Device Enrollment Program(DEP)は、Apple社が提供する企業や教育機関向けのiOS端末導入支援プログラムです。
スマートフォンやタブレット(以下、モバイル端末)を企業や学校に導入、もしくは導入検討をしている方であれば、一度は聞いたことのあるキーワードではないでしょうか。
断言します。法人組織での利用なら、DEPを利用しない手はありません。メリットは大きく2つあります。
デバイス活用マガジン「モビナビ」
デバイス管理の“ できない” を“ もっとできる” に変えるマガジンです。
当社サービスだけでなく、様々な角度で情報を発信しています。
2020.06.15
初級
Device Enrollment Program(DEP)は、Apple社が提供する企業や教育機関向けのiOS端末導入支援プログラムです。
スマートフォンやタブレット(以下、モバイル端末)を企業や学校に導入、もしくは導入検討をしている方であれば、一度は聞いたことのあるキーワードではないでしょうか。
断言します。法人組織での利用なら、DEPを利用しない手はありません。メリットは大きく2つあります。
では「 ①キッティングが簡単になる 」、「 ②セキュリティ管理機能の向上 」とはどういうことなのか、解説をしていきたいと思います。
[ 目次 ]
● キッティングが簡単になる
- DEPでできること
- DEPで効率UPすること
- DEPを使わないと何故キッティング効率が落ちるのか
● セキュリティ管理機能が向上する
- 制限できる項目が増えるとは
- 監視対象によって使える機能
- 離脱や悪用の対策にもなる
● DEPを利用するには
- DEPで必要な初期手続きの流れ
- 監視対象の注意点
● まとめ
キッティングは「 新規でモバイル端末を導入する場合 」、または「 年度や学期など節目ごとにモバイル端末の運用を見直したい時 」に行うのが一般的です。
ご存知の方も多いですが、キッティングとは企業や学校の運用方針(ポリシー)に合わせて、モバイル端末を使える状態に設定する作業です。
DEPを使った場合どう効率化されるのか、下記の図でDEPのあり/なしを比較します。
注)上記のほか、Apple IDの設定や、導入先によっては端末に保護フィルムを貼る、管理番号のシールを貼るなどの作業が考えられます。
DEPによる導入をすることで「 セキュリティ管理機能の向上 」に繋がります。
具体的には、モバイル端末を「 監視対象(または監視モード/supervised mode) 」というモードに設定できることで、モバイル端末に対して制限(設定)できる項目が増え、また「 監視対象 」ではないと適用できない機能を使うことができるようになります。
監視対象ではないモバイル端末に対して設定できる制限項目が5個あるとした場合、監視対象にすることで20個に制限項目が増えるようなイメージです。監視対象にしておくと、よりセキュアかつ柔軟に管理することが可能になります。
例えば、標準で入っていて普段は消すことができない「 AppStore 」や「 iMessage 」、「 Game Center 」を非表示にできます。
下記は一部となりますが、他にも管理対象によってできる制限項目が色々あります。
App Store からの App のインストールを許可 | App Storeのアイコンがホーム画⾯から削除され、App Storeを使⽤してアプリをインストールおよびアップデートすることを制限します。
※ mobiAppsを使ったアプリのインストールおよびアップデートは制限されません。 ※ 「App StoreからのAppのインストールの許可」を”制限する”に設定した場合、本項⽬の設定は無効となります。 |
---|---|
Appの削除を許可 | アプリの削除を制限します。
システムAppだけでなく、全てのアプリを削除不可とする制限。 業務や授業で必要なアプリや、セキュリティを守る上で削除されたら困るアプリがある場合に使う。 |
AirDrop を許可 | AirDropを制限します。 |
iMessage を許可 | Wi-Fiのみを搭載するデバイスでは「メッセージ」Appが⾮表⽰になります。
Wi-Fiとモバイルデータ通信を搭載するデバイスでは「メッセージ」Appは⾮表⽰になりませんが、利⽤できるのはSMS/MMSサービスのみとなります。 |
Apple Musicを許可 | Apple Musicの使⽤を制限します。 |
"すべてのコンテンツと設定を消去"を許可 | 端末側から実施する”端末本体の初期化”を制限します。
「設定」>「⼀般」>「リセット」の「すべてのコンテンツと設定を消去」がグレーアウトして選択不可となります。 |
アカウント設定の変更を許可 | 端末側でのアカウントの追加、削除、編集を制限する。
企業で管理アカウントのみを利用してもらい、個人のアカウントは使用させたくないときに使う。 Apple IDやメール、連絡先などのアカウントなど。 |
構成プロファイルのインストールを許可 | 端末に追加で構成プロファイルをインストールすることを制限します。 |
パスコードの変更を許可 | 設定済みのパスコードの変更を制限します。 |
Configurator 以外のホストとのペアリングを許可 | 最初に端末を監視対象に設定したApple Configurator 2がインストールされているMac以外のデバイスとペアリングできなくなります。
自宅の個人PCにバックアップを取ったり、写真などのデータを保存されることを制限したいときに使う |
⾃動⼊⼒を許可 | ユーザはパスワードの⾃動⼊⼒を使⽤できず、iCloudキーチェーンから保存済みのパスワードを取り出すかどうかの確認が表⽰されません。 |
Wi-FiペイロードによってインストールされたWi-Fiネットワークのみに接続 | インストールされている全てのプロファイルに含まれているWi-Fiネットワーク以外への接続を制限します。
※ プロファイルに含まれているWi-Fiネットワークに接続できない場合、デバイスを管理することができません。 |
ソフトウェア・アップデートの遅延 | ソフトウェアのアップデートを延期する、しないを設定します。
延期する場合は、延期する期間を指定します。 iOSのアップデートがリリースされても、最大で90日間は端末側でアップデートできない状態にできる。 使用中のシステムやサービス、アプリなどが新しいiOSバージョンに対応するまでは、アップデートをさせたくない場合に使う |
Game Center の使⽤を許可 | 「Game Center」が無効になり、ホーム画⾯からアイコンが削除されます。 |
"クラスルーム"にプロンプトなしでのAppの制御とデバイスのロックを許可 | 教師は⽣徒へ最初にプロンプトすることなく、Appを開いたままロック、またはデバイスをロックすることができます。
デフォルトはオフです。 |
"クラスルーム"のクラスにプロンプトなしで⾃動的に参加 | ⽣徒は教師へのプロンプトなしでクラスに参加できようになります。
デフォルトはオフです。 |
前提として監視対象になっていないと使えない機能も存在します。
1.アプリの起動制限
モバイル端末に標準でインストールされている「 設定 」と「 電話 」のアプリを除き、それ以外のデフォルトアプリと利用者が個人でインストールできるアプリをホワイトリスト/ブラックリストにより、表示・非表示にできます。
2.紛失モード
万が一の盗難や紛失した場合に、管理画面から遠隔で強制的にロック状態にします。
紛失モードになった端末は初期化はもちろん、ほとんどの操作が制限されます。
位置情報がオフになっている端末も強制的に位置情報を取得することが可能です。
3.シングルAppモード
指定した一つのアプリのみを起動し、それ以外の操作を禁止します。
これにより、利用者による予期せぬアプリの削除や設定変更を回避することができます。
利用シーンの一例としては、店舗の注文機器や展示会でのデモ端末、受付用の機器などが考えられます。
4.WEBコンテンツフィルタリング
閲覧を許可または許可しないURLを設定し、WEBの閲覧を制限します。(Safari)
5.VPPアプリ・In-houseアプリのサイレントインストール
VPPはApple社の提供するApp Storeアプリのライセンス管理プログラムです。
VPPで購入したアプリやIn-houseアプリをMDMから配信した際、モバイル端末側でダイアログが表示されず、利用者が操作することなくアプリがインストールされます。
6.グローバルHTTPプロキシ設定
セキュアなWEB通信の確保のため、指定のプロキシサーバを経由するようモバイル端末に設定を適用することができます。
プロキシサーバの役割は直接WEBを閲覧できない社内LANのパソコンの代理としてWEB通信を行ってくれます。
MDMでモバイル端末を管理するには「MDM構成プロファイル* 」という設定ファイルを端末にインストールする必要があります。
MDM構成プロファイルがあることで、MDMから遠隔で設定変更やアプリ配信などを適用できる仕組みです。
*「 MDM構成プロファイル 」に関する説明はこちら
*この構成プロファイルを弊社MobiConnectでは「 MDMプロファイル 」または「 Apple-MDMプロファイル 」と呼んでいます。
しかしこのMDM構成プロファイルは簡単に削除できてしまいます。
意図的な削除、またはリテラシーによる誤操作などが考えられますが、削除されてしまうとMDMによる管理ができなくなり、再びMDM管理下に設定するには端末を回収し再設定しなければいけなくなります。
DEPを使った導入では、MDM構成プロファイルの削除を防止できるため、これらのリスクを心配する必要がありません。
導入や再設定から運用まで非常に有効なDEPですが、利用するにあたり必要な条件があります。
1. Appleへの登録手続き
DEPの利用には事前にAppleに登録する手続きが必要となります。
この登録手続きは導入する企業または教育機関の管理者(担当者)が行う必要があります。
登録は「 Apple Business Manager(ABM)もしくは Apple School Manager(ASM)の登録 * 」と「 Device Enrollment Program(DEP)への参加 」を行います。
登録の際は端末の購入の仕方によって「 Appleお客様番号(Apple customer number) 」や「 DEP販売店ID(DEP Reseller ID) 」を入力する必要があります。
詳しくはこちらをご参照ください
( https://www.apple.com/jp/education/docs/DEP_Guide.pdf )
*ビジネスの方はABM、教育機関の方はASMが対象となります。
*ABM・ASMは、以前「Apple Deployment Programs(ADP)」というサービス名称でした。
2. DEP端末を購入する
DEPを使うにはモバイル端末がDEPに対応している必要があります。
DEP端末を入手するには以下の2通りの方法があります。
・DEPに対応している販売店から端末を購入
・Apple Storeから法人として端末を購入
【すでに利用している端末がDEP端末ではない場合】
Apple Configurator2を使うことで、DEP端末をすることが可能です。
https://support.apple.com/ja-jp/HT204142#manual
※これらの手続きを弊社では「 マニュアルDEP 」や「 後付けDEP 」と呼称しています。
3. DEP対応のMDMを購入する
DEPを使うにはMDMが必要になります。
弊社MobiConnectはDEPに対応し、豊富な導入実績と各種マニュアルやサポート体制により、お客さまをご支援しています。
※ DEPに対応していないMDMもありますので、ご注意ください。
注)DEPは個人での利用はできません。
DEPは効率化だけでなく、監視対象によるメリットも多く、非常に有効なプログラムです。
しかしながら監視対象にする上で、一点、注意したいことがあります。
現在、監視対象に設定していないモバイル端末を監視対象にしたい場合は、
「 初期化 」
が必要になります。
そのため、デバイスの管理設定だけでなく、配信していたアプリなども再登録する作業が発生するので注意。
それでも、企業や教育機関でのDEPによる導入や、監視対象の活用はメリットのほうが大きく上回るケースが多く、モバイル端末の導入または運用方針の見直しの際は、あらかじめDEPを前提としてた導入・運用設計を検討してみてはいかがでしょうか。
DEPは導入または運用の見直しの際に設定の効率化に大きく貢献するプログラムと思います。
また昨今では、企業や教育機関を問わず、セキュリティ要件や運用方針の多様化、また監視対象前提の機能が多いことから、監視対象は必須となりつつあります。
これから新規でモバイル端末を導入する方、もしくは今までの運用を大きく見直したい方は是非DEPを活用した導入をおすすめします。
DEPから始まるセキュアで効率的な端末管理を弊社もサポートさせていただきます。