ADE（旧：DEP）って何ができるの？今さら聞けないADEの特長を大公開

ADE（旧：DEP）とは？

ADEとは、Automated Device Enrollmentの略となっており、Apple社が提供する企業や教育機関向けのiOS端末導入支援プログラムです。では具体的にどういったことができるのでしょうか？

ADE（旧：DEP）でできること

• 購入したモバイル端末をすぐに利用者に配布できる
• 管理者またはキッティング業者がモバイル端末に触れることなく配備することも可能
• 利用者によるアクティベーション（初期設定）のステップで設定が完了する
• アクティベーション時の入力・確認工程を簡略化できる

ADEを活用すると、管理者またはキッティング業者の設定にかかる手間と時間の削減できたり、利用者がモバイル端末をすぐに使うこともできます。アクティベーションの簡略化によって利用者の手間も軽減できるため、効率的なiOS端末導入が実現できます。

ADE（旧：DEP）の特長

ADEの特長は大きく分けて二点あります。「 ①キッティングが簡単になる 」、「 ②セキュリティ管理機能の向上 」が挙げられますが、具体的にどういった内容なのか、詳しく見ていきましょう。

ADE（旧：DEP）の特長（１）キッティングが簡単になる

キッティングは「 新規でモバイル端末を導入する場合 」、または「 年度や学期など節目ごとにモバイル端末の運用を見直したい時 」に行うのが一般的です。ご存知の方も多いですが、キッティングとは企業や学校の運用方針（ポリシー）に合わせて、モバイル端末を使える状態に設定する作業です。

ADEを使った場合どう効率化されるのか、下記の表でADEなし／ありを比較します。

	ADEなし	ADEあり
1	購入した端末の開封	購入した端末をADEに登録
2	個々の端末をMacに接続し利用登録	利用者に端末を配布し、端末を開封
3	個々の端末にMDMをインストール	利用者による初期設定
4	個々の端末に設定を適用
5	利用者に端末を配布
6	1～5を台数分繰り返す

注）上記のほか、Apple IDの設定や、導入先によっては端末に保護フィルムを貼る、管理番号のシールを貼るなどの作業が考えられます。

表を見るとわかるように、ADEがない場合は設定用に専用のMacの用意（購入）が必要になります。さらに、Macとモバイル端末を一台ずつ有線で繋いで設定するという作業を、モバイル端末の数だけ繰り返さなければなりません。数台程度であればADEなしでも問題はありませんが、大規模な数のモバイル端末を導入する場合はADEのほうがより効率的です。

ADE（旧：DEP）の特長（２）セキュリティ管理機能の向上

ADEでの導入をすることで「 セキュリティ管理機能の向上 」に繋がります。具体的には、モバイル端末を「 監視対象（または監視モード／supervised mode） 」というモードに設定できることで、モバイル端末に対して制限（設定）できる項目が増えます。また「 監視対象 」ではないと適用できない機能を使うことができるようになります。

制限できる項目が増える監視対象

監視対象ではないモバイル端末に対して設定できる制限項目が5個あるとした場合、監視対象にすることで20個に制限項目が増えるようなイメージです。監視対象にしておくと、よりセキュアかつ柔軟に管理することが可能になります。

例えば、標準で入っていて普段は消すことができない「 AppStore 」や「 iMessage 」、「 Game Center 」を非表示にできます。下記は一部となりますが、他にも管理対象によってできる制限項目が色々あります。

App Store からの App のインストールを許可	App Storeのアイコンがホーム画⾯から削除され、App Storeを使⽤してアプリをインストールおよびアップデートすることを制限します。 ※ mobiAppsを使ったアプリのインストールおよびアップデートは制限されません。 ※ 「App StoreからのAppのインストールの許可」を”制限する”に設定した場合、本項⽬の設定は無効となります。
Appの削除を許可	アプリの削除を制限します。 システムAppだけでなく、全てのアプリを削除不可とする制限で、 業務や授業で必要なアプリや、セキュリティを守る上で削除されたら困るアプリがある場合に使います。
AirDrop を許可	AirDropを制限します。
iMessage を許可	Wi-Fiのみを搭載するデバイスでは「メッセージ」Appが⾮表⽰になります。 Wi-Fiとモバイルデータ通信を搭載するデバイスでは「メッセージ」Appは⾮表⽰になりませんが、利⽤できるのはSMS/MMSサービスのみとなります。
Apple Musicを許可	Apple Musicの使⽤を制限します。
"すべてのコンテンツと設定を消去"を許可	端末側から実施する”端末本体の初期化”を制限します。 「設定」>「⼀般」>「リセット」の「すべてのコンテンツと設定を消去」がグレーアウトして選択不可となります。
アカウント設定の変更を許可	端末側でのアカウントの追加、削除、編集を制限します。 企業で管理アカウントのみを利用してもらい、個人のアカウントは使用させたくないときに使います。 例：Apple IDやメール、連絡先などのアカウントなど。
構成プロファイルのインストールを許可	端末に追加で構成プロファイルをインストールすることを制限します。
パスコードの変更を許可	設定済みのパスコードの変更を制限します。
Configurator 以外のホストとのペアリングを許可	最初に端末を監視対象に設定したApple Configurator 2がインストールされているMac以外のデバイスとペアリングできなくなります。 自宅の個人PCにバックアップを取ったり、写真などのデータを保存されることを制限したいときに使います。
⾃動⼊⼒を許可	ユーザはパスワードの⾃動⼊⼒を使⽤できず、iCloudキーチェーンから保存済みのパスワードを取り出すかどうかの確認が表⽰されません。
Wi-FiペイロードによってインストールされたWi-Fiネットワークのみに接続	インストールされている全てのプロファイルに含まれているWi-Fiネットワーク以外への接続を制限します。 ※ プロファイルに含まれているWi-Fiネットワークに接続できない場合、デバイスを管理することができません。
ソフトウェア・アップデートの遅延	ソフトウェアのアップデートを延期する、しないを設定します。 延期する場合は、延期する期間を指定します。 iOSのアップデートがリリースされても、最大で90日間は端末側でアップデートできない状態にできます。 使用中のシステムやサービス、アプリなどが新しいiOSバージョンに対応するまでは、アップデートをさせたくない場合に使います。
Game Center の使⽤を許可	「Game Center」が無効になり、ホーム画⾯からアイコンが削除されます。
"クラスルーム"にプロンプトなしでのAppの制御とデバイスのロックを許可	教師は⽣徒へ最初にプロンプトすることなく、Appを開いたままロック、またはデバイスをロックすることができます。デフォルトはオフです。
"クラスルーム"のクラスにプロンプトなしで⾃動的に参加	⽣徒は教師へのプロンプトなしでクラスに参加できようになります。デフォルトはオフです。

監視対象にすることで使える機能

前提として監視対象になっていないと使えない機能も存在します。

機能	詳細
アプリの機能制限	モバイル端末に標準でインストールされている「 設定 」と「 電話 」のアプリを除き、それ以外のデフォルトアプリと利用者が個人でインストールできるアプリをホワイトリスト／ブラックリストにより、表示・非表示にできます。
紛失モード	万が一の盗難や紛失した場合に、管理画面から遠隔で強制的にロック状態にします。紛失モードになった端末は初期化はもちろん、ほとんどの操作が制限されます。 位置情報がオフになっている端末も強制的に位置情報を取得することが可能です。
シングルAppモード	指定した一つのアプリのみを起動し、それ以外の操作を禁止します。これにより、利用者による予期せぬアプリの削除や設定変更を回避することができます。 利用シーンの一例としては、店舗の注文機器や展示会でのデモ端末、受付用の機器などが考えられます。
WEBコンテンツフィルタリング	閲覧を許可または許可しないURLを設定し、WEBの閲覧を制限します。（Safari）
VPアプリ・In-houseアプリのサイレントインストール	VPはApple社の提供するApp Storeアプリのライセンス管理プログラムです。VPで購入したアプリやIn-houseアプリをMDMから配信した際、モバイル端末側でダイアログが表示されず、利用者が操作することなくアプリがインストールされます。
グローバルHTTPプロキシ設定	セキュアなWEB通信の確保のため、指定のプロキシサーバを経由するようモバイル端末に設定を適用することができます。プロキシサーバの役割は直接WEBを閲覧できない社内LANのパソコンの代理としてWEB通信を行ってくれます。

ADE（旧：DEP）の特長（３）離脱や悪用の対策にもなる

MDMでモバイル端末を管理するには「MDM構成プロファイル* 」という設定ファイルを端末にインストールする必要があります。MDM構成プロファイルがあることで、MDMから遠隔で設定変更やアプリ配信などを適用できる仕組みです。

*「 MDM構成プロファイル 」に関する説明はこちら
*この構成プロファイルを弊社では「 MDMプロファイル 」または「 Apple-MDMプロファイル 」と呼んでいます。

しかしこのMDM構成プロファイルは簡単に削除できてしまいます。
意図的な削除、またはリテラシーによる誤操作などが考えられますが、削除されてしまうとMDMによる管理ができなくなり、再びMDM管理下に設定するには端末を回収し再設定しなければいけなくなります。

ADEを使った導入では、MDM構成プロファイルの削除を防止できるため、これらのリスクを心配する必要がありません。削除できない「 MDM構成プロファイル 」により、初期化されても強制的にMDM管理下となります。

ADE（旧：DEP）を利用するには

導入や再設定から運用まで非常に有効なADEですが、利用するにあたり必要な条件があります。なお、ADEの個人での利用はできませんので、ビジネス用途、もしくは教育機関などでの活用となります。

ADE（旧：DEP）で必要な初期手続きの流れ

１. Appleへの登録手続き

• ADEの利用には事前にAppleに登録する手続きが必要となります。
• この登録手続きは導入する企業または教育機関の管理者（担当者）が行う必要があります。
• 登録は「 Apple Business Manager（ABM）もしくは Apple School Manager（ASM）の登録 * 」と「 Automated Device Enrollment（ADE）への参加 」を行います。
• 登録の際は端末の購入の仕方によって「 Appleお客様番号（Apple customer number） 」や「 ADE販売店ID（ADE Reseller ID） 」を入力する必要があります。

詳しくはこちらをご参照ください
*ビジネスの方はABM、教育機関の方はASMが対象となります。
*ABM・ASMは、以前「Apple Deployment Programs（ADP）」というサービス名称でした。

２. ADE端末を購入する
ADEを使うには、モバイル端末がADEに対応している必要があります。ADE端末を入手するには「ADEに対応している販売店から端末を購入する」もしくは「Apple Storeから法人として端末を購入する」必要があります。

なお、すでに利用している端末がADE端末ではない場合も、Apple Configurator2を使うことで、ADE端末にすることが可能です。詳細はこちら。
※これらの手続きを弊社では「 マニュアルADE 」や「 後付けADE 」と呼称しています。

３. ADE（旧：DEP）対応のMDMを購入する
ADEを使うにはMDMが必要になります。ADEに対応していないMDMもありますので、ご注意ください。
なお、弊社のMDM「mobiconnect」はADEに対応し、豊富な導入実績と各種マニュアルやサポート体制により、お客さまをご支援しています。

「監視対象」の注意点

ADEは効率化だけでなく、監視対象によるメリットも多く、非常に有効なプログラムです。しかしながら監視対象にする上で、一点、注意したいことがあります。

現在、監視対象に設定していないモバイル端末を監視対象にしたい場合は、「 初期化 」が必要になります。そのため、デバイスの管理設定だけでなく、配信していたアプリなども再登録する作業が発生するので注意しましょう。
それでも、企業や教育機関でのADEによる導入や、監視対象の活用はメリットのほうが大きく上回るケースが多いと言えます。モバイル端末の導入または運用方針の見直しの際は、あらかじめADEを前提としてた導入・運用設計を検討してみてはいかがでしょうか。

まとめ

ADEはデバイスの導入や運用の見直しの際に、設定の効率化に大きく貢献するプログラムです。
また昨今では、企業や教育機関を問わず、セキュリティ要件や運用方針の多様化、また監視対象前提の機能が多いことから、監視対象は必須となりつつあります。
これから新規でモバイル端末を導入する方、もしくは今までの運用を大きく見直したい方は是非ADEを活用した導入をおすすめします。

ADEから始まるセキュアで効率的な端末管理を弊社もサポートさせていただきます。