macOS端末プロファイルの作成
2021年 9月 28日
macOSコンピュータの定常的な挙動を設定するためには、「構成プロファイル」、「詳細設定」 及び「ルール」を作成して端末に送ります。 このページでは、「構成プロファイル」のメニューの表示方法、及び、その端末への展開方法について、説明します。 macOSコンピュータに適用する構成プロファイルには、2種類があります。
このページでは、「b.端末プロファイル」について説明します。
- ユーザプロファイル
- 端末プロファイル
「端末プロファイル」は、それが割り当てられたデバイスに固定的に適用される構成プロファイルです。 適用されたmacOSコンピュータにログインするユーザが変わっても、同じ構成プロファイルが適用されます。「a. ユーザプロファイル」は、ネットワークユーザに帰属する構成プロファイルです。同じデバイスでも、 それにログインするネットワークユーザによって、異なる構成プロファイルが、適用されます。 ネットワークユーザとは、AD_DS(Active Directory Domain Service)または、 OD(Apple Open Directory Service)に登録されたユーザです。 「macOSユーザプロファイルの作成」を参照ください。下記のページも、ご一読ください。
- 構成プロファイルの留意事項
- チェックインと接続
端末に対する非定常的なmacOSコンピュータに働きかけるは、コンソールでアクション項目を選択して実施します。 リモートWipeや端末画面でのメッセージの表示などが非定常的な働きかけです。A. 設定のための基本メニュー
コンソール画面の左上のハンバーガーボタンをクリックすると、(図1)の基本メニュー画面が現れます。
(図1) (図1)の「プロファイル」を選択すると、設定済みの構成プロファイルの一覧画面(図2)が現れます。
(図2)
プロファイルの一覧 (MobiControl v14.3以上の場合)
右上の「新しいプロファイル」のアイコン(赤矢印)をクリックすると、端末のプラットフォームの一覧がプルダウンされます。 この中から「Apple」を選択すると、(図3)が現れます。
B. 構成プロファイルに名前をつける
(図3)
名前欄に、構成プロファイルの名前を入力します。構成プロファイル内の構成や利用対象の組織名などを類推しやすい名前をつけるのがよいでしょう。
説明欄に、構成プロファイル内の構成や利用対象がより分かり易い記述を書き込みます。
構成プロファイルを更新した場合は、その履歴も記入しておくとよいでしょう。
C. 構成プロファイルのタイプを選択する
(図3)で、「タイプ」の右端をプルダウンすると、対象となるタイプの種類が現れます。 「macOS ユーザープロファイル」を選択します。
タイプの選択が終われば、「構成」タブを選択します。(図4)が現われます。(図4)
D. macOSの構成プロファイル・メニュー
(図4)で「追加」タブを選択すると、(図5)が現われます。(図5)
macOSの構成プロファイル・メニュー
(図5)で設定したいペイロード項目をクリックすると、各々の設定ダイアログがポップアップします。E. 構成プロファイルの端末グループへの割り当て
各々の設定ダイアログでの設定が終わり、その「OK」ボタンを押すと、画面は(図6)に遷移します。
(図4)と比べると、設定したペイロードのタイトルが挿入表示されています。(図6)
(図6)で、再度「追加」ボタンを押すと、(図5)が再度ポップアップします。ここで他の項目を選択して、ペイロードを追加することができます。
ペイロードを追加する必要がない場合は、(図6)の下辺の「保存して割り当て」ボタンを押します。 (図7)がポップアップします。(図7)
(図7)で、構成プロファイルの配布対象となる端末グループまたは端末を選択します。選択をするとチェックボタンが青くなります。 選択が終わると、下辺の「割り当て」ボタンを押します。これで、端末グループまたは端末の割り当てが完了します。
「割り当て」直後に、構成プロファイルは、端末(群)に送られ展開されます。端末は、この構成プロファイルに従って挙動するようになります。
Apple製品は、MobiControlサーバに常時は接続していません。それにも関わらず、構成プロファイルの「割り当て」後、すぐに、構成プロファイルが 端末に配布され適用されるのは、Apple APNSを利用するからです。詳しくは、iOS又はmacOSでのチェックインの仕組みを 参照ください。F. 構成プロファイルの修正または項目の削除
(図6)の段階で、構成プロファイルの内容を修正したいときがあります。 その場合は、(図6)で、 設定した構成の項目を選択(背景色が変わる)してから、「アクション」をプルダウンすると、(図8)のように アクション項目が表示されます。 ここで、「編集」を選択すると、ペイロードのダイアログが再度表示されるので、そこで、設定内容を修正します。(図8)
「削除」は選んでいるペイロードのみを削除。「全てを削除」は、当該プロファイルの全てのペイロードを削除します。G. 作成済の構成プロファイルへの働きかけ
(図2)を参照ください。これは、作成済の構成プロファイルのリストです。
作成済の構成プロファイルに対し、各種の働きかけができます。 (図2)で、該当の構成プロファイルを選択すると、画面下辺に、(図9)のようなメニューが現れます。(図9)
(図9)の右端の3点マークをクリックすると、(図10)のようにメニューが拡がります。
(図10)
当該の構成プロファイルへの働きかけの権限を持つコンソール管理者の変更または追加をします 
「失効」実施により、構成プロファイルが削除された端末に再割当(=再インストール)をします 
割当をする端末グループを追加、又は削除をします。割当てられる端末の選別条件と適用日時の指定や変更もできます。 
端末とサーバで、構成プロファイルを削除します 
端末で、構成プロファイルを削除します。サーバでの保存は継続します。 
構成プロファイルのコピーをします。
プロファイル項目の内容の一部を修正して、 他の端末グループに割り当てる際に利用します。
構成プロファイルの設定内容の修正及び追加ができます 
割当した端末グループに、これから追加する端末に対しては、当該構成プロファイルを適用しないようにします
(「無効化」は、MobiControlのバージョンに依っては、「追加割当てをしない」または、「暫定停止」と表示されることがあります)H. 高度な割り当て方法
(図7)の上部のタブで、「フィルター条件」、「ユーザグループターゲット」、「オプション」を選択すると、構成プロファイルを 高度な方法で割り当てることができます。H-1. フィルター条件
例えば、特定のOSバージョン以上の端末のみに構成プロファイルを適用したい場合があります。 監視モードと非監視モードの端末が混在している場合に、監視モードの端末のみに適用したい場合もあります。
端末が装着する端末プロパティの値にフォーカスし、その値により、端末を選抜(フィルタ)します。
次の「フィルタ条件の設定」をクリックしてください。
- (図7)の上辺の「フィルター条件」のタブを選択すると、(図11)に画面遷移します。
(図11)
(図11)で「追加」ボタンを押すと、(図12)のように、「端末のプロパティ」か「付属情報」かの選択肢が現れます。
(図12)
「端末のプロパティ」または「付属情報」のどれでも、複数のフィルター条件を設定できます。 (図11)の赤矢印部分で、「全て」または「どれでも」の選択ができます。
- 「全て」
複数の条件があれば、その全ての条件に適合した場合にのみ、構成プロファイルを適用します。- 「どれでも」
複数の条件のうち、一つだけでも適合したときに、構成プロファイルを適用します。
(図12)で「端末のプロパティ」を選択すると、(図13)のように端末のプロパティの種類が列記されます。(図13)
(図13)で適用したい端末のプロパティを選ぶと、その右に、「比較演算子」を選択する欄があらわれ、更に右に、その「値」を入力する欄が現れるので、 適切な値を入力します。 (図13)のプルダウンメニューの「監視対象」とは、端末が 監視モード端末になっているか否かのプロパティです。
(図14)
(図14)の例は、 OSのバージョンが、10.15以上で、11未満を指定しています。つまり、OSのメジャーバージョンが、Catalinaのコンピュータのみに適用することを 意図しています。
且つ、監視モードの端末(監視対象がTrueの端末)に、構成プロファイルを適用する設定です。 (図12)の「付属情報」は、MobiControl管理者の任意で設定できる情報項目です。例えば、などです。これらの情報項目の値に基づいて、これに該当する端末を構成プロファイルを適用したり、逆に適用しないようにできます。 フィルタ条件の設定が終わると、下辺の「割り当て」ボタンを押します。これで、端末グループまたは端末の割り当てが完了します。
- 端末ユーザの役職名
- 端末の購入日
- 端末の資産台帳での資産番号
- その他
H-2. ユーザーグループ ターゲット
認証サービスのユーザーグループを、構成プロファイルの配布対象として指定できます。 認証サービスには、「ディレクトリ・サービス」と「IDプロバイダ」に2大別されます。「ディレクトリ・サービス」には AD_DS(Active Directory Domain Service)などがあります。「IDプロバイダ」には、Azure IdP、Okta、PingFederate などがあります。
(図15)(図15)のように、端末グループの「マーケティング課」と「東京営業課」は、異なる部に属しているが、認証サービスでは、共通の「TOKYO」という グループにマッピングされているとします。
この場合、構成プロファイルをグループ名「TOKYO」に割り当てると、端末グループの「マーケティング課」と「東京営業課」の両方に割り当てることができます。
「認証サービスのグループ」を、「MobiControlの端末グループ」へマッピングするには、 そのように設定した 端末登録ルール を適用して、MobiControlに登録した端末が対象になります。
端末登録ルール の、「M. 認証サービスのグループに、構成プロファイルを割り当てられるようにする」を参照ください。 次の「ユーザーグループ ターゲットの設定」をクリックしてください。
- (図7)上辺の「ユーザーグループ ターゲット」タブを選択すると、画面は(図16)のように遷移します。
(図16)
認証サービスには、「ディレクトリサービス」と「IDプロバイダ」の2種類のカテゴリーがあります。 (図7)で、どちらかを選択します。 「ディレクトリサービス」を選択する場合は、予め、 「ディレクトリサービスへの接続プロファイル」を作成しておきます。
「IDプロバイダ」を選択する場合は、予め、「IDプロバイダとの接続プロファイル」を作成しておきます。 (図16)のの部分をプルダウンすると、 「ディレクトリサービスへの接続プロファイル」の名前リスト、または、 「IDプロバイダとの接続プロファイル」の名前リストが表示されます。
の部分に、構成プロファイルの配布先となるユーザグループ名を入力します。 グループ名の文字列全てを入力する必要はありません。(図16)の赤矢印部分に、文字列の最初の4文字を入力すると、 その文字列で始まるグループ名リストを表示してくれます。その中から選択します。
複数のユーザグループに割り当てることができます。その場合は、そのグループ名を2行目以降に列記します。 指定したユーザグループが、端末登録ルールで、MobiControlの端末グループに、マッピングしてなかった場合がありえます。 その場合は、「このグループにマッピングする端末グループを選択してください」とのポップアップがでて、画面は、(図7)に遷移します。そこで、マッピングするべき端末グループを選択します。 これで、構成プロファイルは、ユーザグループ指定を経て、端末グループへの割り当てられます。(図17)
逆に、当該構成プロファイルを割り当てたくないユーザグループがあるかもしれません。 例えば、端末をUSBポート経由でPCからデータを抜き取ることを不可能にする構成プロファイルを、認証サービスの本社全体グループに割り当てたとします。 しかし、「情報システム部」に対応するユーザグループには、例外として割り当てないことがあります。 その場合は、情報システム部に対応するユーザグループを入力して、(図16)の下辺の「Excluded」をクリックします。
「東日本地区」という名前のディレクトリサービスプロファイルで、
ディレクトリサービスの「新橋1号店」「赤羽店」というグループを選択した例
割り当てが終わると、下辺の「割り当て」ボタンを押します。これで、端末グループまたは端末の割り当てが完了します。H-3. オプション
(図7)の 下辺の「割り当て」ボタンを押すと、構成プロファイルは、 端末群にすぐに送られ、サイレント・インストールされます。 今すぐインストールすると差支えがある場合は、(図7)で、「割り当て」を押さずに、上辺の「オプション」タブを押します。 次のような場合に、今すぐのインストールを控えることがあります。次の「オプションの設定」をクリックしてください。
- 通信回線の輻輳
端末台数が数万台あり、一斉に送ると、通信回線が輻輳し、他のオンライン業務に影響を与えることを懸念- 端末操作中のインストールを避ける
従業員が端末を操作している最中に、端末の構成に変化があると、操作に支障があることを懸念
- (図7)の上辺の「オプション」を選択すると、(図18)に画面遷移します。
(図18)
(図18)の設定項目 説明 インストール方法 「自動」か「セルフサービス」を選択します。「自動」を選択した場合、下辺の「割り当て」ボタンを 押すと、構成プロファイルはすぐに端末に送られ、インストールされます。デフォルトは「自動」です。
「セルフサービス」を選択すると、端末ユーザが操作しないと、インストールされません。 端末でアプリ利用中に、新しい構成プロファイルが適用されると、アプリ操作に支障がある場合に選択します。
「セルフサービス」を選択した場合の 端末ユーザの操作方法は、「端末ユーザの任意の時刻にインストール」を参照ください。スケジュールされたアクション 割り当て日時、無効日時、失効日時を予め設定しておきます。 割り当て日 構成プロファイルを、今すぐでなく、指定時刻に送るようにします。
通信回線の輻輳(ふくそう)を避けて、夜間や週末に送信する場合に適用します。次のアップデートスケジュールにずらす 今すぐでなく、次の更新スケジュールの時に送ります。
上位の端末グループに割り当てるときに適用すると、通信回線の輻輳を緩和します。 下位の端末グループは、別々の更新スケジュール時刻に更新するからです。無効日 ある日時以降に登録する端末には、適用されないようにするとして、その日時を指定します。 その日時までに適用した端末では、その後も有効に機能しつづけます。 失効日 既に適用済の端末も含めて、構成プロファイルの機能が停止する日時を指定します。 但し、構成プロファイルが削除されるわけではありません。その後、再インストールすれば再度、構成プロファイルは有効になります。 I. コンソールでのバージョン表示をリフレッシュ
(図2)で、1つの構成プロファイルを選択し、クリックすると、(図20)のように、その構成プロファイルの管理画面が表示されます。 ここでは、仮にバージョン表示は、1.0 となっているとします。(図20)
この表示をしたままで、構成プロファイルを編集(修正)したとします。バージョン番号1.0から2.0へ繰り上がり、それが端末に 割り当てられます。
それでも、(図20)でのバージョン番号表示は、古いバージョン番号の1.0のままです。編集は、 (図8)の「編集」、若しくは(図9)、(図10)または(図20)でを押すだけでは、 バージョン番号表示が、新しくなりません。 そのバージョン番号表示を新しくする方法を説明します。 次の「バージョン表示をリフレッシュ」をクリックしてください。
- (図20)の、
(図21)の(図21)
(図22)の(図22)
の部分をプルダウンすると、バージョンのリストが表示されます。 このリストで、緑色のアイコンが付いているバージョンを選択します。(図22)の場合は、2.0 を選択。2.0を選択すると、(図23)に画面遷移します。
(図23)の(図23)
は、緑色ですから、現在割り当てられている構成プロファイルのバージョンのステータスを示しています。 これで、構成プロファイルの管理画面でのバージョン番号表示がリフレッシュされました。
(図23)の場合は、現在割り当てられているバージョンの構成プロファイルが、インストールに成功したことを意味しています。
再度、構成プロファイルの編集(修正)をする場合は、(図23)のJ. 「インストールの保留中」になったときの対処
上記の(図20)を参照ください。個別の構成プロファイルの管理画面です。
その(図20)の替わりに、(図24)のように表示されることがあります。 これは、2台の端末に構成プロファイルを展開したのだが、2台の内の1台で、「インストールの保留中」になった例です。
(図24)
下記の、「インストールの保留中」になる原因とその対処 をクリックしてください。
J-1「インストールの保留中」になる原因
「インストールの保留中」は、端末が、構成プロファイルを、受信していない状態(ステータス)です。 次の場合に、構成プロファイルのステータスが「インストールの保留中」になる可能性があります。
- 端末に電源が入ってない、WiFiに接続していない、または、携帯電話回線が圏外になっている
- Firewallで、ポート5223が解放されていない
- 端末の、MobiControlへの登録が完了していない
- インストールを遅らせる設定をした
- a. 端末に電源が入っていない、WiFiに接続していない、または、携帯電話回線が圏外になっている
Apple端末は、通常、MobiControlサーバとはオフラインです。しかし、Apple社の APNs(Apple Push Notification service)には、常時接続しているのが 仕様です。
構成プロファイルを割り当てると、MobiControlサーバは、APNs(Apple Push Notification service)経由で、端末に、 チェックインをするように要求します。MobiControlサーバはチェックインを得て、構成プロファイルを端末に送信します。(図25)
しかし、端末がAPNsに接続していないと、端末は、チェックインの要求を受け取れません。 それが接続していないのは、「端末の電源がオフ」、「WiFi接続が切断」または、「携帯電話回線の圏外」が考えられます。 コンソールの操作がなくても、MobiControlサーバは、スケジュール時刻(デフォルトで2時間間隔)になれば、端末にチェックインを要求します。 長い時間が経っても、チェックインしてこないApple端末は、端末一覧で確認できます。(図26)で「MDMステータス更新」に赤下線を引いた端末がその例です。 他の端末に比べて、チェックインしてからの日数が長く経過しています。
(図26)
Apple端末を一覧表示する場合は、(図26)のように、「MDMステータス更新(日時)」を表示するようにすることをお勧めします。 そして、長い時間経過しても、「MDMステータス更新(日時)」が最新にならない端末を、見つけてください。端末一覧に、「MDMステータス更新」を表示する方法は、 「端末一覧の端末プロパティの入れ替え」を参照ください。
- b. Firewallで、ポート5223が解放されていない
端末がWiFiにつながり、ポート80/443経由でインターネットに接続ができるが、ポート5223が解放されてないことがあります。
ポート5223が開いていないと、MobiControlサーバからのチェックイン要求を受け取ることができません。 結果として、「構成プロファイル」を受信できない状態です。(図25)を参照ください。 ポート5223のアドレスなどは、「Apple端末とFirewall」を参照ください。- c. 端末の、MobiControlへの登録が完了していない
該当端末を選択して、「MDMプロファイルを更新」の働きかけを実施してください。 詳しくは、「Apple端末に働きかける」のページの、「C. iPhone、iPadに対するアクションメニューを表示」を 参照ください。- d. インストールを遅らせる設定をした
前述の「H-3. オプション」で、「指定した時間フレームにアップデートスケジュールのプロファイル展開を制限する」を設定し、 インストール時刻を「今すぐ」とは設定しなかった場合です。
この場合、時間経過すると、「インストール済み」にステータスが変わるはずです。J-2「インストールの保留中」になった端末への対処
上述の、「a. 端末に電源が入っていない、WiFiに接続していない、または、携帯電話回線が圏外になっている」になった場合の対処法を説明します。
- 対策1
- 電源がオフになっている端末に電源を入れて貰う
- WiFiに接続していない端末に、接続をしてもらう
- (図26)の「MDMステータス更新」の時刻が最新になったことを確認する
- (図10)で、「インストールの再試行」を選択し、(図7)下辺の「割り当て」ボタンを押す
- 対策2
対策1にもかかわらず、「インストールの保留中」になる端末がある場合
- 端末一覧で、該当端末を選択
- 「構成」タブを開く
(図27)
- 「インストールの保留中」になっているプロファイルの左端の3点リーダーをクリックします
(図28)
「プロファイルの失効」を選択します
- プロファイルのステータスが、「管理者により削除済み」に変わります。左端の3点リーダーをクリックします。
(図29)
選択肢の「プロファイルのインストール」を選択します。しばらくすると、「インストール済み」に変わるはずです。
- どうしても、「インストール済み」にならない場合は、端末の電源をオフにし、再度、起動してから 上述手順を、もう一度実行ください。
K. 「インストール失敗」になったときの対処
個別の構成プロファイルの管理画面が、(図30)のように表示されることがあります。(図30)
構成プロファイルの「インストール失敗」は、端末が、構成プロファイルを受信したが、そのインストールに失敗した状態(ステータス)です。 下記の、「インストール失敗」になる原因とその対処 をクリックしてください。
- 先行して配布した構成プロファイルとの間で、設定矛盾を起こしている
- 構成プロファイルそのもの、または端末に、問題がある
K-1. 原因の絞り込み
例えば、ルート端末グループの直下に、「本部」という端末グループがあり、その下に、「第1部」という端末グループがあったとします。 「本部」全体では、「プロファイルA」が、「第1部」には、「プロファイルB」が、先行して展開しているとします。 そうすると、「第1部」の端末には、「プロファイルA」と「プロファイルB」の2つが適用されていることになります。(図31)
その「第1部」に、「プロファイルC」という名前の構成プロファイルを配布したが、これが、「インストール失敗」になったとします。
その場合は、ルート端末グループの直下の端末グループである、「検証用の端末グループ」という名前の端末グループに、 その「プロファイルC」を配布してみます。
「検証用の端末グループ」を対象にする構成プロファイルは、「プロファイルC」のみとします。 もし、「検証用の端末グループ」に、端末が存在していない場合は、1台の端末を「第1部」から「検証用の端末グループ」に移動します。 端末の移動は、「端末を他の端末グループへ移動」を参照ください。 もし、「検証用の端末グループ」に送信した「プロファイルC」のステータスが、「インストール済み」になったとします。 そうすると、「プロファイルC」は、「プロファイルA」または「プロファイルB」との間で、設定矛盾を起こしていたことが分かります。 更に、「検証用の端末グループ」に、「プロファイルA]を、追加配布してみます。それで、「プロファイル失敗」が生じると、 「プロファイルA」と「プロファイルC」との間で、設定矛盾があることがわかります。2つの 構成プロファイルの中身を、相互比較し、設定矛盾を起こしている部分を修正します。 もし、「検証用の端末グループ」の端末に送信された「プロファイルC」が、単独で「インストール失敗」になったら、 「プロファイルC」に内的な問題があることになります。K-2. 「インストール失敗」になる原因の具体例
上記以外にも、様々な原因がありえます。
- a. 先行して配布した構成プロファイルとの間で、設定矛盾を起こしている
- a-1. 「制限(端末の機能制限)」に関する、2つの構成プロファイルの間の設定矛盾
最初に送った構成プロファイルでは、「機能制限をしない」とした項目があったとします。2番目に送った構成プロファイルでは、同じ項目に「機能制限をする」 になっていたとします。そうすると、大抵の場合は、2番目の構成プロファイルが「インストール失敗」になります。- a-2. 「アカウント作成禁止」
「アカウントの変更禁止」にチェックを入れた「制限(端末の機能制限)」の構成プロファイルを先行して送ったとします。 続けて、Eメールの設定アカウント作成に関する構成プロファイルを送ると、2番目の構成プロファイルが「インストール失敗」になる- a-3. 「パスコードの変更禁止」にチェックを入れた 「制限(端末の機能制限)」の構成プロファイルを先行適用した後に、 パスコードの変更を強要する「本人認証(ユーザ認証)」を送ると、これは、「インストール失敗」になります。
- a-4. 「本人認証(ユーザ認証)」に関する構成プロファイルを2つ送った
例えば、先行する構成プロファイルでは、パスワードを6桁以上としたとします。2番目の構成プロファイルでは、パスワードを8桁以上とし、且つ記号を1つ挿入するべしとしていたとします。 2つの構成プロファイルの間で、設定矛盾が生じます。「本人認証(ユーザ認証)」は、一本に統一してください。- b. 構成プロファイルそのもの、または端末に、問題がある
- b-1. 監視モード端末のみに、適用できる構成プロファイルなのに、非監視モード端末に それを送った
- b-2. キーチェインのロック解除に失敗した
「本人認証(ユーザ認証)」に関する構成プロファイルは、端末に、そのキーチェインのロック解除を要求し、その解除が実行されたときに、インストールされます。 しかし、まれに、端末でのキーチェインのロック解除ができない状態があります。
この場合は、次の手順で、構成プロファイルを、再インストールします。
- (図10)で、「失効」を選択、または、(図32)で、「プロファイルの失効」を選択し、 端末の構成プロファイルを削除します。
- 端末の電源をオフにし、再起動します。
- 再度、同じ構成プロファイルを、端末に配布します。
- 該当端末での、「構成プロファイル」のステータスが、「インストール済み」になるはずです。
- b-3. 端末の充電率が、異常に低い
K-3. 「プロファイル失敗」になった構成プロファイルの削除と修正
端末に配布した構成プロファイルに問題があったとして、それを削除したいときがあります。
その場合は、(図10)で、「失効」を選択します。配布を受けた全ての端末で、該当の構成プロファイルが削除されます。
しかし、MobiControlサーバには保存されています。つまり、(図2)では、その構成プロファイルの名前が表示され続けています。
(図2)で、該当の構成プロファイルを選択し、(図10)の「編集」を選択し、問題点を修正します。そして、端末群に「割り当て」を行ないます。編集は、 (図8)の「編集」、若しくは(図9)、(図10)または(図20)で全ての端末でなく、特定の端末でのみ、「インストール失敗」になったとします。 その場合は、(図32)のように、該当の端末を選択し、「プロファイルの失効」を選択します。(図32)
L. 構成プロファイルが適用されてない端末の一覧
原因はともあれ、構成プロファイルの「インストールの保留中」または「インストール失敗」になった端末の一覧を表示することができます。
下記の、「インストール失敗」になる原因とその対処 をクリックしてください。
(図33)
プルダウンメニューが現れるので、「プロファイル」を選択します。(図34)
(図35)
プロファイルプロパティで、「ステータス」を選択します。(図36)
等号を選択します。「インストールの保留中」または 「インストール失敗」を選択してから、右下の「完了」ボタンを押します。(図37)
赤矢印部分をクリックします。
赤矢印部分をクリックします。 これで、プロファイルのインストールに失敗した端末が一覧表示されます。 詳しくは、「構成プロファイルがインストールされてない端末を探す」を参照ください。 一覧表示された端末の名前をクリックし、その「構成」タブを開くと(図37)のような表示がされます。
(図37)
(図37)では、「インストールの保留中」の構成プロファイルの名前が、「端末の機能制限」であることを表示しています。 (図37)では、ステータスが「未インストール」になっている構成プロファイルもあります。これは、構成プロファイルのインストール方法が「セルフサービス」に なっていることに起因します。上記の(図18)のインストール方法は、デフォルトでは、「自動」ですが、これを「セルフサービス」に変更して展開した例です。 インストールのタイミングを端末ユーザに委ねた例です。「端末ユーザの任意の時刻にインストール」を参照ください。
M. アラートルールを作成する
構成プロファイルのインストールに、成功したか、又は失敗したかなどの結果を、ログに記録するためにアラートルールを作成しておきます。 アラートルールの対象とする端末グループは、原則として、ルートグループまたは上位端末グループに設定しておきます。
本来は、構成プロファイルの作成の前に、アラートルールの作成を終わらせておきます。 構成プロファイルに関するアラートには、「端末側で認識するアラートイベント」と、「サーバ側で認識するアラートイベント」があります。M-1 端末側で認識するアラートイベント
「Apple製品:アラートルールの作成 」を参照して、Appleデバイスが認識するアラートイベントに基づくアラートルールを作成します。 次のようなアラートイベントと、ログに表示されるアラート文(編集可能)があります。
イベント名 編集後のアラート文例 すべてのペイロードをインストールできないため、プロファイルのインストールに失敗しました。 プロファイル "{0}" バージョン {1} のインストールに失敗した。一部のペイロードのインストールに失敗。 デバイスのプロファイルは、管理者のアクションによって失効しました 管理者が、デバイス "{1}" からプロファイル "{0}" の削除を要求した プロファイルがインストールされました 構成プロファイル "{0}" がインストールされた プロファイルが削除されました 構成プロファイル "{0}" が削除された プロファイルが削除に失敗しました 構成プロファイル "{0}" の削除に失敗しました 管理者のアクションによってプロファイルがインストールされました 管理者はデバイス "{1}" のプロファイル "{0}" のインストールを要求した M-2 サーバ側で認識するアラートイベント
「システムアラートルール」の設定で、構成プロファイルに関するアラート・イベントにチェックを入れておきます。 「システムアラートルール」で、構成プロファイルに関するアラート・イベントには、 ●の印をつけてあります。合計21件あります。 これの全てにチェックを入れてください。
項番 種類 71-72 2件 94-99 6件 122-135 14件 243 1件 合計 21件
