iPhoneやMacのMDM機能「User Enrollment」「Device Enrollment」「Automated Device Enrollment」の強化点:BYODの支援機能を充実させるApple
AppleはBYOD向けに「iPhone」や「Mac」のMDM機能を強化している。同社が2019年に「User Enrollment」「Device Enrollment」「Automated Device Enrollment」に追加した新要素を説明する。
Appleは毎年秋に、各デバイス向けのOSである「iOS」「macOS」「tvOS」へ新しいモバイルデバイス管理(MDM)機能を導入するのが恒例だ。2019年には同社が提供するOSに、新たに「iPadOS」が加わった。このOSも毎年アップデートされるMDM機能を備えている。
Apple製OSが備えるMDM機能の2019年における最大の変更点は、BYOD(私物デバイスの業務利用)のために特別に作られた「User Enrollment」という新しい管理機能だ。同社は2019年6月に開催した自社イベント「Worldwide Developers Conference 2019」(WWDC 2019)で、User Enrollmentを発表した。また同年、同社は各OSをアップデートするとともに、幾つかのMDM機能の名称を変更した。本稿は、Appleが2019年に更新した各MDM機能を説明する。
併せて読みたいお薦め記事
AppleデバイスのMDMについて詳しく
- 「iOS 13」のデバイス管理機能はどこが変わった? 私物iPhone対策や認証に期待
- 「Apple Business Manager」を使うべきか? メリットとデメリットは
- Macに不慣れなWindows管理者が知りたい、Mac管理の「これまでとこれから」
Apple製品を仕事で使う
目次
- User Enrollment
- Device Enrollment(会員限定)
- Automated Device Enrollment(会員限定)
User Enrollment
AppleがUser Enrollmentを導入した目的は、従業員の私物デバイスで扱うアプリケーションとデータについて、仕事とプライベートの境界を強化することにある。
企業のIT管理者がUser Enrollmentを設定すると、IT管理者は設定済みデバイスに対して、限られたアプリとデータにしかアクセスしかできなくなる。User EnrollmentはiOSとiPadOS、macOSで利用できる。
IT管理者はエンドユーザーのデバイスを業務に適した設定にするために、業務に必要なアプリをインストールしたり、デバイス全体に対する一部のポリシー(6桁のパスコードの強制など)を設定したりすることができる。デバイスは、隔離された暗号化ボリュームに業務関係のデータを保存する。エンドユーザーは、企業から提供される管理用Apple IDを使って、デバイスにサインインする必要がある。
User Enrollmentは、IT管理者ができることを制限することで、Appleデバイスを利用したBYODを実現しやすくしている。IT管理者は、エンドユーザーの私物デバイスを一方的に管理することはできない。例えばデバイス内データの消去やコマンドによるデバイスのロック解除、ユーザーがインストールしたアプリの一覧表示はできない。
注意点も幾つかある。組織が管理用Apple IDを作成するには「Apple Business Manager」か「Apple School Manager」といったデバイス導入支援サービスが必要になる。これらのサービスは、世界の全ての地域で提供されているわけではない。またIT部門がUser Enrollmentを評価し、運用ポリシーを作成するには、しばらく時間がかかる。
こうした問題はあるものの、AppleがUser Enrollmentのような、BYODを支援する新しい管理機能を用意したことは、企業内でBYODがいかに重要になっているかを示している。
Googleは企業向けデバイス管理プログラム「Android Enterprise」で、BYODのためにアプリとデータを仕事用、私用に厳密に分離するオプションとして「仕事用プロファイル」を提供している。AppleはUser Enrollmentにより、これに対抗する機能を打ち出したことになる。
Device Enrollment
Appleは従来提供してきたMDM機能を「Device Enrollment」と呼ぶようになった。Device EnrollmentはiOSとiPadOS、macOS、tvOSで利用できる。スマートウオッチの「Apple Watch」を管理したいときは、ペアリングされているAppleデバイスに管理ポリシーを適用すればよい。Device Enrollmentは、世界のどの地域でも利用可能だ。
IT管理者は簡単な操作でDevice Enrollmentを従業員の私物デバイスに適用でき、アプリケーションのアクセス権限を設定できる。この機能とAppleデバイスの設定管理ツール「Apple Configurator」を組み合わせ、デバイスを監視モードにしたり、企業所有デバイスに必要に応じて利用制限を掛けたりできる。
Automated Device Enrollment
Appleは2014年から提供していた企業向けデバイス導入支援プログラム「Device Enrollment Program」を「Automated Device Enrollment」と呼ぶようになった。Automated Device Enrollmentを使用することで、IT管理者はエンドユーザーが新品のデバイスを初めて起動したときに、デバイスがMDMサービスを適用するように設定できる。この方法では、他のユーザーの介在は一切不要だ。エンドユーザーがデバイスに入っている設定用ファイルを消去して、MDMサービスへの登録を回避することも防げる。MDMの普及初期には、大量のデバイスを管理する組織で、こうしたエンドユーザーの登録回避が問題になるケースがあった。
セットアップアシスタントのカスタマイズは、Automated Device Enrollmentの優れた新機能の一つだ。この機能により、IT管理者はWebベースの認証フローをセットアップしたり、登録プロセスにおいてサービス利用規約のようなカスタムコンテンツを表示したりできる。
Automated Device Enrollmentは現在、企業所有デバイスの管理シナリオで広く使われている。User Enrollmentも普及が進みそうだ。
Copyright © ITmedia, Inc. All Rights Reserved.