活用のヒントHint

2018.12.07コラム

【DEPって結局何ができるの?】今さら聞けないDEPの特長を大公開

Device Enrollment Program(DEP)は、Apple社が提供する企業や教育機関向けのiOS端末導入支援プログラムです。
スマートフォンやタブレット(以下、モバイル端末)を企業や学校に導入、もしくは導入検討をしている方であれば、一度は聞いたことのあるキーワードではないでしょうか。

断言します。法人組織での利用なら、DEPを利用しない手はありません。メリットは大きく2つあります。

DEPの大まかな特徴

では「 ①キッティングが簡単になる 」、「 ②セキュリティ管理機能の向上 」とはどういうことなのか、解説をしていきたいと思います。

キッティングが簡単になる

キッティングは「 新規でモバイル端末を導入する場合 」、または「 年度や学期など節目ごとにモバイル端末の運用を見直したい時 」に行うのが一般的です。
ご存知の方も多いですが、キッティングとは企業や学校の運用方針(ポリシー)に合わせて、モバイル端末を使える状態に設定する作業です。

DEPを使った場合どう効率化されるのか、下記の図でDEPのあり/なしを比較します。

DEPあり/なしの比較

注)上記のほか、Apple IDの設定や、導入先によっては端末に保護フィルムを貼る、管理番号のシールを貼るなどの作業が考えられます。

DEPでできること

  • 購入したモバイル端末をすぐに利用者に配布できる
  • 管理者またはキッティング業者がモバイル端末に触れることなく配備することも可能
  • 利用者によるアクティベーション(初期設定)のステップで設定が完了する
  • アクティベーション時の入力・確認工程を簡略化できる

DEPで効率UPすること

  • 管理者またはキッティング業者の設定にかかる手間と時間の削減
  • 利用者がモバイル端末をすぐに使うことができる
  • アクティベーションの簡略化によって利用者の手間も軽減

DEPを使わないと何故キッティング効率が落ちるのか

  • 設定用に専用のMacの用意(購入)が必要になる
  • Macとモバイル端末を一台ずつ有線で繋ぎ、設定をする必要がある
  • 上記の作業をモバイル端末の数だけ繰り返さなければいけない

セキュリティ管理機能が向上する

DEPによる導入をすることで「 セキュリティ管理機能の向上 」に繋がります。
具体的には、モバイル端末を「 監視対象(または監視モード/supervised mode) 」というモードに設定できることで、モバイル端末に対して制限(設定)できる項目が増え、また「 監視対象 」ではないと適用できない機能を使うことができるようになります。

制限できる項目が増える監視対象とは

監視対象ではないモバイル端末に対して設定できる制限項目が5個あるとした場合、監視対象にすることで20個に制限項目が増えるようなイメージです。監視対象にしておくと、よりセキュアかつ柔軟に管理することが可能になります。
例えば、標準で入っていて普段は消すことができない「 AppStore 」や「 iMessage 」、「 Game Center 」を非表示にできます。
下記は一部となりますが、他にも管理対象によってできる制限項目が色々あります。

App Store からの App のインストールを許可 App Storeのアイコンがホーム画⾯から削除され、App Storeを使⽤してアプリをインストールおよびアップデートすることを制限します。
※ mobiAppsを使ったアプリのインストールおよびアップデートは制限されません。
※ 「App StoreからのAppのインストールの許可」を”制限する”に設定した場合、本項⽬の設定は無効となります。
Appの削除を許可 アプリの削除を制限します。
システムAppだけでなく、全てのアプリを削除不可とする制限。
業務や授業で必要なアプリや、セキュリティを守る上で削除されたら困るアプリがある場合に使う。
AirDrop を許可 AirDropを制限します。
iMessage を許可 Wi-Fiのみを搭載するデバイスでは「メッセージ」Appが⾮表⽰になります。
Wi-Fiとモバイルデータ通信を搭載するデバイスでは「メッセージ」Appは⾮表⽰になりませんが、利⽤できるのはSMS/MMSサービスのみとなります。
Apple Musicを許可 Apple Musicの使⽤を制限します。
"すべてのコンテンツと設定を消去"を許可 端末側から実施する”端末本体の初期化”を制限します。
「設定」>「⼀般」>「リセット」の「すべてのコンテンツと設定を消去」がグレーアウトして選択不可となります。
アカウント設定の変更を許可 端末側でのアカウントの追加、削除、編集を制限する。
企業で管理アカウントのみを利用してもらい、個人のアカウントは使用させたくないときに使う。
Apple IDやメール、連絡先などのアカウントなど。
構成プロファイルのインストールを許可 端末に追加で構成プロファイルをインストールすることを制限します。
パスコードの変更を許可 設定済みのパスコードの変更を制限します。
Configurator 以外のホストとのペアリングを許可 最初に端末を監視対象に設定したApple Configurator 2がインストールされているMac以外のデバイスとペアリングできなくなります。
自宅の個人PCにバックアップを取ったり、写真などのデータを保存されることを制限したいときに使う
⾃動⼊⼒を許可 ユーザはパスワードの⾃動⼊⼒を使⽤できず、iCloudキーチェーンから保存済みのパスワードを取り出すかどうかの確認が表⽰されません。
Wi-FiペイロードによってインストールされたWi-Fiネットワークのみに接続 インストールされている全てのプロファイルに含まれているWi-Fiネットワーク以外への接続を制限します。
※ プロファイルに含まれているWi-Fiネットワークに接続できない場合、デバイスを管理することができません。
ソフトウェア・アップデートの遅延 ソフトウェアのアップデートを延期する、しないを設定します。
延期する場合は、延期する期間を指定します。
iOSのアップデートがリリースされても、最大で90日間は端末側でアップデートできない状態にできる。
使用中のシステムやサービス、アプリなどが新しいiOSバージョンに対応するまでは、アップデートをさせたくない場合に使う
Game Center の使⽤を許可 「Game Center」が無効になり、ホーム画⾯からアイコンが削除されます。
"クラスルーム"にプロンプトなしでのAppの制御とデバイスのロックを許可 教師は⽣徒へ最初にプロンプトすることなく、Appを開いたままロック、またはデバイスをロックすることができます。
デフォルトはオフです。
"クラスルーム"のクラスにプロンプトなしで⾃動的に参加 ⽣徒は教師へのプロンプトなしでクラスに参加できようになります。
デフォルトはオフです。

監視対象によって使える機能

前提として監視対象になっていないと使えない機能も存在します。

1.アプリの起動制限
モバイル端末に標準でインストールされている「 設定 」と「 電話 」のアプリを除き、それ以外のデフォルトアプリと利用者が個人でインストールできるアプリをホワイトリスト/ブラックリストにより、表示・非表示にできます。


2.紛失モード

万が一の盗難や紛失した場合に、管理画面から遠隔で強制的にロック状態にします。
紛失モードになった端末は初期化はもちろん、ほとんどの操作が制限されます。
位置情報がオフになっている端末も強制的に位置情報を取得することが可能です。


3.シングルAppモード

指定した一つのアプリのみを起動し、それ以外の操作を禁止します。
これにより、利用者による予期せぬアプリの削除や設定変更を回避することができます。
利用シーンの一例としては、店舗の注文機器や展示会でのデモ端末、受付用の機器などが考えられます。


4.WEBコンテンツフィルタリング

閲覧を許可または許可しないURLを設定し、WEBの閲覧を制限します。(Safari)


5.VPPアプリ・In-houseアプリのサイレントインストール

VPPはApple社の提供するApp Storeアプリのライセンス管理プログラムです。
VPPで購入したアプリやIn-houseアプリをMDMから配信した際、モバイル端末側でダイアログが表示されず、利用者が操作することなくアプリがインストールされます。


6.グローバルHTTPプロキシ設定

セキュアなWEB通信の確保のため、指定のプロキシサーバを経由するようモバイル端末に設定を適用することができます。
プロキシサーバの役割は直接WEBを閲覧できない社内LANのパソコンの代理としてWEB通信を行ってくれます。

離脱や悪用の対策にもなる

MDMでモバイル端末を管理するには「MDM構成プロファイル* 」という設定ファイルを端末にインストールする必要があります。
MDM構成プロファイルがあることで、MDMから遠隔で設定変更やアプリ配信などを適用できる仕組みです。

モバイルデバイス構成プロファイルの役割

*「 MDM構成プロファイル 」に関する説明はこちら
*この構成プロファイルを弊社MobiConnectでは「 MDMプロファイル 」または「 Apple-MDMプロファイル 」と呼んでいます。

しかしこのMDM構成プロファイルは簡単に削除できてしまいます。
意図的な削除、またはリテラシーによる誤操作などが考えられますが、削除されてしまうとMDMによる管理ができなくなり、再びMDM管理下に設定するには端末を回収し再設定しなければいけなくなります。

DEPを使った導入では、MDM構成プロファイルの削除を防止できるため、これらのリスクを心配する必要がありません。

  • 削除できない「 MDM構成プロファイル
  • 初期化されても強制的にMDM管理下へ

DEPを利用するには

導入や再設定から運用まで非常に有効なDEPですが、利用するにあたり必要な条件があります。

DEPで必要な初期手続きの流れ

1. Appleへの登録手続き
DEPの利用には事前にAppleに登録する手続きが必要となります。
この登録手続きは導入する企業または教育機関の管理者(担当者)が行う必要があります。

登録は「 Apple Business Manager(ABM)もしくは Apple School Manager(ASM)の登録 * 」と「 Device Enrollment Program(DEP)への参加 」を行います。
登録の際は端末の購入の仕方によって「 Appleお客様番号(Apple customer number) 」や「 DEP販売店ID(DEP Reseller ID) 」を入力する必要があります。

詳しくはこちらをご参照ください
https://www.apple.com/jp/education/docs/DEP_Guide.pdf

*ビジネスの方はABM、教育期間の方はASMが対象となります。
*ABM・ASMは、以前「Apple Deployment Programs(ADP)」というサービス名称でした。

2. DEP端末を購入する
DEPを使うにはモバイル端末がDEPに対応している必要があります。
DEP端末を入手するには以下の2通りの方法があります。

・DEPに対応している販売店から端末を購入
・Apple Storeから法人として端末を購入

【すでに利用している端末がDEP端末ではない場合】
Apple Configurator2を使うことで、DEP端末をすることが可能です。

https://support.apple.com/ja-jp/HT204142#manual

※これらの手続きを弊社では「 マニュアルDEP 」や「 後付けDEP 」と呼称しています。

3. DEP対応のMDMを購入する
DEPを使うにはMDMが必要になります。
弊社MobiConnectはDEPに対応し、豊富な導入実績と各種マニュアルやサポート体制により、お客さまをご支援しています。

※ DEPに対応していないMDMもありますので、ご注意ください。

注)DEPは個人での利用はできません。

「 監視対象 」の注意点

DEPは効率化だけでなく、監視対象によるメリットも多く、非常に有効なプログラムです。
しかしながら監視対象にする上で、一点、注意したいことがあります。

現在、監視対象に設定していないモバイル端末を監視対象にしたい場合は、

「 初期化 」

が必要になります。

そのため、デバイスの管理設定だけでなく、配信していたアプリなども再登録する作業が発生するので注意。
それでも、企業や教育機関でのDEPによる導入や、監視対象の活用はメリットのほうが大きく上回るケースが多く、モバイル端末の導入または運用方針の見直しの際は、あらかじめDEPを前提としてた導入・運用設計を検討してみてはいかがでしょうか。

まとめ

DEPは導入または運用の見直しの際に設定の効率化に大きく貢献するプログラムと思います。
また昨今では、企業や教育機関を問わず、セキュリティ要件や運用方針の多様化、また監視対象前提の機能が多いことから、監視対象は必須となりつつあります。
これから新規でモバイル端末を導入する方、もしくは今までの運用を大きく見直したい方は是非DEPを活用した導入をおすすめします。

DEPから始まるセキュアで効率的な端末管理を弊社もサポートさせていただきます。

関連するブログ

MobiConnectの導入に迷っている方のために、
30日間の無料トライアルをご用意しました。 無料トライアル
製品・サービスについてのお問い合わせを受け付けております。
お気軽にご相談ください。 お問い合わせ