まずは以下の機能のみがあると考えると良い。, あくまでDEPの機能としてはアクティベーション時のMDM自動加入のみ。 向けただけだとMDMへの自動加入ができず、ABMでMDMへの割り当てをした後にMDM側でデバイスの認識やDEPプロファイルの適用が必要。 将来にわたっての追加や削除、更新すら行わないのであれば機能制限でもよいが、iOSアップデートによるAppのバージョンアップはどうしても必要となるシーンが多いので推奨しない。, ついでに「Managed App Configuration」という機能がある。 があるらしい。Classroomのフル活用に必要かもしれないが2.0からは必須ではなくなったとかなんとか。, 一番大きい特徴が「MDMへの自動登録(強制的登録も可能)」なので、上にもちょくちょくと書いてある「パスコード一定回数ミス時の消去」「復元による初期化」を行っても、ちょいちょいと初期設定すればMDMに登録される。いちいち回収して再設定とかしなくても済むかもしれない。 ざっくばらんに言えば、上手く連携すれば社内アカウントがそのまま管理対象Apple IDとして利用ができるっぽい。 App Store公開App、カスタムAppを作る場合はADP。 同じ作業を行います。, (図D-1)の「1.デバイスの選択方法」で、仮想MDMサーバに割り当てるデバイスを指定します。 監視対象ではないモバイル端末に対して設定できる制限項目が5個あるとした場合、監視対象にすることで20個に制限項目が増えるようなイメージです。監視対象にしておくと、よりセキュアかつ柔軟に管理することが可能になります。 Apple Watch とのペアリング. What is going on with this article? 表示するか否かの選択肢です。, (図E-4)の「既定のデバイス端末登録ルール」の「iOS」の欄の右端をプルダウンすると、端末登録ルールのリストが現れます。 Apple School Managerについては触れていません。 MDMについては、具体的な製品名にはあまり触れず、機能概要のみの記載に留めます。 また、この機能を用いてこっそりと外回り営業の行動経路を盗ることは難しい。 (ただしDUNS番号がない場合はそれの発行費用がかかる。¥3,000ほど。) Q: ・認証系システムとの連携(メール連携で二段階認証やSSO系のソリューションが入っていると辛い) これは管理対象Appに対してMDMから設定を配信する機能であり、以下のような設定を配信できる。, 対応するにはアプリ側が遠隔での設定を受け取ることができるように作られている必要がある。 手動接続できない&手動設定を無視する。 この連携認証を使った場合は、以下のようにApple IDでサインインしようとすると、Microsoftのサイトに転送され、そちらで認証が通ればログインするようになる。, 設定した状態。Azure ADのドメインが管理対象Apple ID用のドメインとして追加される。 せめて、運用の中で想定される事項がマニュアルで提供されているかは確認しておこう。, アプリに対して設定や制限を行う機能。iOS7から実装はされている。 対応かつ公開されていれば、アプリの自動インストールと併せて設定を遠隔で行ってしまえる。 これに、上記2.で作成したCSVファイルを選択します。そうすると、2.で選んだ端末群が(図E-10)に一斉に入力(移送)されます。, 今までアクティベーションをしたことがない端末で電源を入れると、アクティベーションが開始されます。, 続けて、言語、国やキーボードの種類の選択の後にWiFiのSSID/パスワードを求められます。 WordPress と Mesmerize Theme で構築, 端末のシリアル番号とは、製造時にメーカーが端末毎に附番した番号で、端末に固有の番号です。, 自動DEP登録と手動DEP登録での作業内容の違いは、おおむね、次のようになります。, 以下は、自動DEP登録の手順の説明です。B.からF.までの項目をクリックし、 Volume Purchasingともいうのかもしれない 3. そのため、個人が利用する場合においては、アプリをインストールするためにApple IDを取得し、端末のiTunes Storeにサインインする必要がある。 前者プロキシサーバまたはPacファイル、後者はIKEv2に対応したVPNゲートウェイへアクセスできない場合は通信自体がブロックされる。, また、モバイル網/Wi-Fi接続問わず利用されるので Copyright © 2020 Apple Inc. All rights reserved. しかし、これの情報を公開しているアプリベンダーが極めて少ない。対応MDMはそこそこ。 デバイス名を変更 DEPトークンをアップロードします。」の項の「参照」ボタンを押すと、コンソールPCのExploreが起動します。 ABM 5.1. ・画面左下の互換性のあたりに「デバイス割当可能」と表示されていればVPPデバイス割当に対応。, なお、対応していない場合はアプリベンダーにお願いするとチョイチョイと開放してくれる場合があった。どうやらバージョンアップを行わなくても設定変更でできる様子。, 一斉に調べたい場合はiTunes StoreのSearch APIを叩けば「isVppDeviceBasedLicensingEnabled」の値に結果が出る。国指定を忘れずに。 とくに「App Store」と「iPhone(iPad)を探す」が使えないと使う意味がないと思うので、このApple IDはあくまでApple Business Managerにログインするためだけのものと割り切った方がいいかもしれない。. 古い方を使うときは、設定で場所を変更しておかないと軽く詰む。, TXTレコードによるドメイン所有確認が追加された。 Apple Configuratorを起動すると、下記のような画面が表示されます。, 2. Apple 製のデバイスからネットワークに自動的に再接続したくない場合は、そのネットワークの設定を削除しておけます。, Apple 製のデバイスは、そのデバイスで接続したことのある各 Wi-Fi ネットワークを記憶し、それらのネットワークの通信範囲に再び入ると自動的に再接続します。ネットワークに再接続したくない場合や、別のパスワードで接続したい場合は、以下の手順にそって、パスワードなどのネットワーク設定をデバイスから削除してください。. でも、前者はHTTPSプロキシに対応していないっぽいのと、ネット上にプロキシを設置するリスクがあると考える。 手動プロファイルインストール制限とセットにしておくと利用者が好き勝手にWi-Fiアクセスできなくなるので、社内Wi-Fiのみに限定したりWi-Fi利用自体を止めたい時にでも。, キャリアプロファイルに含まれるWi-Fi設定には注意。iOSバージョンによって挙動が違う。, 但しリファレンスが間違っているのかiOSがバグっているのか。13.1.3時点では下記「As of iOS 13, ~」がある項目のいくつかは監視モードでなくとも使えている。なにゆえ。, 後述するが、監視モードの場合は 「iPhone(iPad)を探す」をONにしただけでは、アクティベーションロックがかからない。 落として誰かが拾って、復元をかけてしまうと使えてしまう。あとパスコード指定回数ミスによる初期化とか。, なので、デバイスの不正利用や転売を気にするのであれば、対応したMDMからアクティベーションロックを有効化するか、DEPによる認証で代用するか。, ※DEP認証 → アクティベーション時に、MDM側で設定されているID/パスワードで認証を行わないとアクティベーションできなくなる機能 ユーザー管理、デバイスのグループ分け、マニュアルの豊富さも大きく異なるので注意が必要。, デバイスに対する設定を作る際、管理画面上で設定を作れるものと、別途構成プロファイルを作成してそれをアップロードしなければならないものがある。 ドメイン管理権限持っている人を巻き込んでおかないと詰む詰む。 モバイルデバイス管理 (MDM) と「iPhone を探す」のアクティベーションロックを使う, https://support.apple.com/ja-jp/guide/mdm/apd593fdd1c9/web, Apple: Device Enrollment Program に関してよくお問い合わせいただくご質問 (FAQ), Device Enrollment Program (Apple提供) 登録サービス by KDDI, Volume Purchase Program で引き換えコードから管理配布に移行する, Volume Purchase Program で iOS App をリクエストする, https://support.apple.com/ja-jp/guide/apple-business-manager-m/apdc27b9fd43/web, ABMにAzure ADとの連携機能(Federated Authentication)が実装された。, Device Enrollment Program(≠ Deployment Program), Automated Device Enrollmentとか、デバイス割り当てともいうのかもしれない, 「Volume Purchasing」とか、「Appとブック」ともいうのかもしれない, 主にモバイルデバイス(ここではiOS、iPadOSデバイス)を遠隔で管理する機能を持つサービス, Enterprise Mobility(またはMobile)Management(≒ MDM + MAM + MEM + MCM ≧ MDM), DEP + VPP + Managed Apple IDを管理するためのAppleサービスおよびそのポータルサイト, DEP + VPP + Managed Apple ID + classroomを管理するためのAppleサービスおよびポータルサイト, 某コミュニケートアプリ(企業向けにVoIPとかチャットを提供するアレ)のサーバ設定を配信, 某ドキュメント管理アプリ(文書や表計算やプレゼンテーションを作成閲覧するアレ)のアカウントや機能制限, このロックがかかっている場合、MDMから「iPhoneを探す」と同等の位置情報取得が行える, プッシュかつiOSの機能を用いるので、MDMのクライアントが入っていなくても通信が出来れば割とすぐに位置が取れる, VPN設定(最近はOpera VPNとかApp StoreのアプリでVPNプロファイルを投入させるものがある。中には怪しいものもありそう。ただしiOS10以降は仕様が変わって利きづらい), グローバルHTTPプロキシを指定しても、それを通らず直接接続しようとする通信(80、443以外の通信), ソフトウェア更新の遅延を強制(forceDelayedSoftwareUpdatesとenforcedSoftwareUpdateDelay), クラスルーム関連(forceClassroomRequestPermissionToLeaveClasses), Apple Configurator 2の2.7.1以降で監視モードにすると、勝手に「Disable USB Restriction」としてプロファイルが入って無効化される。はた迷惑。, テザリング設定変更の制限(allowPersonalHotspotModification), Managed Appの個別アンインストール禁止(もしかするとSupervisorいらんかも、MDMの対応が必要), AC2ヘルプはバージョンアップによってURLが変わる。そしてなぜか2.7以降は該当ページがない。, 「As of iOS 13, requires a supervised device.」の記述に注目, 処理したいデバイスを接続・選択して、「準備」の中で「デバイスを監視」にチェックを入れる, prepareコマンドを実行する際に「--supervised」オプションを付与する, シェルスクリプト化してexecコマンドと組み合わせれば、「繋いで自動実行→差し替えて自動実行」で大量処理できて便利, Apple Business ManagerかApple School ManagerでDevice Enrollment Program(DEP)を利用, DEPとMDMを組み合わせることで、Macに接続せずともiOSアクティベーション時に自動で監視モードとすることができる。MDMへの強制加入もされる。, 家族共用iPad、気づけば勝手にパスコードが設定されていて困る。または「iTunesに接続してください」な状態にされる, いちいち端末ごとに「WebサイトへアクセスしてMDMプロファイルを入れて・・・」とやらなくてもよくなる, いちいちApple Configuratorにつながなくてもよくなり、初期化後アクティベーションを行うタイミングで監視モードに切り替わる。, AD連携とかして、利用者の普段のアカウントでアクティベーションすれば自身のメール設定を自動化させたりなんてこともできなくない。, 強制としない場合は、アクティベーション時にMDM登録をスキップさせるボタンが出る(上図の「構成をスキップ」), 強制されていればスキップができず、ホーム画面が出た時点でMDM加入完了状態とでき、設定により即ポリシー適用なので、初期化後の再設定省略や紛失後に不正に初期化されても割と追跡ができる。, DEPを使わずにMDMへ加入させた場合、設定の奥にあるプロファイル一覧を覗くと「削除」のボタンが赤々と出ている。これを押すとMDMの制御が外れる, DEPの場合、オプションでコレを非表示とさせることができるので、使っている人の操作でMDMから逃げ出すことができなくなる。強制加入やペアリング禁止と組み合わせることでMDMから逃げられない。, 最初に出るパスコードの設定とかApple IDの設定とか、いらないならスキップさせてくれる, 一部、スキップさせなければ相性が悪い項目もある。(復元関係。復元されるとDEPの設定が反映されない場合あり), 「アクティベートして登録を完了」を有効にせず、「準備」を行ってDEP登録。途中で指定するMDMのURLはダミーでいい。, 途中でApple IDを聞かれる。ABMのデバイスマネージャー権限があるManaged Apple IDを入れる。, デバイスを初期化しておく。(初期化しないとダミーURLのMDMに加入しようとして詰むことがある), ABM上でデバイスの割当先MDMを「Apple Configurator 2で登録されたデバイス」から実際のMDMに変更する, 受け取った側は、App Store Appでコードを入れることで購入済みとなる。(その時にサインインしているApple IDで), 受け取った側はダイアログ通知が出るので、それを操作することで購入済みとなる(またはメールとブラウザで処理), ライセンスの剥奪と使いまわしが可能。剥奪されると一定期間後にアプリが起動しなくなるそうな, ライセンスはApple IDに対して割り当てられる。そのApple IDで複数のデバイスにサインインするとそれらでアプリが使える, デバイスに対してライセンスが割り当てられるので、Apple IDでサインインしていなくてもよい, ライセンスの回収ができないので、異動・退職・Apple IDのパスワード・生年月日・秘密の質問を忘れてどうしようもないときはライセンスを捨てることになる, ダイアログ通知が出た後の操作が、App Storeを利用禁止にしていると表示されないので詰む, 対応しているMDM、かつ作りこまれたMDMでないと、ライセンスの払い出しとインストール処理が前後して詰む, App Storeを出していてもアップデートできない(App StoreはあくまでApple IDの情報を見る)ので、MDMが何かしらアップデートの仕組みを準備していないと詰む, Apple ConfiguratorでVPPのアカウントを使ってアプリインストールするとこれになる。Apple Configratorに繋がないとアプリのアップデートができなくなるので詰む, デバイスに対してライセンスを払い出すので、iPhoneとiPadを2台持ちして同じ有料アプリを使っているような場合はライセンス費用が増えて詰む, アプリ内課金が使えなくて詰む(インストールした時のApple IDでサインインしてくださいといわれる。そんなものはない。そしてVPPはアプリ内課金には非対応), Apple Deployment Program時代のものをレガシーVPPと言う。, 管理者Aさんが買っても、BさんのApple IDではライセンス管理できないし、その逆ももちろん不可能, なので、VPP用のApple IDはきちんと管理しないと詰む。運用担当者が変わるとき面倒くさい, ABM、ASMで利用するVPPをロケーションVPPと言う。または「Appとブック」と, VPPのライセンスがApple IDと直接紐づかなくなったので、運用しやすくなっている。, VPPトークン(Appleとシステム間連携用の証明書)は複数のMDMに入れない方がいい。, 使用ライセンスと残ライセンスの管理がうまく整合されず、ゾンビライセンス(どこかのデバイスに割り当たったままMDMの管理から外れ、奪え返せなくなったライセンス)になったりして詰む。, また、Apple Configuratorや一部のMDMだと「すでに別環境でトークン使われとんで」と言われて登録できない。もし登録できても管理できなくなって詰む。, なお、ゾンビライセンスについては、Apple Configurator 2を使って無理やり剥がす(レガシーVPPのみ)か、, App StoreからMDMエージェントアプリを入手し、そのアプリ経由でMDM登録プロファイルをインストールする。, Apple Configurator 2を用いてMDM登録プロファイルをインストールする。, Apple Configurator 2を用いてMDM登録処理設定を含める。(なんちゃってDEP), 都度管理画面を確認しなければならない。ものよっては管理画面で事前登録しておかなければならない。, MDM管理画面でユーザー情報を登録しておき、それの割り当てを管理画面でなくデバイスだけでしかできないものだと面倒くさい。, Apple IDを管理したくないからVPPデバイスベースを選んでもMDMがコレじゃ本末転倒, App配信のための仕組み(とりあえず「Appポータル」という)が通常のWebクリップで配信される, Managed Apple IDの発行・失効やパスワードリセット、2ファクタデバイスクリア、権限の割り当ての管理をする, MDMがAppleサーバを通じてデバイスに指示を送ったり、デバイスと通信するために使われる。, 切れたり更新ミス(renewでなくnewをやっちゃうとか)するとMDMからの管理が効かなくなる。取り返しがつかなくなり、, 取得にはApple IDが必要。引継ぎを考えるとメーリングリストでApple IDを取った方が楽かもしれない。, MDMがAppleサーバを通じて自身に割り当てられているデバイスの情報を取得するために使われる。, 有効期限は発行・更新から1年、切れないように更新する必要があり、切れたり更新ミスするとDEP割り当て状態がMDMに反映されなくなる。, MDMがAppleサーバを通じてアプリライセンスの一覧を受け取ったり、ライセンスを割り当て・剥奪するために使われる。, Apple Deployment Programの場合はVPPストアの設定画面、ABMの場合は管理画面で管理する。, 有効期限は発行・更新から1年、切れないように更新する必要があり、切れたり更新ミスすると新たなVPPライセンスの割り当て・剥奪ができなくなる。, you can read useful information later efficiently.