トレンド

法人のiOSデバイス管理必携?Apple Business Manager総まとめ!

Written by 武藤 諒

LANSCOPE クラウド版プロダクトマネージャーとして、製品ロードマップの策定や販売計画の立案、マーケティング活動に従事。またMOTEX製品のプロダクトマーケティングにも従事。

法人のiOSデバイス管理必携?Apple Business Manager総まとめ!

従業員にiPhoneやiPadを貸与する際、必須となるのがMDM/EMMツール。万が一の紛失時に遠隔で画面をロックしたり、初期化を実行、その他業務に必要なアプリを配信したり、業務外利用やセキュリティ強化のため、ポリシーを設定するなど様々な機能があります。
またiOS・iPadOSデバイスを管理する上で必携とも言えるのが「Apple Business Manager」(以下「ABM」)です。ABMとは、自動デバイス登録とアプリの一括配信の総称、MDMツールと連携して、より高度なデバイス管理を実現するApple社が提供するプログラムです。

本記事ではABMを利用するメリットやデメリットをまとめていきます。

法人のiOS・iPadOS管理必携
Apple Business Manager を徹底解剖!【完全版】

資料をダウンロードする

本記事のまとめ

まず、ABMとは一体どのようなプログラムなのか、そして利用する際のメリットやデメリットは何なのか?少し長い記事になるのでまとめます。

・ABM=自動デバイス登録(DEP)+アプリの一括配信(VPP)である。
・自動デバイス登録の利用メリットはデバイスを監視モードにできる、MDM構成プロファイルの削除を禁止できるなどが挙げられる。
・デバイスを監視モードにすることで、専用の「構成プロファイル」を適用でき、より幅広いデバイスの利用制御が可能になる。また監視モードに適用する場合、事実上、自動デバイス登録(DEP)の利用が不可欠。
・アプリの一括配信のメリットはApple IDの設定が行われていないデバイスにもMDMを通じてアプリを配信できることにある。

尚、自動デバイス登録とは「Automated Device Enrollment(ADE)」とも呼ばれますが、国内では過去の名称である「DEP」(Device Enrollment Program)、またアプリの一括配信は「VPP」(Volume Purchase Program)と呼ばれていました。現在では「DEP」「VPP」はAppleの正式名称としては利用されていません。しかしDEP・VPPは国内では比較的定着している用語であることから、本記事では、自動デバイス登録を「DEP」、アプリの一括配信を「VPP」として記載します。

Apple Business Manager(ABM)の概要

ABMとはDEP・VPPという機能の組み合わせです。それぞれの機能については後ほど詳述しますが、まずは概要です。

・DEP…デバイスの初期設定の工数削減や簡略化を実現することに加えて、デバイスを「監視モード」に置くことができます。
・VPP…デバイス上でのApple IDのサインインの有無に拘らず、MDMツールからアプリを遠隔で配信・インストールできます。

ABMは、MDMツールと連携して利用します。ABM単体では基本的には機能しません。そのためMDMツールを選定する際は、DEP・VPPに対応しているか?は必ず確認しておいた方が良いチェックポイントです。

ABMを利用するための事前準備

ABMを利用するためには、事前に利用申請が必要です。利用申請はABMサイトより行います。サイトにアクセスし「今すぐ登録する」から申請できます。
「今すぐ登録する」をクリックすると、所属する組織情報を入力する画面がダイアログで表示されます。ここでまず必要となるのが「DUNSナンバー」です。申請には必須ですので事前に用意しておく必要があります。
この画面を下にスクロールすると、担当者の情報を入力する欄が2つ表示されます。端的に言えば、一つが運用担当者(=詳細)、もう一つが運用担当者のマネージャー(=確認用連絡先)を指します。確認用連絡先の「?」をクリックすると、「確認用連絡先の方へ、登録申請を確認するお電話をさせていただきます。」と記載され、申請を受理するに際して電話対応が必要になる旨が表示されます。
申請後、しばらくすると(数営業日程度かかる可能性があります)、Appleの担当者から電話がかかってきます。この応対完了後に、申請完了の旨とABMサイトにサインインするためのApple IDの設定を促すメールが届きます。メールに記載されている内容に基づき、サインインの準備を進めます。

尚、ここまではあくまでABMを利用するための申請で、この後、ABMの機能を利用するためにMDMツールと連携する作業もあります。この連携作業はABMサイトとMDMツールの管理コンソールの双方で行います。

ABMを利用すると一言で言っても、DUNSナンバーの確認や登録・申請の作業などを鑑みるとパワーのいる業務です。そのため、後述するDEP・VPPの利用メリットと照らし合わせて利用するか否かの判断を行うことがポイントです。

DEP(自動デバイス登録)の利用メリットとは?

それでは、DEPで何ができるのか?その主なものを以下に列挙します。

・本来、デバイスの初期設定完了後に、インストールしなければならないMDM構成プロファイル※が、デバイスの初期設定の過程で自動インストールされる(別途インストールの必要が無い)
・iPhoneの初期設定で表示される各種設定をスキップできる(表示させない)
・デバイスを「監視モード」に適用できる
・MDM構成プロファイルの削除を禁止できる
※MDMツールで管理するために必ずデバイスにインストールする必要のあるファイル

DEPを利用すると多くの恩恵を受けることができます。「MDM構成プロファイルがデバイスの初期設定の過程で自動インストールされる」点については「なぜそんなことができるのか?」と疑問に思うかもしれません。これは「MDMとABMを連携する作業」で、端的に言えば、ABMサイト上でMDMの管理下に置きたいデバイスを登録し、その情報をMDMに連携することで実現します。DEPはデバイスの初期設定の過程でMDMの管理下に自動適用するプログラムで、その上でさまざまな付加価値があると言えます。

デバイスを「監視モード」に適用するとどのようなことができるのか、これを後述します。

MDM構成プロファイルの削除を禁止できる点も大きいメリットの一つです。逆に言えば、DEPを利用しない限り、利用者によってMDM構成プロファイルを削除できてしまい、MDMの管理下から外れてしまうこととなります。

DEP利用時の注意点

先述のABMの利用申請を行えば、DEPを利用できるのかというとそうではありません。DEPを利用する場合、Apple社の正規代理店から「DEPを利用することを前提にiPhone・iPadを購入する」必要があります。これをせずにデバイスを購入した場合、DEPを利用できませんので注意してください。

必要な手続きなどは正規代理店、通信事業社(キャリア)によって異なりますので、確認が必要です。またすでにデバイスを利用中の場合は注意が必要です。DEPを利用する場合、MDMの管理下に置くために(=MDM構成プロファイルをインストールするために)、デバイスを初期化し、再度設定を行う必要があるからです。

デバイスを監視モードにするとは?

これはデバイスを法人で管理するために“特別な”モードに設定することを指します。「監視モード」や「監視対象」、「監理対象」とも呼ばれます。

監視モードに置く方法は2つあります。一つはDEPを利用する方法、もう一つはMac版App StoreでインストールできるApple Configurator2(AC2)を利用する方法です。AC2を利用する方法の場合、AC2がインストールされたMacデバイスとiPhone・iPadをUSB接続し、一台ずつ監視モードにしていきます。つまり監視モードに置きたいデバイスが100台あれば、同じ作業を単純に100回繰り返すこととなるのです。そのため、デバイスを監視モードに置くのであれば、DEPを利用した方が効率的であり、管理者の負担も少なくなります。

デバイスを監視モードにするメリット

デバイスを監視モードにするメリットは主に以下となります。

・ABMから入手したアプリをMDMから配信する(=VPP)ことで、デバイスにダイアログを表示させずに、サイレントでインストールできる。
・「AirDropの利用を禁止する」「初期化を禁止する」「App Storeの利用を禁止する」など、監視モードでないと利用できない構成プロファイルをデバイスに適用できる。

一つ目のABMから入手したアプリをMDMから配信する機能については後の説明に譲ります。2つ目の構成プロファイルの適用についてですが、デバイスに何らかの利用制御を行いたい場合、以下のステップを踏みます。

1. Apple Configurator2で「〜を禁止する」などの設定を含むファイル=構成プロファイルを作成する
2. MDMに作成した構成プロファイルをアップロードし、該当のデバイスに配信・インストールする

尚、多くのMDMツールは、AC2で作成できる構成プロファイルは、「基本的に」MDMツールの管理コンソール上でも作成できます。この場合「MDMの管理コンソール上で構成プロファイルを作成し、該当のデバイスに配信・インストールする」という流れになります。

尚、AC2で作成できる内容がそのままMDMツールの管理コンソールで作成できるかどうか、これはMDMツールによって異なります。

さて、デバイスを監視モードにするメリットの話に戻りますが、構成プロファイルの設定の中にはデバイスが監視モードでないと適用できないものが存在します。

具体的にはAC2の画面上で「(監視対象のみ)」という文字が見えますが、これが「監視対象」(監視モード)でないと適用できない構成プロファイルということになります。
より細かい制限をデバイスに行いたい=監視モードである必要がある=監視モードにデバイスを設定する=DEPの利用が必要になるということです。まずは、「どこまでデバイスの利用を制御するか」を企業・組織の方針によって定めることが、DEPを利用するかどうかを見極める大きなポイントの一つと言えると思います。

VPPの利用メリットとは?

冒頭でも述べた通り、VPP=Volumes Purchase Programは「旧称」で現在Apple社も公式には利用していません。VPPは文字通り「まとめて購入する」プログラム。その対象はアプリをということになります。元々はApp Store上で課金対象の有償アプリを企業がまとめて購入して、MDMを介してデバイスに配信する用途として誕生したプログラムです。

しかし、法人で利用されるアプリでApp Storeで課金(支払いの必要)があるアプリは多くなく、Store上では無償ということが多いです。

そのため現在では、有償アプリをまとめて購入して配信するよりも、デバイスのApple IDの設定・サインインに依存することなく、企業が業務上必要なアプリをデバイスに配信したいという目的に利用されるケースがほとんどです。

業務上必要なアプリの入手はABMサイトより行います。ABMより対象のアプリをインストールさせたいデバイスの台数分「入手」し、その入手情報をMDMツールに同期します。その後、対象のデバイスにMDMからアプリを配信します。

また、VPPの利用メリットはApple IDのサインインの有無に依存することなく、アプリを配信・インストールできることにあります。また、App Storeを構成プロファイルで禁止していてもそれを実現できます。つまり、利用者が自由にApp Storeからアプリをインストールできるのではなく、管理者が許可したアプリのみ利用できる環境を築くことができます。

ここで注意点ですが、App Storeの利用を禁止する構成プロファイルはデバイスが監視モードになっていないと適用できませんので注意してください。

よくあるご質問 – DEPは利用した方が良いのでしょうか?

このご質問、よくいただきます。ご紹介した通り、DEPを利用するにはABMの利用申請など、事前準備が必要です。そのため、利用した方が「さまざまなメリットがあるのは分かるけれども、手続きが面倒」と感じられる方も少なくありません。DEPは利用した方が良いのか?という問いには「迷っているのであれば利用しましょう」とご案内しています。

理由としては主に二つです。

一つは、仮に最初はDEPの利用は不要と考えていても、管理・運用を始めてから、やっぱり「○○をしたい」と運用を変更しなければいけない際に、デバイスが監視モードに設定されていない(DEPを利用して監視モードに適用していない)がために断念せざるを得ないということもあリます。

もう一つは、これまでデバイスが監視モードに設定されていなくても利用できていた機能が、iOSのバージョンアップに伴い利用できなくなるケースが見られることです。具体的且つ多くのお客様で影響が大きかったのが、App Storeの利用禁止です。iOS12までApp Storeの利用禁止はデバイスが監視モードに適用されていなくても実現可能でした。しかしiOS13以降は監視モードに適用されていないと実現できなくなっています。

今後、Apple社の仕様変更により、「実現できていたことが実現できなくなった」ということが起こる可能性があります。このような背景からも、迷っているのであれば利用していただくことをお勧めしています。

iOS・iPadOS管理でLANSCOPEが選ばれる理由

ここまでApple Business Managerの概要についてまとめてきました。iOS・iPadOSの管理には今やABMの利用は不可欠と言っても過言ではありません。そして、冒頭にも書いた通り、ABMは単体で利用するものではなく、MDMツールと連携して利用します。

ここで一つの疑問が生まれます。

ABMはApple社が提供するプログラムで、MDMと連携する。つまり、Appleのプログラムなので、どのMDMと連携しても、実現できるデバイス管理は同じなのではないか?

機能の○×では、どのMDMツールを利用してもほぼ同じであることは事実です。これはABMへの対応をはじめ、Apple社が定めた規格・仕様の中でベンダーはMDMツールを開発する必要があるからです。

では、どのMDMツールを選定しても、機能的な差異はあまり無い中、なぜLANSCOPEが選ばれるのか?その理由は主に以下3点です。

①使いやすい管理コンソール
②PCもまとめて管理できる
③充実のサポート体制

管理コンソールの使いやすさは最もこだわっているポイントです。 製品を開発する開発者、コンソールのデザインを設計するデザイナー、販売・販促に関わるマーケターの三者が、管理コンソール内で利用している文言や説明文の一言一句、ボタンの配置や導線など細部にこだわり、検討の上、実装しています。おかげさまで、アイティクラウド社が運営する法人向けIT製品・クラウドサービスのレビューサイト「ITreview」では多くのレビューをご投稿いただき、製品への“叱咤激励”とともに、使いやすいと感じたポイントなど、多くの評価を頂いております。ITreviewには、お客様がなぜLANSCOPE を採用いただいたのか、生の声も多数お寄せ頂いていますので、合わせてご覧ください。
PC・スマホを一元管理できる点も選ばれる理由の一つです。MOTEXは、Windows95の販売開始の翌年からIT管理ツール「LANSCOPE オンプレミス版」(旧称:LanScope Cat)を提供。20年以上に渡り、法人のPC管理を支援して参りました。このノウハウをLANSCOPE クラウド版に実装。「IT資産管理」と「MDM」を兼ね備えた管理ツールとして選ばれる理由の一つとなっています。

また充実のサポート体制として、電話・メールでのお問い合わせ対応やマニュアルの提供はもちろん、運用に必要なポイントをまとめた動画コンテンツのご提供、ユーザー様向けのオンラインによるトレーニングウェビナーも定期開催。導入後も安心して継続利用いただける製品です。

LANSCOPE クラウド版では60日間無料で全ての機能を利用できる体験版、またiOS・iPadOSデバイス管理の運用について、運用相談をオンラインでいつでも受け付けております。ぜひお気軽にご相談ください。

法人のiOS・iPadOS管理必携
Apple Business Manager を徹底解剖!【完全版】

資料をダウンロードする