AppleBusinessManagerって、何なん?
みなさんこんにちは。
今回はモバイルデバイス管理でお馴染みのAppleBusinessManager(以下、ABM)とは何なのか、改めて解説したいと思います。
ABMでできること
iOSのMDM管理の話になると登場するABMですが、慣れるまで全体像がイメージしにくいサービスであると感じます。
その原因は、エンタープライズ利用に必要な機能をごちゃっと一つのサービスにまとめている点にあるのではないでしょうか。
そこで今回は主要な機能のみピックアップし、概要を把握してもらうことをゴールにします。
最初に、ABMの公式情報を見てみましょう。
Apple Business Managerは、IT管理者がiPhone、iPad、iPod touch、Apple TV、およびMacをすべて1か所から導入できる、ウェブベースのポータルです。
既存のモバイルデバイス管理(MDM)ソリューションとシームレスに連係することで、Apple Business Managerでは、デバイス導入の自動化、アプリケーション購入とコンテンツ配布、社員の管理対象Apple IDの作成を簡単に行うことができます。
例によって何言ってるのかわかりにくいですが、3つのことができると言っているのです。
①管理対象AppleIDの作成
②MDMへのデバイス情報連携
③アプリ・Bookの配布
掘り下げると色々細かい機能もあるのですが、まずこの3つの柱でABMを考えてもらうと理解しやすくなるのではないかと思います。
なお、以降のMDMのお話はAppleプッシュ通知証明書を取得している前提となりますので、まだの方は先にお済ませください。
管理対象AppleIDの作成
Appleデバイスを利用する際、最大限機能を利用するにはAppleIDが不可欠です。
業務利用では、主にデータのバックアップやアプリのインストールをさせたい場合にAppleIDを払い出すことになると思います。
他方、機能を制限するためにあえてAppleIDを利用させずに使用するパターンもあります。
この辺りは管理方針によって割と違いが出てくるところになります。
さて、AppleIDを払い出す場合、組織の全員分AppleIDを用意しなければなりません。
この時、情シス担当者が、いわゆる「普通の」AppleIDを払い出してしまうパターンが非常に多いのです。
普通のAppleIDは、コンシューマー利用であればAppleデバイスを買った際に作成すると思いますが、それ以外にiTunesやWebから払い出すこともできます。
なのでユーザーが増えるたびに、組織のメールアドレスでAppleIDを作成することになります。
この「普通の」AppleIDですが、業務利用では非常に問題があります。
それは管理者がアカウント管理できない、という点。
通常、業務利用するようなアカウントは管理コンソールから作成・無効化・削除等が可能です。
しかし「普通の」AppleIDはコンシューマー向けの機能であるため、管理コンソールが存在しません。
そのため、ユーザーが退職するような場合は本人にパスワードを聞いて、その上でユーザーが以後アクセスできないようPW変更をしたりアカウント削除をする必要があります。
つまり何らかの事情で本人に確認できなかった場合は、そのAppleIDは永遠に組織の手を離れて一人歩きしてしまうわけです。
これはセキュリティー面で非常に問題なわけです。
そこで本題に戻るのですが、実は管理者が管理できるAppleIDが存在します。
それが管理対象AppleIDです。
管理対象AppleIDはABMからのみ払い出すことができます。
ABMのユーザーメニューから新規アカウントとしてAppleIDを払い出すことが可能です。
独自ドメインを事前にABMに登録しておくことで、AppleIDのドメインに使用できます。
ABM上の管理者権限なども付与できます。
ABMという管理コンソールがあることで、各ユーザー(AppleID)のPWリセットやアカウント無効化を行うことができます。
また、GWSやAzureADとの連携機能もあります。
組織のデバイスに自分のアカウントでサインインすると自動的に管理対象AppleIDを作成してくれたり、テナントのアカウント情報をABMと同期するといった機能を利用できます。
このように、管理対象AppleIDは多くのメリットがありますので、これを使わない手はありません。
ABMを利用中なのであればぜひご検討ください。
ただし、注意点もあります。
管理対象AppleIDはマネージドデバイスで利用する前提となっているため、一部の機能が制限されています。
特にAppStoreからのアプリインストールができない点には注意が必要です。
後述するABMからのアプリ配信を利用するシチュエーションでは、かえってアプリインストールができない方がセキュアになりますので、運用を含めて見直す手もあると思います。
MDMへのデバイス情報連携
ABMを使う最大のメリットはここでしょう。
デバイスをMDMで管理する場合、前提としてMDMサービスへのデバイス登録が必要になります。
Appleデバイスの場合、ABMがあることで
購入したデバイス情報をABMに登録→ABMからMDMサービスに情報連携→その情報に基づいてデバイス登録
という流れをとることができます。
そのためいちいちデバイス情報を収集してそれをMDMに登録する、という手間が生じません。
起点となるABMへのデバイス登録は大手のBtoBの販売店であれば概ね対応していると思います。
そのためiPhone等の調達時に「ABM登録もお願いね」と伝えれば対応してくれるはずです。(○○カメラみたいなBtoC向けの販売店だとダメです)
個別に購入したデバイスが手元にある場合、1台ずつにはなりますがApple Configuratorというソフトを使用してABM登録が可能です。
ABMへの登録が済んだら、ABM上で「MDMサーバーの追加」という設定を行います。
詳細はMDMサービスによって異なりますが、ABM上にMDMサービスから払い出した証明書ファイルをアップロードし、その後ABMから払い出されるトークンファイルをMDMで取り込む流れになります。
連携に成功するとMDM側にABM登録されたデバイス情報が連携されます。
ちなみに、ABM経由でデバイス登録するとAppleデバイスを「監視モード」と呼ばれる状態にセットアップすることができます。
これはコンシューマー利用では絶対にお目にかからない機能ですが、より細かい制御や監視が可能な状態とお考えください。
社給デバイスであれば監視モードにした方が便利ですので、特段理由がなければ監視モードでよいかと思います。
さて、以上でお分かりいただけたかと思いますが、ABM自体がMDMとして機能する訳ではありません(今のところ)。
ABMを用意するだけではデバイス制御できるようにはなりませんのでご注意を。
あくまでMDMへの連携に使用する基盤の役割をします。
※今のところ、というのは、米国ではABM自体がMDMも兼ねるAppleBusinessEssentialsというサービスが始まったからです。
詳細は過去記事をご覧ください。日本ではまだ使えません。
アプリ・Bookの配布
ABM上で組織で使用するコンテンツをまとめて購入し、MDM登録したデバイスに配布することができます。
例えば全体でZoomアプリをiPhoneにインストールして使いたいけど、全ユーザーに「Zoomアプリをインストールしておいてください」と言うのは中々難しさがありますよね。
そんな時に管理者がアプリをまとめてインストールできると便利なわけです。
まずABM上で対象アプリを検索し、必要な数量を購入します。(無料アプリでも便宜上購入になります)
ABMには支払い情報も登録できますので、有料アプリも配布することが可能です。
MDMで配布できるようにするには、先ほどと同じくABMからトークンを払い出し、MDMに取り込みます。
あとはMDM側で各デバイスに対し配布設定を行えば配布することができます。
アプリのアップデートもABM経由で実施できます。
なお、「普通の」AppleIDを登録してある端末であれば必ずしもABM経由で配布しなくてもアプリ配布は可能です。
前述の管理対象AppleIDやAppleIDなし運用の場合ですと、アプリライセンスの関係でABM経由の配布が必須になります。
ABMの利用を開始するには
ABMはAppleに申請すれば無料で利用することができます。
条件としては、DUNS番号が必要です。また、Appleによる審査が行われ、パスしないと利用できません(確か確認の電話がかかってきたと思います)。
基本的に1つの組織で1つのABMしか持つことができません。
慣れるまでは戸惑う部分もあるかと思いますが、無料で利用できるサービスですので、Appleデバイスの管理に積極的に利用していきましょう。
お読みいただきありがとうございました。
この記事が気に入ったらサポートをしてみませんか?