Appleデバイスに社内専有アプリを配付する
Appleデバイスでは、Apple Enterprise Developer Programを使用して、App Storeを経由せずに社内専有アプリをワイヤレスでインストールできます。Apple Developer Enterprise Programは、App Storeの公開アプリ、Apple School ManagerまたはApple Business Managerのカスタムアプリ、アドホック配信、またはTestFlightでのベータテストが十分に対応していない用途で、社内専有アプリを使用および配布するためのものです。
詳しくは、「Apple Developer Enterprise Program」を参照してください。
プロビジョニングプロファイル
社内専有アプリをiPhone、iPad、Apple TV、Apple Vision Pro、およびApple Watchデバイスに配布するには、プロビジョニングプロファイルが必要です。プロビジョニングプロファイルはデバイス管理サービスを使用してインストールおよび管理でき、ユーザはそのサービスまたはアプリアップデートを介してダウンロードおよびインストールできます。
プロビジョニングプロファイルの有効期限が切れる前に、iOSのデベロッパWebサイト、iPadOSのデベロッパWebサイト、またはvisionOSデベロッパWebサイトからアプリの新しいプロファイルを作成してください。アプリをはじめてインストールするユーザの場合は、新しいプロビジョニングプロファイルで新しいアプリバンドル(.ipaファイル)を書き出してください。
アプリをすでに持っているユーザの場合は、次にバージョンがリリースされるタイミングに合わせて新しいプロビジョニングプロファイルを取り込むことをおすすめします。この方法では、アプリでのユーザの作業が妨げられません。そうしない場合は、ユーザがアプリを再度インストールする必要がないように、新しい.mobileprovisionファイルだけを配付することもできます。新しいプロビジョニングプロファイルによって、アプリアーカイブ内の既存のプロビジョニングプロファイルは無効になります。
配付プロビジョニングプロファイルは、発行後12カ月で有効期限が切れます。有効期限日以降は、アプリは起動しなくなります。
社内専有アプリデベロッパのユーザをプロビジョニングする/管理する
社内専有アプリデベロッパは、ユーザをプロビジョニングおよび管理するためのApple APIにアクセスすることで、ユーザがプロファイル生成のプロビジョニングや既存のワークフローへのユーザ管理の統合などのタスクを自動化することを許可できます。
詳しくは、Apple Developer Webサイトの「Enterprise Program API」(英語)を参照してください。
社内専有アプリの配付には2つの方法があります:
デバイス管理サービスを使用する
Webサイトを使用する
どちらの方法でも、配付用のアプリを準備する必要があります。これにはマニフェストの準備が含まれます。
重要: iOS 18およびiPadOS 18以降を搭載したデバイスでは、デバイス管理サービスを使用せずに手動でインストールされた社内専有アプリは、プロビジョニングプロファイルの信頼を完了する際にデバイスの再起動を必要とします。
社内専有アプリのワイヤレス配付を準備する
社内専有アプリをワイヤレス配付する準備を行うには、アーカイブ済みバージョン(.ipaファイル)と、アプリのワイヤレス配付とインストールを可能にするマニフェストファイルを作成します。バージョン管理されたアプリのアーカイブをXcodeで作成してから、アプリを組織配付用に書き出します。Xcodeでは配布証明書が使用され、適切なプロビジョニングプロファイルが含められます。マニフェストファイルは、Webサーバのアプリを検索、ダウンロード、インストールするためにAppleデバイスで使用されるXMLプロパティリスト(.plistファイル)です。マニフェストファイルは、アーカイブされたアプリを組織配布用に共有する際に提供する情報を使用して、Xcodeによって作成されます。属性および関連する値の一覧を表示するには、Apple Developer Webサイトの「アプリケーションのインストールコマンド」(英語)を参照してください。
デバイス管理サービスを使ってアプリを配付する
デバイス管理サービスを使用するには、マニフェストファイルを準備し、以下のいずれかと合わせて使用する必要があります:
iOS 17.2、iPadOS 17.2、visionOS 1.1以降で使用できる宣言型アプリ管理。
InstallEnterpriseApplication(マニフェストファイルや埋め込まれたマニフェスト)コマンド。InstallApplicationコマンド(マニフェストファイル)
Webサイトを使ってアプリを配付する
アプリをワイヤレスでインストールするには、iOS、iPadOS、およびvisionOSアプリが以下の要件を満たす必要があります:
アプリは.ipaフォーマットで、社内プロビジョニングプロファイルを使ってビルドされている必要があります。
XMLマニフェストファイルである必要があります。
アドレスがHTTPSで始まるWebサイトからダウンロードする必要があります。
デバイスで信頼されている証明書によって署名されている必要があります。
デバイスからAppleのサーバにアクセスできるネットワーク構成である必要があります。詳しくは、Appleのサポート記事「エンタープライズネットワークでApple製品を使う」を参照してください。
アプリをインストールするには、ユーザが特殊なURLプレフィックスを使ってWebサイトからマニフェストファイルをダウンロードします。マニフェストファイルとプロビジョニングファイルをダウンロードするためのURLは、iMessageまたはメールメッセージ経由で配付できます。プレフィックスが追加されたリンクの例を示します:
<a href="itms-services://?action=download-manifest&url=https://betterbag.com/manifest.plist">アプリをインストール</a>
これらの種類のアプリの配付に使用するWebサイトは、自分で設計しホストしてください。ユーザが認証されていること、および必要に応じてイントラネットまたはインターネットからWebサイトにアクセス可能であることを確認してください。Webサイトは、マニフェストファイルにリンクする1ページだけのものでかまいません。ユーザがWebリンクをタップするとマニフェストファイルがダウンロードされ、Webページに記載されている項目のダウンロードとインストールが開始されます。
以下の追加のガイダンスに従ってください:
アーカイブしたアプリ(.ipa)にWebリンクを直接追加しないでください。.ipaファイルは、マニフェストファイルをロードしたときに、デバイスによってダウンロードされます。URLのプロトコルの部分は「itms-services」ですが、App Storeはこの処理にはかかわりません。
.ipaファイルがHTTPSでアクセスでき、iOSおよびiPadOSが信頼する証明書を使用してサイトが署名されていることを確認します。自己署名証明書に信頼されるアンカーがなく、デバイスによって確認できない場合、インストールは失敗します。
認証済みユーザがアクセス可能なWebサイトの領域に、以下の項目をアップロードします:
マニフェストファイル(ファイル名拡張子は.plist)
アプリファイル(ファイル名拡張子は.ipa)
マニフェストファイルとアプリファイルが正しく転送されるように、Webサーバを構成する必要がある場合があります。サーバの場合は、次のMIMEタイプをWebサービスのMIMEタイプ設定に追加してください:
application/octet-stream ipa
text/xml plist
Microsoft社のIIS(Internet Information Server)の場合、「IISマネージャ」を使って次のMIMEタイプをサーバの「プロパティ」ページに追加します:
.ipa application/octet-stream
.plist text/xml
注記: セルフサービスポータルを構築する場合は、ユーザのホーム画面にWebクリップを追加することを検討してください。これにより、新しい構成プロファイル、推奨のApp Storeアプリ、デバイス管理サービスへの登録など、今後の情報を提供する際にユーザが簡単にポータルを再度開くことができます。
証明書の検証
ユーザがアプリをデバイスで最初に起動するときに、Apple OCSPサーバに接続して配付証明書が検証されます。証明書が失効している場合、そのアプリは起動しません。証明書の状況を検証するために、デバイスからocsp.apple.comに接続できる必要があります。
OCSP応答は、OCSPサーバに指定されている期間(現在は3〜7日)デバイス上にキャッシュされます。デバイスを再起動してキャッシュされた応答が期限切れになっていない限り、証明書の有効性が再度確認されることはありません。この時点で失効を受け取ると、アプリは起動しなくなります。
配付証明書は、発行後3年間、またはApple Developer Enterprise Programメンバーシップの有効期限まで有効です(どちらか早い方)。証明書が期限切れにならないように、メンバーシップの有効期限が切れる前にメンバーシップを更新してください。
互いに依存関係のない、独立した2つの配付証明書を同時に有効にできます。2番目の証明書により、1番目の証明書の有効期限が切れるまでにアプリをアップデートするための猶予期間が提供されます。2番目の配付証明書を要求するときに、1番目の証明書を失効させないでください。
警告: 配信証明書を失効させると、その証明書で署名したすべてのアプリが無効になります。秘密鍵が失われたことが確実な場合、または証明書の危殆化と思われる場合は、最後の手段として証明書を失効させてください。
社内専有アプリを手動でアップデートする
デバイス管理サービスを使用して配布される社内専有アプリは、管理対象アプリの機能を使ってアップデートできます。
ユーザが手動でダウンロードしたアプリは、自動的にアップデートされません。新しいバージョンがある場合は、ユーザにアップデートがあることを通知し、そのアプリをインストールするように指示してください。起動時にアップデートを確認し、ユーザに通知するようにアプリを実装することを検討してください。通知で「itms-services」リンクを提供してください。アプリ内にopenURLを使うことで、アプリ内からアップデートをインストールすることもできます。
ユーザのデバイスに保存されているアプリのデータを保持したい場合は、置き換えるバージョンと同じバンドル識別子が新しいバージョンでも使用されていることを確認し、新しいバージョンをインストールする前に古いバージョンを削除しないようにユーザに通知します。
ワイヤレスアプリ配付のトラブルシューティング
ダウンロードができないというメッセージが表示されてワイヤレスアプリ配付ができない場合:
アプリが正しく署名されているかを確認してください。Mac用Apple Configuratorを使用してデバイスにインストールすることで検査し、エラーが発生するかどうかを確認してください。
マニフェストファイルへのリンクが正しく、Webユーザがマニフェストファイルにアクセスできるかどうかを確認してください。
(マニフェストファイル内の).ipaファイルへのURLが正しく、WebユーザがHTTPSで.ipaファイルにアクセスできるかどうかを確認してください。