今更聞けないMDM。導入すべき組織、進め方とは?Apple Configuratorによる代替手段も解説!

  • Apple
  • Apple Blog
  • 今更聞けないMDM。導入すべき組織、進め方とは?Apple Configuratorによる代替手段も解説!
  • 今更聞けないMDM。導入すべき組織、進め方とは?Apple Configuratorによる代替手段も解説!

    MDM(Mobile Device Management)は、ここ数年で法人・教育機関でもよく聞かれる言葉になったのではないでしょうか。

    業務におけるセキュリティ意識の高まりやリモートワークの必須化・GIGAスクール構想により学校現場に導入されたタブレットの影響などを受けて、「大量のデバイスを管理する」ことは仕事や教育現場から切り離せないタスクとなっています。

    そんなMDM製品を、今から導入したい...という場合はどう進めれば良いのでしょうか? 法人及び教育機関で考える、導入に最適なタイミングや、導入の進め方をまとめました!
    ※当記事で対象とするデバイスは、Apple社の「Mac」「iPad」「iPhone」を指します。

    MDMを導入すべき組織・検討タイミングは?

    法人の場合

    法人において、デバイス(資産)の管理はどのような規模でも行なっているものです。
    小規模の組織では、エクセルなどで資産台帳を作成し、手作業でキッティングして社員に配布することも多いのではないでしょうか。

    MDMの導入を考え出すのは、50~100名程度の法人組織になり、様々な課題が生じ始めてからという企業がほとんどです。

    アートボード 2.png

    MDM検討理由の例
    ・企業規模の拡大や上場を目指す中で、セキュリティ強化が必要となった
    ・セキュリティインシデントが発生し、再発防止策が必要となった
     など、セキュアなデバイス環境を整える需要が発生した。
    ・人員増加が激しく、入社する度のPCセットアップの負荷が高まっている
    ・原則テレワークができているのに、PCのセットアップと手渡しのためだけに出社する必要がある
     など、成長する組織や環境変化への対応リソースが課題となった。
    ・デバイスの一斉導入、業務アプリの一斉追加がプロジェクトとして発生した
    ・DXやデジタル化推進に伴い、導入台数や選択肢の増加計画がある
     など、企業としてデジタルデバイスの導入状況に変化があった。

    上記に当てはまる方は、ぜひ早めにMDMをご検討ください。
    導入検討から運用開始までは一般的に数ヶ月以上かかるため、開始したい時期より余裕を見て進めるべきです。

    当てはまらなかったとしても、組織が大きくなる前に管理基盤を構築しておきたい、という先を見据えたご相談もあります。

    後述するように、配布したデバイスが増えた後にMDMを導入するには相当の作業が発生します。
    10台~30台程度ではデバイス管理のメリットがあまり感じられないかもしれませんが、50人の壁を越える時期に、一度検討することをお勧めします。
    (台数や利用人数、事業、用途により最適なタイミングは異なります。ぜひご相談ください。)

    教育機関の場合

    教育機関では、デバイス導入を段階的に行う場合も多いです。
    まず特定コースや新入学生分だけ導入といった場合は、50~150台程度の調達となることでしょう。

    50台程度(1クラス+教員分など)であれば、手動で初期設定を行い、個々にアプリをインストールし、トラブル時も都度の対応が可能かもしれません。

    しかし、この後も台数が増えていくことが決まっているなら、余裕のあるうちにMDMの仕様を確かめ、固めるチャンスでもあります。

    「Automated Device Enrollment(ADE≒DE)」による初期設定の自動化と、「Volume Purchase」によるアプリ一括配布の仕組みは、 数十台規模の導入でも早く始めるに越したことはありません。
    後述の「Apple Configurator」を利用する場合であっても、後にMDM環境に引継ぎやすいような準備・調達方法で進めておくことを推奨します。

    数百台規模の一括配布を行う場合、MDMはほぼ必須と言えます。
    初期設定の簡易化の面はもちろん、配布後の設定変更やアプリの追加、紛失等のトラブルに対応するには、遠隔で管理できるツールが無ければ難しいでしょう。

    また、資産管理やセキュリティの面でも、人力で管理するのは難しい台数となります。

    教育機関の場合、一度設定を作ったら大きく変動させることが無いケースも多く、早く準備をすればするほど今後の導入を楽に行えます。

    導入を進めるステップ

    MDMを導入する場合の、一般的な進め方をご紹介します。

    大きく分けると5つです。

    ①管理したいデバイスの種類・台数・要件を確認
    ②最適なMDMを選定(トライアル・技術要件の確認)
    ③MDMで設定する内容を決め、MDMの使い方を学ぶ
    ④デバイスをMDMの管理下に登録する
    ⑤運用開始

    細かくみていきましょう。

    AdobeStock_298262473.jpeg

    ①管理したいデバイスの種類、台数を確認

    WindowsやAndroidも存在するか、まとめて管理する必要があるか、今行っている管理はどのようなものか、どのような管理環境が構築できれば理想か、等の要件を洗い出します。

    Apple製品の管理については、Mac・iPad・iPhone・Apple TVを管理できる「Jamf Pro」を推奨しています。
    Apple独自の機能やOS更新への対応を考えると、混在環境においてはWindows等とは分けて管理する方が運用が楽になります。

    ②最適なMDMを選定

    ほとんどのMDMはトライアルで試すことが可能なはずです。

    iOSの場合、Appleが指定するプロファイル機能による管理がメインであるため、管理機能自体には大きな差異がありません。
    MDMの操作性やグループ設定機能、コマンド送信内容といった使い勝手が主に異なる点です。

    Jamf Proのグルーピング例(条件によるスマートグループ)

    スマートグループ.png

    Macの場合は十分な管理を行えるツールがそう多くありませんが、よく比較に挙がるIntuneについてはこちらの記事で解説しております。

    こちらも確認すべきポイントは、最新OSの追従性やMDMの操作性、設定の柔軟さ、新機能の追加頻度、技術要件などです。
    Macの場合はスクリプト等を用いてiOSよりも高度な管理が可能な一方、構築内容の設計が複雑化しがちで、操作感や機能の差が大きく響きます。

    MDMによっては「管理用App」をデバイスにインストールしなければならなかったり、Macの管理者権限が無ければうまく作動しなかったり、といった要件が存在します。

    特に繰り返し行うこととなる「アプリの配布」や「リモートコマンドの送信」の操作手順や、「インベントリ」でどのような情報を収集できるのか、といった差異が出やすい部分はきちんと確認しておきましょう。

    また、小規模組織向けのMDMも存在しますが、一度選んだMDM製品の乗り換えは、新規契約時と大きく変わらない手間が発生します。
    組織の成長を見越した製品選定を初めから行っておく方が、結果的にはコスト削減に繋がることもあります。
    もちろん、あまりにも少ない台数で始めてしまうとコストメリットが出せない可能性も高いので、慎重な検討が必要です。

    ③MDMで設定する内容を決める・MDMの使い方を学ぶ

    最も重要な項目です。
    MDMの構築内容を設計します。デバイス初期設定の内容、構成プロファイルの作成、運用ルールなどを一つずつ固めていきます。
    慣れない方は導入コンサルティングサポートでMDM設計支援をご利用いただけます。

    iOSの構成プロファイル設定検討資料例

    iOSプロファイル設計.png

    そして、初期構築後の運用やトラブル対応のため、管理者の方が使い方を把握しておく必要があります。
    初回講習の付帯するMDMも多いですが、ヘルプや困った時のサポートはどのような対応があるかも確認しておきましょう。

    ④デバイスをMDMの管理下に登録する

    管理を始めるには必須です。
    Apple製品の場合は、登録方法が大きく3つあります。

    1)Automated Device Enrollment(ADE≒DE)に対応する販売店からの購入で自動登録
    2)Apple Configuratorを用いて手動登録(マニュアルDE登録)
    3)URL経由で手動登録

    1)Automated Device Enrollment(ADE≒DE)に対応する販売店からの購入で自動登録

    1つ目の方法が最もおすすめですが、新規購入時にしか利用できません。デバイスの購入前にDEの申し込みが必要です。
    管理者の手間は一切かからず、新しいデバイスが届けられた時点でApple Business(School) Managerを介してMDMに登録されています。
    Apple Business Managerとは

    この方法では、「監視対象」という強固な管理を行えるモードに自動的に対応します。

    2)Apple Configuratorを用いて手動登録(マニュアルDE登録)

    2つ目の方法は、次項で解説する専用アプリを使う方法です。

    ・アプリを利用するためのMacが必要
    ・接続と設定の手間がかかる
    登録時にデバイスが初期化される
    などいくつかデメリットがありますが、購入済のデバイスをDE設定することができます。

    こちらも「監視対象」モードの対応が可能です。

    3)URL経由で手動登録

    3つ目の方法は、登録用URLとパスワードを伝え、デバイスを利用するユーザー自身が登録を行うことが多いです。
    既に配布済のデバイスをMDMに登録する、最も簡易な方法です。

    しかし、原則として監視対象にすることができないため、iOSの場合は「アプリのインストール/削除の禁止」「Apple IDによるサインイン禁止」などメインとなる管理機能の多くが利用できなくなります。

    Macの場合、監視対象にならない事によるデメリットはあまりありませんが、初期化やコマンド操作によってMDMの管理から外れてしまうリスクが考えられます。(DEデバイスの場合は、初期化しても再度MDMに登録されます。)

    (1)の方法を取りたい場合、新規購入かリプレイスのタイミングを狙ってMDMを検討されると良いでしょう。
    難しい場合は、(2)による登録作業の代行もご相談ください。

    ⑤運用開始

    運用が開始した後は、事前に決めたルールに従ってアプリ追加や新規デバイスの調達、資産管理が日常業務となります。
    必要に応じて、管理項目の再検討を行ったり、資産のヘルスケアチェックを行いましょう。

    小規模組織で使えるApple Configurator

    Appleが提供する無償のアプリ、「Apple Configurator」を用いて、一部管理機能をデバイスに適用することができます。
    ※iOS7以前など、古いOS・機種ではご利用いただけません。

    対応OSと用途が異なる2つのアプリが用意されています。

    iOSの管理を行う、Mac用アプリ「Apple Configurator2」

    Macを使って、iPhoneまたはiPadの管理を行います。
    デバイスを有線でMacに接続し、DEの設定を行ってMDMに登録したり(マニュアルDE登録)、プロファイルを作成してデバイスに配布したり、アプリをインストールしたりできます。

    Apple Configurator2でアプリ配布

    スクリーンショット 2021-12-27 17.36.51.png

    プロファイルの作成と配布については、こちらの記事も参照ください。
    有線接続が可能な範囲の台数なら、iPhoneやiPadの管理はApple Configuratorで行うのがおすすめです。

    また、後からMDMを導入した際、DE登録されていない端末がある場合は、Apple Configuratorを使って手動登録できます。

    Apple Configurator2で手動登録

    スクリーンショット 2021-12-27 17.37.23.png

    【マニュアルDE登録の手順】(Jamf Proに登録する場合・2021年12月時点)

    ※Apple Business(School) Managerへの登録・MDM側の連携作業については、MDMのご導入時にご案内しております。下記はMDM導入後の手順です。
    ※手続きを通して、デバイスは初期化されます。

    ①Apple Configurator 2にMDMサーバを登録する
    Apple Configurator 2を起動
    > 環境設定をクリック
    > サーバ をクリック
    > 追加(+ボタン) をクリック
    > 名称とMDMのURLを入力
    > 続ける をクリック
    > 編集 をクリック
    > 内容を確認し、問題なければ終了

    ※登録URL:https://***.jamfcloud.com/cloudenroll となります。
    ※「cloudenroll」は自動的に追加されますので変更しないでください。
    ※信頼証明書:「*.jamfcloud.com」を含めて、3つの証明書が追加されていれば、設定は問題なく完了しています。

    ②端末をDE登録し、MDMの管理下におく
    登録したいiPhone・iPadをMacに有線接続
    > 表示されたデバイスを選択
    > 右上「準備」 をクリック
    > 「手動構成」「ASMまたはABMに追加」「デバイスを監理」及び「デバイスにほかのコンピュータとのペアリングを許可」にチェック
    > MDMサーバに登録 をクリック
    > 先ほど作成したMDM環境を選択
    > 割り当てる組織を選択
    > 設定アシスタント(初期設定でスキップする項目)を選択
    > 必要に応じてネットワークプロファイルを選択
    > 必要に応じてユーザ名とパスワードを選択

    少し手間はかかりますが、この手順で「監視対象」にしつつ、購入済みのデバイスをMDMに登録することができます。
    以降は、このデバイスを初期化してもセットアップ時に必ずMDMに紐づきます。

    MacのADE登録を行うiPhone用アプリ「Apple Configurator」

    2021年12月にリリースされたばかりのiPhoneアプリです。
    対応するmacOSのバージョンはまだ限られていますが、購入後のMacを後からDE登録できるようになりました。
    ※その他の管理機能はありません。
    ※Apple Configuratorの利用にはiOS 15.0以降のiPhoneが必要です
    ※T2 セキュリティチップか、Apple シリコンを搭載しているMacが対象です。

    手順を動画で解説しています。

    スクリーンショット 2021-12-27 17.49.29.png

    画面にカメラを向けるだけで、簡単にMacがApple Business(School) Managerに登録されました。

    この方法でも、Macを工場出荷状態に戻す完全な初期化が必要です。
    既に運用中のMacを初期化することはあまり現実的ではないため、あくまでイレギュラーの手段としてお考えください。

    後からデバイスをMDMに登録するのは面倒そう...と感じられた方も多いのではないでしょうか。
    実際に、台数が増えた後の管理環境の構築では、既存デバイスをどう管理していくかがハードルとなるケースは多くあります。

    いずれMDMを導入する目処があるのなら、初めから「Device Enrollment」のプログラムを通じたデバイス調達の検討を強くお勧めします。

    冒頭に述べたように、50人を越えてなおメンバーが増え続ける企業や、デバイス利用人数の多い教育機関の場合は、なるべく早期にMDM導入に必要な準備ができているか確認を進めると良いでしょう。

    記事は2021年12月28日現在の内容です。

    Apple Blog Topへ

    おすすめ記事を見る