このセクションの記事

もっと見る

【iOS】利用できる機能を決める「MDM方式」と「監視モード※監視対象」、「アクティベーション方法」について

2020年3月27日 


ここではmobiconnectで利用できる機能が大きく変化する「MDM方式」
「監視モード※監視対象」(以下監視モード)「アクティベーション方法」についてご案内します。
※今回はバージョン2(既存のUI)のものを基準にご案内しております。
※リリースの状況により、実際の画面・内容と異なる可能性がございます。

※MDM方式とは端末を制御、管理するために端末にインストールする「Apple MDM」
「IVI MDM」の「MDMプロファイル」を指します。

※「アクティベーション」とは端末をmobiconnectに登録し
制御、管理できる状態にする登録作業のことを指します。


(参考)「アクティベーション方法」ごとの「MDM方式」のバリエーション

2iOS1-9.jpg

※「DEP」、「AC」については後ほどご紹介いたします。

※「アクティベーション方法」の色が濃いほど機能数が豊富になり、
セキュリティの強化、管理効率化がしやすくなります。

この記事で紹介する項目

①「MDM方式」について
②「監視モード」について
③「アクティベーション方法」について
④推奨の組み合わせ

①「MDM方式」について

mobiconnectで登録・管理するためにはApple社の「Apple MDM」か弊社独自の「IVI MDM」の
いずれかの「MDMプロファイル」を端末にインストールする必要があります。

この際、どの「MDMプロファイル」をインストールしたかで
「MDM方式」が決まり、利用できる機能が大きく変化します。
両方インストールした場合は、両方の機能を利用できる「Hybrid MDM」となります。

※「MDM方式」は基本的にアクティベーション後にも変更可能です。

※「MDMプロファイル」を削除した場合、対象の「MDMプロファイル」を
利用した設定が全て解除され、新たな設定の適用も実行できなくなります。

詳細な利用機能の可否については下記マニュアルをご参照ください。

対象マニュアル:
iOS端末向け(UIバージョン2、または3)>操作マニュアルApple iOS編 
対象目次:「各方式別機能対応」


それぞれの「MDM方式」の特徴

-----------------------------------------------------
1.Apple MDM
2.IVI MDM
3.Hybrid MDM
-----------------------------------------------------
1.Apple MDM

mobiconnect上の確認方法:
「基本情報」の「機種」の最後に(Apple)と表示

インストール方法:

  • DEPでアクティベーション※詳しくは③で紹介
  • ACでアクティベーション※詳しくは③で紹介
  • クライアントアプリ(mobiconnectアプリ)からインストール
  • WEBブラウザ「Safari」からインストール


特徴:
Apple社が提供している制御方式で、大半の機能は「Apple MDM」でまかなえます。

しかし②でご案内する「監視モード」を設定していないと「サイレント配信」や
「紛失モード」が利用できない等「Apple MDM」内で使用できる機能が制限されます。

また、③でご案内するDEPを利用しない場合、端末側で「Apple MDM」が削除可能なため
「Apple MDM」が削除されていないか、mobiconnectより定期的に通知を確認する必要があります。
※「Apple MDM」が削除された場合、「Apple MDM」からすでに行っていた制限や設定が解除され、
新たに制限や設定、遠隔初期化などを行うこともできなくなります。


2.IVI MDM

mobiconnect上の確認方法:
「基本情報」の「機種」の最後に(IVI)と表示

インストール方法:

  • 端末にクライアントアプリ(mobiconnectのアプリ)からインストール※端末1台ずつインストールしたアプリから登録が必要。


特徴:
アプリを介して端末を制御する方式です。
利用できる機能が少なく、設定の適用に端末側の許可が必要なものかありますが
「MDMプロファイル」を削除できない利点があります。

このため、例え端末側でアプリを削除されても「IVI MDM」で行なった設定は解除されません。
ただし、設定や制限の適用に端末側で許可のための「タップ操作」が必要なため、
端末利用者に適用前に事前周知をしたり、端末側で拒否されていないか管理者側での確認や
あらかじめ設定や制限を適用させてから、端末を渡すなどの運用が必要になります。

また「IVI MDM」だけの特徴として「位置情報」の定期的な(最短3時間おき)取得が行えます。
※アプリがバックグラウンドで常に動いている、端末側の位置情報、アプリの許可などの条件が必要。
※「Apple MDM」でも「監視モード」であれば「紛失モード」による「位置情報」取得が可能です。
※2019年1月以降に作成されたアカウントでは、「IVI MDM」で遠隔初期化は行えません。


3.Hybrid MDM

mobiconnect上の確認方法:
「基本情報」の「機種」の最後に(Hybrid)と表示

特徴:
「Apple MDM」と「IVI MDM」の2つをインストールした端末は「Hybrid MDM」となり
2つのMDMプロファイルの機能を利用できます。

主に「Apple MDM」の機能に加えて「位置情報の監視」を利用する場合などに「Hybrid MDM」にします。
 


②「監視モード」について

特徴:
Apple社が提供している機能で「Apple MDM」の機能を最大限に活用できます。
設定には条件が必要となりますが「監視モード」になっていないと
「監視対象のみ」の記載がある機能が利用できなくなります。

設定が可能な場合は、基本的に「監視モード」に設定することを推奨しております。

条件:
下記いずれか場合のみ「監視モード」に設定できます。
※詳しくは③を参照

  • DEPで「監視モード」に設定してアクティベーションした場合
  • ACで「監視モード」に設定してアクティベーションした場合

mobiconnect上の確認方法:
「端末情報」の「メモリとファームウェア」内にある「監視モード設定」が
「設定中」と表示されていれば適用中。

主にできるようになること:

  • 端末制限にかけられる項目の大幅増加※利用制限の半数は監視対象が必須となります。
  • アプリのブラックリスト、ホワイトリストによる特定(以外)アプリの起動制限※iOS9.3以降
  • グローバルHTTPプロキシの適用※インターネットに接続する際に必ず所定のプロキシサーバー(コンピューターに代わってインターネットに接続しサイトへアクセスするサーバーで、URLをフィルタリングしたり匿名性を確保したりします。)を経由するよう設定することが可能です。
  • Webコンテンツフィルタの適用※Safariにて「アダルトコンテンツを制限」や指定したURLへの遷移を制限できます。
  • 「紛失モード」が使用可能※端末紛失時などに、遠隔から完全ロック(パスワードも入力できない状態)にして、位置情報を取得できる状態にします。(iOS9.3以降)
  • In-house(自社開発アプリ)、VPPアプリのサイレント配信※端末側での操作を必要とせずに配信可能 mobiAppsへのご契約が必要
  • VPPアプリの自動インストール、自動アップデートが可能。

補足事項:
「監視モード」に設定した端末では、iCloudの「iPhoneを探す」を有効にしても
アクティベーションロック機能を使用することができません。
(端末側で初期化を行う際にApple IDとパスコードを求める機能)

ただし端末を登録するグループにて「iOS監視モード端末のアクティベーションロック」が
有効に設定されている場合「監視モード」に設定されている端末においても
アクティベーションロック機能を有効にすることが可能です。

 


③「アクティベーション方法」について

mobiconnectでアクティベーションを行う際
下記3つのどの登録方法を行なったかで、「監視モード」にできるかなどが決まります。

※ここでのアクティベーションとは、端末をmobiconnectに登録し
制御、管理できる状態にすることを指します。

端末を初期化せずに登録する場合は
「3.上記以外でアクティベーション」をご確認ください。

-----------------------------------------------------
1.DEPでアクティベーション
2.ACでアクティベーション
3.上記以外でアクティベーション
-----------------------------------------------------

1.DEPでアクティベーション
セキュリティ、管理の両方で非常にメリットが大きいアクティベーション方法。
アクティベーション時「Apple MDM」が端末にインストールされます。

条件:
端末をApple社から直接、または正規販売店からDEP端末として購入していること。
ASMまたはABMのアカウントを取得済みであること。

※ASM・ABMはApple社のWEBサイトでアカウントを取得すると
購入したDEP端末とmobiconnectのアカウント情報を紐付けることができます。

特徴:
端末を「監視モード」にできるほか、ACではできない下記のような利点があります。

  • 新規で購入した端末に対して事前に管理画面でDEPプロファイルを割り当てておくことで、初回起動時にアクティベーションすることが可能。
  • 端末セットアップ時の項目を省略、強制でき、設定ミスを防いだり時間短縮可能。
  • Apple MDMを削除不可にでき、初期化する度に上記の設定がセットアップ時に自動適用されるため、端末側の操作で離脱が困難。

※MDMプロファイルが削除されると、そのMDMを利用して行う設定が全て解除され
MDMプロファイルがない端末には遠隔で初期化が行えなくなります。

(参考)DEPを使用した端末のキッティング手順
https://inventit.zendesk.com/hc/ja/articles/360000004601


2.ACでアクティベーション
Apple社よりDEPが提供される以前、またはDEPで購入していない端末などを
「監視モード」にするために利用されるアクティベーション方法。

アクティベーション時「Apple MDM」が端末にインストールされます。

条件:
MacPCを利用できること

特徴:
MacPC専用の無償アプリ「AC」を利用して
MacPCと端末を直接つないでアクティベーションする方法。
端末を「監視モード」にできるものの「Apple MDM」を削除可能。

(参考)Apple Configuratorを使用した端末のキッティング手順
https://inventit.zendesk.com/hc/ja/articles/206327322-Apple

以前DEP端末を購入したことがある場合に限り
同じ組織情報を利用することで手動でのDEP端末にすることも可能です。

(参考)手動でのDEP端末の追加手順
https://inventit.zendesk.com/hc/ja/articles/360000141621


3.上記以外でアクティベーション
手元にある端末を初期化せず試しに登録する場合
端末をDEPで購入しておらず、MacPCも利用できない場合などは
Safariから「Apple MDM」をインストールしてアクティベーションします。
※「監視モード」にはできません。

条件:
なし

特徴:
「監視モード」が利用できないため多彩な機能が利用できる「Apple MDM」を使用しても使える機能が限られます。

ただし、アクティベーションに端末の初期化が必要ないため、すぐに管理することができます。

※「位置情報の監視」の運用や、「IVI MDM」の削除されないプロファイルで運用する場合は、
端末にクライアントアプリ(mobiconnectのアプリ)から「IVI MDM」をインストール後に
クライアントアプリから「Apple MDM」をインストールし「Hybrid MDM」にします。

(参考)アクティベーション手順 (Apple MDM)※Safariから
https://inventit.zendesk.com/hc/ja/articles/206329282

(参考)クライアントアプリからHybrid MDMにする場合
対象マニュアル:iOS端末向け(UIバージョン2、または3)>操作マニュアルApple iOS編 
対象目次:「クライアントアプリからIVI MDM登録してHybrid MDM登録する」


④推奨の組み合わせ
それぞれの条件ごとに推奨のものは下記の通りです。

-----------------------------------------------------
1.端末をDEPで購入していた場合
2.端末をDEPで購入していないがMacPCを利用できる場合
3.端末をDEPで購入しておらずMacPCも利用できない場合
-----------------------------------------------------

1.端末をDEPで購入していた場合
アクティベーション方法:DEP
監視モード:設定
MDM方式:「Apple MDM」

解説:
DEPで「Apple MDM」を削除不可にできるため、「位置情報の監視」が必須でなければ
この組み合わせが最も手軽で多くの機能を利用可能です。

「位置情報の監視」が必要な場合はこの後に1台ずつクライアントアプリから登録が必要となります。
※クライアントアプリ自体は一斉配信可能。


2.端末をDEPで購入していないがMacPCを利用できる場合

アクティベーション方法:AC
監視モード:設定
MDM方式:「Apple MDM」

解説:
通常の利用であれば「Apple MDM」でも十分ご活用いただけます。
位置情報の監視が必要な場合は「Hybrid MDM」にします。

「Apple MDM」が削除可能なため、端末側で削除されていないかmobiconnectより確認しておきましょう。


3.端末をDEPで購入しておらずMacPCも利用できない場合

アクティベーション方法:その他
監視モード:設定なし
MDM方式:「Apple MDM」

解説:
DEPもACも利用できない場合、Safariから「Apple MDM」にする方法が
最も手軽にアクティベーションでき、機能もある程度揃っているのでおすすめです。

「IVI MDM」の運用を考えている場合「IVI MDM」だけだと機能が不足するため
「Hybrid MDM」にしておきます。

マニュアルは管理画面右上の人型のユーザーアイコン「ヘルプ」より、各種マニュアルをダウンロードいただけます。

help2.jpeg

 

以上となります。 引き続きmobiconnectをよろしくお願いいたします。 
mobiconnectカスタマーサポート

mobiconnect相談室
mobiconnect相談室
Powered by Zendesk