SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

検索表示
SB C&S

【連載:WS1を知る】(後編)AppleデバイスをADE化させて、 MDMでデバイス管理する   〜Automated Device Enrollment、Apple Configuratorについて〜

  1. ホーム
  2. 技術ブログ
  3. Apple
  4. 【連載:WS1を知る】(後編)AppleデバイスをADE化させて、 MDMでデバイス管理する   〜Automated Device Enrollment、Apple Configuratorについて〜
Apple
2022.03.31

こんにちは。
本稿では、私が担当した案件で特にお客様から質問が多かった内容をご紹介します。
今回は、Appleデバイスを管理する際によく利用されるAutomated Device Enrollment、Apple Business Manager、Apple School Manager、Apple Configuratorについて前編と後編に分けてご紹介します。

後編では、Automated Device Enrollment、Apple Configuratorについて整理してご紹介します。


目次
題名:AppleデバイスをAutomated Device Enrollment(ADE)化させて、
   MDMでデバイス管理する 
前編:Apple Business Managerについて
後編:Automated Device Enrollment、Apple Configuratorについて




AppleデバイスをMobile Device Management (以下、MDM)を利用して、企業や学校が従業員や生徒に対してAppleデバイスを管理する際に、管理者の方からよくこのような声を聞きます。
・配布デバイスのセキュリティ対策をしたい
・デバイスの機能を制限したい
・紛失時にデバイスを遠隔でロックやデータ消去したい
・デバイス情報を収集したい
・アプリケーションを一括購入/配信したい
・管理者や従業員、学生の導入負荷を下げたい
など

スライド1.jpeg


このような管理者の声に対して解決するための手段として、Apple社が提供するAutomated Device Enrollment (以後、ADE)というサービスがあります。
※Device Enrollment Program(DEP)から、ADEにサービス名を変更しました


◉Automated Device Enrollment(ADE)とは

ADEとは、Apple社が提供する企業向けAppleデバイス導入支援サービスのことです。
ADEを利用することで、デバイス1台ずつ初期設定(キッティング)や、MDMと紐付ける作業を簡略化させることができます。そのため、ADEを利用することで、導入作業の簡略化、導入コストの削減、セキュリティ管理機能の向上など。Appleデバイスを企業、学校で導入する際に、管理者を悩ます課題を解決することができます。実際にADEを利用した場合とADEを利用しなかった場合では、大きく作業工数が異なることがわかります。

スライド2.jpeg

ここからは、ADEのメリットや登録方法についてご紹介します。




◉ADEを利用するメリット

・デバイス導入に必要作業の削減

従来はデバイスを監視対象(Supervised mode)にする場合、各Appleデバイスを1台ずつUSBケーブルで、Mac PCと接続させ、Appleが提供するApple Configuratorと呼ばれるサービスで設定する必要がありました。しかし、ADEを使うことで、無線でAppleデバイスを監視対象に自動的に作業することができ、別途Mac PCや、Apple Configuratorを用意する必要がなくなりました。

・MDM構成プロファイルの強制インストール

デバイスを監視対象にすることで、MDM構成プロファイルを強制インストールすることができます。そのため、管理者は管理下でデバイスを利用させることができます。

・MDM構成プロファイルの削除制限

ADEを利用せずデバイスを監視対象にした場合、ユーザー自身でMDMの構成プロファイルを削除することができます。そのため、万が一MDM構成プロファイルをユーザーに削除された場合、管理者はデバイス管理や遠隔設定を利用することができず管理対象外となります。
しかし、ADEを利用して監視対象にした場合、MDMの構成プロファイルを削除することができないため、管理下から外れる心配はありません。

・MDM構成プロファイルのインストール時の認証情報設定

MDM構成プロファイルをインストールする際に、管理者は認証情報を求めるかどうかを任意で設定することができます。
認証情報の設定を実施しない場合、強制的にMDM構成プロファイルがインストールされます。この機能の利用用途としては、例えばAppleデバイスを紛失し、第三者にAppleデバイスが拾われた場合、初期設定から先には進むことができないため、第三者に再アクティベートされる心配はありません。

・iOSデバイスのアクティベーションの省略

新規のiOSデバイスのアクティベーション時に、ADEを利用することで利用言語設定やSiri設定といった各種設定を、ADEを利用するとスキップさせることができます。
管理者が事前にADEで設定することで、ユーザーは簡単にセットアップすることができます。


スライド3.jpeg

◉ADEを利用するには

ADEの利用にあたっては、いくつかの条件があります。

・Apple Business Manager (ABM)の利用申し込み

ADEを利用する場合は、まず始めにABM申請を行い、Apple社よりABMアカウントを払い出ししてもらう必要があります。詳細は本稿の前編をご確認ください。

・利用している(利用予定)端末がADEの対象かを確認

ADEで管理する端末を新規で用意する場合、大手通信キャリアやADE実施可能な販売店、Apple Store等から法人端末として購入する必要があります。ADEへのデバイス登録有無は、販売店によって一部条件が異なるため事前に購入先にお問い合わせください。


・AppleにADE利用申し込み

ADEを利用する場合、Apple社に申し込みする必要があります。
申し込みから利用開始までに少し時間を要することも想定できるので、早めに登録を始めることをオススメします。申し込みの際に、販売代理店IDを入力する必要があるため、事前に販売代理店にお問い合わせしてください。


・ADE対応のMDMを用意

ADEで監視対象デバイスにし、MDMでデバイスを管理することで、監視対象への変更手順の簡略化、MDM構成プロファイルの削除防止などを実施することができます。
しかし、キッティングの簡略化を目的として、ADEを導入する場合は注意点があります。
それはMDMから設定出来ないiOS設定や、配信したアプリなど。
一部ユーザー自身で手動で入力する必要がある項目があるということです。
例えば、MDMからパスコードポリシーやアプリの配信などを行うことはできますが、Apple IDを利用する項目や、iCloudへのログイン、位置情報有効化などは、ユーザーが任意で入力することになるため、強制化が難しいです。


スライド4.jpeg




◉既存(導入済み)端末をADEに登録する

端末導入後にDevice Enrollmentを実施することは基本的にできません。
しかし、条件を満たしていればApple Configuratorと呼ばれる専用アプリを利用することで、既存(導入済み)端末をADEに登録することができます。
ここからは、Apple Configuratorについてご紹介します。


◉Apple Configuratorとは

Apple Configuratorとは、Apple社が無料で提供しているApple製品を管理するための専用アプリケーションです。最近までApple Configurator2という名称でしたが、名称が変更されApple Configuratorとなりました。
Apple Configuratorを利用することで、iOSのアップデート、構成プロファイルの作成/適用、端末の設定や、データのバックアップ、アプリや書類のインストール、パスコードポリシーの強制など。
様々な設定を一括で実施することが可能です。


◉Apple ConfiguratorでのADE設定手順/注意点

ADE登録されていないiOS端末をADEに登録する場合、Apple Configurator(旧名:Apple Configurator 2)というMacのアプリを使って、Macと対象デバイスを有線接続し、ADE端末(ABMに登録された組織所有の端末)にすることができます。
また、Mac端末は以前、導入後にADE化することはできませんでしたが、2021年12月よりApple Configuratorアプリが新しくリリースされ、ADE端末(ABM登録端末)にすることができるようになりました。
注意点として、iOS同様にMacデバイスもApple Configuratorを利用して、ADE端末にすると、端末を初期化する必要性がありますのでご注意ください。
また、Mac端末をApple Configurator を使ってADE端末にする場合は、MacのCPUがAppleシリコンである必要がありますのでご注意ください。
詳細はApple社の要件をご確認ください。

スライド8.jpeg

スライド9.jpeg



◉Apple Configuratorで小規模なMDMは可能

Apple Configuratorを使えば、小規模であれば一定のデバイス管理(MDM)を実施することは可能です。
例えば、Apple Configuratorで構成プロファイルを作成し、デバイスに割り当てることで機能制限を行うことや、ABMでアプリを購入して、Apple Configuratorでアプリを配布することは可能です。



ここまで、Automated Device Enrollment(ADE)や、Apple Configuratorについてご紹介してきました。
MDMでAppleデバイスを管理する場合は、ABMを利用することでより強固なデバイス管理を実施することができますので、本稿の前編と後編を踏まえて、管理者とユーザーにとってWin-Winなデバイス運用を実現させてください。
最後まで読んでいただき、ありがとうございました。


【参考資料】

Apple 製のデバイスをリモートワークに使えるように準備する

iPhone 用 Apple Configurator について

Apple Configuratorユーザガイド

Apple Configurator 2ユーザガイド

自動デバイス登録を利用する

他のおすすめ記事はこちら

【前編】AppleデバイスをADE化させて、 MDMでデバイス管理する  〜Apple Business Manager、Apple Configuratorについて〜

著者紹介

SB C&S株式会社
ICT事業本部 ICT事業戦略・技術本部 技術統括部 第3技術部 3課
近藤 泰介 -Taisuke Kondoh-

2019年に新卒として、SB C&S株式会社に入社。
主にデジタルワークスペース実現のためのソリューション展開、案件支援、先進事例の獲得、協働パートナーの立ち上げに従事。一人前のプリセールスエンジニアになるべく、日々邁進中。

Related Posts

関連記事