【DEPって結局何ができるの？】今さら聞けないDEPの特長を大公開

Device Enrollment Program（DEP）は、Apple社が提供する企業や教育機関向けのiOS端末導入支援プログラムです。
スマートフォンやタブレット（以下、モバイル端末）を企業や学校に導入、もしくは導入検討をしている方であれば、一度は聞いたことのあるキーワードではないでしょうか。

断言します。法人組織での利用なら、DEPを利用しない手はありません。メリットは大きく2つあります。

では「 ①キッティングが簡単になる 」、「 ②セキュリティ管理機能の向上 」とはどういうことなのか、解説をしていきたいと思います。

キッティングが簡単になる

キッティングは「 新規でモバイル端末を導入する場合 」、または「 年度や学期など節目ごとにモバイル端末の運用を見直したい時 」に行うのが一般的です。
ご存知の方も多いですが、キッティングとは企業や学校の運用方針（ポリシー）に合わせて、モバイル端末を使える状態に設定する作業です。

DEPを使った場合どう効率化されるのか、下記の図でDEPのあり／なしを比較します。

30台のiPadをmobiconnectなしにキッティングしてみた

DEPでできること

DEPで効率UPすること

DEPを使わないと何故キッティング効率が落ちるのか

セキュリティ管理機能が向上する

DEPによる導入をすることで「 セキュリティ管理機能の向上 」に繋がります。
具体的には、モバイル端末を「 監視対象（または監視モード／supervised mode） 」というモードに設定できることで、モバイル端末に対して制限（設定）できる項目が増え、また「 監視対象 」ではないと適用できない機能を使うことができるようになります。

制限できる項目が増える監視対象とは

監視対象ではないモバイル端末に対して設定できる制限項目が5個あるとした場合、監視対象にすることで20個に制限項目が増えるようなイメージです。監視対象にしておくと、よりセキュアかつ柔軟に管理することが可能になります。
例えば、標準で入っていて普段は消すことができない「 AppStore 」や「 iMessage 」、「 Game Center 」を非表示にできます。
下記は一部となりますが、他にも管理対象によってできる制限項目が色々あります。

監視対象によって使える機能

前提として監視対象になっていないと使えない機能も存在します。

１.アプリの起動制限
モバイル端末に標準でインストールされている「 設定 」と「 電話 」のアプリを除き、それ以外のデフォルトアプリと利用者が個人でインストールできるアプリをホワイトリスト／ブラックリストにより、表示・非表示にできます。

２.紛失モード
万が一の盗難や紛失した場合に、管理画面から遠隔で強制的にロック状態にします。
紛失モードになった端末は初期化はもちろん、ほとんどの操作が制限されます。
位置情報がオフになっている端末も強制的に位置情報を取得することが可能です。

３.シングルAppモード
指定した一つのアプリのみを起動し、それ以外の操作を禁止します。
これにより、利用者による予期せぬアプリの削除や設定変更を回避することができます。
利用シーンの一例としては、店舗の注文機器や展示会でのデモ端末、受付用の機器などが考えられます。

４.WEBコンテンツフィルタリング
閲覧を許可または許可しないURLを設定し、WEBの閲覧を制限します。（Safari）

５.VPPアプリ・In-houseアプリのサイレントインストール
VPPはApple社の提供するApp Storeアプリのライセンス管理プログラムです。
VPPで購入したアプリやIn-houseアプリをMDMから配信した際、モバイル端末側でダイアログが表示されず、利用者が操作することなくアプリがインストールされます。

６.グローバルHTTPプロキシ設定
セキュアなWEB通信の確保のため、指定のプロキシサーバを経由するようモバイル端末に設定を適用することができます。
プロキシサーバの役割は直接WEBを閲覧できない社内LANのパソコンの代理としてWEB通信を行ってくれます。

離脱や悪用の対策にもなる

MDMでモバイル端末を管理するには「MDM構成プロファイル* 」という設定ファイルを端末にインストールする必要があります。
MDM構成プロファイルがあることで、MDMから遠隔で設定変更やアプリ配信などを適用できる仕組みです。

しかしこのMDM構成プロファイルは簡単に削除できてしまいます。
意図的な削除、またはリテラシーによる誤操作などが考えられますが、削除されてしまうとMDMによる管理ができなくなり、再びMDM管理下に設定するには端末を回収し再設定しなければいけなくなります。

DEPを使った導入では、MDM構成プロファイルの削除を防止できるため、これらのリスクを心配する必要がありません。

DEPを利用するには

導入や再設定から運用まで非常に有効なDEPですが、利用するにあたり必要な条件があります。

DEPで必要な初期手続きの流れ

１. Appleへの登録手続き
DEPの利用には事前にAppleに登録する手続きが必要となります。
この登録手続きは導入する企業または教育機関の管理者（担当者）が行う必要があります。

登録は「 Apple Business Manager（ABM）もしくは Apple School Manager（ASM）の登録 * 」と「 Device Enrollment Program（DEP）への参加 」を行います。
登録の際は端末の購入の仕方によって「 Appleお客様番号（Apple customer number） 」や「 DEP販売店ID（DEP Reseller ID） 」を入力する必要があります。

詳しくはこちらをご参照ください
（ https://www.apple.com/jp/education/docs/DEP_Guide.pdf ）

２. DEP端末を購入する
DEPを使うにはモバイル端末がDEPに対応している必要があります。
DEP端末を入手するには以下の２通りの方法があります。

・DEPに対応している販売店から端末を購入
・Apple Storeから法人として端末を購入

３. DEP対応のMDMを購入する
DEPを使うにはMDMが必要になります。
弊社MobiConnectはDEPに対応し、豊富な導入実績と各種マニュアルやサポート体制により、お客さまをご支援しています。

※ DEPに対応していないMDMもありますので、ご注意ください。

「 監視対象 」の注意点

DEPは効率化だけでなく、監視対象によるメリットも多く、非常に有効なプログラムです。
しかしながら監視対象にする上で、一点、注意したいことがあります。

現在、監視対象に設定していないモバイル端末を監視対象にしたい場合は、

「 初期化 」

が必要になります。

そのため、デバイスの管理設定だけでなく、配信していたアプリなども再登録する作業が発生するので注意。
それでも、企業や教育機関でのDEPによる導入や、監視対象の活用はメリットのほうが大きく上回るケースが多く、モバイル端末の導入または運用方針の見直しの際は、あらかじめDEPを前提としてた導入・運用設計を検討してみてはいかがでしょうか。

まとめ

DEPは導入または運用の見直しの際に設定の効率化に大きく貢献するプログラムと思います。
また昨今では、企業や教育機関を問わず、セキュリティ要件や運用方針の多様化、また監視対象前提の機能が多いことから、監視対象は必須となりつつあります。
これから新規でモバイル端末を導入する方、もしくは今までの運用を大きく見直したい方は是非DEPを活用した導入をおすすめします。

DEPから始まるセキュアで効率的な端末管理を弊社もサポートさせていただきます。