従業員にiPhoneやiPadを貸与する際、必須となるのがMDM/EMMツール。万が一の紛失時に遠隔で画面ロック・初期化の実行、業務に必要なアプリの配信やセキュリティ強化のため、ポリシーを設定するなど様々な機能があります。

またiOS・iPadOS※デバイスを管理する上で必携とも言えるのが「Apple Business Manager」（以下「ABM」）です。ABMとは、自動デバイス登録とアプリの一括配信の総称で、「MDMツール」と連携し、より高度なデバイス管理の実現をサポートする、Apple社が法人向けに提供するプログラムです。ABMの利用に費用はかかりません。

※本記事ではこれ以降、iPadOSにおいても「iOS」と表現します。

iOS管理で広く利用されているABMですが、Macデバイスを管理する際にも、組織のデバイス管理の要件によっては有用となる場合があります。macOSにおけるABMをはじめとしたデバイス管理については、下記ブログで詳細を記載していますので参照してください。

 

本記事ではABMを利用するメリットやデメリットをまとめていきます。

本記事のまとめ

まず、ABMとは一体どのようなプログラムなのか、そして利用する際のメリットやデメリットは何なのか？少し長い記事になるのでまとめます。

・ABM＝自動デバイス登録（DEP）＋アプリの一括配信（VPP）である。
・自動デバイス登録の利用メリットはデバイスを監視モードにできる、MDM構成プロファイルの削除を禁止できるなどが挙げられる。
・デバイスを監視モードにすることで、専用の「構成プロファイル」を適用でき、より幅広いデバイスの利用制御が可能になる。また監視モードに適用する場合、事実上、自動デバイス登録（DEP）の利用が不可欠。
・アプリの一括配信のメリットはApple IDの設定が行われていないデバイスにもMDMを通じてアプリを配信できることにある。

尚、自動デバイス登録とは「Automated Device Enrollment（ADE）」とも呼ばれますが、国内では過去の名称である「DEP」（Device Enrollment Program）、またアプリの一括配信は「VPP」（Volume Purchase Program）と呼ばれていました。現在では「DEP」「VPP」はAppleの正式名称としては利用されていません。しかしDEP・VPPは国内では比較的定着している用語であることから、本記事では、自動デバイス登録を「DEP」、アプリの一括配信を「VPP」として記載します。

Apple Business Manager（ABM）の概要

ABMとはDEP・VPPという機能の組み合わせです。それぞれの機能については後ほど詳述しますが、まずは概要です。

・DEP…デバイスの初期設定の工数削減や簡略化を実現することに加えて、MDMで管理するためにデバイスにインストールが必要な「MDM構成プロファイル（MDMプロファイル）」の自動インストールと「監視モード」に自動適用できます。
・VPP…デバイス上でのApple IDのサインインの有無に拘らず、MDMツールからアプリを遠隔で配信・インストールできます。

ABMは、MDMツールと連携して利用します。ABM単体では基本的には機能しません。そのためMDMツールを選定する際は、DEP・VPPに対応しているか？は必ず確認しておいた方が良いチェックポイントです。

ABMとMDMの違い

先に述べたようにABM単体では基本的には機能しません。ABMはあくまでMDM（Mobile Device Management）と連携して利用することで効果を発揮します。

詳細は後述しますが、ABM単体では、デバイスへの制限設定やアプリの配信設定はできず、あくまでもこれらの設定をデバイスに適用するのはMDMの役割となっています。MDMで必要な設定やアプリの配信を行うために、管理下に置くデバイスや配信したいアプリなどABMで保有する情報とMDMとを連携して、デバイス管理を実現していきます。

MDMについて詳しく解説した記事はこちら

ABMを利用するための事前準備（ABMの登録方法）

ABMを利用するためには、事前に利用申請が必要です。利用申請はABMサイトより行います。サイトにアクセスし「今すぐサインアップ」から申請します。

ここでは組織を代表して登録を行う担当者の情報の入力と、その後にABMにサインインするためのアカウント（Apple ID）の作成を行います。尚、この時にApp StoreまたはiCloudのアカウントに関連付けられておらず、他のAppleサービスやWebサイトのApple IDとして使用されていない勤務先メールアドレスが必要です。

作成したアカウントでABMにサインインします。ここで組織の「DUNS番号」と確認用連絡先情報（名前、メールアドレス、担当/役職名）を登録します。登録した確認用連絡先情報の担当者宛にAppleから電話で連絡を受けて、審査が完了すればABMの利用申請は完了です。

尚、ここまではあくまでABMを利用するための申請で、この後、ABMの機能を利用するためにMDMツールと連携する作業もあります。この連携作業はABMサイトとMDMツールの管理コンソールの双方で行います。

ABMを利用すると一言で言っても、DUNS番号の確認や登録・申請の作業などを鑑みるとパワーのいる業務です。そのため、後述するDEP・VPPの利用メリットと照らし合わせて利用するか否かの判断を行うことがポイントです。

DEP（自動デバイス登録）の利用メリットとは？

それでは、DEPで何ができるのか？その主なものを以下に列挙します。

・本来、デバイスの初期設定完了後に、インストールしなければならないMDM構成プロファイル※が、デバイスの初期設定の過程で自動インストールされる（別途インストールの必要が無い）
・iPhoneの初期設定で表示される各種設定をスキップできる（表示させない）
・デバイスを「監視モード」に適用できる
・MDM構成プロファイルの削除を禁止できる
※MDMツールで管理するために必ずデバイスにインストールする必要のあるプロファイル

DEPを利用すると多くの恩恵を受けることができます。「MDM構成プロファイルがデバイスの初期設定の過程で自動インストールされる」点については「なぜそんなことができるのか？」と疑問に思うかもしれません。これは「MDMとABMを連携する作業」で、端的に言えば、ABMサイト上でMDMの管理下に置きたいデバイスを登録し、その情報をMDMに連携することで実現します。DEPはデバイスの初期設定の過程でMDMの管理下に自動適用するプログラムで、その上でさまざまな付加価値があると言えます。

デバイスを「監視モード」に適用するとどのようなことができるのか、これを後述します。

MDM構成プロファイルの削除を禁止できる点も大きいメリットの一つです。逆に言えば、DEPを利用しない限り、利用者によってMDM構成プロファイルを削除できてしまい、MDMの管理下から外れてしまうこととなります。

DEP利用時の注意点

先述のABMの利用申請を行えば、DEPを利用できるのかというとそうではありません。DEPを利用する場合、Apple社の正規代理店から「DEPを利用することを前提にiPhone・iPadを購入する」必要があります。これをせずにデバイスを購入した場合、本記事でご紹介しているDEPは利用できませんので注意してください。

必要な手続きなどは正規代理店、通信事業社（キャリア）によって異なりますので、確認が必要です。またすでにデバイスを利用中の場合は注意が必要です。DEPを利用する場合、MDMの管理下に置くために（＝MDM構成プロファイルをインストールするために）、デバイスを初期化し、再度設定を行う必要があるからです。

デバイスを監視モードにするとは？

これはデバイスを法人で管理するために“特別な”モードに設定することを指します。「監視モード」や「監視対象」、「監理対象」とも呼ばれます。

監視モードに置く方法は2つあります。一つはDEPを利用する方法、もう一つはMac版App StoreでインストールできるApple Configuratorを利用する方法です。Apple Configuratorを利用する方法の場合、Apple ConfiguratorがインストールされたMacデバイスとiPhone・iPadをUSB接続し、一台ずつ監視モードにしていきます。つまり監視モードに置きたいデバイスが100台あれば、同じ作業を単純に100回繰り返すこととなるのです。そのため、デバイスを監視モードに置くのであれば、DEPを利用した方が効率的であり、管理者の負担も少なくなります。

デバイスを監視モードにするメリット

デバイスを監視モードにするメリットは主に以下となります。

・ABMから入手したアプリをMDMから配信する（＝VPP）ことで、デバイスにダイアログを表示させずに、サイレントでインストールできる。
・「AirDropの利用を禁止する」「初期化を禁止する」「App Storeの利用を禁止する」など、監視モードでないと利用できない構成プロファイルをデバイスに適用できる。

一つ目のABMから入手したアプリをMDMから配信する機能については後の説明に譲ります。二つ目の構成プロファイルの適用についてですが、デバイスに何らかの利用制御を行いたい場合、以下のステップを踏みます。

1. Apple Configuratorで「●●を禁止する」などの設定を含むファイル＝構成プロファイルを作成する
2. MDMに作成した構成プロファイルをアップロードし、該当のデバイスに配信・インストールする

尚、Apple Configuratorで作成できる内容がそのままMDMツールの管理コンソールで作成できるかどうか、これはMDMツールによって異なります。

さて、デバイスを監視モードにするメリットの話に戻りますが、構成プロファイルの設定の中にはデバイスが監視モードでないと適用できないものが存在します。具体的にはApple Configuratorの画面上で「（監視対象のみ）」という文字が見えますが、これが「監視対象」（監視モード）でないと適用できない構成プロファイルということになります。

より細かい制限をデバイスに行いたい＝監視モードである必要がある＝監視モードにデバイスを設定する＝DEPの利用が必要になるということです。まずは、「どこまでデバイスの利用を制御するか」を企業・組織の方針によって定めることが、DEPを利用するかどうかを見極める大きなポイントの一つと言えると思います。

VPPの利用メリットとは？

冒頭でも述べた通り、VPP＝Volumes Purchase Programは「旧称」で現在Apple社も公式には利用していません。VPPは文字通り「まとめて購入する」プログラム。その対象はアプリをということになります。元々はApp Store上で課金対象の有償アプリを企業がまとめて購入して、MDMを介してデバイスに配信する用途として誕生したプログラムです。

しかし、法人で利用されるアプリでApp Storeで課金（支払いの必要）があるアプリは多くなく、Store上では無償ということが多いです。
そのため現在では、有償アプリをまとめて購入して配信するよりも、デバイスのApple IDの設定・サインインに依存することなく、企業が業務上必要なアプリをデバイスに配信したいという目的に利用されるケースがほとんどです。

業務上必要なアプリの入手はABMサイトより行います。ABMより対象のアプリをインストールさせたいデバイスの台数分「入手」し、その入手情報をMDMツールに同期します。その後、対象のデバイスにMDMからアプリを配信します。

VPP利用の最大のメリットは、Apple IDのサインインの有無に依存することなく、アプリを配信・インストールできることにあります。また、App Storeを構成プロファイルで禁止していてもそれを実現できます。つまり、利用者が自由にApp Storeからアプリをインストールできるのではなく、管理者が許可したアプリのみ利用できる環境を築くことができます。

ここで注意点ですが、App Storeの利用を禁止する構成プロファイルはデバイスが監視モードになっていないと適用できませんので注意してください。

よくあるご質問 ― DEPは利用した方が良いのでしょうか？

このご質問、よくいただきます。ご紹介した通り、DEPを利用するにはABMの利用申請など、事前準備が必要です。そのため、利用した方が「さまざまなメリットがあるのは分かるけれども、手続きが面倒」と感じられる方も少なくありません。DEPは利用した方が良いのか？という問いには「迷っているのであれば利用しましょう」とご案内しています。

理由としては主に二つです。

一つは、仮に最初はDEPの利用は不要と考えていても、管理・運用を始めてから、やっぱり「○○をしたい」と運用を変更しなければいけない際に、デバイスが監視モードに設定されていない（DEPを利用して監視モードに適用していない）がために断念せざるを得ないということもあリます。

もう一つは、これまでデバイスが監視モードに設定されていなくても利用できていた機能が、iOSのバージョンアップに伴い利用できなくなるケースが見られることです。具体的且つ多くのお客様で影響が大きかったのが、App Storeの利用禁止です。かつてはApp Storeの利用禁止はデバイスが監視モードに適用されていなくても実現可能でした。しかし現在では監視モードに適用されていないと実現できなくなっています。

今後、Apple社の仕様変更により、「実現できていたことが実現できなくなった」ということが起こる可能性があります。このような背景からも、迷っているのであれば利用していただくことをお勧めしています。

iOS・iPadOS管理でLANSCOPEが選ばれる理由

ここまでApple Business Managerの概要についてまとめてきました。iOS・iPadOSの管理には今やABMの利用は不可欠と言っても過言ではありません。そして、冒頭にも書いた通り、ABMは単体で利用するものではなく、MDMツールと連携して利用します。

ここで一つの疑問が生まれます。

ABMはApple社が提供するプログラムで、MDMと連携する。つまり、Appleのプログラムなので、どのMDMと連携しても、実現できるデバイス管理は同じなのではないか？

機能の○×では、どのMDMツールを利用してもほぼ同じであることは事実です。これはABMへの対応をはじめ、Apple社が定めた規格・仕様の中でベンダーはMDMツールを開発する必要があるからです。

では、どのMDMツールを選定しても、機能的な差異はあまり無い中、なぜLANSCOPEが選ばれるのか？その理由は主に以下3点です。

①使いやすい管理コンソール
②PCもまとめて管理できる
③充実のサポート体制

管理コンソールの使いやすさは最もこだわっているポイントです。 製品を開発する開発者、コンソールのデザインを設計するデザイナー、販売・販促に関わるマーケターの三者が、管理コンソール内で利用している文言や説明文の一言一句、ボタンの配置や導線など細部にこだわり、検討の上、実装しています。おかげさまで、アイティクラウド社が運営する法人向けIT製品・クラウドサービスのレビューサイト「ITreview」では多くのレビューをご投稿いただき、製品への“叱咤激励”とともに、使いやすいと感じたポイントなど、多くの評価を頂いております。ITreviewには、お客様がなぜLANSCOPE を採用いただいたのか、生の声も多数お寄せ頂いていますので、合わせてご覧ください。

また、PC・スマホを一元管理できる点も選ばれる理由の一つです。MOTEXは、Windows95の販売開始の翌年からIT資産管理ツール「LANSCOPE エンドポイントマネージャー オンプレミス版」（旧称：LanScope Cat）を提供。20年以上に渡り、法人のPC管理を支援して参りました。このノウハウをLANSCOPE エンドポイントマネージャー クラウド版に実装。「MDM」だけでなく「IT資産管理」に求められる操作ログ取得機能などを兼ね備えた管理ツールとして選ばれる理由の一つとなっています。

さらに充実のサポート体制として、電話・メール・チャットでのお問い合わせ対応やマニュアルの提供はもちろん、運用に必要なポイントをまとめた動画コンテンツのご提供、ユーザー様向けのオンラインによるトレーニングウェビナーも定期開催。導入後も安心して継続利用いただける製品です。

LANSCOPE エンドポイントマネージャー クラウド版では60日間無料で全ての機能を利用できる体験版、またiOSデバイス管理の運用について、運用相談をオンラインでいつでも受け付けております。ぜひお気軽にご相談ください。
 

▼ダウンロード資料
「【完全版】 法人のiOS・iPadOS管理必携 Apple Business Manager を徹底解剖！」
の目次はこちらです
 
・Apple Business Manager とは
・【自動デバイス登録】利用メリット
・【自動デバイス登録】監視モードの主なメリット
・【自動デバイス登録】全体像
・【自動デバイス登録】利用する場合／しない場合の比較
・【アプリの一括配信】アプリ配信の種類
・【アプリの一括配信】全体像
・【アプリの一括配信】アプリカタログ機能