[ STEP 4 ]MDMとの接続
MDMツールとDEP端末の紐付け
MDMの選定と初期段階の設定
アップル製品を購入して、ABMやASMの登録を行ったら、端末をエンドユーザに配付していくフェイズになります。ここで重要となるのが、配備前に行う端末のキッティング(初期設定)です。エンドユーザが端末をすぐに使い始められるよう、運用ポリシーに基づいて端末の各種設定を行います。
そのために必須なのがMDMツールです。自社に最適なMDMツールを選定したら、まずMDMツールをABMやASMと連係させます。そして、その後、MDMツールにDEPで購入した端末を登録することで、各端末とMDMを紐付けます。ここではアップル製品管理のトップソリューションである「ジャムフ・プロ(Jamf Pro)」を例に解説していきます。
Apple製品管理の実績に長けたJamf社の「Jamf Pro」
Jamf ProはJamf社が提供する企業や学校向けのMDMツールです。Jamf社はAppleが世界トップクラスのブランドになる前からIT管理者向けにMac、iPad、iPhoneの資産管理や登録、セキュア化の卓越したソリューションを提供し続け、現在は世界で2万を超える組織で使われています。Jamf社はユーザコミュニティをきわめて大切にすることでも知られ、世界最大のApple IT管理フォーラム「JNUC(Jamf Nation User Conference)」を毎年開催。現在、Apple ITのオンラインコミュニティとしても世界最大規模に成長しています。MDMツールとして、Jamf Proでできることに関しては108ページ以降を参照ください。
Jamf Pro【URL】https://www.jamf.com/ja/
MDMツールの選定
(1) MDM(モバイルデバイス管理)ツールを選定します。MDMベンダー各社からサービス内容・価格・サポート内容などを検討して、組織に最適なものを選択しましょう。
新規MDMサーバを追加
(2)ABMやAS Mにログインしたら、サイドバーの[デバイス]欄にある[MDMサーバ]を選択し、一番右側のカラムの[新しいMDMサーバを追加]をクリックして画面を表示しておきます。
MDMへのログイン
(3)ユーザ名とパスワードを入力してMDMツールにサインインします。Jamf Proの場合は図のようなダッシュボード画面が表示されます。
設定からDEPを選択
(4)右上の歯車の設定アイコンをクリックし、[一括管理]の項目から[Device Enrollment Program]の項目をクリックします。
公開鍵のダウンロード
(5)DEPの設定画面が表示されたら、右上の[公開鍵(Public Key)]のボタンをクリックします。すると拡張子が「.pem」の証明書ファイルが[ダウンロード]フォルダに保存されます。
公開鍵のアップロード
(6)ABMやASMの画面に戻り、[MDMサーバ情報]に任意の名称を設定してから先ほどの公開鍵(パブリックキー)を[ファイルをアップロード]をクリックして選択します。
MDMサーバの設定を保存
(7)公開鍵のアップロードが完了したら、右下の[保存]ボタンをクリックします。これで公開鍵を受け取ったMDMサーバの情報がABMやASMに保存されます。
ABM/ASMのトークンをダウンロード
(8) ABMやASM側の公開鍵(トークン)を発行します。[新しいMDMサーバを追加]の画面で[トークンを入手する]をクリックすると[ダウンロード]フォルダに拡張子が「.p7m」の証明書ファイルが保存されます。
ABMトークンのアップロード[1]
(9)MDMツールのDEPの画面に切り替えて[新規]ボタンをクリックします。[表示名]を設定し[サーバトークンファイルのアップロード]ボタンをクリックします。
ABMトークンのアップロード[2]
(10)ダイアログが表示されたら[ファイルを選択]をクリックして[ダウンロード]フォルダ内のABM/ASMの公開鍵トークンを選択し[アップロード]をクリックします。
サーバ情報が登録される
(11)アップロードが完了するとサーバの識別子(UUID)や管理者IDや組織名などの情報がMDMツール側にも表示されて登録されます。
トークンの交換が完了
(12)これでABM/ASMとMDMツールのトークンが互いに交換されて紐付けが行われました。設定の確認や情報の編集を行いたい場合は、ABM/ASMのこの画面を表示します。
購入店の情報を登録
(13)ABM/ASMの[設定]画面で[デバイス購入]を表示し、[追加]から[Appleお客様番号](Apple Storeから購入した場合)あるいは[DEP販売店ID](Apple取扱店、通信キャリアから購入した場合)を登録します。
購入デバイスを割り当てる
(14)サイドバーの[デバイスの割り当て]をクリックし、デバイス管理画面から購入したAppleデバイスを[シリアル番号][注文番号][CSVをアップロード]のいずれから選択します。
MDMサーバに紐付ける
(15)続けて[操作の選択]の[アクションの選択]プルダウンメニューから[サーバに割り当てる]、を選択します。そして、[MDMサーバ]に先ほど紐付けたMDMサーバを選択して[完了]ボタンをクリックします。
[ STEP 5 ]基本的な設定
ユーザ登録とコンテンツの一括購入&配付
設定を一括で展開
MDMツールによるキッティングに向けた準備の最終ステップとして、ABMやASMで最低限行っておきたい基本設定について確認していきましょう。
まずは端末を利用するメンバーに対する「役割」の設定です。ABMの場合を例にすると、従業員の管理やデバイスの管理、アプリの配付などは、複数の管理者で行うのが一般的です。ABMでは、それぞれ「ユーザマネージャ」「デバイスマネージャ」「コンテンツマネージャ」という役割と権限を付与できます。また、事業所や店舗、工場など複数の拠点がある場合は「場所」の設定もしておくと、コンテンツの展開を柔軟に行えます。ASMでも基本的な考え方は同様ですが、別途、児童・生徒を分類するための「クラスルーム」の設定も行いましょう。
ABMやASMの基本設定が済んでいればMDMにも設定が反映されていますので、あとは配布デバイスの電源を入れるだけで構成プロファイルが転送され、ゼロタッチのセットアップが完了します。これにより従業員はアプリを探してアップルIDなどを入力しなくても業務に必要なアプリが配布できるようになるわけです。
役割の設定
各役割の権限を確認
(1)ここでは、ABMを例に解説します。サイドバーの[ユーザ]にある[役割]をクリックすると各役割の権限を確認できます。
マネージャの役割
(2)たとえば、[コンテンツマネージャ]であれば管理対象Apple IDでアプリとブックの購入が行えます。一方、[デバイスマネージャ]では[デバイスの管理]はできますが、アプリの購入権限はありません。
ユーザに役割を付与
(3) [アカウント]欄では追加したユーザに対して付与した役割をアイコンの色などで確認できます。[編集]ボタンをクリックして役割の割り当てを変更することもできます。
コンテンツの購入
一括購入したいアプリの検索
(1)ここでは、ABMを例に解説します。サイドバーの[ユーザ]にある[役割]をクリックすると各役割の権限を確認できます。
ライセンスを購入
(2)たとえば、[コンテンツマネージャ]であれば管理対象Apple IDでアプリとブックの購入が行えます。一方、[デバイスマネージャ]では[デバイスの管理]はできますが、アプリの購入権限はありません。
配付先と本数を設定
(3)コンテンツマネージャはここで配付したい場所である[割当先]や数量などを入力していきます。合計金額を確認したら[入手]ボタンをクリックします。
アプリの購入完了
(4)購入が完了するとアプリの一覧に[100個利用可能]のように表示され、[ライセンスを管理]画面から複数の場所にアプリを振り分けて配信することも可能となります。
MDMにも反映される
(5)アプリの購入情報は登録済みのMDMに自動的で反映されます。Jamf Proの場合は[モバイルデバイスApp]の項目から確認可能です。
一括配信も楽に行える
(6)MDMで管理する端末に対して、個人のApple IDなどを入力しなくてもアプリを一括で配信可能となります。企業側が利用可能なアプリを提供する「セルフサービス」などが利用できます。
場所の設定
複数のグループで管理
(1)複数の拠点が場合は、[組織]欄にある[場所]で管理可能です。必要な場合はあらかじめ[場所の追加(+)]ボタンをクリックして登録しておきます。
場所ごとのトークンを作成
(2)複数の場所を登録しておくと[設定]の[Appとブック]から場所ごとのサーバトークンを[ダウンロード]できます。場所ごとにアプリを配付するには、このトークンを交換しておきます。
ライセンスを場所ごとに転送
(3)場所の設定が済んでいれば、VPPで一括購入したアプリを場所ごとにライセンスを分配したり、ある場所から別の場所へと一部または全部を委譲することが可能となります。
ASMの場合
クラスルームを設定
(1)サイドバーの[ユーザ]欄にある[クラス]を選択すると、登録したクラスルームの一覧が表示されます。クラスルームは教科ごとに作成し、場所や教員の情報を登録します。
児童・生徒の情報を確認
(2)各児童・生徒には固有のユーザ番号と管理対象Apple IDを発番しておきます。MDM側でCSVファイルから一括でクラスルームの情報をアップロードすることも可能です。
クラスの情報を一括登録
初回のSFTPアップロードを設定
(1)ASMではSFTPを利用して児童・生徒や教職員、クラス情報をアップロードできます。ASMにログインし、右上の名前をクリックして[設定アシスタント]から[生徒、職員、クラスを設定]をクリックします。続けて[SFTPを設定]をクリックします。
CSVのテンプレートに記入する
(2) SFTPのURL、ユーザ名、パスワードが発行されますのでこの情報をSFTPクライアントに設定します。また、登録に利用するテンプレートがダウンロードできますので、クラス、コース、場所など6つのCSVファイルを展開して情報を入力します。
SFTPにアップロードする
(3)6つのCSVファイルをZIP形式でアーカイブしてSFTPサーバに接続し、[dropbox]ディレクトリにアップロードします。アップロードが完了したらASMで[SFTPデータを確認]をクリックしてエラーの有無を確認し、アカウントとクラスの情報などをプレビューします。
教職員に役割を割り当てる
(4)管理対象Apple IDが作成されたら、ASMへのサインイン情報を教職員に配付して、それぞれに必要な「役割」を割り当てておきます。
端末をMDMに事前登録する
Jamf Proには、「PreStage Enrollments(事前登録)」という機能があります。これは、端末の設定をJamf Pro内に保存し、配備する各端末のキッティング時に利用することができる機能です。「PreStage Enrollments(事前登録)」を利用するには、ここまで説明してきたように、DEPとJamf Proを紐付けておく必要があります。なお、Jamf Proの各種管理機能についての詳細は、108ページ以降を参照してください。
Jamf Proではサイドバーの[PreStage Enrollments]から、DEP登録した端末の設定を読み込むことが可能です。
