Mac業界の最新動向はもちろん、読者の皆様にいち早くお伝えしたい重要な情報、
日々の取材活動や編集作業を通して感じた雑感などを読みやすいスタイルで提供します。

Mac Fan メールマガジン

掲載日:

キッティングの最善策

【TOPICS2】アップルの「DEP」で大量導入がもっと楽になる

著者: 牧野武文

【TOPICS2】アップルの「DEP」で大量導入がもっと楽になる

箱を空けた瞬間から使えるように

MacやiPad、iPhoneを購入、家でパッケージを開け、電源を入れる。Macユーザならもっともワクワクする瞬間だ。それに続いて、言語や国などの設定、個人情報の入力、さらに使うための各種設定。これも楽しい時間だが、これが100台あったらどうだろう? 楽しいはずの時間は、悪夢の無限地獄の時間になってしまう。

この初期設定の作業は、法人の大量導入の場合「キッティング作業」と呼ばれる。「トラベルキット」「サバイバルキット」などと同じキットで、「道具一式を使える状態に揃える」という意味だ。

通常、Macをキッティングする場合は、1台ずつ手作業でキッティングする、もしくは「デプロイスタジオ」(Deploy Studio)と呼ばれるオンラインソフトウェアを使って1台の設定(インストールされたソフトウェアや環境設定など)されたMacを雛形として、複数台のMacにOSごとリストアしていく。

一方、iPadやiPhoneのキッティングを行う場合は、通常「アップル・コンフィギュレータ」(Apple Configurator)を使う。これは、iPadやiPhoneなどの設定を30台まで一括で適用できる、アップルが無料で提供しているMac用ソフトウェア。1台のiOSデバイスをUSB接続して、設定(インストールするアプリ、監視モード、ユーザの割り当てなどもできる)を作っておけば、あとは30台ずつUSB接続された端末に、同じ設定を次々に適用していくことができる。

MacやiOSデバイスを社内に配備する場合は従来このような方法を使うが、導入する台数が多ければ多いほど手間と時間がかかってしまう。事実上、大量導入する場合は社内で行うことは不可能であり、多くの場合、業者に委託することになるが、結局は人手で行う作業なので費用は決して安くない。

また、デプロイスタジオはプロファイル等の作成や配付には未対応であったり、変更した設定を反映させるためにネットブートさせる必要があったりなど、日常的に運用されている端末の管理には不向きだ。

アップル・コンフィギュレータの場合も同様にキッティングして終わりという訳にはいかない。アップル・コンフィギュレータはプロファイルを端末に送って設定を施すのが主であり、日常の管理まではカバーしていない。ワイヤレスでのアプリのアップデートや利用状況の監視、端末紛失時のリモートワイプ等の機能は備わっていない。

そのため、MacやiOSデバイスを安全に運用するにはMDMが必要となり、社の運用ポリシーに従って作成したプロファイル(OSの設定やネットワーク設定、ソフト/アプリの使用可否等を定めて設定ファイル)を作成し、それを端末に一斉に適用することで管理を行う必要があり、管理者はここでも頭を悩ませることになる。

この問題を根本から解決してくれたのが、昨年11月から米国を皮切りにアップルが提供しているDEP(Device Enrollment

Program)だ。これは何もしなくても、Mac、iPad、iPhoneの準備作業、設定作業からMDMまでの登録をやってくれるという、夢のようなプログラムだ。

DEPを利用することでシステム担当者は事前にMacを一台一台設定する必用はなく、ユーザに未開封のパッケージを手渡すだけでよくなる。

MDMへの登録までを自動で実行

DEPは、Mac、iOSデバイスの機体のシリアル番号を利用する。導入側がアップルもしくはDEPに対応した販売店から端末を一括購入すると、アップルもしくは販売店側でその端末のシリアルナンバーをDEPに登録。そして導入側は自社/自校の(DEPに対応した)MDMサーバとの紐付けを行う。あとは、MDMで運用ポリシーを定め、プロファイルを作成しておけば、ユーザがMacやiPadの箱を開封して初期アクティベーションを済ませたとたん、そのまま設定されたMDMに自動登録され、プロファイルが適応される仕組みだ。

さらにDEPを使えば、ユーザが勝手にプロファイルを削除することができなくなる。MDMでは端末に適用した設定プロファイルをユーザ側が削除できてしまうことでMDMの監視下から外れ、管理者が機器の位置情報を見ることも、リモートロック、リモートワイプすることもできなくなるという問題があった。DEPを使うと設定プロファイルが端末のシリアル番号とリンクされるのでそれが不可能となり、MDMの監視下から抜けることができなくなる。企業ではセキュリティ、盗難などのリスクが限りなく小さくなり、教育機関などでは生徒が誤ってプロファイルを削除してしまうことから起きるトラブルを回避できる。

購入先をしっかりと見定めよう

DEPは今後アップル製品を大量導入する際にはぜひとも利用したい仕組みだ。ただし、DEPについてはいくつか注意点がある。

1つは「アップル・デプロイメント・プログラム」(Apple Deployment Programs)への登録が必須となることだ。この際、所属する企業または機関とアップルとの間で利用規約に同意する必要がある。規約内容はごく常識的なものだが、担当者が企業または機関を代表して、アップルと法的な同意をする権限を持っている必要がある。また、この登録の際、利用するメールアドレスは企業または機関と関連づけられたものではなくてはならない。要はドメイン名が企業、機関名であればよく、個人のメールアドレスやGmail、Yahoo!メールのようなものはNGだ。

もう1つは、端末を購入する機関が限られてしまうということだ。DEPの仕組みのキモは、端末のシリアル番号のリストをアップルに送信してDEPのシステムに登録をするという点にある。この登録の仕組みが流出すると大きな問題になるので、限られた販売店しかDEPを扱うことができない。現在のところはアップルストア(オンラインを含む)、セルラー版のiOSデバイスについてはソフトバンク、KDDI、アップル認定業者であれば株式会社TooがDEPに対応している。このDEPが扱える販売店および認定業者は今後も広がっていくと思われるので購入の際はしっかりと確認してほしい。

DEPの特徴

●MDM登録の強制およびロック機能:MDMに自動登録し、設定プロファイルをロックできるので、MDM監視下から離脱することができなくなり、盗難などのリスクが軽減される。

●ワイヤレスで監視:MDMとかぶる機能だが、DEP側でもiMessageなどの機能制限を設定することができる。

●デバイスに触れずに構成:本文で触れたように、開封して電源を入れ、ネット接続させるだけで、設定からMDMへの登録までが行える。

●効率的な設定アシスタント:実際のユーザが使い始めるときに、強制設定させる箇所とユーザ自身で設定させる箇所を指定することができる。

端末の購入先

DEPはリセラー側でシリアル番号をアップルに送信する必要があることから、DEPに対応している販売店は限られる。現在のところ、DEPに対応しているのは以下のとおりだ。

Mac、iPad、iPhone:Apple Store(オンライン含む)

セルラー版:iPad/iPhone:ソフトバンク、KDDI

Mac、iPad(Wi-Fi):Too ※2015年8月20日時点

DEPの登録手順

?プログラムへの登録

「Apple Deployment Progr ams(deploy.apple.com)へアクセスして登録を行う。所属する企業または教育機関に関連づけられたEメー ルアドレスを入力し、企業や教育機関の情報を入力していく。アップルカスタマーナンバーやDEPリセラーIDを入力すると、DEPカスタマーIDが割り当てられる。

 

?プログラムへの参加

deploy.apple.comにアクセスし、管理者の追加を行い、MDMソリューションを関連づける(仮想MDMサーバを設定する)。そして注文番号またはシリアル番号を参照し、仮想MDMサーバにデバイスを割り当てる。この部分は基本的に納入業者にまかせることも可能だ。

 

?機器の開封と初期設定

DEPで購入したデバイスの電源を入れる。初期アクティベーションをしたら(言語、国などの基本設定を行い、自社のセキュアなWi│Fiを選び、接続する)、あとは放置しておけば、状況によって異なるが、数分で設定とMDMへの登録が行われる(OSのアップデートが必要な場合は、その分時間が伸びる)。