Apple Deployment Programでのデバイスの展開
Appleでは、ビジネスおよび教育機関アカウント向けのデバイス登録プログラムが提供されています。ビジネス用アカウントの場合、デバイスをXenMobileで登録して管理するには、Apple Deployment Programに登録して、Apple Business Manager(ABM)またはApple School Manager(ASM)を利用する必要があります。これは、iOS、iPadOS、およびmacOSデバイス向けのプログラムです。
Apple Deployment Programは、組織での利用は可能ですが、個人では利用できません。Apple Deployment Programアカウントを作成するには、非常に多くの企業の詳細と情報を提供する必要があります。アカウントの要求と承認の取得には時間がかかる場合があります。
教育機関アカウントの場合は、Apple School Managerアカウントを作成します。ASMでは、Apple Deployment ProgramとApple一括購入が統合されています。Apple School Managerアカウントを作成するには、Apple Schoolサイトにアクセスします。
Apple Deployment Programへの登録
Apple Business Managerに登録するには、business.apple.comにアクセスします。[今すぐ登録する] をクリックして、新しいアカウントを申請します。deployment@company.comなどの組織のメールアドレスを使用することをお勧めします。登録処理には数日かかる場合があります。ログオン資格情報を受け取ったら、Apple Business Managerに示される手順に従ってアカウントを作成します。
注:
教育機関アカウントについては、「Apple Education機能との統合」を参照してください。
Apple Business ManagerアカウントとXenMobileの接続
Apple Business ManagerアカウントをXenMobile環境に接続するには、XenMobileコンソールとApple Business Managerで情報を入力します。これを行うには、
手順1: XenMobile Serverから公開キーをダウンロードします
-
XenMobileコンソールで、[設定]>[Apple Deployment Program] の順に移動します。
-
[公開キーのダウンロード] の下にある [ダウンロード] をクリックします。
手順2:Appleアカウントからサーバートークンファイルを作成してダウンロードします
- 管理者またはデバイス登録マネージャーのアカウントを使用して、Apple Business Managerにサインインします。
-
サイドバーの下部にある [Settings] をクリックし、[Device Management Settings]> [Add MDM Server] をクリックします。
- [MDM Server Name] 設定で、XenMobile Serverの名前を入力します。入力するサーバー名は参照用です。サーバーのURLや名前ではありません。
- [Upload Public Key] にある [Choose File] をクリックします。XenMobileからダウンロードした公開キーをアップロードして、変更を保存します。
-
[Download Token] をクリックして、サーバートークンファイルをコンピューターにダウンロードします。
XenMobileにABMアカウントを追加するときに、このサーバートークンファイルをアップロードする必要があります。トークンファイルをインポートした後、ABMトークン情報がXenMobileコンソールに表示されます。
- [Default Device Assignment] で [Change] をクリックします。どのようにデバイスを割り当てるかを選択して求められる情報を入力します。詳しくは、「ABMユーザーガイド」を参照してください。
手順3:XenMobileにABMアカウントを追加します
XenMobileには複数のABMアカウントを追加できます。この機能によって、国や部門などによって異なる登録設定や設定補助オプションを利用できるようになります。追加後、各ABMアカウントをさまざまなデバイスポリシーに関連付けることができます。
たとえば、同じXenMobile Serverにさまざまな国のABMアカウントをすべて集約して、すべてのABMデバイスをインポートして管理することもできます。登録設定と設定補助オプションを部門、組織上の階層、または他の構造ごとにカスタマイズすることで、ポリシーが組織全体で適切に機能し、ユーザーが適切な補助を受けられるようになります。
-
XenMobileコンソールで、[設定]>[Apple Deployment Program] に移動し、[Apple Deployment Programアカウントの追加] の [追加] をクリックします。
-
[サーバートークン] ページでサーバートークンファイルを指定し、[アップロード] をクリックします。
サーバートークンの情報が表示されます。
-
[アカウント情報] ページで次の設定を入力します。
- Apple Deployment Programアカウント名: このApple Deployment Programアカウントの一意の名前。国や組織構造など、Apple Deployment Programアカウントの分類を示す名前を付けます。
- 事業/教育単位: デバイスを割り当てる事業単位または部門。このフィールドは必須です。
- 一意のサービスID: アカウントの識別に役立つオプションの一意のIDです。
- サポート用電話番号: ユーザーがセットアップ時にサポートが必要となった場合に連絡するサポートの電話番号。このフィールドは必須です。
- サポート用メールアドレス: エンドユーザーが使用できるサポート用のメールアドレス(オプション)。
-
[iOS設定] で次の設定を入力します。
登録設定:
- デバイス登録を必須にする: ユーザーにデバイス登録を要求するかどうか。デフォルトは [はい] です。
-
デバイス登録のための資格情報を求める: ABMのセットアップ時にユーザーに資格情報の入力を要求するかどうか。デバイスの登録ですべてのユーザーに資格情報を入力を要求し、承認済みのユーザーだけがデバイスを登録できるようにしてください。デフォルトは [はい] です。
初回セットアップ前にABMを有効にし、このオプションを選択しない場合、XenMobileによってABMコンポーネントが作成されます。作成されるコンポーネントには、ABMユーザー、Secure Hub、ソフトウェアインベントリ、ABM展開グループなどのコンポーネントが含まれます。このオプションを選択すると、XenMobileによってコンポーネントは作成されません。そのため、後でこのオプションをオフにしても、これらのABMコンポーネントは存在しないため、資格情報を入力していないユーザーはABMを登録できません。その場合、ABMコンポーネントを追加するには、ABMアカウントを無効化してもう一度有効化します。
- セットアップを完了するため構成を待機する: すべてのMDMリソースがユーザーのデバイスに展開されるまで、デバイスをセットアップアシスタントモードのままにしておく必要があるかどうか。この設定は監視モードのデバイスでのみ使用できます。デフォルトは [いいえ] です。
- Appleのドキュメントによると、デバイスがセットアップアシスタントモードの間は以下のコマンドが機能しない場合があります。
- InviteToProgram
- InstallApplication
- ApplyRedemptionCode
- InstallMedia
- RequestMirroring
- DeviceLock
デバイス設定:
- 監視モード: ABMで登録したデバイスをApple Configuratorで管理する場合、または [セットアップを完了するため構成を待機する] が有効な場合は、[はい] に設定する必要があります。デフォルトは [はい] です。iOSデバイスをSupervisedモードにする方法について詳しくは、「Apple Configuratorを使用してiOSデバイスをSupervisedモードにするには」を参照してください。
- 登録プロファイルの削除を許可: リモートから削除できるプロファイルをデバイスで使用することを許可するかどうかを選択します。デフォルトは [いいえ] です。
- デバイスのペアリングを許可: ABMで登録したデバイスをApple MusicおよびApple Configuratorで管理できるかどうか。デフォルトは [いいえ] です。
監視ID
GroundControlツールを使用する場合は、証明書を追加すると次のことができます:
- 「Trust this host」プロンプトが表示されないように、ペアリングの制限を無効にします。
- 管理対象デバイスの操作をUSB経由でエスカレートし、ユーザー操作なくプロファイルのインストールなどの作業を実行します。これにより、GroundControlはチェックアウトのためにシングルアプリモードとデバイスロックを有効にすることができます。
- ABMデバイスにバックアップを復元します。
GroundControlについて詳しくは、GroundControlのWebサイトを参照してください。
-
[macOS設定] で設定を入力します。
登録設定:
- デバイス登録を必須にする: ユーザーにデバイス登録を要求するかどうか。デフォルトは [はい] です。
- セットアップを完了するため構成を待機する: [はい] の場合、MDMリソースパスコードがデバイスに展開されるまで、macOSデバイスはセットアップアシスタントを続行しません。その展開が行われるのは、ローカルアカウントの作成前になります。この設定はmacOS 10.11以降のデバイスで使用できます。デフォルトは [いいえ] です。
デバイス設定:
- 登録プロファイルの削除を許可: リモートから削除できるプロファイルをデバイスで使用することを許可するかどうかを選択します。デフォルトは [いいえ] です。
-
[iOS設定アシスタントのオプション] で、ユーザーが初めてデバイスを起動するときにスキップするiOS設定アシスタントの手順を選択します。画面がスキップされると、関連する機能はデフォルト設定を使用します。これらの機能へのアクセスを完全に制限しない限り、ユーザーはセットアップの完了後にスキップされた機能を構成できます。機能へのアクセスの制限について詳しくは、「制限デバイスポリシー」を参照してください。すべての項目は、デフォルトで選択が解除されています。以下の説明では、設定が選択されたときに何が起こるかについて解説しています。
- 位置情報サービス: ユーザーがデバイスで位置情報サービスを設定できないようにします。
- Touch ID: ユーザーがiOSデバイスでTouch IDまたはFace IDを設定できないようにします。
- パスコードロック: ユーザーがデバイスのパスコードを設定できないようにします。パスコードが存在しない場合、ユーザーはTouch IDまたはApple Payを利用できません。
- 新規としてセットアップまたは復元: ユーザーが新規として、またはiCloudまたはApple App Storeのバックアップから、デバイスを設定できないようにします。
- Androidから移動: ユーザーがAndroidデバイスからiOSデバイスにデータを転送できないようにします。このオプションは、[新規としてセットアップまたは復元] がオンの場合(すなわち、手順をスキップする場合)にのみ使用できます。
- Apple ID: ユーザーがデバイスの管理対象Apple IDアカウントを設定できないようにします。
- 使用条件: ユーザーがデバイスの使用契約条件を読んで承諾できないようにします。
- Apple Pay: ユーザーがApple Payを設定できないようにします。この設定がオフになっている場合、ユーザーはTouch IDとApple IDを設定する必要があります。これらの設定がオフになっていることを確認してください。
- Siri: ユーザーがSiriを構成できないようにします。
- App Analytics: ユーザーがクラッシュデータおよび使用状況の統計情報をAppleと共有するかどうかを設定できないようにします。
- ディスプレイズーム: iOSデバイスにディスプレイ解像度(標準またはズーム)を設定できないようにします。
- True Tone: ユーザーが4チャネルセンサーを設定して、ディスプレイのホワイトバランスを動的に調整できないようにします。
- ホームボタン: ユーザーがフィードバックのホームボタンのスタイルを設定できないようにします。
- 新機能のハイライト: ユーザーにAppleソフトウェアの新機能に関する情報画面が表示されないようにします。
- プライバシー: ユーザーが[データおよびプライバシー]ペインを確認できないようにします。iOS 11.3以降の場合。
- ソフトウェアの更新: ユーザーがiOSを最新バージョンに更新できないようにします。iOS 12.0以降の場合。
- スクリーンタイム: ユーザーがスクリーンタイムを有効にできないようにします。iOS 12.0以降の場合。
- SIMのセットアップ: ユーザーが通信プランを設定できないようにします。iOS 12.0以降の場合。
- iMessage & FaceTime: ユーザーがiMessageとFaceTimeを有効にできないようにします。iOS 12.0以降の場合。
- 外観: ユーザーが外観モードを選択できないようにします。iOS 13.0以降の場合。
- ようこそ: ユーザーに [開始] 画面が表示されないようにします。iOS 13.0以降の場合。
- 復元が完了しました: セットアップ中に復元が完了したかどうかをユーザーが確認できないようにします。iOS 14.0以降の場合。
- 更新が完了しました: セットアップ中にソフトウェアの更新が完了したかどうかをユーザーが確認できないようにします。iOS 14.0以降の場合。
ABMアカウントを表示するには、[設定]>[Apple Deployment Program] に移動します。
-
[macOS設定アシスタントのオプション] で、ユーザーが初めてデバイスを起動するときにスキップするmacOSセットアップアシスタントの手順を選択します。画面がスキップされると、関連する機能はデフォルト設定を使用します。これらの機能へのアクセスを完全に制限しない限り、ユーザーはセットアップの完了後にスキップされた機能を構成できます。機能へのアクセスの制限について詳しくは、「制限デバイスポリシー」を参照してください。すべての項目は、デフォルトで選択が解除されています。以下の説明では、設定が選択されたときに何が起こるかについて解説しています。
- 新規としてセットアップまたは復元:ユーザーがデバイスを新規またはTime Machineバックアップから設定したり、システム移行を実行したりできないようにします。
- 位置情報サービス: ユーザーがデバイスで位置情報サービスを設定できないようにします。macOS 10.11以降の場合。
- Apple ID: ユーザーがデバイスの管理対象Apple IDアカウントを設定できないようにします。
- 使用条件: ユーザーがデバイスの使用契約条件を読んで承諾できないようにします。
- Siri: ユーザーがSiriを構成できないようにします。macOS 10.12以降の場合。
-
FileVault: FileVaultを使用して起動ディスクを暗号化します。XenMobileがFileVaultの設定を適用するのは、ローカルユーザーアカウントがシステムに1つで、そのアカウントがiCloudにサインインしている場合のみです。
macOSのFileVaultディスク暗号化機能を使ってコンテンツを暗号化し、システムボリュームを保護します(https://support.apple.com/en-us/HT204837)。FileVaultがオンになっていない旧モデルのポータブルMacでセットアップアシスタントを実行すると、この機能を有効にするように求められることがあります。このプロンプトは、新しいシステムとOS X 10.10または10.11にアップグレードされたシステムの両方に表示されますが、システムのローカル管理者アカウントが1つで、そのアカウントがiCloudにサインインしている場合にのみ表示されます。
- App Analytics: ユーザーがクラッシュデータおよび使用状況の統計情報をAppleと共有するかどうかを設定できないようにします。
- プライバシー: ユーザーが[データおよびプライバシー]ペインを確認できないようにします。macOS 10.13以降の場合。
- iCloud Analytics: ユーザーがiCloud診断データをAppleに送信するかどうかを選択できないようにします。macOS 10.13以降の場合。
- iCloudの “書類”と”デスクトップ”: ユーザーがiCloudの書類とデスクトップを設定できないようにします。macOS 10.13以降の場合。
- 外観: ユーザーが外観モードを選択できないようにします。macOS 10.14以降の場合。
- アクセシビリティ: ユーザーがボイスオーバーを自動的に聞くことができないようにします。デバイスがイーサネットに接続されている場合にのみ使用できます。macOS 11以降の場合。
- 生体認証: ユーザーがTouch IDとFace IDを設定できないようにします。macOS 10.12.4以降の場合。
- True Tone: ユーザーが4チャネルセンサーを設定して、ディスプレイのホワイトバランスを動的に調整できないようにします。macOS 10.13.6以降の場合。
- Apple Pay: ユーザーがApple Payを設定できないようにします。この設定がオフになっている場合、ユーザーはTouch IDとApple IDを設定する必要があります。Apple IDおよび生体認証の設定がオフになっていることを確認してください。macOS 10.12.4以降の場合。
-
スクリーンタイム: ユーザーがスクリーンタイムを有効にできないようにします。macOS 10.15以降の場合。
-
ローカルアカウントのセットアップオプション: デバイスで管理者アカウントを作成する設定を指定します。ユーザーはこの情報を使用してmacOSデバイスにログオンします。XenMobileは、指定された情報を使用してアカウントを作成します。
- 標準ユーザーとしてプライマリアカウントを作成する: このユーザーにデバイスに対する管理者権限を付与する代わりに、XenMobileによって標準権限を持つユーザーが作成されます。macOSには管理者アカウントが必要なため、XenMobileにより最初に管理者アカウントが作成されると、その後新しい標準アカウントが作成され、プライマリアカウントに設定されます。
- 管理者のフルネーム: 管理者アカウントに対してシステムに表示される名前を入力します。
- 管理者の短い名前: デバイスやシェルに表示されるホームフォルダーの名前を入力します。
- 管理者パスワード: 管理者アカウント用の安全なパスワードを入力します。
- ユーザーおよびグループで管理者アカウントを表示する: これがオフになっている場合、管理者アカウントはmacOS設定の [ユーザーとグループ] に表示されません。プライマリアカウントを標準ユーザーとして作成する場合は、この設定を有効にして、XenMobileが最初に作成する管理者アカウントを非表示にします。
Deployment Program対応デバイスの注文
Deployment Program対応デバイスをAppleから直接、またはDeployment Program対応認証リセラーまたはキャリアから注文できます。Appleから注文するには、Apple Deployment Program PortalにApple Customer IDを入力します。Customer IDにより、Appleは、顧客が購入したデバイスを顧客のApple Deployment Programアカウントに関連付けることができます。
リセラーやキャリアから注文するには、AppleリセラーまたはキャリアにApple Deployment Programに参加しているかどうかを問い合わせます。デバイスを購入する場合、リセラーのApple Deployment Program IDが必要です。Apple Deployment ProgramリセラーをApple Deployment Programアカウントに追加するにはこの情報が必要となります。リセラーのApple Deployment Program IDを追加すると、Deployment ProgramカスタマーIDが届きます。Deployment ProgramカスタマーIDをリセラーに提供します。リセラーはこのIDを使ってデバイス購入に関する情報をAppleに送信します。詳しくは、Appleのデバイス登録を利用するサイトを参照してください。
Deployment Program対応デバイスの管理
注文の発送後、iOS、iPadOS、macOS、およびmacOSデバイスをXenMobile Serverに関連付けることができます。
- 管理者またはデバイス登録マネージャーのアカウントを使用して、Apple Business Managerにサインインします。
- サイドバーで、[デバイス] をクリックします。Appleから直接購入したデバイスは自動的に表示されます。Apple Configurator 2からApple Business Managerにデバイスを割り当てるには、「Apple Business Managerユーザガイド」を参照してください。
- リストで、デバイスまたはデバイスの総数を選択し、「Edit Device Management」 をクリックします。2つのオプションがあります:
-
デバイスをMDMサーバーに割り当てるには、[Assign to Server] でXenMobile Serverの名前を選択します。[続行] をクリックします。
新しいデバイスをApple Business Managerに一括で割り当てるには、展開環境にデフォルトのXenMobile Serverを設定します。詳しくは、「一括登録のためのデフォルトサーバーの設定」を参照してください。
-
デバイスをXenMobile Serverから割り当て解除するには、[Unassign] を選択します。
-
Apple Deployment Programデバイスが選択したXenMobile Serverに割り当てられました。
修理のためにiOS、iPadOS、またはmacOSデバイスを送付する場合は、Apple Business Managerからデバイスを削除する必要があります。修理されたデバイスを受け取ったら、デバイスをXenMobile Serverに再割り当てする必要があります。デバイスを交換するときに、注文番号を使用して新しいデバイスをXenMobile Serverに割り当てることができます。
割り当てられたデバイスの履歴を確認するには、次の手順を実行します:
- 管理者またはデバイス登録マネージャーのアカウントを使用して、Apple Business Managerにサインインします。
- サイドバーで、[Assignment History] をクリックします。次に、割り当てを選択して詳細を表示します。
- [Download] をクリックして、割り当てられているデバイスと割り当てられていないデバイスすべてのシリアル番号を含むCSVファイルをダウンロードします。
iOS、iPadOS、およびmacOSデバイスが売却された、盗難に遭った、または修理できない場合は、対象のデバイスをApple Business Managerから削除できます。
- 管理者またはデバイス登録マネージャーのアカウントを使用して、Apple Business Managerにサインインします。
- サイドバーで、[Devices] をクリックして、デバイスを検索します。
- デバイスを選択し、[Release Device] をクリックします。ダイアログボックスで、変更を確認し、デバイスをプログラムから削除します。iOSおよびiPadOSデバイスを追加し直すには、Apple Configurator 2を使用します。Apple Configurator 2を使用してmacOSデバイスを追加し直すことはできません。