モバイルデバイス管理プロファイルの概要
MDM(モバイルデバイス管理)では、デバイスにプロファイルとコマンドを送信することで、ユーザ所有のデバイスと組織支給のデバイスの両方を安全にワイヤレスで構成できます。MDMの機能には、ソフトウェアとデバイス設定のアップデート、組織ポリシーへの準拠の監視、デバイスのリモートワイプやリモートロックなどもあります。ユーザが所有するデバイスは、ユーザ自身がMDMに登録できます。組織が所有するデバイスは、Apple School ManagerまたはApple Business Managerを使って自動的にMDMに登録できます。
これからMDMをお使いになる場合は、理解しておいていただきたいコンセプトがいくつかあります。MDMにおける登録と構成プロファイル、監視対象、ペイロードの使用方法については、以下のセクションを参照してください。
対応するAppleデバイス
以下のAppleデバイスには、MDMをサポートするフレームワークが組み込まれています:
iOS 4以降を搭載したiPhone
iPad(iOS 4.3以降またはiPadOS 13.1以降を搭載)
OS X 10.7以降を搭載したMacコンピュータ
Apple TV(tvOS 9以降を搭載)
watchOS 10以降を搭載したApple Watch
visionOS 1.1以降を搭載したApple Vision Pro
デバイスの登録方法
MDMの登録では、ACME(自動証明書管理環境)、またはSimple Certificate Enrollment Protocol(SCEP)などのプロトコルを使用してクライアント証明書IDを登録します。デバイスではこれらのプロトコルを使用して、組織のサービスに対する認証用の固有名証明書を作成することができます。
登録が自動化されている場合を除き、MDMに登録するかどうかをユーザが決定し、ユーザはいつでもデバイスの登録を解除できます。そのため、ユーザの登録継続を促進するための仕組みを考えることをおすすめします。例えば、ワイヤレス接続用のクレデンシャルをMDMによって自動的に提供し、MDM登録をWi-Fiネットワークアクセスの必須条件とすることができます。ユーザがMDMの登録を解除すると、そのユーザのデバイスからMDMソリューションに対して、デバイスを管理対象にできなくなったという通知が試みられます。
組織が所有するデバイスの場合は、Apple School ManagerまたはApple Business Managerを使って初期設定時に自動的にMDMに登録し、ワイヤレスで監視することができます。この登録プロセスを自動デバイス登録といいます。
MDMおよび盗難デバイスの保護
盗難デバイスの保護がオンになっている場合に、ユーザが知らない場所にいると、以下のアクションは1時間遅延します:
MDMにデバイスを手動で登録する
パスコードプロファイルまたは構成を手動でインストールする
設定、またはプロファイルあるいは構成のいずれかでMicrosoft Exchangeアカウントを構成する
登録プロファイル
登録プロファイルは、ユーザがデバイスをMDMソリューションに登録する2つの主な方法のうちの1つです(もう1つは、ユーザ登録またはアカウント駆動型デバイス登録を使用する方法です)。MDMペイロードが含まれているこのプロファイルを使用して、MDMソリューションはコマンドと必要に応じて追加の構成プロファイルをデバイスに送信します。また、アクティベーションロックステータス、バッテリー残量、名前などの情報をデバイスに照会できます。
ユーザが登録プロファイルを削除すると、その登録プロファイルに基づくすべての構成プロファイル、設定、管理対象アプリが一緒に削除されます。1台のデバイスに一度にインストールできる登録プロファイルは、1つのみです。
登録プロファイルがデバイスまたはユーザによって承認されると、ペイロードを含んだ構成プロファイルがデバイスに配布されます。そのあと、Apple School ManagerまたはApple Business Managerで購入したアプリとブックをワイヤレスで配付、管理、構成できます。アプリのインストールは、アプリのタイプ、アプリの割り当て方法、およびデバイスが監視対象かどうかによって、ユーザが自分で行うことも、自動で行うこともできます。詳しくは、Appleデバイスの監視についてを参照してください。
構成プロファイル
構成プロファイルは、Appleデバイスに設定と認証情報を読み込むペイロードで構成された(末尾が.mobileconfigの)XMLファイルです。構成プロファイルにより、設定、アカウント、制限、および資格情報の構成が自動化されます。これらのファイルは、MDMソリューションまたはMac用Apple Configuratorで作成することも、手動で作成することもできます。Mac用Apple Configuratorを使用して構成プロファイルを作成し、iPhone、iPad、およびApple TVデバイスにインストールする方法について詳しくは、Mac用Apple Configuratorユーザガイドの構成プロファイルを作成する/編集するを参照してください。
構成プロファイルは暗号化および署名できるため、それらの使用を特定のAppleデバイスに制限できます。ユーザ名とパスワードがない人は設定を変更できません。構成プロファイルをデバイスにロックされているとしてマークすることもできます。
MDMソリューションがサポートしている場合は、メール添付ファイルとして、独自のWebページ上のリンク、またはMDMソリューションの内蔵ユーザポータル経由で構成プロファイルを配付できます。ユーザがメールの添付ファイルを開いたり、Webブラウザでプロファイルをダウンロードしたりすると、プロファイルのインストール開始を求められます。
デバイス全体または1人のユーザの設定を変更できる構成プロファイルを提供できます:
デバイスプロファイルは、デバイスおよびデバイスグループに送信でき、デバイス設定をデバイス全体に適用できます。
iPhone、iPad、Apple TV、Apple Watch、およびApple Vision Proでは、2人以上のユーザを認識することができないので、対応するAppleデバイス用に作成される構成プロファイルは、常にデバイスプロファイルになります。iPadOSプロファイルはデバイスプロファイルですが、共有iPad用に構成されたiPadデバイスではデバイスまたはユーザに基づくプロファイルをサポートすることができます。
ユーザプロファイルは、ユーザおよび(MDMソリューションが対応している場合は)ユーザグループに送信でき、ユーザ設定を個別のユーザにのみ適用できます。Macコンピュータでは複数のユーザを持つことが許可されるため、macOSプロファイル用のペイロードおよび設定はデバイスまたはユーザに基づいて作成できます。設定アシスタントで作成したユーザアカウントは、MDMソリューションによって管理されるものと見なされ、プロファイルを受け取ることができます。macOS 11以降を搭載したMacでは、MDMによって登録時に作成された管理者アカウントを管理対象にすることもできます。Active Directoryにバインドされた導入の場合は、現在ログインしているネットワークユーザをMDMを使って管理できるようになります。
デバイスとユーザの設定は、それらが存在する場所によって異なります: システムレベルでインストールされた設定は、デバイスチャネルに存在します。ユーザ用にインストールされた設定は、ユーザチャネルに存在します。
プロファイルのインストールおよびロックダウンモードについて詳しくは、Appleのサポート記事「ロックダウンモードについて」を参照してください。
プロファイル削除
プロファイルの削除方法は、どのようにインストールされたかによって異なります。以下のシーケンスはプロファイルの削除方法を示しています:
1. デバイスのすべてのデータをワイプすると、すべてのプロファイルを削除できます。
2. Apple School ManagerまたはApple Business Managerを使ってデバイスをMDMに登録した場合は、ユーザが登録プロファイルを削除できるかどうか、またはMDMサーバによってのみ削除できるようにするかどうかを、管理者が選択できます。
3. プロファイルがMDMソリューションによってインストールされている場合は、その特定のMDMソリューションによって、または登録構成プロファイルを削除してMDMへのユーザの登録を解除することで削除できます。
4. Apple Configuratorを使って監視対象デバイスにプロファイルがインストールされている場合は、Apple Configuratorのその監視インスタンスでプロファイルを削除できます。
5.手動で、またはApple Configuratorを使って監視対象デバイスにプロファイルがインストールされていて、そのプロファイルに削除用パスワードペイロードがある場合は、プロファイルを削除するためにユーザが削除用パスワードを入力する必要があります。
6.その他のプロファイルはすべてユーザが削除できます。
構成プロファイルによってインストールされたアカウントは、プロファイルを削除することで削除できます。Microsoft Exchange ActiveSyncアカウント(構成プロファイルを使ってインストールされたものを含む)は、Microsoft Exchange Serverでアカウントのみのリモートワイプコマンドを実行することで削除できます。
重要: ユーザがデバイスのパスコードを知っている場合は、このオプションが「常にしない」に設定されている場合でも、監視対象ではないiPhoneまたはiPadから手動でインストールされた構成プロファイルを削除できます。Macのユーザが管理者のユーザ名とパスワードを知っている場合のみ、同じことを実行できます。これを実行するには、profiles
コマンドラインツール、システム設定(macOS 13以降)、またはシステム環境設定(macOS 12.0.1以前)を使います。macOS 10.15以降を搭載したMacでは、iOSやiPadOSと同様に、MDMでインストールしたプロファイルはMDMで削除する必要があります。そうしない場合、プロファイルはMDMからの登録解除時に自動的に削除されます。
MDM通信要件
Appleデバイスとの他社製MDM通信は、以下の場合に成功する可能性が最も高くなります:
MDMソリューションが設定され、テストが成功し、適切に動作している
APNs証明書が有効で期限が切れていない
デバイスの電源が入っている
デバイスが現在MDMに登録されている
デバイスが接続されているネットワークがインターネットにアクセスできる(APNs通信用)
デバイスが接続されているネットワークはMDM関連のAppleホストにアクセスできる必要がある
詳しくは、Appleのサポート記事「エンタープライズネットワークでApple製品を使う」を参照してください。
注記: Appleは他社製MDMソリューションを制御していません。MDMペイロードの構成の誤りなど、その他の問題によってMDM通信が失敗する場合もあります。