Appleデバイスに管理対象アプリを配付する
デバイス管理サービスを使ってインストールされるアプリは、「管理対象アプリ」と呼ばれます。これらのアプリには機密情報が含まれることがあり、ユーザがダウンロードするアプリよりも詳細に管理する必要があります。
管理対象アプリは、ユーザのアプリ体験をカスタマイズするためのアプリ固有の構成やシークレットを含め、デバイス管理サービスを使ってリモートでインストールできます。
管理対象アプリをインストールする
デバイス管理サービスは、以下の方法でアプリをインストールできます:
宣言型アプリ管理(iOS 17.2、iPadOS 17.2、macOS 26、visionOS 2.4以降)
InstallApplicationコマンド
宣言型アプリ管理がアプリで使用される場合は、宣言型アプリ管理が優先され、そのアプリに対するコマンドは失敗します。簡単に移行できるように、InstallApplicationコマンドを使用してインストールされたアプリを、アプリを再インストールせずに、宣言型アプリ管理を使用して管理するように変換できます。
重要: Apple School ManagerまたはApple Business Managerの「アプリとブック」セクションで購入したアプリのインストールを開始する前に、デバイス管理サービスでデバイスベースまたはユーザベースのライセンスを割り当てる必要があります。
宣言型アプリ管理は、デバイスが自律的にアプリをインストールすることを許可しており、ステータスレポートを使用した詳細情報を提供します。アクティベーション述語を使用して、アプリをインストールするタイミングのルールを定義することもできます。例えば、安全な接続が必要なアプリをデバイスにインストールするには、対応するネットワークリレー構成が適用され、デバイスにパスコードが設定されている必要があります。
宣言型アプリ管理を使用して、アプリを必須または任意として定義できます。必須アプリは自動的にインストールされ、デバイスにインストールされたまま存続します。任意のアプリは、ユーザが要求したときにオンデマンドでインストールされます。デバイス管理サービスのデベロッパは、ManagedAppDistributionフレームワークを使用して、これらの任意のアプリのインストールを処理する独自のアプリを作成できます。
監視対象のデバイスでは、アプリはサイレントにインストールされます。そうでないデバイスでは、ユーザにインストールの承認を求めるメッセージが表示されます。
iPhone、iPad、Apple TV、およびApple Vision Proデバイスにインストールされるアプリは常に管理対象となります。Macでは、宣言型アプリ管理を使用してインストールされたアプリも管理対象となります。そうでない場合は、デバイス管理サービスでアプリごとに管理状態を定義できます。
特定のバージョンのアプリをインストールする
通常は、App Storeで入手可能な最新バージョンのアプリがインストールされます。宣言型アプリ管理では、特定のバージョンのアプリをインストールするように定義できます。以前のバージョンのアプリは、デベロッパが削除しない限り、App Storeに保持されます。
構成でバージョンを指定するには、アプリのExternalVersionIdentifierを使用する必要があります。
アプリの管理が引き継がれると、ローカルにインストールされているバージョンは、構成で指定されたバージョンに自動アップデートされます。ローカルにインストールされているバージョンが指定されているバージョンよりも新しい場合、デバイス管理サービスにエラーが返されます。
ManagedAppDistributionフレームワーク
デバイスまたはユーザにアプリのライセンスが割り当てられていて、対応する宣言型アプリ構成が適用されたあとは、ManagedAppDistributionフレームワークを使用して、統一されたインターフェースでアプリのインストールを開始できます。このフレームワークは、デバイス管理サービスによって実装でき、デバイス管理サービスからの追加のアクションなしにデバイス上でのインストールを許可します。透過的な進捗状況とレスポンシブな体験もユーザに提供します。
管理対象アプリを構成する
組織では、特定のニーズやユーザグループに合わせてアプリのユーザ体験をカスタマイズする必要が生じることがよくあります。
ManagedAppフレームワーク
iOS 18.4、iPadOS 18.4、visionOS 2.4以降を搭載したデバイスでは、ManagedAppフレームワークを採用している管理対象アプリに、アプリ固有の構成と機密情報(パスワード、証明書、IDなど)を安全に導入できます。これにより、宣言型アプリ管理を使用してアプリの動作をカスタマイズし、ユーザ体験を簡素化し、セキュリティを強化できます。例を以下に挙げます:
特定のデバイスまたはユーザ向けに管理対象アプリまたはアプリ機能拡張を事前に構成します。
自動的にプロビジョニングされた識別情報を認証と署名に使用します。
APIアクセストークンを安全に受信します。
カスタムの信頼(証明書のピン留め)用の証明書を取得します。
強力なデバイス認証のためにハードウェアにバインドされた鍵と管理対象デバイスの認証を使用します。
詳しくは、Apple Developer Webサイトの「ManagedAppフレームワーク」(英語)を参照してください。
アプリ属性
iPhone、iPad、およびApple Vision Proでは、アプリに適用する追加属性を定義できます:
管理対象アプリがデータをバックアップできないようにする: 管理対象アプリのデータはFinderまたはiCloudにバックアップされません。バックアップを禁止すると、管理対象アプリがデバイス管理サービスにより削除され、あとでユーザが再インストールした場合にデータを復元できないようにすることができます。
ネットワークリレーまたはアプリ別VPNを定義する: アプリをネットワークリレーまたはアプリ別VPN構成に割り当て、アプリからのトラフィックをトンネリングします。
アプリの非表示またはロックを許可する: iOS 18またはiPadOS 18以降を搭載したiPhoneおよびiPadデバイスでは、ユーザは任意でアプリを非表示にしたりロックしたりできます。管理対象アプリでは、これらの機能を制限できます。ユーザがアプリをロックすることを禁止すると、非表示にすることも禁止されます。
関連ドメインと直接ダウンロード: アプリに関連ドメインを構成し、デバイスが関連ドメインに直接ダウンロードを使用できるかどうかを定義します。
コンテンツフィルタまたはDNSプロキシを割り当てる: 特定のコンテンツフィルタまたはDNSプロキシ構成をアプリに割り当てます。
アプリをモバイル通信スライスに割り当てる(iPhoneおよびiPadのみ): 特定のモバイル通信ネットワークスライスを使用するようにアプリを構成します。詳しくは、Appleデバイスの5Gのネットワークスライシング対応を参照してください。
タッチ決済を許可する(iPhoneのみ): iOS 16.4以降を搭載したデバイスでは、フォアグラウンドで動作する支払いアプリを、タッチ決済取引の際でも安全に使用できるとマークできます。設定されている場合は、カードPINを入力するためにデバイスが顧客に手渡されるすべての取引のあとで、ユーザがFace ID、Touch ID、またはパスコードを使ってデバイスのロックを解除する必要があります。
モバイル通信経由でのダウンロードを許可する(iPhoneおよびiPadのみ、宣言型アプリ管理のみ): デバイスがアプリをダウンロードまたはアップデートするときにモバイル通信ネットワークをどのように使用するかを示します。任意のサイズのダウンロードを許可したり、モバイル通信ネットワークの使用を禁止したり、App Storeの設定に従ったりできます。この設定はユーザが開始したアクションには適用されません。
iOS 14、iPadOS 14、およびtvOS 14以降でInstallApplicationコマンドを使用してインストールされたアプリでは、追加設定を使用できます。
アプリを削除不可としてマークする: 管理対象アプリを削除不可としてマークできます。ユーザはアプリを並べ替えたり、新しいアプリをインストールしたり、ほかのアプリを削除したりすることは許可されますが、ミッションクリティカルな管理対象アプリを削除することは禁止されます。管理対象アプリをユーザが削除したり取り除いたりしようとしても、この手続きは阻止されて警告が表示されます。管理対象アプリを削除不可にすることによって、組織のユーザは必要なアプリが自分のデバイス上に常に存在していることが保証されます。
宣言型アプリ管理は、必須アプリを自動的に削除不可としてマークします。
管理対象外アプリを管理対象アプリに変換する
ユーザがすでにアプリをインストールしている場合、デバイス管理サービスがそのアプリの管理を引き継ぐことができます。監視対象デバイスでは、これがユーザの操作なしに実行されます。それ以外の場合は、ユーザが正式に管理を承諾する必要があります。アカウント駆動型ユーザ登録ではアプリ変換は利用できません。
管理対象アプリをアップデートする
デバイス管理サービスは管理対象アプリのアップデート方法を制御できます。
宣言型アプリ管理でアプリをアップデートする
宣言型アプリ管理を使用して導入したアプリは、以下の2つの方法でアップデートできます:
自動アプリアップデートを使用する
アプリのバージョンを指定せずに、または新しいバージョンを指定して、新しい構成をインストールする。バージョンを指定しない場合は、利用可能な最新バージョンがインストールされます。
アップデート動作設定を使用してアプリのアップデート方法を定義できます:
自動: デバイスは定期的に(通常は24時間ごと)App Storeまたはマニフェストファイルで新しいバージョンをチェックし、アプリを自動的に最新バージョンにアップデートします。
しない: デバイスはアプリを自動的にアップデートしません。
App Store設定: デバイスは対応するストアの設定を使用し、社内専有アプリを自動的にアップデートすることもありません。
iPhone、iPad、およびApple Vision Proでは、デバイスがロックされているときにアプリがアップデートされます。macOSでは、必要に応じてアプリを終了するプロンプトがユーザに表示されます。
注記: 構成でアプリの特定のバージョンが指定されている場合、アップデート動作構成は無視され、アプリの自動アップデートは無効になります。
アプリインストールコマンドを使用してアプリをアップデートする
コマンドを使用してアプリをインストールした場合、デバイス管理サービスは定期的にApp Storeまたはマニフェストファイルで新しいバージョンをチェックし、アプリインストールコマンドをデバイスに送信してアプリをアップデートします。このチェックはカスタムアプリにも適用されます。デバイスに割り当てられたアプリは、デバイス管理サービスからアプリインストールコマンドが送信された場合のみアップデートされます。App Storeでアプリアップデート通知はユーザに表示されません。
アップデートは消音モードで適用されます。アプリがフォアグラウンドで実行されている場合にのみ、プロンプトがユーザに表示されます。
管理対象アプリを削除する
管理対象アプリは、デバイスから次のようにして削除できます:
デバイス管理サービスによってリモートで。アプリ構成を削除するかアプリケーション削除コマンドを送信することで。
ユーザがデバイス管理サービスからデバイスの登録を解除したとき。
登録解除すると、適用されたアプリ構成と関連付けられたアプリも削除されます。
アプリインストールコマンドを使用してアプリをインストールした場合は、登録解除時にアプリが削除されるかどうかを定義する属性を設定できます。
アカウント駆動型登録から登録を解除すると、管理対象アプリは必ず削除されます。
iPhone、iPad、およびApple Vision Proでは、管理対象アプリを削除すると、アプリのデータコンテナに関連付けられたデータも削除されます。
アプリのライセンスを取り消す
デバイス管理サービスは、デバイスまたはユーザに割り当てられたアプリのライセンスを取り消すことができます。
宣言型アプリ管理を使用してインストールしたアプリのライセンスを取り消す
宣言型アプリ管理を使用してインストールしたアプリのライセンスをデバイス管理サービスが取り消した場合、そのアプリは削除されます。
アプリインストールコマンドを使用してインストールしたアプリのライセンスを取り消す
デバイス管理サービスでアプリのライセンスを取り消したけれども、アプリを削除していない場合は、そのアプリの動作はデベロッパによって定義されています。例えば、アプリは定期的に受信確認を実行し、その機能へのアクセスを制限または制約する場合があります。