監視モード(自動DEP登録)

MobiControl v14 Manual


A. DEP登録の概要

iOS端末を、監視モードとして設定するために、DEP(Device Enrollment Program)登録をします。 DEP登録では、端末をアクティベーション(初期設定)をします。初期設定のプロセスで、端末はApple Business Managerにアクセスし、そしてMobiControlサーバのURLを入手します。 そして、端末はMobiControlサーバに自動的に登録されます。 DEPによるMobiControlへの登録の仕組みを参照ください。
DEP登録には2つの方法があります。
  • 自動DEP登録
    DEP販売店IDを持つ販売店から購入するiOS端末が対象
  • 手動DEP登録
    DEP販売店IDを持たない販売店から購入したiOS端末、既に購入済みのiOS端末、及び、非監視モードでMobiControlに登録済みだが監視モードに変更する端末が対象
自動DEP登録でも手動DEP登録でも、Apple Business Managerにアクセスできる「ABM(Apple Business Manager)担当者アカウント」を取得しておく必要があります。 「ABM担当者アカウント」を取得するには、ABM担当者アカウントの取得を参照ください。
自動DEP登録の手順の概要は下表の通りです。
ステップ1ABM担当者アカウントを取得
ステップ2
  1. Apple Business Manager内に、仮想MDMサーバを設定(追加)
    (MobiControlサーバのURLなどを登録)
  2. MobiControlサーバの公開キーとApple DEPトークンの交換
ステップ3端末を購入した購入元(販売店)が、端末のシリアル番号をApple Business Managerに登録
ステップ4ABM担当者が、Apple Business Managerにサインインして、 端末シリアル番号を仮想MDMサーバに割り当て。
これで、当該シリアル番号の端末が Apple Business Managerにアクセスすると、仮想MDMサーバからMobiControlサーバのURLを取得できます。
ステップ5端末が所属する予定の端末グループに、端末のシリアル番号を再配置。
(MobiControlコンソールでの作業)
ステップ6 登録する端末の初期設定(アクティベーション)。
初期設定をする端末は、Apple Business Managerにアクセスして、MobiControlサーバのURLを取得して、 MobiControlサーバにアクセス。自らの端末シリアル番号が標記されている端末グループに登録。
端末のシリアル番号とは、製造時にメーカーが端末毎に附番した番号で、端末に固有の番号です。
iPhone/iPadの端末シリアル番号は、製品の背面またはSIMカードケースに記載されています。 また、購入時に製品を入れてある箱にも標記されています。

自動DEP登録と手動DEP登録での作業内容の違いは、おおむね、次のようになります。
作業の概要自動DEP登録手動DEP登録
1.端末シリアル番号のApple Business Managerへの登録作業販売店が実施 MobiControlを利用する企業/団体のABM担当者がApple Configuratorを使って実施
2.Apple Business Manager内で、
  1. 仮想MDMサーバの設定(追加)
  2. 公開キーとDEPトークンの交換
  3. 登録予定端末の端末シリアル番号を仮想MDMサーバに割り当て
MobiControlを利用する企業/団体のABM担当者が実施
3.端末シリアル番号の端末登録ルールへの配置 コンソール管理者が実施不要
上の表の 2. 項a. b. の作業は、1回だけです。追加的に登録される端末に対しては、不要です。
但し、Apple DEPトークンの有効期間は1年間。1年経過すると、b.項の作業をする必要があります。
手動DEP登録の手順については、iOS端末の手動DEP登録 を参照ください。
以下は、自動DEP登録の手順の説明です。B.からF.までの項目をクリックし、 説明を開いてください。
再度クリックすると説明が閉じます。
説明を開いた状態
説明を閉じた状態

B. 公開キーとDEPトークンの交換

  • MobiControlサーバの公開キーと AppleのDEPトークン(サーバトークン)を交換します。 これにより、MobiControlサーバをApple Business Managerに紐づけします。

    B-1. MobiControlサーバから公開キーをダウンロード

    1. コンソール画面の左上の三本線アイコンをクリックすると、(図B-1)のメニュー画面が現れます。
      (図B-1)

       

      (図B-1)の「システム中枢の設定」を選択すると、画面が遷移し、 画面の左下に(図B-2)のように「システム中枢の設定メニュー」が表示されます。
    2. 左下のシステム中枢の設定のペインから「Apple Device Enrollment Program」のスパナの形をしたアイコン
      (図B-2の の赤矢印)をクリックします。

      (図B-2)


    3. (図B-3)のポップアップが現われます。

      (図B-3)


      (図B-3)の「公開キーのダウンロード」をクリックすると、MobiControlサーバから公開キーがダウンロードされるので、 それをコンソールPCの所定のフォルダに保存します。公開キーのファイル名の拡張子は、XXX.cer です。

    (図B-4)

    B-2. 仮想MDMサーバを作り、公開キーをアップロード

    1. Apple DEPサーバにアクセス
      ブラウザで、Apple DEPサーバ、即ち、 business.apple.comにアクセス すると(図B-5)のポップアップが現れるので、 ABM(Apple Business Manager)担当者のManaged Apple ID(管理対象Apple ID)でサインインします。

      (図B-5)

      ABM担当者としてAppleに登録する手順は、 を参照ください。

      サインインは、2ステップ確認をします。Apple ID とパスワードを入力すると、SMSで、4桁の確認コードを送ってきます。 この4桁の確認コードを入力することで、サインインが完了します。
    2. 仮想MDMサーバを登録する
      Apple Business Managerサイトにアクセスしたら、左辺インデックスで「設定」を選択し、中央インデックスで「デバイス管理の設定」を選択します。 そうすると、(図B-6)のような画面になります。
      (図B-6)の右側に「MDMサーバを追加」のアイコン(赤矢印)が表示されます。 これが、仮想MDMサーバをApple DEPサーバに登録するためのアイコンです。このアイコンをクリックすると、(図B-7)に画面が遷移します。

      (図B-6)

    3. 公開キーをアップロード
      (図B-6)の「MDMサーバを追加」をクリックすると、(図B-7)に画面が遷移します。

      (図B-7)

      • (図B-7)のに、仮想MDMサーバの名前を入力します。 社内に複数のMDMサーバを設置することに備え、ABM担当者として判別しやすい名前を入力します。
      • 続けての「ファイルを選択してアップロード」をクリックすると、コンソールPCの Explorerが開きます。(図B-4)で保存したMobiControlの公開キーを保存してあるフォルダを開きます。その公開キーを指定し、「開く」を押すと、MobiControlの公開キーがアップロードされます。
      • の「保存」ボタンを押すと、AppleのDEPトークン(サーバトークン)がダウンロードされます。

    B-3. DEPトークンのMobiControlサーバへのアップロード

    (図B-3)の「3. DEPトークンをアップロードします。」の項の「参照」ボタンを押すと、コンソールPCのExploreが起動します。 (図B-7)での「保存」ボタンを押すことで ダウンロードしたDEPトークンの保存先のフォルダを開き、DEPトークンのファイルを選択します。 そうすると、DEPトークンがMobicontrolサーバにアップロードされます。

    これで、MobiControlの公開キーと、AppleのDEPトークンの交換は終わりました。
    ご留意
    • MobiControlの公開キーと、AppleのDEPトークンの交換をするのは基本的に仮想MDMサーバを作成したときの1回だけです。 但し、年に1回は更新が必要です。
      DEP販売店IDを持つ販売店が、Appleに対し追加注文すると、端末が仮想MDMサーバに自動的に割り当てられます。
    • もし、MobiControlサーバが複数台ある場合は、別の「仮想MDMサーバ」を作り、 同じ作業を行います。

C. DEP販売店IDの入力と端末シリアル番号のApple Business Managerへの登録


  • 端末の購入に伴い、当該端末のシリアル番号が、Apple Business Manager(DEPサーバ)に登録されるまでのプロセスを説明します。

    (図C-1)

    • business.apple.comにサインインをし、(図C-2)の画面で、貴社の「組織のDEPお客様ID」が表示されていることを確認します。

    (図C-2)

    • (図C-2)の「組織のDEPお客様ID」を、Apple製品販売店に伝えると、そのApple製品販売店の「DEP販売店ID」を教えてくれます。
    • 中央インデックスで、「デバイス管理の設定」を選択します。

      (図C-2)

      (図C-2)の「DEP販売店ID」の欄(赤矢印)に入力します。そうすると、画面は(図C-3)のように、「DEP販売店ID」と対応するApple製品販売店の社名が表示されます。

      (図C-3)

    • そのApple製品販売店は、納入先として、貴社の「組織のDEPお客様ID」を入力して、 製品をAppleに注文します。
    • 注文を受領したAppleは、ABM担当者に「デバイスが提出されました」という件名の メールを送ってきます。詳しくは、Appleのユーザガイド: Apple Business Managerでのデバイス注文情報の表示」を開いてください。
      Appleでの受注処理が終わり、DEPサーバに製品の登録を終えると、 Appleは、ABM担当者に「デバイスが登録可能です」という件名の メールを送ってきます。これは、「MobiControlに登録可能です」の意味です。詳しくは、Appleのユーザガイド: Apple Business Managerでのデバイス注文情報の表示」を開いてください。
    • ABM担当者は、注文したApple製品のシリアル番号または、発注番号を参照して、MobiControlに登録するデバイスを 指定する作業を実行します。
      購入した端末のアクティベーションを実行すると、端末はAppleのサーバにアクセスします。Appleサーバは、その端末のシリアル番号を読み取り、アクセスするべきMDMサーバのURLを 端末に教えます。端末はそのMDMサーバのURLにアクセスして、MDMサーバへの登録が完了します。

D. 端末シリアル番号を仮想MDMサーバへ割り当て


  • 端末販売店からAppleへの発注が終わると、発注した端末のシリアル番号が、Apple Business Managerに登録されます。 ABM担当者は、Apple Business Managerにアクセスし、登録された端末シリアル番号を、(図B-7)で追加した仮想MDMサーバに、割り当てます。
    Appleが受注した旨をABM担当者にメールをしてきたら、ABM担当者は、business.apple.comにサインインをします。 画面の左側インデックスで、「デバイスの割り当て」を選択します。

    (図D-1)


    • (図D-1)の「1.デバイスの選択方法」で、仮想MDMサーバに割り当てるデバイスを指定します。 3種類の指定方法があります。
      1. シリアル番号
        端末シリアル番号を、カンマ区切りで、連続的に入力します。
      2. 注文番号
        端末販売店からAppleへの注文書の注文番号。 (図C-1)の で受信したメールに記載されています。注文書の端末のシリアル番号を一括して指定できます。
      3. CSVファイルをアップロード
        Explorerが現れるので、端末シリアル番号を羅列したCSVファイルのファイル名を指定します。 そのCSVファイルがApple Business Managerにアップロードされます。
    • (図D-1)の「2. 操作の選択」で、プルダウンから仮想MDMサーバの名前を選択します。(図B-7)で名付けた仮想MDMサーバの名前が表示されます。 それを選択します。
      これで、「1.デバイスの選択」で指定した端末が、「2. 操作の選択」で選択した仮想MDMサーバに割り当てられます。
      端末の仮想MDMサーバへの割り当てが終われば、「完了」ボタンを押します。
      詳しくは、下記リンクをクリックして、Apple社のヘルプページの指示に従ってください。
      購入したデバイスの割り当て」 を開いてください。

    Apple Business Managerの仮想MDMサーバから、実際のMobiControlサーバに、端末シリアル番号を含む端末情報が送られてくるのは、夜中の12時過ぎです。1日に1回です。 この情報が送られてこないと、端末のアクティベーションとMobiControlへの登録はできません。 より早く、追加端末情報をAppleからMobiControlサーバに送らせるためには、 (図B-3)の下段にある「DEPデバイスの同期」ボタンを押します。

    以上の準備の結果、次の手続きができるようになりました。
    1. 購入した端末のアクティベーション(初期設定)ができるようになりました。 アクティベーションができるとは、Appleのアクティベーションサーバにアクセスできるようになったことです。
    2. Appleのサーバは端末のシリアル番号を読み取って、(図D-1)で割り当てた仮想MDMサーバの情報(サーバのURLなど)を、端末に伝えます。
    3. 仮想MDMサーバの情報を受け取った端末は、MDMサーバ(MobiControlサーバ)にアクセスし、登録(Enrollment)を行います。

E 端末登録ルールで、端末シリアル番号を再配置

  • 初期設定をする端末は、Apple Business Managerから、MobiControlサーバのURLを取得します。 そして、MobiControlサーバに、登録のためにアクセスしてきます。 ここでは、登録にきた端末が、自動的に、所定の端末グループに所属するための準備をします。
    MobiControlでは、部門別に端末登録ルールが作成されています。 そこで、配備予定の端末のシリアル番号を、端末登録ルール毎に記しておき、端末の登録に備えます。 その準備をしておくと、端末は、そのシリアル番号を標記している端末グループに、自動的に所属して登録されます。
    複数の観光バスがあり、各々乗車予定者リストが決まっていたとします。バスに乗る人はリストに自分の名前が載っているバスに乗車します。 これと同じ仕組みです。

     

    端末のシリアル番号とは、製造時にメーカーが端末毎に附番した番号で、端末に固有の番号です。
    iPhone/iPadの端末シリアル番号は、製品の背面またはSIMカードケースに記載されています。 また、購入時に製品を入れてある箱にも標記されています。

    (図E-1)

    E-1. 既定の端末登録ルールを作成

    初期設定をする端末は、 Apple Business Managerから、MobiControlサーバのURLを通知されます。そして、そのURLに対してアクセスしてきます。
    このURLは、https://mobicontrol.abc.co.jp/の形式であり、登録用URLではありません。
    (登録用URLは、https://mobicontrol.abc.co.jp/Enroll123456/のようにディレクトリが指定されています。)
    そこで、https://mobicontrol.abc.co.jp/宛にアクセスしてきた端末のために、受け皿となる端末登録ルールを作成します。 この受け皿となる端末登録ルールを「既定の端末デバイスルール」と呼びます。
    まずは、通常の方法で、端末登録ルールを作成します。 今、端末登録ルールの名前として「DEP受付」という端末登録ルールを作成するとします。
    この作成プロセスで、(図E-2)の画面が現れます。

    (図E-2)

    (図E-2)で、「全般」は、端末OSに働きかける選択肢です。「アシスタントオプションの設定」は、設定作業中の端末に、該当メッセージを 表示するか否かの選択肢です。
    (図E-2)の項目説  明
    全般
    設定アシスタントで登録を必須にする 端末を初期化した場合、その設定アシスタントの手順の中に、MobiControlへの登録を必須とする場合に、ここにチェックを入れます。 通常はチェックを入れます
    デバイスの監視チェックを入れると、端末を監視モードにします。 監視モードにすると、端末に対する設定機能が豊富になります。通常はチェックを入れます
    登録解除を禁止するチェックを入れると、端末ユーザによって、端末の「設定」-->「一般」で、MobiControlプロファイルの削除ができないようにします。 通常はチェックを入れます
    ホストペアリングを許可するチェックを入れると、iTunesを利用してパソコンとの間でデータの送受を許可することになります
    アシスタントオプションの設定端末を初期化した後、アシスタントプロセスで許可する条件
    新規またはバックアップからの復元の設定チェックを入れると、(iCloudからの)復元を許可します
    Apple IDチェックを入れずにおくと、アクティベーションの際にApple IDの入力を要求する画面が端末で表示されません。 通常はチェックを入れません
    使用条件チェックを入れると、利用規約に同意するかどうかの選択画面を表示します。
    診断チェックを入れると、端末の状況を診断しApple社に送信するか否かの選択画面を表示します
    位置情報サービスチェックを入れると、位置情報サービスを許諾するか否かの画面を表示します
    Siriチェックを入れると、Siriを使用するかどうかの選択画面を表示します

    続けて、この端末登録ルール(ルール名「DEP受付」を既定のデバイス端末登録ルールとして登録します。

    コンソール画面の左上の三本線アイコンをクリックすると、下図のメニュー画面が現れます。

     

    「システム中枢の設定」を選択すると、画面が遷移し、 画面の左下に(図E-3)のように「システム中枢の設定メニュー」が表示されます。
    画面の左下に(図E-3)のように、システム中枢の設定のペインが表示されます。

    (図E-3)

    (図E-3)の「グローバル登録設定」つまり、 の矢印のスパナマークをクリックすると(図E-4)が現われます。

    (図E-4)

    (図E-4)の「既定のデバイス端末登録ルール」の「iOS」の欄の右端をプルダウンすると、端末登録ルールのリストが現れます。 この中から、既定のデバイス端末登録ルールとするルール名を選択します。(図E-4)は、「DEP受付」を選んだ状態です。
    選択が終われば、「OK」を押します。これで、「DEP受付」という名前の端末登録ルールは、既定の端末デバイスルールとして、MobiControlサーバに登録されました。

    E-2. 実際に登録する端末登録ルールへ端末シリアル番号を配備

    • 端末には、メーカーが出荷時につけた端末シリアル番号が埋め込まれています。
    • MobiControlサーバは、AApple Business Managerと、端末に関する同期を、毎晩12時頃に行います。
      Apple DEP サーバの仮想MDMサーバに、端末の販売店によって、前日新たに割り当てられた端末のシリアル番号を、この同期に基づき、MobiControlサーバは受領します。 そして、そのシリアル番号を、暫定的に、「既定のデバイス端末登録ルール」に配備します。
    • 「既定のデバイス端末登録ルール」に配備された端末シリアル番号を、他の端末登録ルールに移送するのがこれからの作業です。 その作業の結果、各端末登録ルール内のリストには、移送されてきたシリアル番号が標記され、DEP経由で登録してくる端末の登録を 受けつけられるようになります。

    (図E-5)


    (図E-6)
    上辺のタブで、「iOS」を選択し、下辺で「ルール」を選択すると、左側にツールの一覧が現れます。 この中の「端末の登録」をクリックすると、(図E-6)のように「既定の端末登録ルール」、ここでは「DEP受付」が表示されています。
    この「DEP受付」を右クリックして現れるメニューの中に、「DEP指定の管理」の項目があります。 この項目をクリックすると、(図E-7)が現れます。

    (図E-7)

    (図E-7)が、 「 既定のデバイス端末登録ルール」に、Apple DEP サーバから送られてきた 端末シリアル番号のリストです。
    (図E-7)に、「登録ステータス」と「DEPプロファイル状態」の列があります。
    「登録ステータス」の3表記「DEPプロファイル状態」の4表記
    • 登録されてない
      端末がまだMobiControlに登録されてない
    • 未登録
      一度登録された後に、MobiControlから削除された状態
    • 登録済

    • 端末登録ルールで、まだDEPプロファイルを作成してない
    • プッシュ
      DEPプロファイルを変更したので端末に送る
    • 削除
      端末のDEPプロファイルの削除要求中
    • 割り当て
      DEPプロファイルの割り当て済み
    「DEPプロファイル」とは、(図E-2)で設定したプロファイルです。

    E-3. 端末シリアル番号各端末登録ルールへの移送

    (図E-7)の「指定の管理」ボタン(赤矢印)を押すと、(図E-8)のポップアップが現われます。

    (図E-8)

    (図E-8)の「アクションを選択」は、「移送先となる端末登録ルールの選択」の意味です。 赤い欄の右端をプルダウンすると(図E-9)のように、作成済みの端末登録ルールの一覧が表示されます。

    (図E-9)

    (図E-9)の「移送先となる端末登録ルールの一覧」から一つの端末登録ルールを選択します。 例えば、(図E-9)で「"東京本社企画部"に指定」を選択すると、(図E-10)の画面になります。

    (図E-10)

    (図E-10)で、「追加」ボタンを押して、「東京本社企画部」に所属する端末のシリアル番号を入力します。 この端末シリアル番号は、(図E-7)に表示されていた端末シリアル番号の中から選択して入力します。(図E-7)に表示されていない端末シリアル番号を入力するとエラーになります。
    2台目は2行目に入力します。

    E-4. 端末シリアル番号の簡易な入力(移送)方法


    1. (図E-7)で、「端末のエクスポート」ボタンを押すと、(図E-7)の端末シリアル番号とそのタイプ(iPhoneかiPadか)の一覧ファイルががCSV形式で得られます。

    2. この一覧ファイルをExcelなどを使って編集します。 端末登録ルール別に、端末シリアル番号を分類します。 そして、端末登録ルール別の、CSVファイルを作成します。

    3. (図E-10)での「インポート」ボタンを押すとエクスプロラーが現われます。 これに、上記2.で作成したCSVファイルを選択します。そうすると、2.で選んだ端末群が(図E-10)に一斉に入力(移送)されます。
    これで、端末シリアル番号を「既定のデバイス端末登録ルール」から、各々の所属先となる「端末登録ルール」への 移送が終わりました。
    以上は、Apple DEP サーバから、端末シリアル番号のリストを、MobiControlに送ってきて貰っている前提での説明です。 新規の端末シリアル番号は、毎晩12時頃に送られてきます。
    より早く、追加端末情報をAppleからMobiControlサーバに送らせるためには、 (図B-3)の下段にある「DEPデバイスの同期」ボタンを押します。

F. アクティベーションの開始


  • E.項までの準備が、終わると、端末のキッティングを開始できます。
    • 今までアクティベーションをしたことがない端末で電源を入れると、アクティベーションが開始されます。
    • 続けて、言語、国やキーボードの種類の選択の後にWiFiのSSID/パスワードを求められます。 WiFi経由で、Apple アクティベーションサーバに接続するためです。
      i-Tunesを起動したPCに端末を接続すると、WiFiのSSID/パスワードを入力をしなくても、アクティベーション作業を続けられます。
    • 端末登録ルールのDEPプロファイルの設定の Apple IDの項をチェックオフにしておくと、Apple IDの入力画面は現れません。
      つまり、Apple IDの入力をしなくても、端末のアクティベーションができるようになります。 DEP登録の端末は、Apple IDを使わずに、管理ができます。IT部門としての利便性が向上します。 Apple IDがなくても、Appストアのアプリ、それも有償アプリでも、ダウンロードができます。「iPhoneを探す」や「紛失モード」などの機能は、iCloudの替わりに MobiControlが提供します。
      その他、設定アシスタントの質問画面が表示されるかスキップされるかは、 端末登録ルールのDEPプロファイルの設定次第です。通常は全てオフにしておきます。
    • 本人認証のために、ADのユーザ名/パスワード入力を必要とするように端末登録ルールを設定してある場合は、 ADのユーザ名とパスワードの入力画面が現れます。
    • 登録パスワードを必要とする端末登録ルールが適用される場合は、パスワード入力画面が 現れます。
    • 端末が所属する端末グループに割り当てられている構成プロファイルは、端末の登録後、自動的にインストールされます。
    • アプリカタログ・ルールで、デバイスベースのVPPアプリを「必須」指定しておくと、サイレント・インストールされます。 サイレント・インストールは、アプリの自動ダウンロードと自動インストールのことです。 MobiControlのエージェントも、「必須」指定で、アプリ・カタログに登録しておきます。

    以上、iOS端末の自動DEP登録の方法を説明しました。
    • 端末をWipe(初期化)し、再度アクティベーションをすると、その端末は、またApple Business Managerサーバにアクセスをします。 そして、端末は、MobiControlサーバのURLを取得し、再度MobiControlに登録をします。
    • 端末をDEP登録の対象から除外するには、その端末のシリアル番号をApple Business Managerサーバから削除してから 、端末をWipe(初期化)し、再度アクティベーションします。そうすると、そのアクティベーションプロセスでは、Apple Business Managerサーバにアクセスをしなくなります。 当然、DEP登録はされません。