Intune (MDM) 初心者の嵌りポイント 3.Apple のDEP? 監視モード? DUNS Number?

Minami Hirosawa

公開日:2020/11/6

はじめに

私的はまりポイント シリーズ第3弾。 
今回は、Apple の端末を MDM で管理するための準備や環境について。
基本的にiOS中心で書きます。macはiSOに比べてできること少ないのでその点は注意!
(2020/8/4)だめだ!いろいろ変わってて、まとめきれない!!!
ユーザー登録とか入ってくるとまとまりきらないよ。
(2020/11/6)記事が公開されてなかった…… でも、とりあえず、まとまり切ってなくてもいいから公開しよう! ちょっと最近触ってないので、なんか変わってたらゴメン!

嵌りポイント

1.ユーザーアフィニティって、なに?
2.Windows、Apple、Android って全然別物やし! 端末種別増えるごとに大変さは一次関数的に増えていく!
3.Apple のDEP? 監視モード? DUNS Number? 何ぞそれ?
  →今回はココ!
4.Androidって、実質、Work Profile 一択じゃないですか…(※ちょうど昨日 (2019/9/23) Fully Managed Device が Preview ⇒ GA になったので、二択になりました!)
5.MDMって、複数製品重ね掛けできない!? バックアップ復元……できない!?
6.Windows の MAM って、WIP のことだったんですね。

3.Apple のDEP? 監視モード? DUNS Number? 何ぞそれ?

私のバックグラウンドを少し話すと、これまで Windows クライアント OS や Microsoft Office の展開やサポートをやってきました。なので、Apple はプライベートの携帯が iPhone という程度で、Apple のエンタープライズの仕組みはよく知らない状態でした。
そんな状態で Intune の Apple 端末管理を触り始めたので、「はてな」が量産されることになったのです。

(ちなみに今もよくわからないことだらけです。)

DEP、監視モード、DUNS Number と謎の単語を出してきましたが、これらは Apple 端末 ( 主に iOS ばかりで、mac はほとんど触っていないのですゴメンナサイ) の MDM 管理におけるキーワードです。実は上記の3つだけじゃなくて、ABM とか VPP とか 管理対象 Apple ID とかあります。(タイトルが長くなるのが嫌で削減しました)
それらが何なのかとか、IntuneでiOS端末を管理するときに、どんな感じで関連してくるのかをざっくり説明したいと思います。

(ほかに詳しく説明してくれているブログや、Intune じゃない MDM サービスの公開マニュアルでわかりやすいものもあるので、そちらを同時に参照してもらうと、より理解が深まると思います。)

まずはざっくりApple端末の管理について説明

色々キーワードが出てきましたが、重要ポイントとして、「DEP、監視モード、DUNS Number、ABM、VPP」これ、全部エンタープライズ向け(といっていいのか?)の機能なので、無くても、MDM 使えます。使えます。使えます。機能は限定されますが。

こやつらが使えて何がいいのかというと、↓ みたいなことができるのが良いのです。
・キッティングや MDM 登録の自動化
・高度なiOS端末管理機能の利用(紛失時の位置情報取得や、MDM設定の削除の禁止、その他 細やかな設定制御)
・法人でのアプリの一括購入・配布(ユーザーへのApple IDの入力を求めずに、サイレント インストールさせられる)

ですので、ある方が便利なのですが、無ければ無いで ↓ のような管理内容になります。
・キッティングは自動化できません。MDMは手動で登録する必要があるので、エンドユーザーに手順書を配ったりして登録してもらう。登録されたら設定やアプリの配布、リモートワイプなんかはできるので、端末管理としては問題ないでしょう。
・通常のOSモードで管理せねばならないので、MDM プロファイルを削除されたりすると、MDM管理下から外れてしまいます。紛失したらいち早くワイプおすすめ。監視モードじゃないと適用できない設定とかあるので、ちょっと管理内容に制限がある(ちょっとずつ、監視モードが必要な設定が増えているよね)
・アプリはMDMから配布できるのですが、あくまで、端末上で購入を求める動きになっており、購入時には端末に登録された Apple ID へのログインが必要。有料アプリはMDMだけだと配布できなかった気がします。(タブン

以上の内容で良ければ、Intune の iOS 管理のDocsの
「iOS/iPadOS の登録の前提条件」
https://docs.microsoft.com/ja-jp/mem/intune/enrollment/ios-enroll#prerequisites-for-iosipados-enrollment
の設定を入れてやって、構成プロファイルやアプリの配布、そのほか登録制限の設定などを設定して、デバイスをIntune登録すれば、Intune登録、設定・アプリ配布、リモートワイプなど、基本的な機能を利用できます。

でもやっぱり「DEP、監視モード、DUNS Number、ABM、VPP」とか、使いたい場合には、追加で設定が必要です。

キーワードの説明

ABM、DEP、VPP、監視モード、管理対象 Apple ID、DUNS Number

Apple の端末のエンタープライズ管理において一番大きなくくりは  Apple Business Manager(ABM)です。
これは、法人の Apple 端末(iPhone、iPad、Mac など)やアプリを管理するクラウド サービス(無料)です。
(昔は Apple Deployment Program と呼ばれていましたが、Apple Developer Program と見分けがつかなくて、検索でも混同されてややこしかったので、改名されてうれしいです。)
Android では Android Enterprise にあたるような、Windows の世界だと、、、AutoPilot+ビジネス向け Microsoft Store のような感じですかね。

ABMが親玉サービスで、その中に、大きく分けて2つの機能があります。
1つ目はデバイス管理(もうDEPとは呼ばなくなったのですよね
Device Enrollment Program = DEP と呼んでました)……初期セットアップ処理に介入して、キッティングの自動化やMDMへの自動登録を実現できる機能。
2つ目がコンテンツの購入(これも昔はVPPと呼んでいました
Volume Purchase Program  = VPP)……法人でのアプリの一括購入や配布 (サイレント インストール) を行うために必要な機能。

ABMの環境を手に入れるためには、携帯の販売代理店に機器の購入時にABMの連携をお願いして、やってもらうか、自分たちで Apple の画面から取得しに行くか。この ABM 環境の契約 (?) のところで、会社の存在の証明のために必要になるのが DUNS Number

監視モード、管理対象 Apple ID については、それぞれ  以下のような感じです。

監視モード……iOS端末のエンタープライズ管理のための特殊な OS  モード。
DEPの機能を使って有効化することができ、これによって何がよいかというと、デバイス紛失時の位置情報取得ができるようになったり、MDM設定消せ無くしたり、そのほか監視モードでないと適用できない設定やリモート操作があります。

管理対象 Apple ID……前は、ABM の管理コンソールにログインする 管理者用Apple ID (普通の Apple ID とは別物) くらいの意味合いだったけど、AADと連携してユーザー登録に使う ID にできるようになったんだったっけ…?(うろ

DUNS Number……D&Bという組織 (D&Bのウエブサイトはこちら) が、国際的に企業に一意の企業コードを付与・管理しているそうな。日本の企業は東京商工リサーチさん (東京商工リサーチさんのDUNS Numberに関するページはこちら) が管理していて、企業や倒産などの情報をもとに自動で採番してくれているそうな。自社の番号が知りたい場合には 東京商工リサーチ さんの D-U-N-S Number 検索 のページから検索して、自分の会社が見つかったらそこから東京商工リサーチ さんに番号教えてー と依頼できます。
自社の番号は無料で可能。他社の番号は手数料がかかったかな。
設立すぐの会社は東京商工リサーチ さんの採番がまだで発行されてなかったりする。その場合には、新規採番で手数料がかかった気がする。
詳しくは、東京商工リサーチさんのところのDUNS NumberのFAQとかに書いてあったかな。

ざっくりApple端末のIntune登録について説明

色々キーワードが出てきましたが、Intuneベースで、iOS端末をMDM登録するやり方は6種類あります。
【参考】https://docs.microsoft.com/ja-jp/mem/intune/enrollment/device-enrollment#iosipados-enrollment-methods

1.BYOD:ユーザーが 手動で Intune アプリをインストールして Intune登録する。「デバイスの登録」「ユーザーの登録 (プレビュー)」という2種類に分かれる。(参考
2.DEM:DEM(デバイス登録マネージャー)という1アカウントで最大 1,000 台のデバイスをIntune登録できるが、ユーザーアフィニティが無く、条件付きアクセスを使えないため、M365のユーザー利用の観点では、知らない子ですね。
サイネージ端末のようにM365の認証が不要な端末が対象です。(参考
3.ADE:Apple 自動デバイス登録。
記事タイトルのABMのデバイス管理(DEP)を使ってデバイスの初期セットアップ時に(=端末のキッティングをしつつ) Intune 自動登録します。
「初期セットアップ時」なので、この方法でIntune登録するには端末の初期化が必須です。(参考
4.USB-SA:Apple Configurator2 という管理ツール(要Macの管理 PC)を使って、端末のキッティングをしつつ、Intune 登録する。
ADEと同じく、この方法でIntune登録するには端末の初期化が必須です。また、たしかデバイスを監視モードにするのは、USB-SAでもできた気がする。
1台ずつMacにUSBでつないで、設定を適用ピコピコする感じなので、ちょっとこの子は知らない子ですね。(参考
5.USB-Direct:Apple Configurator2 という管理ツール(要Macの管理 PC)を使って、キッティング済み端末に設定だけ配布する。
これも、ユーザーアフィニティが無く、条件付きアクセスを使えないため、DEMと同じく、ちょっと知らない子です。(参考)

この中から、自分の組織に導入するには、どの方法がいいか?
・BYODなのか会社端末なのか?
・ユーザー利用かサイネージ的な利用なのか?
・条件付きアクセスと連動したいか?
・どのくらい 細やか/厳しく 管理/制御したいのか?
・利用中の端末を初期化できるか?
・情シスでキッティング ピコピコするか?
などの観点で選択します。

その後は、docs君を見ながら、AppleのABMの環境を準備したり、IntuneとABMのデバイス管理を連携したり、Apple MDM プッシュ証明書 (New単語 w) を設定したり、 IntuneとVPPの連携したり、デバイスに配布したいデバイス制限設定やアプリを設定したりしましょう。

Apple MDM プッシュ証明書 というのは、Apple端末にプッシュ通知を送る(例えば、Intuneだと設定とかリモート コマンドとか送るよね)ために必要な仕組みでござる。ABM使うとか使わないとか関係なく、Apple 端末を Intune で管理するときには必要だよ。(参考

みんな Apple 端末管理 頑張ろう!
以上

私のド嵌り記事があなたの役に立ったのならうれしいです。 ( * ´・ω・)