Appleデバイスに社内専有アプリを配付する
Appleデバイスでは、Macを使用したりApp Storeを経由したりせずに社内専有アプリをワイヤレスでインストールできます。これらのアプリを配付するには、プロビジョニングプロファイルが必要です。プロビジョニングプロファイルはモバイルデバイス管理(MDM)ソリューションを使用してインストールおよび管理でき、ユーザはMDMまたはアプリアップデートを介してダウンロードおよびインストールできます。プロビジョニングプロファイルの有効期限が切れる前に、Apple Developer Webサイトを参照してアプリの新しいプロファイルを作成してください。iOSまたはiPadOSアプリの場合は、アプリを初めてインストールするユーザ向けに、新しいプロビジョニングプロファイルで新しいアプリバンドル(.ipaファイル)を書き出してください。
社内専有アプリデベロッパのユーザをプロビジョニングする/管理する
社内専有アプリデベロッパは、ユーザをプロビジョニングおよび管理するためのApple APIにアクセスすることで、ユーザがプロファイル生成のプロビジョニングや既存のワークフローへのユーザ管理の統合などのタスクを自動化することを許可できます。
社内専有アプリの配付には2つの方法があります:
MDMを使用する
Webサイトを使用する
どちらの方法でも、配付用のアプリを準備する必要があります。これにはマニフェストの準備が含まれます。
重要: iOS 18およびiPadOS 18以降では、MDMを使わずに手動でインストールされた社内専有アプリは、プロビジョニングプロファイルの信頼を完了する際にデバイスの再起動を必要とします。
社内専有アプリのワイヤレス配付を準備する
社内専有アプリをワイヤレス配付する準備を行うには、アーカイブ済みバージョン(.ipaファイル)と、アプリのワイヤレス配付とインストールを可能にするマニフェストファイルを作成します。バージョン管理されたアプリのアーカイブをXcodeで作成してから、アプリを組織配付用に書き出します。Xcodeでは配布証明書が使用され、適切なプロビジョニングプロファイルが含められます。マニフェストファイルは、Webサーバのアプリを検索、ダウンロード、インストールするためにAppleデバイスで使用されるXMLプロパティリスト(.plistファイル)です。マニフェストファイルは、アーカイブされたアプリを組織配布用に共有する際に提供する情報を使用して、Xcodeによって作成されます。属性および関連する値の一覧を表示するには、Apple Developer Webサイトの「アプリケーションのインストールコマンド」(英語)を参照してください。
Macコンピュータ用の社内専有アプリを管理する
macOS 14以降では、管理できるアプリケーションが増えます。1つのパッケージに複数のアプリケーションバンドルが含まれる場合、「/アプリケーション」に導入されたすべてのアプリケーションが管理されます。管理対象アプリが管理対象と見なされるには、「/アプリケーション」フォルダ内に存在している必要があります。
組織はMDMを使用して、登録解除時に管理対象アプリケーションを残すか削除するかを定義できます。MDMを使用してアプリケーションをアンインストールすることもできます。これにより、アプリケーションバンドルが「/アプリケーション」から削除されます。パッケージまたは関連付けられたスクリプトによって別の場所にインストールされたデータは、そのまま残されます。
また、ユーザ登録またはアカウント駆動型デバイス登録を使用する場合、管理対象アプリケーションのデータは別のボリュームに配置されます。
社内専有アプリデベロッパのユーザをプロビジョニングする/管理する
社内専有アプリデベロッパは、ユーザをプロビジョニングおよび管理するためのApple APIにアクセスすることで、ユーザがプロファイル生成のプロビジョニングや既存のワークフローへのユーザ管理の統合などのタスクを自動化することを許可できます。
詳しくは、Apple Developer Webサイトの「Enterprise Program API」(英語)を参照してください。
MacアプリケーションのバンドルIDを取得する
バンドル識別子(バンドルIDとも呼ばれます)を取得するには、Controlキーを押しながらアプリケーションをクリックしてから、「パッケージの内容を表示」を選択します。Contentsフォルダを開いてから、Info.plistファイルを開きます。どのアプリを使用するか分からない場合は、テキストエディットでファイルを開きます。ファイルでアプリの検索機能を使ってCFBundleIdentifierを検索し、その行の下の文字列をコピーします。例えば、com.betterbag.applicationname。あとで利用できるように、アプリケーションのバンドルIDをテキストファイルまたはメモにペーストします。
MDMを使ってアプリを配付する
MDMを使用するには、InstallEnterpriseApplication(マニフェストファイルや埋め込まれたマニフェスト)またはInstallApplication(マニフェストファイル)コマンドのいずれかを含むマニフェストを使用します。macOSは、sha256および証明書ピンニングにも対応しています。これらのコマンドを異なるオペレーティングシステムで使用する際の追加オプションがあります:
iOS 17.2またはiPadOS 17.2以降を搭載したデバイスでは、宣言型アプリ構成も使用できます。
macOS搭載のデバイスでは、以下を使用できます:
ボリューム購入および.pkgインストール用の
InstallApplicationコマンド。.pkgインストール専用の
InstallEnterpriseApplicationコマンド。
詳しくは、MDMコマンドを参照してください。
Webサイトを使ってアプリを配付する
アプリをワイヤレスでインストールするには、iOS、iPadOS、およびvisionOS 1.1アプリが以下の要件を満たす必要があります:
アプリは.ipaフォーマットで、社内プロビジョニングプロファイルを使ってビルドされている必要があります。
XMLマニフェストファイルである必要があります。
アドレスがHTTPSで始まるWebサイトからダウンロードする必要があります。
デバイスで信頼されている証明書によって署名されている必要があります。
デバイスからAppleのサーバにアクセスできるネットワーク構成である必要があります。詳しくは、Appleのサポート記事「エンタープライズネットワークでApple製品を使う」を参照してください。
パッケージをインストールするには、ユーザが特殊なURLプレフィックスを使ってWebサイトからマニフェストファイルをダウンロードします。マニフェストファイルとプロビジョニングファイルをダウンロードするためのURLは、iMessageまたはメールメッセージ経由で配付できます。プレフィックスが追加されたリンクの例を示します:
<a href="itms-services://?action=download-manifest&url=https://betterbag.com/manifest.plist">アプリをインストール</a>
これらの種類のアプリの配付に使用するWebサイトは、自分で設計しホストしてください。ユーザが認証されていること、および必要に応じてイントラネットまたはインターネットからWebサイトにアクセス可能であることを確認してください。Webサイトは、マニフェストファイルにリンクする1ページだけのものでかまいません。ユーザがWebリンクをタップするとマニフェストファイルがダウンロードされ、Webページに記載されている項目のダウンロードとインストールが開始されます。
以下の追加のガイダンスに従ってください:
アーカイブしたアプリ(.ipa)にWebリンクを直接追加しないでください。.ipaファイルは、マニフェストファイルをロードしたときに、デバイスによってダウンロードされます。URLのプロトコルの部分は「itms-services」ですが、App Storeはこの処理にはかかわりません。
.ipaファイルがHTTPSでアクセスでき、iOSおよびiPadOSが信頼する証明書を使用してサイトが署名されていることを確認します。自己署名証明書に信頼されるアンカーがなく、デバイスによって確認できない場合、インストールは失敗します。
認証済みユーザがアクセス可能なWebサイトの領域に、以下の項目をアップロードします:
マニフェストファイル(ファイル名拡張子は.plist)
アプリファイル(ファイル名拡張子は.ipa)
マニフェストファイルとアプリファイルが正しく転送されるように、Webサーバを構成する必要がある場合があります。サーバの場合は、次のMIMEタイプをWebサービスのMIMEタイプ設定に追加してください:
application/octet-stream ipa
text/xml plist
Microsoft社のIIS(Internet Information Server)の場合、「IISマネージャ」を使って次のMIMEタイプをサーバの「プロパティ」ページに追加します:
.ipa application/octet-stream
.plist text/xml
注記: セルフサービスポータルを構築する場合は、ユーザのホーム画面にWebクリップを追加することを検討してください。これにより、新しい構成プロファイル、推奨のApp Storeアプリ、MDMソリューションへの登録など、今後の情報を提供する際にユーザが簡単にポータルを再度開くことができます。
証明書の検証
ユーザがアプリをデバイスで最初に起動するときに、Apple OCSPサーバに接続して配付証明書が検証されます。証明書が失効している場合、そのアプリは起動しません。証明書の状況を検証するために、デバイスからocsp.apple.comに接続できる必要があります。
OCSP応答は、OCSPサーバに指定されている期間(現在は3〜7日)デバイス上にキャッシュされます。デバイスを再起動してキャッシュされた応答が期限切れになっていない限り、証明書の有効性が再度確認されることはありません。この時点で失効を受け取ると、アプリは起動しなくなります。
警告: 配信証明書を失効させると、その証明書で署名したすべてのアプリが無効になります。秘密鍵が失われたことが確実な場合、または証明書の危殆化と思われる場合は、最後の手段として証明書を失効させてください。
アップデート済み社内専有アプリを提供する
自分で配付するアプリは、自動的にはアップデートされません。新しいバージョンがある場合は、ユーザにアップデートがあることを通知し、そのアプリをインストールするように指示してください。起動時にアップデートを確認し、ユーザに通知するようにアプリを実装することを検討してください。通知で「itms-services」リンクを提供してください。アプリ内にopenURLを使うことで、アプリ内からアップデートをインストールすることもできます。
ユーザのデバイスに保存されているアプリのデータを保持したい場合は、置き換えるバージョンと同じバンドル識別子が新しいバージョンでも使用されていることを確認し、新しいバージョンをインストールする前に古いバージョンを削除しないようにユーザに通知します。
プロビジョニングプロファイルの有効期限が切れる前に、iOSのデベロッパWebサイト、iPadOSのデベロッパWebサイト、またはvisionOSデベロッパWebサイトからアプリの新しいプロファイルを作成してください。アプリをはじめてインストールするユーザの場合は、新しいプロビジョニングプロファイルで新しいアプリバンドル(.ipaファイル)を書き出してください。
アプリをすでに持っているユーザの場合は、次にバージョンがリリースされるタイミングに合わせて新しいプロビジョニングプロファイルを取り込むことをおすすめします。この方法では、アプリでのユーザの作業が妨げられません。そうしない場合は、ユーザがアプリを再度インストールする必要がないように、新しい.mobileprovisionファイルだけを配付することもできます。新しいプロビジョニングプロファイルによって、アプリアーカイブ内の既存のプロビジョニングプロファイルは無効になります。
配付プロビジョニングプロファイルは、発行後12カ月で有効期限が切れます。有効期限日以降は、アプリは起動しなくなります。
配付証明書の有効期限が切れると、アプリは起動しなくなり、新しい配付証明書を使ったアプリの再構築が必要になります。配付証明書は、発行後3年間、またはApple Developer Enterprise Programメンバーシップの有効期限まで有効です(どちらか早い方)。証明書が期限切れにならないように、メンバーシップの有効期限が切れる前にメンバーシップを更新してください。
互いに依存関係のない、独立した2つの配付証明書を同時に有効にできます。2番目の証明書により、1番目の証明書の有効期限が切れるまでにアプリをアップデートするための猶予期間が提供されます。2番目の配付証明書を要求するときに、1番目の証明書を失効させないでください。
ワイヤレスアプリ配付のトラブルシューティング
ダウンロードができないというメッセージが表示されてワイヤレスアプリ配付ができない場合:
アプリが正しく署名されているかを確認してください。Mac用Apple Configuratorを使用してデバイスにインストールすることで検査し、エラーが発生するかどうかを確認してください。
マニフェストファイルへのリンクが正しく、Webユーザがマニフェストファイルにアクセスできるかどうかを確認してください。
(マニフェストファイル内の).ipaファイルへのURLが正しく、WebユーザがHTTPSで.ipaファイルにアクセスできるかどうかを確認してください。