MDM を使った iPhone / iPad の導入・管理プロセスとは?
iPhone / iPad は、オフィスや外出先、自宅など場所を問わずに使えるデバイスであり、業務を円滑に進めるために欠かせないものです。「モバイルデバイス管理( MDM )」を利用すれば、社内の iPhone / iPad を効率的に一括で管理できます。
本記事では、MDM を使った iPhone / iPad の導入・管理プロセスについてご説明します。また、弊社がおすすめする Apple デバイス専用の MDM 製品「 Jamf Pro 」についても解説します。
目次
なぜ MDM が必要なのか
MDM( Mobile Device Management )とは、企業で保有している iPhone / iPad などのモバイルデバイスを一元管理できるシステムのことです。
特に iPhone / iPad は、管理者の目の届かない社外で利用されるケースがほとんどです。
また、モバイルデバイスからのグループウェアやクラウドサービス利用増加に伴い、以下のような課題を抱えている企業が増えています。
課題
端末初期導入時・運用時にかかる工数
社内セキュリティーポリシーを厳守させる仕組み
端末紛失時の情報漏洩リスク
これらの課題は、MDM を導入することで以下のような効果により解決することが期待できます。
効果
端末キッティング自動化、運用管理の省力化
機能制限、パスワードルール強制等の設定により組織のセキュリティポリシーを厳守
有事の際は、ロック・ワイプのリモートコマンドを送付し、情報漏洩を防ぐ
このように、組織の拡大やユーザーの生産性向上に伴いモバイルデバイス数が増加するほど、効率的でセキュアな運用を行うには MDM の導入は必要不可欠です。
ここからは、iPhone / iPad を企業に導入するプロセスを説明します。
1. 導入準備
所有モデル( OS モード)を決める
まず社内業務で利用するデバイスの所有モデル(個人所有/組織所有)を決めます。
以下に OS モードの違いによる特徴をまとめています。
組織で利用する場合は組織所有(監視対象デバイス)を選択することがおすすめです。
| OS モード | 特徴 |
|---|---|
| 監視対象 デバイス | 組織所有を想定。MDM から制御できる項目が多い。 MDM プロファイルをユーザー側で削除不可。(一部端末は除く) (例)App サイレントインストール、再起動・シャットダウン、 紛失モードの実行と位置情報取得、アクティベーションロックの強制解除等 |
| 非監視対象 デバイス | 個人所有を想定。個人の権限が一番強く、MDM から制限できる項目が少ない。 |
デバイスを組織所有(監視対象デバイス)にする方法は以下の 2 通りです。
- ADE( Automated Device Enrollment )対応したデバイスを購入する
- Apple Configurator(※1)を利用しデバイスを ADE 化させる
※1:Apple 製品を管理するために無料で利用できるアプリケーションです。
Apple Business Manager を登録し初期設定する
次にApple Business Manager(以下、ABM )への登録を行いましょう。ABM とはApple 社が法人向けに無償で提供しているサービスで、MDM を連携して利用するとデバイス設定の自動化やアプリ一括購入・配信をすることができます。ABM の登録が完了したら、ABM アカウント(管理対象Apple ID )を作成し、ABM 内で表示される組織 ID を確認しておきます。
※ABMの登録方法については「Apple Business Manager とは?特徴、できることを詳しく解説!」をご参照ください。
デバイスを購入する
iPhone / iPad は、Apple か Apple 正規取扱店、通信事業者などから購入できます。また、ADE デバイスを購入する際は、購入先に ABM で確認した組織 ID を伝え、購入手続きを進める必要があります。ADE デバイスとして購入すると、デバイス出荷後に ABM にシリアル番号が自動反映されます。ABM に反映されたデバイスは MDM と連携し事前設定しておくことで、自動デバイス登録(ゼロタッチ導入)が可能です。ただし、販売店によっては ADE デバイスの取り扱いができない場合もあるため、購入時は ADE デバイス取り扱い可否もあわせて確認をしておくことをおすすめします。
ネットワーク環境の確認
iPhone / iPad が会社のネットワークに問題なく接続できるかどうかも確認しておきましょう。複数のデバイスが同時に Wi-Fi 接続できるかどうか、ネットワーク負荷の影響範囲の調査、社外から社内リソースへアクセスする際の接続方法、デバイスが Apple のアクティベーションサーバ等にアクセスできるかどうか等を確認し、事前にネットワーク環境を整備しておく必要があります。
アプリ購入
会社で利用許可・禁止するアプリを整理しておきます。全社共通アプリ、開発者向けアプリ、営業向けアプリなど、部署毎に必要となる特定アプリも事前にヒアリングし、ABM にてアプリを一括購入しておきます。
MDM 購入
MDM 製品を比較検討し購入します。iPhone / iPad を管理するための MDM は Apple 社が定めた MDM フレームワークに準拠して作られているため、デバイスに対して配布できる設定や制限項目に関して製品別に大きな機能差があるわけではありません。製品選定のポイントは、価格、ユーザーインターフェース( UI )、導入・運用のしやすさ、サポート体制等です。このポイントをしっかり押さえ比較検討し、自社要件にあう最適な MDM を選定し、購入することをおすすめします。
2. ABM / MDM 設定
初期設定
MDM/ABM の初期設定を行います。
- MDM 管理者アカウント作成
- プッシュ証明書設定
Apple デバイスの遠隔管理はApple 社の通知サービス( Apple Push Notification Servic( APNs ))を活用しています。Apple デバイス向けのMDM 製品はこの仕組みに準拠することで、インターネット接続された全てのApple デバイスに対して遠隔制御を行うことができます。 - ABM とMDM の連携設定
MDM は ABM で提供されている以下の 2 つのサービスと連携し動作しています。ABM から 取得した各サービスのトークンファイルを MDM に登録する必要があります。- Volume Purchasing(App とブック)
概要:ABM で購入した App とブックのライセンス情報を同期する
目的:デバイスで使用する App とブックを組織で一括購入し MDM から配布 - 自動デバイス登録
概要:ABM に登録されたデバイスのシリアルナンバー同期
目的:Apple の ADE 機能を使用して Apple デバイスの初期セットアップおよびMDM への登録プロセスを効率化
- Volume Purchasing(App とブック)
※各トークンファイルには有効期限(1年間)があり、有効期限前に毎年トークンファイルの更新作業が必要です。
ゼロタッチ導入の設定
通常、新規デバイスのセットアップは、デバイスに電源を入れた後に始まる「セットアップ・アシスタント」に従い手動で初期設定を行います。しかし、事前に ABM の自動デバイス登録( Automated Device Enrollment )と連携したデバイス登録設定をすることで、「セットアップ・アシスタント」においてWi-Fi接続まで手動で行えば、あとは自動で MDM へのデバイス登録や MDM からの設定・アプリ適用を実行・完了できる環境を作成する事ができます。また「監視対象デバイス (監視モード) の適用 」、「MDM プロファイルの削除禁止」も実装可能です。
配布コンテンツの設定
iPhone / iPad に対しコンテンツの配布設定を行います。以下配布設定例です。
- 構成プロファイル
Apple デバイスに各種設定を流し込む際には「構成プロファイル」という設定テンプレートを使用します。構成プロファイルに登録できる設定の種類は Apple が定めており、MDM から配信・削除が可能です。
(例)Wi-Fi、VPN、パスコードポリシー設定、iOS の機能設定・制限設定
※設定項目は OS バージョン及び 監視対象デバイスか否かにより異なる。 - アプリケーション : モバイルデバイス App
App Store アプリ( App Store で取得可能なアプリケーション、ABM での購入分も含む)In-House アプリ(組織内で作成したアプリケーション)の配布設定を行います。 - ドキュメント : ebooks
iBooks( iBooks Store で取得可能なアプリケーション)や PDF ファイルなどの配布設定を行います。
※MDM 製品により、配布できるものや配布方法が異なります。In-Huose アプリやドキュメントファイル等の配布はできない MDM 製品もあるため、事前確認が必要となります。
3.デバイスセットアップ
ABM / MDM の設定が完了したら、デバイスを開封し電源を入れ初期セットアップを進めます。上述したとおり、Wi-Fi 接続まで手動で行えば、あとは自動セットアップが行われ、完了するまで待つのみです。
4.デバイス運用
MDM を導入すれば、デバイスの一括管理、設定変更、コンテンツ管理をリモートで行えるようになります。以下運用時の活用例です。
- デバイス機能制限の設定を変更する
- デバイス紛失時に遠隔からのロック及び位置情報の取得を行う
- デバイスがどうしても発見できない際は端末リセットを行う
- ユーザーがパスコードを忘れてしまった場合、解除できる
- デバイスの設定情報やアプリ情報を取得する
- App を強制アップデートする・新しい Wi-Fi 設定を配布する
- 特定の部署で新たに利用する App を一括配布する
このように MDM を導入すれば、様々なやり方でデバイスの遠隔操作を実現できます。そのため、MDM は企業のセキュリティ強化としても有効だといえるでしょう。
Jamf Pro とは
iPhone / iPad の導入・管理を効率的に行うには「 Jamf Pro 」の導入がおすすめです。Jamf Pro は、Apple デバイス専用の MDM となっており、これまでに解説したデバイスの導入・運用・管理を自動化&省力化することできます。また、導入後のデバイスの一括管理・遠隔操作等も行えるため、増加するセキュリティーリスクの対応ができる最適な MDM です。
Jamf Pro の特長
Jamf Pro は、以下の機能などによりデバイス数が増加するほどデバイス管理の自動化・省力化を実現できる MDM です。
アプリカタログ ( Self Service )
デバイス側でアプリをセルフインストールすることができます。そのため、ユーザーはIT 部門の助けを借りずに、必要なときに必要なアプリを手に入れることができます。
また、コンテンツはユーザーの所属部署等に基づいてパーソナライズできるため、IT 部門への問い合わせ件数やサポートにかかるコストを削減し、未使用のライセンスにかかる費用を抑えることができます。
デバイスの高度検索
Jamf Pro で収集できるインベントリ情報は、デバイス属性とユーザ属性の情報をあわせて 120 種類以上あり、さらに拡張属性として任意の情報も登録することができるため、各属性情報を条件式で組み合わせることで細かな検索がおこなえます。
管理者へのメール通知
Jamf Pro には手動検索だけではなく、あらかじめ条件を登録しておくことで、自動で条件に合致するデバイスの有無を定期的に確認し、検知すると管理者へメール通知することが可能なため、例えば、Jamf Pro と最後に通信してから一定日数経過したデバイスなど、セキュリティ対策もしっかり行えます。
また「ゼロデイサポート」を 10 年連続維持している唯一のMDMです。Apple の OS アップデートへ即日対応することで、最新 OS リリース時の動作リスクや管理者負担を大幅に軽減します。 他にも、Mac や AppleTV などの iPhone / iPad 以外の Apple デバイスも同じ管理コンソールで管理することができます。
Jamf Pro の導入事例
最後に、Jamf Pro を導入してiPhone / iPad などの円滑な管理を実現した事例を 2 つご紹介します。下記の記事をご覧ください。
- 関連記事
【大和鋼管工業株式会社様の事例】
https://www.jamf.com/ja/resources/case-studies/daiwast/
【株式会社星野リゾート様の事例】
https://www.jamf.com/ja/resources/case-studies/hoshino-resort/
