トレンド

LANSCOPE クラウド版で実現するMacデバイス管理機能とは?

Written by 武藤 諒

LANSCOPE クラウド版プロダクトマネージャーとして、製品ロードマップの策定や販売計画の立案、マーケティング活動に従事。またMOTEX製品のプロダクトマーケティングにも従事。

LANSCOPE クラウド版で実現するMacデバイス管理機能とは?

業務用PCの多くで利用されているのはWindowsですが、業界・業種、従業員の職種によっては一部Macデバイスを利用しているというケースも昨今増えてきています。「PC管理」という側面ではWindows・Macデバイスで共通点がある一方で、Macデバイス特有のセキュリティ対策や管理のポイントが存在します。

本記事ではLANSCOPE クラウド版で実現するMacデバイス管理のポイントについてご紹介します。

LANSCOPEクラウド版で実現する
Macデバイス管理

Macデバイス特有のセキュリティ対策や管理のポイントについてご紹介します。

資料をダウンロードする

1. 管理ツールに存在する2つのエージェント提供方式

管理ツールでデバイスを管理する場合、「エージェント」をインストールする必要があります。このエージェントの提供方式は大きく2つに分類されます。一つは管理ツールを提供するメーカーが自社開発する「アプリ」をインストールし、そのアプリが資産情報の自動取得やデバイスの利用制御を行うというものです。

一方、Apple社が公開する仕様(規格)の範囲で開発する「MDM構成プロファイル」をデバイスにインストールし、このMDM構成プロファイルが資産情報を取得、デバイスの利用制御を行う手法もあります。どちらも一長一短ありますが、LANSCOPE オンプレミス版は「エージェントアプリ」、LANSCOPE クラウド版は「MDM構成プロファイル」でMacデバイス管理を提供しています。

管理方式 特徴
LANSCOPE オンプレミス版 エージェントアプリ 操作ログの取得や記録メディアの制御などWindowsデバイスの管理同様に求められる機能を利用できる。一方でMacデバイス特有の利用制御などは実現できないケースもある。
LANSCOPE クラウド版 MDM構成プロファイル Apple社の規格の範囲で開発をしているため、Macデバイス特有の利用制御を行うことができる。一方で操作ログ取得などの機能は利用できない。

LANSCOPEクラウド版では、MDM構成プロファイルを介して、Macデバイスの管理機能を提供しています。今後のロードマップでは、操作ログ取得・記録メディア制御など、すでにWindowsで提供している機能を、自社開発のエージェントアプリを介して提供を予定しています。

2. 自動デバイス登録(DEP)

LANSCOPE クラウド版では、Apple Business Manager(以下、ABM)の自動デバイス登録(旧DEP)に対応しています。自動デバイス登録は、デバイスのキッティング作業の工数削減などのメリットがあります。

<自動デバイス登録の主な利用メリット>

  • MDM構成プロファイルの自動インストールと削除防止
  • 初期設定(設定アシスタント)のスキップ(非表示)
  • 管理者アカウントの自動作成/ユーザーアカウントの設定内容の強制

自動デバイス登録を利用することで、デバイスのアクティベーションの過程で、MDM構成プロファイルの自動インストールや管理者アカウントの自動作成、従業員が利用するアカウントの設定内容を指定できます。アカウントの作成に関する設定は以下にまとめたポイントで有効活用できます。

<DEPを利用したアカウント設定のポイント>

  • システム担当者がメンテナンス用に利用する管理者アカウントを自動作成する。
  • 従業員が利用するアカウントタイプ(管理者/標準アカウント)とユーザー名・フルネームを指定できる(パスワードのみ利用者が任意で設定する)。

自動デバイス登録を利用するためには、あらかじめABMの利用申請を行い、Appleから法人としてデバイスを購入する、または自動デバイス登録に対応している正規代理店からデバイスを購入する必要があります(この点はiOS・iPadOS管理の考え方と同じです)。その上でABMとLANSCOPE クラウド版を連携し、事前設定を行います(この事前設定の中に、上述のアカウント設定などが含まれます)。これらを済ませた上で、デバイスのアクティベーションを行うことで、デバイスへのMDM構成プロファイルのインストールやアカウントの設定を効率化します。

ABMの利用申請方法等、その詳細については下記ブログも参照してください。

関連ページ

Apple Business Manager(ABM)を徹底解剖!法人のiOS・iPadOS管理必携

3. プロファイル管理

Macデバイスに対して「◯◯を禁止する」などデバイスの利用制御を加える場合、プロファイルを作成し、デバイスにインストールすることで実現します。利用制御を行う「プロファイル」と、冒頭に述べた管理に必要なエージェントである「MDM構成プロファイル」とは別物ですので注意してください。
プロファイルは以下いずれかの方法で作成します。プロファイルは以下いずれかの方法で作成します。

ツール 対象OS 特徴
Apple Configurator2(AC2) iOS/iPadOS Mac版App Storeでインストールできる無償アプリで、iOS/iPadOS向けのプロファイルを作成できます。
プロファイルマネージャー macOS macOS Server アプリのプロファイルマネージャーを利用して、プロファイルを作成できます。macOS Server アプリは、Mac 版 App Store よりインストールできる有償(¥2,440)アプリです。
LANSCOPE クラウド版 iOS/iPadOS/macOS LANSCOPE クラウド版でiOS/iPadOS/macOSのプロファイルを作成できます。但しAC2・プロファイルマネージャーで作成できるプロファイルの種類とは異なります。

AC2やプロファイルマネージャーで作成したプロファイルは、LANSCOPE クラウド版にアップロードし、デバイスに配信することも可能です。ここではよく利用される主なプロファイルについてご紹介します。

① Macデバイスの利用を制限する

Macデバイスでは、デバイスの利便性を向上するための様々な機能が備わっている一方で、業務に利用することのないアプリや機能、情報漏えいにつながるリスクのある機能も存在します。これらの機能を制限するプロファイルをデバイスに適用することで、セキュリティリスクの軽減につながります。具体的に制限できる項目の例は以下の通りです。

  • AirDrop を禁止する
  • iCloud Drive を禁止する
  • App Storeを禁止する
  • システム環境設定で不要なメニューの利用を禁止する

例えば、アカウントの設定変更が可能な「システム環境設定」の中の「ユーザーとグループ」を禁止するプロファイルを適用すると、項目がグレーアウトし、操作できなくなります。

② FileVaultの設定を強制

FileVault は Mac デバイスに標準搭載されているディスク暗号化機能です。プロファイルを利用することで、FileVault の設定を強制したり、「復旧キー」を資産情報として取得できます。

4. アプリ配信

Macデバイスでアプリを利用する場合、2つの入手方法があります。一つはMac版のApp Storeからアプリをインストールする、もう一つはアプリベンダーが提供する「pkgファイル」を利用してアプリをインストールする方法があります。LANSCOPEクラウド版では、pkgファイルを利用したアプリの配信(インストール実行)に対応。インストールしたいアプリのpkgファイルを、お客様にて用意したストレージサービス(Amazon S3やAzure Blob Storage等)にアップロードし、LANSCOPE クラウド版に情報を連携、配信します。
またMDM構成プロファイルがインストールされた(=デバイスがLANSCOPEの管理下に置かれた)タイミングで、対象のアプリを自動配信することも可能。デバイスのキッティング工数を削減できます。

5. まとめ

LANSCOPE クラウド版はPC・スマホを一元管理できるIT資産管理・MDMツールです。組織ではスマホであればiPhoneやAndroidスマホ、PCはWindowsだけでなく、用途によってMacデバイスを選択する組織も増えてきています。組織で利用しているデバイスの種類が多岐に渡るほど、デバイスを管理する担当者様の負担が増えます。LANSCOPE クラウド版は「一元管理」という製品の特長を介して、デバイス管理の効率化を支援します。

LANSCOPEクラウド版で実現する
Macデバイス管理

Macデバイス特有のセキュリティ対策や管理のポイントについてご紹介します。​

資料をダウンロードする