iOS
mdm
AppleConfigurator2

iOS(iPhone/iPad) 監視モードとDEPとVPPとABMについての個人的メモ

はじめに

この内容は、iOSの監視モードおよび、Device Enrollment Program(以下、DEP)とVolume Purchase Program(以下、「VPP」という)についてまとめたものです。
Apple School Managerについては殆ど触れていません。
Mobile Device Management(以下、「MDM」という)については、具体的な製品名にはあまり触れず、機能概要のみの記載に留めます。

迷える人々のさらなる混乱の一助になれば・・・

略語について

DEP = Device Enrollment Program (≠ Deployment Program)
VPP = Volume Purchase Program
MDM = Mobile Device Management
EMM = Enterprise Mobility(またはMobile) Management(≒ MDM + MAM + MEM + MCM ≧ MDM)(流行り廃りのものなので定義は曖昧そう)
ABM = Apple Business Manager
ASM = Apple School Manager
Deployment Program ≒ DEP + VPP
ABM > Deployment Program

ADEP = Apple Developer Enterprise Program(全く別物。ここでは触れない。)

監視モードとは

iOSデバイス(iPhoneやiPad)やtvOSデバイス(Apple TV)(以下、これらを「端末」という)を、会社が従業員に貸与したり、施設が利用者に貸し出すなど非個人端末および共用端末に対して、強いポリシーを適用できるモードである。
端的に「端末に対して強いポリシーを適用できるモード」と考えるとよい。

呼称について

MDMベンダ等により「監視対象デバイス」「デバイス管理モード」「Supervisorモード」など、いくつかの呼称がある。
なお、Appleは「監視対象」と表現している。

【余談】
「監視」と言っても、「~によって監視および管理されています」とか出るけれども、これだけでiOSデバイスの状態を逐一遠隔監視したりできるようになるわけではなく、いわゆる「遠隔監視」を目的としたモードではない。
MDMを導入すれば監視モードでなくてもインストールされているアプリの一覧を取ったり位置情報を取ったりすることはできなくない。
用語的には「管理モード」が一番しっくり来るのではないかと思いつつも、言い慣れた「監視モード」で以下記載する。

監視モードでできるようになる主な事項。

MDMからのAppインストールのサイレント化

アプリをインストールする際に、iOSの画面上に何も出さず、即インストールを開始させることができる。
但し、Apple IDを利用してApp Storeからアプリをインストールしている場合は、利用規約の変更時や初回インストール時(そのApple IDに購入済みフラグが立っていない場合)はApple IDのパスワード入力を要求されるため、完全なサイレント化の実現はできない。
※非監視モードの場合はパスワードの前に、インストールするかどうかのダイアログが表示され、利用者が拒否することができる。
※パスワードの要求をOFFにしていても、上記のタイミングで表示される。

完全にサイレントでアプリのインストールを完了させたい場合は、監視モードを利用することのほか、VPPデバイス割り当てが必須となる。

インストール要求ダイアログ Apple IDパスワードダイアログ
監視モードである 表示されない 影響しない
VPPデバイス割当を利用している 影響しない 表示されない
監視モードかつVPPデバイス割当である 表示されない 表示されない

VPPデバイス割当について

App Storeのアプリライセンスは、Apple IDに対して割り当てられる。
そのため、個人が利用する場合においては、アプリをインストールするためにApple IDを取得し、端末のiTunes Storeにサインインする必要がある。
VPPデバイス割当とは、ライセンスをApple IDではなく、端末に対して割り当てることであり、結果としてApple IDの取得とサインインなどの管理が不要となる。

メリット・デメリットについては後述

なお、VPPユーザ割当については、以下の理由により個人的に運用が面倒だと考えるため、推奨しない。

  • Apple IDの取得・管理が必要となる。
  • 「VPPへの招待」の手順が必要となり、iOS上で完結させる場合はApp Storeの禁止ができない

MDMによる「監視App昇格」のサイレント化

監視Appとは、MDMにより管理されているAppを指す。
MDMからインストール指示したアプリ → 監視App
App Storeから手動でインストールしたアプリ → 非監視App

(なお、これも英語表記が「Managed App」なので、監視より管理の方が適切なのかもしれない。)

MDMからアップデート/アンインストールを行う場合、監視Appでなければならない。
非監視Appを監視Appとする操作を行えるMDMがあるが、監視モードではない場合は昇格確認ダイアログが表示されてしまい、利用者により拒否することができてしまう。

主な使い方は、意図しないアプリを従業員が勝手にApp Storeから入れたものを遠隔で消去する場合に利用できると考えられる。
非監視モードだと、利用者がダイアログでキャンセルを押してしまうと遠隔消去も出来ずに呼び出して対応する羽目になるのだろうか。

なお、そこまでアプリの利用を制限したいのであればこの機能を使うよりも後述する「App Store からの App のインストールを許可」禁止設定を適用しておき、インストールするアプリをあらかじめすべてMDMからの配信で管理しておく方が楽と思う。
このポリシーを適用すると、App Storeが非表示になり、iOS上でストアからアプリを入れることが出来なくなるが、MDMを利用したインストールは可能となる。

なお、非監視モードで適用できる「Appのインストールを許可」と、設定内にある機能制限のAppインストールでふさいだ場合、MDMからのインストールも阻止される可能性がある。
※「Appインストールを許可」のほうは、リファレンスでも表記が怪しくなっているので使わないほうが無難かもしれない。

さらに、監視モードであれば後述の「アプリケーションホワイトリスト/ブラックリスト」も使えるので、変なアプリを利用されたくない場合は監視モードは必須であると考える。
将来にわたっての追加や削除、更新すら行わないのであれば機能制限でもよいが、iOSアップデートによるAppのバージョンアップはどうしても必要となるシーンが多いので推奨しない。

ついでに「Managed App Configuration」という機能がある。
これは監視Appに対してMDMから設定を配信する機能であり、以下のような設定を配信できる。

  • 某コミュニケートアプリ(企業向けにVoIPとかチャットを提供するアレ)のサーバ設定を配信
  • 某ドキュメント管理アプリ(文書や表計算やプレゼンテーションを作成閲覧するアレ)のアカウントや機能制限

対応するにはアプリ側が遠隔での設定を受け取ることができるように作られている必要がある。
設定はXMLでレジストリのように、キーと値を設定したものを配信する。

管理対象紛失モードが使える

監視モードの場合、対応しているMDMを利用することで管理対象紛失モード(ロストデバイスモードというMDMベンダーもある様子)が使える。
概要については「モバイルデバイス管理 (MDM) と「iPhone を探す」のアクティベーションロックを使う」内の「紛失モードと管理対象紛失モード」を参照

特徴(遠隔ロックとの違い)としては

  • iOSデバイス側では解除できないロックを仕掛ける(パスコード入力不可)
    • 解除するにはMDMから解除指示を出さなければならない
    • 指定した電話番号と緊急発信(警察、消防、海保)は可能
  • このロックがかかっている場合、MDMから「iPhoneを探す」と同等の位置情報取得が行える
    • 「位置情報サービス」がOFFにされていても、遠隔でONにして位置情報を取る(「iPhoneを探す」と同等)
    • プッシュかつiOSの機能を用いるので、MDMのクライアントが入っていなくても通信が出来れば割とすぐに位置が取れる
  • Apple PayやSiriも止まる

多くの場合、紛失した時には先ず遠隔消去をする運用も多いと思われるが、遠隔消去をした場合は、それ以降の位置情報取得もできなくなり、「実は手元にありました」や「見つけました」という場合であっても、回収して再設定を行う必要が出てくる。
管理対象紛失モードを利用する場合は、デバイスが通信できる状態であれば位置情報を取れる確率は上がるし、パスコード入力もロックされる。(逆に言えばパスコード指定回数ミス時の消去も働かない)
よって、資産としての端末を取り戻せる可能性の向上と、発見時の再設定の手間を減らすことができるようになる。

端末内部に保持するデータの重要度と、紛失・発見時のコストを天秤にかけて運用を考えると良い。

位置情報の取得について

殆どのMDMが管理対象紛失モード設定時と、以降に手動で取得指示を行ったときにしか位置情報が取れず、今のところ自動的、定期的に位置情報を取得し続けるものは無い。(もしかしたら、そんな機能を実装したMDMがあるのかもしれないが)
なので、紛失後、ロックをかけてから定期的に位置情報を取り続け、経路を取るとか、こっそりと外回り営業の行動経路を盗ることはできない。
このモードで位置情報を取ると、紛失モード解除後にロック画面や通知に「位置情報取ったどー!」と残る。
あくまで、紛失時にその時の位置を取るものである。でも、外回り中にサボっている人は安心しないで欲しい。

強いポリシーの適用

構成プロファイルやMDMで配信できる設定の一部は、監視モードにしておかなければ反映されない。
監視モードにすることで、それぞれのiPhoneやiPadの機能制限を設定しなくても一括で設定できる。
以下で監視モード、かつMDMか構成プロファイルのみで設定可能(iOS上では設定できない)と思われる、かつ何か利用価値がありそうな項目の一部を挙げてみる。(正しいかどうかはMDMのマニュアルやリファレンスを参照)

App Store からの App のインストールを許可

前述の奴。これを禁止することで、App Storeのアイコンが無くなり、端末上でAppを自由に入れることができなくなる。
但し、iOS上のApp Store以外でのインストールは可能。
なので、MDMでアプリ配信を設定しておけば、管理者が許可したアプリのみインストールが可能で、それ以外は勝手にApp Storeからは入れられないようになる。
完全に防ぐ場合は、PCペアリングも禁止(iTunes経由でのインストールを防止)として、
不正アプリを心配する場合は「新しいエンタープライズ App 作成者の信頼を許可」とかを併用しなければならない。

なお、標準アプリのインストール(というか再表示に近いアレ)はMDMでは制御できない。
App Storeのアイコンがない状態で標準アプリを消してしまうと復元できなくなるため、iOS11で追加されている「システムアプリの削除を許可」を禁止として対応する。
(11.3より対応MDMから標準アプリの遠隔インストールに対応した模様)

“すべてのコンテンツと設定を消去”を許可

設定の中から初期化ができなくなる。
でも、パスコード一定回数ミスでの消去や、iTunesとかにつないでの復元は阻止できないので過信は禁物。
あくまで“すべてのコンテンツと設定を消去”だけ。
それすらも何とかしたければDEPを使うしかないかもしれない。

構成プロファイルのインストールを許可

「アカウント設定の変更を許可」を禁止としても、プロファイルでやられるリスクはある(そこまでして、貸与されたものに個人アカウントを設定するマニアックな人は居ないと思いたい)
あと考えられるのは、Wi-Fi設定、VPN設定(最近はOpera VPNとかApp StoreのアプリでVPNプロファイルを投入させるものがある。中には怪しいものもありそう)、iOS Beta Profile、怪しいルート証明書、YJSNPI

この制限を行っていても、MDMから配信するものには影響しないので、プロファイルを手動でインストールする必要がないなら仕掛けるほうが安全かもしれない。
でも、キャリアメールやキャリアWi-Fiがプロファイルって言うジレンマ。

Wi-Fi利用制限を行う場合は必須かも知れない。

デバイス名の変更を許可、パスコードの変更を許可、Touch ID 指紋の変更を許可、制限の変更を許可

他のシステムでiOSデバイス名(iPhone/iPadの名前)を利用していて、変えられると都合が悪い場合や、共用デバイスで勝手にパスコード設定されると困るのであればこれらを制限するといいかもしれない。

グローバルHTTPプロキシ設定、常時接続VPN

iOSデバイスの通信内容を制御したい、保護したいときに利用できるかも知れない。
前者プロキシサーバまたはPacファイル、後者はIKEv2に対応したVPNゲートウェイにアクセスできない場合は
通信自体がブロックされる。

また、モバイル網/Wi-Fi接続問わず利用されるので
がっつりアクセスログを盗りたい場合や、フリーWi-Fiスポットすらも足回りとして安全に使いたい場合は使えるかも知れない。
でも、前者はHTTPSプロキシに対応していないっぽいのと、ネット上にプロキシを設置するリスクがありそうだし、
後者は個人的に適当に立てるならともかく、実務利用に耐えられる環境(IKEv2でかつiOSでの常時接続に耐えられるもの)を準備するのはハードルが高い気がする。

それなら、閉域モバイル網を利用したほうが早いかも知れない。
閉域モバイル網でプロキシを通す場合は、このグローバルHTTPプロキシの設定で。

なお、これらを利用した場合、MDMや一部APNSの通信もそちら経由となることと、紛失モードを仕掛けると、VPN接続が途絶すること、グローバルHTTPプロキシを指定しても、それを通らず、直接接続しようとする通信(APNSを含む80、443以外の通信か?)もあるので注意されたい。

必ず事前検証を行い、通信内容やケースごとの挙動を見たうえで導入可否を判別するよう注意が必要なブツ。
なお、テザリング時にグローバルHTTPプロキシ設定でテザリング下のPCにmitmproxy入れて指定すればモバイル通信も覗けるので稀に使い道があったりします。
プロファイルにプロキシ設定と証明書の両方をConfiguratorで突っ込んでおけば信頼設定も省略できたり。

App の使用を制限(Appホワイトリスト/ブラックリスト)

ホワイトリストで指定したアプリのみを表示する、またはブラックリストで指定したアプリを非表示にする。
あくまで非表示なので、インストールはされてしまい、かつ削除できなくなるので要注意。
なお、標準でiOSに入っていて、アイコン長押しでも消えないものにも有効。
というか、「電話」「設定」以外は消える。
Webクリップにも影響するので、Webクリップを指定する場合は「com.apple.webapp」をアプリ識別子として設定。

Wi-Fiの接続制限

Wi-Fi手動接続の制限
手動接続できない&手動設定を無視する。
接続先はMDMか構成プロファイルで指定する。
手動プロファイルインストール制限とセットにしておくと利用者が好き勝手にWi-Fiアクセスできなくなるので、社内Wi-Fiのみに限定したりWi-Fi利用自体を止めたい時にでも。

キャリアプロファイルに含まれるWi-Fi設定には注意

その他諸々

  • Configuration Profile Referenceのなかで、「Supervised only.」と書かれている項目
    • 日本語版もあるが、内容が少し古い傾向があるので英語版のほうが確実
    • でも英語版ですら更新が微妙に遅い → ここ数か月やたらと早い。むしろリリース前iOSまで出ている。
  • Apple Configurator 2 ヘルプ:ペイロード設定のリファレンスモバイルデバイス管理設定 - 制限のリファレンス - iOS の制限
    • すべてが載っているわけではないが、リファレンス日本語版よりかは見やすい
  • AirPrint禁止と探査と認証
  • VPN設定の作成禁止
  • AirPrint(てかIPP?)ポートの指定
  • IKEv2でEAP-TLS利用時のTLSバージョン指定
  • 標準アプリのみの削除禁止
  • ホーム画面アイコン配置強制化の中でのWebクリップ配置(復活?)
  • ソフトウェア更新の遅延を強制(enforcedSoftwareUpdateDelay)
    • 最大90日間、iOSアップデートの非表示化
    • 手動でのアップデートを抑止、MDM指示やPC接続でのアップデートは可能
  • クラスルーム関連(forceClassroomRequestPermissionToLeaveClasses)
  • USB制限モード
    • USB制限モードを無効化する。
    • 設定すると逆にセキュリティが下がる、プロファイルの中では珍しい設定。
    • Apple Configurator 2の2.7.1以降で監視モードにすると、勝手に「Disable USB Restriction」としてプロファイルが入って無効化される。はた迷惑。

今後追加されそうなもの

  • CarPlay時の通知禁止
  • 日付と時刻の自動設定を強制化(手動変更禁止)
  • パスワード利用時の認証系?
  • アプリが連絡先にアクセスする際の許可系

アクティベーションロックの制御

後述するが、監視モードの場合は「iPhone(iPad)を探す」をONにしただけでは、アクティベーションロックがかからない。
アクティベーションロックを有効化するには、対応するMDMから操作しなければならない。

逆に、MDMが対応していればアクティベーションロックの解除指示や、バイパスコードの取得が行えるので、退職者などから返却されたときに、ロックがかかったままで再利用できず、死蔵されるリスクの回避となる。

※アクティベーションロックは、端末自体ではなくDEPやSIMロックと同様にAppleのアクティベーションサーバが管理している事項であるため、デバイスを初期化した後でもMDMからアクティベーションロック解除が可能な様子

※バイパスコードとは、アクティベーションロックで、Apple IDとパスワードの入力が求められている画面で、IDを空欄、パスワードにこのバイパスコードを入れるとアクティベーションロックが解除される仕組み。

※しかしアクティベーションロックにはApple IDが必要だったりするジレンマ

とりあえず監視モードの時に注意すること。

macOSが必要

DEPを利用せずに監視モードを運用する場合、端末を監視モードにするためだけにmacOSが必要となる。
ただ、MDMでのポリシー作成能力の問題もあったりするので、一台買っておけば便利。安いのでいいし。

監視モードにしたmacでなければ後々の管理ができないというのが過去にはあったが、監視モードにするだけであれば特にmacの実機にこだわる必要はなく、別にどのmacで監視モードにしても構わない。
例えば支店ごとに別のmacを使うとか、レンタルしてくるとかでもなんとかなる。たぶん。
また、企業設定(監視モードに利用される電子証明書類)のインポートエクスポートができるようになっているので、最低限それだけバックアップを取っていればたぶん安心。

アクティベーションロックの仕様と、デバイス不正利用への対策

前述したが、デフォルトではiCloudにサインインして、「iPhoneを探す」「iPadを探す」をONにしてもアクティベーションロックが有効にならない。
また、VPPを使うなどで、Apple IDを使わない選択肢をとるのであればそもそもかけられない。
落として誰かが拾って、復元をかけてしまうと使えてしまう。あとパスコード指定回数ミスによる初期化とか。

なので、デバイスの不正利用や転売を気にするのであれば、対応したMDMからアクティベーションロックを有効化するか、DEPによる認証で代用するか。

※DEP認証 → アクティベーション時に、MDM側で設定されているID/パスワードで認証を行わないとアクティベーションできなくなる機能
※MDMによってどんなID/パスワードを設定できるかは異なる。
※ものによっては別の認証サーバ(Active Directoryとか)と連携して個別に設定できるものもあれば、全台共通のものしか設定できなかったり。

監視モードの操作をするときは原則として初期化が必要

厳密には設定アシスタントが立ち上がっている状態でなければConfiguratorで監視モードとすることが出来ない。
監視モードを解除する場合は初期化しなければならない。

バックアップからの復元を行う場合、復元元と復元先それぞれの監視モード状態を問わず、監視モードが外れるっぽい。それ以外にも復元(iCloud、iTunes)やAndroid移行とは相性がよくないっぽい
DEPは復元後にMDM加入と監視モード化が走るので普通に使える。

組織識別情報が表示される

監視モードにすると、監視されている旨のメッセージが表示される。

  • iOS10.1以降は「設定」のトップレベル(機内モードの上の余白部)
  • iOS10.1未満は、ロック画面と「設定」→「一般」(名前の下の余白部)

この表示の中に、組織識別情報に設定した組織名が表示される。
ちょっと古いiOSだとロック画面に思いっきり組織名が表示されるので、まじめに会社名をつけていると拾った人が「お、これ●●●●社のやつか、金になるかも。。。(■ω■)ニヤリ」となるかも知れない。
なお、DEPを利用した場合はまじめに会社名に(強制的に)されてしまうので、諦めるしかないかも知れない。

一応、長さとしては日本一長い会社名でも入る模様。設定アプリが初っ端、埋まる程度には入る。でもDEPでも許容されるかはわからない。

監視モードにする方法

監視モードにする方法は大きく二つ、Apple Configurator 2を利用する方法と、DEPを利用する方法がある。
なお、Apple Configurator 2はMac用の無料アプリで、Mac App Storeからインストールできる。
割と密接にmacOSとくっついているっぽく、バージョンアップに伴いmacOSの更新も求められる。
また、iTunesも新しいものが入っていないと新しいiOSを認識できなかったりする。

  • Apple Configurator 2を利用する
    • 処理したいデバイスを接続・選択して、「準備」の中で「デバイスを監視」にチェックを入れる
  • cfgutil(Apple Configurator 2のおまけ)
    • prepare コマンドを実行する際に「--supervised」オプションを付与する
    • この際に利用する組織識別用の証明書、秘密鍵はDER形式でなければならない(ヘルプに書いてあるのに嵌った)
    • シェルスクリプト化しておけば、繋いで実行→差し替えて実行で大量処理できて便利。ブループリントより少しだけ細かい設定ができる。
  • Automator(Apple Configurator 2のおまけ)
    • 「デバイスを準備」アクション内の「デバイスを監視」にチェックを入れる
  • Device Enrollment Program(DEP)またはApple School Manager
    • 個人で利用はできない。
    • 前者は企業向けでDUNSナンバーが必要、後者は教育機関向け。
    • これらとMDMを組み合わせることで、Macに接続せずiOSアクティベーション時に自動的に監視モードとすることができる
    • 組織識別情報は、前者の場合DUNS情報が利用される

利用すべきか、せざるべきか。

仕事で導入する端末で、MDMを利用するのであれば利用するほうがいいかもしれない。
あとからポリシーを強めようとしても、監視モードでなければできないこともあり、かつ監視モードにするためには初期化を伴う。
そのため、最初に監視モードにしておくことで、あとからでも対応できるようになる。
監視モード+MDM+DEP+VPPの全盛りだと後からだいたいの無茶には応じられるかもしれない。

かなりゆる~いポリシー(パスワード必須化と自動ロック強制程度とか)や、ガッチガチにポリシーを極める場合は監視モード+DEPの恩恵が大きいと思います。MDMのDEP対応で追加費用が掛からないものであれば、とりあえず検証程度でも入れてしまっていいのではないでしょうか。入れて使わないって選択肢は取れますが、あとから入れるハードルは高いので。
掛かるコストは管理者の時間と精神ぐらいでお安いですし。

個人で利用するシーン

さほど思いつかない
macを持っていて、iOSデバイスを複数持っていて、割とマニアックな事が好きならお遊び程度にやればいいかも。

  • 外でよく使うiPad、フリーWi-Fiスポットとか怖いし常時接続VPNに
  • 子供用iPhone、通信ログ全部抜いてやるプロキシ
  • 家族共用iPad、気づけば勝手にパスコードが設定されていて困る or 「iTunesに接続してください」にされる
    • パスコードリセットで解除できる(再起動さえされていなければ)
    • または、パスコード未設定+パスコード変更禁止で保護

ぐらいしか思いつかない。
やっぱり基本的には法人関係か、一部のマニアックな利用者向けなのかもしれない。

個人で申し込めるMDM、どこか国内メーカーさん出してください。
プロファイルマネージャは実用に厳しいかもしれない)
国内じゃなければCisco Merakiは無料でどこまで使えるのか。→一か月だけのトライアルでした。

DEP(Device Enrollment Program)について少しだけ

概要

DEPとは、Appleが提供するサービスで、無料のサービスである。
Apple: Device Enrollment Program に関してよくお問い合わせいただくご質問 (FAQ)

※Apple Deployment Programはもう申し込みができず、Apple Business Managerに飛ばされる模様

これに申し込んでから、iPhone、iPadを買うときに「DEP付けとくれ~」と言えば対応してくれる。買った後では(後付けは)原則不可
Device Enrollment Program (Apple提供) 登録サービス by KDDI
SoftBank Device Enrollment Program
docomoは公式ページがないがやっている様子
Appleで買う場合でもOK。法人窓口でなければ通じない。というか法人番号の発行が必要
macとiOSデバイスが対象と言っているので、iPod Touchもいけるのかも知れない。

(2018/07/18追記)
気づかぬうちに他の方法ができていた。
デバイスが手元にあればDEPに押し込むことができる。中古で買ったりしたものでも行ける。
但し、きちんとした手順を把握しているMDMベンダーが居なさそう。
手動でDEPに追加したあと、手動でシリアルの割り当てを行わないと詰みそう。

結局どんなサービスなのか

単純に言えば、デバイスとMDMをAppleが強制的に結び付けてくれるサービスである。
まずは以下の機能のみがあると考えると良い。

  • MDMへの自動登録
    • アクティベーション時に、あらかじめ設定したMDMに登録させる
    • いちいち端末ごとにWebサイトにアクセスしてMDMプロファイルを入れて・・・とやらなくてもよくなる
    • DEPを有効化した場合、iOSの初期設定時に以下の画面が表示される。 これで「構成を適用」を選択するとMDMへの加入処理が行われる。 (なお、これは実際はDEPではなく、Apple Configurator 2の「準備」を使ったMDMへの加入であり、「なんちゃってDEP」的なものである)

そして、MDMが対応している場合はDEPを使うことにより以下を実現できる。

  • 監視モードの遠隔有効化
    • いちいちApple Configuratorにつながなくてもよくなり、初期化後アクティベーションを行うタイミングで監視モードに切り替わる。
  • 登録時にユーザー認証(Apple IDではない)を設ける。
    • アクティベーションロックの代わりになる。
    • AD連携とかして、利用者の普段のアカウントでアクティベーションすれば自身のメール設定を自動化させたりなんてこともできなくない。
  • MDMへの強制加入
    • 強制としない場合は、アクティベーション時にMDM登録をスキップさせるボタンが出る(上図の「構成をスキップ」)
    • 強制されていればスキップができず、ホーム画面が出た時点でMDM加入完了状態とでき、設定により即ポリシー適用なので、初期化後の再設定省略や紛失後に不正に初期化されても割と追跡ができる。
  • MDMプロファイルの削除禁止
    • DEPを使わずにMDMに加入させた場合、設定の奥にあるプロファイル一覧を覗くと「削除」のボタンが赤々と出ている。これを押すとMDMの制御が外れる
    • DEPの場合、オプションでコレを非表示とさせることができるので、使っている人の操作でMDMから逃げ出すことができなくなる。強制加入やペアリング禁止と組み合わせることでMDMから逃げられない。
  • 初期設定のスキップ
    • 最初に出るパスコードの設定とかApple IDの設定とか、いらないならスキップさせてくれる
    • 何がスキップできるかはAppleが定めているが、MDMがそれに対応しているかによって変わる。
    • 一部、スキップさせなければ相性が悪い項目もある。(復元関係。復元されると監視モードが飛ぶ)

あくまでDEPの機能としてはアクティベーション時のMDM自動加入のみ。
DEP管理画面では、iPhoneとかのシリアル番号ごとに、どのMDMへ加入させるのかの設定しかない。
その他の機能はMDM側で設定する。DEPプロファイルとかDEPポリシーのような名称で存在する。

上にあるとおり「デバイスとMDMを結び付けてくれる」ので、DEPに対応したMDMが必須。
DEPを申し込みつつMDMと結び付けない(≒普通のデバイス)とすることもできるが、後からDEPを活用する場合はやっぱり初期化が必要(処理はアクティベーション時にされるので、初期化して再アクティベーションしないとダメ)

DEPを活用するためには、MDMの選定が重要となる。
選定基準としては最低限、以下の2点を確認する必要があると思う。
- DEP利用時の設定がどこまで対応しているか
- 初期化後、DEPを使った再登録と再設定が運用に耐え得るか

夢を見すぎた利活用

DEPの機能とその他の機能に対応したMDM(DEPに対応するだけでなく、他もろもろの条件や機能対応)を組み合わせることで、まっさらなデバイスを電源入れてちょっと
・地域/言語の設定(一時期、スキップさせると強制的に国外ロケーションとなる仕様があり、改善されているか不明。というかDEPでは飛ばせない。)
・アクティベーション
をすると、
・DEPによる自動設定の通知
が出てきて
・DEP認証(個人別のアカウント情報を入力)
で、普段会社のPCとかで使ってるアカウント認証と連携させておいて、それを入力し、
・(他もろもろ勝手にスキップされて)
・「さあはじめよう」からホーム画面表示
の操作をするだけで即、ポリシー適用。で、あとは勝手にアプリがインストールされてくるわ、機能制限されてパスコード設定させられるわ、自分のメールやWi-Fi、VPNの設定が降ってくるわで、(業務用の端末としては)幸せな状況が実現できるかも知れない。

ただし、ここまで自動化させる場合は
・認証基盤との連携(場合により中継用にサーバ構築やポート開放が必要)
・認証系システムとの連携(メール連携で二段階認証やSSO系のソリューションが入っていると辛い)
・事前の検証、以降の管理運用
と負担はそれなりに大きい。

DEPのまとめと注意事項

一番大きいのが「MDMへの自動登録(強制的登録も可能)」なので、上にもちょくちょくと書いてある「パスコード一定回数ミス時の消去」「復元による初期化」を行っても、ちょいちょいと初期設定すればMDMに登録される。いちいち回収して再設定とかしなくても済むかもしれない。
また、落として拾った悪い人が何かしても、MDMに戻ってきた時に管理対象紛失モードを仕掛ければ位置情報が判り、取り戻せる可能性も出てくる。

なお、DEPは法人向け、教育機関向けにはApple School Managerってのがあり、こちらはDEPの機能に追加で
・Apple IDの一括取得と管理が行えるManaged Apple ID
・生徒がiPadで何をしているか教員が画面を覗ける機能
・教員の画面を生徒に見せ付ける機能
・iPadをマルチユーザで利用する機能(Managed Apple IDにより、自分の環境を再現)
があるらしい。Classroomのフル活用に必要かもしれないが2.0からは必須ではなくなったとかなんとか。

注意事項としては、万能なサービスではないので、今まで誰かがやっていた初期設定作業をすべてなくすことができるとは限らない。
特に、追加設定を行う必要がある場合は、それがMDMによって適用される制限事項とぶつからないか注意が必要。

例えばキャリアメールを使うときはプロファイルのインストールが必要だが、Safariを禁止してしまうとできなくなる。
また、迷惑メール設定や留守電設定、内線設定をブラウザからやる場合もあるだろうし、その際にキャリアの回線認証が行われる場合はプロキシや常時VPNとぶつかったりする。

VPP(Volume Purchase Program)について少しだけ

概要

VPPとは、Appleが提供するサービスで、無料のサービスである。
Apple: Volume Purchace Program

概要

通常、App StoreのアプリはApple IDを利用することで(無料のアプリでも)購入処理を行ってApple IDにそのアプリのライセンスをくっつける。
有料のアプリの場合は、そのApple IDに登録されているカードなどで個別に支払いする必要がある。

VPPの場合は、まず管理者がライセンスを購入する。(無料のアプリでも)
そして、そのライセンスを払い出す形を取る。

考えられる利点は、今まで利用者で立替払いをしているような場合、これを管理者側で一括して支払うので経理上の手間が減るかもしれない。
もう一つ、一番大きい利点は、ライセンスの払い出し方法によってはApple IDが不要となるので、導入と管理がちょっと楽になる。

Apple IDを法人で運用する問題点

Apple IDは個人を対象としたものであるため、法人が一括して取得する仕組みがない。(学校法人ならできるのだろうけれども)
かといって、個別に取得すると不正取得とみなされて途中で取得できなくなったり、取得した後でロックされる場合がある。
また、各利用者で取らせようにも、取り方によってはクレジットカード登録を求められて、手順をミスった人が詰む。
さらに、個人で取得済みのApple IDを流用する人が現れて、電話帳が入り乱れたりアプリが入り乱れて詰んだり、逆にApple IDを取らずに使い始めて詰む。
おまけに、Apple IDのパスワードを忘れた人も現れてにっちもさっちもいかなくなって詰む。

どうしてもApple IDを取る必要がある場合は、iOSデバイスの購入先かAppleに相談してみてください。細かい理由は伏せますが。

VPPのライセンス払い出し方法

ライセンスの払い出し方法は以下の3つがある。

  • 製品引換コード(有料アプリのみ)
    • ギフトコードを一括して買う
    • ライセンスを払い出す時は、そのギフトコードを渡す
    • 受け取った側は、App Storeでコードを入れると購入済みとなる(その時にサインインしているApple IDで)
    • 一度処理したライセンスは永続的にApple IDにくっつく
  • 管理配布:Apple IDベース
    • MDMによって管理できるライセンスが払い出される。利用には対応したMDMが必要
    • ライセンスを払い出す時は、MDMの操作で処理される
    • 受け取った側はダイアログ通知が出るので、それを操作すると購入済みとなる(またはメールとブラウザで処理)
    • ライセンスの剥奪と使いまわしが可能。剥奪されると一定期間後にアプリが起動しなくなるそうな
  • 管理配布:デバイスベース
    • MDMによって管理できるライセンスが払い出される。利用には対応したMDMが必要
    • ライセンスを払い出す時は、MDMの操作で処理される
    • デバイスに対してライセンスが割り当てられるので、Apple IDでサインインしていなくてもよい
    • 受け取る側は特になにも画面表示されない
    • ライセンスの剥奪と使いまわしが可能。剥奪されると一定期間後にアプリが起動しなくなるそうな

VPPのまとめと注意事項

製品引き換えコードと、管理配布は購入時に選ぶので、後から切り替えることは面倒かつ一方通行と考えたほうがいいかもしれない。
Volume Purchase Program で引き換えコードから管理配布に移行する

  • 製品引換コード
    • コードを撒くのが面倒くさそう
    • ライセンスの回収ができないので、異動・退職・Apple IDのパスワードと生年月日と秘密の質問を忘れてどうしようもないときはライセンスを捨てることになる
    • MDMとかそんな面倒なものを使わずに、とにかく立替払いをなくしたい時ぐらいか
    • でもそれなら普通にギフトつかってもいいかもしれない
  • 管理配布:Apple IDベース
    • ダイアログ通知が出た後の操作が、App Storeを利用禁止にしていると表示されないので詰む
    • ダイアログにしろメールにしろ、利用規約の画面が英語なので、利用する人によっては詰む
  • 管理配布:デバイスベース
    • 対応しているMDM、かつ作りこまれたMDMでないと、ライセンスの払い出しとインストール処理が前後して詰む
    • App Storeを出していてもアップデートできない(App StoreはあくまでApple IDの情報を見る)ので、MDMが何かしらアップデートの仕組みを準備していないと詰む
    • Apple ConfiguratorでVPPのアカウントを使ってアプリインストールするとこれになる。Apple Configratorに繋がないとアプリのアップデートができなくなるので詰む
    • デバイスに対してライセンスを払い出すので、iPhoneとiPadを2台持ちして同じ有料アプリを使っているような場合はライセンス費用が増えて詰む
    • アプリ内課金が使えなくて詰む(インストールした時のApple IDでサインインしてくださいといわれる。そんなものは無い。そしてVPPはアプリ内課金には非対応)

今までアプリを入れるためだけにApple IDを取っていたのであれば、その手間と管理の手間を省けるようになるので、デバイスベースのVPPはまだ活用できるかもしれない

ついでのおまけ

条件付無料のApple製アプリは申請することで無料のライセンスをくれる。→今は無料になっているので普通に¥0で買ってしまえばいい。
Volume Purchase Program で iOS App をリクエストする

VPPのライセンスは管理者Apple IDごとに管理される。
管理者Aさんが買っても、BさんのApple IDではライセンス管理できないし、その逆ももちろん不可能
なお、DEPは複数の管理者で同じ環境を見られる。
なので、VPP用のApple IDはきちんと管理しないと詰む。
→Apple Business Managerにすれば解決。たぶん。

一つのApple IDのVPPトークン(Appleとシステム間連携用の証明書)は一つの環境にしか入れない方がいい。
使用ライセンスと残ライセンスの管理がうまく整合されず、ゾンビライセンス(どこかのデバイスに割り当たったままMDMの管理から外れ、奪え返せなくなったライセンス)になったりして詰む。
また、Apple Configuratorや一部のMDMだと「すでに別環境でトークン使われとんで」と言われて登録できない or 登録できても管理できなくなって詰む。
なお、ゾンビライセンスについては、Apple Configurator 2を使って無理やり剥がすか、CURLを使ったりしてAPIを直接叩いて引きはがせるっぽいがハードルがちょっと高い。

おまけ2 カスタムB2B

Appの配信方法にはカスタムB2Bといわれる仕組みがあり、これを利用するとアプリベンダーは特定の顧客にのみアプリを配信することができる。
配信やアップデートはApp Store基盤が利用されるが、通常ではストアに表示されず検索しても出てこない。
一部の法人向け商材のアプリに利用されていたり、自社用アプリを開発した場合の配信方法の一つとして利用できる。

これを利用する場合、VPPが必須となる。(上記「特定の顧客」を指定する場合にVPPの紐づけを利用する)

ただし、一般向けほどではないがAppleの審査が入る。
審査が通りそうにないような自社用アプリであればエンタープライズAppで。ただし毎年プロビジョニングプロファイルの更新が必要。
審査が通りそうで、更新が面倒で、開発を外部に投げるのであればカスタムB2Bってな感じなのかもしれない。

おまけ3 VPP対応可否とデバイス割当の確認方法

例えばこのアプリを調べる場合。
・URLのドメイン部を「itunes.apple.com」から「vpp.itunes.apple.com」に書き換えてアクセス。アクセスできればVPPには対応。
・画面左下の互換性のあたりに「デバイス割当可能」と表示されていればVPPデバイス割当に対応。

なお、対応していない場合はアプリベンダーにお願いするとチョイチョイと開放してくれる場合があった。どうやらバージョンアップを行わなくても設定変更でできる様子。

一斉に調べたい場合はiTunes StoreのSearch APIを叩けば「isVppDeviceBasedLicensingEnabled」の値に結果が出る。国指定を忘れずに。
ついでに、アプリ識別子も「bundleId」として出るので、上記「アプリのホワイトリスト/ブラックリスト」で指定したり、MDMのアプリ配信設定で、モノによっては識別子を求められるがコレで出てくる。
複数調べるときは上記ページの方法でキーワード検索するか、IDをカンマ区切りで複数指定
キーワード検索はちょっとURLが違う
ベンダIDで検索するときは1つ目の結果は無視していい。
20回/分まで。

MDM選定についての個人的メモ

MDMは国産、海外産いろいろある。
その中で、事前に把握が必要と考える点を挙げてみる。

デバイス登録の方法

MDMによってデバイスをMDMに登録する方法が異なる。
殆どのものが、iOSデバイスから登録用のURLにアクセスして、MDMプロファイルをインストールする。
この際

  • 登録するデバイス毎にURLが違う
    • 都度管理画面を確認しなければならない。ものよっては管理画面で事前登録しておかなければならない。
  • URLがやたらと長い
    • 覚えられない。上の個別URLと組み合わさると割と地獄を見る。
  • いちいち認証情報を入力しないといけない。
    • MDM管理画面でユーザー情報を登録しておき、それの割り当てを管理画面でなくデバイスだけでしかできないものだと面倒くさい。
  • 登録するために、まずApp Storeからアプリを入れなければならない
    • Apple IDを管理したくないからVPPデバイスベースを選んでもMDMがコレじゃ本末転倒

場合がある。

なお、作業簡易化のための方法として

  • Apple Configurator 2で登録処理が行える
  • 長い&個別のURLをメールで送ってくれる

ような機能を持つものがあるので、うまく使えば楽にはなる。

管理画面の使いやすさ

殆どのMDMはWebブラウザで管理画面を開く。稀にWindowsアプリの形態をとっているものもあるが、少数派なので省略する。
ブラウザでアクセスする場合でも、IEにしか対応していないもの、IEだと表示がバグるものがある。使う環境の下調べは必要。

画面の構成もMDMによって大きく異なる。
ユーザー管理、デバイスのグループ分け、マニュアルの豊富さも大きく異なるので注意が必要。

プロファイルの作成機能

デバイスに対する設定を作る際、管理画面上で設定を作れるものと、別途構成プロファイルを作成してそれをアップロードしなければならないものがある。
特に、iOSのバージョンが上がった際に新たな制限項目にどれだけ早く対応できるかは、MDMメーカーの腕の見せ所かもしれない。
ひどいMDMになると、iOS6ぐらいの時代のまま時が止まっている挙句、構成プロファイルのアップロード機能もなく設定ができなくて詰む。
アップロード機能があっても、構成プロファイルを作る環境がなければ詰む。

アプリ管理機能

MDMを使う利点の一つとして、App Storeを閉じていても管理者が定めたアプリのみインストールさせることができる機能が挙げられる。

注意事項
単にApp Storeへのリンクを作るだけの機能だったりするので、App Store禁止と競合して詰む
App配信のための仕組み(とりあえず「Appポータル」という)が通常のWebクリップで配信され、Safari禁止と競合して詰む
AppポータルがMDMクライアントアプリの一部または専用アプリであり、VPP非対応で配信できずに詰む。

配信機能は「Managed Appとして配信できるか」「VPP(デバイスベース)に対応しているか」「カスタムB2Bに対応しているか」の三つが大きな選定対象になるかもしれない。

一括操作機能・自動適用機能

全台または特定のグループに対して一括して操作を行えるか。
せっかくの遠隔管理でも、一台ごとに操作をしなければならないようなものだと、設定のたびに管理者が死ぬ。

プロファイル/アプリ配信設定の追加・変更に伴って、すでに管理されているデバイスに自動で処理が走ったり、設定を作りこんだあとにMDMに登録されたデバイスに対して自動的に適用処理が行われるものであれば、作業がだいぶ楽になるかもしれない。

また、グループごとに設定を変えている場合で、デバイスの所属するグループを変更すると全部きちんと再設定されれば最高かもしれない。

あまりポリシーをコロコロ変えることは適用し損ねたりするのであまり信頼しない方がいいかもしれない。
特に時間や場所でポリシーを変える機能は過信しちゃいけない。

MDM用アプリ(MDMエージェント)

iOS側にはMDM用アプリは必須ではない。厳密にはMDM用プロファイルさえ入ってしまえば遠隔管理はできる。
ただし
・管理紛失モード以外での位置情報取得
・脱獄(Jailbreak)検知
をする場合には必須。
ただし、MDMによっては
・DEPを使わないMDM加入をするときに必須
・専用アプリストアを使うときに必須
・なんか標準設定で配信設定がされている。しかも解除できない。
ようなオチがあったりする。また、メッセージ一斉配信機能とかオマケがついているものもある。ケースバイケース。

特に、DEPを利用せずにMDMに加入する場合にMDMアプリが必須とされている場合は、そのアプリを入れるためだけにApple IDを取得したりサインインしたりと手間がかかるので避けるべき。

サポート品質

こればっかりはある程度の期間使ってみないとわからない。こわい。
せめて、運用の中で想定される事項がマニュアルで提供されているかは確認しておこう。

Managed App Configuration

アプリに対して設定や制限を行う機能。iOS7から実装はされている。
しかし、これの情報を公開しているアプリベンダーが極めて少ない。対応MDMはそこそこ。
対応かつ公開されていれば、アプリの自動インストールと併せて設定を遠隔で行ってしまえる。
例えば、某ストレージアプリの法人版だと、アカウントの制限(業務用以外のアカウントでのサインインを禁止)とかできるそうな。

適当すぎるまとめ

ある程度やりたいことが定まったら評価環境を使って試してみるのは必須かもしれない。
よくわからなかったら、一番手軽な相談先は携帯キャリアかもしれない。
どこのキャリアもいくつかのMDMを取り扱っているのでノウハウはあるだろうし、いきなりMDMベンダ・メーカー・代理店に声をかけると薔薇色の説明だけされて押し切られて比較検討する余裕がなくなるかもしれない。

あと、運用管理については、情シスや総務が担当したり、少なくとも必ず一人はMDMの機能を把握し、操作を行える担当者を育てておかないと詰む。
それができないようであれば、運用管理はどこかに委託した方が幸せになれるかもしれない。
特に落とした無くしたとか連絡を受けて、位置を調べたりロックしたり消去したりする運用は、土日深夜関係なく襲い掛かってくる。こわい。

Apple Business Managerについて

2018/06/21にApple Business Manager(以下、ABM)が提供開始された。これは既存のApple Deployment Programの後継となるもので、管理の方式が大きく変わるのでがんばって生き延びてください。最終的にはたぶん幸せになれそうな仕様です。
ちなみに、Apple Deployment Programの申し込みはできなくなっているようで、今はApple Business Managerの申し込み画面に飛ばされます。
なお、上にあるVPPの項については、ABMでは特に大きく変わるので今は見なかったことにしてください。
既にDEP、VPPを利用でログインすると誘惑が出る。危ない。

Apple Business Manager にアップグレードする
Apple Business Managerヘルプ

ABMに対応を謳っていなくとも、DEP/VPPに対応していりゃ何とかMDMは使えそう。
管理者が柔軟に構成できるので、特に複数のMDMを運用している所には刺さりそう。

「場所」は、物理ロケーションで作ると詰む。VPPトークンを基準に考える。ルート組織は使わない。ルート組織でトークンをMDMに割り当てると、複数トークンを払い出したときに権限割当で詰む。
なので、「MDMその1」「MDMその2」「ゴミ箱」ってな感じで作っておいた方が無難かも知れない。

VPPの変化

新しいVPPに切り替えると、今までApple IDとセットだったVPPトークンが上の「場所」とセットになる。
なので、その場所に対する管理者を増やしたり挿げ替えたりすれば管理が容易になりそう。MDMからMDMへのライセンスの移動もできるっぽい。
但し、ご利用は計画的に

今までのVPP購入サイトも使えそうだが、新しいサイトを使う方がいいっぽい。
古い方を使うときは、設定で場所を変更しておかないと軽く詰む。

おまけ

「管理対象Apple ID」(Managed Apple ID)が追加されますが、教育機関向けのそれとは異なり、エンドユーザー用のApple IDを大量に一括して取得したり管理したりするものではないようです。過度な期待をすると詰むかもしれない。

ここにあるように、一部のAppleサービスが利用できない。
特に「App Store」と「iPhone(iPad)を探す」が使えないと使う意味がないと思うので、このApple IDはあくまでApple Business Managerにログインするためだけのものと割り切った方がいいかもしれない。

まとまっていないまとめ

基本的な使い方や機能は、上のDEPやVPPとそこまで大きく変わっていない。