端末のセットアップと登録

MobiControl v14 Manual


A. Apple製品のセットアップと登録の方法は3種類

iOS8以上のiOS端末のセットアップとMobiControlサーバへの登録の方法には3種類があります。
  1. 監視モードとしてセットアップ
    • 1-a ABM(Apple Business Manager:旧DEP)経由自動登録
      携帯電話会社からの直接購入、または、Apple販売店IDを持つ販売店から購入するiOS端末及びmacOSコンピュータが対象
    • 1-b ABM経由手動登録
      Apple販売店IDを持たない販売店から購入したiOS端末、既に購入済みのiOS端末、及び、非監視モードでMobiControlに登録済みだが監視モードに変更する端末が対象
  2. 非監視モードとしてセットアップ
    既にアクティベーション済みの端末を登録します。登録用URLをSafariに入力することで、登録作業を開始します。

macOSコンピュータの場合は、1-a 又は 2の方法でセットアップします。
いずれの方法でも、事前にアプリカタログルールにMobiControlエージェントを 掲載しておきます。端末は、MobiControlに登録後、MobiControlエージェントをダウンロードしインストールします。

B. 登録用URL

MobiControlは、企業/団体の階層的組織を反映して、端末グループを作成します。そして末端組織別に 端末登録ルールを作成します。その端末登録ルール毎に、一意性のある登録用URLが生成されます。

(図1)は、端末登録ルールの作成の結果として表われる当該端末登録ルールの設定内容一覧です。これの赤枠の部分に、端末登録サイトのURLが表示さています。 これを、登録用URLとも言います。

(図1)


  • ABM経由手動登録、及び非監視モードとしてのセットアップの場合、登録用URLを指定することで、端末は MobiControlサーバに登録され、端末ルールが指定した端末グループに所属するようになります。
  • ABM経由自動登録の場合は、URLのドメインまでを指定します。 端末グループ毎に、所属する端末シリアル番号を指定しておくことで、端末は所定の端末グループに所属するようになります。
非監視モードとしてセットアップする場合、端末のSafariで、登録用URLを入力します。
予め、登録用URLをQR Code Generatorなどのソフトを使って、QRコードに変換しておくのも一法です。 端末で、URLの手入力の替わりにQRコードを読み取ることで、登録作業をスムーズにできます。

C. ABM(旧:DEP)によるMobiControlへの登録の仕組み

端末をアクティベーション(初期設定)をします。端末はABM(Apple Business Manager)サーバにアクセスし、登録予定のMDMサーバ(MobiControlサーバ)のURLを取得します。 続けて、端末は、取得したURLのMDMサーバ(MobiControlサーバ)にアクセスし登録をします。 (図1)を参照ください。

(図2)

(図2)の仮想MDMサーバは、端末シリアル番号とその端末が登録予定のMobiControlサーバのURLの連関表だとご理解ください。

D. ABM経由自動登録とABM経由手動登録での作業内容の違い

ABMサーバ経由での登録の方法に、ABM経由自動登録とABM経由手動登録の2種類があります。

(図3)


ABM経由自動登録とABM経由手動登録での作業内容の違いは、おおむね、次表のようになります。
いずれの場合でも、ABMサーバにサインインできる「ABM(Apple Business Manager)担当者アカウント」を持っているABM担当者が必要です。 「ABM担当者アカウント」を取得するには、ABM担当者アカウントの作成を参照ください。
作業の概要ABM経由自動登録ABM経由手動登録
1.端末シリアル番号のABMサーバへの登録作業販売店が実施Apple Configuratorが端末シリアル番号を自動読み取り、ABMサーバへ登録
2.公開キーとDEPトークンの交換
登録予定端末の端末シリアル番号とMobiControlサーバのURLとの紐付け
MobiControlを利用する企業/団体のABM担当者が実施
3.端末シリアル番号の端末登録ルールへの再配置コンソール管理者が実施不要
上の表の 2. 項の作業は、1回だけです。追加的に登録される端末に対しては、不要です。但し、1年後には再度実施。

E. 登録時の本人確認

非監視モードの場合、部外者が登録用URLを窃取してMobiControlに登録することを防止するために、3つの対策を用意しています。
  • 登録時に、登録用パスワードの入力を必要とさせる。
  • AD_DS(Active Directory Domain Service)などのディレクトリサービス または、Azure IdPなどの ID プロバイダで端末ユーザを認証する。
  • 社内の特別の場所でないと、登録できないようにする。
    正確には、無線LAN接続をし、指定のIPアドレス範囲のIPアドレスを取得できないと登録できないようにする。 詳しくは、「端末登録ルールのIPアドレスフィルタ」を参照ください。
監視モードの場合、ABMサーバに端末シリアル番号を登録した端末しか、登録できません。その点、部外者による登録は不可能です。

F. 端末の操作方法

端末の操作方法は、 「iOSエージェントの操作方法」を参照ください。

G. 端末エージェントのアップデート

Apple製品は、MobiControlエージェントをインストールしていなくても、OSに標準搭載されているMDMプロトコルという仕組みで、 スケジュールに基づき、MobiControlサーバにチェックインをし、必要なデータやファイルを送受します。
しかし、MobiControlのフル機能を利用するには、MobiControlエージェントをインストールします。
MobiControlエージェントの配布には、アプリカタログルールを利用します。
監視モードの端末では、MobiControlエージェントは、サイレント・インストールされます。 自動ダウンロード、自動インストールです。
使用開始後、日数が経つと、新しいバージョンの端末エージェントが、Appストアに搭載されます。
  • バージョンアップは、コンソール管理者が、制御できます。 App Storeでバージョンアップされても、すぐには、端末にはバージョンアップさせません。
  • アプリカタログルールの編集で、新しいバージョンの端末エージェントを搭載することで、 バージョンアップされます。
  • 監視モード端末の場合、バージョンアップも、サイレントインストールです。

H. 端末ユーザによるMobiControlからの登録解除


監視モード端末非監視モード端末
MobiControleエージェントのアンインストール禁止設定をしておけば、アンインストール不可
MDMプロトコルの無効化
(MobiControl信頼プロファイルの削除禁止)
不可能。但し、ABM経由手動登録した端末は、端末アクティベーション実施後30日間は解除可能
(Appleの仕様)
無効化を禁止できない
詳しくは、 「iOS:エージェントのアンインストール 」を参照ください。

I. iOS7の端末の登録

iOS7のiOS端末の登録を参照ください。