Apple製品

MobiControl v14 Manual


1. Appleデバイスの業務アプリの管理

MobiControlは、業務アプリの管理に最適のソリューションをiPhone、iPad、macOSコンピュータに提供します。
  1. 端末ユーザの操作がなくても、アプリのサイレント・インストールとサイレント・バージョンアップを実現。
    端末ユーザの操作を待つ必要がないので、短かい時間で数千台の端末にアプリの配布やバージョンアップができます。業務改善のスピードを速めます。
  2. 社内開発し、Appストアに公開したくないアプリも端末に配布し、インストール
  3. アプリのホワイトリストを作成し、業務に関係ないアプリの起動を禁止
社内のWiFiやVPN等も、リモート設定ができます。

2. Appleデバイスの画面をリモートビュー

リモートのAppleデバイスの画面を、コンソールに表示できます。端末ユーザがアプリ操作に戸惑ったときやアプリに不具合があったときに、 コンソールに画面表示して対応できます。v14.1までは、SDK for iOSをアドオンしたアプリしかリモートビューは 実現できませんでした。v14.2からは、どのアプリでもリモートビューが可能になりました。

3. macOSコンピュータの「システム環境設定」を一括設定

  1. 業務アプリをサイレント・インストールします。
  2. 「システム環境設定」をコンソールで一括設定できます。
    • ログイン画面設計、FileVault、Dock、Finder、プリンタ、Xsan、 機能拡張などの面倒な設定をコンソールで一括設定できます。
    • Active Directoryや Open Directoryの「ネットワークアカウント」も、コンソールからリモート 設定できます。
    • ユーザのホームフォルダや、Time Machineによるファイルバックアップ先をサーバ内にすることをリモート設定できます。
  3. 情報漏洩対策
    macOSコンピュータの機能とコンテンツの制限を参照ください。 例えば、「どこでも My Mac」を禁止することで、職場のコンピュータから自宅のコンピュータへの情報流出を防げます。
  4. ネットワーク・インフラに対するアカウントの自動設定
    社内WiFiやVPNなどを、一斉設定できます。

4. Appleデバイスの情報漏洩対策の充実

利用中の対策

Appleデバイスには、様々な情報漏洩対策が用意されています。しかし、それは、適切な設定をしていることが前提です。 MobiControlは、適正な設定を強制的に適用します。例えば:-
  • パスコードの設定強制。複雑性や無効パスコード入力の許容回数制限。
  • ロック中のSiriの禁止
    (禁止にしてないと、ロック中でもSiriで連絡先の電話番号を知ることができます)
  • iCloudのドキュメントの同期の禁止
    (私物のPCやデバイスからiCloudにアクセスし、会社のドキュメントをダウンロード。その私物PCやデバイスが情報漏洩元になりうる。)
  • Cookieの制限(過去に訪問したサイトからのCookieのみに制限)
  • 端末証明書のインストール
    (メールサーバやVPNの利用に際する認証に使います)
  • 会社が定めたWiFi以外には、アクセスさせない。(この機能は、MobiControl v14で追加された新機能です)
  • 別途、無償提供しているブラウザ(SOTI Surf)を利用し、Webサイトのフィルタリングをする。 併せてSafariの利用を禁止できます。

紛失時の対策

  1. アクティベーションロック
    仮に、端末のアクティベーションロックを無効にしておくと、 パスコードやApple IDのパスワードを知らなくても、拾得者は、端末をiTunesを起動したPCに接続し、リカバリーモードを使って初期化して、自分の物として使うことができます。 通常は、端末のアクティベーションロックは有効にしてあり、その場合、 拾得者は上記の方法を適用できません。
  2. 端末の地理的位置を表示できます。
  3. リモートWipe
    コンソールから端末を工場出荷状態に戻せます。
  4. 端末画面にメッセージ
    端末に連絡先などを記したメッセージを送り、端末画面に表示します。
  5. 端末を紛失したユーザ自身が、PCやタブレットを使い、 セルフサービスポータルにアクセスすると、上記のb項、c項とd項を実施できます。夜間や休日に紛失しても、 コンソール管理者に出勤して貰う必要がありません。

5. 監視モード

iPhone、iPad、macOSコンピュータの設定モードは、「監視モード」と「非監視モード」の2つに大別されます。
「非監視モード」でも、全く監視されないということではありません。 但し、「監視モード」に比べると、コントロールされる領域が少なくなります。
会社支給端末の場合は、監視モードでセットアップすることをお勧めします。 監視モードでセットアップするには、AppleのABM(Apple Business Manager(旧:DEP)サーバ経由での、初期設定が必要です。
Appleデバイスを監視モードにすることで、次のようなメリットが得られます。
  • 情報漏洩対策及びその他を目的として、端末の機能の制限ができます
    詳しくは、下記の「監視モードでの機能」を参照ください。
  • Appストアアプリをサイレント・インストール
    端末ユーザの操作なくして、ダウンロードとインストールを行なえます。 詳しくは、アプリカタログ・ルールを参照。 また、AppストアのVPP(Volume Purchase Planing)アプリをユーザのApple IDではなく、 端末に紐づけることができます。従って、端末ユーザが変わっても、同じアプリを継承できます。有償アプリでも新規購入が不要です。
  • Apple IDの管理が不要
    端末を 監視モードでアクティベーション(初期設定)するときは、AppleへのApple IDの登録をスキップできます。 Apple IDがなくても、Appストアのアプリをダウンロードできます。(但し、アプリカタログ・ルールに掲載してあることが、前提)
    Apple IDを会社支給端末で管理するとなると、端末ユーザの姓名、生年月日、メールアドレス、パスワード、 秘密の質問などを、会社で管理しなければなりません。
    (端末操作により端末ユーザが、Apple IDを登録することはできます。続けて、iCloudへのアクセスを許可することもできます。iCloudへのバックアップもできます。 しかし、それらの許可を与えると、iCloudへバックアップした会社情報を、自宅の私物のデバイスにダウンロードもできます。)
  • Apple IDがなくても、紛失モードにすることで、紛失した端末の地理的位置の表示など、「iPhoneを探す」と同等の 機能を使えます。
  • アクティベーションロックの強制
    アクティベーションロックを無効にしてから、端末を初期化すると、他人(拾得者?)名義で端末をAppleに登録できます。 MobiControlは、端末ユーザによるアクティベーションロックの無効化を禁止できます。
    アクティベーションロックとそのバイパスを参照ください。
  • アクティベーションロックのバイパス
    通常は、アクティベーションロックを有効にしておき、盗難/紛失があっても、他人(拾得者?)名義でのアクティベーションを不能にします。 アクティベーションを試みても、Apple ID 若しくはそれの代替となるバイパスコードを入力しなければなりません。
    しかし、盗難/紛失されてない端末をなんらかの理由でリセットする場合などは、アクティベーションロックのバイパス処置を臨時にしておきます。 そうすると、初期化の後も、Apple ID 若しくはそれの代替となるバイパスコードを入力しなくても、端末は再アクティベーションされます。
    アクティベーションロックとそのバイパスを参照ください。
  • 端末側操作での、MobiControlへの登録解除を禁止
    端末操作での登録解除の禁止を参照。
    但し、ABM経由手動登録しての監視モード端末は、アクティベーション後30日間は、登録解除が可能。

6. APNs

Appleデバイスは、通常、MobiControlサーバには接続していません。また、MobiControlサーバから端末にアクセスして通信セッションを張ることはありません。

(図2)

Appleデバイスには、出荷時に「MDMプロトコル」という名前のメカニズムが標準搭載されています。
この「MDMプロトコル」は、APNs(Apple Push Notification service)から通知Noticeを、常時受けるように設定されています。 端末に「リモートロック」「紛失モード」または「Wipe(初期化)」などのコマンドを送るには、 まず、APNs経由でチェックイン要求を送ります。
端末はチェックイン要求に応えて、MobiControlサーバに「チェックイン」をし、コマンドを受け取ります。
端末に対し、構成プロファイルを送ったり、ルールを展開するのにも、端末にチェックイン要求を送ることで実現します。 端末から、MobiControlサーバへの「チェックイン」は、通常のhttps(TCP443)のコールです。
ルールの中には、アプリカタログルールがあり、インストールするべきアプリに関する情報を送ります。 送るべきオブジェクトを送り終わると、端末はすぐにチェックアウトします。
もし、Apple製品を閉域ネットワークで使うとしても、APNsとのTCPポートは開けておく必要があります。

APNsとのTCPポートについては、「Firewall/Proxyのポート番号など」のページを参照ください。

7. MobiControlエージェント

(図3)

アプリの一つとしてMobiControlエージェントを追加的にインストールすると、端末には付加的な機能を追加できます。 端末ユーザがMobiControlエージェントを起動すると、MobiControlサーバに「接続」します。 端末から、MobiControlサーバへの「接続」は、通常のhttps(TCP443)のコールです。
  • 端末の画像イメージを送り、コンソールに表示します。画像の変化をリアルタイムで表示します。
  • 端末の地理的位置情報(緯度経度)を送り、コンソールの地図に、過去に所在した場所を点描表示します。
    Appleの仕様により現時点の地理的位置は、「紛失モード」にした場合のみに表示されます。
  • MDMプロトコルでは送れない次の端末ステータス情報をサーバに送ります。
    • IPアドレス
    • バッテリ空き容量
    • 総メモリと書込可能なメモリ容量
    • 脱獄(JailBreak)しているかどうか
  • コンソールからのメッセージを端末の画面に表示します。
  • 端末でコンテンツライブラリから様々なファイルをダウンロードできます。
「MDMプロトコル」によるチェックインと、「MobiControlエージェント」による接続では、送受するオブジェクトが異なります。 詳しくは、「iOS:チェックインと接続」を参照ください。
管理機能が減少しますが、MobiControlエージェントをインストールしなくても、Appleデバイスの管理は可能です。 これをエージェントレス運用と言います。

8. アプリカタログとVPP

アプリカタログ・ルールを適用したAppleデバイスには、「App Catalog」という名前のアイコンが、ホーム画面に表示されます。 これにはアプリの名前とアイコンが表示されています。これにはアプリのダウンロード元へのURLが埋め込まれています。 端末ユーザは、これをタップして業務アプリのダウンロードとインストールをします。
アプリには、Appストアのアプリもあれば、社内限りで社内サーバをダウンロード元とするアプリ(=エンタープライズ・アプリ)もありえます。
Appストアのアプリは、企業/団体としてVPP(Volume Purchase Planning = まとめ買い)契約をすることができます。 VPP契約で購入したアプリは、個別端末ユーザが費用負担するのではなく、企業/団体がまとめて費用負担をします。
VPPアプリの帰属先を、「端末(デバイス)」にするか「ユーザ」にするかの選択肢があります。 デバイスベースだと、その端末のユーザが変わっても( = 端末のApple IDが変わっても)、当該アプリを使い続けることができます。
ユーザベースだと、ユーザが端末を変えても、当該アプリを使い続けることができます。有償アプリでも新規購入は不要です。
Appストアのアプリのダウンロードに当たっては、端末のポップアップに、次のような違いがあります。
監視モード端末非監視モード端末
VPP契約アプリポップアップ無し。
サイレント・インストール可能
インストールを促すメッセージのポップアップ
VPP契約でないアプリApple IDとパスワード入力のポップアップ 下記の2つのポップアップ
  • インストールを促すメッセージ
  • Apple IDとパスワード入力
ユーザベースのアプリでは、ユーザのApple IDをVPP契約に紐づけるポップアップが現れる。但し、初回だけ。
詳しくは、アプリカタログルールを参照ください。

9. Automated Device Enrollment(旧:DEP)とは

Apple Automated Device Enrollment(旧:DEP)は、iPhone、iPad、macOSコンピュータを監視モードにする仕組みです。

(図3)

監視モードに設定するのは、端末を初期設定(アクティベーション)するときです。 端末には工場出荷時に固有のシリアル番号が付番されています。そのシリアル番号は、Appleのアクティベーションサーバに登録されています。

通常の初期設定では、シリアル番号にMDMサーバのURLが紐づけられてないので、Apple IDを登録することで、初期設定が終わります。

シリアル番号に、MDMサーバのURLが紐づけられている場合、その端末は、MDMサーバに自動的にアクセス(リダイレクト)します。 そして、MDMサーバに登録されます。続けて、その端末用に用意されている構成プロファイル等がダウンロードされます。

Apple Automated Device Enrollmentを利用して、端末をMobiControlに登録するには、 当該端末のシリアル番号が、Apple Automated Device Enrollment対象であることを、Apple アクティベーションサーバに、予め登録しておく必要があります。 この登録を誰がするかによって、Automated Device Enrollmentを利用しての登録方法には、2種類があります。 下表を参照ください。

ABMは、Apple Business Managerの略


ABM経由自動登録ABM経由手動登録
対象となる端末
  • 携帯電話会社から直接購入する端末
  • Apple販売店IDを持っている販売店から購入する端末
  • Apple販売店IDを持っていない販売店から購入する端末
  • 購入済の端末
  • 非監視モードだが、これを監視モードに変更する端末
端末シリアル番号をABMサーバに登録する人 販売店(購入元) 利用する企業/団体のABM担当アカウント保有者
端末シリアル番号の端末登録ルールへの再配置 MobiControlコンソールへのアクセス権限者が実行 不要
ABMサーバで、登録予定端末の端末シリアル番号とMobiControlサーバのURLとの紐付け 利用する企業/団体のABM担当アカウント保有者

10. 監視モードで制限できる端末の機能

上記の「監視モード」でのメリット説明以外に、セキュリティ対策や業務の効率化のために、下記の機能を提供できます。 赤文字の項目は、MobiControl v14に追加された機能です
  • アプリの管理
    • アプリのサイレント・インストール 及び サイレント・バージョンアップ
    • アプリのホワイトリストを作り、リスト以外のアプリの起動を禁止
    • アプリのブラックリストを作り、リストされたアプリの機能を禁止
    • Appストアからのアプリの追加ダウンロード禁止
    • Appストア以外のアプリの追加ダウンロード禁止
    • シングルアプリモード(基本的に1つのアプリのみ)
    • アプリの削除禁止
  • AirPrint設定
更には、次に示す機能を制限できます。
  • 端末側操作でのMobiControlの登録解除を禁止
  • ホスト・ペアリングの許可/禁止
    iTunesを起動して、パソコンのデータをiOS端末に移動またはその逆の禁止
  • WiFi専用端末では、プロキシサーバを経由しないと、インターネットに接続できないようにする
  • 指定したURL以外には、ブラウザからアクセスできないようにする
  • 会社で定めたWiFi以外にアクセスさせない(但し、iOS13.1以上の端末のみが対象)
  • Bluetooth設定の変更を禁止。新規接続先を禁止。
  • 「探す」アプリの禁止
    iOS13の「探す」アプリを有効にしておくと、インターネットにオフラインの自分の端末でも、近くにある他人のAppleデバイスが, 自分のデバイスの位置情報を中継して、iCloudへ報知してくれます。Bluetoothでオフラインの自分の端末を検知します。
    また、「探す」アプリでは、iOS13端末を持つ友達の地理的位置も表示してくれます。
    便利な機能ですが、情報漏洩の危惧を持つ場合は、構成プロファイルを送ることで「探す」を無効にできます。
非監視モードでも、機能制限ができる項目は多くあります。 詳しくは、「端末機能とコンテンツの制限」を参照ください。 しかし、その内、下記の機能制限は、iOS13以上では、監視モードでないと制限を課すことができません。
  • カメラ機能の停止
  • FaceTimeの利用禁止
  • アプリのインストールを禁止
    Appストアアプリも、Appストア以外のアプリもインストール禁止。 App Storeアイコンも非表示
  • iCloud Keychain Syncを禁止
    端末とiCloudアカウントの間でログイン情報の同期を停止する
  • iCloudとのドキュメント同期を禁止
  • 端末データをiCloudへバックアップさせない
  • 「友達を探す」アプリの変更禁止
  • ゲームセンターに友達を登録することを禁止
  • 他の端末と連携してプレイするゲームの禁止
    いわゆるマルチユーザプレイゲームの利用を不能にする
  • Safariの利用禁止
  • Apple Musicを禁止
  • iMessageの利用禁止
  • SIRIでユーザの生成したコンテンツを非表示
  • SIRIの悪口誹謗フィルタ
  • iBook Storeの利用禁止
  • Eroticaコンテンツの禁止
  • AirDropの利用禁止
  • AirPrintでTLS通信を要求
  • AirPrintの利用禁止
  • ロック画面で通知センターを非表示
  • ロック画面で「今日」ビューを非表示
  • Exchangeアカウント変更の禁止
  • 携帯電話回線でのパケット使用量記録の変更の禁止
  • ホスト・ペアリングの禁止
    iTunesを使ってパソコンからiOS端末へのデータ移動が不能になる。
  • OTAによるPKIの更新禁止
  • 端末内のすべてのコンテンツと設定の削除を禁止
  • 構成プロファイルを手動でインストールさせない
  • パスコードの変更を禁止
  • Apple Watchとのペアリングを禁止
  • Spotlightの検索を無効にする
    文章の文字列にあてたスポットライトでのインターネット検索禁止。
  • VPNの設定を無効にすることを禁止
  • 通知設定の変更を禁止
  • 制限の変更を禁止
    端末で「設定」-->「一般」-->「機能制限」のメニューでの可能/不能の変更を不能にする
  • デバイス名の変更を禁止
    端末で「設定」-->「一般」-->「情報」-->「名前」での変更を不能にする
  • 端末での壁紙変更を禁止
  • 音声入力を無効にする
  • 予測キーボードを無効にする
    文字入力時に、予想単語を表示する機能を無効にする
  • キーボードショートカットを無効にする
    外付けキーボードを使う時のショートカット用法の利用禁止
  • 自動修正を無効にする
    文字入力時、applr -->apple などと修正する
  • スペルチェックを無効にする
    文字入力時のスペルチェックを無効にする
  • 定義の辞書検索を無効にする
    文字列をタップして、当該文字列に関する辞書内容を表示する。この機能を無効にする。
  • USB 制限モードを有効にする
    ロック状態になってから1時間以上経過して、端末をPCなどにUSB接続しても、データ伝送はできなくなることをUSB制限モードと言います。 GrayKeyという機器を端末につなぐと、 4桁のパスコードは数時間で盗まれるといわれます。これを有効にしておくと、 このようなパスコード盗難を 防止できます。 (iOS11.4.1以上が必要)
  • 日付&時間を自動的に強制設定する
    (iOS12以上が必要)
  • パスワード近接要求を無効にする
    当該端末に物理的に近づいたiOS端末が、WiFiのパスワードを拾い取るのを禁止する。(iOS12.0以上が必要)
  • パスワード共有を無効にする。
    AirDropを使って、該当端末に保存された全てのパスワードを他のデバイスに送る機能を無効にします。 (iOS12.0以上が必要)
  • パスワードの AutoFill を無効にする。
    Safariまたはアプリに保存したパスワードを使って、画面のパスワード入力欄への自動書き込みを禁止する。 (iOS12以上が必要)
  • ゲームセンターへのアクセス禁止
    (ホーム画面からゲームセンターのアイコン削除)
  • PodCastの禁止
  • シングルアプリモードでのアプリの指定
MDMにiOS端末を登録すると、iOSのバージョンアップが強制されます。しかし、 iOSのバージョンアップを最長90日まで延長できる機能が、MobiControl v14で追加されました。 逆に、コンソールの指定で、iOSのバージョンアップを強制開始できる機能も追加されました。 いずれも、監視モードである必要があります。

11. Webサイトのフィルタリングができるブラウザ -SOTI Surf

SOTIが無償提供しているブラウザSOTI Surfをインストールできます。 SOTI Surfは次の特長を持ちます。
  • アクセスできるWebサイトを限定できます。
    URLのブラックリスト、又は、ホワイトリストをコンソールで作成しておきます。
  • 社内のリポジトリ・ファイルサーバにアクセスできます。
    この場合は、逆プロキシサーバ(イントラネットゲートウェイ)経由で、外部からFirewall内の サーバにアクセスします。
    逆プロキシサーバには、SOTIが無償提供するERG(Enterprise Resource Gateway)を インストールします。
詳しくは、「SOTI Surfの設定」を参照ください。

12. 異なる端末グループのユーザ間で、1台の端末を共用

(図4)

端末は、所属する端末グループが異なると、構成プロファイル、ルール、詳細設定、アプリなどが異なります。 端末を共用端末として設定すると、端末ユーザが所属するグループの構成に自動的に従います。 例えば、あるユーザが使うと、設定してあるVPN接続が可能になるが、他のユーザではそれが不可能になります。
あるユーザが使うと、指定のアプリが自動インストールされますが、同じ端末を他のグループのユーザが使うと、そのアプリが 自動的にアンインストールされます。
  • 前のユーザの受信済メールは、自動的に削除されます。
  • 端末ユーザは、認証サービス(ディレクトリサービスまたはIDプロバイダ)で、認証を受ける必要があります。
従業員全員に会社支給端末を配布できない場合でも、従業員は、会社支給の共用端末を持ち出して、外出先で使えるようになります。 その共用端末に、今、誰がサインオンしているかは、コンソールで把握できます。

13. 認証サービスによる認証

端末ユーザが、認証サービスのグループのメンバーであるかどうかを確認するために、端末を登録するプロセスで、 認証サービスによる認証をさせることができます。
認証サービスには、「ディレクトリサービス」と「IDプロバイダ」の2系統があります。
監視モード非監視モード
ディレクトリサービス オンプレミスAD_DS、Apple OD、Dominoなど
クラウドAzure AD
IDプロバイダ オンプレミスAD_FS、AD_FS以外
クラウドAzure IdP
Azure IdP以外
AD_DS:Active Directory Domain Service
AD_FS:Active Directory Federation Service
AD_FS以外のIDプロバイダ:Okta、PingFederateなど
  • 監視モードとして登録する際のIDプロバイダによる認証は、現時点では、Azure IdPだけです。Apple Business Managerの仕様です。
  • 端末登録時には、認証サービスによる認証操作をスキップし、後に、端末ユーザ自身で、認証操作をして貰うこともできます。
    • キッティング時には、認証サービスによる認証を不要とする端末登録ルールで登録
    • 認証サービスによる認証を必要とするように、該当の端末登録ルールを編集(修正)
    • コンソールで、端末を一時的に登録解除
    • 端末では、MobiControlへの登録画面が表示されるので、「登録」ボタンを押す
    • 端末は認証サービスにリダイレクトし、 その認証画面を表示します。端末ユーザがユーザ名とパスワードを入力します。そして、MobiControlに再登録されます。

14. 認証サービスで認証させると、こんなメリットが

  1. 端末が、認証サービスで認証を受けるようにしておくと、前述のように、端末を共用端末として、異なる部門の従業員で共用できるようになります。
  2. メール、WiFi、VPN、アプリ・サーバとの連携を必要とするアプリの利用で、端末ユーザは、パスワード入力などの 認証作業をしなくて済みます。
    但し、該当するメールサーバ、WiFi、VPN、アプリサーバが、ディレクトリサービス、または、ID プロバイダによる 認証方式を採用している必要があります。

    ディレクトリ・サービスで
    認証しておくと
    ID プロバイダで
    認証しておくと
    Exchangeメール 端末ユーザはメールサーバの設定など不要。メールアカウント設定も不要。 パスワード入力を不要とするには、端末登録ルールのオプション機能のチェックボックスにチェックを入れておく必要がある。注1 SSOが可能で、端末ユーザの認証作業は不要。
    WiFiやVPN端末ユーザによる設定不要
    アプリサーバ注2 SSO(自動サインオン)は不可能
    • 注1 端末登録(再登録)の10分以内に、メール、WiFi、又はVPNの構成プロファイルが端末に配布されると、MobiControlサーバが端末にパスワードを記憶させる。 構成プロファイルを端末グループに割り当てておいてから、端末を登録または再登録が望ましい。
    • 注2 端末のアプリが起動すると、連携するアプリサーバに自動的にサインオンします。
  3. コンソールの端末一覧に、端末毎に、その端末ユーザ名が表示されるようになります。
  4. 夜間や休日に端末を紛失しても、端末ユーザが対処できます。
    セルフサービスポータルが使えるようになります。
    端末ユーザが、管理対象の端末以外の、PC、タブレット、スマホで、自らの管理対象端末のステータスを視ることができるようになります。 端末ユーザご自身で、紛失した端末の地理的位置を表示し、端末をロックしたり、WIPE(初期化)ができます。 夜間や休日に、コンソール管理者に出社して対処して貰う必要がありません
  5. AD_DSから社内電話番号帳を端末にダウンロードできます
  6. CardDAVサーバから社内電話番号帳を端末にダウンロードできます
  7. CalDAVサーバから、社内の同僚、上司のスケジュールのダウンロードできます

15. 3つの登録モード

iOSとiPadOSに関しては、3つの登録モードがあります。登録モードによって、登録後の端末の機能や、逆に禁止できる機能が異なります。
1. 監視モードABM(Apple Business Manager)サーバ経由自動登録 または、
ABMサーバ経由手動登録した端末
非監視モード 2. デバイス登録 3.「ユーザー登録」に比べて、多くの機能制限が可能。コンソールからのリモートWipeが可能。
3. ユーザー登録
v14.4.3以降
私物端末に適用します。私的にインストールしたアプリ名などはコンソールには表示されません。 コンソールからのリモートWipeは不能。iOS13以上の端末に適用可能。
会社支給端末の場合は、原則的に、監視モードに設定します。
監視モードの端末には、Appストアのアプリをサイレント・インストールできます。情報漏洩対策などを目的に、端末の一部の振る舞い/機能を停止させることができます。 詳しくは、「監視モード」を参照ください。
「ユーザー登録」は、私用端末を登録する場合を想定しています。詳しくは、「B-3. 「ユーザー登録」のApple ID」 をクリックしてください。

macOSコンピュータの登録モードは、上記の「1.監視モード」と「2.デバイス登録」だけです。

16. SDK for iOS

OS端末にインストールするアプリに、SDK for iOSをアドオンすると、 iOS端末の業務での活用度が高まります。
  • アプリ操作で動く端末の画面を、コンソールPCの画面にリモート表示できます。アプリ操作の指導や不具合の発見につながります。
  • アプリ配下のサブフォルダのデータファイルをファイルサーバに吸い上げたり、逆にファイルサーバから端末に必要なデータを送ることができます。 アプリ作成において、サーバとのファイル同期の手配が簡単になります。 サーバ側に端末毎のサブフォルダを自動的に作ります。
  • コンソールPCのエクスプロラ・ツールに、端末のアプリ配下のサブフォルダが表示されます。 コンソールPCとの間でファイル送受や更新ができ、アプリのデバッグなどに 役立ちます。
SDK for iOSは無償です。