Endpoint Central Cloud ナレッジベース

iOS/iPadOSの登録方法(MDM)


iOSの登録方法

このナレッジでは、iPhone / iPad (iOS / iPad OS)デバイスを監視モードとして登録する方法を説明しています。

iOS/iPadOSの監視モードとは
iPhone / iPad (iOS / iPad OS)デバイスには「監視モード(=Supervised modeの翻訳)と「非監視モード(通常モード)」(特定の用語がないため、表記揺れがあるようです)と呼ばれる2つのモードが存在します。
組織が所有するデバイスを一括管理する場合、「監視モード」でのみ利用可能な機能があります。例として、以下の機能は監視モードのデバイスに対してのみ、モバイルデバイス管理機能から設定可能です。詳細は「モバイルデバイス登録方法による機能比較」ナレッジをご覧ください。

  • ロストモード(紛失モード)による遠隔ロック(リモートロック)
    ※ 非管理モードのiOS/iPadOSデバイスでもリモートロックは可能ですが、デバイス側から解除可能です。監視モードのiOS/iPadOSデバイスをロストモードにすると「管理対象紛失モード(Manage Lost Mode)」となり、管理者が解除する以外の解除方法はありません。
  • OSのアップデート
  • デバイスの詳細な機能制限の一部項目(Appleのドキュメント MDMでのiPhoneおよびiPadデバイスの制限 に記載されている「監視対象」が「はい」になっている項目)

デバイスをモバイルデバイス管理機能に登録する場合、登録方法によって利用できる機能が変わります(プラットフォーム固有の方法で登録した場合の機能差異(MDM))。そのため、iPhone/iPadを管理する場合には監視モードと非監視モードのどちらが必要かをまず検討し、その後にデバイスの登録方法を選択します。
なお監視モードとして登録すると、OSのアップデートは実行されませんが端末は初期化されます。また、iPhone / iPad を監視モードで運用し、かつ端末ユーザー側からの監視モード解除をできないようにする(=強制登録)には、ABM/ASMを利用した登録が必須です(ABM/ASMを利用せずに登録すると、端末ユーザー側からの操作で解除が可能です)。


Apple Business Manager/Apple School ManagerのADEを利用した登録

MDM は Apple Business Manager(ABM)/Apple School Manager(ASM) と連携して、Apple の提供する監視モード(=Supervised mode)を利用した管理を実現し、正規のベンダーから購入した端末の購入時の一括自動登録を可能にします。この機能はADE(旧称: DEP)と呼ばれ、利用するにはMDM サーバー(Endpoint Central Cloud)を ABM/ASM と連携させる必要があります。このため、ADEを利用するにはAppleのABM/ASMが必要です。

ABM/ASMを利用するには
ABM/ASMを利用するには、いくつかの条件を満たす必要があります(参考:Apple Business Manager サポート、Apple)。

  • 利用する国・地域がABM/ASMの対象である - 日本国内でiPhone/iPadを管理する場合、対象地域に含まれています。
  • 管理するデバイスがABM/ASMの対象に含まれる - 新規購入の場合、ADE対応端末を購入する必要があります。販売店によって条件が異なる場合があるため、事前に購入先へお問い合わせください。
  • ABM/ASMの利用を申し込む - ABM/ASMを利用する場合、法人であれば、無料でAppleに登録しABMを利用することができます。その際、登録にはAppleがD-U-N-Sナンバーの登録を要求にしているため、法人以外(個人事業主など)は利用することができません(参考:D-U-N-S Number、東京商工リサーチ)。ASMの場合、必要条件を満たす必要があります(参考:Apple School Managerの必要条件)。

ABM/ASMの利用が困難な場合は、Apple Coniguratorによる登録またはその他の方法を利用します。端末を監視モードとして登録するには、Apple Configuratorを使用した方法も利用可能ですが、ABM/ASMの利用なしでApple Configuratorから登録した端末は、端末ユーザー側から監視モードを解除可能です。これはAppleが定めた仕様であるため、Endpoint Central Cloudをはじめ、他社製のサードパーティモバイルデバイス管理ツールにも共通の仕様です。

以下、本手順では ABM を利用した場合について説明しますが、ASM の場合も手順は同様です。

MDMサーバーとABMの連携方法
  1. モバイルデバイス管理タブを開き、「登録」→「Apple 登録(ABM/ASM)」→「装置を法人用に登録」を選択します。

     
  2. コンソール画面の「ダウンロード」をクリックし”MDM_Zoho_corporation_Certificate.pem”をダウンロードします。

     
  3. ABM ポータルにログインし、「設定」→「デバイス管理の設定」→「MDM サーバーの追加」をクリックします。

     
  4. 「ファイルを選択」から手順2でダウンロードした”MDM_Zoho_corporation_Certificate.pem”を選択し、「保存」をクリックします。

     
  5. 「トークンをダウンロード」をクリックして MDM サーバーにアップロードするファイルをダウンロードします。ダウンロード後、コンソール画面で「次へ」をクリックします。


     
  6. 「サーバートークンを検索する」から[参照する]をクリックし、ステップ5でダウンロードしたファイルをアップロードします。サーバートークンの期限が切れた場合に通知するアドレスを、「サーバートークンの期限切れの通知先メールアドレス」に入力し、[次へ]をクリックします。

     
  7. デバイスのアクティブ時の設定を行います。装置のアクティベーション担当者から「ユーザー」または「管理」(”管理者”の表記ゆれ)を選択します。端末をグループに割り当てる場合は、グループに割り当てるから選択します。
     
  8. 「セットアップアシスタント」からは端末起動後のセットアップ時に設定をスキップする(無効にする)項目にチェックを入れます。必要に応じて、Shared devices, Mac アカウントの設定を行い[作成]をクリックします。

以上でEndpoint Central Cloudサーバーと ABM の連携が完了します。以後、購入端末が ABM に登録される際に、端末がコンソールに自動で追加されます。ABM へのデバイスの登録方法は Apple の Webページをご参照ください。
端末へはプロファイルが自動的にインストールされ、モバイルデバイス管理はこのプロファイルとME MDMアプリを使用して実行されます。登録から30日は端末ユーザー側から管理を解除することができますが、それ以降は端末側からプロファイルを削除することができません(強制登録)。

デバイスのアクティベーションの前に上記操作が完了している必要があります。左記に該当しない場合にはデバイスを工場出荷状態に初期化してから試行してください。
ADE登録におけるトラブルシューティングはこちらのナレッジをご覧ください。

 


Apple Configurator 2による登録

購入後の端末に対して、監視モード(Supervised mode)を利用した管理を行う場合、MacコンピューターにApple Configurator 2 をインストールし、Apple Configurator 2 を使用して端末を登録できます。ABM/ASMを利用していてADEを使用しない場合や、ABM/ASMを利用せずに監視モードとして登録する場合にこの方法を選択します。

iPhone でアクティベーションロックが有効の場合、本登録が完了しない場合があります。その際には、Apple ID からログアウトして、再度お試しください。
  1. Macコンピューターを用意し、App Store から Apple Configurator 2 をダウンロードしインストールします。
     
  2. モバイルデバイス管理タブにアクセスし、必要に応じて、端末の登録(初期化)後すぐに端末が Wi-Fi に接続できるよう、Wifi 接続のプロファイルを作成します(任意)。
    「ファイル」→「新規プロファイル」をクリックして、左メニューから Wi-Fi を選択し、SSID や、セキュリティの種類、パスワードなど必要な情報を入力してください。入力後、「ファイル」→「保存」からプロファイルを保存します。
     
  3. 「ファイル」→「新規ブループリント」をクリックし、新しいブループリントを作成します。その後、右クリックを押し、「準備」を選択します。
     
  4. デバイスを準備の画面で、ABMを利用している場合は、「Apple School ManagerまたはApple Business Managerに追加」にチェックマークを入れ、[次へ]を押します。
    ABMを利用していない場合はチェックマークを外し、「次へ」をクリックします。
     
  5. Apple Configurator に新規サーバーを登録します。「サーバー:」から新規サーバーを選択し、[次へ]をクリックします。
     
  6. サーバー名を入力します。URL は、コンソール画面の 「モバイルデバイス管理」→「管理」→「Apple コンフィグレーター」に表示されている URL を入力してください。
     
  7. 信頼できる証明書が追加されていることを確認後、[次へ]をクリックしてください。
     
  8. ABMを利用している場合はABMアカウント情報を入力します。
     
  9. 組織に関する詳細を入力し、[次へ]をクリックします。
     
  10. 「新しい監視識別情報を生成」を選択して、[次へ]クリックします。
     
  11. デバイスの初期化時に、ユーザーが設定を行う項目を選択します。
     
  12. デバイスが登録を完了するためには、ABM および MDM サーバーとの通信が必要です。必要に応じて、手順1で作成した Wi-Fi の設定プロファイルを選択し、[次へ]をクリックします。
  13. 「自動化された登録の資格情報」では何も入力せずに[準備]をクリックします。
     
  14. 端末を MacコンピューターにUSBケーブルで接続して、Apple Configurator 2 上で端末を右クリックし [適用]から作成したブループリントを適用します。

以上で端末の初期化後に登録が完了します。
端末へはプロファイルが自動的にインストールされ、モバイルデバイス管理はこのプロファイルとME MDMアプリを使用して実行されます。
Apple Configurator 2 を使用し、ABM/ASM登録情報を入力して登録した場合、登録から30日は端末ユーザー側から管理を解除することができますが、それ以降は端末側からプロファイルを削除することができません(強制登録)。
Apple Configurator 2 でABM/ASMを使用せずに登録した場合、強制登録はできず、端末側からプロファイルを削除することが可能です。

 


Apple Configuratorアプリによる登録

iOS/iPadOS用のApple Configuratorアプリを使用して登録します。

(準備中)

 


その他の方法による登録

管理者または招待からの登録を実行してください(この場合、登録されたデバイスは監視モードにはなりません)。