IT資産管理

LANSCOPE エンドポイントマネージャー クラウド版で実現するMacデバイス管理機能とは?

Written by 武藤 諒

LANSCOPE エンドポイントマネージャー クラウド版プロダクトマネージャーとして、製品ロードマップの策定や販売計画の立案、マーケティング活動に従事。またMOTEX製品のプロダクトマーケティングにも従事。

LANSCOPE エンドポイントマネージャー クラウド版で実現するMacデバイス管理機能とは?

業務用PCの多くで利用されているのはWindowsですが、業界・業種、従業員の職種によっては一部Macデバイスを利用しているというケースも昨今増えてきています。「PC管理」という側面ではWindows・Macデバイスで共通点がある一方で、Macデバイス特有のセキュリティ対策や管理のポイントが存在します。

本記事ではLANSCOPE エンドポイントマネージャー クラウド版で実現するMacデバイス管理のポイントについてご紹介します。

LANSCOPE エンドポイントマネージャー クラウド版で実現する Macデバイス管理

Macデバイス特有のセキュリティ対策や管理のポイントについてご紹介します。

資料をダウンロードする

情報システム担当者 1,000人に聞いた!
“IT資産管理ツールのクラウド移行”実態調査

8割以上のユーザーが「クラウドIT資産管理ツール」の導入を検討していると回答しています。

資料をダウンロードする

1. 管理ツールに存在する2つのエージェント提供方式

管理ツールでデバイスを管理する場合、「エージェント」をインストールする必要があります。このエージェントの提供方式は大きく2つに分類されます。一つは管理ツールを提供するメーカーが自社開発する「アプリ」をインストールし、そのアプリが資産情報の自動取得やデバイスの利用制御を行うというものです。

一方、Apple社が公開する仕様(規格)の範囲で開発する「MDM構成プロファイル」をデバイスにインストールし、このMDM構成プロファイルが資産情報を取得、デバイスの利用制御を行う手法もあります。どちらも一長一短ありますが、エンドポイントマネージャー オンプレミス版は「エージェントアプリ」、エンドポイントマネージャー クラウド版は「MDM構成プロファイル」でMacデバイス管理を提供しています。

管理方式 特徴
エンドポイントマネージャー
オンプレミス版
エージェントアプリ 操作ログの取得や記録メディアの制御などWindowsデバイスの管理同様に求められる機能を利用できる。一方でMacデバイス特有の利用制御などは実現できないケースもある。
エンドポイントマネージャー
クラウド版
MDM構成プロファイル Apple社の規格の範囲で開発をしているため、Macデバイス特有の利用制御を行うことができる。一方で操作ログ取得などの機能は利用できない。
LANSCOPE クライアント MDM構成プロファイルでは実現できない操作ログの取得や記録メディアの利用制御などを行うことができる。

エンドポイントマネージャーでは、MDM構成プロファイルとLANSCOPE クライアントを介して、Macデバイスの管理機能を提供しています。Macデバイス特有のデバイス管理に加えて、PC管理では今や必須とも言える操作ログ取得機能も提供。Windowsと同等のデバイス管理の実現を支援します。

関連ページ

IT資産管理・セキュリティ対策ツール「 LANSCOPE エンドポイントマネージャー クラウド版」製品ページはこちら

2. 自動デバイス登録(DEP)

エンドポイントマネージャー クラウド版では、Apple Business Manager(以下、ABM)の自動デバイス登録(旧DEP)に対応しています。自動デバイス登録は、デバイスのキッティング作業の工数削減などのメリットがあります。

<自動デバイス登録の主な利用メリット>

  • MDM構成プロファイルの自動インストールと削除防止
  • 初期設定(設定アシスタント)のスキップ(非表示)
  • 管理者アカウントの自動作成/ユーザーアカウントの設定内容の強制

自動デバイス登録を利用することで、デバイスのアクティベーションの過程で、MDM構成プロファイルの自動インストールや管理者アカウントの自動作成、従業員が利用するアカウントの設定内容を指定できます。アカウントの作成に関する設定は以下にまとめたポイントで有効活用できます。

<DEPを利用したアカウント設定のポイント>

  • システム担当者がメンテナンス用に利用する管理者アカウントを自動作成する。
  • 従業員が利用するアカウントタイプ(管理者/標準アカウント)とユーザー名・フルネームを指定できる(パスワードのみ利用者が任意で設定する)。

自動デバイス登録を利用するためには、あらかじめABMの利用申請を行い、Appleから法人としてデバイスを購入する、または自動デバイス登録に対応している正規代理店からデバイスを購入する必要があります(この点はiOS・iPadOS管理の考え方と同じです)。その上でABMとエンドポイントマネージャー クラウド版を連携し、事前設定を行います(この事前設定の中に、上述のアカウント設定などが含まれます)。これらを済ませた上で、デバイスのアクティベーションを行うことで、デバイスへのMDM構成プロファイルのインストールやアカウントの設定を効率化します。

ABMの利用申請方法等、その詳細については下記ブログも参照してください。

関連ページ

Apple Business Manager(ABM)を徹底解剖!法人のiOS・iPadOS管理必携

3. プロファイル管理

Macデバイスに対して「◯◯を禁止する」などデバイスの利用制御を加える場合、プロファイルを作成し、デバイスにインストールすることで実現します。利用制御を行う「プロファイル」と、冒頭に述べた管理に必要なエージェントである「MDM構成プロファイル」とは別物ですので注意してください。
プロファイルは以下いずれかの方法で作成します。プロファイルは以下いずれかの方法で作成します。

ツール 対象OS 特徴
Apple Configurator2(AC2) iOS/iPadOS Mac版App Storeでインストールできる無償アプリで、iOS/iPadOS向けのプロファイルを作成できます。
プロファイルマネージャー macOS macOS Server アプリのプロファイルマネージャーを利用して、プロファイルを作成できます。macOS Server アプリは、Mac 版 App Store よりインストールできる有償(2,440)アプリです。
エンドポイントマネージャー クラウド版 iOS/iPadOS/macOS エンドポイントマネージャー クラウド版でiOS/iPadOS/macOSのプロファイルを作成できます。但しAC2・プロファイルマネージャーで作成できるプロファイルの種類とは異なります。

AC2やプロファイルマネージャーで作成したプロファイルは、エンドポイントマネージャー クラウド版にアップロードし、デバイスに配信することも可能です。ここではよく利用される主なプロファイルについてご紹介します。

① Macデバイスの利用を制限する

Macデバイスでは、デバイスの利便性を向上するための様々な機能が備わっている一方で、業務に利用することのないアプリや機能、情報漏えいにつながるリスクのある機能も存在します。これらの機能を制限するプロファイルをデバイスに適用することで、セキュリティリスクの軽減につながります。具体的に制限できる項目の例は以下の通りです。

  • AirDrop を禁止する
  • iCloud Drive を禁止する
  • App Storeを禁止する
  • システム環境設定で不要なメニューの利用を禁止する

例えば、アカウントの設定変更が可能な「システム環境設定」の中の「ユーザーとグループ」を禁止するプロファイルを適用すると、項目がグレーアウトし、操作できなくなります。

② FileVaultの設定を強制

FileVault は Mac デバイスに標準搭載されているディスク暗号化機能です。プロファイルを利用することで、FileVault の設定を強制したり、「復旧キー」を資産情報として取得できます。

4. アプリ配信

Macデバイスでアプリを利用する場合、2つの入手方法があります。一つはMac版のApp Storeからアプリをインストールする、もう一つはアプリベンダーが提供する「pkgファイル」を利用してアプリをインストールする方法があります。エンドポイントマネージャー クラウド版では、pkgファイルを利用したアプリの配信(インストール実行)に対応。インストールしたいアプリのpkgファイルを、お客様にて用意したストレージサービス(Amazon S3やAzure Blob Storage等)にアップロードし、エンドポイントマネージャー クラウド版に情報を連携、配信します。
またMDM構成プロファイルがインストールされた(=デバイスがエンドポイントマネージャー クラウド版の管理下に置かれた)タイミングで、対象のアプリを自動配信することも可能。デバイスのキッティング工数を削減できます。

5. 操作ログ取得・記録メディア制御

WindowsやMacデバイスを管理する上で重要なのが、「いつ」「誰が」「どのようなことをしたのか」操作ログを取得することです。内部不正対策や働き方の見える化を目的に、多くの組織でPC操作を記録しています。エンドポイントマネージャー クラウド版では、Windowsと同等の操作ログを取得できます。

    <Mac デバイスで取得できる主な操作ログ>

  • ログオン・ログオフログ
  • ウィンドウタイトル・アプリ利用ログ
  • ファイル操作ログ
  • 記録メディアの追加/削除/書込みログ
  • Webサイト閲覧ログ
  • プリントログ

取得した操作ログは最大で5年保存、対象のログを検索したり、期間・ログ種別を指定してCSV形式で出力も可能です。

また、USBメモリなど記録メディアの利用制御も可能です。原則利用を禁止した上で、組織で貸与したメディアのみ利用を許可する、一時的に利用を許可するなどといった柔軟なポリシーを設定できます。

6. まとめ

エンドポイントマネージャー クラウド版はPC・スマホを一元管理できるIT資産管理・MDMツールです。組織ではスマホであればiPhoneやAndroidスマホ、PCはWindowsだけでなく、用途によってMacデバイスを選択する組織も増えてきています。組織で利用しているデバイスの種類が多岐に渡るほど、デバイスを管理する担当者様の負担が増えます。エンドポイントマネージャー クラウド版は「一元管理」という製品の特長を介して、デバイス管理の効率化を支援します。

LANSCOPE エンドポイントマネージャー クラウド版で実現する Macデバイス管理

Macデバイス特有のセキュリティ対策や管理のポイントについてご紹介します。?

資料をダウンロードする

情報システム担当者 1,000人に聞いた!
“IT資産管理ツールのクラウド移行”実態調査

8割以上のユーザーが「クラウドIT資産管理ツール」の導入を検討していると回答しています。

資料をダウンロードする