + 一括購入 + Managed Apple ID

太字部分が端末登録関係でおさえておいたほうが良いキーワードとなります。当サイトでは、ADEではなくまだDEPという表現をあえて使ってますが、ADEという言葉が浸透するまでこのままでいこうと思っています。

なお、DEPについては以下のような投稿もあります。併せてご覧下さい。

• DEP(Device Enrollment Program)とは何か
• MDMとDEPの組み合わせで設定アシスタントをカスタマイズする
• iOS端末をMDM管理下から外せないようにする方法
• MDM管理下から外れられないようにしたDEP端末を端末側で無理やり初期化したらどうなるか

 
(左はMDM管理下から外れられる通常チェックイン済み端末。右はMDM管理下から外れることを禁止したDEP端末)

さて、MDM管理下から外れられないようにした端末(上図の右側)をiOS端末側で初期化したらどうなるでしょうか？以下のようにリセットの画面から無理やり初期化すると…

工場出荷時に戻りますから、これでMDM管理下から外れることができてしまえるのでしょうか。

答えは、NOです。

MDM管理下から外れられない設定になっているDEP端末は、たとえiOS端末側で初期化してもMDMの支配からは逃れられません。それもその筈、DEP端末とは工場出荷後の初回電源ONで、

• 自動で監視モードとなる
• 自動でMDMにチェックインする

の2つが同時に行われる端末なのでした。(参考 : DEPとは何か)

端末は初期化によって工場出荷状態になりますから、その直後の起動でやはり自動的にチェックインされ、再びMDMで指定した通りの設定が流し込まれアプリもインストールされます。「振り出しに戻る」だけですね。納品されたDEP端末の箱を開梱し電源ONした時の挙動と一緒です。

端末で何度初期化されても「振り出しに戻る」だけですから、従業員が勝手に配布端末を初期化して個人利用する可能性を心配する必要はありません。これぐらいDEP端末はMDMの支配を強くできるのですね。

端末側での初期化を禁止する必要はないかも知れない

端末から初期化してもMDM設定通りの端末に戻るだけ。初期化されても元通り。…となると、iOS端末からの初期化禁止をあえて行う必要がない場合もあることに気が付きます。

(構成プロファイルで端末からの初期化を禁止できる設定が作れるのだった)

初期化禁止の方法を紹介した以前の投稿で

特に、商業施設での設置型端末や、各支社の受付・打ち合わせルームに常設するiOS端末がそうです。
現地判断で当事者が初期化を行えたほうがいい場合もあります。

と書きました。MDMの設定が正しく行われていれば、端末の調子が悪いという報告が寄せられた時に、iOS端末側で初期化して貰ったほうが手っ取り早い場合があります。「とりあえず端末を初期化して貰ったら元に戻りますので…」と言えることが、サポート労力の軽減に繋がることもあるでしょう。

もしiOS端末からの初期化を禁止していると、初期化は

• MDMから遠隔初期化
• Apple Configurator2 をつないで初期化

の二択になります。Macとの接続を禁止していれば前者一択となりますし、状況によってはリカバリーモードによる復旧まで視野に入れなくてはなりません。誰にとっても面倒なことになります。

禁止できるものは全て禁止する…のではなく、アプリの特性や端末の利用シーンを考慮して端末での初期化を禁止するかどうかを決めるのをお勧めします。弊社での経験上、DEP端末であれば禁止しないほうが有事の対応が楽です。(ただ使用するアプリにもよりますので慎重に検討する必要があります)

ということで今回は、MDMチェックアウトできないDEP端末で、端末側から初期化された場合にどうなるかについて説明しました。結論は「納品後のDEP端末を初めて開梱した時と同じ振る舞いになる」でした。運用設計の参考にして頂ければと思います。

管理部門の方なら誰しもこの画面を見て「これは困る」と思うはずです。そう、この画面の「削除」ボタンで、iOS端末はMDM支配下から逃れることができるからですね。

これを禁止する方法はないのでしょうか？

結論を先に書くとあります。本稿ではその方法について解説します。

DEP端末でなければならない

以前の投稿でDEP端末には、MDMから設定アシスタント画面(初回起動時の様々な設定画面)の表示/非表示を設定できるという解説をしました。

(DEP端末の設定をDEPプロファイルと呼ぶ。呼称はMDMサービスによって異なる)

実はこのDEPプロファイル(DEP端末に行う設定)の中に「MDM管理下から外せないようにする」ための設定があります。

(MDMによるが高額な上位プランでないと設定できないものもある)

これは弊社でよく使うMDMであるBizMobileのDEPプロファイル設定画面ですが、中段に「MDMプロファイルの削除を許可」とあります。これをOFFにしておくと、このDEPプロファイルに紐付けられたiOS端末は、自動チェックインしたMDMから端末側の操作だけでは外せなくなります。

各MDMサービスで同様の設定が可能です。デフォルトでDEP端末はMDM管理下から外せないようにする設定になっているものもあります。詳しくは使っているMDMサービスのマニュアルを確認して下さい。

設定が正しくできた端末はこうなります。

[削除] ボタンが無いですね。これが、MDM管理下から逃れることができない状態のiOS端末です。

以上のとおり、DEP端末として炭末を用意し、MDMのDEP端末設定でMDMプロファイルを削除できないようにする。これがMDM管理下から外せない炭末を作る方法です。

MDMで端末管理するならDEP以外の選択肢は基本的にない

iOS端末を従業員に配布したり各施設に配備する計画があって、それらを厳密に集中管理したいのであればDEP端末として購入する以外に選択肢はありません。

DEP端末でない端末は、いくらMDM支配下に入れたところで勝手に外れられる可能性があります。監視モードでなければ制限できることも限られてきます。このデメリットを考えれば、業務用に配布するiOS端末をDEP端末にしない理由はほとんどありません。

ですから今もし新たにiOS端末を大量導入予定で、MDMで端末管理したいと考えているなら、必ずDEP端末として購入するようにしましょう。DEP端末の購入方法はDEPとは何かの投稿を参考にして下さい。

「そんなこと言ってもDEPを知る前に大量に買っちゃったよ…」という方にも朗報があります。実は、DEP端末として購入しなかった端末を、DEP端末として購入した端末のように振る舞わせる特別な初期化が可能です。これをDEP化と言います。長くなってきましたので、詳細はまた別の記事で解説します。

• 自動的にMDMにチェックインする
• 自動的に監視モード(Supervised Mode)になる

自動チェックインによってMDMから設定(構成プロファイル)もアプリも勝手に流し込まれることになりますし、同時に監視モードにもなるわけですから、DEP端末は非常に便利です。

監視モードでは、構成プロファイルで「管理端末のみ」の設定を流し込める以外にも、設定アシスタントのカスタマイズも可能です。有線接続したiOS端末に対して、Apple Configurator2 から監視モード化する途中で設定するのでした。(参考 : iOSの監視モードとは何か)

(Apple Configurator2 で監視モード化した後の再起動で初期の各種画面をスキップする設定ができる)

では、自動で監視モードになってくれるDEP端末ではどうでしょうか。同じように設定アシスタントをカスタマイズできるのでしょうか。

答えはもちろんYESです。

ただDEP端末の場合は Apple Configuartor2 を使いません。出荷前のDEP端末にMacを有線接続できる筈もありませんから。ではどのようにやるのか。本稿では、DEP端末に対して設定アシスタントをカスタマイズする方法と、実際にカスタマイズした端末の挙動を紹介します。

MDMでDEP用のプロファイルをカスタマイズする

再掲になりますが、Apple Configurato2 による監視モード化では以下のような画面で設定アシスタントのカスタマイズをしました。

(表示するアシスタント画面を取捨選択できた。上図は全部スキップする例)

DEP端末の場合は、MDMサービスの管理画面から同様のことを行います。

(設定アシスタントの各画面のON/OFFをMDM上で指定する様子。項目はiOSアップデートと共に数が増えていく)

設定アシスタントの設定をひとまとめに「プロファイル」と言います。iOSに対する設定を表す「構成プロファイル」と言い方が似てますが似て非なるものです。間違えないようにしましょう。区別しやすいようにDEPプロファイルと呼ぶMDMサービスもあります。(本サイトでも分かり易さのためにDEPプロファイルと呼びます)

MDM上でDEPプロファイルを作った後、それをどのDEP端末に適用するかを紐付けます。

(BizMobileではDEPプロファイルを複数作成できどの端末に紐付けるかを設定できる。n:nの設定ができて便利)

MDMによっては、DEP端末全体に1つのDEPプロファイルしか設定できないものもあります。つまり、スキップするパターンを複数作れないということです。この是非は企業毎によりますのでMDM選定の際の判断基準にすると良いでしょう。(配布するアプリによって全部スキップが適切でない場合もあります)

さて、以上でDEP端末の設定アシスタントのカスタマイズは完了です。スキップするしないを定めるDEPプロファイルを作り、適用したいDEP端末に紐付けただけです。簡単ですね。

このあと、DEP端末の電源をONすると自動的に

• MDMに自動チェックインして監視モードになる
• DEPプロファイルの指定通りに設定アシスタントが表示される
• MDMから構成プロファイルやアプリがインストールされる

となるわけです。以下に実際の様子を動画にしてみましたので見てみて下さい。(音が出ます)

(設定アシスタントがカスタマイズされており、開梱直後なのに「ようこそ」とすら言われずHOME画面にいくのが分かる)

箱から出して初めて電源ONした端末(iPod touch)が、WiFiの設定をしただけで、設定アシスタントをほぼ何も表示せずHOME画面に遷移し、監視モードでしかできない「標準アプリの非表示」まで自動で行っている様子を確認できます。

Zero Touch Deployment がどれだけ楽か感じて頂けると思いますがどうでしょうか。

DEPプロファイルはiOSの進化と共にメンテしていく必要がある

何度もiPhone/iPadを買い替えている方は、設定アシスタントがiOSアップデートと共に増えていくことをよくご存知でしょう。昔は設定アシスタントの画面は数える程でしたが最新のiOS14では結構な数の画面になります。

設定アシスタントの各画面のON/OFFを決めるのがDEPプロファイルですから、実はiOSが更新される度にDEPプロファイルも追随していく必要があります。おそらく新しく追加されるアシスタント画面もスキップしたいですよね。

(各項目がiOSバージョンの幾つから増えたのかが分かる。iOSアップデートの度にMDMもアップデートされる)

DEPプロファイルは一度作ったら終わりではなく、毎年DEPプロファイルをメンテナンスしていくようにしましょう。メンテナンスを怠ると、設定アシスタントを全部すっ飛ばすつもりが最新iOS端末でなぜか1,2画面は表示されてしまう…ってなことが起こってしまいます。

まさに上で紹介した動画の最後がそうなっていますね(笑) 以下は動画中の 02:00 あたりの様子で、設定アシスタントがスキップしきれていないことが分かります。

(DPEプロファイルの作成後にメジャーアップデートされたiOSをDEP購入するととこうなる)

クリティカルな現象ではありませんが、余計なサポート時間を減らす意味でもDEPプロファイルは毎年更新を徹底するのが賢明です。継続的にiOS端末を新規DEP購入しながら展開していくことが見込まれる企業では特に意識しておきましょう。

以上、DEP端末での設定アシスタントのカスタマイズについて解説しました。

理想をいうと、DEP端末を現場配布する前に、設定アシスタントのスキップが意図した通りに行われるか「お試し」したいものですが、端末1台で1回しかできないテストのために端末を余計に購入するのは現実的ではありません。Appleや販売店的には嬉しいでしょうが。ただ、このテストを費用をかけずに何度も行う方法がありますので、また別の記事で紹介したいと思います。

DEPは本当に強力な仕掛けですのでMDMと組み合わせて是非使いこなして下さい。

• (A) MDMチェックインが面倒くさい
• (B) 監視モードにするのが面倒くさい

(A)については MDMの導入から利用開始まで(2) -MDMチェックイン- を、(B)については iOSを監視モードにする方法 〜保存版 : Apple Configurator2編〜 をそれぞれ参照して下さい。

(A)も(B)も原則1台1台手動で行う必要があり、数十台・数百台と台数が増えるほど結構な労力が必要になります。さらに一桁増えて数千台になるといよいよ現実的ではなくなってきます。

そこで、こう考えるわけです。「MDMチェックインを楽にできないか？」「監視モードをMacとの有線接続に頼らずにできないだろうか？」と。本稿では、そんな思いに応えてくれる仕組みDEP(Device Enrollment Program)について解説します。

DEPを使いこなすと端末管理の労力が10分の1に、いぇそれ以上の労力削減効果がありますのでので是非使いこなして下さい。

DEPで得られる恩恵

DEPにより以下のことが可能になります。

• 自動でMDMチェクインできる
• iOS端末を最初から監視モードにできる

この2つの特徴を備えた特別なiOS端末を購入できる制度をDEP(Device Enroll Program)と言います。そして、この購入制度で購入した端末をDEP端末と呼びます。

DEP端末では、チェックイン操作も監視モード化する作業も不要です。購入したiOS端末を従業員にただ配るだけ。電源を入れてWiFiに繋ぐと自動でチェックインされ、勝手に監視モードになり、続いてMDMからアプリや設定(プロファイル)が同期されて、初期設定作業が自動で完了します。

なんて素晴らしい仕組みなのでしょう。この全自動設定を Zero Touch Deployment と呼ぶこともあります。

(DEPを活用した業務用アプリ配布の全貌を示す図。ABMやMDMと蜜に連携し、全自動設定を実現する)

今までの人海戦術を使った設定作業は一体何だったのか。DEPがまだない時代にiOS端末を初期設定した経験がある管理部門の方は特にそう思うでしょう。電源をONして、WiFiに繋ぐ(またはキャリア回線と疎通する)と全ての設定が勝手に終わるのですから。

DEPは労力軽減を目指す管理部門にとっての福音です。その恩恵を受けるにはDEP端末を手に入れる方法を知る必要があります。どうすればいいのでしょう？

DEP端末はどうやって手に入れるのか

以下に掲げる2つの方法で、DEP端末を手に入れることができます。ただし制約があり法人のみです。残念ながら個人はDEPの恩恵を受けることはできません。

• Appleから直接購入する
• Apple VAR や三大携帯キャリアから購入する

注意すべきポイントはDEP端末として購入する必要があること。法人名義で端末を発注すれば、勝手にDEP端末として納品される…というわけではありません。購入時にDEP端末を購入したい旨を伝えることが必要です。なぜなら、DEP端末はABMと連動するようApple側で特別な受注処理が必要になるからです。(参考 : ABM(Apple Business Manager)とは何か)

普段から Apple 製品を業務で使っていて、Apple Japan 法人部門の担当者がついている場合や、Appleの正規販売代理店(Apple VARと言います)の担当者がついている場合は、発注を申し出ると「DEP端末としてですよね？」と気の利いた対応をしてくれる筈です。

一方でApple製品をまとめて購入するのが初めての企業の場合は注意が必要です。間違っても近くの量販店で個人購入と同じノリで買わないで下さい。以下3つの選択肢のいずれかで進めましょう。

• (A) リアル店舗の Apple Store で法人担当に繋いでもらう (Apple Store には法人担当がいます)
• (B) Apple at Work のサイトを参照し電話等で Apple に相談する
• (C) Apple VAR の一覧から正規販売代理店を選んで連絡する

個人的にお勧めなのは(A)か(B)です。ある程度の数が見込まれたり継続的な端末導入が予定されている場合は、自社専用 Apple Online ストアを作ってくれたりもします。

(自社専用のオンラインApple Store。画面左上に for XXXX と自社名が入る)

見積・発注機能も備えたECサイトとなっており、ここからオンライン購入するだけで自動的にDEP端末として納品されるようになります。Appleから直接購入する場合、3桁4桁の台数なら法人割引をして貰える可能性がありますのでApple法人部門の担当者に尋ねると良いでしょう。

以上、DEP(Device Enrollment Program)についての概要とDEP端末を入手する方法について解説しました。購入したDEP端末がどのようにMDMに自動チェックインされるのか、具体的な仕組みの部分は別の投稿で紹介したいと思います。

最後に余談ですが、2020年頃からは、DEPのことをADE(Automated Device Enrollment)と表記するケースもありますので覚えておくと良いでしょう。これについても機会があればまた別投稿で紹介しようと思います。

DEP端末についての悩み事がある場合は、よろしければ当所コンサルティングサービスからお尋ね下さい。