構成プロファイルとは?端末管理の第一歩、プロファイルと監視対象を理解しよう

  • Apple
  • Apple Blog
  • 構成プロファイルとは?端末管理の第一歩、プロファイルと監視対象を理解しよう
  • 構成プロファイルとは?端末管理の第一歩、プロファイルと監視対象を理解しよう

    端末管理の第一歩、構成プロファイルと監視対象を理解しよう

    Apple製品の管理設計には欠かせない、構成プロファイル。
    MacやiPad、iPhoneを企業や学校で使っていきたい、という方は管理の第一歩として理解しておくと良い項目です。

    構成プロファイルとは、.mobileconfigの形式で作られる設定情報ファイルのことで、中身はXML形式のテキストファイルです。
    構成プロファイルを端末に適用するだけで、様々な設定をワンプッシュで完了させることができます。

    どのように設定を構成するのか、端末への適用方法、そして構成プロファイルの利用に欠かせない概念である「監視対象*1」とは何か、簡単に解説します。
    *1 監理対象、監視モード、監理モード、管理モード、デバイス管理モード、Supervised Modeなど、MDM製品や翻訳によって表記が異なることがありますが、全て同じものを指しています。

    構成プロファイルの概要とApple Configuratorの使い方

    構成プロファイルとは、前述の通り「.mobileconfig」という拡張子のファイルです。

    このファイルの中で、Appleが管理できる項目として設定している、

    • 端末機能制限
    • Wi-Fi設定
    • VPN設定

    などの各種設定を記述していくことになります。

    .mobileconfigの中身を見てみると、このように端末に対して適用したい設定情報が記載されています。

    WiFiプロファイル.png

    ※画像の例は、Wi-Fi設定を配布するためのプロファイルです。

    普段は中身を見ることはあまりないと思いますが、このような設定データを展開することで、端末側の操作は不要ですぐに設定が完了するのです。

    もちろん、これらの設定を手書きで作成する必要はありません。構成プロファイルを作成する最も基本的な方法は、「Apple Configurator 2」というMacの無料アプリケーションを使うことです。

    「Apple Configurator 2」は、MacにiOS端末を有線接続することで、様々な管理を可能とするアプリケーションです。利用は無料ですので、接続出来る程度の台数であればすぐに構成プロファイルによる管理を始めることができます。

    プロファイルの作成方法は簡単です。
    Apple Confifurator 2を起動し、「ファイル」から「新規プロファイル」を選択します。

    スクリーンショット 2021-03-29 11.02.52.png

    設定したい機能制限やポリシーを選択し、プロファイルの中身を作っていきます。

    スクリーンショット 2021-03-29 11.05.00.png スクリーンショット 2021-03-29 11.05.14.png

    完了したら⌘+Sで、構成プロファイルとして保存可能です。

    一つのプロファイル内に沢山の設定をまとめることはお勧めしません。 
    適用時に不具合があった場合、どの設定が不適切だったかを確認しづらくなるためです。
    設定内容に沿う分かりやすい名称をつけて、個別に保存しておくと良いです。

    構成プロファイルの配布・適用

    次に、作成したプロファイルを適用していきます。
    大きく分けて3種類の方法があります。

    Apple Configuratorを利用

    iPhone・iPadの場合は、作成に使ったApple Configuratorでそのまま適用が可能です。
    ブループリント(設計図)の中に作成した構成プロファイルを追加し、端末にブループリントを適用させることで、構成プロファイルを適用することができます。

    ▼ブループリントの作成

    スクリーンショット 2021-03-25 17.55.57.png

    手順は以下の通りです。

    1. [ファイル][新規ブループリント]> 右上の[追加]から作成した構成プロファイルを追加
    2. 端末を有線でMacに接続し、表示された端末を選択
    3. [アクション]>[適用]>適用したいブループリントを選択

    構成プロファイル単体を端末に追加することも可能ですが、ブループリントを作成しておくことで、複数端末に同じ設定を適用させやすくなったり、何のプロファイルが当てられているかを管理しやすくなります。

    MDMを利用

    MDMツールを利用することで、遠隔かつ一括でプロファイルを配布することが可能です。

    プロファイル作成まで一つのツール内で行えるMDMもありますので、製品を選ぶ際は、プロファイル作成機能があるかどうかも確認してみると良いでしょう。

    Appleデバイスに特化したMDM、Jamf Proを例にご紹介します。

    ▼Jamf Proプロファイル作成画面

    作成 2021-03-25 19.03.47.png

    こちらが構成プロファイルの作成画面です。Apple Configuratorとほぼ同様の画面操作で作成が可能です。

    MDMによっては、Appleのアップデートで追加されたペイロード(管理項目)への対応に時間がかかることもありますので、この辺りも製品選定のポイントとなります。

    また、配布方法を柔軟に設定できるかどうかも重要です。

    ▼Jamf Proプロファイル配布画面

    配布 2021-03-29 17.55.56.png

    Jamf Proでは、作成した構成プロファイルを[編集]し、[Scope]から配布対象を選択することで適用できます。
    多くの場合、適用先は端末グループになりますので、複数台へのプロファイル適用が一瞬で完了します。

    条件指定によるスマートデバイスグループの指定や、ユーザごとの指定、除外する端末の指定など、運用に合わせて柔軟に配布することができます。

    初回起動の際に適用させたいプロファイルをあらかじめ設定しておくことで、一つ一つ設定する手間を省けます。
    実際ほとんどの場合は、基本設定は初回起動の際にゼロタッチで完了させますので、このように操作するのは後からポリシー変更等がありプロファイルを適用させる時のみです。

    MDMで構成プロファイルを作成・配布する手順を動画で見る外部サイト

    ユーザーが自身で適用

    プロファイル自体はただのデータファイルですので、全員に配布する必要のないもの(たとえば店舗毎のWi-Fiやプリンターの設定など)は、ユーザーに自発的に適用してもらうこともできます。

    Jamf Proでは「Self Service」という企業専用のポータルを構築できるので、そこから必要なプロファイルやアプリを自身でインストールしてもらうことが可能です。
    もちろん、.mobileconfigのデータ自体を任意の場所に置いておき、配布しても良いでしょう。

    監視対象とは

    監視対象とは、iPhone・iPadへより強固な制限設定を適用できるようにした管理状態のことを指します。
    実は端末を監視対象にしていなければ、適用させることができないプロファイルが数多くあります。

    【監視対象でなければ適用できないプロファイルの例】

    • アプリのインストール/削除の禁止
    • システムリセットの禁止
    • Apple IDのサインイン禁止
    • デバイス名の変更禁止
    • Single App Mode設定

    これらの非常に重要な項目は、監視対象でなければ適用できません。
    iOS13以降、監視対象であることを要求するプロファイルの種類が増えたこともあり、企業や学校で管理したい場合は「監視モードにしておくことはほぼ必須」と言えるでしょう。

    それでは、端末を監視対象にするにはどうすれば良いのでしょうか?
    これには2つの方法があります。

    購入時にDevice Enrollmentを用いて監視対象にする

    MDMと端末を購入時に紐付ける「Device Enrollment(DE)」の仕組みを使い、適切な設定を行うことで、購入した端末は即座に監視対象となります。
    DEの登録は販売店で行うため、特別な操作は不要で、全ての制限設定を適用できます。

    ※購入時にDE登録申請が必要です。詳しくはお問い合わせください。

    Apple Configuratorを使って監視対象にする

    購入時に監視対象にできなかった場合は、Apple Configuratorを使って後から監視対象にすることが可能です。

    しかし、【作業の際に端末の初期化を伴う】ので注意が必要です。
    また、全ての端末をMacに有線接続して作業していく必要があります。
    Apple Configuratorで端末を監視対象化する手順は下記の通りです。(この作業ではMDMへの紐付けは行いません。)

    1. 端末を有線でMacに接続し、表示された端末を選択
    2. [準備]を選択
    3. 準備方法で[手動構成]を選択し、「デバイスを監理」及び「デバイスにほかのコンピュータとのペアリングを許可」にチェック
    4. [MDMに登録しない]を選択
    5. 組織への割り当て(初回の場合は[新規組織]を選択)
    6. Device Enrollment Programへのサインインをスキップ
    7. 管理する組織の情報を入力
    8. 組織の作成(初回の場合は[新しい監理識別情報を生成]を選択)
    9. iOS設定アシスタントを構成(初期設定時に表示する項目を任意で選択できます)
    10. デバイスを消去して準備し直す([消去]を選択)

    後から1台ずつ監視対象にしていくのは大変ですので、できれば初期の段階でDevice EnrollmentとMDMで構築設定をしておくことをお勧めします。


    端末管理を楽にしてくれる「構成プロファイル」をご紹介しました。
    上手に活用し、キッティングや日々の管理の手間を削減して本来業務に取り組める環境を作りましょう。

    従業員が増えてからでは、後から管理対象にしたりMDMに登録したりと手間がかかることがあります。
    Appleデバイスが本格的に増える前に、体制作りに取り組んでおくことで最適に運用していけるでしょう。

    記事は2021年3月30日現在の内容です。

    Apple Blog Topへ

    おすすめ記事を見る