自動デバイス登録
組織で購入したiOS(iPadOS)デバイス,macOSデバイスを、自動的に組織のMDMに登録するための設定について解説します。ABM以前には DEP: Device Enrollment Program の名称で提供されていた機能です。
Apple Business ManagerとMobileIron Cloudを連携する
自動デバイス登録を利用するために、Apple Business ManagerとMDMサーバ(MobileIron Cloud)を連携します。MobileIron CloudとABMからそれぞれキー(トークン)をダウンロードし、互いのキーをアップロードすることで連携ができます。MobileIron Cloud側から設定を開始します。
[管理]>[Apple]>[Device Enrollment]
[開始]ボタンをクリックします。
[キーをダウンロード]をクリックし、.pem ファイルを保存します。
キーを保存したら[business.apple.com]ボタンをクリックします。Webブラウザの新しいタブでApple Business Managerが開きますので、ABMの管理者となっているApple IDでサインインします。
[設定]>[デバイス管理の設定]を開き、「MDMサーバを追加」します。
任意のMDMサーバ名を付け、先ほどMobileIron Cloudからダウンロードしたキーをアップロードして[保存]します。
ABMに新しい名前でMDMサーバが作成されました。このMDMサーバのための「トークンをダウンロード」します。
サーバトークンは拡張子 .p7m のファイルとしてダウンロードされます。
MobileIron Cloudの管理画面に戻ります。
[アップロード]ボタンをクリックし、ABMからダウンロードしたトークンファイルをアップロードします。
ABMとの接続が確認できました。[次へ→]をクリックします。
自動デバイス登録時の認証方法を設定します。デフォルトではMobileIron Cloudのユーザーでの認証を要求します。この設定は後から変更できます。
[次へ→]をクリックします。
自動デバイス登録の実行時にデバイスの監視モードやアクティベーションのユーザー体験を決定する「Enrollmentプロファイル」を設定します。
組織で購入したデバイスをMDMに自動登録するユースケースでは、多くの場合「監視モード」を有効化するとともに、MDMを必須かつ削除不可能としてユーザーが勝手にデバイスをMDM管理から外すことを防ぎます。
画面を下にスクロールしてEnrollmentプロファイルのその他の項目を設定していきます。
サポート電話番号とサポートメールアドレス
IT部門やヘルプデスクなど、組織内の適切な連絡先を入力します。
カスタム登録Webページ
デバイスに表示される登録認証画面をカスタマイズする設定です。デフォルトの設定では、デバイスに組み込まれたベーシック認証画面(ID・パスワード)ですが、下のように設定することでMobileIron Cloudの認証画面が利用できます。またMobileIron Cloudのユーザー認証を「PIN+パスワード」や「SAML認証」としている場合にも対応できます。
ビジネス用の共有iPad
iPadデバイスをビジネス用の共有iPadとしてセットアップするための項目です。
各種設定オプションのスキップ
自動デバイス登録では、アクティベーション中にユーザーが同意や設定を求められる様々な項目をスキップし、よりシンプルなユーザー体験を提供することができます。可能な限りの項目をスキップして問題ありませんが、例えばiOSデバイスの位置情報を取得したい場合、ここでスキップしてもいずれユーザーが位置情報サービスを有効にしなければならず、アクティベーション中に設定させる方が簡単です。
macOSの管理アカウントおよびプライマリユーザーアカウントの作成
このmacOSのための設定は必須項目となっていますが、iOSデバイスのみをこのEnrollmentプロファイルの対象とする場合には「管理アカウント作成をスキップ」にチェックを入れたのみの設定としておけば大丈夫です。
macOSにおいてはアクティベーション中に管理権限を持つユーザーアカウントを必ず作成する必要があります。
以下の設定例では、MobileIron Cloudユーザーと同名のユーザーを、管理権限を持つプライマリとして作成するものです。このようにユーザー属性(変数)の利用が可能です。
最後に[保存]ボタンをクリックしてEnrollmentプロファイルを保存します。
以上で自動デバイス登録を利用するためのABMとMobileIron Cloudの連携設定は完了です。
ABMでデフォルトのMDMサーバを設定する
今後新規に購入し、ABMに登録されるデバイスを自動的にデフォルトのMDMサーバに割り当てるには、
[設定]>[デバイス管理の設定]でデバイスの種類ごとにデフォルトのMDMサーバを選択します。
ABMに登録済みのデバイスに割り当てるMDMサーバを変更する
既にABMに登録済みのデバイスを、新しいMDMサーバに再割り当てすることも簡単にできます。
[デバイス]画面からシリアル番号、注文番号、デバイスの種類などで対象のデバイスを検索し「デバイス管理を編集」します。下図のように複数のデバイスを抽出すると、まとめて新しいMDMサーバに割り当てることができます。
「デバイス管理を編集」をクリックして、対象のデバイスに対する新しいMDMサーバを選択します。
ABMでのデバイス管理の変更が、割り当て先のMobileIron Cloudで認識されると、デバイス数のカウントが変化します。
割り当て先となったMDMサーバへの自動デバイス登録は、対象デバイスの次のアクティベーション時に行われます。デバイスが既にアクティベーション済みの場合には、一度ワイプが必要です。
トークンの更新を忘れずに!
ABMからダウンロードするMDMサーバのトークンには1年の有効期限が設定されており、毎年ABMから新しいトークンをダウンロードしてMobileIron Cloudにアップロードする更新作業が必要です。(初めにMobileIron CloudからダウンロードしてABMにアップロードしたキーについては更新の必要はありません。)
トークンの更新は、ABMの[設定]> 該当のMDMサーバから「トークンをダウンロード」し、MobileIron Cloudに「新規トークンをアップロード」するだけです。
