iOS/iPadOSの登録方法(MDM)
iOSの登録方法
このナレッジでは、iPhone / iPad (iOS / iPad OS)デバイスを監視モードとして登録する方法を説明しています。
iPhone / iPad (iOS / iPad OS)デバイスには「監視モード」(=Supervised modeの翻訳)と「非監視モード(通常モード)」(特定の用語がないため、表記揺れがあるようです)と呼ばれる2つのモードが存在します。
組織が所有するデバイスを一括管理する場合、「監視モード」でのみ利用可能な機能があります。例として、以下の機能は監視モードのデバイスに対してのみ、モバイルデバイス管理機能から設定可能です。詳細は「モバイルデバイス登録方法による機能比較」ナレッジをご覧ください。
- ロストモード(紛失モード)による遠隔ロック(リモートロック)
※ 非管理モードのiOS/iPadOSデバイスでもリモートロックは可能ですが、デバイス側から解除可能です。監視モードのiOS/iPadOSデバイスをロストモードにすると「管理対象紛失モード(Manage Lost Mode)」となり、管理者が解除する以外の解除方法はありません。 - OSのアップデート
- デバイスの詳細な機能制限の一部項目(Appleのドキュメント MDMでのiPhoneおよびiPadデバイスの制限 に記載されている「監視対象」が「はい」になっている項目)
デバイスをモバイルデバイス管理機能に登録する場合、登録方法によって利用できる機能が変わります(プラットフォーム固有の方法で登録した場合の機能差異(MDM))。そのため、iPhone/iPadを管理する場合には監視モードと非監視モードのどちらが必要かをまず検討し、その後にデバイスの登録方法を選択します。
なお監視モードとして登録すると、OSのアップデートは実行されませんが端末は初期化されます。また、iPhone / iPad を監視モードで運用し、かつ端末ユーザー側からの監視モード解除をできないようにする(=強制登録)には、ABM/ASMを利用した登録が必須です(ABM/ASMを利用せずに登録すると、端末ユーザー側からの操作で解除が可能です)。
Apple Business Manager/Apple School ManagerのADEを利用した登録
MDM は Apple Business Manager(ABM)/Apple School Manager(ASM) と連携して、Apple の提供する監視モード(=Supervised mode)を利用した管理を実現し、正規のベンダーから購入した端末の購入時の一括自動登録を可能にします。この機能はADE(旧称: DEP)と呼ばれ、利用するにはMDM サーバー(Endpoint Central Cloud)を ABM/ASM と連携させる必要があります。このため、ADEを利用するにはAppleのABM/ASMが必要です。
ABM/ASMを利用するには、いくつかの条件を満たす必要があります(参考:Apple Business Manager サポート、Apple)。
- 利用する国・地域がABM/ASMの対象である - 日本国内でiPhone/iPadを管理する場合、対象地域に含まれています。
- 管理するデバイスがABM/ASMの対象に含まれる - 新規購入の場合、ADE対応端末を購入する必要があります。販売店によって条件が異なる場合があるため、事前に購入先へお問い合わせください。
- ABM/ASMの利用を申し込む - ABM/ASMを利用する場合、法人であれば、無料でAppleに登録しABMを利用することができます。その際、登録にはAppleがD-U-N-Sナンバーの登録を要求にしているため、法人以外(個人事業主など)は利用することができません(参考:D-U-N-S Number、東京商工リサーチ)。ASMの場合、必要条件を満たす必要があります(参考:Apple School Managerの必要条件)。
ABM/ASMの利用が困難な場合は、Apple Coniguratorによる登録またはその他の方法を利用します。端末を監視モードとして登録するには、Apple Configuratorを使用した方法も利用可能ですが、ABM/ASMの利用なしでApple Configuratorから登録した端末は、端末ユーザー側から監視モードを解除可能です。これはAppleが定めた仕様であるため、Endpoint Central Cloudをはじめ、他社製のサードパーティモバイルデバイス管理ツールにも共通の仕様です。
以下、本手順では ABM を利用した場合について説明しますが、ASM の場合も手順は同様です。
MDMサーバーとABMの連携方法
- モバイルデバイス管理タブを開き、「登録」→「Apple 登録(ABM/ASM)」→「装置を法人用に登録」を選択します。
- コンソール画面の「ダウンロード」をクリックし”MDM_Zoho_corporation_Certificate.pem”をダウンロードします。
- ABM ポータルにログインし、「設定」→「デバイス管理の設定」→「MDM サーバーの追加」をクリックします。
- 「ファイルを選択」から手順2でダウンロードした”MDM_Zoho_corporation_Certificate.pem”を選択し、「保存」をクリックします。
- 「トークンをダウンロード」をクリックして MDM サーバーにアップロードするファイルをダウンロードします。ダウンロード後、コンソール画面で「次へ」をクリックします。
- 「サーバートークンを検索する」から[参照する]をクリックし、ステップ5でダウンロードしたファイルをアップロードします。サーバートークンの期限が切れた場合に通知するアドレスを、「サーバートークンの期限切れの通知先メールアドレス」に入力し、[次へ]をクリックします。
- デバイスのアクティブ時の設定を行います。装置のアクティベーション担当者から「ユーザー」または「管理」(”管理者”の表記ゆれ)を選択します。端末をグループに割り当てる場合は、グループに割り当てるから選択します。
- 「セットアップアシスタント」からは端末起動後のセットアップ時に設定をスキップする(無効にする)項目にチェックを入れます。必要に応じて、Shared devices, Mac アカウントの設定を行い[作成]をクリックします。
以上でEndpoint Central Cloudサーバーと ABM の連携が完了します。以後、購入端末が ABM に登録される際に、端末がコンソールに自動で追加されます。ABM へのデバイスの登録方法は Apple の Webページをご参照ください。
端末へはプロファイルが自動的にインストールされ、モバイルデバイス管理はこのプロファイルとME MDMアプリを使用して実行されます。登録から30日は端末ユーザー側から管理を解除することができますが、それ以降は端末側からプロファイルを削除することができません(強制登録)。
ADE登録におけるトラブルシューティングはこちらのナレッジをご覧ください。
Apple Configurator 2による登録
購入後の端末に対して、監視モード(Supervised mode)を利用した管理を行う場合、MacコンピューターにApple Configurator 2 をインストールし、Apple Configurator 2 を使用して端末を登録できます。ABM/ASMを利用していてADEを使用しない場合や、ABM/ASMを利用せずに監視モードとして登録する場合にこの方法を選択します。
- Macコンピューターを用意し、App Store から Apple Configurator 2 をダウンロードしインストールします。
- モバイルデバイス管理タブにアクセスし、必要に応じて、端末の登録(初期化)後すぐに端末が Wi-Fi に接続できるよう、Wifi 接続のプロファイルを作成します(任意)。
「ファイル」→「新規プロファイル」をクリックして、左メニューから Wi-Fi を選択し、SSID や、セキュリティの種類、パスワードなど必要な情報を入力してください。入力後、「ファイル」→「保存」からプロファイルを保存します。
- 「ファイル」→「新規ブループリント」をクリックし、新しいブループリントを作成します。その後、右クリックを押し、「準備」を選択します。
- デバイスを準備の画面で、ABMを利用している場合は、「Apple School ManagerまたはApple Business Managerに追加」にチェックマークを入れ、[次へ]を押します。
ABMを利用していない場合はチェックマークを外し、「次へ」をクリックします。
- Apple Configurator に新規サーバーを登録します。「サーバー:」から新規サーバーを選択し、[次へ]をクリックします。
- サーバー名を入力します。URL は、コンソール画面の 「モバイルデバイス管理」→「管理」→「Apple コンフィグレーター」に表示されている URL を入力してください。
- 信頼できる証明書が追加されていることを確認後、[次へ]をクリックしてください。
- ABMを利用している場合はABMアカウント情報を入力します。
- 組織に関する詳細を入力し、[次へ]をクリックします。
- 「新しい監視識別情報を生成」を選択して、[次へ]クリックします。
- デバイスの初期化時に、ユーザーが設定を行う項目を選択します。
- デバイスが登録を完了するためには、ABM および MDM サーバーとの通信が必要です。必要に応じて、手順1で作成した Wi-Fi の設定プロファイルを選択し、[次へ]をクリックします。
- 「自動化された登録の資格情報」では何も入力せずに[準備]をクリックします。
- 端末を MacコンピューターにUSBケーブルで接続して、Apple Configurator 2 上で端末を右クリックし [適用]から作成したブループリントを適用します。
以上で端末の初期化後に登録が完了します。
端末へはプロファイルが自動的にインストールされ、モバイルデバイス管理はこのプロファイルとME MDMアプリを使用して実行されます。
Apple Configurator 2 を使用し、ABM/ASM登録情報を入力して登録した場合、登録から30日は端末ユーザー側から管理を解除することができますが、それ以降は端末側からプロファイルを削除することができません(強制登録)。
Apple Configurator 2 でABM/ASMを使用せずに登録した場合、強制登録はできず、端末側からプロファイルを削除することが可能です。
Apple Configuratorアプリによる登録
iOS/iPadOS用のApple Configuratorアプリを使用して登録します。
(準備中)
その他の方法による登録
管理者または招待からの登録を実行してください(この場合、登録されたデバイスは監視モードにはなりません)。