Column

MDM とは?Apple デバイスの管理ができる MDM の仕組み・できることを徹底解説!

MDM ( Mobile Device Management )とは、組織のモバイル端末の一括管理ができるシステムやサービスのことです。

MDM を利用すれば、端末の一括導入・設定、アプリ配布などの適切な運用管理の効率化だけでなく、紛失時の端末ロック・ワイプなどリモート制御・管理等が行えるため、増加するセキュリティリスク対策として非常に有効です。

本記事では、Apple デバイス( Mac / iPad / iPhone 等)を一括管理できる MDM の仕組み、MDM でできることについて解説します。また、組織で Apple デバイスを管理するのに最適な「 Jamf Pro 」をご紹介します。

Apple デバイス 管理の仕組み

Apple デバイスを管理する MDM ソリューションは、Apple 管理フレームワークに従って開発・提供されています。また、Apple 管理フレームワークでは、Apple が提供する以下の組織向けプログラム(無償)と MDM ソリューションを連携することで効率的なデバイス管理を実現します。

  • Apple Push Notification サービス( APNs )とは?
    MDM が管理デバイスに対して命令を送信する時には、Apple のプッシュ通知サービス( APNs )を利用します。Apple プッシュ通知サービスは、デバイスが インターネットに接続できている状態であれば、常に命令を受け取れる仕組みを提供しているため、デバイスの利用場所に関わらず、MDM は管理デバイスに対し命令を送信することができます。
  • Apple Business Manager( ABM ) /  Apple School Manager( ASM ) とは
    Apple 社が組織向けに無償で提供している IT 管理者向けのウェブベースのポータルサービスです。教育機関向けサービスは「Apple School Manager( ASM )」、法人向けサービスは「Apple Business Manager( ABM )」です。MDM を連携して利用するとゼロタッチ導入やアプリ一括購入・配信をすることができます。

組織利用の OS モードとは

Apple デバイスは、以下 2 種類の OS モードがあります。
組織で利用する場合は監視対象デバイスを選択することがおすすめです。

OS モード特徴
監視対象
デバイス
組織所有を想定。MDM から制御できる項目が多い。
MDM プロファイルをユーザー側で削除不可。(一部端末は除く)
(例)アプリサイレントインストール、再起動・シャットダウン、
紛失モードの実行と位置情報取得、アクティベーションロックの強制解除等
非監視対象
デバイス
個人所有を想定。個人の権限が一番強く、MDM から制限できる項目が少ない。

以下は監視対象デバイスの iPad を MDM に登録した場合の設定画面です。
「この iPad は Magichat Inc. によって監視および管理されています」と表示され、組織所有のデバイスだということが iPad でも確認することができます。

監視対象デバイスにする方法は以下の 2 通りです。

  1. ADE( Automated Device Enrollment )対応したデバイスを購入する
  2. Apple Configurator ( ※1 )を利用しデバイスを ADE 化させる

※1: Apple 製品を管理するために無料で利用できるアプリケーションです。

MDM でできること

冒頭でご説明した通り MDM は、Apple 管理フレームワークに従って開発・提供されています。この章では、Apple 管理フレームワークを利用してできることをご紹介します。

  • ゼロタッチ導入
    MDM を利用するとデバイス導入時の設定作業を自動化することが可能なため、IT 担当者による設定・アプリのインストールなどの手動作業は必要ありません。
    以下は MDM を利用した際のデバイス初期セットアップの流れです。
    以下イメージ図のように、初めの「電源 ON 」と「 Wi-Fi 接続」のみ手動で行うだけで、その後の必要な設定等は自動で行い、セットアップを完了することができます。

    ※一括セットアップには、Apple Business Manager / Apple School Manager との連携が必要です。
    ※以下は MDM に Jamf を使った場合のセットアップイメージになります。
  • 設定配信
    Apple デバイスに対して各種 OS 設定を遠隔から流し込むことができます。
    OS 設定の配布には「構成プロファイル」、アプリ設定の配布には「 Managed App Configuration 」という設定テンプレートを使用します。

    「構成プロファイル」で登録できる設定の種類は Apple が定めており、MDM から配信・削除が可能です。以下構成プロファイルの設定例です。

    パスコードポリシー設定

    iOS の機能設定・制限設定(カメラ・ AirDrop ・ AppStore ・ iCloud の利用禁止)

    ネットワーク設定( Wi-Fi、VPN 等)

    Web クリップ設定、 Dock 設定等

    なお「構成プロファイル」で設定できる内容は、OS バージョンや OS モード(監視対象デバイスか否か)により異なります。また、「構成プロファイル」の内容はパスワードの値等、一部の項目を除きデバイス側でも設定内容を確認することができます。

    iPadに配信されたプロファイルはiPad画面で確認可能。( Wi-Fi パスワードは表示されない)

  • コンテンツ配布
    App Store アプリ、iBook Store 、eBook、カスタムアプリ、InHouse アプリなどのコンテンツを遠隔から配布することができます。
    アプリやブック等のコンテンツは ABM / ASM から組織単位で一括購入することで、各デバイスへ Apple ID を設定することなく MDM から一括配布することができます。また、アプリはライセンスの回収・再配布ができます。退職・入社・配置転換等の組織の異動があった場合は、該当のデバイスからライセンスを回収し、新たに必要となるデバイスへ再配布することができます。
  • インベントリ管理
    デバイスには多くの情報が紐付けられています。OS バージョン、インストール済みのアプリ、適用済みのプロファイルなど、100 項目以上あります。それらのデバイス情報をインベントリ情報と呼び、MDM でインベントリ情報を収集することができます。インベントリ管理とはインベントリ情報を効率的に収集する機能のことです。
    以下は MDM で収集可能なインベントリ情報の例です。

    ハードウェア情報:デバイスタイプ・モデル・シリアル番号、 UDID 等

    ソフトウェア情報: OS バージョン、インストール済みアプリ、ストレージ容量・空き容量等

    デバイス状況: MDM 管理 or 非管理、監視対象 or 非監視対象、セキュリティー設定状態等

    その他:プロファイル情報、購入情報、証明書情報、アクティベーションロック状況等

  • 遠隔制御
    MDM へ登録されたデバイスは、MDM からデバイスへ管理コマンドを送信することができます。以下は管理対象デバイスの制御例です。

    デバイス紛失時に遠隔からのロック及び位置情報の取得を行う

    デバイスがどうしても発見できない際は端末リセットを行う

    OS が古い端末に対し OS アップデートをさせる

    ユーザーがパスコードを忘れてしまった場合、パスコードのリセットを行う

    組織の壁紙に設定変更する

    MDM を利用するとこれらの機能を活用でき、デバイス管理・運用を効率化することができます。また、社内セキュリティーポリシーに即したデバイスセキュリティー管理を徹底することができるようになります。

組織の Apple 製品の管理には「 Jamf Pro 」がおすすめ

Jamf Pro は、Apple デバイス専用の MDM サービスとなり、Apple デバイスとの親和性が非常に高く、また、以下の機能などによりデバイス数が増加するほどデバイス管理の自動化・省力化を実現することができます。

Self Service

Jamf Pro は「 Self Service 」というカタログアプリを無償で利用することができます。「 Self Service 」に組織で承認したアプリ等を掲載しておくことで、ユーザーは必要なときに必要なアプリを Apple ID なしで「 Self Service 」から手に入れることができます。

また「 Self Service 」には、PDF ファイルや Web クリップも掲載できるため、就業規則、システム利用手順書、社内ポータルサイト等の社内共通のコンテンツも掲載することできます。

これらのコンテンツは、以下イメージ図のようにユーザー所属部署等のユーザー属性情報に応じて表示させる内容のカスタマイズや、カテゴリ分けをして掲載することができるため、コンテンツ数が増えた場合でも、ユーザー自身がほしいコンテンツを見つけやすくすることができます。

これにより、IT 部門はユーザーからの問い合わせ件数が減り、サポートにかかるコストを低減することができるようになります。

営業部所属ユーザーの Self Service 開発部所属ユーザーの Self Service

デバイスの高度検索

Jamf Pro で収集できるインベントリ情報は、デバイス属性とユーザ属性の情報をあわせて 120 種類以上あり、さらに拡張属性として組織固有の任意の属性項目も登録することができます。

これら多くのインベントリ情報を検索項目とすることができ、さらに、検索条件も「 AND 」や「 OR 」などの条件式と組み合わせて設定することができ、細かなデバイスの検索が行えます。

また、設定条件に合致するデバイスの有無を定期的に確認し、検知すると管理者へメール通知する機能もあります。(以下イメージ図参照)これにより、管理者が定期的に手動でインベントリ情報を CSV ダウンロードし、該当デバイスを確認するといった作業は必要なく、該当デバイスがあればメール通知してくれるので、効率的なセキュリティ対策を行うことができます。
以下は高度検索の設定例です。

10 日間ネットワークアクセスがない営業部のデバイス

iOS バージョン 15 以下でバッテリーレベルが 50% 以下の iPad

営業部で Zoom がインストールされていない Mac

macOS 専用 Jamf 独自フレームワーク ( Jamf Agent )

Jamf Pro は Jamf Agent(常駐型アプリ)という Jamf 独自のフレームワークにより高度なMac 管理を可能にします。これにより、Apple が提供している MDM フレームワークの機能だけでは対応できない Mac の自動化設定を実現することができます。
以下は Jamf Agent による高度な Mac 管理の設定例です。

また Jamf Pro は「ゼロデイサポート」を 10 年以上連続で継続している唯一の MDM です。Apple の OS アップデートへ即日対応することで、最新 OS リリース時の動作リスクや管理者負担を大幅に軽減します。 他にも、Mac や AppleTV などの iPhone / iPad 以外のApple デバイスも同じ管理コンソールで管理することができます

最後に、Jamf Pro を導入して社内の Apple 製品の円滑な管理を実現した事例を 2 つご紹介します。下記の記事をご覧ください。

この記事をシェア