見出し画像

法人のiOSデバイス管理必携?Apple Business Managerのまとめ

従業員にiPhoneやiPadを貸与する際、必須となるのがMDMツール。万が一の紛失時に遠隔で画面をロックしたり初期化を実行、その他業務に必要なアプリを配信したり、業務外利用やセキュリティ強化のため、ポリシーを設定するなど様々な機能があります。

一方でiOS端末を管理する上で、ほぼ必携とも言えるのが「Apple Business Manager」(以下「ABM」とします)。ABMとは、Device Enrollment ProgramとVolume Purchase Programの総称、MDMツールと連携して、より深くMDMから端末を管理するApple社が提供しているサービスです。

今回はこのABMを利用するメリットやデメリットをまとめていきます。

本記事のまとめ

少し長い記事になるので先にまとめを書きます。

・ABM=DEP+VPPである
・DEPの利用メリットはデバイスを監視対象にできる、MDMプロファイルの削除を禁止できるなどが挙げられる
・監視対象にすることでより細かい制限ポリシーをデバイスに適用できるなどが挙げられる。監視対象にする場合、事実上DEPの利用が不可欠。
・VPPの利用メリットはApple IDの設定が行われていないデバイスにもMDMを通じてアプリを配信できる。

Apple Business Manager(ABM)の概要

ABMとはDevice Enrollment ProgramとVolume Purchase Programの組み合わせです。それぞれの概要については後ほど詳述しますが、まずは概要です。

・Device Enrollment Program(DEP)…略して「デップ」と読みます。デバイスの初期設定の工数削減や簡略化を実現することに加えて、デバイスを「監視対象」に置くことができます。
・Volume Purchase Program(VPP)…こちらは「ブイ・ピー・ピー」と読みます。ずばり何ができるかというと、端末にApple IDを設定していなくても、MDMからアプリを遠隔で配信・インストールできます。

ABMは、MDMツールと連携して利用します。ABMは単体では機能しません。そのため、導入するMDMツールがABM(DEP・VPP)に対応しているか?が重要です。とはいえ「管見の限り」ですが、ABMに対応していないツールはあまり見かけません。

ABMを利用するためのステップ

ABMを利用するためには、ABMの利用申請が必要です。利用申請は「Apple Business Manager」と検索すると公式サイトがヒットしますので、アクセスし、「今すぐ登録する」から申請できます。

画像1

「今すぐ登録する」をクリックすると、所属する組織情報を入力する画面がダイアログで表示されます。ここでまず必要となるのが、「DUNSナンバー」です。申請には必須ですので事前準備しておきます。

画像2

この画面を下にスクロールすると、担当者の情報を入力する欄が2つ表示されます。端的に言えば、一つが運用担当者、もう一つがその担当者の上司(=確認用連絡先)にあたる人です。この確認用連絡先の「?」をクリックすると、「Appleから電話するよ」という旨が表示されます。

画像3

申請後、Appleから担当者に電話がかかってきて、簡単な確認が行われます(日本語なのでご安心を)。このサイトで申請完了後、Appleからの電話応対をし初めて登録が完了します。

尚、これはあくまで利用するための申請であって、この後、利用するためにMDMとABMを連携する作業もあります(ABMの管理画面とMDMの管理画面で作業します。基本的な設計・やることはどのMDMでもほぼ一緒です)
ABMを利用すると一言で言っても、DUNSナンバーの確認や登録・申請の作業などを鑑みると結構パワーのいる業務です。そのため、後述するDEP・VPPの利用メリットと照らし合わせて、本当に利用するメリットがあるのかを判断した方が良いでしょう。

DEPの利用メリットとは?

DEPで何ができるのか?その主なものを以下に列挙していきます。

・本来、デバイスの初期設定完了後にインストールしなければいけないMDMの管理用エージェント(MDMプロファイル)が、デバイスの初期設定の過程で自動インストールされる(別途インストールの必要が無い)
・iPhoneの初期設定で表示される各種設定をスキップできる(表示させない)
・デバイスを「監視対象」に設定できる
・MDMプロファイルの削除を禁止できる

DEPを利用すると多くの恩恵を受けることができます。上記MDMプロファイルの自動インストールについては「なんでそんなことができるの?」となりますが、これは「MDMとABMを連携する作業」で実現します。端的に言えば、ABMサイト上でMDMの管理下に置くデバイスのシリアルNoを登録し、その情報がMDM側に取り込まれ、初期設定の過程でABM・MDMで連携した情報をもとにMDMでプロファイルがインストールされます。

DEPはデバイスの初期設定の過程でMDMの管理下に自動適用するプログラムで、その上でさまざまな付加価値があると言えます。

デバイスを「監視対象」にするとどんなことができるのか、これは後述します。MDMプロファイルの削除を禁止できるのも魅力的です。DEPを利用しない限り、削除は禁止できず、利用者がMDMプロファイルをアンインストールできてしまいます。すなわち、管理下から外れてしまうということになります。

DEP利用時の注意点

ABMの利用申請を行えば、DEPを利用できるのか?というとそうではありません。DEPを利用する場合、Apple社の正規代理店から「DEPを利用すること前提にiPhone・iPadを購入する」必要があります。これをせずにデバイスを購入した場合、DEPを利用できませんので注意してください。必要な手続きなどは正規代理店、キャリアによって異なりますので、それぞれの窓口で確認が必要です。
尚、すでにデバイスを利用中の場合は要注意です。というのも、DEPを利用してMDMの管理下に置く場合、デバイスを初期化する必要があるためです。

デバイスを「監視対象」にするとは?

これはデバイスを法人で管理するために特別なモードに設定することを指します。「監視対象」という言葉だけでなく、「監視モード」「Supervised Mode」とも呼ばれます。

監視対象に置く方法は2つあります。一つは前述のDEPを利用する方法、もう一つはMac版App StoreでインストールできるApple Configuratorを利用する方法です。Apple Configuratorを利用する方法の場合、これがインストールされたMac端末とiPhone・iPadをUSB接続し、一つずつ監視対象にしていきます。つまり、監視対象に置きたいデバイスが100台あれば、同じ作業を単純に100回繰り返すこととなります。そのため、デバイスを監視対象に置くということであれば、DEPを利用することが一般的です。

監視対象にするメリット

監視対象にするメリットは主に以下です。

・VPPと連携済みのMDMからアプリを配信することで、デバイスにダイアログ表示等出さずに、サイレントインストールできる。
・「AirDropの利用を禁止する」「Appの削除を禁止する」など、監視対象でないと利用できない制御ポリシーをデバイスに適用できる。

1つ目のVPPと連携済みの云々については、後の説明に譲ります。2つ目の制御ポリシーについてですが、デバイスに何らかの利用制限を行いたい場合、基本的には以下のステップを踏みます。

1. Apple Configuratorで「○○を禁止する」などの設定ファイル(「構成プロファイル」「プロファイル」)を作成する。
2. MDMに作成したプロファイルをアップロードし、該当のデバイスに配信・インストールする。

尚、多くのMDMは、Apple Configuratorで作成できるプロファイルは、MDMの管理画面上でも作成できます。その場合は「MDMの管理画面上でプロファイルを作成し、該当のデバイスに配信・インストールする」という流れになります。尚、Apple Configuratorで作成できる内容が、全くそのままMDM上で作成できるかどうか、これはMDMツールによって異なると思いますので注意が必要です。

画像4

さてデバイスを監視対象にするメリットですが、上記プロファイルはデバイスが監視対象でないと適用できないものが存在します。Apple Configuratorの画面上で「(監視対象のみ)」という文字が見えますが、それが監視対象でないと適用できないプロファイル内容です。

より細かい制限をデバイスに行いたい=監視対象である必要がある=監視対象にデバイスを設定するためには=DEPの利用が必要になるということです。どこまで管理するか、企業・組織の方針によってDEPを利用するかどうかは変わっていきます。

VPPの利用メリットとは?

VPPは「Volume Purchase Program」、文字通り「まとめて購入する」プログラム。その対象は「アプリ」をということになります。もともとはApp Store上で課金対象の有償アプリを、企業がまとめて購入して、MDMを介してデバイスに配信する用途として誕生したプログラムです。

しかし、最近では有償アプリを購入して配信するよりも、デバイスのApple IDの設定・サインインに依存することなく、企業が業務上必要なアプリをデバイスに配信したいという目的に利用されます。

ABMの管理画面上で必要数分のアプリを「入手」し(Storeで課金の必要が無い無償アプリをその対象)、その入手情報をMDMに同期し、対象のデバイスにアプリを配信します。

法人貸与のデバイスにApple IDを設定するだけで、キッティングの費用が上がってしまったり、自分たちで設定しようとしても、どのデバイスに、どのIDを紐付けようか、その管理負担は大きいものです。

デバイスにアプリをインストールさせるという観点に絞れば、VPPは非常に有効なアプリ管理の手段です。

番外編:こんな時はDEP?VPP?

ある情報システム部のAさん。Aさんは春から貸与する予定のiPhoneの管理において以下のような要件を掲げました。果たして、ABMを利用して、その要件を満たせることはできるのでしょうか?本記事のおさらいです。

・利用者によってMDMプロファイルを削除されたくない
・App Store を禁止して、必要なアプリだけをデバイスにインストールさせたい

答え合わせです。1つ目のMDMプロファイルの削除禁止は、DEPを利用することで可能です。2つ目のアプリ管理については、デバイスを監視対象にして、App Store禁止のプロファイルを適用します。そして必要なアプリをVPPを利用して配信します(VPPを利用しなくても新規で配信・インストールは可能ですが、アップデートはApp Storeを禁止している状態ではできませんので、VPPで新規配信の上、MDMを介してアップデートも行います)。
すなわち、この要件の場合はDEP・VPPともに利用する必要があります。

iOS13が登場する前は、App Storeの禁止はデバイスが監視対象になっていなくても、実施できました。しかしiOS13以降は監視対象が必須。

最近、Appleも監視対象にデバイスを置くことを前提にしているように思えます。そのため、やはり監視対象に置くための手段であるDEPは一度は検討した方が良いのでは…?と思っています。

この記事が気に入ったら、サポートをしてみませんか?気軽にクリエイターを支援できます。

11
仕事では情報システム部門に近い業務を行っています。日々の身の回りのできごとや役立ったことを“覚書”として記録します。2020年1月2日から利用開始、まずは記事50個作成を目標にします。
コメントを投稿するには、 ログイン または 会員登録 をする必要があります。