18 デバイスの管理
18.7 Apple DEP で購入したデバイスの管理
Apple Device Enrollment Program (DEP:デバイス登録プログラム) を使用すると、企業は
iOS (および OS X) デバイスを一括購入して配布することができます。DEP には、モバイル
デバイスの導入を簡単にする、次のような機能があります。
■ 有効化プロセスのカスタマイズ。
■ ワイヤレスで監視モードを有効化。
■ ワイヤレスでデバイスを構成。
■ デバイスを有効化する際に、iOS デバイスを Sophos Mobile Control に自動登録。
ヒント: DEP の詳細は、次の Apple Web サイトを参照してください。
http://www.apple.com/jp/business/programs/
準備手順
DEP デバイスを Sophos Mobile Control で管理できるようにするには、次の手順を 1回のみ 実行します。
1. Apple の DEP Web ポータルで仮想 MDM サーバーを作成し、Sophos Mobile Control に 関連付けます。詳細は、仮想 MDM サーバーの設定 (p. 175) を参照してください。
2. Sophos Mobile Control で、DEP に特有のデバイスのさまざまな属性を制御する DEP プ ロファイルを 1つまたは複数作成します。DEP プロファイルでは、デバイスの電源をは じめて入れると表示される iOS の設定アシスタントをカスタマイズすることもできま す。詳細はDEP プロファイルの作成 (p. 176) を参照してください。
導入手順
DEP デバイスを購入し、導入する手順は、通常、次のとおりです。
1. Apple または認定された DEP ベンダーからデバイスを購入します。
2. Apple の DEP Web ポータルで、デバイスを Sophos Mobile Control MDM サーバーに関 連付けます。この手順と次の手順の詳細は、DEP デバイスの展開 (p. 180) を参照してく ださい。
3. Sophos Mobile Control のWeb コンソールで、DEP プロファイルをデバイスに割り当て
ます。
4. デバイスをユーザーに配布します。
5. ユーザーがデバイスの電源をはじめて入れると、カスタマイズされた iOS の設定アシス タントが起動します。設定操作の一環として、デバイスは Sophos Mobile Control に登 録され、ユーザーはデバイスに割り当てられます。
6. 必要に応じて、追加のタスクバンドルをデバイスに配信し、プロビジョニングを完了し ます。
18.7.1 仮想 MDM サーバーの設定
前提条件:この手順は、Apple Device Enrollment Program (DEP) への登録、および Apple
DEP のWeb ポータル用管理者アカウントの設定が済んでいることを前提に書かれていま
す。
注: DEP への登録の詳細は、Apple DEP のWeb サイト (http://www.apple.com/business/dep/
(英語)) またはApple Deployment Program ヘルプを参照してください。
ヒント: Apple Volume Purchase Program (VPP) に登録している場合は、同じ Apple ID を DEP でも使用できます。
Apple DEP を Sophos Mobile Control で使用するには、Apple DEP のWeb ポータルで仮想 MDM サーバーを作成し、Sophos Mobile Control のサーバーに関連付ける必要があります。
これには、Sophos Mobile Control と Apple DEP のWeb サービスの間にセキュアな接続を 確立するための検証プロセスが含まれます。
Sophos Mobile Control に対する仮想 MDM サーバーを設定する方法は次のとおりです。
1. 管理する DEP デバイスに対応するカスタマーの管理者アカウントで Sophos Mobile
Control のWeb コンソールにログインします。
2. サイドバーのメニューの「設定」の下で、「セットアップ > システムセットアップ」の 順にクリックし、「Apple DEP」タブをクリックします。
3. 「公開鍵のダウンロード」をクリックし、Apple DEP に対する Sophos Mobile Control の公開鍵ファイルをダウンロードします。
使用しているWeb ブラウザの設定に応じて、ファイルがローカルコンピュータに保存さ れます。
4. Apple DEP のWeb ポータル (https://deploy.apple.com) をブラウザの新しいウィ ンドウで開きます。
Sophos Mobile Control の「Apple DEP Web ポータル」というリンクをクリックしても 開くことができます。
5. 企業の Apple ID で Apple DEP のWeb ポータルにログインします。
6. ポータルで「Device Enrollment Program > Manage Servers (サーバーの管理)」の順 にクリックし、「Add MDM Server」(MDM サーバーを追加) をクリックします。
7. たとえば、Sophos Mobile Controlなど、MDM サーバーの名前を入力します。
8. 次のステップで、Sophos Mobile Control からダウンロードした公開鍵ファイルをアップ ロードします。
9. 次のステップで、サーバートークンをダウンロードします。
この時点で、Apple DEP のWeb ポータルからログアウトできます。
10. Sophos Mobile Control の「Apple DEP」タブで、「ファイルのアップロード」をクリッ クして、Apple DEP のWeb ポータルからダウンロードしたサーバートークンを選択し ます。
仮想 MDM サーバーの詳細が表示されます。
11.「保存」をクリックして変更を保存します。
DEP のサーバートークンの有効期限は 1年間です。Sophos Mobile Control では、トークン 失効日の 30日前から、関連するカスタマーのすべての管理者宛に、トークンの有効期限を 通知する複数のリマインダーがメールで送信されます。
重要: 新しいサーバートークンを Apple DEP のWeb ポータルで作成する際は、最初にトー クンを作成したときに使用した Apple ID を使用する必要があります。
18.7.2 DEP プロファイルの作成
DEP プロファイルを作成するには、事前に Apple Device Enrollment Program (DEP) を設定 しておく必要があります。詳細は仮想 MDM サーバーの設定 (p. 175) を参照してください。
DEP プロファイルは、DEP デバイスに割り当てられ、デバイスがアクティベートされると
Apple のサーバーに情報を提供します。提供される情報は次のとおりです。
■ デバイスを管理するために割り当てられている MDM サーバー (Sophos Mobile Control)。
■ Sophos Mobile Control への登録の設定オプション。
■ デバイスがペアリングを許可されているホストの一覧。
■ デバイスの電源をはじめて入れた際に起動する iOS 設定アシスタントのカスタマイズオ プション。
必要に応じて、複数の DEP プロファイルを作成し、DEP デバイスごとに異なるセットアッ プや登録の設定を適用できます。
DEP プロファイルの作成方法は次のとおりです。
1. サイドバーのメニューの「設定」の下で、「セットアップ > システムセットアップ」の 順にクリックし、「Apple DEP プロファイル」タブをクリックします。
2. 「追加」をクリックします。
3. 「DEP プロファイルの編集」ダイアログにプロファイル名と任意で DEP プロファイル の説明を入力します。
4. 任意で「デバイスグループ」ドロップダウンリストから、Sophos Mobile Control への登 録時にデバイスが追加される追加先のデバイスグループを選択します。
デバイスのグループの詳細は、デバイスグループ (p. 172) を参照してください。
注: デバイスを管理しやすくするために、DEP デバイス用のグループを別途作成するこ とを推奨します。
5. 「登録」タブで設定できるオプションは次のとおりです。
オプション 説明
管理モードを有効にします。
デバイスの管理
ユーザーに iOS のユーザーインターフェースから Sophos Mobile Control の登録プロファイルを削除することを許可します。
管理下のデバイスに対してのみ、このオプションの選択を外せ ます。
ユーザーによる MDM プロファ イルの削除
Sophos Mobile Control のアプリをデバイスにインストールしま す。
このオプションを有効にする場合は、「iOS 設定」タブにある
「Apple ID をスキップ」オプションを無効にする必要がありま す。これによって、Sophos Mobile Control が App Store から SMC アプリをインストールできるようになります。
注: 一方、Apple Volume Purchase Program (VPP) に登録済み の場合は、デバイスに Apple ID を関連付けていない場合でも、
Sophos Mobile Control アプリをVPP アプリとしてインストー ルすることができます。デバイスの状態は「管理状態にある」
で、iOS 9 以降が搭載されている必要があります。詳細は、VPP アプリの自動割り当て (p. 156) を参照してください。
SMC アプリのインストール
ユーザーに Sophos Mobile Control の登録プロファイルの設定ス テップをスキップすることを許可します。
ユーザーによる MDM プロファ イルの割り当てのスキップ
Sophos Mobile Control への登録処理中、ユーザーはセルフサー ビス ポータルのログイン情報の入力を求められ、デバイスへ割 り当てられます。
ユーザーを自動的にデバイスに割り当てる場合、このオプショ ンを使用します。
ユーザーのデバイスへの割り当 て
6. 「iOS 設定」タブでは、デバイスの電源をはじめて入れると起動する iOS 設定アシスタ ントの設定ステップを無効化できます。
注: この設定は iOS 設定のみに適用されます。設定ステップを無効化しても、ユーザー は後から関連するオプションを有効にすることができます。完全に機能を無効化するに は、「制限」設定を使用してください。詳細は制限 (p. 89) を参照してください。
説明 オプション
「App とデータ」画面が表示されなくなります。ユーザーは iCloud や iTunes のバックアップからデータを復旧できません。
また Android デバイスからデータを転送することもできません。
App とデータをスキップ
「App とデータ」画面の「Android からデータを移行」が利用 できなくなります。ユーザーは Android デバイスからデータを 転送できません。
このオプションは、「App とデータ」オプションを有効化した 場合のみに有効にすることができます。
「Android からデータを移行」
を無効化
「診断」画面が表示されなくなります。Apple への解析データ や使用状況データの送信が無効化されます。
診断をスキップ
「位置情報サービス」画面が表示されなくなります。ユーザー は一情報サービスを有効化できません。
位置情報サービスをスキップ
「Siri」画面が表示されなくなります。ユーザーは Siri を設定で きません。
Siri をスキップ
「拡大表示」画面が表示されなくなります。ユーザーは画面の 表示を変更できません。
拡大表示をスキップ
「Apple ID」画面が表示されなくなります。ユーザーは Apple ID で Apple のサービスにアクセスできません。
Apple ID をスキップ
「Apple Pay」画面が表示されなくなります。ユーザーは、ク レジット/デビットカード情報を登録して、ストアやアプリ内で Apple Pay を使って支払うことができなくなります。
Apple Pay をスキップ
「Touch ID」画面が表示されなくなります。ユーザーはパス コードの代わりに指紋認証を設定できません。
Touch ID をスキップ
「パスコードを作成」画面が表示されなくなります。ユーザー はデバイスのロックを解除するパスコードを設定できません。
パスコードをスキップ
「利用規約」画面が表示されなくなります。
利用規約をスキップ