Apple Businessでのデバイス管理サービスについて
概要
iOS、iPadOS、macOS、tvOS、visionOS、watchOSには、デバイスの管理をサポートするフレームワークが組み込まれています。デバイス管理サービスは、デバイスが組織所有またはユーザー所有にかかわらず、組織がデバイスに構成、プロファイル、コマンドを送信して、デバイスを安全にリモートで構成できるサービスです。また継続的なポーリングをしなくても、デバイスが設定を非同期に適用し、デバイス管理サービスにステータスを報告することができます。これはパフォーマンスと拡張性の点で理想的です。宣言的なデバイス管理により、インターネット接続がない場合でも、組織はデバイスが望ましい状態にあり、重要なデータが安全に保持されているという安心が持てます。ユーザーにとっても、今までよりも応答性の高い体験になります。機能には、ソフトウェアおよびデバイスの設定の更新、組織のポリシー遵守の監視、およびリモートでのデバイスのワイプまたはロックが含まれます。
デバイスをデバイス管理サービスに割り当てることで、デバイス登録と自動デバイス登録に使用するサービスを指定できます。デバイス管理サービスを割り当てても、デバイスの現在の登録には影響がありません。2つの登録方法の違いは以下の通りです。
デバイス登録:ユーザーが設定アシスタントを完了した後に、デバイスを登録します。
自動デバイス登録:デバイスは設定アシスタントに表示されます。
プラットフォーム別に、デバイスページのデバイスごとに、一括操作で、またはiPhone用Apple Configuratorを使って、デバイスをサービスに自動的に割り当てることもできます。
組織固有の基準に基づいてデバイス管理サービスの導入候補をいくつか選定し、少数のテスト用デバイスで試験運用を行うことで、ニーズに最も合致するソリューションを判断してから最終決定を下すことができます。Apple Businessでは、複数のデバイス管理サービスに接続し、必要に応じて異なるサービスにデバイスを割り当てることができます。
開始する前に
外部のデバイス管理サービスにリンクする前に、以下の情報を確認してください。
セキュリティ:作成されたすべての外部のデバイス管理サービスをAppleに知らせる必要があります。また、2ステップ認証プロセスを使用して安全に承認する必要があります。認証プロセスでは、デバイス管理サービスのトークンを作成し、それをデバイス管理サービスにインストールします。証明書は、トークンを暗号化します。トークンの転送方法については、デバイス管理サービスのマニュアルを参照してください。
証明書:外部のデバイス管理サービスを追加する前に、追加するサービスごとに、パブリックキー証明書ファイル(末尾が.pemまたは.der)を追加するサービスごとにデバイス管理サービスの開発元から取得します。デバイス管理サービスのパブリックキー証明書の取得方法は、デバイス管理サービスのマニュアルを参照してください。
注記: アップロードできるパブリックキー証明書のファイル数の上限は、250個です。
名前:外部の各デバイス管理サービスに名前を付けるとき、完全修飾ドメイン名を使用する必要はありません。たとえば、特定の建物、場所、部屋、または職務権限に基づいた名前を選択できます(ただし、複数のサービスに同じ名前を使用することはできません)。また、サービスに「未割り当て」または「再割り当て」という名前を付けることもできません。
デバイスのサポート:デバイス管理サービスには、Macコンピュータのみ、iPhoneおよびiPadデバイスのみなど、特定タイプのAppleデバイスをきめ細かくサポートするように設計されているものと、複数のプラットフォームに対応しているものがあります。前者の場合は、複数のサービスを組み合わせることにより、各タイプのデバイスをそれに特化したソリューションで管理できます。デバイスタイプに基づく自動割り当て機能を利用すれば、複数のサービスを利用するのも簡単です。後者の場合は、組織内で使用されているすべてのタイプのAppleデバイスに対応したサービスを選択します。
照会およびレポートサービス:デバイス管理サービスでは、ハードウェアのシリアル番号、デバイスのUDID、Wi-Fi、MAC (Media Access Control)アドレス、FileVaultの暗号化ステータス(Macコンピュータの場合)など、さまざまな情報をAppleデバイスに照会できます。また、デバイスのバージョンや制限事項などのソフトウェア情報を照会したり、デバイスにインストールされているアプリをリストアップしたりすることも可能です。これらの情報は、ユーザーがインストールしているアプリが適切なものかどうかを確認するために利用できます。iOSとiPadOSについては、デバイスがiCloudにバックアップされた最終日時や、ログインしているユーザーのアプリ割り当てのアカウントハッシュを照会できます。tvOSについては、登録済みのApple TVデバイスに対して、言語や地域、組織などの資産情報を照会できます。
ベンダーサポートへのアクセスとサポートポリシー:デバイス管理サービスは、組織にとって必要不可欠なサービスです。したがって、利用する予定のデバイス管理サービスで、どのようなサポート、サービス、トレーニングが提供されているかを評価しておく必要があります。
デバイス管理サービスのネットワーク要件
デバイス管理サービスを導入して構成する際は、ネットワーク、Transport Layer Security (TLS)、インフラストラクチャサービス、Appleサービス、およびバックアップをどのように構成するか検討してください。
ローカルでホストするタイプのデバイス管理サービスを導入する場合は、下記のすべての項目を構成する必要があります。導入を円滑に進められるよう、プロセスの早い段階で各項目を構成し、テストしてください。デバイス管理サービスが外部で管理される場合やクラウドでホストされる場合は、項目の多くをプロバイダーが代行している場合があります。
DNS:デバイス管理サービスでは、組織のネットワーク内外から解決可能な完全修飾ドメイン名を使用する必要があります。これにより、ローカル接続とリモート接続の両方のデバイスをサービスで管理できるようになります。クライアントとの接続を維持するため、このドメイン名は変更できません。
IPアドレス:ほとんどのデバイス管理サービスでは、固定IPアドレスが必要になります。サーバのIPアドレスを変更した場合でも、既存のDNS名は維持する必要があります。
TLSの構成:Appleデバイスとデバイス管理サービス間の通信は、すべてHTTPSで暗号化されます。これらの通信を保護するために、TLS(旧SSL)証明書が必要になります。信頼できる認証局(CA)の証明書がない状態でデバイスを導入しないでください。また、証明書の有効期限に注意し、期限が切れる前に証明書を更新するようにしてください。
ファイアウォールポート:組織内外からのデバイス管理サービスへのアクセスを許可するには、特定のファイアウォールポートを開く必要があります。ほとんどのデバイス管理サービスは、ポート443での着信HTTPS接続を受け入れます。Appleデバイスは、特定のホストの以下のポートに接続できる必要があります。
TCPポート443:デバイスのアクティベート時、その後デバイスがポート5223でAPNに接続できない場合のフォールバック時
TCPポート5223:APNと通信するため
TCPポート443または2197:デバイス管理サービスからAPNに通知を送信するため
注記: デバイス管理サービスは、アクティベーションロックのエスクローキーとバイパスコード、macOSブートストラップトークン、デバイスへの継続的なアクセスに必要なその他の固有データを保持している場合があります。そのため、デバイス管理サービスをオンプレミスで運用する場合には、綿密なディザスタリカバリ戦略を策定するようにしてください。バックアップと復元は定期的にテストすることをおすすめします。
デバイスの高度な管理
一般的に監視は、設定と制限を詳細に管理できる組織所有デバイスを対象としています。組織はさまざまな方法でデバイスを監視できますが、利用可能な方法はプラットフォームによって異なります。「Appleプラットフォーム導入」の「Appleデバイスの監視について」を参照してください。