オフィスまるごとサポートデバイスマネジメント
スマートデバイスマネジメント
Automated Device Enrollment(ADE)
運用マニュアル
はじめに
本マニュアルの目的
本マニュアルでは、Apple の提供する Automated Device Enrollment(ADE)の導入手順、および ADE を利用 して iOS 端末の管理を行う方法について説明しています。
管理サイト側の基本操作や、各設定項目の詳細については、以下を参照してください。
『管理サイト リファレンスマニュアル』
本マニュアルの見かた
本マニュアルをお読みになる前に、以下の内容をご確認ください。
本マニュアルでの iOS 端末の記載については、特別な記載がない限り iPad OS も iOS に含んで説明してい ます。
◆
記号・マークについて マニュアルで使用しているマークや記号は以下のとおりです。 記号・マーク 説明 [ ] 操作対象となるメニュー名、ボタン名、タブ名、リンク名 「 」 機能名、項目名、マニュアル内の参照先など 『 』 マニュアル名や資料名 ⇒ 操作結果や付随する操作 参照するマニュアルや資料 マニュアル内の参照先や Web サイトへのリンク 注意事項 運用や操作のポイント、および知っておくと便利な事柄 画面説明で該当の画面を表示するためのメニュー操作 例) [設定]→[iOS]→[アプリケーション]→[アプリケーション配信]→◆
画面について ●本マニュアルの対象となるユーザー種別は「管理者」です。「管理者」以外のユーザー種別で管理サイトにロ グインした場合は、ユーザー種別に応じて編集や閲覧が制限されます。詳細については、以下を参照して ください。 『管理サイト リファレンスマニュアル』の「ユーザー」-「一覧」-「ユーザーの作成」 ●画面上のバージョン表記は、実際の表示とは異なる場合があります。 ●OS バージョンや、ご使用になるブラウザーによって、一部の画面や操作が異なる場合があります。本マ ニュアルの説明では、ブラウザーに Google Chrome を使用しています。Web サイトの URL について
本マニュアルに記載されている Web サイトの URL は、弊社のものを除き予告なく変更される場合がありま す。商標について
●iOS、iPhone および iPad は、Apple Inc.の商標です。
●iPhone 商標は、アイホン株式会社のライセンスに基づき使用されています。 ●記載の会社名および製品名は、各社の登録商標および商標です。
目次
1 ADE を導入する ... 5
2 ADE を利用して機器を管理する ... 11
3 付録 ... 28
1.1 ADE 導入のメリット ... 6 1.2 事前準備を行う ... 7 1.3 ADE トークンを取得する ... 7 1.4 オフィスまるごとサポートデバイスマネジメントに ADE トークンをアップロードする ... 9 2.1 管理対象の端末を MDM サーバーに割り当てる ... 12 2.2 ADE 定義プロファイルを作成する ... 16 2.2.1 設定テンプレートを作成する ...20 2.3 ADE 定義プロファイルを適用する ... 22 2.4 ADE 定義プロファイルの適用を解除する ... 26 3.1 参考リンク ... 29 3.2 注意事項 ... 29 3.3 ログ一覧 ... 311 ADE を導入する
本章では、以下の項目について説明しています。 項目 ページ ADE 導入のメリット 6 事前準備を行う 7 ADE トークンを取得する 7 オフィスまるごとサポートデバイスマネジメントに ADE トークンをアップロードす る 91.1 ADE 導入のメリット
企業や教育機関用に iOS 端末を導入する場合に、ADE を利用することによって導入作業を簡略化できます。 ADE の設定は端末のアクティベーション時に Over-The-Air(無線通信経由)で反映されるため、従来端末に 対して個別に行っていた煩雑な導入手順(Apple Configurator を利用した有線接続による初期設定や、プロファ イルのインストール)が不要になります。 また、よりセキュアな端末管理ができる監視対象モードを利用したり、ユーザーが端末から MDM プロファイ ルを削除することを禁止したりすることもできます。1.2 事前準備を行う
あらかじめ以下の準備を行ってください。また、そのときに Apple Customer Number(お客様番号)および D-U-N-S ナンバー(企業識別コード)が必要になります。詳細については、Apple にお問い合わせください。
●Apple Business Manager(ABM)に対応した ADE 対象端末を購入する。 ●下記 URL から ABM への登録を行う。
「Apple Business Manager」 https://business.apple.com/
U-N-S ナンバーの詳細については、U-N-S ナンバーの管理企業へお問い合わせください。新規に D-U-N-S ナンバーを申請する場合は、D-D-U-N-S ナンバーが付与されるまでに数日かかることがあります。早 めの申請をお勧めします。
1.3 ADE トークンを取得する
ABM から ADE トークンを取得します。ADE トークンとは、ADE とオフィスまるごとサポートデバイスマネ ジメントサーバーを紐付けるためのトークンです。
【1】[設定]→[iOS]→[ADE]→[ADE トークン登録]をクリックします。 【2】[編集]をクリックします。
⇒
編集画面が表示されます。【3】[ダウンロード]をクリックします。
⇒
サーバー公開鍵証明書(PEM)ファイルのダウンロードが開始されます。任意の場所を指定して、ファ イルを保存してください。【4】「Apple Business Manager:」の「https://business.apple.com」をクリックします。 ABM のサイトが表示されます。
ABM 側の手順については、以下を参照してください。
『ABM サーバートークン年次更新マニュアル』の「ADE トークンの取得」
3
1.4 オフィスまるごとサポートデバイスマネジメントに ADE トークンをアップロー
ドする
取得した ADE トークンをオフィスまるごとサポートデバイスマネジメントの管理サイトにアップロードしま す。 ADE トークンの有効期限は 1 年間です。有効期限が切れる前に、ADE トークンを更新してください。更新 方法について詳しくは、以下を参照してください。 『ABM サーバートークン年次更新マニュアル』 【1】「ADE トークンを取得する」の手順【1】~【2】を行います。 【2】[ファイルを選択]をクリックします。⇒
「ADE トークンを取得する」で取得した ADE トークンを指定します。 【3】「備考」を入力します。 「備考」には、ADE トークン取得時に使用した Apple ID の記入をお勧めします。 【4】[保存]をクリックします。4
5
3
⇒
(A)「サーバートークンを登録しました。」と表示されます。(B)「アカウント情報」に表示されてい る内容に誤りがないか確認してください。 (C)の詳細については、以下を参照してください。 『管理サイト リファレンスマニュアル』の「設定-iOS」-「ADE」-「ADE トークン登録」 -「画面(登録後)」 (B) (A) (C)2 ADE を利用して機器を管理する
本章では、以下の項目について説明しています。 項目 ページ 管理対象の端末を MDM サーバーに割り当てる 12 ADE 定義プロファイルを作成する 16 ADE 定義プロファイルを適用する 22 ADE 定義プロファイルの適用を解除する 262.1 管理対象の端末を MDM サーバーに割り当てる
ABM を利用して管理したい端末を MDM サーバーに割り当て、オフィスまるごとサポートデバイスマネジメ ントの管理サイトに機器情報を反映させます。 【1】「デバイス」をクリックします。 【2】MDM サーバーに割り当てたい端末をクリックします。 端末が検索で表示されない場合や一覧に表示されない場合は、Apple 社へ問い合わせてください。 一覧に表示されている機器は、(A)で検索できます。 【3】[デバイス管理を編集]をクリックします。1
2
3
(A)【4】MDM サーバーを選択します。 ADE トークンを取得した際に作成した MDM サーバーを選択してください。 【5】[続ける]をクリックします。 【6】[続ける]をクリックします。
⇒
管理対象端末が MDM サーバーに割り当てられます。4
5
6
【7】[完了]をクリックします。 割り当てたい端末が複数ある場合は、手順【2】~【7】を繰り返し行ってください。 【8】管理サイトの[設定]→[iOS]→[ADE]→[ADE 機器管理]をクリックします。 【9】[ADE と同期」をクリックします。
7
9
⇒
同期が完了すると、(A)が表示されます。(B)に割り当てられた端末が表示されます。(B) (A)
2.2 ADE 定義プロファイルを作成する
ADE 定義プロファイルとは、ADE を利用する端末に対して適用するさまざまな設定をまとめたものです。 ADE 定義プロファイルは、端末の初期設定時に適用されます。ADE 定義プロファイルを変更する場合は、 端末を再度初期設定を行う必要があります。 ADE 定義プロファイルは機器や組織に直接適用するほかに、設定テンプレートから適用することもできま す。 「設定テンプレートを作成する」20 ページ 【1】[設定]→[iOS]→[ADE]→[ADE 定義プロファイル]→ をクリックします。 設定セットは、最大 50 件まで作成できます。1
【2】ADE 定義プロファイルの設定を行います。 詳細については、以下を参照してください。 「ADE 定義プロファイルの設定項目について」 【3】[保存]をクリックします。
◆
ADE 定義プロファイルの設定項目について 名称 説明 プロファイル名 ADE 定義プロファイルの名前を入力します。 認証設定 ●企業コードと認証コードの入力を必須とする ユーザーに企業コードと認証コードを入力するよう要求します。 チェックが入っていない場合は、ADE による自動設定が行われます。 ●サポート設定 ・ 部署名2
3
名称 説明 ●監視対象モードに設定する
MDM 構成プロファイルにより、iOS 端末が「監視対象」になります。これ により、AirDrop、iMessage、iBooks Store などの許可設定や Web フィル タリングなどの幅広い設定を適用して管理できるようになります。 iOS 13 以降の端末では、チェックを入れなくても必ず監視対象モードに なります。 ・ MDM 登録の削除を禁止する 端末利用者による MDM 構成プロファイルの削除を禁止します。 「監視対象モードに設定する」にチェックが入っていない場合は、本設 定にチェックを入れることはできません。 この設定を有効にしたとき、以下の状態になると MDM サーバーと の通信および再認証ができなくなります。その場合、再度端末を管理 できるようにするには、端末を初期化する必要があります。 ・管理サイトで端末が削除されている。 ・MDM 構成プロファイルが同期不可になっている。 初期化を禁止している場合は、端末を工場出荷時の状態に戻す必要が あります。この方法については、Apple へお問い合わせください。 誤った HTTP プロキシ設定が端末にインストールされている場合は、 通信ができなくなる可能性があります。 ●Mac とのペアリングを許可する iOS 端末と Mac OS 端末とのペアリングができるようになります。 iOS 13 以降の端末に Mac OS 端末とのペアリングを許可する場合は、こ の設定を使用せずに、「構成プロファイルアップロード」-「iOS 制限設 定」-「機能の制限」の「Apple Configurator 2 以外のホストとのペアリ ングを許可(監視対象のみ)」を使用してください。 『管理サイト リファレンスマニュアル』の「[iOS 制 限設定]タブの[機能の制限]の編集」 セットアップアシスタントの 省略する手順 ●パスコードを省略する 初期設定時のパスコード設定が省略されます。 パスコード設定を省略する場合は、「Apple Pay の設定を省略する」、およ び「指紋認証の設定を省略する」を有効にしてください。 iCloud から復元する場合は、パスコード設定は省略されません。 ●位置情報サービスを有効にしない 位置情報サービスが自動的に無効になります。設定画面もスキップされま す。 設定画面をスキップするには、初期設定時に Wi-Fi 接続を使用してくださ い。モバイルデータ通信を使用している場合は、設定画面が表示されるこ とがあります。 ●バックアップからの復元を有効にしない バックアップからの復元が自動的に無効になります。設定画面もスキップさ れます。 設定画面をスキップするには、初期設定時に Wi-Fi 接続を使用してくださ い。モバイルデータ通信を使用している場合は、設定画面が表示されるこ とがあります。 ●Apple ID でのサインインを有効にしない Apple ID でのサインインが自動的に無効になります。設定画面もスキップさ れます。 ●利用規約の表示を省略する 初期設定時の利用規約表示が省略されます。 ●指紋認証の設定を省略する 初期設定時の指紋認証設定が省略されます。 指紋認証設定を省略する場合は、「Apple Pay の設定を省略する」も有効 にしてください。 iCloud から復元する場合は、指紋認証設定は省略されません。
名称 説明 ●Apple Pay の設定を省略する 初期設定時の Apple Pay 設定が省略されます。 ●Zoom 設定を省略する 初期設定時の Zoom 設定が省略されます。 ●Siri を有効にしない Siri が自動的に無効になります。設定画面もスキップされます。 ●診断情報を自動的に送信しない 診断情報の自動送付が無効になります。設定画面もスキップされます。 初期設定時に「App とデータ」画面で「Android からデータを移行」を選択 した場合、設定画面はスキップされません。 ●True Tone の設定を省略する True Tone の設定が自動的に有効になります。設定画面もスキップされます。 ●データとプライバシーの設定を省略する データとプライバシーの設定が自動的に有効になります。設定画面もスキッ プされます。 ●デバイスの復元に「Android から移行」を表示しない バックアップから復元画面で、「Android から移行」が表示されず、選択でき なくなります。 ●ホームボタン感度の設定を省略する ホームボタン感度の設定が省略されます。 ●iMessage と Face Time の設定を省略する
iMessage と Face Time の設定が省略されます。 ●機能の使い方の説明を省略する 機能の使い方の説明が省略されます。 ●スクリーンタイムの設定を省略する スクリーンタイムの設定が省略されます。 ●OS の自動アップデートを有効にしない OS の自動アップデートが無効になります。
2.2.1 設定テンプレートを作成する
ADE 定義プロファイルを登録した設定テンプレートを作成することもできます。複数の端末に同じ ADE 定義 プロファイルを適用したい場合などに便利です。設定テンプレートの詳細については、以下を参照してくださ い。 『管理サイト リファレンスマニュアル』の「設定テンプレート」 【1】[設定]→[iOS]→[設定テンプレート]→ をクリックします。 設定テンプレートは、最大 51 件まで作成できます。 【2】「ADE 定義プロファイル」のリストメニューから、登録したい ADE 定義プロファイルを選択しま す。1
2
【3】[保存]をクリックします。
2.3 ADE 定義プロファイルを適用する
作成した ADE 定義プロファイルを端末または組織に割り当て、「ADE 機器管理」画面で ADE と同期を行いま す。その後、端末の初期設定を行うと ADE 定義プロファイルの設定が端末に適用されます。 【1】[機器]→[一覧]→対象機器の「機器名」、または「詳細」の をクリックします。 【2】「設定」の[設定の割り当て]をクリックします。
1
2
1
【3】「ADE 定義プロファイル」のプルダウンメニューから、ADE 定義プロファイルを指定します。 組織に割り当てる場合は、[組織]→[一覧]→対象組織→[iOS]タブの編集画面で、「ADE 定義プ ロファイル」のプルダウンメニューから、ADE 定義プロファイルを指定します。 【4】[保存]をクリックします。
4
3
【5】[設定]→[iOS]→[ADE]→[ADE 機器管理]をクリックします。 【6】[ADE と同期]をクリックします。 発売直後の端末は、「ADE 機器管理」画面のモデル名に「iPhone_U」と表示されることがありま す。 「ADE 機器管理」画面の詳細については、以下を参照してください。 『管理サイト リファレンスマニュアル』の「設定-iOS」-「ADE」-「ADE 機器管理」 【7】端末のアクティベーションおよび初期設定を行います。
⇒
ADE 定義プロファイルの設定が端末に適用されます。5
6
◆
「ADE 状態」の表示について「ADE 機器管理」画面には ADE 定義プロファイルの状況に応じて、以下のとおり「ADE 状態」が表示されま す。 端末との同期が完了すると、適用されている ADE 定義プロファイル名が「ADE 定義プロファイル(適用済)」 に表示され、「ADE 状態」が「適用済」に移行します。 ADE 状態 説明 なし ADE 定義プロファイルが適用されていない状態です。 この状態で初期設定を行うと、通常のアクティベーションになります。 適用済 ADE サーバーに ADE 定義プロファイルが登録されている状態です。次回の端末初期設定時に ADE 定義プロファイルの設定が適用され、「端末反映済」に移行します。 削除済 ADE から ADE 定義プロファイルが削除されている状態です。 「適用済」に戻すには、ADE 定義プロファイルを再度割り当て、「ADE と同期」を実行します。 「ADE 状態」が「適用済」に移行し、端末のアクティベージョンが完了すると「端末反映済」 に移行します。 この状態で初期設定を行うと、通常のアクティベーションになります。 端末反映済 ADE に登録された ADE 定義プロファイルの設定が適用されている状態です。 この状態で初期設定を行うと、再度同じ ADE 定義プロファイルの設定が適用されます。
2.4 ADE 定義プロファイルの適用を解除する
以下の手順で、端末に適用されている ADE 定義プロファイルを解除できます。 ABM のサイト側で端末を ADE の管理対象から除外する場合は、「デバイスの割り当て解除」を選択してく ださい。「デバイスの所有を取り消す」を選択すると、再度端末を ADE で管理することができなくなるため、 操作時は十分に注意してください。 【1】「ADE 定義プロファイルを適用する」の手順【1】~【2】を行います。 【2】「ADE 定義プロファイル」のプルダウンメニューから、「(設定なし)」を選択します。 【3】[保存]をクリックします。3
2
【4】[設定]→[iOS]→[ADE]→[ADE 機器管理]をクリックします。 【5】[ADE と同期]をクリックします。
⇒
端末に適用されていた ADE 定義プロファイルの設定が解除され、「ADE 状態」に「なし」と表示され ます。 【6】端末の初期化を行います。4
5
3 付録
本章では、以下の情報を記載しています。 項目 ページ 参考リンク 29 注意事項 29 ログ一覧 313.1 参考リンク
ADE の導入時の参考に、あわせて以下も参照してください。
●Apple Business Manager ヘルプ
https://help.apple.com/businessmanager/
3.2 注意事項
ABM をご利用で、利用規約が更新された場合は、これに同意するまで ADE が利用できなくなります。ABM のサイトにログインし、内容を確認のうえ利用規約に同意してください。
ADE トークン
ADE トークンの有効期限は 1 年間です。有効期限が切れる前に、ADE トークンを更新してください。更新 方法について詳しくは、以下を参照してください。 『ABM サーバートークン年次更新マニュアル』 ADE トークンの有効期限が切れると、以下のような問題が起こります。 ・ADE の機能が利用できない。 ・端末の登録や再登録ができない。有効期限内であっても、「My Apple ID」(https://appleid.apple.com/)から Apple Business Manager(ABM) にログインするためのパスワードを変更した場合は、ADE トークンの更新が必要です。
iOS 端末の初期設定
iCloud から復元する場合は、スリープが解除された(画面が表示された)状態にしてください。端末がス リープ状態の場合、復元後に ADE から ADE 定義プロファイルをダウンロードできないことがあります。 初期設定時の「リモートマネージメント」画面を表示中に、管理サイトから ADE 定義プロファイルの割り 当ての解除および ADE との同期を行うと、ADE の設定を端末に反映できない場合があります。
「Wi-Fi ネットワークを選択」画面で(A)[iTunes に接続]をタップすると、ADE 定義プロファイルのダ ウンロードが失敗します。その場合は、「Wi-Fi ネットワークを選択」画面に戻り、適切な Wi-Fi ネットワー クを選択してください。
なお、モバイルデータ通信が行われている場合は、(A)[iTunes に接続]は表示されないことがあります。
