モバイルデバイス管理ソリューションを選定する
モバイルデバイス管理(MDM)とは
iOS、iPadOS、macOS、およびtvOSには、モバイルデバイス管理(MDM)をサポートするフレームワークが組み込まれています。MDMでは、デバイスにプロファイルとコマンドを送信することで、ユーザ所有のデバイスと組織支給のデバイスの両方を安全にワイヤレスで構成できます。MDMの機能には、ソフトウェアとデバイス設定のアップデート、組織ポリシーへの準拠の監視、デバイスのリモートワイプやリモートロックなどもあります。ユーザが所有するデバイスは、ユーザ自身がMDMに登録できます。組織が所有するデバイスは、Apple School Managerを使って自動的にMDMに登録できます。
MDMの仕組み
登録プロファイルがデバイスまたはユーザによって承認されると、ペイロードを含んだ構成プロファイルがデバイスに配布されます。これにより、Apple School Managerを通じて購入したAppとブックの配布、管理、構成を、ワイヤレスで行えるようになります。Appのインストールは、Appのタイプ、Appの割り当て方法、およびデバイスが監視対象かどうかによって、ユーザが自分で行うことも、自動で行うこともできます。
監視対象とは
一般に、監視対象とは、組織がデバイスを所有し、デバイスの構成や制限を詳細に制御できることを示します。
詳しくは、「Appleプラットフォーム導入」の「Appleデバイスの監視について」を参照してください。
MDMソリューションの選択における考慮点
さまざまな他社が多数のMDMソリューションを提供しています。ソリューションを選択する前に、ホスティングのオプションや価格など、MDMのどの側面が組織にとって最も重要かを評価してください。以下のヒントが意思決定に役立ちます。
ヒント: 導入前に適切なMDMソリューションを選択することがきわめて重要です。導入中に変更すると、すべてのデバイスを消去して再登録する必要がある場合があります。
ローカルホスト型か、クラウドホスト型か: MDMソリューションは、ローカルサーバにホスティングすることも、クラウドにホスティングすることもできます。MDMは、デバイスを世界のどこにいても管理できる軽量なHTTPSベースのプロトコルであり、データトラフィックへの影響は少なくてすむため、クラウドホスティングに適しています。クラウドまたはインターネットにホスティングされたソリューションを選択すると、このリファレンスに記載されたMDMの構成手順の多くを削減するか、完全に省略することができます。
デバイスの対応: MDMソリューションの中には、MacコンピュータやiPhoneデバイスなど特定の種類のAppleデバイスを徹底的にサポートするように構築されているものもあれば、クロスプラットフォームに対応するものもあります。デバイスの種類ごとに専門的なソリューションでサポートされるようMDMベンダーを組み合わせて選定することができます。Apple School Managerのデバイスの種類ごとの自動割り当てにより、これが簡単になります。また、組織で使用されているすべての種類のAppleデバイスに対応するMDMベンダー1つを選択することもできます。
教育機関向けの機能: 一部のMDMベンダーは、教育機関の環境向けに特化して設計された機能を提供しています。MDMベンダーがApple School Manager、クラスルーム、スクールワーク、共有iPadなどのソリューション、および最新バージョンのApple製オペレーティングシステムのリリース時に導入されたすべての教育機能をサポートしていることを確認してください。
照会およびレポートサービス: MDMソリューションでは、Appleデバイスに対して各種情報を照会できます。照会できる情報には、ハードウェアのシリアル番号、デバイスUDID、Wi-Fi MAC(Media Access Control)アドレス、FileVaultの暗号化状況(Macコンピュータ用)などがあります。また、デバイスのバージョンや制限などのソフトウェア情報を照会したり、デバイスにインストールされているAppをリストすることもできます。これらの情報は、ユーザが適切なAppを確実に保守するために使用できます。iOSとiPadOSでは、デバイスのバックアップが最後にiCloudに作成された日時や、ログインユーザのApp割り当てアカウントハッシュを照会できます。tvOSでは、MDMは登録済みのApple TVデバイスに対して、言語、地域、組織などのアセット情報を照会できます。
ベンダーのサポートアクセスおよびポリシー: MDMはミッションクリティカルなサービスです。MDMベンダーが提供するサポート、サービス、およびトレーニングを評価する必要があります。
基準に従ってMDMソリューションの候補リストを作成し、数台のテストデバイスで試験的にMDMソリューションを設定し、ニーズに最適なソリューションを評価してから、最終的な決定を下すことができます。Apple School Managerを使用すると、複数のMDMソリューションと接続し、必要に応じて異なるサーバにデバイスを割り当てることができます。詳しくは、ビデオ「MDMソリューションを選定する」を参照してください。
MDMソリューションのネットワーク要件
MDMソリューションをインストールおよび構成するときは、ネットワークの構成方法、Transport Layer Security(TLS)、インフラストラクチャサービス、Appleサービス、およびバックアップについて考慮してください。
ローカルにホスティングされたMDMソリューションをインストールするときは、次の項目すべてを設定する必要があります。プロセスの初期段階でそれぞれを設定してテストすることにより、スムーズな導入を実現できます。利用するMDMソリューションが外部で管理されていたりクラウドでホスティングされていたりする場合、MDMベンダーが代わりにこれらの項目の多くを処理している可能性があります:
DNS: MDMソリューションは、組織のネットワークの内部と外部の両方から解決可能な完全修飾ドメイン名を使用する必要があります。これにより、ローカル接続のデバイスもリモート接続のデバイスもサーバで管理することができます。クライアントとの接続を維持するために、このドメイン名は変更しないでください。
IPアドレス: ほとんどのMDMソリューションには、静的IPアドレスが必要です。サーバのIPアドレスが変更された場合でも、既存のDNS名はそのまま維持する必要があります。
TLSでMDMを設定する: AppleデバイスとMDMソリューションの間のすべての通信は、HTTPSで暗号化されます。これらの通信をセキュリティ保護するには、TLS(以前のSSL)証明書が必要です。よく知られている認証局(CA)からの証明書がない状態でデバイスを導入しないでください。有効期限日に注意し、期限切れになる前に証明書を更新してください。
ファイアウォールポート: MDMソリューションへの内部アクセスと外部アクセスの両方を可能にするには、特定のファイアウォールポートを開く必要があります。ほとんどのMDMソリューションはポート443のHTTPSを使用した受信接続を受け入れます。MDMソリューションとデバイスの両方がAppleプッシュ通知サービスと通信する必要があります。2020年10月までは、MDMソリューションはAPNsとの通信にポート2195および2196を使用していました。クライアントはポート5223を使用します。2020年11月以降はポート2197を使用します。
ヒント: MDMソリューションは、アクティベーションロックのエスクローキーとバイパスコード、macOSブートストラップトークン、およびデバイスアクセスの継続性にとって重要なその他の一意のデータをホストする場合があります。そのため、オンプレミスのMDMインストールに対して堅牢なディザスタリカバリ戦略があることを確認してください。バックアップと復元を定期的にテストすることをおすすめします。