Appleデバイス管理はMDMからDDMへ──企業ITが今考えるべき運用設計の転換点

企業ITにおけるデバイス管理の重要性が急速に高まる中、Appleが次世代のデバイス管理モデルとして推進しているのが「DDM（Declarative Device Management）」です。従来の“管理サーバが命令する”MDMから、“デバイス自身が状態を判断する”新しい管理モデルへの転換が進んでいます。

デバイス管理の必須基盤となったMDM

企業ITにおいて、業務用のスマートフォンやタブレット、パソコンを安全に運用するためには、デバイス管理が欠かせません。そこで広く利用されてきたのが、MDM（Mobile Device Management）です。MDMは管理サーバから各デバイスへ設定や命令を配付する仕組みで、たとえばパスコード設定の強制やWi-Fi・VPN設定の配付、業務アプリのインストール、紛失時のリモートロック、OSアップデート管理などを一元的に実施できます。

Apple製品の管理においては、Appleが提供するMDMプロトコルに基づいたMDMツールがさまざま提供されており、企業はこうした製品を活用することでiPhoneやiPad、Macの管理を一元的に行ってきました。Apple製品の企業導入が始まった当初はMDMを導入せずに運用していた企業もありましたが、近年はゼロトラストセキュリティの普及などを背景にデバイス状態を継続的に管理する必要性が高まり、MDMは企業ITにおける必須基盤になりつつあります。

従来型MDMの課題とDDMの登場

一方で、MDMの運用モデルには構造的な制約も指摘されています。MDMはサーバを起点とした制御モデルであり、デバイスの状態確認や設定の配付はサーバとの通信に依存します。そのため、管理対象のデバイスが増加するほど通信量や運用負荷が増えやすく、またデバイスがロック中などすぐに応答できない場合は、設定の反映に遅れが生じることがあります。

こうした課題に対し、Appleが提示している新しいアプローチが「DDM（Declarative Device Management）」です。「宣言型デバイス管理」と呼ばれるDDMは、管理者が個別の操作を指示するのではなく、OSバージョンやセキュリティ要件、構成ポリシーなどを“あるべき状態”として定義します。そして初回にその定義を送付しておけば、以降デバイスはそれに従って自身の状態を継続的に評価し、必要な更新や調整を自動で行います。従来型MDMがサーバ主導で個別の設定を配付・制御するのに対し、DDMはデバイス側に状態管理の役割を持たせることで、より自律的な運用を実現することが可能です。

従来型MDMのように都度指示を送る方式ではなく、DDMではあらかじめ定義された目標状態をデバイス側が保持し、逸脱が発生した場合に自律的に修正します。

DDMがもたらす運用面のメリット

DDMは、企業IT運用においてさまざまなメリットをもたらします。まず、従来型MDMのようにサーバ主導で継続的な通信や状態確認を行うモデルではなく、デバイスの状態変化をトリガーとして必要な処理が実行されるため、不要な通信を抑えつつ、デバイス数が増加する環境でもスケーラブルな運用を実現できます。

また、管理者がデバイスの状態を繰り返し確認し、その都度コマンドを送付するといった運用上の手間が軽減されます。さらに、デバイスが“あるべき状態”に基づいて自律的に整合を行うため、ポリシーの適用漏れや環境間の同期ミスといった運用上のばらつきも発生しにくくなります。常時サーバとの通信に依存することなく、ネットワーク環境に制約のある状況でも一定のセキュリティ状態を維持しやすくなるのもメリットです。

なお、DDMはMDMを完全に置き換えるものではなく、既存のMDMプロトコルを拡張する形で実装されています。そのため、既存のMDM運用を活かしながら段階的に機能を取り入れることが可能です。実際に、Jamf ProやMicrosoft Intune、IruなどDDMに対応したMDMを利用している場合は、環境を大きく変更することなくDDMの機能を有効化できます。

移行期にあるDDMと今後の展開

ただし、現時点ではDDMには一部の制約があります。対応OSが限定されているため、古いデバイスが混在する環境では従来型MDMとの併用が必要になります。また、すべての管理機能がDDMに移行しているわけではないため、当面はMDMとDDMを組み合わせた運用が前提となります。さらに、従来のコマンド型管理から状態定義型管理への転換により、運用設計や管理手法にも新たな理解が求められます。このような背景から、現在はDDMへの移行の過渡期にあり、当面は様子見でよいのではないかと捉える向きもあります。

一方で、実際にはすでに移行に向けた動きは具体的に進んでいます。Appleは2021年の世界開発者会議（WWDC）でDDMを発表して以降、機能拡張を継続しており、管理領域は着実に広がっています。さらに昨年のWWDC25では、従来のMDMベースの機能を段階的に廃止・縮小していく方向性が示されました。すでに構成プロファイルによるソフトウェアアップデート管理は2027年度中に廃止されることが明らかにされており、今後はDDMによる対応が前提となっていく流れが示されています。

現行のmacOS Tahoeのリリースノートで、Appleは構成プロファイルによるソフトウェアアップデート管理は非推奨・廃止予定で来年削除されることを明らかにしています。
【URL】https://support.apple.com/ja-jp/124963

こうした状況を踏まえると、DDMへの移行は多くの組織にとって現実的な検討テーマになっており、既存のMDM運用の中にDDMをどのように組み込んでいくかを早急に検討すべき段階と言えるでしょう。また、現時点でDDM非対応のMDMを利用している場合は、将来的な対応予定を確認するとともに、必要に応じて他のソリューションへの移行を視野に入れる判断も求められます。さらに、Appleからリリースされる今後のMDMの新機能はDDMを前提に提供されていく予定であるため、それらにすぐに追従できるかどうかがMDM製品選定の重要な評価軸となっていくでしょう。