端末のセットアップと登録 – MobiControl v14 Manual

A. Apple製品のセットアップと登録の方法は3種類

iOS8以上のiOS端末のセットアップとMobiControlサーバへの登録の方法には3種類があります。

監視モードとしてセットアップ
- 1-a 自動DEP登録
  携帯電話会社からの直接購入、または、DEP販売店IDを持つ販売店から購入するiOS端末及びmacOSコンピュータが対象
- 1-b 手動DEP登録
  DEP販売店IDを持たない販売店から購入したiOS端末、既に購入済みのiOS端末、及び、非監視モードでMobiControlに登録済みだが監視モードに変更する端末が対象
非監視モードとしてセットアップ
既にアクティベーション済みの端末を登録します。登録用URLをSafariに入力することで、登録作業を開始します。

macOSコンピュータの場合は、1-a 又は 2の方法でセットアップします。
いずれの方法でも、事前にアプリカタログルールにMobiControlエージェントを掲載しておきます。端末は、MobiControlに登録後、MobiControlエージェントをダウンロードしインストールします。

B. 登録用URL

MobiControlは、企業/団体の階層的組織を反映して、端末グループを作成します。そして末端組織別に端末登録ルールを作成します。その端末登録ルール毎に、一意性のある登録用URLが生成されます。

(図1)は、端末登録ルールの作成の結果として表われる当該端末登録ルールの設定内容一覧です。これの赤枠の部分に、端末登録サイトのURLが表示さています。これを、登録用URLとも言います。

(図1)

手動DEP登録、及び非監視モードとしてのセットアップの場合、登録用URLを指定することで、端末は MobiControlサーバに登録され、端末ルールが指定した端末グループに所属するようになります。
自動DEP登録の場合は、URLのドメインまでを指定します。端末グループ毎に、所属する端末シリアル番号を指定しておくことで、端末は所定の端末グループに所属するようになります。

非監視モードとしてセットアップする場合、端末のSafariで、登録用URLを入力します。
予め、登録用URLをQR Code Generatorなどのソフトを使って、QRコードに変換しておくのも一法です。端末で、URLの手入力の替わりにQRコードを読み取ることで、登録作業をスムーズにできます。

C. DEPによるMobiControlへの登録の仕組み

端末をアクティベーション(初期設定)をします。端末はApple DEP(Device Enrollment Program)サーバにアクセスし、登録予定のMDMサーバ(MobiControlサーバ)のURLを取得します。続けて、端末は、取得したURLのMDMサーバ(MobiControlサーバ)にアクセスし登録をします。 (図1)を参照ください。

(図2)

(図2)の仮想MDMサーバは、端末シリアル番号とその端末が登録予定のMobiControlサーバのURLの連関表だとご理解ください。

D. 自動DEP登録と手動DEP登録での作業内容の違い

Apple DEP サーバ経由での登録の方法に、自動DEP登録と手動DEP登録の2種類があります。

(図3)

自動DEP登録と手動DEP登録での作業内容の違いは、おおむね、次表のようになります。
いずれの場合でも、DEPサーバにサインインできる「ABM(Apple Business Manager)担当者アカウント」を持っているABM担当者が必要です。「ABM担当者アカウント」を取得するには、ABM担当者アカウントの作成を参照ください。

	作業の概要	自動DEP登録	手動DEP登録
1.	端末シリアル番号のDEPサーバへの登録作業	販売店が実施	Apple Configuratorが端末シリアル番号を自動読み取り、DEPサーバへ登録
2.	公開キーとDEPトークンの交換登録予定端末の端末シリアル番号とMobiControlサーバのURLとの紐付け	MobiControlを利用する企業/団体のABM担当者が実施
3.	端末シリアル番号の端末登録ルールへの再配置	コンソール管理者が実施	不要

上の表の 2. 項の作業は、1回だけです。追加的に登録される端末に対しては、不要です。但し、1年後には再度実施。

E. 登録時の本人確認

非監視モードの場合、部外者が登録用URLを窃取してMobiControlに登録することを防止するために、3つの対策を用意しています。

登録時に、登録用パスワードの入力を必要とさせる。
AD_DS(Active Directory Domain Service) または、AD_FS(Active Directory Federation Service)で端末ユーザを認証する。
社内の特別の場所でないと、登録できないようにする。
正確には、無線LAN接続をし、指定のIPアドレス範囲のIPアドレスを取得できないと登録できないようにする。詳しくは、「端末登録ルールのIPアドレスフィルタ」を参照ください。

監視モードの場合、DEPサーバに端末シリアル番号を登録した端末しか、登録できません。その点、部外者による登録は不可能です。

F. 端末の操作方法

端末の操作方法は、「iOSエージェントの操作方法」を参照ください。

G. 端末エージェントのアップデート

Apple製品は、MobiControlエージェントをインストールしていなくても、OSに標準搭載されているMDMプロトコルという仕組みで、スケジュールに基づき、MobiControlサーバにチェックインをし、必要なデータやファイルを送受します。
しかし、MobiControlのフル機能を利用するには、MobiControlエージェントをインストールします。
MobiControlエージェントの配布には、アプリカタログルールを利用します。
監視モードの端末では、MobiControlエージェントは、サイレント・インストールされます。自動ダウンロード、自動インストールです。
使用開始後、日数が経つと、新しいバージョンの端末エージェントが、Appストアに搭載されます。

バージョンアップは、コンソール管理者が、制御できます。 App Storeでバージョンアップされても、すぐには、端末にはバージョンアップさせません。
アプリカタログルールの編集で、新しいバージョンの端末エージェントを搭載することで、バージョンアップされます。
監視モード端末の場合、バージョンアップも、サイレントインストールです。

H. 端末ユーザによるMobiControlからの登録解除

	監視モード端末	非監視モード端末
MobiControleエージェントのアンインストール	禁止設定をしておけば、アンインストール不可
MDMプロトコルの無効化 (MobiControl信頼プロファイルの削除禁止)	不可能。但し、手動DEP登録した端末は、端末アクティベーション実施後30日間は解除可能 (Appleの仕様)	無効化を禁止できない

詳しくは、「iOS:エージェントのアンインストール」を参照ください。

I. iOS7の端末の登録

iOS7のiOS端末の登録を参照ください。