ipad用のモバイルデバイスマネジメントをを導入するのが容易ではなくて困った話

ゼロタッチデプロイメント、これはいいものだ。。。

おはこんばんわ。こちらは Linc'well Advent Calendar 2019 の4日目の記事です。今回は、リンクウェルで導入することになったモバイルデバイスマネジメントについて、初期導入時のツラミを共有します。ほんとめんどくせーから、頼むから同じ轍を踏まないでほしい。

モバイルデバイスマネジメントって何

MDM(Mobile Device Management:モバイルデバイスマネジメント)っていうのは、簡単に言うと、企業で使う大量のモバイルデバイスのキッティングを簡単にして生産性を向上したり、悪用されないように遠隔操作をかまして管理運用するシステム、及びそのプロセスのことです。

弊社のクリニックで使うようなモバイル端末も最初は数が少なくて、野良でもなんとか管理してられるんですが、台数が増えてきて業務用に全台にアプリをインストールしたかったりするとマジ大変。こういう情シスっぽい隙間仕事は開発業務で多忙なエンジニアにはやらせたくないし、かといってキッティングまじ地獄だし、パクられようものなら始末書ものだし、、、と、管理者のマインドシェアを奪う割にひたすら地味で浮かばれません。どこかで方法改善しないとカオスです。

で、そんなイシューを解決するのがjamf proのゼロタッチデプロイメントです。jamfっていうのはappleのデバイスマネジメントを専門に扱う会社で、こちらの紹介については株式会社エウレカのIkepyonさんの記事がとてもわかり易いです。

ぼっち情シスがJamf Proを導入してみた件

AppleのネイティブのMDM(Mobile Device Management)フレームワークを利用してMacOSや iOSデバイスを管理できちゃう優れものです。
 一番の売りはゼロタッチデプロイメントができちゃう点。例えば、社内で決められた設定やappを毎回設定しなければならないとしますよね。
Macbook Proを購入して箱を開けた瞬間からそんな面倒な設定が済まされた状態だったら嬉しくないですか？
 そして、Jamf Proに登録されたデバイスは管理コンソール上で一括管理されています。そのため例えば社員がパソコンを紛失しても遠隔でワイプできちゃったりするので、デバイスからの社外秘な情報の漏洩は防止できます。

Ikepyonさんの記事では社用macへの導入にあたって躓いた話も読むことができます。弊社の場合、クリニックの増加とともにipadの数が増えていくことが予め予想されるので、早い段階でMDMを導入して楽な運用に乗せてしまおうということになりました。

Appleお客様番号が発行できない

AppleのフレームワークにのっとったMDMでは、ABM（Apple Business Manager）という法人向けポータルで、Appleの法人顧客として登録されていることが前提になります。フレームワーク上、ABMがipadとベンダーから払い出されるMDMサーバーを接続するブリッジ役になるためです。

ABMへの顧客登録が完了したら、ABM上でMDMサーバーの登録をしていくのですが、初回のみ、apple製品を法人として購入したことがあるという証跡にAppleお客様番号というIDを入力する必要があり、なんとこれ、1台目をApple正規店で購入しないと、IDが発行されないらしい。ここでいう正規店の意味定義とは、Apple銀座店とかそういう実店舗に限りまして、Apple公式ECは駄目、ヨドバシカメラやビックカメラなどの家電量販店はもちろん駄目です。お客様番号自体の登録はAppleへの書類審査となり、クラウド上だけではできませんので、担当者はお早めに。

Apple正規店以外で買っちゃったiPadはロンダリング

そんなこと言ったってもう何台かipad買っちゃったじゃん！これは無駄なの？？というあなた、大丈夫です。過去に家電量販店で買ってそのへんに転がってるipadは、Appleお客様番号の登録後であれば、Apple Configurator 2というアプリで端末のデータを洗浄し、正規店購入品相当として登録できます。

Apple Configurator 2を立ち上げた状態でmac端末にデバイスを接続し、BluePrintと呼ばれるABMへの登録設定を上書きする。弊社ではBluePrintの基本形「DEP端末化」を用意して、ごくまれに家電量販店で買ってしまった場合は、「DEP端末化」BluePrintでipadをロンダリングしています。

なお、Apple Business Managerにて「割り当て履歴」を見ると「Apple Configurator 2によって追加されたデバイス」と表記されて、これだけではMDMサーバーに接続されません。「デバイスの割り当て」から注文番号（空欄だが登録済みの番号はプルダウンで出てくる。）を選択し、アクションを「MDMサーバーを割り当てる」＞「jamf pro」と選択し、完了を押下します。「割り当て履歴」を見ると、割当先が「Jamf Pro」になっているはずです。

サポートしてくれる人たち

こういった情シス仕事は、メーカー依存のプロセスとなっていて未知の割に、キー情報を手に入れるまで画面にログインできなかったりして、とにかく仕事の全体像がわかりにくいものです。このようなことで時間をかけるよりも、詳しい人にとっとと聞いてしましましょう。

お近くのApple Store - 銀座 - Apple

JamfのAppleデバイス管理｜Appleエンドポイントセキュリティ｜Mac, iPad, iPhone, Apple TV

株式会社マジックハット

Apple銀座店には法人フロアがあり、MDMについてもAppleのルール・見解を丁寧に教えてくれます。jamf proはMDMベンダーですから当然教えてくれますし、jamfの代理店のマジックハットは、細かなナレッジまで営業を通して教えてしてくれますので、困ったら聞くといいです。

おわりに

キッティングを楽にしようとしてツール導入で躓くなんて、運用あるあるとはいえ、ただただ切ないのでこういうイシューはまじで世の中から消えてほしいです。注意しなければならないのは、結構頻繁にアプデするOS Xの影響を受けて、こうした運用ポータルやアプリも２次障害を起こします。最近だと、Apple Configurator 2がipadOSを強制的にインストールしようとしてipadが文鎮化する障害が起きていました。（弊社も一台踏んでしまいました）こういうのはキッティング前に障害報告をチェックするべきで、ゼロタッチデプロイメントができたからといって楽になるものではありません。そういう気づきが運用担当者の”腕の見せ所”ということになるのでしょうが、専任で注力できない企業の方が大半でしょう。地雷を踏んでしまったときは仕方ないですが、なるべく同じ轍を踏まないようにしたいですね。