端末のセットアップと登録

MobiControl v14 Manual


A. Apple端末のセットアップと登録の方法は4種類

iPhone、iPad、macOSコンピュータのセットアップとMobiControlサーバへの登録の方法には、大別して2種類、細別して4種類があります。

ABM(Apple Business Manager)は、Apple社が管理するクラウドサービスです。端末のシリアル番号と、MobiControlなどのMDMのURLなどを登録し、 その両者を紐づけ(割り当て)しておきます。これにより、端末のアクティベーション(初期設定)のときに、端末は、自動的にMDMにアクセスし、そのMDMに登録(Enrollment)を行ないます。

(表1)

セットアップ方法の名前セットアップの前の状態セットアップの概略
1. 監視モードとしてセットアップ
1-a.
ABM経由
自動登録
Apple販売店番号を持つ販売店、又は携帯電話会社からの新規購入、若しくはAppleから直接購入した端末
  1. ABMにて、対象とする端末(のシリアル番号)を選択し、それをMDM(MobiControl)に紐づける(割り当てる)。
  2. 翌日に端末に電源を入れると、アクティベーションが始まる。端末で、使用言語の選択や、WiFi/SSIDのパスワードを入力すると、アクティベーション完了
    (iTunesを起動したPCにUSB接続すると、使用言語の選択や、WiFi/SSIDのパスワードを、端末で入力しなくて済みます)
  3. アクティベーションが終われば、端末は、自動的にMobiControlに登録される
1-b.
ABM経由
手動登録
Apple販売店番号を持たない販売店から購入した端末
  1. 既に、アクティベートした端末なら、「設定」で、「iPhone(iPad)を探す」をオフにします
  2. Apple Configurator2を起動したmacOSコンピュータに、端末をUSBケーブルで接続
  3. Apple Configurator2に、MobiControlの登録用URLその他の情報を入力
  4. Apple Configurator2が、上項で入力した情報と、端末のシリアル番号を、ABMにアップロード
  5. 端末が再アクティベーションされる
  6. 再アクティベーションが終われば、端末は、自動的にMobiControlに登録される。 登録用URLに紐づいた端末登録ルールが指定した端末グループに自動的に所属する。
2. 非監視モードとしてセットアップ
2-a.
デバイス登録
既に、端末ユーザのApple IDでアクティベーション済みの端末。初期化をしないで、そのまま、MobiControlに登録。 「デバイス登録」を選択した端末登録ルールが生成した登録用URLを、SafariのURL欄に入力。非監視モードとして管理できる全ての機能を、端末に適用できる。
2-b.
ユーザー登録
「ユーザー登録」を選択した端末登録ルールが生成した登録用URLを、SafariのURL欄に入力。MobiControlの一部の管理機能は、適用されない。
端末ユーザの私有Apple IDでダウンロードしたアプリは、コンソールのアプリリストに表示されない。
リモートWipeはできない。
ロック解除条件の複雑性を強制できない。
(iOS13.1またはiPadOS13.1以上が必要)
  • macOSコンピュータには、(表1)の、1-b. 2-b. は適用できません
  • 2-a、2-bでは、登録用URLをQRコード化しておき、それをカメラでスキャンすることでも、登録を始められます
  • ABM(Apple Business Manager)は、2019年11月までは、DEP(Device Enrollment Program)と呼ばれていました。
  • ABMでなく、ASM(Apple School Manager)で、登録する場合は、当社にご連絡ください。
  • 監視モードとして設定した端末には、登録後、アプリカタログに「必須」指定したアプリが、サイレント・インストールされます。
  • どのセットアップ方法の場合でも、アプリカタログに、MobiControlエージェントを追加することを、お勧めします。

B. 登録用URL

MobiControlは、企業/団体の階層的組織を反映して、端末グループを作成します。そして末端組織別に 端末登録ルールを作成します。その端末登録ルール毎に、一意性のある登録用URLが生成されます。

(図1)は、端末登録ルールの作成の結果として表われる当該端末登録ルールの設定内容一覧です。これの赤枠の部分に、端末登録サイトのURLが表示さています。 これを、登録用URLとも言います。

(図1)


  • (表1)の、1-b.、 2-a. 及び 2-b. では、登録用URLを指定することで、端末登録時に、自動的に、端末登録ルールが指定した端末グループに所属するようになります。
  • (表1)の、1-a. の方法でセットアップすると、デフォルトでは、デフォルト(既定)の端末登録ルールが指定した、端末グループに所属するようになります。 次の2つのどちらかの作業をすることで、所定の端末グループに所属するようにできます。
    • 所定の端末グループに所属するべき端末の端末シリアル番号を登録しておきます。「ABM経由自動登録」で、「E. 端末登録ルールで、端末シリアル番号を再配置」を参照。
      登録時に、自動的に、所定の端末グループに登録されます。
    • 登録後、コンソールで、手動で、所定の端末グループに移動させる。 「端末を他の端末グループへ移動」を参照。

C. ABM経由でのMobiControlへの登録の仕組み

端末をアクティベーション(初期設定)をします。端末はABM(Apple Business Manager)サーバにアクセスし、登録予定のMDMサーバ(MobiControlサーバ)のURLを取得します。 続けて、端末は、取得したURLのMDMサーバ(MobiControlサーバ)にアクセスし登録をします。

(図2)

予め、端末グループに対し、「構成プロファイル」「ルール」「端末詳細設定」を設定してあれば、 それらは、登録直後の端末に、自動的に適用されます。

D. ABM経由自動登録とABM経由手動登録での作業内容の違い

ABMサーバ経由での登録の方法に、ABM経由自動登録とABM経由手動登録の2種類があります。

(図3)

ABM経由自動登録とABM経由手動登録での作業内容の違いは、おおむね、(表2)のようになります。
いずれの場合でも、ABMサーバにサインインできる「ABM(Apple Business Manager)担当者アカウント」を持っているABM担当者が必要です。 「ABM担当者アカウント」を取得するには、ABM担当者アカウントの作成を参照ください。

(表2)

作業の概要ABM経由自動登録ABM経由手動登録
1.端末シリアル番号のABMサーバへの登録作業販売店が実施Apple Configuratorが端末シリアル番号を自動読み取り、ABMサーバへ登録
2.公開キーとDEPトークンの交換 MobiControlを利用する企業/団体のABM担当者が実施
3.登録予定端末の端末シリアル番号とMobiControlサーバのURLとの紐付け(割り当て) MobiControlを利用する企業/団体のABM担当者が実施
4.端末シリアル番号の端末登録ルールへの再配置コンソール管理者が実施不要
(表2)の 2. 項の作業は、1回だけです。追加的に登録される端末に対しては、不要です。但し、1年後には再度実施。

E. 登録時の本人確認

非監視モードの場合、部外者が登録用URLを窃取してMobiControlに登録することを防止するために、3つの対策を用意しています。
  • 登録時に、登録用パスワードの入力を必要とさせる。
  • AD_DS(Active Directory Domain Service)などのディレクトリサービス または、Azure IdPなどの ID プロバイダで端末ユーザを認証する。
  • 社内の特別の場所でないと、登録できないようにする。
    正確には、無線LAN接続をし、指定のIPアドレス範囲のIPアドレスを取得できないと登録できないようにする。 詳しくは、「N. 端末登録ルールのオプション」を開き、「端末登録ルールのIPアドレスフィルタ」の項を参照ください。
監視モードの場合、ABMサーバに端末シリアル番号を登録した端末しか、登録できません。部外者による不法な登録は不可能です。

F. 端末の操作方法

端末の操作方法は、 「iOSエージェントの操作方法」を参照ください。

G. 端末エージェントのアップデート

Apple端末は、MobiControlエージェントをインストールしていなくても、OSに標準搭載されているMDMプロトコルという仕組みで、 スケジュールに基づき、MobiControlサーバにチェックインをし、必要なデータやファイルを送受します。
しかし、MobiControlのフル機能を利用するには、MobiControlエージェントをインストールします。
MobiControlエージェントの配布には、アプリカタログルールを利用します。
監視モードの端末では、MobiControlエージェントは、サイレント・インストールされます。 自動ダウンロード、自動インストールです。
使用開始後、日数が経つと、新しいバージョンの端末エージェントが、Appストアに搭載されます。 「アプリのバージョンアップの制御」を参照して、端末に、新しいバージョンの 端末エージェントを配布ください。

H. 端末ユーザによるMobiControlからの登録解除を禁止する


監視モード端末非監視モード端末
MobiControleエージェントのアンインストール禁止設定をしておけば、アンインストール不可
MDMプロトコルの無効化
(MobiControl信頼プロファイルの削除禁止)
不可能。但し、ABM経由手動登録した端末は、端末アクティベーション実施後30日間は解除可能
(Appleの仕様)
無効化を禁止できない
詳しくは、 「iOS:エージェントのアンインストール 」を参照ください。

I. iOS7の端末の登録

iOS7のiOS端末の登録を参照ください。