iPhoneやiPadの管理ツール「MDM」への誤解を目にすることが多いので整理します

この製品を選んでおけば良いという“神話”

iPhoneやiPadを組織で導入する際に、その管理ツールとして併せて導入を検討するのが「MDM」（Mobile Device Management）。ソフトバンクやドコモ、KDDIなどのキャリアが提供するツールから、専業ベンダーが提供するツールまで、様々なツールが市場に出回っています。

MDMベンダーの製品サイトを拝見すると、「我が社のツールを選べば、iPhone・iPadの管理は問題ない」（そんなこと直接的には言ってないけど）という風潮を見かけます。また、一定のファンがいる製品では、「この製品で間違いない、他社にはない」といったことまで吹聴するような、ユーザーのお話を耳にすることもあります。

本当のことを言えない“もどかしさ”？

どのベンダーも「我が社のMDMを選んでおけば良い」といったスタンスで製品を紹介していますが、厳密に言えばこれは間違いだと思っています。
なぜなら、iPhoneやiPadのMDMは、Apple社が定める規格に基づいて、提供できる機能が決まっているからです。つまり原則「どのMDMツールを選定しても、できることは同じ」ということになります。

この事実は覆りませんが、やはりこれを堂々と製品サイトで展開しているベンダーは見かけたことがありません。「なら、どの製品でも良いではないか」と消費者に受け取られかねないからです。管見の限り、唯一「LANSCOPE」のランディングページで謳われていましたが、製品サイトでは訴求していません。このあたりにベンダーの「もどかしさ」を感じます。

iPhone・iPadなどiOSの管理ツールなら LANSCOPE エンドポイントマネージャー クラウド版 ｜PC・スマホをクラウドで一元管理。月額300円のIT資産管理・MDM

ただし、この考え方には大きく留意しなければいけないことがあります。それは、MDMベンダーが、Apple社の規格の中で提供できる機能をすべては提供できていないということです。唯一、これを実現できているのが、Apple製品の管理に定評のある「Jamf」という米国製品です。この製品以外の主要ベンダーが提供するMDMツールは、Apple社の規格の中で提供できる機能すべてを提供できていないです（開発リソースの都合だと思います）。

JamfのAppleデバイス管理｜Appleエンドポイントセキュリティ｜Mac, iPad, iPhone, Apple TV

ならJamf一択じゃない？

つまり網羅性を求めるのであれば「Jamf」一択になります。iPhone・iPadなどApple製品の管理に集中するなら、これ一択で全く間違っていないと感じます。

ただ、外資製品ならではの「癖」があり、使い方を習得するには十分時間が必要です。サポート面もメーカーのフォローは、やはり国産ベンダーと比較すると見劣りします。また、iOS端末のほかに、AndroidやWindowsを管理したいといった際に、Jamfは検討外にせざるを得ません。Apple製品以外管理できないからです。

網羅性があるのはJamf、だけどJamfは自社にマッチしない。でもJamf以外の製品もできることは同じ、ただJamfのようにAppleが提供するすべての機能を網羅しているわけではない・・・。では何を一体選択すれば良いのか？ということになります。

ここで個人的に、デバイス管理の選定ポイントを並べてみようと思います。

ツール選定ポイント1 最新OSへの対応スピード

iOSにおけるMDM製品を選定する際に、その製品が、過去のiOSのメジャーアップデート（iOS15→iOS16）やマイナーアップデート（iOS15→iOS15.1）に、最新OSリリース後にどのくらいの期間で対応してきたか、チェックすることをおすすめします。

Android端末の場合、アップデートそれほど多くなく、Googleが最新OSをリリースしても、端末ベンダーがそのOSに対応しないと、その端末でアップデートを行うことができません。

一方、iPhoneやiPadの場合はAppleの正式リリース後からアップデートが可能なため、MDM製品が最新OSで正しく動作してくれないと困ります。とはいえ、MDM製品で「ゼロデイリリース」を謳っているところは多くありません。これは感覚値ですが、過去のアップデートで、最低でも1ヶ月以内に対応してくれていれば許容範囲なのではないでしょうか。

また、iOSのプロファイルで「ソフトウェア・アップデートの遅延」機能があります。このプロファイルを、MDMを介して端末に適用すると、最新のOSにアップデートできなくなります。ゼロデイ対応が難しい中、MDMの機能を利用しながら、うまくiOSのアップデートと付き合っていきたいところです。

iOSのソフトウェア・アップデートの遅延プロファイル

ちなみに、このソフトウェア・アップデートの遅延機能で設定できる日数は最大「90」日間です。また端末が「監視対象」になっていないと適用できません。端末を監視対象（監視モード）に適用するには、Apple Business Managerの「自動デバイス登録（旧称：DEP）」を利用するのが便利です。

【プレビュー】法人のiOSデバイス管理必携？Apple Business Managerのまとめ｜はせがわ｜note

ツール選定ポイント2 AndroidやPCも管理するなら、iOS以外の機能で選定ポイントを明確にする

iOSは先程から触れている通り、MDM製品間で機能差はありません。もし、当該製品でAndroidやPCも管理するということであれば、これらの端末を管理する場合の要件を明確にするのも一つの手だと思います。

Androidの場合

そうは言っても、実はAndroidもMDM製品間で機能差が出しづらくなってきています。Android管理には、MDMと組み合わせて利用する「Android Enterprise（AE）」を利用することが一般的で、このAEはGoogleが提供する規格に基づくものです。つまり、どのMDM製品を利用しても、iOS同様、管理できる範囲が似通っているという特徴があります。

PCの場合

多くの組織がPCの管理には「SKYSEA」や「LANSCOPE」といった「IT資産管理ツール」を利用して管理しているのではないでしょうか。
最近IT資産管理ツールのクラウド版も、iOSやAndroid管理に対応している製品が増えています。

そのため、所謂MDM製品だけでなく、IT資産管理ツールのクラウド版も検討の視野に入れてみると良いかもしれません。

SKYSEA Client View M1 Cloud Editionのご紹介

LANSCOPE エンドポイントマネージャー クラウド版 ｜PC・スマホをクラウドで一元管理。月額300円のIT資産管理・MDM

ツール選定ポイント3 サポートの品質

iOSの管理はAppleの仕様にも依存することから、非常にややこしいものです。MDM製品の特徴とAppleの仕様も踏まえた上で、管理しなければならないです。

しかし、MDMベンダーが提供しているマニュアルをどんなに読み込んでも解決できない疑問や課題は生じるものです。そんな時に、ベンダーのサポートセンターに電話やメール、チャットで気軽に聞くことができたら、心強いと思います。

ただ、ベンダーによっては「それはAppleの仕様なのでお答えしかねます」といったドライな回答をされることもあるようです。確かに、ベンダー側の立場に立つと、Appleの仕様で分からないから明確なことは答えられないでしょうから、そのような回答になる気持ちも分かります。ただ、問い合わせをする側の立場に立つと「いやいや、課題を解決する糸口になるヒントだけでも教えてよ」というのが本音だと思います。

Appleの仕様が不明瞭だったり、未公開ということで、はっきりした回答ができないのも分かりますが、これまでのサポート対応の経験から「明確な回答はAppleの仕様が未公開なのでお答えしかねますが、◯◯を試してみると解決できた事例がありますので、試していただけますか？」「◯◯という仕様があるので、もしかすると◯◯を実行すると解決できるかもしれません」といったヒントを与えてくれるサポート、エンジニアが在籍するベンダーは心強いと思います（問い合わせする人は助けてほしいのですから）。

ただサポートの品質を製品導入前に実感することは難しいです。ベンダーの製品サイトの情報、口コミ、誰かの噂だけで判断して製品を導入してしまうと、iPhone・iPadの“癖”に飲み込まれて、高確率で端末管理に失敗してしまいます。だからこそ、製品トライアルは必ず行って、実際にサポートに問い合わせてみることも重要だと思います。