法人のiOSデバイス管理必携？Apple Business Managerのまとめ【2023/11更新】

従業員にiPhoneやiPadを貸与する際、必須となるのがMDMツール。万が一の紛失時に遠隔で画面をロックしたり初期化を実行、その他業務に必要なアプリを配信したり、業務外利用やセキュリティ強化のため、ポリシーを設定するなど様々な機能があります。

一方でiOS端末を管理する上で、ほぼ必携とも言えるのが「Apple Business Manager」（以下「ABM」とします）。ABMとは、Device Enrollment ProgramとVolume Purchase Programの総称、MDMツールと連携して、より深くMDMから端末を管理するApple社が提供しているサービスです。

今回はこのABMを利用するメリットやデメリットをまとめていきます。

本記事のまとめ

少し長い記事になるので先にまとめを書きます。

・ABM＝DEP＋VPPである
・DEPの利用メリットはデバイスを監視対象にできる、MDMプロファイルの削除を禁止できるなどが挙げられる
・監視対象にすることでより細かい制限ポリシーをデバイスに適用できるなどが挙げられる。監視対象にする場合、事実上DEPの利用が不可欠。
・VPPの利用メリットはApple IDの設定が行われていないデバイスにもMDMを通じてアプリを配信できる。

※2020年6月追記
現在、DEPは「デバイス管理」、VPPは「Appとブック」などと、AppleのサービスではDEP・VPPという用語は使われていません。
しかし少なくとも国内ではDEP・VPPという単語は市民権を得ているので、本記事ではそのまま「DEP・VPP」を利用します。
尚、DEPは現在「Apple Deployment Management」と称され、略して「ADE」となっています。

Apple Business Manager（ABM）の概要

ABMとはDevice Enrollment ProgramとVolume Purchase Programの組み合わせです。それぞれの概要については後ほど詳述しますが、まずは概要です。

・Device Enrollment Program（DEP）…略して「デップ」と読みます。デバイスの初期設定の工数削減や簡略化を実現することに加えて、デバイスを「監視対象」に置くことができます。
・Volume Purchase Program（VPP）…こちらは「ブイ・ピー・ピー」と読みます。ずばり何ができるかというと、端末にApple IDを設定していなくても、MDMからアプリを遠隔で配信・インストールできます。

ABMは、MDMツールと連携して利用します。ABMは単体では機能しません。そのため、導入するMDMツールがABM（DEP・VPP）に対応しているか？が重要です。とはいえ「管見の限り」ですが、ABMに対応していないツールはあまり見かけません。

ABMを利用するためのステップ

ABMを利用するためには、ABMの利用申請が必要です。利用申請は「Apple Business Manager」と検索すると公式サイトがヒットしますので、アクセスし、「今すぐ登録する」から申請できます。

「今すぐ登録する」をクリックすると、所属する組織情報を入力する画面がダイアログで表示されます。ここでまず必要となるのが、「DUNSナンバー」です。申請には必須ですので事前準備しておきます。

この画面を下にスクロールすると、担当者の情報を入力する欄が2つ表示されます。端的に言えば、一つが運用担当者、もう一つがその担当者の上司（＝確認用連絡先）にあたる人です。この確認用連絡先の「？」をクリックすると、「Appleから電話するよ」という旨が表示されます。

申請後、Appleから担当者に電話がかかってきて、簡単な確認が行われます（日本語なのでご安心を）。このサイトで申請完了後、Appleからの電話応対をし初めて登録が完了します。

尚、これはあくまで利用するための申請であって、この後、利用するためにMDMとABMを連携する作業もあります（ABMの管理画面とMDMの管理画面で作業します。基本的な設計・やることはどのMDMでもほぼ一緒です）
ABMを利用すると一言で言っても、DUNSナンバーの確認や登録・申請の作業などを鑑みると結構パワーのいる業務です。そのため、後述するDEP・VPPの利用メリットと照らし合わせて、本当に利用するメリットがあるのかを判断した方が良いでしょう。

DEPの利用メリットとは？

DEPで何ができるのか？その主なものを以下に列挙していきます。

・本来、デバイスの初期設定完了後にインストールしなければいけないMDMの管理用エージェント（MDMプロファイル）が、デバイスの初期設定の過程で自動インストールされる（別途インストールの必要が無い）
・iPhoneの初期設定で表示される各種設定をスキップできる（表示させない）
・デバイスを「監視対象」に設定できる
・MDMプロファイルの削除を禁止できる

DEPを利用すると多くの恩恵を受けることができます。上記MDMプロファイルの自動インストールについては「なんでそんなことができるの？」となりますが、これは「MDMとABMを連携する作業」で実現します。端的に言えば、ABMサイト上でMDMの管理下に置くデバイスのシリアルNoを登録し、その情報がMDM側に取り込まれ、初期設定の過程でABM・MDMで連携した情報をもとにMDMでプロファイルがインストールされます。

DEPはデバイスの初期設定の過程でMDMの管理下に自動適用するプログラムで、その上でさまざまな付加価値があると言えます。

デバイスを「監視対象」にするとどんなことができるのか、これは後述します。MDMプロファイルの削除を禁止できるのも魅力的です。DEPを利用しない限り、削除は禁止できず、利用者がMDMプロファイルをアンインストールできてしまいます。すなわち、管理下から外れてしまうということになります。

DEP利用時の注意点

ABMの利用申請を行えば、DEPを利用できるのか？というとそうではありません。DEPを利用する場合、Apple社の正規代理店から「DEPを利用すること前提にiPhone・iPadを購入する」必要があります。これをせずにデバイスを購入した場合、DEPを利用できませんので注意してください。必要な手続きなどは正規代理店、キャリアによって異なりますので、それぞれの窓口で確認が必要です。
尚、すでにデバイスを利用中の場合は要注意です。というのも、DEPを利用してMDMの管理下に置く場合、デバイスを初期化する必要があるためです。

デバイスを「監視対象」にするとは？

これはデバイスを法人で管理するために特別なモードに設定することを指します。「監視対象」という言葉だけでなく、「監視モード」「Supervised Mode」とも呼ばれます。

監視対象に置く方法は2つあります。一つは前述のDEPを利用する方法、もう一つはMac版App StoreでインストールできるApple Configuratorを利用する方法です。Apple Configuratorを利用する方法の場合、これがインストールされたMac端末とiPhone・iPadをUSB接続し、一つずつ監視対象にしていきます。つまり、監視対象に置きたいデバイスが100台あれば、同じ作業を単純に100回繰り返すこととなります。そのため、デバイスを監視対象に置くということであれば、DEPを利用することが一般的です。

‎Apple Configurator 2

監視対象にするメリット

監視対象にするメリットは主に以下です。

・VPPと連携済みのMDMからアプリを配信することで、デバイスにダイアログ表示等出さずに、サイレントインストールできる。
・「AirDropの利用を禁止する」「Appの削除を禁止する」など、監視対象でないと利用できない制御ポリシーをデバイスに適用できる。

1つ目のVPPと連携済みの云々については、後の説明に譲ります。2つ目の制御ポリシーについてですが、デバイスに何らかの利用制限を行いたい場合、基本的には以下のステップを踏みます。

1. Apple Configuratorで「○○を禁止する」などの設定ファイル（「構成プロファイル」「プロファイル」）を作成する。
2. MDMに作成したプロファイルをアップロードし、該当のデバイスに配信・インストールする。

尚、多くのMDMは、Apple Configuratorで作成できるプロファイルは、MDMの管理画面上でも作成できます。その場合は「MDMの管理画面上でプロファイルを作成し、該当のデバイスに配信・インストールする」という流れになります。尚、Apple Configuratorで作成できる内容が、全くそのままMDM上で作成できるかどうか、これはMDMツールによって異なると思いますので注意が必要です。

さてデバイスを監視対象にするメリットですが、上記プロファイルはデバイスが監視対象でないと適用できないものが存在します。Apple Configuratorの画面上で「（監視対象のみ）」という文字が見えますが、それが監視対象でないと適用できないプロファイル内容です。

より細かい制限をデバイスに行いたい＝監視対象である必要がある＝監視対象にデバイスを設定するためには＝DEPの利用が必要になるということです。どこまで管理するか、企業・組織の方針によってDEPを利用するかどうかは変わっていきます。

VPPの利用メリットとは？

VPPは「Volume Purchase Program」、文字通り「まとめて購入する」プログラム。その対象は「アプリ」をということになります。もともとはApp Store上で課金対象の有償アプリを、企業がまとめて購入して、MDMを介してデバイスに配信する用途として誕生したプログラムです。

しかし、最近では有償アプリを購入して配信するよりも、デバイスのApple IDの設定・サインインに依存することなく、企業が業務上必要なアプリをデバイスに配信したいという目的に利用されます。

ABMの管理画面上で必要数分のアプリを「入手」し（Storeで課金の必要が無い無償アプリをその対象）、その入手情報をMDMに同期し、対象のデバイスにアプリを配信します。

法人貸与のデバイスにApple IDを設定するだけで、キッティングの費用が上がってしまったり、自分たちで設定しようとしても、どのデバイスに、どのIDを紐付けようか、その管理負担は大きいものです。

デバイスにアプリをインストールさせるという観点に絞れば、VPPは非常に有効なアプリ管理の手段です。

番外編：こんな時はDEP？VPP？

ある情報システム部のAさん。Aさんは春から貸与する予定のiPhoneの管理において以下のような要件を掲げました。果たして、ABMを利用して、その要件を満たせることはできるのでしょうか？本記事のおさらいです。

・利用者によってMDMプロファイルを削除されたくない
・App Store を禁止して、必要なアプリだけをデバイスにインストールさせたい

答え合わせです。1つ目のMDMプロファイルの削除禁止は、DEPを利用することで可能です。2つ目のアプリ管理については、デバイスを監視対象にして、App Store禁止のプロファイルを適用します。そして必要なアプリをVPPを利用して配信します（VPPを利用しなくても新規で配信・インストールは可能ですが、アップデートはApp Storeを禁止している状態ではできませんので、VPPで新規配信の上、MDMを介してアップデートも行います）。
すなわち、この要件の場合はDEP・VPPともに利用する必要があります。

iOS13が登場する前は、App Storeの禁止はデバイスが監視対象になっていなくても、実施できました。しかしiOS13以降は監視対象が必須。

最近、Appleも監視対象にデバイスを置くことを前提にしているように思えます。そのため、やはり監視対象に置くための手段であるDEPは一度は検討した方が良いのでは…？と思っています。

番外編2：Mac版DEP・VPPも存在する

Mac版のDEPも存在します。iPhoneやiPadのDEP同様に、Apple社の正規代理店から「DEPを利用すること前提にMacを購入する」必要があります。

Mac版のDEPについても、アクティベーションの過程でMDMプロファイルが自動インストールされます。Mac版DEPでiOSと最も異なる点は監視モードについてです。

DEPを使う/使わない関係なく、MDMツールの管理下にMacを置くと、自動的に監視モードが適用されます。つまり、そもそもMacにおいては監視モードが無いに等しいです（DEP利用可否に拘わらず監視モードが適用されるため）。

Mac版DEPの利用メリットとしては、MDMプロファイルの自動インストールの他、アカウント設定の自動化というメリットも存在します。

■ システム担当者がメンテナンス用に利用する管理者アカウントを自動作成できる
■ 従業員が利用するアカウントタイプ（管理者/標準アカウント）やユーザー名・フルネームを指定できる（パスワードのみ利用者が任意で設定する）

Macでこうしたアカウント管理ができるのであれば、iPhone・iPadも含むApple IDの設定も自動化できれば良いのに…と思いますが、いまだこの部分はMDMを使っても実現できない、言わば「聖域」となっています。
※ 厳密に言えば、ABMの一つの機能である「管理対象Apple ID」を利用することで、Apple IDの作成を一元管理できますが、通常のApple IDとできることが異なるので、“実質”実現不可と捉えて良いと思います。

管理対象Apple IDで利用できる機能はこちら↓

Apple Business Managerで管理対象Apple IDを使用する

なぜ、実現不可と定義しているかというと、管理対象Apple IDでApp Storeからアプリをインストールできないからです。つまり、組織でデバイスを管理し、アプリのインストールや利用をコントロールしたい場合は、VPPやDEPの利用が欠かせないという結論、これは未だ変わりないということになります。