
Apple製品のセットアップと登録
A. Apple製品のセットアップと登録の方法は3種類
iOS8以上のiOS端末のセットアップとMobiControlサーバへの登録の方法には3種類があります。
- 監視モードとしてセットアップ
- 1-a ABM(Apple Business Manager:旧DEP)経由自動登録
携帯電話会社からの直接購入、または、Apple販売店IDを持つ販売店から購入するiOS端末及びmacOSコンピュータが対象- 1-b ABM経由手動登録
Apple販売店IDを持たない販売店から購入したiOS端末、既に購入済みのiOS端末、及び、非監視モードでMobiControlに登録済みだが監視モードに変更する端末が対象- 非監視モードとしてセットアップ
既にアクティベーション済みの端末を登録します。登録用URLをSafariに入力することで、登録作業を開始します。
macOSコンピュータの場合は、1-a 又は 2の方法でセットアップします。
いずれの方法でも、事前にアプリカタログルールにMobiControlエージェントを 掲載しておきます。端末は、MobiControlに登録後、MobiControlエージェントをダウンロードしインストールします。B. 登録用URL
MobiControlは、企業/団体の階層的組織を反映して、端末グループを作成します。そして末端組織別に 端末登録ルールを作成します。その端末登録ルール毎に、一意性のある登録用URLが生成されます。
(図1)は、端末登録ルールの作成の結果として表われる当該端末登録ルールの設定内容一覧です。これの赤枠の部分に、端末登録サイトのURLが表示さています。 これを、登録用URLとも言います。
(図1)
非監視モードとしてセットアップする場合、端末のSafariで、登録用URLを入力します。
- ABM経由手動登録、及び非監視モードとしてのセットアップの場合、登録用URLを指定することで、端末は MobiControlサーバに登録され、端末ルールが指定した端末グループに所属するようになります。
- ABM経由自動登録の場合は、URLのドメインまでを指定します。 端末グループ毎に、所属する端末シリアル番号を指定しておくことで、端末は所定の端末グループに所属するようになります。
予め、登録用URLをQR Code Generatorなどのソフトを使って、QRコードに変換しておくのも一法です。 端末で、URLの手入力の替わりにQRコードを読み取ることで、登録作業をスムーズにできます。
C. ABM(旧:DEP)によるMobiControlへの登録の仕組み
端末をアクティベーション(初期設定)をします。端末はABM(Apple Business Manager)サーバにアクセスし、登録予定のMDMサーバ(MobiControlサーバ)のURLを取得します。 続けて、端末は、取得したURLのMDMサーバ(MobiControlサーバ)にアクセスし登録をします。 (図1)を参照ください。(図2)
(図2)の仮想MDMサーバは、端末シリアル番号とその端末が登録予定のMobiControlサーバのURLの連関表だとご理解ください。D. ABM経由自動登録とABM経由手動登録での作業内容の違い
ABMサーバ経由での登録の方法に、ABM経由自動登録とABM経由手動登録の2種類があります。(図3)
![]()
ABM経由自動登録とABM経由手動登録での作業内容の違いは、おおむね、次表のようになります。
いずれの場合でも、ABMサーバにサインインできる「ABM(Apple Business Manager)担当者アカウント」を持っているABM担当者が必要です。 「ABM担当者アカウント」を取得するには、ABM担当者アカウントの作成を参照ください。上の表の 2. 項の作業は、1回だけです。追加的に登録される端末に対しては、不要です。但し、1年後には再度実施。
作業の概要 ABM経由自動登録 ABM経由手動登録 1. 端末シリアル番号のABMサーバへの登録作業 販売店が実施 Apple Configuratorが端末シリアル番号を自動読み取り、ABMサーバへ登録 2. 公開キーとDEPトークンの交換
登録予定端末の端末シリアル番号とMobiControlサーバのURLとの紐付けMobiControlを利用する企業/団体のABM担当者が実施 3. 端末シリアル番号の端末登録ルールへの再配置 コンソール管理者が実施 不要 E. 登録時の本人確認
非監視モードの場合、部外者が登録用URLを窃取してMobiControlに登録することを防止するために、3つの対策を用意しています。監視モードの場合、ABMサーバに端末シリアル番号を登録した端末しか、登録できません。その点、部外者による登録は不可能です。
- 登録時に、登録用パスワードの入力を必要とさせる。
- AD_DS(Active Directory Domain Service)などのディレクトリサービス または、Azure IdPなどの ID プロバイダで端末ユーザを認証する。
- 社内の特別の場所でないと、登録できないようにする。
正確には、無線LAN接続をし、指定のIPアドレス範囲のIPアドレスを取得できないと登録できないようにする。 詳しくは、「端末登録ルールのIPアドレスフィルタ」を参照ください。F. 端末の操作方法
端末の操作方法は、 「iOSエージェントの操作方法」を参照ください。G. 端末エージェントのアップデート
Apple製品は、MobiControlエージェントをインストールしていなくても、OSに標準搭載されているMDMプロトコルという仕組みで、 スケジュールに基づき、MobiControlサーバにチェックインをし、必要なデータやファイルを送受します。
しかし、MobiControlのフル機能を利用するには、MobiControlエージェントをインストールします。
MobiControlエージェントの配布には、アプリカタログルールを利用します。
監視モードの端末では、MobiControlエージェントは、サイレント・インストールされます。 自動ダウンロード、自動インストールです。
使用開始後、日数が経つと、新しいバージョンの端末エージェントが、Appストアに搭載されます。
- バージョンアップは、コンソール管理者が、制御できます。 App Storeでバージョンアップされても、すぐには、端末にはバージョンアップさせません。
- アプリカタログルールの編集で、新しいバージョンの端末エージェントを搭載することで、 バージョンアップされます。
- 監視モード端末の場合、バージョンアップも、サイレントインストールです。
H. 端末ユーザによるMobiControlからの登録解除
詳しくは、 「iOS:エージェントのアンインストール 」を参照ください。
監視モード端末 非監視モード端末 MobiControleエージェントのアンインストール 禁止設定をしておけば、アンインストール不可 MDMプロトコルの無効化
(MobiControl信頼プロファイルの削除禁止)不可能。但し、ABM経由手動登録した端末は、端末アクティベーション実施後30日間は解除可能
(Appleの仕様)無効化を禁止できない I. iOS7の端末の登録
iOS7のiOS端末の登録を参照ください。