【iPad管理入門】MDM/ABM/VPP/ADEでキッティング自動化まとめ

iPhoneとiPad
スポンサーリンク

最近自社の業務でiPadのキッティングMDM+ABM+VPP+ADE(旧DEP)自動化したため、個人的な備忘録も兼ねて記事にしておこうと思います。

当記事ではABMや個別のMDMの具体的な設定内容まで解説することはせず、環境の仕組みや、環境を作るために必要なツールやサービスなどの概要的な知識や事例を紹介していきます。

また、当記事ではiPadを前提に必要な知識を紹介していきますが、管理対象のデバイスがiPhoneの場合でもまったく同じ仕組みが利用できるため、iPhoneの管理でお困りの場合でもiPadと同様に参考にしていただけるかと思います。

良ければご一読くださいませ。
 

キッティング自動化を構築した経緯

私が情シスとして勤めている会社では、自社内で使っているiPadやiPhoneの管理は総務部が担当しています。

MDMは導入していましたが、端末のキッティング時には、総務の担当社員が1台1台真心を込めて手作業でアプリのインストールやOSの設定を行っており、非常に非効率な運用をしていました。

しかし、詳しく運用状況を確認すると、アプリの配信を目的にApple Business Manager(ABM)を導入して部分的に利用していたりと努力はみうけられ、とても「惜しい」状態にありました。

ちょうど古い端末のリプレイスも検討しだしたこともあり、だったら私が今の運用をまるっと見直そうと思い付き、今回の記事の話に繋がります。
 

最終的にやりたかった運用環境

この記事を書いている現時点ではすでに実現できているのですが、当初は以下の操作や管理ができることを目指しました。

ゼロタッチキッティング

当記事の冒頭で説明したように、元々iPadの管理担当部署は、各端末の初期設定を手作業で行っておりました。

手作業で端末を設定することは、その端末の設定値を理解することにもなり、必ずしも悪いことばかりではないですが、iPad数百台が常時稼働している環境でもあり、あまりに非効率です。

よって、端末の初回起動時にインターネットに接続したタイミングで、以下の処理が自動的に実行されるようにしようと思いました。

  • プロファイルのインストール
  • アプリのインストール

MDMは導入済みであり、そのMDM上で作成したプロファイルを端末にインストールすることで、iPadの基本的な設定は併せて反映されます。
そのプロファイルが自動的にインストールされれば、各端末共通の設定作業を1台1台実施する作業は不要になります。

また、自社の業務で使用するアプリもいちいちApp Storeからダウンロードしてインストールするのではなく、予め指定しておいたアプリが自動的にインストールされてほしいです。

そこまで自動化されれば、あとは「端末名」などの端末毎に設定が必要な項目を設定するだけになります。

アプリのサイレントインストール

iPadでは、システム管理者がアプリを遠隔でインストールする方法がいくつかあります。

いくつかある方法のうち、どれを使用できるかは、その環境にどんなMDMが導入されており、ABMの導入有無やADE(旧DEP)の導入有無にもよりますが、システム管理者として理想的な方法としては、以下だと思います。

  • 遠隔でアプリのインストールが行える。
  • 端末使用者にAppleIDやパスワードを知らせることなくインストールできる。
  • 端末使用者に操作を求めなくてよい。

システム管理者がアプリ配信を指示したら、対象の端末に通知などをすることもなく自動的にインストールされ、端末使用者はアプリがインストールされたことすら気付かないぐらいにしたいところです。

iOSまたはiPadOSのリモートバージョンアップ

iPadを企業内で使用している場合、OSのバージョンアップはユーザー任せになっていて、バージョンが端末ごとにバラバラなまま運用しているケースも多いかと思います。

使用するアプリによっては、OSのバージョンによる制約もあり、端末のバージョンアップ操作もシステム管理者側で一元的に管理したいです。

 

自動キッティングやアプリサイレントインストールで必要な環境

キッティング作業の自動化や、アプリ配信のサイレントインストールなどができるようにするためには、幾つかのサービスを利用できる状態にしておく必要があります。

当項では、用意するべきサービスやツールなどを紹介していきます。

 

MDM(Mobile Device Management)

先ず必要になるのは「MDM」です。

企業が自社内のパソコンの操作ログを収集したり、ハードウェア情報やソフトウェア情報を収集して一元的に管理する目的で「IT資産管理ツール」を導入している企業は多いのですが、「MDM」は、そのモバイル端末版のツールです。

ただし、昨今ではパソコン用やモバイル端末用といった括りはなくなってきており、MDMでモバイル端末とパソコンも一元的に管理できる製品も多くあります。

尚、多くのMDM製品は有償で提供されており、インストールする端末台数毎に課金される費用体系が一般的です。

一般的なMDM製品でやれることの例は以下です。

  • デバイス情報の取得
  • 端末の利用状況の取得
  • GPSの位置情報の取得
  • 設定プロファイルの作成
  • アプリの配信
  • リモートワイプ(初期化)

尚、上記のMDM製品の機能のうち、多くの製品で「デバイス情報の取得」に対応していますが、それ以外の機能はMDM製品によっては実装されていない場合もあります。
また、後述する「ABM連携」や、「ADEデバイスの管理」といった機能が利用できないMDM製品の場合、MDMを導入するメリット自体も半減してしまうため、MDM製品を新たに導入しようと考えている場合は、慎重に製品を選定してください。

企業内でiPadやiPhoneを利用するにあたり、その端末が数台であればMDMがなくても十分管理は可能ですが、数十台、数百台、数千台となってくると、MDMのようなツールを導入しておかないと、適切に管理することは難しいでしょう。

 

ABM(Apple Bussiness Manager)

ABM(Apple Business Manager)とは、Appleが法人向けに提供している無料のWebポータルです。

このツールを使うことで、企業や組織はAppleデバイス(iPhone、iPad、Macなど)を一元的に管理することができます。

但し、このABM単体が利用できてもあまり意味が無く、MDMと連携することでABMは真価を発揮します。

ABM単体でできることは以下になります。

  • 自社に出荷されたデバイス一覧の参照
  • Apple IDの管理
  • アプリやブックの購入や登録
  • 連携対象のMDMの登録や連携先割り当て
  • Appleお客様番号や販売店番号の登録

予めABMを利用可能な状態にしておくことで、調達したApple製デバイスはすべてこのABMに自動的に登録されます。

Appleから直接調達した場合は「Appleお客様番号」の登録が必要であり、Apple以外の販社やキャリアから調達した場合は「販売店番号」の登録を事前にしておくことが必要です。
尚、調達元の販社やキャリアによっては、ADEを利用できない場合もあります。大手の販社やキャリアでは大体は対応可能ですが、調達時には事前にADEの利用可否を必ず確認してください。

このABMに対して連携するMDMの情報が登録されており、MDM側でもABMと連携するために必要な情報が登録されていれば、自動的にそのMDMに対してもデバイス情報が登録されます。

iPadなどApple製品利用企業がデバイスをAppleや販社、キャリアなどに発注し、どのようにデバイス情報がABMを介してMDMへ反映されるのかを簡単に図したものが以下です。

尚、ABMを利用できるようにするには、ABM用のアカウントを作成する必要があります。
そのアカウントの作成では、「D-U-N-S番号」が必要です。

「D-U-N-S番号」とは
「D-U-N-S番号」とは、世界中の企業を一意に識別できる9桁の企業コードです。
詳しくは以下を参照ください。

DUNS – Wikipedia

また、アカウント作成で申請してきた人が実在するかなどの審査もあり、審査の結果によっては申請が却下され、申請内容の修正や再申請が必要になる場合もあります。

このように、ABMを利用できるようにするには手間が掛かりますが、iPadなどのApple製品をMDMを使用して管理しようとした場合に、ABMと連携できないと使えない機能も多々あるため、MDMの導入を併せてABMのアカウントも申し込んでおくことをおススメします。

 

VPP(Volume Purchase Program)

VPPとは、Appleが提供するプログラムであり、企業や組織がアプリを一括で購入し、ライセンスをABM上で管理できるサービスであり、Volume Purchase Programの略称です。
このVPPはMDMと連携することで、VPPで登録されているアプリを管理下のデバイスに一斉配信することが可能です。

尚、VPPでは、有償のライセンスだけではなく、無償でApp Storeに公開されているアプリのライセンス管理も行えます。
有償無償に関わらず、企業や組織が利用するアプリをすべてVPPに登録しておく運用になります。

VPPを利用することで、以下のメリットがあります。

VPPを利用するメリット
  • アプリのインストール時にApple IDのサインインが不要になる。
  • MDMのアプリ配信時にデバイス側では最小の操作でインストールが実行できる。
  • ADEの監視モードを有効化することでサイレントインストールが行える。

多くのMDMでは、管理下のデバイスに対して、アプリを一斉配信する機能を持っていますが、このVPPの有無、更に後述する監視モードの有無によって、アプリ配信時の挙動が異なります。
簡単にその違いのまとめた表が以下です。

MDMを使用したアプリ配信時の挙動
環境 Apple IDサインイン アプリ配信時の挙動
VPP無し 必要 配信指示後、デバイス側にアプリインストール確認の通知が表示され、Apple IDのパスワード入力が求められる。
VPP有り/
監視モード無し
不要 配信指示後、デバイス側にアプリインストール確認の通知が表示され、承諾後するとインストールが開始される。
VPP有り/
監視モード有り
不要 配信指示後、デバイス側に一切の通知は表示されず、自動的にインストールが開始される。

上記の「VPP無し」では、デバイス使用者側でApple IDのパスワードを入力しないと、配信したアプリをインストールさせることができません。
また、「VPP有り/監視モード無し」では、Apple IDのパスワード入力は不要になりますが、デバイス側でポップアップした通知でインストールを承諾しなかった場合はインストールされません。
よって、確実に配信したアプリがインストールされるのは「VPP有り/監視モード有り」環境で配信した場合のみです。

VPPを利用するには、当項の冒頭で記載したように、ABMが利用できる必要があります。
ABMのアカウントを作成し、ABMにログインできる状態になっていれば、後は以下の流れでVPPが利用可能になります。

VPP利用開始におけるABM及びMDMの登録の流れ
  1. ABM内の「アプリとブック」からデバイスに配布したいアプリのライセンスを購入
  2. ABM内の「コンテンツトークン」を生成し、MDM側にアップロードして登録

後は、VPPでライセンス管理をするアプリがMDM側でも読み込めるようになるため、MDM側で個別に配信対象として扱われるように設定することになります。

これらのように、デバイスで使用するアプリをMDMで管理したり、MDM管理下のデバイスにアプリを一斉配信をする場合は「VPP」が利用できる状態にしておくことで、デバイスとアプリの管理におけるシステム管理者の労力を大きく軽減することが可能です。

 

ADE(Automated Device Enrollment)

ADE(旧DEP)とは、Appleが提供する企業向けのiOS端末導入支援サービスです。Automated Device Enrollmentの略称です。
また、以前はDEP(Device Enrollment Program)という名称でした。

ADEを利用することで、キッティングに伴う労力の大幅な軽減が可能であり、デバイス管理の運用も非常に楽になります。

ADEの大きな特徴として、iPadやiPhoneに対して「監視モード」機能を有効にすることが可能です。

「監視モード」を有効にすることで、以下の設定や制限が可能になります。

監視モードの機能
  • 構成プロファイル・アプリのサイレントインストール: デバイス側で許可や通知をすることなく、プロファイルやアプリを配信して強制的にインストールさせることができます。
  • プロファイルで制限可能な項目の増加: 構成プロファイルで制限できる機能や設定が増え、強固に管理ができるようになります。
  • OSのリモートアップデート: MDMを介して、OSのアップデートを配信することができます。
  • 紛失モードの利用: デバイスを紛失した際に、リモートで端末をロックし位置情報を強制的に通知する機能が利用できます。

当記事の冒頭で記載した「自動キッティング」では、この監視モードを有効にすることにより、予めMDMに登録した構成プロファイルやアプリが強制的にインストールされる機能を利用しています。

因みに、ADE対応デバイスとして納品され、そのデバイスの初回起動時であれば、自動的にADEデバイスとして監視モードも有効になりますが、監視モードではない状態で稼働しているデバイスに対して、後からADE対象に追加して監視モードを有効にさせるためには、対象のiPadの初期化が必要です。

後から監視モードにするのはデバイスの初期化が伴い、若干手間が掛かる為、なるべく最初から監視モードを利用有無を確定してからiPadの導入を検討することをおススメします。

尚、デバイス購入後の初回起動時や、初期化後の初回起動時、ソフトウェアアップデート後の初回起動時には、通常の手順だと初期設定画面(アクティベーション)が表示され、パスコードの設定など幾つかの設定をするように求めれますが、ADEではアクティベーション時にスキップさせる設定項目を指定することができます。

アクティベーション時にデバイス使用者側の操作の大半を無くせることも、ADEのメリットの一つです。

参考情報として、ADE(旧DEP)利用時のABM及びMDMの登録の流れを簡単に紹介します。
 

ADE(旧DEP)利用開始時におけるABM及びMDMの登録の流れ

Appleから見ればサードパーティである各MDM製品に対して、ABMに集約したデバイス情報を連携するにあたり、ABMとMDMの双方に対して証明書などを使用した厳格な認証設定が必要になります。

ADE(旧DEP)を利用するには、前述したVPPと同様にABMが利用できる必要があり、ABMにログインできる状態になっていれば、後は以下の流れでADEが利用可能になります。

  1. AMDM内で「パブリックキー証明書ファイル」を生成し、ABM側にアップロードして登録
  2. ABM内で連携先MDMサーバー用の「サーバートークン」を生成し、MDM側にアップロードして登録

登録の具体的な流れは、Appleのドキュメントや、各MDMサービス提供事業者が公開しているマニュアルをご確認ください。
参考として、Appleが公開しているABMのユーザーガイドのリンクを紹介しておきます。

【補足】監視モードのOSアップデート配信

ADE(旧DEP)の機能の一つ(要監視モード)として、OSのアップデート配信が可能ですが、こちらはアプリの配信のように、サイレントインストールができる機能ではありません。
MDMからアップデートの指示をすると、対象のデバイス側で「ソフトウェアアップデート」のダウンロードが済んだ状態になり、「設定」アイコンに通知バッジが表示されます。
そのまま「設定」を開くと「ソフトウェアアップデート」の画面が表示され、すぐにインストールが可能な状態にはなりますが、インストール処理はあくまでデバイス側で利用者が操作する必要があります。

 

当記事のまとめ

iPadでキッティングを自動化するには以下のツールやサービスが必要。

  • MDM:デバイス管理用プラットフォームとして必要
  • ABM:VPPやADEでMDMと連携するために必要
  • VPP:アプリ配信(リモートインストール)で必要
  • ADE:監視モード有効化によるアプリサイレントインストールやプロファイル自動インストールで必要

MDM(Mobile Device Management)は、iPadやiPhoneなどApple製品、Android搭載のスマートフォンやタブレットなどの様々なモバイル端末を管理するためのツールであり、多くのMDMベンダーが有償でMDM製品を提供している。
多くのモバイル端末を管理する企業や組織では、MDMを導入していないと適切にデバイスを管理することは難しい。

ABM(Apple Business Manager)は企業や組織であれば無料で利用できるが、Appleへの申請が必要であり、申請時にはDUNS番号が必要になる。
ABMを利用可能な状態にして、MDMと連携する設定をABMとMDMの双方で行うことで、ADE対応デバイスとしてApple、キャリアや販社から調達したiPadなどのデバイスは自動的にABMのデバイス一覧に反映され、さらにMDMのデバイスにも自動的に反映される。

VPP(Volume Purchase Program)を利用するにはABMが必要であり、VPPでアプリを購入(App Storeに無料で公開されているアプリであれば0円で購入)してライセンスを登録しておくことで、MDMを介してアプリのリモートインストールが可能になる。

ADE(Automated Device Enrollment)を利用するには、ABMが必要であり、且つAppleから購入した場合は「Appleお客様番号」、Apple以外の販社やキャリアから購入したりレンタルした場合は「販売店番号」をABMに登録しておく必要がある。
また、販社やキャリアがADE対応デバイスの調達に対応している必要がある。
ADEの「監視モード」を有効にすることで、MDMを介して以下の機能が利用できるようになる。

  • アプリのサイレントインストール
  • プロファイルの自動インストール
  • 監視モード専用の機能制限をプロファイルに反映
  • リモートでのソフトウェアアップデート指示

 

最後に

今回の記事では、NDNとABM、VPPとAEDを利用して、iPadのキッティングを自動化するために必要な知識を紹介しました。

元々MDM自体が多機能であり、MDMだけでできることもたくさんあるのですが、ある程度の台数のデバイスを管理しようとした場合に、肝心な部分がMDMだけではできなかったりします。

更にABMがあると何ができるようになり、VPPやADEも使えるようにすることで、何ができるようになるのかを正確に理解するのはなかなか大変だと思いますが、今回の記事が少しでも参考になれば幸いです。

今回も長々と読んでいただきましてありがとうございました。
それでは皆さんごきげんよう!