MDMの必要性
モバイルデバイス管理(MDM)は、iOSやtvOS、macOSを管理するために、アップルが提供しているフレームワークです。このフレームワークを活用したMDMツールを利用することで、管理者は端末の導入やインベントリの収集、設定、アプリの管理、データの消去、セキュリティ対策といったことが行えるようになり、アップル製品を効率的に管理することができます。
MDMで端末を管理するには、まずその端末をMDMツールに登録する必要があります。登録する方法は、以下のように3つ。DEPを使う方法、アップルコンフィギュレータを使う方法、そしてURLを使用する方法です。現在は、DEPがおすすめなのはここまで説明してきたとおりです。
現在、さまざまなベンダーからMDMツールが提供されていますが、ここではアップルのプログラムへの対応が早く、独自機能やサポートが充実しており、iOSデバイスに加えてMacやアップルTVも同一コンソールから管理できるジャムフ・プロ(Jamf Pro)を例に解説していきます。企業や学校にMDMツールを導入することでどのようなことが可能になるのかを見ていきましょう。
MDMへの端末の登録方法
MDMの登録方法を主に3通りあります。方法によって監視モード(Supervised Mode)が可能/不可能に分かれます。監視モードに関しては110ページを参照ください。
MDMの機能一覧
ゼロタッチ導入
DEPとの連係で初回通電時に自動設定/事前に設定した構成プロファイル配付/監視モード/LDAPとの連係
構成プロファイル
DWi-Fi、VPN、パスコードポリシー/iOSの機能設定、制限
インベントリ管理
Dハードウェア情報、OS情報、ネットワークアプリ、適用済みプロフィル、暗号化/レポート作成
リモートコマンド
D盗難、紛失時のデータ消去、ロック/デバイス単体、デバイスグループへのアプリ強制配付/OSアップデート/Bluetoothのオン/オフ
アプリ管理
DVPPからのラインセンス一括購入/Apple ID不要で自社アプリカタログ経由の配付/管理対象アプリ、AppConfigアプリの配付/禁止アプリの設定
セキュリティ
D組織のセキュリティ設定を構成プロファイルを通じて構築/アプリストアからのダウンロード防止/シングルAppモード/リモートコマンド
MDMの基本機能(1)インベントリ管理
組織内の端末の情報を効率的に収集する
インベントリは、「資産」や「目録」という意味です。つまり、ここでは企業や学校に導入したハードウェアやソフトウェアのことを指し、MDMツールを使うことで、端末のモデル名やシリアル番号、ストレージ容量/空き容量、UDID、インストールされているOSのバージョンやアプリといった情報をMDMツールの管理画面から素早く確認することができます。
また、端末のステータスや監視対象か否か、セキュリティやIPアドレス、インストール済みの構成プロファイル、購入情報も確認できるため、もし運用ポリシーに反して導入されている端末があれば、すぐに対応することが可能です。端末一台一台を人的に確認していくのは導入台数が多くなればなるほど大変ですから、MDMツールによる自動的収集は管理の効率化の面で外せません。
ジャムフ・プロでは端末ごとの情報を収集できるだけでなく、インベントリデータに基づいて動的に変化する「スマートグループ」を作成することで、複数の検索条件を満たした端末をピックアップし、構成プロファイルを適用することが可能です。
Jamf Proでは図のように、さまざまな検索条件に基づいて、インベントリ情報を収集することができます。
MDMの基本機能(2)App&ブック配付
組織内で利用するアプリや電子書籍のリモート配信を行う
企業や学校におけるアップル製品の利活用を図るには、さまざまなアプリや電子書籍といったコンテンツを端末にインストールして、従業員や教職員、児童・生徒に使ってもらう必要があります。大量の端末に対して、必要なときに必要な数だけ、アプリや電子書籍を安全に配付するにはMDMツールを活用するのがもっとも簡単です。
MDMツールを選定する際に重要なのは、どのようなコンテンツの配付に対応しているかです。ジャムフ・プロの場合、アップストア(App Store)で販売されているアプリだけではなく、アップストア以外で公開されているマイクロソフトやアドビといった一般的な無料/有料アプリ、組織内だけで利用するために開発した「インハウス(In-house)」アプリ、アップルのVPPによって一括購入したアプリ、そしてアップルブックス(Apple Books)で販売されている電子書籍のリモート配信・アップデート・削除が可能です。
配信する際は、ジャムフ・プロへアプリを追加し、配付方法などの設定を構成することができます。アプリを受け取るユーザや端末を指定し、自動的に端末にインストールを行うか、プロンプトを出してユーザにインストールしてもらうか、「セルフサービス」(112ページを参照)によってインストールしてもらうか等を選択できます。
Jamf Proでは[モバイルデバイスApp]というメニューから配信するアプリの選択が可能です。
MDMの基本機能(3)管理コマンド
遠隔地から強制的にタスクを実行する
MDMツールを導入する大きなメリットには、「管理コマンド」の利用も挙げられます。これは、導入端末に対して、リモートでさまざまなタスクを実行できる機能です。代表的な管理コマンドとして知られているのはリモートロックやリモートワイプで、エンドユーザが端末をなくしてしまった場合に、情報漏出を防ぐために遠隔地から画面をロックしたり、端末内のデータを初期化することができます。
また、そのほかにも、特定の端末あるいはグループに対してセキュリティ設定を変更したり、通知を送ったり、デバイス名を変更したり、ブルートゥースのオン/オフを切り替えたり、パスワードのリセットやデスクトップピクチャを変更したりなどが行えます。
端末を選び、[アクションを選択]から管理コマンドを選んで適用することで、遠隔地から端末のコントロールが行えます。
MDMの基本機能(4)構成プロファイル
組織内のポリシーにあわせて端末の設定を一括で行う
「構成プロファイル」とは、iOSデバイスやMac内に保存される設定情報ファイルです。MDMツールを利用すると、さまざまな設定情報を定義して、管理対象となる端末に適用することができます。これによってエンドユーザは面倒な設定をすることなくスムースに端末を使い始められるのに加え、管理者にとっては組織内の運用ポリシーに基づいた制限を加えることによってエンドユーザに端末を適切に使ってもらえるようになります。初期のキッティング時に構成プロファイルを適用するだけでなく、端末配備後も運用ポリシーに変更があれば、リモートで構成プロファイルの更新を行えます。
構成プロファイルに含まれる内容は多岐にわたります。Wi│FiやVPNなどのネットワーク構成や、パスコード/パスワードのポリシーといった基本的なものから、Eメールやグーグルサービス(G Suite)などのアカウント設定、LDAPなどの企業ディレクトリサービス、共有カレンダーや連絡先といったアカウント、WEBブラウザのコンテンツフィルタなどが設定可能です。
そのほか、エアプレイやエアプリントといったデバイス固有の機能に制限を掛けたり、各種証明書やSystem Center Endpoint Protectionの構成もサポートしています。
構成プロファイルで設定できる項目は多岐にわたります。図は、端末に対してシングルAppモードで運用する際の細かな設定画面です。
MDMの応用(1)Jamf Proでできること[IOS]
監視モードで詳細管理
iOSの特別なモードとして、MDMサーバを使用して詳細な管理を可能にする「監視モード」(Supervised Mode)があります。端末を監視モードにするには、アップルコンフィギュレータ2で設定して端末を初期化するか、DEP登録端末であればMDMツールからワイヤレスで行います。
監視モードにすると、MDM経由でエアドロップ(Air Drop)の機能制御や特定のアプリの非表示などが可能になり、管理者はより柔軟な端末のコントロールが可能になります。ここでは、ジャムフ・プロで可能な代表的な設定を紹介しましょう。
[1]ホーム画面のカスタマイズ
使いやすいようにスクリーンを変更
会社のロゴやコーポレートカラーなどをホーム画面の壁紙として設定しておくことで、ビジュアルアイデンティティを統一しブランディングの向上に役立てることができます。また、ホーム画面に並ぶアプリやフォルダ、Dockの配置なども細かく指定できます。具体的には、自社で利用するシステムやサービスにアクセスするWEBクリップや、業務で利用するアプリを1画面目に配置し、2画面目以降に重要ではないアプリを移動するといった設定が可能です。また、業務で不必要なアプリを非表示にしておくことも可能です。これにより、アプリを探し回ることなく、いつでも画面を表示したらワンタップで必要な機能にアクセスできます。
セルフサービスをDockに固定したり、アプリの配置を変更できたり、電話や設定以外のシステム標準アプリを非表示できます。
[2]シングルAppモード
iPadをキオスク端末にできる
「シングルAppモード」は、iPadで特定の機能だけを有効にして、キオスク端末として使うための方法です。つまり、iPadを高性能な専用タッチパネル端末にすることができます。たとえば、飲食店の注文端末やPOS、オフィスの受付の呼び出し端末、展示会でのアンケート回答端末などさまざまな用途に応用可能です(タッチ機能の無効化も可能)。通常、こうした目的の専用端末を組み込みで開発しようとすると多額なコストとメンテナンスの手間がかかりますが、シングルアプリモードのiPadであれば自社開発のアプリだけでよいので、工数とコストの大幅削減につながります。
シングルAppモードに設定した際、タッチ入力や画面回転、各種ボタンを有効にするかどうかを細かく設定可能です。
[3]教育構成プロファイルの作成
共有iPadの設定を有効化
Jamf ProではASMで作成された教職員と児童・生徒の名簿および授業(クラスルーム)の情報を元に「教育構成プロファイル」を自動生成して、すべての管理対象iPadに配付して設定を適用できます。これにより、「Classroom」アプリによる授業支援が可能となります。また、同様に構成プロファイルを配付することで複数の児童・生徒が自分の管理対象Apple IDに切り替えて1台のiPadを利用できる「共有iPad」などの機能もIT管理者側で手軽に有効化できます。これらは多くのiPadを管理・運用する教育の現場にはほぼ必須の機能とも言えるでしょう。また、学校ごとの管理ポリシーに柔軟に合わせられることも大きなメリットです。
Jamf Proを使って教育構成プロファイルを作成したり、クラスルームアプリを組み込んだりすることで、新しい学習方法を授業に簡単にもらたすことができます。
[4]Classroomアプリの設定
教員や児童・生徒の設定の手間を省く
学習支援アプリの「Classroom」は手動でのクラス設定にも対応していますが、ASMとMDMを事前に連携しておくことでiPadの設定と構成を一度に完了して展開することもできます。また、ASMからJamf Proへユーザ情報をインポートすることで、Jamf Pro側に新規ユーザを自動作成したり、既存ユーザに情報を追加することもできます。事前に管理者側で情報を統合しておくことで、教員や児童・生徒はiPadの設定のために授業の時間を使ってしまうという本末転倒な事態を避けられます。さらに構成プロファイルにより、教員や学生のグループ設定、共有iPadにおけるアプリの使用制限やDockのカスタマイズなども可能です。
ASMとMDMを連携させておくことで、教員や児童・生徒の情報に基づいてiPadの設定と構成を一度に完了することもできます。
MDMの応用(2)Jamf Proでできること[tvOS]
会議室や病院で
アップルTVと聞くと、家庭のテレビと接続して楽しむエンターテインメントデバイスという印象が強いのですが、企業や教育機関でも利用されています。会議室や学校のテレビと接続してiOS端末からプレゼンを行ったり、デジタルサイネージとして利用したり、ホテルの客室や病室で使ったりと活用方法はさまざま。ただし、企業や学校に導入するうえでは、管理者による手作業での設定やセットアップの手間と時間、個々のアプリの設定の制限や資産管理が問題となりますので、MDMを利用するのが望ましい方法といえます。ジャムフ・プロを使うと以下のことが可能です。
[1]会議室モード
Apple TVを自動的に会議室モードに
Apple TVには、AirPlayを使ってApple TVに接続する手順を画面に表示する「会議室のディスプレイ」という機能(以下、会議室モード)があります。会議室や教室でこれを見ながら設定を行うことで、MacやiOSデバイスの画面をApple TVに接続されたディスプレイに表示し、プレゼンなどをすぐに始められるのです。Jamf Proでは、この会議室モードの構成プロファイルを一括して配信することで、管理下にあるApple TVすべてを簡単に会議室モードに設定することができます。同じ項目から会議室モードの際に表示するメッセージ内容などもカスタマイズ可能です。
[デバイス]タブから、会議室モードの[構成プロファイル]を選択して、対象のApple TVに配付します。
[2]オリジナルAppの配信
デジタルサイネージ用にアプリ配信
Jamf Proは、tvOS向けのオリジナルApp配信に対応しています。基本的な考え方や設定手順はiOSデバイスの場合と共通で、Apple TVではシングルAppモードを利用することで「デジタルサイネージ」や公共スペースにおける「案内表示」、単独アプリの操作だけを許可する「キオスク端末」などにできます。具体的にはホテルの客室にあるテレビにオリジナルコンテンツを配信したり、病院の待合室や金融機関のロビーで順番待ちの情報を表示するのにも使えるでしょう。いずれもHDMI入力に対応した汎用的な表示デバイスをそのまま活用できるので、低コストに開発できるのも大きなメリットです。
tvOS向けのオリジナルアプリを配信できます。デジタルサイネージや案内表示に有効です。
[3]AirPlayの制限
AirPlayの意図しない利用を制限
MDMを利用すれば、オフィスや学校などに設置したApple TVのAirPlayミラーリング機能やビデオのストリーミング表示機能に細かな制限を設け、意図せぬ利用を防げます。具体的にはAirPlay自体の許可/禁止を切り替えたり、初回の接続時にパスコードの入力を強制したりできます。また、AirPlayによってアクセスできるデバイスを同一ネットワーク内にするか、近くにあるデバイスを許可するかといった指定も可能です。そのほか、特定のiOSデバイスのみApple TVへの接続を許可することも可能で、「Apple TV Remote」のペアリングや文字入力についても制御できます。これらのAirPlay制御機能を適切に組み合わせることで、安全に端末を配備できます。
iPhoneやiPad、Macから映像や音楽を簡単にワイヤレスでストリーミングできるのがAirPlayです。Apple TVに接続したテレビへのAirPlay接続を禁止したり、制限したりできます。
[4]リモートコマンド
再起動や消去を遠隔地から一括で行う
iOSデバイスやMac同様に、Jamf ProではtvOS向けのリモート管理コマンドを備えています。その中には、「Apple TVの再起動」や「Apple TVの消去」といった項目があり、これらを使うことでApple TVを遠隔地からワイヤレスで復元することが可能です。特に、病院や宿泊施設など、毎回使用者が入れ替わる場所にApple TVを設置している場合、Apple TVから個人データは都度消去しなければならないため、管理者が個別の手作業なしにセットアップやメンテナンスを実行できる点は非常に便利です。
tvOS用のリモートコマンドを使えば、管理下にあるApple TVに対して強制的に処理を遠隔地から実行できます。
MDMの応用(3)Jamf Proでできること[macOS]
Macに強いジャムフ
iOSやアップルTVに関しては、アップルのMDMフレームワークを利用した管理が可能なのに対して、macOSの管理にはより高度な機能が必要となります。
ジャムフ・プロでは、「エージェント」をMacにインストールすることができ、この「エージェント」によって、非表示の管理者アカウントを追加、管理が可能となります。このような通常のMDMの枠を超えたMacの高度な管理を行えるのが、ジャムフ・プロの最大の強みともいえます。具体的にどのようなMacの管理が行えるのか。主な機能を詳しく見ていきましょう。
Jamf ProのMac向け管理機能
Jamf ProではmacOSのMDMのフレームワークで提供されている機能に加えて、独自の機能が利用できます。
[1]柔軟な登録方式
利用中のMacも管理に追加できる
新規にMacを導入する場合は、iOSデバイスやApple TVと同様にDEP、またはURL経由でJamf Pro(MDM)サーバに登録することができます。また、すでに使用中のMacも管理に追加することが可能。なお、Jamfが提供する「Reacon」というソフトを利用すると、自社ネットワーク内にあるMacを管理者が指定して強制的にJamf Proに登録し、管理下に置くことができます。
[2]環境設定のカスタマイズ
構成プロファイルやユーザ権限の設定
Dockに登録するアプリをカスタマイズしたり、WI-FiやVPNなどシステム環境設定で行う項目についても構成プロファイルによって設定できます。また、管理下のMacに対してユーザの権限の設定や変更、アカウントの追加/削除も可能です。さらに、MacをMicrosoftのActive DirectoryやAppleのOpen Directoryといったディレクトリサービスに関連づけ、割り当てることも可能です。
[3]各種ドライバ・アプリのインストール
プリンタやPKGファイルへの対応
Jamf Proでは管理下のMacに対してアプリを配付したり、アップデートしたりできるだけでなく、「ホワイトリスト」を作成しておくことで、管理者権限のない従業員でもMac App Store外のアプリやプリンタドライバをインストールさせることができます。同様に、「ブラックリスト」を作成することもでき、すべての、もしくは一部のユーザに特定のアプリの使用を禁止させることができます。
[4]MDMの枠を超えた情報収集が可能
インベントリ管理
Jamf Proでは108ページで紹介した基本的なインベントリに加えて、Macの場合は、ローカルユーザアカウント、プリンタ、アクティブなサービス、利用できるソフトウェアアップデート、アプリケーションの使用情報、フォント、プラグイン等に関しても情報収集することができます。
[5]各種セキュリティ機能への対応
FileVaultやEFI、T2のサポート
Mac標準のディスク暗号化機能である「FileVault 2」によるロックを強制的に行ったり、T2プロセッサ非搭載のMacであってもEFIパスワードを有効化して起動ディスク以外からの起動をブロックしたりできます。そのほか、外部ディスクの接続やiCloudの利用を制限、プロキシ経由でインターネットアクセスを制限することもできます。
[6]セルフサービスの構築
組織内で使える自社ストアを作れる
Jamf Proでは、組織内だけで利用するアプリ配信ストア(アプリ配信カタログ)を構築することができます。App Storeで購入したアプリやインハウスアプリ、サードパーティ製のアプリ等を登録しておくことで、エンドユーザが自由にアプリを管理端末にインストールして利用することができます。また、アプリだけでなく、ブックマークやPDF、サポート資料など業務に必要なファイルも登録しておくことも可能です。管理者はディレクトリサービスに統合させて、部署やユーザの業務、場所などに基づいてコンテンツをカスタマイズできるため、サポートの手間やコストを削減できるだけでなく、エンドユーザの体験も向上させることができます。
セルフサービスの名称や、アイコン、背景などのインターフェイスは管理者側でカスタマイズでき、アクセスに認証をかけることができます。
Apple導入に詳しくなるためのおすすめリンク
ビジネス ─ Apple
Apple製品のビジネス利用についての情報が集約されているポータルサイトです。MacやiOSデバイスなどApple製品のテクノロジーの概要や「Apple Employee Choiceガイド(従業員選択プログラム)」など企業導入の成功事例などが掲載されています。【URL】https://www.apple.com/jp/business/
教育 ─ ITと導入 ─ Apple
Apple製品のビジネス利用についての情報が集約されているポータルサイトです。MacやiOSデバイスなどApple製品のテクノロジーの概要や「Apple Employee Choiceガイド(従業員選択プログラム)」など企業導入の成功事例などが掲載されています。【URL】https://www.apple.com/jp/education/it/
iOS 導入リファレンス ─ Apple
Apple製品のビジネス利用についての情報が集約されているポータルサイトです。MacやiOSデバイスなどApple製品のテクノロジーの概要や「Apple Employee Choiceガイド(従業員選択プログラム)」など企業導入の成功事例などが掲載されています。【URL】https://help.apple.com/deployment/ios/?lang=ja
Jamf リソース
Jamf Proの導入事例のほか、Jamf社が提供する電子書籍、ホワイトペーパー、製品ドキュメント、ビデオがまとめられたポータルサイトです。検索機能もありますので、Jamf社のリソースから知りたいキーワードで検索できます。【URL】https://www.apple.com/jp/business/
macOS導入リファレンス
Appleが無料で配布しているmacOS導入のための手引き書です。iBooks形式で配布されていますので、MacまたはiOSデバイスの「ブック」で閲覧できます。主にIT管理者向けに、企業や教育機関でMacやApple TVを大規模導入する方法やネットワーク構成、既存のインフラストラクチャと統合する方法について記載されています。【URL】https://itunes.apple.com/jp/book/id987794778
初めての方のためのAppleデバイスマネジメント
Jamf社が提供するApple製品導入のための総合ガイド。世界のビジネスシーンや教育現場でApple製のデバイスが導入されている理由、MDMの基本、デバイス管理に必要な手順をインフォグラフィックを利用して簡潔に説明が行われています。Apple製品導入を検討している企業や教育機関の担当者におすすめです。【URL】https://www.jamf.com/ja/resources/e-books/apple-device-management-for-beginners/
モバイルデバイス管理の基本
ビジネス分野へのiPhoneやiPadの大規模導入に際して必要な管理機能の基本をまとめた電子ブック(PDF)です。MDMの概要から導入、インベントリ、構成プロファイル、アプリのデプロイ、セキュリティといった基本にはじまり、小売りやヘルスケアといった現場別の導入シナリオが用意されています。【URL】https://www.jamf.com/ja/resources/e-books/mobile-device-management-101/
ビギナー用のMac管理
ビジネスおよび教育分野へのMac大規模導入に役立つ総合ガイダンスです。Mac管理の基本にはじまり、ABMまたはASMで利用可能なAppleのサービス、管理ステージやインフラ計画などMac導入に関わる知識がコンパクトにまとめられています。IT管理担当者のみならず、組織のマネジメント職にも一読の価値があります。【URL】https://www.jamf.com/ja/resources/e-books/mac-management-for-beginners/
