2018.09.21

コラム

Apple Configurator と MDM の違いと活用

スマートフォンやタブレット、ノートPCなどのスマートデバイス(以下、デバイス)は屋内だけにとどまらず、移動中や外出先でも普段と変わらない作業ができるようになりました。(モビリティに優れている)
これにより仕事や学校(学習機器として)などでも広く使われる場面が増えています。

しかし、これらのデバイスは購入し箱から出し、いきなり社員や生徒に配るわけには行きません。
それはなぜか、利便性の反面、それに伴ってリスクもまた増えているからです。
リスクの一例としては、デバイスには個人情報や機密データなどが多く入っており、盗難や紛失による情報漏洩があります。また業務関係のないWEBの閲覧やゲームを始めとしたアプリの活用による業務効率の低下や提供元不明なルートからのウィルスや悪意のある攻撃など脅威にさらされることが考えられます。

これらのリスクを防ぐために、利用場面に合わせたポリシーなど、デバイスを配布する前に設定を済ませておく必要がありますし、運用においても万が一の事態に対処できる準備をしておく必要があります。

今回は、タブレットを配布し使える状態にすること、そして運用でも安心して使ってもらえる準備としての方法を紹介します。

MDM導入のご検討・ご相談はこちら

デバイス準備のための Apple Configurator と MDM

デバイスを準備するためのツールとして、「Apple Configuratr」や「MDM」というキーワードをよく見聞きします。
どちらを使うのか、またどちらも使うのか、どちらがいいのか、デバイスの設定を任される立場の人としては悩む場面だと思います。

結論としてはどちらでもデバイスの準備をすることができます。
しかしApple Configuratorではデバイスの「管理」はできません。
厳密に言うとApple Configuratorでのデバイス管理には少々管理者の手間がかかります。

それぞれのポイントを表にまとめてみます。

 

 

Apple Configuratr・MDM

いかがでしょうか。

Apple Configurator

無償という点が、まず手始めにデバイスを活用してみたい方には向いていると思います。
また「デバイスへの厳密な設定(以下、監視対象)」、パスコードや制限項目、ネットワーク設定、フィルタリングなど、きめ細かな設定ができるという点は魅力であり、主に企業などセキュリティレベルの高い環境においては必須と言える設定です。(下図 参照)

しかし設定の際に有線接続が必要なこと、再設定の際にデバイスを回収する手間がかかることから、現実的に手の届く範囲にデバイスがあり、10台前後のデバイスを扱う場合であれば運用はできるのではないかと思います。
また、どのようにデバイスが使われているのか把握できない面としては、リアルタイムでの管理が難しいということになります。デバイスを回収し、接続して初めてどういうアプリがインストールされたのか、設定が変更されたのかがわかるといった状況です。

Apple Configurator、構成プロファイル作成画面

MDM

有償であること、また様々なMDMサービスがあることから費用と選定基準でいきなりの導入にハードルを感じるかもしれません。
しかし、有線ではなく無線ネットワーク経由での設定・管理ができることから、たとえデバイスが遠方にあったとしても、また利用者が移動中や外出先であっても時間・場所問わず、設定変更やアプリ・コンテンツの配信ができ、準備から運用までを効率的に行うことができます。
デバイスの台数問わず小規模から大規模の運用にも適しています。

では、セキュリティの面はどうでしょうか。
Apple Configuratrでできる「監視対象」をMDMができないのか。
答えはできます。
Apple社の提供するADE(Automated Device Enrollment)をMDMと組み合わせることでデバイスを監視対象にすることができます。

主流になりつつある MDM + ADE による準備と運用

ADE(Automated Device Enrollment)とは:(旧:DEP)
iOS端末導入支援サービスであり、デバイスを使える状態にする(キッティング)作業を大幅に軽減します。(下図 参照)

DEP(Device Enrollment Program)

ADEの登場によりMDM単体ではできなかったデバイスを「監視対象」にすることも無線ネットワーク経由から可能になりました。
設定用のMacの準備や「Apple Configurator」が不要となり、端末を手元に集める作業もなく、キッティング作業の効率化に大きく貢献しています。

MDM導入のご検討・ご相談はこちら

ADEによる更なるメリット

ADEによるメリットはキッティング作業の効率化だけではありません。
管理者にとって、利用者にとってのメリットがあります。

管理者のメリット

MDMでデバイスを管理するためには、デバイス側に「MDMの構成プロファイル」が入っていることが前提となります。しかし従来のMDM単体での初期設定ではそのプロファイルが削除できてしまいました。こうなってしまうと、MDMの管理下から外れ、万が一の遠隔制御などはもちろん、デバイスの情報を管理画面から取得できなくなってしまいます。

ADEを使うことで「プロファイル削除の防止」をすることや、「プロファイルの強制」ができるため、デバイスの管理下からの離脱やデバイスもプロファイルがないと利用できない状態を作ることができます。

プロファイル削除

利用者のメリット

通常、デバイスの初期起動の際、様々な設定項目を利用者は求められます。
ADEを使うと、これらのステップも運営に必要な項目のみ表示させ、不要な設定はスキップさせることが可能です。

ADEの注意点

「MDM+ADE」により、デバイスを「監視対象」に設定でき、遠隔制御によって運用面でも大きなメリットを感じれたのではないでしょうか。
しかしADEを使う上で注意したい点があるのでご紹介します。

ADEによるプロファイル変更にはデバイスの初期化が必要

MDM単体でのデバイス設定(監視対象なし)をしている端末を後から「監視対象にしたいからADEで」とする場合、今までのデバイス設定は初期化によりリセットされてしまいます。そのため、プロファイル以外のアプリやコンテンツなどもまた改めて設定をする必要があります。

ADE対象端末でないとADEはできない

ADEをするためには、「ADE対象端末であること」という前提があります。
では「ADE対象端末」をどうのように入手するのか、その方法は2種類あります。

  1. キャリア(docomo/au/softbank)、Apple指定代理店にて端末購入​
  2. Apple Configurator 2を利用して端末をADE対象端末に設定する