iOS端末の手動DEP登録
A. DEP登録の概要
iOS端末を、監視モードとして設定するために、DEP(Device Enrollment Program)登録をします。 DEP登録では、端末をアクティベーション(初期設定)をします。初期設定のプロセスで、端末はApple DEPサーバにアクセスし、そしてMobiControlサーバのURLを入手します。 そして、端末はMobiControlサーバに自動的に登録されます。 DEPによるMobiControlへの登録の仕組みを参照ください。
DEP登録には2つの方法があります。自動DEP登録でも手動DEP登録でも、Apple DEPサーバにアクセスできる「ABM(Apple Business Manager)担当者アカウント」を取得しておく必要があります。 「ABM担当者アカウント」を取得するには、ABM担当者アカウントの作成を参照ください。
- 自動DEP登録
DEP販売店IDを持つ販売店から購入するiOS端末が対象- 手動DEP登録
DEP販売店IDを持たない販売店から購入したiOS端末、既に購入済みのiOS端末、及び、非監視モードでMobiControlに登録済みだが監視モードに変更する端末が対象
|
手動DEP登録は、macOSコンピュータのApple Configuratorにより、登録する端末の端末シリアル番号その他の情報を Apple DEPサーバに登録します。 iOS端末をmacOSコンピュータにライトニングケーブル(USBケーブル)を使って接続することで、作業を始めます。 Apple Configuratorのバージョンは2.5以上であることが必要です。 Apple Configuratorは、無償でダウンロードできます。 |
|
手動DEP登録の手順の概要は下表の通りです。
自動DEP登録と手動DEP登録での作業内容の違いは、おおむね、次のようになります。
上の表の 第2. 項の作業は、1回だけです。追加的に登録される端末に対しては、不要です。
但し、Apple DEPトークンの有効期間は1年間。1年経過すると、同じ作業をする必要があります。 自動DEP登録の手順については、iOS端末の自動DEP登録 を参照ください。
| ステップ1 | ABM担当者アカウントを取得 |
| ステップ2 | 1台目の端末を、Apple Configurator2を起動したmacOSコンピュータにUSBケーブルで接続。「デバイスの準備」の手順を入力。
Apple Configurator2は、入力された情報に、USBケーブル経由で入手した端末シリアル番号を付して、 DEPサーバにアップロード。 (端末のシリアル番号とは、製造時にメーカーが端末毎に附番した番号で、端末に固有の番号) |
| ステップ3 | MobiControlサーバの公開キーとApple DEPトークンの交換。 これで、1台目の端末は、MobiControlサーバに登録されます。 |
| ステップ4 |
2台目以降の端末をApple Configurator2を起動したmacOSコンピュータにUSBケーブルで接続。
ステップ2と同じ内容を入力。但し、MobiControlサーバのURLやABM担当者アカウントの入力は不要。 ケーブルを接続したままにしておくと、 端末のアクティベーション(初期設定)が始まる。待機すると、端末のMobiControlサーバへの登録が完了。 |
ステップ4でのmacOSコンピュータでの入力作業は、15秒間程度で済みますが、その後の、アクティベーション(初期設定)終了までの
待機時間に15分間程度かかります。多数の端末を手動DEP登録するには、Apple Configurator USB Hub を使います。
これを使うと、同時に多くの端末をmacOSコンピュータに接続でき、一斉に、MobiControlサーバへ登録させることができます。
自動DEP登録と手動DEP登録での作業内容の違いは、おおむね、次のようになります。
| 作業の概要 | 自動DEP登録 | 手動DEP登録 | |
|---|---|---|---|
| 1. | 端末シリアル番号のDEPサーバへの登録作業 | 販売店が実施 | MobiControlを利用する企業/団体のABM担当者がApple Configuratorを使って実施 |
| 2. | 公開キーとDEPトークンの交換
登録予定端末の端末シリアル番号とMobiControlサーバのURLとの紐付け | MobiControlを利用する企業/団体のABM担当者が実施 | |
| 3. | 端末シリアル番号の端末登録ルールへの再配置 | コンソール管理者が実施 | 不要 |
但し、Apple DEPトークンの有効期間は1年間。1年経過すると、同じ作業をする必要があります。 自動DEP登録の手順については、iOS端末の自動DEP登録 を参照ください。
初期設定(アクティベーション)済みの端末を、DEP登録しようとする場合は、事前に「iPhoneを探す」をオフにしておいてください。「iPhoneを探す」をオンにしたままで、DEP登録すると、MobiControlサーバは、アクティベーションロックのバイパスコードを端末から取得できません。
- iOS10.3以降の場合
「設定」 --> 「[ユーザ名]」 --> 「iCloud」の画面の下の方の「iPhoneを探す」をオフにします。 - iOS10.2以前の場合
「設定」 --> 「iCloud」の画面の下の方の「iPhoneを探す」をオフにします。
以下のB.からD.までの項目をクリックし、説明を開いてください。
再度クリックすると説明が閉じます。
再度クリックすると説明が閉じます。
 |
説明を開いた状態 |
 |
説明を閉じた状態 |
-
- 端末をApple Configuratorに表示
macOSコンピュータに、Apple Configurator(Version 2.5以上)を起動しておきます。 そのmacOSコンピュータに、 アクティベーションをしようとする1台目の端末を接続します。端末の名前やiOSのバージョン情報などが表示されます。 これをクリックすると、背景色が青色に反転し、設定ダイアログが現れます。(図B-1)
- 端末で使うキーボードの種類の選択画面が表示されます。
「日本語かな」「日本語ローマ字」「英文字」「English(US)」から複数を選択します。
これは、新規購入の端末の時のみに表示されます。通常モードでアクティベーションを済ませ、使用中の端末の場合は表示されません。 - Wi-FiのSSIDのリストの画面
SSIDのリストが現れるので、適切なSSIDを選択し、対応するパスワードを入力します。
端末が既に、WiFi接続をしている時には、この画面は表示されません。 - DEP登録の基本条件の選択
(図B-2)
(図B-2)で「次へ」を押すと、(図B-3)が現れます。 手動DEP登録と呼ばれる理由は、 (図B-2)で「手動構成」と表示されるからです。Device Enrollment Programに追加 チェックを入れます。DEP登録をするからです。 アクティベートして登録を完了 チェックを入れます。設定情報の入力後、アクティベーションをして MobiControlに登録するからです。 デバイスを監視 チェックを入れます。端末を監視モードにするからです。デフォルトでチェックが入っています。 デバイスにほかのコンピュータとのペアリングを許可 iTunesを起動したPCと接続してデータ交換を行う場合は、チェックを入れます。 共有iPadを有効にする 1台のiPadに複数の利用者登録をするときにチェックを入れます。 最大10人まで登録できます。 - MDMサーバを指定
(図B-3)
1台目の時だけ、「新規サーバ」を選択し、(図B-4)のように、サーバの名前とURLを入力します。(図B-4)
- ここでのサーバの名前欄には、端末登録ルール毎に異なる名前を入力します。 従って、端末登録ルールの名前、または、それを類推できる名前を入力します。
-
登録用URLを入力します。登録用URL(端末登録サイトのURL)は、端末登録ルールを作成すると、生成されるURLです。
詳しくは、端末登録ルールの「端末登録ルールの内容表示」を参照ください。
(図B-4)で「次へ」を押すと、(図B-5)が現れます。 - 組織を指定
(図B-5)
ABM担当者アカウントを識別する 組織名を入力します。このApple Configurator2を複数のABM担当者アカウントが 使用する場合は、各々を識別できる組織名( = 担当する組織名)を入力します。 (図B-5)で「次へ」を押すと、(図B-6)が現れます。
- Apple IDを入力
(図B-6)でABM担当者のApple IDとパスワードを入力します。 ABM担当者のApple IDのAppleへの登録方法は、ABM担当者アカウントの作成 を参照ください。(図B-6)
2台目からは、(図B-5)の組織欄の右端をプルダウンすると、(図B-5)で入力した組織名が表示されるので それを選択するだけです。その場合、(図B-6)は表示されません。
(図B-6)でABM担当者アカウントのApple IDとパスワードを入力したら、「次へ」を押します。(図B-7)が現れます。 - 設定アシスタントの質問項目を選択
(図B-7)で、設定アシスタントの質問項目を選択します。「設定アシスタント」とは、 アクティベーション(初期設定)をするプロセスで、端末の画面に表示される質問項目です。アクティベーションをする人に対する質問です。 全て、オフにしてもかまいません。(図B-7)
そこで、 端末ユーザ個人のApple IDとパスワードを入力すれば、当該アプリのダウンロードとインストールが できます。そして、そのApple IDが、当該端末のApple IDとしてAppleのアクティベーションサーバに登録されます。(図B-7)で、「Apple ID」にチェックを入れないでおくと、アクティベーションプロセスで Apple IDの入力画面が表示されません。そして、Apple IDを入力しなくてもアクティベーションが完了します。
そして、AppストアのアプリをVPP契約で購入し、それの指定タイプを 「デバイスベース」にしておくと、Apple IDとパスワードの入力をしなくてもダウンロードとインストールができるようになります。
アクティベーション完了後、端末ユーザが、上記のVPPアプリ以外のアプリをAppストアからダウンロードしようとした場合は、 Apple IDとパスワードの入力画面が現れます。アプリカタログルールの作成プロセスで、VPPアプリの帰属先を、ユーザにするか、デバイスにするかを選択できます。 デバイスベースにすると、アプリのダウンロード時にApple IDの入力は要りません。
アクティベーションプロセスで、表示させたい質問項目がある場合は、(図B-8)のようにチェックを入れます。 (図B-8)は、「端末の地理的位置を取得することの許可を求める質問」の表示を許可する例です。(図B-8)
MobiControlの端末登録ルールの作成でも、 「Apple ID」、「位置情報サービス」、「Siri」に関しては、質問表示をするか否かの設定ができます。 (図B-8)で、チェックオフしていても、端末登録ルールの作成にチェックを入れることで 質問表示とすることができます。
(図B-7)または(B-8)で「次へ」を押すと、(図B-9)が現れます。 - ネットワークプロファイル
(図B-9)
端末登録ルールでは、次の2つのファイルが生成されます。
この内、登録に関するファイル:addDeviceRulexxxx.mobileconfigを(図B-9)に、インポートします。 上記のファイルの生成の方法は、iOS端末登録ルールの 15.手動DEP登録をするのに必要なファイルをダウンロードを参照ください。ファイル名 登録に関するファイル addDeviceRulexxxx.mobileconfig MobiControlトラストプロファイル rootCertProfile.mobileconfig
(図B-9)の「選択」ボタン(赤矢印部分)をクリックすると、macOSのFinderが起動します。 端末登録ルールで生成したファイルを保存してあるフォルダを開きます。(図B-10)
(図B-10)で、addDeviceRulexxxx.mobileconfigのファイルを選択し、「開く」を押すと、ファイルが、Apple Configuratorにインポートされます。 インポートをすると(図B-11)のような画面になります。
(図B-11)
(図B-11)で「次へ」を押すと、(図B-12)が現れます。
- MDMサーバへの資格情報
(図B-12)
(図B-12)の2つの欄とも空白のままにして、「準備」を押します。
「準備」を押すと、「デバイスの準備」が始まります。 「デバイスの準備」とは下記を指します。- macOSコンピュータのApple Configuratorが、Apple DEPサーバにアクセス
- 端末シリアル番号と、(図B-2)から(図B-11)で入力した情報を、Apple DEPサーバにアップロード
- MobiControlに登録予定の端末の端末シリアル番号を、Apple DEPサーバの仮想MDMサーバに紐づけ。
- 端末のアクティベーションと、MobiControlの所定の端末グループへの登録
ⅰ. から ⅳ. まで、キッティング担当者は待機することになります。待機時間は約15分程度です。 - Wipe(端末の消去)の可否
下記の「C. 公開キーとDEPトークンの交換」を実施すると、1台目端末のアクティベーションとMobiControlサーバへの 登録が始まります。
このApple Configuratorに接続する前に、端末をアクティベーション(初期設定)済みの場合があります。 その際は、(図B-13)のような警告がポップアップします。
前回のアクティベーション(初期設定)以降にインストールしたアプリやデータを、消去してよいかどうかの警告です。 「消去」ボタンを押します。(図B-13)
購入した後にアクティベーションをしてない端末や、Apple Configuratorに接続する前に初期化(Wipe)した端末の 場合は、(図B-13)はポップアップしません。
(図B-14)
続けて、(図B-14)がポップアップします。記述内容を無視して「続ける」を押します。
- アクティベーションの終了とMobiControlへの登録
Apple Configuratorの画面が、(図B-15)のようになると、端末のアクティベーション(初期設定)と、MobiControlへの登録が終わります。(図B-15)
(図B-13)の「監視対象」の列に「はい」が表示されます。 これは、端末が監視モードでMobiControlに登録されたことを示します。ここで、端末とmacOSコンピュータとを接続していたケーブルを 外します。
- 端末をApple Configuratorに表示
-
Apple DEPサービスサーバとMobiControlサーバをバインドするために、MobiControlの公開キーとApple DEPトークンを お互いにアップロードします。
-
MobiControlサーバから公開キーをダウンロード
コンソール画面の左上の三本線アイコンをクリックすると、(図C-1)のメニュー画面が現れます。 (図C-1)
(図C-1)の「システム中枢の設定」を選択すると、画面が遷移し、 画面の左下に(図C-2)のように「システム中枢の設定メニュー」が表示されます。
- 1-a.
左下のシステム中枢の設定のペイン(図C-2)の
「Apple Device Enrollment Program」の右端の
.png)
の
レンチマーク
をクリックします。
(図C-2)
- 1-b.
(図C-3)のポップアップが現われます。
(図C-3)
- 1-c. 「公開キーのダウンロード」
(図C-3)の「公開キーのダウンロード」をクリックすると、MobiControlサーバから公開キーがダウンロードされるので、 それをコンソールPCの所定のフォルダに保存します。公開キーのファイル名の拡張子は、XXX.cer です。(図C-4)
- 1-a.
左下のシステム中枢の設定のペイン(図C-2)の
「Apple Device Enrollment Program」の右端の
-
Apple Business Managerにアクセスし、公開キーをアップロード
- 2-a. business.apple.comにアクセスし、左側インデックスで「設定」を選択します。 中央インデックスで、「Apple Configurator2によって追加されたデバイス」を選択すると、(図C-5)が表示されます。
(図C-5)
- 2-b. (図C-5)の
.png)
「新規アップロードする」を
クリックすると、コンソールPCのエクスプロラがポップアップします。
- 2-c. エクスプロラで、(図C-4)のファイルの保存先フォルダを探し、該当ファイル(MobiControlの公開キー)を選択します。 公開キーが、Apple DEP サービスにアップロードされます。
- DEPトークンのダウンロードとMobiControlサーバへのアップロード
- 3-a.DEPトークンのダウンロード
(図C-5)の「トークンをダウンロード」を
クリックすると、DEPトークンがコンソールPCにダウンロードされます。
- 3-b.
DEPトークンを、MobiControlサーバにアップロード
(図C-3)の「3. DEPトークンをアップロードします」の項目の「参照」ボタンを押します。 コンソールPCのエクスプロラが起動します。(図C-5)でのDEPトークンの保存フォルダを開き、該当ファイルを選択します。 そうすると、MobiControlサーバに、DEPトークンがアップロードされます。
MobiControlサーバへのアップロードが終わったら、(図C-5)の「完了」ボタンを押します。
これで、MobiControlの公開キーと、AppleのDEPトークンの交換が終わり、両方のサーバのバインドが終わりました。
MobiControlの公開キーと、AppleのDEPトークンの交換は、毎年1回行います。 - 3-a.DEPトークンのダウンロード
-
MobiControlサーバから公開キーをダウンロード
-
- 端末をApple Configuratorに表示
macOSコンピュータに、Apple Configurator(Version 2.5以上)を起動しておきます。 そのmacOSコンピュータに、 アクティベーションをしようとする端末を接続します。端末の名前やiOSのバージョン情報などが表示されます。 Apple Configurator USB Hub を使って、複数の端末を接続しておくと、複数台が表示されます。
これからアクティベーションをし、MobiControlに登録しようとする端末(複数)を選択します。背景色が青色に反転し、設定ダイアログが現れます。(図D-1)
- 端末で使うキーボードの種類の選択画面が表示されます。
「日本語かな」「日本語ローマ字」「英文字」「English(US)」から複数を選択します。
これは、新規購入の端末の時のみに表示されます。既に使用中の端末の場合は表示されません。 - Wi-FiのSSIDのリストの画面
SSIDのリストが現れるので、適切なSSIDを選択し、対応するパスワードを入力します。
端末が既に、WiFi接続をしている時には、この画面は表示されません。 - DEP登録の基本条件の選択
(図D-2)
(図D-2)で「次へ」を押すと、(図D-3)が現れますDevice Enrollment Programに追加 チェックを入れます。DEP登録をするからです。 アクティベートして登録を完了 チェックを入れます。設定情報の入力後、アクティベーションをして MobiControlに登録するからです。 デバイスを監視 チェックを入れます。端末を監視モードにするからです。デフォルトでチェックが入っています。 デバイスにほかのコンピュータとのペアリングを許可 iTunesを起動したPCと接続してデータ交換を行う場合は、チェックを入れます。 共有iPadを有効にする 1台のiPadに複数の利用者登録をするときにチェックを入れます。 最大10人まで登録できます。 - MDMサーバを指定
(図D-3)
1台目の端末の準備の際の(図B-4)で登録したサーバ名 (端末登録ルールの名前、またはそれに近似した名前)が表示されます。
この他の端末登録ルールを適用して登録したいときは、サーバ欄の右端をプルダウンすると、(図D-4)のように 画面遷移します。(図D-4)
既に、Apple Configuratorに登録してあるMDMサーバ名(MobiControlの端末登録ルール名またはそれに近似した名前)で 登録したいときは、それを選択します。まだ、登録されてないときは、「新規サーバー」を選んで、 登録を意図するMobiControlの端末登録ルール名またはそれに近似した名前を入力し、その登録用URLを入力します。 (図B-4)を参照ください。
(図D-3)のままでよければ、「次へ」を押すと(図-5)に画面は変わります。 この場合、登録用URLは自動表示されます。
これは、1台目のデバイスの準備で、Apple Configuratorに登録用URLを入力済だからです。(図D-5)
(図D-5)で「次へ」を押すと、(図D-6)が現れます。
- 組織を指定
(図D-6)
この組織は、(図B-5)で入力した組織名です。これでよければ、「次へ」を押します。
ここで、組織の名前は、ABM担当者アカウント保有者の識別名です。
他のABM担当者アカウントにより、登録したい場合は、(図D-6)の 組織欄の右端をプルダウンします。
すると、(図D-7)のように画面遷移します。「新規組織」を選択し、その組織を担当する ABM担当者アカウントのApple IDとパスワードを入力することになります。(図D-7)
(図D-6)で「次へ」を押しても、ABM担当者のApple IDの入力画面は現れません。1台目のデバイスの準備の (図B-6)で登録済だからです。(図D-6)で「次へ」を押すと(図D-8)が現れます。
- 設定アシスタントの質問項目を選択
(図D-8)で、設定アシスタントの質問項目を選択します。「設定アシスタント」とは、 アクティベーション(初期設定)をするプロセスで、端末の画面に表示される質問項目です。アクティベーションをする人に対する質問です。 全て、オフにしてもかまいません。(図D-8)
そこで、 端末ユーザ個人のApple IDとパスワードを入力すれば、当該アプリのダウンロードとインストールが できます。そして、そのApple IDが、当該端末のApple IDとしてAppleのアクティベーションサーバに登録されます。(図D-8)で、「Apple ID」にチェックを入れないでおくと、アクティベーションプロセスで Apple IDの入力画面が表示されません。そして、Apple IDを入力しなくてもアクティベーションが完了します。
そして、AppストアのアプリをVPP契約で購入し、それの指定タイプを 「デバイスベース」にしておくと、Apple IDとパスワードの入力をしなくてもダウンロードとインストールができるようになります。
アクティベーション完了後、端末ユーザが、上記のVPPアプリ以外のアプリをAppストアからダウンロードしようとした場合は、 Apple IDとパスワードの入力画面が現れます。アプリカタログルールの作成プロセスで、VPPアプリの帰属先を、ユーザにするか、デバイスにするかを選択できます。 デバイスベースにすると、アプリのダウンロード時にApple IDの入力は要りません。
アクティベーションプロセスで、表示させたい質問項目がある場合は、(図B-8)のようにチェックを入れます。 (図D-9)は、端末の地理的位置を取得することの許可を求める質問を表示する例です。(図D-9)
MobiControlの端末登録ルールの作成でも、 「Apple ID」、「位置情報サービス」、「Siri」に関しては、質問表示をするか否かの設定ができます。 (図D-9)で、チェックオフしていても、端末登録ルールの作成にチェックを入れることで 質問表示とすることができます。
(図D-8)または(D-9)で「次へ」を押すと、(図D-10)が現れます。 - ネットワークプロファイル
(図D-10)
端末登録ルールでは、 次の2つのファイルが生成されます。
この内、登録に関するファイル:addDeviceRulexxxx.mobileconfigを(図D-10)に、インポートします。 上記のファイルの生成の方法は、iOS端末登録ルールの 15.手動DEP登録をするのに必要なファイルをダウンロードを参照ください。ファイル名 登録に関するファイル addDeviceRulexxxx.mobileconfig MobiControlトラストプロファイル rootCertProfile.mobileconfig
(図D-10)の「選択」ボタン(赤矢印部分)をクリックすると、macOSのFinderが起動します。 端末登録ルールで生成したファイルを保存してあるフォルダを開きます。(図D-11)
(図B-10)で、addDeviceRulexxxx.mobileconfigのファイルを選択し、「開く」を押すと、ファイルが、Apple Configuratorにインポートされます。 インポートをすると(図D-12)のような画面になります。
(図D-12)
(図D-12)で「次へ」を押すと、(図D-13)が現れます。
- MDMサーバへの資格情報
(図D-13)
(図D-13)の2つの欄とも空白のままにして、「準備」を押します。
「準備」を押すと、「デバイスの準備」が始まります。 「デバイスの準備」とは下記を指します。- macOSコンピュータのApple Configuratorが、Apple DEPサーバにアクセス
- 端末シリアル番号と、(図D-2)から(図D-12)で入力した情報を、Apple DEPサーバにアップロード
- MobiControlに登録予定の端末の端末シリアル番号を、Apple DEPサーバの仮想MDMサーバに紐づけ。
- 端末のアクティベーションと、MobiControlの所定の端末グループへの登録
多数の端末を同時に登録するには、Apple Configurator USB Hub を使います。多数の端末を 1台のmacOSコンピュータに接続できるので、作業の効率化が図られます。
- Wipe(端末の消去)の可否
このApple Configuratorに接続する前に、端末をアクティベーション(初期設定)をして、端末を利用していた場合があります。 その際は、(図D-14)のような警告がポップアップします。
前回のアクティベーション(初期設定)以降にインストールしたアプリやデータを、消去してよいかどうかの警告です。 「消去」ボタンを押します。(図D-14)
購入した後にアクティベーションをしてない端末や、Apple Configuratorに接続する前に初期化(Wipe)した端末の 場合は、(図D-14)はポップアップしません。
(図D-15)
続けて、(図D-15)がポップアップします。記述内容を無視して「続ける」を押します。
- アクティベーションの終了とMobiControlへの登録
Apple Configuratorの画面が、(図D-16)のようになると、端末のアクティベーション(初期設定)と、MobiControlへの登録が終わります。(図D-16)
(図D-16)の「監視対象」の列に「はい」が表示されます。 これは、端末が監視モードでMobiControlに登録されたことを示します。ここで、端末とmacOSコンピュータとを接続していたケーブルを 外します。
端末は、(図D-3)で指定したサーバに紐づけられた登録用URLに基づいて、MobiControlに登録されます。 そして、その端末登録ルールが指定した端末グループに自動的に登録されます。
自動DEP登録では、端末シリアル番号を端末登録ルールに配置する作業が必要ですが、手動DEP登録では、その作業が不要です。Configuratorで
入力したサーバ名登録用URL 登録用URLを生成した
端末登録ルール端末登録ルールが指定した
端末グループ
- 端末をApple Configuratorに表示
