SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

SB C&S

【連載:WS1を知る】Apple User Enrollment端末 をWorkspace ONE UEMと連携してBYODで利用する ~前編~

Omnissa
2021.09.01

VMware Workspace ONEを中心とした、デジタルワークスペースのソリューション展開を行っている近藤と申します。本稿では、現在携わった案件等でお客様の興味関心が高かった内容を検証し、手順や結果を紹介していきます。どうぞよろしくお願い致します。

2024/12/17追記
iOS18では、プロファイルベースのユーザ登録はサポートされなくなりました。ユーザ登録するには、「設定」から管理対象Apple Accountにサインインする必要があります。
・iOS 18のエンタープライズ向けの新機能
https://support.apple.com/ja-jp/121158

◉本稿テーマ
Apple User Enrollment端末 をWorkspace ONE UEMと連携してBYODで利用する

◉目次
Apple User Enrollment端末 をWorkspace ONE UEMと連携してBYODで利用する ~前編~
・検証テーマ選定 背景
Apple User Enrollment とは
・本検証ブログ用語定義
・本検証 環境手順

Apple User Enrollment端末 をWorkspace ONE UEMと連携してBYODで利用する ~後編~
Apple User Enrollment 端末と通常iOS端末の管理機能差異について
BYOD懸念点への対策方法
・Workspace ONE SDKアプリでデータ漏洩防止対策


※注意点:本稿は2021年6月に検証した内容を執筆しています。
製品仕様等変更で、一部執筆内容と異なる場合もあります。
ご利用される際は、再度検証頂きご利用いただければと思います。


◉本題

本稿では、Apple社が提供するBYOD管理機能であるApple User EnrollmentWorkspace ONE UEMと連携して、企業と社員にとってWin-WinBYOD環境が実現可能かを、検証結果を交えてご紹介していきたいと思います。
そもそもBYODとは、Bring Your Own Deviceの略で、社員が個人で所有しているスマートフォンやタブレット、ノートパソコンなどの端末を企業内に持ち込み、社員所有端末で業務を行うという仕組みをBYODと言います。
スライド1.jpeg

BYODという考え方は、2010年頃から米国を中心に欧州等で進んでおり、主に導入の動機として2つ理由があると言われています。1つ目は、場所を問わずネットワークに接続できる高性能のノートパソコン、スマートフォンやタブレット端末が普及したこと。2つ目は、端末の種類やOSを問わずに利用できるアプリケーションやクラウドサービスが普及したことです。
社員と企業のメリットとしては、社員は複数の端末を持つこともなく、使い慣れた1つのデバイスを業務で利用することで業務効率を上げることができ、企業としては、端末を支給する必要がないためコスト削減を図ることができるなど、双方にメリットがあると考えられています。
しかし、日本企業では情報セキュリティの流出リスク増加や、社員のプライバシー保護問題などを理由にBYOD導入に対して否定的な意見が多く、諸外国の企業に比べてBYODは普及していませんでした。

スライド3.jpeg

しかし昨今の新型コロナウィルス拡大により、在宅勤務制度を導入する企業が拡大したことで、日本企業でもBYODを用いた在宅勤務制度を検討する企業が増えてきました。BYODを検討される企業がBYOD端末に求めるチェックポイントとしては、以下のような項目が多いです。
本稿では、様々なデバイスメーカーがBYOD管理機能を提供しておりますがその中で、Apple社が提供するApple User Enrollment と、MDM機能を提供するVMware Workspace ONEを組み合わせて、企業がBYODを導入する上での検討事項(チェックポイント)をクリアできるかをご紹介していきます。
スライド4.jpeg


本検証ブログでは、まず始めにiOSデバイスをApple User Enrollment設定と、設定していないデバイスの2種類に分けてWorkspace ONEでの管理機能差分を検証していきます。
それら管理機能が、企業がBYOD利用で検討事項をクリアできているかをご紹介します。
検証レポートをお伝えする前に、先ず始めにApple User Enrollmentの特徴についてご紹介します。
スライド2.jpeg




◉Apple User Enrollmentとは

Apple社がBYOD管理機能として提供している機能を、Apple User Enrollmentと言います。Apple User Enrollment を利用することで、社員はBYOD端末で業務に従事しても、自分のプライバシーを守り、IT部門は企業データを安全に保つことができる管理機能となっています。
スライド6.jpeg

Apple User Enrollment端末で適用できるMDM機能は、Apple社の公式ホームページでは以下のように掲載されています。
スライド7.jpeg


◉本ブログの用語の定義

検証レポートで使用する用語を定義します。

◉Apple User Enrollment とは
Apple社はBYOD管理機能としてApple User Enrollmentと呼ばれる機能を提供しています。Apple User Enrollmentを利用することで、IT部門(企業)は必要なものだけを管理することできます。社員はBYOD端末で業務に従事しても、自分のプライバシーを守り、IT部門は企業データを安全に保つことができます。

◉Apple Business Managerとは
Apple Business Managerとは、IT管理者向けのWebベースのポータルサイトです。
企業がApple社から直接、またはApple製品取扱店や携帯電話会社を通じて購入したAppleデバイスを、ユーザー側でデバイスに対して一切設定することなく、デバイスをモバイルデバイス管理(MDM)ソリューションに自動登録することができます。
MDMを使用すると、ユーザーの設定プロセスを簡素化し、デバイス設定を構成します。
また、Apple Business Managerでは企業が一括でAppとブックを購入/配布できます。

◉Automated Device Enrollment(ADE)とは (旧名:Device Enrollment Program(DEP))
ADEとは、Apple社が提供する企業向け iOS 端末導入支援サービスです。 ADE を利用することにより、導入作業の簡略化、導入コストの削減、セキュリティ管理機能の向上と iOS 端末の業務利用における課題を全て解決することが出来ます。

◉Apple Configurator 2とは
Apple Configurator 2とは、基本的な設定および構成タスクの簡素化や、iPhoneiPadiPod touch、およびApple TVApp、構成プロファイル、および書類をインストールする際に利用します。また、Apple Configurator 2は、個人用設定にしていたAppleデバイスを監理対象にする際に利用します。

◉本ブログの端末表記について
本検証では、Apple User Enrollment設定を実施したiOSデバイスを「Apple User Enrollment端末」と記述し、ADE(旧名:DEP)や、Apple Configurator 2を用いてiOS監視モード (Supervised Mode)を実施しているiOSデバイスを、「監視モード端末」と記述します。
また、Apple User EnrollmentやADE(旧名:DEP)の設定等を実施していないiOSデバイスを「通常iOS端末」と記述します。



ここからは、Apple User Enrollment端末と通常iOS端末の2種類に分けて、Workspace ONEでの管理機能差分結果をご紹介します。
本検証を実施する上で準備したものは以下の通りです。

MDM VMware Workspace ONE
・デバイス: iPhone12 (バージョン:14.3)
Apple Business ManagerABM)で作成したアカウント

本検証はApple社が提供しているBYOD管理機能を実施するためにiOSで検証します。
また、BYOD管理機能であるApple User Enrollment は、イメージとしてMDMとの橋渡しを行うような機能なので、MDMと連携します。
本稿ではiOSデバイスのみのご紹介となりますが、本来のBYODでは、様々なOS/デバイスを利用するかと思いますで、様々なOS/デバイスを一元的に管理することができるVMware社のWorkspace ONEを利用してご紹介します。
また、Apple User Enrollment を実施するためには、Apple Business ManagerABM)で作成した管理用Apple IDが必ず必要です。
ここからは、管理用Apple IDの発行し、Apple User Enrollment端末をWorkspace ONE UEMと管理させるまでの検証環境手順をご紹介します。


◉検証環境 手順

まず始めにApple Business Managerより、管理用Apple ID(Managed Apple ID)を発行します。
管理用Apple IDを発行後、事前にブラウザでApple Business Managerにログインし、パスワードや2要素認証の設定、本検証で実施するユーザーの管理Apple IDを作成します。

参考:My Apple ID
スライド8.jpeg

Workspace ONE UEMにユーザーアカウントを作成します。
先程①で発行した管理Apple IDと、メールアドレス等を設定します。
スライド9.jpeg

Workspace ONE UEMの管理コンソールより、[グループと設定]>[すべての設定]>[ デバイスとユーザー]> [全般]>[加入]を開き、User Enrollmentの加入を有効化します。
スライド10.jpeg

Workspace ONEに管理されていない、iOS13 以降のデバイスを準備します。
iOS端末でSafariを立ち上げ、Apple User Enrollment用の加入URLにアクセスします。
(https://"Workspace ONE UEMのテナントURL"/enroll/user/

アクセスすると、iOS端末にApple User Enrollment用のページが表示されます。
本検証環境では、メールドメインによる組織指定を設定していないため[Group ID]を選択し、管理用Apple IDと加入組織を入力します。
スライド11.jpeg

Apple User Enrollment 用の構成プロファイルを[許可]し、ダウンロードを実施します。
iOS端末の設定を開くとプロファイルがダウンロードされ、Apple User Enrollmentの登録通知が出ています。
次に["(null)"に登録]を選択します。
スライド12.jpeg

プロファイルを選択すると、iOS端末にApple User Enrollmentの画面が表示されます。
[
このiPhoneを登録]を選択し、パスコードを入力します。
スライド13.jpeg

iOS端末にApple IDのサインインが表示されるので、パスワードを入力します。
管理用Apple IDの作成時に登録した電話番号先に、2ファクタ認証で利用する6桁のコードが届きます。
2ファクタ認証を行うとサインインが実行され、Apple User Enrollment が完了します。
スライド14.jpeg

Workspace ONE UEMへの加入状態は、Apple User Enrollment 端末の[設定]>[一般]>[デバイス管理]よりプロファイルがインストールされ、Workspace ONEで管理されていることを確認することができます。
※注意点:Apple User Enrollment 端末の場合、ユーザー自身でプロファイルを選択すると、プロファイル削除を実施することができます。(通常iOS端末もプロファイル削除可能)
もし、プロファイルの削除をユーザーで行わせないように強制したい場合は、iOS端末を監視モード(ADE(旧名:DEP))する必要があります。
スライド15.jpeg

ここまで、Apple Business Managerで、管理用Apple ID(Managed Apple ID)を発行し、iPhone端末をApple User Enrollment端末に設定し、Workspace ONEに加入(管理できるようにする)手順をご紹介しました。
次回の後編では、通常iOS端末と Apple User Enrollment端末をVMware Workspace ONEに連携し、BYOD管理機能差分を明らかにし、機能ごとにどのようなBYOD環境を実施できるのかをユースケース等と併せてご紹介していきたいと思います。
後編もどうぞよろしくお願いします。


著者紹介

SB C&S株式会社
ICT事業本部 技術本部 技術企画室 技術企画課
近藤 泰介 -Taisuke Kondoh-

2019年に新卒として、SB C&S株式会社に入社。
主にデジタルワークスペース実現のためのソリューション展開、案件支援、先進事例の獲得、協働パートナーの立ち上げを経験。現在はDevOps/DevSecOps領域商材のプリセールスを行いながら、新興技術調査、新興企業の目利きを行う。