2021.7.26

従業員がiOS端末を勝手に初期化できないように禁止する方法

前回の投稿で業務用のiOS端末を初期化する方法を3つ紹介しました。

  • (A) MDM
  • (B) iOS端末
  • (C) Apple Configurator2

初期化は管理部門が使うにはとても便利ですが、従業員が故意に、または誤って端末を初期化してしまうと困ります。

上記の(A),(C)は従業員による勝手な初期化を避けられますが((A)はそもそもMDMを触らせない。(C)は指定Mac以外との接続を禁止)、iOS端末を従業員が自由に触れる場合に(B)による初期化を阻むことはできるのでしょうか。


(デフォルトでは設定アプリを開き、[一般]→[リセット]の画面から誰でも初期化ができてしまう)

ということで、本稿ではiOS端末からの初期化を禁止する方法を紹介します。

 

iOS端末からの初期化を禁止する方法

iOS端末の操作で初期化するには、設定アプリを立ち上げて [一般]→[リセット]→[すべてのコンテンツと設定を消去] をタップするのでした。

 → 

これを禁止するため、そのものズバリの構成プロファイルの項目が用意されています。(参考→ 構成プロファイルとは)


(Apple Configurator2 で該当のチェックを外して保存したプロファイルを端末に流し込む)

項目名を見ると分かる通り、監視モードでなければこの設定は有効になりません。監視モードについてはこちらの記事を参考にして下さい。端末を監視モードにした上で、この項目をOFF(許可をしない、つまり禁止する)にした構成プロファイルを流し込むとリセット画面が以下のようになります。


(リセットするための項目がなくなっている)

違いが分かるでしょうか。「すべてのコンテンツと設定と消去」の項目がなくなっていますね。これで従業員がiOS端末を初期化することができなくなったというわけです。改めて整理すると、

  • 監視モードにする
  • “すべてのコンテンツと設定を消去”許可をOFFにした構成プロファイルを流し込む

この2つが、iOS端末からの初期化操作を禁止する方法となります。構成プロファイルの流し込み方は、MDMを使う手法やAppleConfigurator2を使う手法など、運用に最適な方法を選ぶと良いでしょう。

 

iOS端末からの初期化を禁止するときの留意点

ここであえて、iOS端末からの初期化を禁止する是非について言及しておきたいと思います。

何ごとも禁止すると業務上の運用は楽になりトラブルも起きにくいものですが、ことiOS端末からの初期化については、企業ごと案件ごとに是非が分かれますので慎重に検討して下さい。初期化の手順と初期化後のオペレーションマニュアルを用意して、従業員にやって貰ったほうが良いケースもあるからです。


(this photo by Clay Banks from Unsplash)

特に、商業施設での設置型端末や、各支社の受付・打ち合わせルームに常設するiOS端末がそうです。現地判断で当事者が初期化を行えたほうがいい場合もあります。

また、DEP端末の場合は、iOS端末から初期化すると再度自動チェックインと自動設定が行われることも覚えておくと良いでしょう。DEP+MDMを前提に現地従業員にiOS端末から初期化して貰う運用のほうが楽になることもあります。

 

以上、端末を初期化させない方法について解説しました。

2021.7.19

業務用のiOS端末を初期化する3つの方法

エンタープライズiOSの現場では時折、iOS端末の初期化が必要となるシーンがあります。Single App Mode を使った運用をしている場合や、施設内で常設するサイネージ端末としてiPadを使っている場合は特にそうです。

本エントリでは、業務用に配布・配備しているiOS端末を初期化する3つの方法について解説します。

それでは順に見ていきましょう。

 

MDMを使って遠隔で初期化

MDM管理下にある端末では通常この方法を使用します。

どんなMDMサービスでも、管理対象デバイスを遠隔で工場出荷時に戻すワイプ機能が備わっています。操作方法はMDMサービス毎に異なっていますので各マニュアルを参照して下さい。以下では弊社がよく使う BizMobile Go! での実行例を紹介します。

(1) デバイスの詳細画面を表示し、コマンドボタンのメニューから [ワイプ] をクリックします

(2) ワイプコマンドを受け取ったiOS端末は自らを工場出荷時にリセットします


(遠隔で複数同時に行えるので一番楽な初期化方法)

ワイプしたあとの端末は当然MDMから遠隔操作も監視もできなくなります。端末が常にMDM管理下でなければならない場合、再度手動チェックインを行うか、DEP端末の設定を行って自動チェックインさせる必要があります。(参考 → DEPとは何か)

 

iOS端末単体で初期化

iOS端末を直接触れるなら、これが最も簡単な方法です。

管理部門でないユーザにも容易に操作して貰い易いという特徴があります。また、MDMやiOS端末の設定状況によっては、初期設定までの労力を最小化できる場合もあります。

(1) 設定アプリを開き [一般]→[リセット]→[すべてのコンテンツと設定を消去] をタップ

 → 

(2) [iPhoneを消去]をクリック


(AppleIDの設定をしているiOS端末では、さらにパスワード入力が求められる)

このあとiOSは自ら工場出荷時に戻り、出荷直後の状態で再起動してきてくれます。iOS端末がMDMに手動チェックインがされていた場合、MDMとの接続は失われ、制御・監視ができなくなりますので注意しましょう。

別の見方をすると、手動チェックインされた端末は、iOS端末側の操作でMDM支配下から逃れられるということです。端末がMDM支配下に常に入っている必要がある場合は、この方法で初期化した後に手動チェックインするまでを忘れずに行う必要があります。が、DEP端末の場合はこの限りではありません。再度自動チェックインし自動で然るべき初期状態に戻ります。(参考 → DEPとは何か)

 

AppleConfigurator2を使って初期化

iOS端末が手元にあって複数台同時に初期化したい時に便利です。必要なものは以下となります。

  • Mac本体
  • Apple Configurator2
  • USBケーブル
  • USBハブ (必要なら)

以下に順を追って説明します。

(1) Macと端末を接続し、Apple Configurator 2 を起動します


(USB接続されている端末が一覧される。USBハブ等の相性により最大10台程度しか認識されないこともある)

(2) 初期化する端末を選択し、メニューから [アクション]→[復元] をクリックします。一覧から右クリックでもokです。

(3) ダイアログで確認されますので [復元] をクリックします

初期化終了後はiOS端末が工場出荷時状態で再起動してきます。上述のiOS端末単体で初期化と同様に、MDMからは管理不能な状態となりますので注意して下さい。

なおこの方法は、iOS端末側が監視モードでMacとのペアリング制限がかかっている場合や、iOS端末がDEP端末であってDEPプロファイルでペアリングが禁止されている場合は使用できません。

 

以上3種類の初期化方法を紹介しました。表にまとめると以下のようになります。

方法 操作 必要なもの ネットワーク接続 複数同時初期化 初期化が可能な人
MDM 無線(遠隔) MDMサービス 必要 管理部門のみ
iOS 直接操作 iOS端末 不要 不可 iOS端末を直接触れるなら誰でも
Apple Configurator2 有線 Mac, USBケーブル, (USBハブ) 不要 iOS端末にMacを繋げられるなら誰でも

実のところ、これら以外にMac上のターミナルを使った初期化方法もあるのですが、余りに特殊な用途なので割愛しました。別の投稿で機会があればまた紹介しようと思います。

2021.7.12

ADEPのInHouseアプリはM1搭載Macにインストールできる

2020年11月10日に発表されたApple M1。Macのために作られたシステムオンチップ(SoC)は、その性能の高さだけでなく、iOSアプリを動かすことができるのも大きな特徴です。

Apple M1搭載のMacでは、AppStoreアプリからMac用アプリをインストールするのと同じように、iOS用アプリを検索してインストールできます。これは多くの方が知っていることでしょう。


(Apple M1 搭載の Mac で AppStore アプリから iOS アプリをインストールできる)

さてでは、ADEPのInHouseビルドしたiOSアプリはどうでしょうか。Apple M1搭載のMacにインストールすることはできるでしょうか?

答えは、YESです。ADEP の InHouse iOSアプリを Apple M1搭載 Mac(以下M1Mac)にインストールできます。恩恵を受けれる人は今のところ限られていますが、非常に便利ですので本稿で手順を紹介します。

 

ADEPのInHouseアプリをM1Macにインストールする手順

といっても実は、ADEPのInHouseアプリだからといって特別な操作は全くありません。macOS用のネイティブアプリをAppStore以外からダウンロードしてインストールする手順と一緒です。

順に見てみましょう。

(1) まずXcodeのOrganizerから InHouse で export した .ipa ファイルをM1Mac上に用意します。


(macOS では暫く .ipa ファイルに特別なアイコンはなかったが、macOS BigSurで新しいイラストアイコンで復活した)

(2) .ipaアイコンをダブルクリックします。プログレスバーが表示されインストールが始まります。

(3) 通常のmac用ネイティブアプリと同様にアプリケーションフォルダにアイコンが現れます


(弊社で検証用に開発しているB2BのiOSアプリ)

(4) アプリアイコンをダブルクリックすると、ADEPのInHouseアプリらしい文言が現れます

(5) システム環境設定から[セキュリティとプライバシー]の画面を開きます。[一般] タブ内にInHouseアプリがブロックされたという文言がありますので、アプリ名に間違いないことを確認し「このまま開く」のボタンをクリックします (アプリ名に心当たりがなければ開いてはいけません)

(7) ADEPのInHouseアプリが起動します


(評価用に自社サイトを表示するだけのInHouseアプリ。最下部にiOSらしいツールバーがある)

いかがでしょう。Macを普段から使っている人は、Mac用アプリで似たような手順でインストールしたことがあると思います。それほど違和感がないのではないでしょうか。

なお、AppStore申請用にビルドしたipaファイルはインストールできません。正規のルート(AppStoreアプリ経由)でインストールされなければ検証に失敗するようになっています。

 

以上、M1Macで ADEP の InHouse アプリもインストール・起動できることを紹介しました。

従来Mac上でのアプリ動作確認はシミュレータを使うことが常でしたが、ADEPのInHouseアプリに限っては、ソースコードやビルド環境のないM1Mac上でもシミュレータ相当の動作確認ができることになります。

今でこそ(2021年現在)M1Macを使っている人は限られていますが、3年後や5年後に関係者がほぼほぼM1Macを使うようになれば、ADEPのInHouseアプリのデバッグ効率は少々上がるかも知れませんね。

ただ、それまでにADEPのInHouseアプリを使い続けられるかという話はあります 🙂 (参考 → ADEPはもう取得することができないと諦めたほうが良い理由)

2021.7.5

iOS端末をMDM管理下から外せないようにする方法

MDMについて解説する時によく掲載している以下の画面。

管理部門の方なら誰しもこの画面を見て「これは困る」と思うはずです。そう、この画面の「削除」ボタンで、iOS端末はMDM支配下から逃れることができるからですね。

これを禁止する方法はないのでしょうか?

結論を先に書くとあります。本稿ではその方法について解説します。

 

DEP端末でなければならない

以前の投稿でDEP端末には、MDMから設定アシスタント画面(初回起動時の様々な設定画面)の表示/非表示を設定できるという解説をしました。


(DEP端末の設定をDEPプロファイルと呼ぶ。呼称はMDMサービスによって異なる)

実はこのDEPプロファイル(DEP端末に行う設定)の中に「MDM管理下から外せないようにする」ための設定があります。


(MDMによるが高額な上位プランでないと設定できないものもある)

これは弊社でよく使うMDMであるBizMobileのDEPプロファイル設定画面ですが、中段に「MDMプロファイルの削除を許可」とあります。これをOFFにしておくと、このDEPプロファイルに紐付けられたiOS端末は、自動チェックインしたMDMから端末側の操作だけでは外せなくなります。

各MDMサービスで同様の設定が可能です。デフォルトでDEP端末はMDM管理下から外せないようにする設定になっているものもあります。詳しくは使っているMDMサービスのマニュアルを確認して下さい。

設定が正しくできた端末はこうなります。

[削除] ボタンが無いですね。これが、MDM管理下から逃れることができない状態のiOS端末です。

以上のとおり、DEP端末として炭末を用意し、MDMのDEP端末設定でMDMプロファイルを削除できないようにする。これがMDM管理下から外せない炭末を作る方法です。

 

MDMで端末管理するならDEP以外の選択肢は基本的にない

iOS端末を従業員に配布したり各施設に配備する計画があって、それらを厳密に集中管理したいのであればDEP端末として購入する以外に選択肢はありません

DEP端末でない端末は、いくらMDM支配下に入れたところで勝手に外れられる可能性があります。監視モードでなければ制限できることも限られてきます。このデメリットを考えれば、業務用に配布するiOS端末をDEP端末にしない理由はほとんどありません。

ですから今もし新たにiOS端末を大量導入予定で、MDMで端末管理したいと考えているなら、必ずDEP端末として購入するようにしましょう。DEP端末の購入方法はDEPとは何かの投稿を参考にして下さい。

 

「そんなこと言ってもDEPを知る前に大量に買っちゃったよ…」という方にも朗報があります。実は、DEP端末として購入しなかった端末を、DEP端末として購入した端末のように振る舞わせる特別な初期化が可能です。これをDEP化と言います。長くなってきましたので、詳細はまた別の記事で解説します。

2021.6.28

iOS端末がMDMにチェックインされているかどうか端末だけで確認する方法

以前の投稿でMDMにチェックインする手順について紹介しました。本稿では、iOS端末がMDMチェックインされているかどうかを調べる方法について紹介します。

MDMにチェックインされてるかどうかを調べる方法を知っていると、トラブル時やユーザサポートの時に役立ちます。チェックイン先のMDMを特定する方法も解説しますので運用時に是非役立てて下さい。

 

設定アプリで確認

iOS端末が手元にある場合、MDMサービスの画面を確認せずとも、設定アプリから簡単にMDMチェックインされているかどうか確認できます。

 
(チェックインしているMDMによって表現が異なる。またMDM以外の情報も含む場合は数字のみの表示となる)

設定アプリの[一般]を開き一番下までスクロールすると、上図のような「デバイス管理」という項目が現れます。プライベート利用の個人デバイスの場合、この項目が表示されることはまずありません


(一般利用の端末ではそもそも「デバイス管理」の項目が無い)

「デバイス管理」の項目は、エンタープライズiOSに関係する端末でのみ表示される項目で、以下の情報を確認するために用意されています。

  • InHouseアプリの企業名とアプリ一覧
  • チェックインしているMDMの情報

後者が該当しますね。よって、そもそも設定アプリの[一般]画面に「デバイス管理」の項目がなければ、MDMにはチェックインされていない端末であると断言できます。「デバイス管理」の項目をタップすると以下のような画面が現れます。

この画面で「モバイルデバイス管理」の項目が存在すれば、その端末はMDMチェックインされている端末です。なお、端末がチェックインできるMDMは一つだけですので「モバイルデバイス管理」の項目は常に1つになります。

さらにタップすると以下のような画面が現れ、チェックイン先のMDMの情報や配布アプリ・設定の情報をある程度確認することができます。

 

 

Apple Configurator2 で確認

MDMにチェックインしているかどうかは Apple Configurator2 でも(ある程度)確認することができます。

通常、iOS端末そのものを操作できるならこの方法を使う必要はありませんが、Single App Mode やアクセスガイドを使っていてHOME画面が表示不可な端末を現場調査する場合に有効です。(iOS端末とUSB接続が可能なMac端末が必要です)

Apple Configurato2 で調べたい端末の詳細画面を開き「プロファイル」の項目を表示します。


(名前の表記はMDMによって異なるがMDMチェックイン済みであることが推測できる文字列になっている)

MDMチェックイン時には特別なMDMプロファイルが使われます。チェックインの際にもMDMプロファイルを明示的にインストールしていましたね。(参考 : MDMの導入から利用開始まで(2) -MDMチェックイン-)

MDMプロファイルもいわゆるプロファイルの1つですので、Apple Configurator2から見ると上図のように、他のプロファイルと一緒に表示されるというわけです。なので、Apple Configurator2 のプロファイルの画面でMDMプロファイルと思しきプロファイルがあれば、その端末はMDMチェックインしている端末だと推測できます。

表示されるプロファイルの名前や識別子はMDMサービス毎に異なります。あらかじめどのように見えるか確認しておくと有事の時に素早く特定し易いのでお勧めです。

 

以上、iOS端末がMDMチェックインされているかどうかを端末だけで調べる方法について解説しました。

 

本サイトはACNメンバーの(株)フィードテイラーが運営するエンタープライズiOS情報サイトです

最近の投稿