iPad MDM2つ方法、Apple Configurator vs. MDM
iPadを企業で業務活用するためにはMDMが必要である。
Appleは割と初期からiPadのエンタープライズでの活用を想定して端末管理のPayloadを提供し、メジャーアップグレードをする度に新たなPayloadが加われている。
下記の表は2014年6月現在のApple Profile Payloadを記している。
パスコード | 単純なパスコードを許可設定:同じ文字の繰り返し、あるいは単純上昇/下降形(123、CBAなど)の文字列が含まれるパスコードを許可するか否かを設定 英数字の含めるか:英字(「abcd」など)を入力しなければならないか、または数字だけでよいかを指定 パスコードの文字数を指定:パスコードの長さの最小値を設定 複合文字の最小数を設定:「&%$#」のような、英数字以外の複雑な文字の最小数を指定 パスコードの有効期限を設定:パスコードを変更せずに利用できる最大日数を指定 自動ロックまでの時間を設定:この上限時間デバイスがアイドル状態になると、デバイスをロック パスコードの履歴:過去パスコードをの重複を確認。最小値は1で、最大値は50 デバイスロックの最長猶予期間の設定:パスコードを再入力せずにデバイスのロックを解除できる時間を指定 失敗回数:設定回数を超えたデバイスを工場初期化 |
機能制限 | iClouフォトストリームオプションを制御 スクリーンショット保存禁止 AppStoreやiTunesを使用したアプリケーションのインストールやアップデートを禁止 カメラ使用禁止 アプリケーション内の課金を禁止 iTunesStoreパスワードの入力を強制 ゲームセンターのマルチプレイヤーゲームのプレイを禁止 ゲームセンターの友人追加禁止 iCloudのバックアップオプションを制御 iCloudの書類の同期オプションを制御 ローミング中の自動同期を許可 音声コマンドを使用しての電話ダイヤルを制御 強制的に暗号化バックアップ 信頼できないTLS証明書の受け入れを許可 ユーザが信頼できないTLS証明書を受け入れることを許可 Siriの制御 スクリーンロック中にSiriを許可 管理対象Appのクラウド同期機能を許可 新しいエンタープライスApp作成者の信頼を許可 |
コンテンツ制限 | YouTubeの使用を制御 iTunes Music Storeの使用を制御 Safariの制御 Cookieの受け入れ |
監視モード (Supervised Mode) | Airdropを許可:アプリでAirDropの使用を制御 iMessageを許可:iMessageを使用したメッセージの送受信を制御 iBooks Storeを許可:iBooks Storeが無効になり、ユーザが「iBooks」アプリからiBooks Storeにアクセスできなくなります。 Appの削除を許可:ユーザはアプリを削除できるようになります。App Storeや「iTunes」など、iOSに付属しているアプリをユーザが削除することはできません。 Game Centerの使用を許可:「Game Center」が無効になり、ホーム画面からアイコンが削除されます。 友達を探す設定の変更を許可:「友達を探す」アプリの設定を変更できなくなります。 Apple Configurator以外のホストとペアリングを許可:デバイスを任意のMacと同期することができます。 iTunesからApp のインストールを許可 アプリケーションの自動インストール制限 デバイス名の変更を許可 パスコードの変更を許可 Touch ID指紋の変更を許可 機能制限の変更を許可 |
Webサイト制限 (Supervised Mode) | デバイスが表示できるWebサイトを選択します。アダルトコンテンツを自動的に除外してから、特定のサイトへのアクセスを許可または拒否できます。特定のWebサイトのみを表示できるようにデバイスを設定してから、それらのWebサイトのブックマークを作成することもできます。 |
カレンダー/連絡先 | CardDAVアカウントの設定 CalDAVアカウントの設定 |
端末設定 | VPNの設定(L2TP、PPTP、IPsec) Exchange の設定 Wi‒Fi設定 メール (IMAP、POP) Web Clip(Webページのリンク) |
構成プロファイル配布 | iOS構成プロファイル(拡張⼦ : mobileconfig)を配布して VPN 構成情報、Wi‒Fi設定、APN設定、Exchangeアカウント設定、メール設定、WebClipなどの設定が可能 |
それでは、iPadでどのようにMDM機能を移植して端末を管理するのかだが、2つの方法がある。AppleのConfiguratorを利用するか、商用のMDMを利用することだ。
Apple Configurator をダウンロードしてUSBでiPadをApple Configuratorに繋いだ後、プロファイルを追加するのだが、プロファイルはApple Profile Payloadにある項目を組み合わせたファイルになる。
プロファイルは、mobileconfigファイルの拡張子を有し、Apple Configuratorで作ったファイルは保存して別で使用することもできる。
無料のApple Configuratorを使えばいいのに、なぜ有料のMDMを利用する必要があるだろうか。
企業でiPadを導入するとき、Apple Configuratorがあれば十分ではないのか?という疑問を持つ人もいると思う。例えば、貴方は10名の生徒が通うある塾の社長で、生徒たちにiPadを用いたマルチメディア授業を受けさせようしていると仮定しよう。
10台のiPadを導入し、Apple Configuratorに繋げればMDM機能を設定することができる。ところが、この方法は10台の端末をあなた自身で直接管理し、生徒たちには授業前に配って退室のときに回収する。
また、生徒のなかには授業とは関係のないアプリをインストールしたり、データを残したりしたときには一挙に消去し、それからアップデートが必要なときは10台を同時にアップデートにかけることもできる。こういう場面ではMDMを利用しなくても済むだろう。
一方、あなたがある企業の営業部長で50名の部下たちがいるとしょう。部下全員が営業でiPadを活用しているならば上記のような管理方法では限界がある。
あなた自身で1台ずつ全員分を回収して、不要なアプリやデータの消去、またはインストールなど直接管理することができるのであれば論外だ。
しかし、現実的に毎日携帯する50台のipadは紛失や盗難の恐れは常にある。況してはどのようなアプリがインストールされ、会社の重要データを暗号化せずに保存しているのか、アップデートは最新を維持しているのか等々。
さらに、顧客先で使う営業ツールを遠隔で配り、問題発生の緊急時には情報流出を阻止するための措置がなければお手上げ状態になるのだ。こういうときこそ商用のMDMサービスを利用するべきだ。
下記の表は、商用MDMサービスとApple Configuratorを比較したものである。
iPad MDM : Apple Configurator vs. MDM
MDM | Apple Configurator | Apple Configurator Supervised | |
インストール | URL、メール、CSVなど | USB | USB |
アップデート方式 | OTAプッシュー | USB | USB |
Payload配布 | いつでも可能、リモート配布 | USB | USB |
OSアップデート | リモートアップデート不可 | USB | USB |
ロックスクリーン設定 | 不可 | 可能 | 可能 |
ウォールペーパー設定 | 不可 | 可能 | 可能 |
Appリモートインストール | 可能 | 不可 | 不可 |
VPPアプリの配布 | 可能(MDM-MAM統合型MDMの場合可能) | 可能 | 可能 |
ドキュメント配布 | 可能(MDM-MCM統合型MDMの場合可能) | USB | USB |
端末インストールされているアプリの確認 | 可能 | 不可 | 不可 |
リモートロック/ワイプ | 可能 | 不可 | 不可 |
Webサイト制限 | 可能 | 不可 | 可能 |
対象 | 企業 | 小規模の塾など | 小規模の塾など |
iPad MDM参考資料:
最後に効果的なタブレット導入とMDM eBook (PDF 10ページ)をご参照ください。
効果的なタブレットの導入とMDMダウンロードはこちら