デバイス管理プロファイルの概要
デバイス管理サービスでは、デバイスに構成、プロファイル、およびコマンドを送信することで、ユーザ所有のデバイスと組織支給のデバイスの両方を管理者が安全にリモートで構成できます。ソフトウェアとデバイス設定のアップデート、組織ポリシーへの準拠の監視、デバイスのリモートワイプやリモートロックなどの機能もあります。ユーザが所有するデバイスは、ユーザ自身がデバイス管理サービスに登録できます。組織が所有するデバイスは、Apple School ManagerまたはApple Business Managerを使用して自動的に登録できます。
これからデバイス管理サービスをお使いになる場合は、理解しておいていただきたいコンセプトがいくつかあります。デバイス管理サービスにおける登録と構成プロファイル、監視対象、ペイロードの使用方法については、以下のセクションを参照してください。
対応するAppleデバイス
以下のAppleデバイスには、デバイス管理に対応するフレームワークが組み込まれています:
iOS 4以降を搭載したiPhone
iPad(iOS 4.3以降またはiPadOS 13.1以降を搭載)
OS X 10.7以降を搭載したMacコンピュータ
Apple TV(tvOS 9以降を搭載)
watchOS 10以降を搭載したApple Watch
visionOS 1.1以降を搭載したApple Vision Pro
デバイスの登録方法
デバイス管理サービスの登録では、ACME(自動証明書管理環境)、またはSimple Certificate Enrollment Protocol(SCEP)などのプロトコルを使用してクライアント証明書IDを登録します。デバイスではこれらのプロトコルを使用して、組織のサービスに対する認証用の固有名証明書を作成することができます。
登録が自動化されている場合を除き、デバイスを登録するかどうかをユーザが決定し、ユーザはいつでもサービスからデバイスの登録を解除できます。そのため、ユーザの登録継続を促進するための仕組みを考えることをおすすめします。例えば、ワイヤレス接続用のクレデンシャルをデバイス管理サービスによって自動的に提供し、登録をWi-Fiネットワークアクセスの必須条件とすることができます。ユーザがサービスの登録を解除すると、そのユーザのデバイスからデバイス管理サービスに対して、デバイスを管理対象にできなくなったという通知が試みられます。
組織が所有するデバイスの場合は、Apple School ManagerまたはApple Business Managerを使って初期設定時に自動的にデバイス管理サービスに登録し、ワイヤレスで監視することができます。この登録プロセスを自動デバイス登録といいます。
デバイス管理と盗難デバイスの保護
盗難デバイスの保護がオンになっている場合、ユーザが知らない場所にいると、オペレーティングシステムにより以下のアクションが1時間遅延します:
デバイス管理サービスへのデバイスの手動登録
パスコードプロファイルまたは構成の手動インストール
「設定」またはプロファイルあるいは構成のいずれかでのMicrosoft Exchangeアカウントの構成
登録プロファイル
登録プロファイルは、ユーザがデバイスをデバイス管理サービスに登録する2つの主な方法のうちの1つです(もう1つは、ユーザ登録またはアカウント駆動型デバイス登録を使用する方法です)。ペイロードが含まれているこのプロファイルを使用して、このサービスはコマンドと必要に応じて追加の構成プロファイルをデバイスに送信します。また、アクティベーションロックステータス、バッテリー残量、名前などの情報をデバイスに照会できます。
ユーザが登録プロファイルを削除すると、その登録プロファイルに基づくすべての構成プロファイル、設定、管理対象アプリが一緒に削除されます。1台のデバイスに一度にインストールできる登録プロファイルは、1つのみです。
登録プロファイルがデバイスまたはユーザによって承認されると、ペイロードを含んだ構成プロファイルがデバイスに配布されます。そのあと、Apple School ManagerまたはApple Business Managerで購入したアプリとブックをワイヤレスで配付、管理、構成できます。アプリのインストールは、アプリのタイプ、アプリの割り当て方法、およびデバイスが監視対象かどうかによって、ユーザが自分で行うことも、自動で行うこともできます。詳しくは、Appleデバイスの監視についてを参照してください。
構成プロファイル
構成プロファイルは、Appleデバイスに設定と認証情報を読み込むペイロードで構成された(末尾が.mobileconfigの)XMLファイルです。構成プロファイルにより、設定、アカウント、制限、および資格情報の構成が自動化されます。これらのファイルはデバイス管理サービスで作成できます。または、手動で作成するか、MacのApple Configuratorを使用して作成できます。Mac用Apple Configuratorを使用して構成プロファイルを作成し、iPhone、iPad、およびApple TVデバイスにインストールする方法について詳しくは、Mac用Apple Configuratorユーザガイドの構成プロファイルを作成する/編集するを参照してください。
構成プロファイルは暗号化および署名できるため、それらの使用を特定のAppleデバイスに制限できます。ユーザ名とパスワードがない人は設定を変更できません。構成プロファイルをデバイスにロックされているとしてマークすることもできます。
デバイス管理サービスが対応している場合は、メール添付ファイルとして、独自のWebページ上のリンク、またはサービスの内蔵ユーザポータル経由で構成プロファイルを配付できます。ユーザがメールの添付ファイルを開いたり、Webブラウザで構成プロファイルをダウンロードしたりすると、構成プロファイルのインストール開始を求めるメッセージが表示されます。
デバイス全体または1人のユーザの設定を変更できる構成プロファイルを提供できます:
デバイスプロファイル: デバイスプロファイルをデバイスおよびデバイスグループに送信でき、デバイス設定をデバイス全体に適用できます。
iPhone、iPad、Apple TV、Apple Watch、およびApple Vision Proでは、2人以上のユーザを認識することができないので、対応するAppleデバイス用に作成される構成プロファイルは、常にデバイスプロファイルになります。iPadOSプロファイルはデバイスプロファイルですが、共有iPad用に構成されたiPadデバイスではデバイスまたはユーザに基づくプロファイルをサポートすることができます。
ユーザプロファイル: ユーザプロファイルをユーザおよび(デバイス管理サービスが対応している場合は)ユーザグループに送信でき、ユーザ設定を個別のユーザにのみ適用できます。Macコンピュータでは複数のユーザを持つことが許可されるため、macOSプロファイル用のペイロードおよび設定はデバイスまたはユーザに基づいて作成できます。設定アシスタントで作成したユーザアカウントは、デバイス管理サービスによって管理されるものと見なされ、プロファイルを受け取ることができます。macOS 11以降を搭載したMacでは、デバイス管理サービスによって登録時に作成された管理者アカウントを管理対象にすることもできます。Active Directoryにバインドされた導入の場合、現在ログインしているネットワークユーザは管理対象ユーザになります。
デバイスとユーザの設定は、それらが存在する場所によって異なります: システムレベルでインストールされた設定は、デバイスチャネルに存在します。ユーザ用にインストールされた設定は、ユーザチャネルに存在します。
プロファイルのインストールおよびロックダウンモードについて詳しくは、Appleのサポート記事「ロックダウンモードについて」を参照してください。
プロファイル削除
プロファイルの削除方法は、どのようにインストールされたかによって異なります。以下のシーケンスはプロファイルの削除方法を示しています:
1. デバイスのすべてのデータをワイプすると、すべてのプロファイルを削除できます。
2. デバイスがApple School ManagerまたはApple Business Managerにリンクされたデバイス管理サービスに登録された場合は、ユーザが登録プロファイルを削除できるかどうか、またはデバイス管理サービスによってのみ削除できるようにするかどうかを、管理者が選択できます。
3. デバイス管理サービスによってプロファイルがインストールされている場合は、そのサービスによって、またはユーザがサービスへの登録を解除して(登録構成プロファイルを削除して)削除できます。
4. Apple Configuratorでプロファイルがインストールされている場合は、Apple Configuratorのその監視インスタンスでプロファイルを削除できます。
5.Apple Configuratorでプロファイルがインストールされている場合、または手動で監視対象デバイスにインストールされていて、そのプロファイルに削除用パスワードペイロードがある場合は、プロファイルを削除するためにユーザが削除用パスワードを入力する必要があります。
6.ユーザはその他のすべてのプロファイルを削除できます。
構成プロファイルによってインストールされたアカウントは、プロファイルを削除することで削除できます。Microsoft Exchange ActiveSyncアカウント(構成プロファイルを使ってインストールされたものを含む)は、Microsoft Exchange Serverでアカウントのみのリモートワイプコマンドを実行することで削除できます。
重要: ユーザがデバイスのパスコードを知っている場合は、このオプションが「常にしない」に設定されている場合でも、監視対象ではないiPhoneまたはiPadから手動でインストールされた構成プロファイルを削除できます。Macのユーザが管理者のユーザ名とパスワードを知っている場合のみ、同じことを実行できます。これを実行するには、profilesコマンドラインツール、システム設定(macOS 13以降)、またはシステム環境設定(macOS 12.0.1以前)を使います。macOS 10.15以降を搭載したMacでは、iOSやiPadOSと同様に、デバイス管理サービスでプロファイルをインストールした場合は、そのサービスでプロファイルを削除できます。または、サービスからの登録解除時にオペレーティングシステムで自動的にプロファイルが削除されます。
デバイス管理サービス通信の要件
Appleデバイスとのデバイス管理サービス通信は、以下の場合に成功する可能性が最も高くなります:
デバイス管理サービスによってデバイスが設定され、正常にテストされ、正しく動作することが保証される
APNs証明書が有効で期限が切れていない
デバイスの電源が入っている
デバイスが現在このサービスに登録されている
デバイスが接続されているネットワークがインターネットにアクセスできる(APNs通信用)
デバイスが接続されているネットワークはサービス関連のAppleホストにアクセスできる必要がある
詳しくは、Appleのサポート記事「エンタープライズネットワークでApple製品を使う」を参照してください。
注記: Appleは他社製のデバイス管理サービスを制御していません。ペイロードの構成の誤りなど、その他の問題によって通信が失敗する場合もあります。