宣言型デバイス管理を使用してAppleデバイスを管理する
特定の条件に基づいて構成を個別にデバイスに適用することで、組織はデバイスの状態を管理したり、その状態を保守したりできます。この管理プロセスは宣言型デバイス管理と呼ばれ、管理対象デバイスにソフトウェアアップデートを適用したり、構成を導入したり、常に最新の状態を表示したりするための新しい管理方法です。導入を簡単にするために、既存のMDMプロトコルにこのプロトコルが追加されています。(お使いのデバイスで使用できる宣言型デバイス管理の機能については、MDMベンダーの資料を参照してください。)
宣言型デバイス管理を有効にする
宣言型デバイス管理は、デバイスに特殊なMDMコマンドを送信することで有効にします。2つのAppleデバイス(Macと、共有iPadを提供するiPadデバイス)の場合、複数ユーザに対応しており、ユーザチャンネルに宣言を割り当てることもできます。デバイスとユーザチャンネルの両方で宣言型デバイス管理を有効にするには、それぞれにコマンドを送信する必要があります。
共有iPadについて詳しくは、共有iPadの概要を参照してください。
構成を定義する
宣言型デバイス管理のアプローチはモジュール式であるため、デバイスの構成を定義する際の柔軟性が高まります。1回のアクティベーションで1つの構成と1つのアセット(多くの場合)を参照する1対1の関係を使用するのではなく、より効率的なアプローチを使用します。
例えば、1回のアクティベーションで、適用する必要のあるすべての構成を同時にグループ化できます。不必要な繰り返しを避けるため、複数のアクティベーションで同じ構成を使用できます。構成と同様に、アセットを複数の構成で使用できます。さらに、アセットは関連する構成に関係なくアップデートできます。この依存関係のないアプローチでは、構成そのものはデバイス上で維持されるため、ユーザの負荷が軽減します。これは、関連するデータをすべて再同期することなく、ローカルユーザ設定を保持しながら、アカウントの資格情報をアップデートする必要がある場合に、特に便利です。
宣言型デバイス管理への移行
宣言型デバイス管理への移行をスムーズにするため、MDMプロトコルにはさまざまな機能が含まれています。例えば、レガシープロファイル宣言に既存のプロファイルを埋め込むことができます。または、MDMソリューションがすでに導入されているプロファイルの所有権を取得し、それをレガシー構成宣言に移行することができます。この方法で、既存のプロファイルを削除したり、ユーザを混乱させる可能性のある構成と置き換えたりする必要がなくなります。
同じ設定がMDMプロファイルと宣言型構成としてデバイスに送信される場合、設定が複数のプロファイルによって配信された場合と同じように、同じルールが適用されます。例えば、パスコードポリシーがプロファイルと構成によって構成される場合は、ポリシーが結合され、厳しい方の設定が適用されます。
重要: ソフトウェアアップデートと宣言型デバイス管理を使用して適用されたアプリ構成は、同等のMDMコマンドよりも優先されます。
手動インストール宣言
iOS 17、iPadOS 17、macOS 14、visionOS 1.1またはそれ以降を搭載したデバイスでは、組織とMDMデベロッパが「設定」(iPhone、iPad、およびApple Vision Proの場合)または「システム設定」(Macの場合)から宣言が含まれているプロファイルを手動でインストールすることでテストを実行できます。このオプションを使用して、アカウント、レガシープロファイル、パスコードと画面共有構成、および証明書と識別情報をインストールできます。
アクティベーション述語
宣言型デバイス管理では、特定の条件に基づいて構成を個別にデバイスに適用できます。条件は述語を使用して機能する論理条件として定義されます。
アクティベーションには、アクティベーションで参照される構成がデバイスに適用されるかどうかを判断するオプションの述語を含めることができます。アクティベーション述語では、使用可能なステータスレポートとカスタム管理プロパティを使用できます。組織は、これらのカスタム管理プロパティを整数、文字列、または論理値として、または配列として定義します。アクティベーションは、これらを利用して特定の構成セットを適用するべきかどうかを判断できます。
アクティベーション述語の利点はスマートな使い方ができることです。宣言と一緒にデバイスを事前に読み込んで、MDMソリューションによって適切な管理プロパティが送信されたときに自動的にアクティベートできます。このアプローチにより、MDM側で複雑なグループやスコープを設定する必要がなくなります。
ソフトウェアアップデート
宣言型デバイス管理を使用して、iOS、iPadOS、およびmacOSでアップデートを管理することができます。これには、ソフトウェアアップデートまたはアップグレードを適用するタイミングと方法のための新しいオプションがあります。また、ユーザは、アップデートが要求されたときと強制されたときに、「設定」(iOSとiPadOS)および「システム設定」(macOS)で追加情報を入手します。
追加の通知は強制日が近づくにつれてより頻繁に表示されます。これらの通知が確実にユーザに表示されるように、ユーザにアップデートが強制される24時間前からはおやすみモード機能が無視されます。これにより、ユーザは、アップデートを実行するのに最も適切な時間を選択できます。ユーザが強制日までにアップデートをインストールしなかった場合は、次のようになります:
macOSが開いているアプリを強制的に終了し、必要に応じて再起動します。
パスコードが設定されている場合は、iOSおよびiPadOSはユーザにパスコード入力を強制します(まだ入力されていない場合)。
アップデートを開始するには、以下の新しいキーを使用できます:
TargetOSVersionおよびTargetBuildVersion: アップデート先のバージョンを定義します。両方のキーが設定されている場合は、
TargetBuildVersionが優先されます。TargetLocalDateTime: アップデートが強制されるときのデバイスの現地時間を定義します。
DetailsURL: アップデートについての詳しい情報とコンテキストを提供するために組織で使用できるWebページのURLを提供します。
MDMソリューションは、宣言型ステータスレポートを使用して、アップデートのステータスに関する透過性を高めることもできます。例えば、待機中、ダウンロード中、アップデートのインストール中などです。アップデートを実行できなかった場合または完了できなかった場合は、意味のあるエラーコードが追加されています。例えば、デバイスがオフラインだった場合、バッテリー残量が少なすぎた場合、空き領域が不足していた場合などです。