構成プロファイルの適用
構成プロファイルは、MDMソリューションが管理対象デバイスに対してポリシーや制限を適用して管理するための主要な方法です。多数のデバイスを構成したり、多数のデバイスに多くのカスタムのメール設定、ネットワーク設定、または証明書を提供したりする必要がある組織では、構成プロファイルを使えば、これらを安全かつ確実に行うことができます。
構成プロファイル
構成プロファイルとは、設定と承認情報をAppleデバイスに読み込むペイロードから成るXMLファイルです(末尾に.mobileconfigが付いています)。構成プロファイルは設定、アカウント、制限、資格情報を自動的に構成します。これらのファイルはMDMソリューションまたはMac用Apple Configuratorで作成できます。手動で作成することもできます。組織がAppleデバイスに構成プロファイルを送信する前に、登録プロファイルを使用してデバイスをMDMソリューションに登録する必要があります。
登録プロファイル
登録プロファイルは、デバイスをそのデバイス用に指定されたMDMソリューションに登録する、MDMペイロードを含む構成プロファイルです。これによってMDMソリューションはコマンドと構成プロファイルをデバイスに送り、デバイスのいくつかの面を照会することができます。ユーザが登録プロファイルを削除すると、すべての構成プロファイル、それらの設定、およびその登録プロファイルに基づいて管理されていたAppが同時に削除されます。1つのデバイスには、同時に1つの登録プロファイルしか存在できません。
構成プロファイルの設定
構成プロファイルには、特定のペイロードに関する次のような多数の設定項目があります(ここに挙げられていない設定項目もあります):
パスコードおよびパスワードポリシー
デバイスの機能制限(カメラを無効にするなど)
ネットワークとVPNの設定
Microsoft Exchangeの設定
メールの設定
アカウント設定
LDAPディレクトリサービスの設定
CalDAVカレンダーサービスの設定
資格情報とその鍵
ソフトウェア・アップデート
プロファイルの署名と暗号化
構成プロファイルは、署名によって提供元を検証でき、暗号化によって整合性の確保とコンテンツの保護ができます。iOSおよびiPadOSの構成プロファイルはRFC 5652で定められているCMS(Cryptographic Message Syntax)を使用して暗号化されます。CMSは3DESとAES128をサポートします。
プロファイルのインストール
ユーザはMac用Apple Configuratorを使用して構成プロファイルをデバイスに直接インストールできます。また、構成プロファイルをSafariを使用してダウンロードしたり、メールのメッセージに添付して送信したり、AirDropやiOSおよびiPadOSの「ファイル」Appを使用して転送したり、モバイルデバイス管理(MDM)ソリューションを使ってワイヤレスで受信したりすることもできます。ユーザがApple School ManagerまたはApple Business Managerでデバイスを設定した場合は、MDM登録用のプロファイルがデバイスによってダウンロードおよびインストールされます。プロファイルを削除する方法について詳しくは、「Appleプラットフォーム導入」の「モバイルデバイス管理の概要」を参照してください。
注記: 監視対象のデバイスでは、構成プロファイルをデバイスにロックできます。これは、削除を完全に防止したり、パスコードを入力した場合のみ削除可能にしたりするためです。多くの組織がiOSおよびiPadOSデバイスを所有しているため、デバイスをMDMソリューションにバインドする構成プロファイルは削除できます。ただし、削除すると、管理対象の構成情報、データ、およびAppもすべて削除されます。