企業・団体における情報セキュリティ対策やIT資産管理、サイバー攻撃に関する情報などITに関わるさまざまな情報を随時掲載しています。

Sky株式会社

公開日2025.01.20

iPhone / iPadの運用管理にMDMを導入する方法とは?

著者:Sky株式会社

iPhone / iPadの運用管理にMDMを導入する方法とは?

プライベートだけでなく、ビジネスや教育現場でも欠かせないものとなっているiPhone / iPad。それらデバイスの効率的かつ安全な運用管理を実現するのが「MDM(Mobile Device Management)」、いわゆるモバイルデバイス管理です。本記事では、企業・学校におけるiPhone / iPadの運用管理にMDMを導入することが望ましい理由と、実際にMDMを導入する際の詳しい手順を解説します。

iPhone / iPadの運用管理にMDMが望ましい理由

MDMとは、iPhone / iPadを含む複数のモバイルデバイスを一元管理することを指し、それを実現するためのソフトウェアやサービスはMDMツールなどと呼ばれます。企業や学校でMDMツールを利用することが望ましい理由の一つに、運用管理の効率化が挙げられます。

組織でモバイルデバイスを運用する場合、一般的に各種ポリシーの適用や規定アプリのインストールといったセットアップを各デバイスに対して行います。しかし、台数が多い場合、1台ずつ手作業でセットアップしていては大きな労力がかかる上、設定ミスが起きてしまう可能性もゼロではありません。MDMツールを利用すれば、あらかじめ設定したポリシーを各デバイスへ一括適用でき、セットアップにかかる労力を大幅に削減できるほか、設定ミスを抑えることもできます。

MDMツールを利用するもう一つの理由としては、セキュリティが挙げられます。組織としてモバイルデバイスを運用する際はマルウェア感染や情報漏洩などを避けるため、リスクを伴う機能・操作を制限することが重要です。また、紛失・盗難に備えて、第三者がデバイスを不正に利用できないよう対策を講じることも欠かせません。多くのMDMツールには、カメラやスクリーンショットなど業務に関係ない機能・操作を制限できたり、紛失・盗難に備えてリモートロックや端末初期化を行ったりできます。

このように、モバイルデバイスを運用する企業や学校がMDMツールを利用することで、システム管理者の業務負担を軽減できたり、セキュリティを強化したりできます。

MDMを導入する手順:①導入準備

ここからは、iPhone / iPadの運用管理に向けてMDMツールを導入する手順を解説します。iPhone / iPadのMDMツールの導入に際しては、Apple社独自のルールやガイドラインが存在しています。まずはそれらを踏まえた導入準備についてご紹介します。

動作モードの設定

初めに、iPhone / iPadの動作モードを設定します。動作モードとは、iPhone / iPadをMDMツールで運用管理するために必要な、デバイスごとに行う設定です。この動作モードは、組織が所有するデバイスなのか、個人(従業員)が所有するデバイスなのかで変わります。

組織が所有するデバイスであれば、より多くのMDM機能が利用でき、強固なセキュリティも確保できる「監視対象モード」に設定します。個人が所有するデバイスであれば、所有者のプライベートの確保と組織としてのデバイス管理が両立できる「通常モード」(非監視対象モード)に設定します。両モードの主な違いは次のとおりです。

動作モード 対象デバイス 概要
監視対象モード 企業や学校など組織が所有するデバイス 管理者によるアプリのサイレントインストールが可能
アプリの非表示・アンインストールが可能
機能制限など詳細なポリシー設定が可能
位置情報の取得等が行える「紛失モード」を有効化できる など
通常モード(非監視対象モード) 個人が所有するデバイス デバイス上で自由にアプリをインストール・アンインストールできる
監視対象モードに比べて制限できる項目は少ない
「紛失モード」を有効化できない
デバイス上で自由に各種設定を変更できる など

ABM・ASMの利用登録

続いて、Apple社から無料で提供されているWebポータル「ABM(Apple Business Manager)」、もしくは「ASM(Apple School Manager)」の利用登録を行います。これらのWebポータルは、iPhone / iPadとサードパーティー製のMDMツールを連携させるサービスです。企業の場合はABM、学校の場合はASMを利用します。

ABMやASMでは、ADE(Automated Device Enrollment)というサービスを利用できます。本サービスは企業・学校に向けたApple製品の導入支援プログラムで、活用することでデバイスの初期設定やMDMツールへの登録を自動化できるほか、各デバイスへのアプリの配布・インストールを一括で行え、セットアップにかかる作業を大幅に削減できます。

ADE対応デバイスの購入

前述のADEはすべてのデバイスで利用できるわけではないため、対応するデバイスを購入する必要があります。主な購入方法は以下のとおりです。

  • Apple Storeから法人として購入
  • Apple正規取扱店から購入
  • 販売店から購入

販売店では、ADE対応デバイスを販売しているところと、販売していないところがあります。販売店から購入する場合は、ADE対応デバイスを取り扱っているかを事前に確認しましょう。

組織のネットワーク環境のチェック

デバイスを新たに導入することで、通信量は既存のWi-Fi環境でカバーできるのか、または環境の増強が必要なのかをチェックする必要があります。デバイスの導入台数を基にWi-Fiへの同時接続数を想定し、安定して通信できる環境の構築を検討します。

アプリの選定・購入

同じ組織であっても、部署ごとに使用するアプリが異なる可能性があります。各部署の業務の性質を鑑みて、必要に応じて現場の従業員にヒアリングし、使用するアプリを選定・購入します。特に個人情報や機密情報など重要なデータを扱うアプリは、セキュリティ性や運用面を考慮して慎重に選ぶ必要があります。

ちなみに、ABMやASMで利用できるVPP(Volume Purchase Program)というサービスを利用することで、アプリの一括購入が可能です。購入したアプリは、MDMツールで各デバイスへ一括配布・インストールできます。

MDMを導入する手順:②MDMツールの導入

次にMDMツールを比較・検討し、導入します。基本的に、MDMツールはApple社などデバイスベンダーが定めるルールに沿って開発されているため、各ツールにおける機能面の差はほとんどないといえます。そのため、比較する際は以下のような内容をチェックすることをお勧めします。

  • 導入・保守にかかる費用はいくらか
  • 日本語での十分なサポートを受けられるか
  • 操作画面は使いやすく、見やすいか
  • 反応速度が速く、ストレスなく操作できるか
  • 各機能について柔軟に設定できるか
  • 自社と同じ業界・業種における導入実績は豊富か など

ご覧のとおり、機能面以外でいかに充実しているかをチェックすることが大切です。ほかにも、iPhone / iPad以外にAndroidやWindowsなど、対応するデバイスやOSの種類が豊富かどうかも併せて確認することをお勧めします。

MDMを導入する手順:③ABM・ASMとMDMの各種設定

ABM・ASMとMDMツールを連携させるための設定や、iPhone / iPadのセットアップ作業を簡略化させるデバイス登録設定、デバイスごとに適用するポリシー設定についてご紹介します。

ABM・ASMとMDMツールとの連携に必要な設定

WebポータルであるABM・ASMと、自社で導入したMDMツールとの連携設定を行います。主な流れは以下のとおりです。

1.MDMツールの管理者アカウントを作成
2.Appleプッシュ通知証明書の設定

  • MDMツールでCSRを作成
  • Appleプッシュ通知証明書ポータルでCSRを読み込む
  • Appleプッシュ通知証明書を作成
  • Appleプッシュ通知証明書を各デバイスにインストール
    3.ABM・ASMとMDMツールを連携

まず初めにMDMツールで管理者アカウントを作成します。作成方法は各ツールによって異なるため、それぞれの操作マニュアル等を確認しましょう。

続いて、MDMツールでiPhone / iPadを運用管理できるようにするための、Appleプッシュ通知証明書の設定を行います。操作としては、まずMDMツールの管理画面で「CSR(Certificate Signing Request)」と呼ばれる証明書署名要求を作成。それをApple社が提供する「Appleプッシュ通知証明書ポータル(Apple Push Certificates Portal)」に読み込ませることで、Appleプッシュ通知証明書が作成できます。その後、作成したAppleプッシュ通知証明書をMDMツールで各デバイスへ配布・インストールすれば設定完了です。

最後に、ABM・ASMとMDMツールとの連携設定を実施します。まずABM・ASMで、連携に必要な認証情報が格納されたトークンファイルを取得。そのトークンファイルをMDMツールに読み込ませることで設定完了です。

なお、トークンファイルには1年間の利用期限があり、毎年更新する必要があることに注意しましょう。更新を怠ると連携が無効になり、デバイスの運用管理に支障を来す可能性があります。

ADEによるデバイス登録の設定

続いて、ABM・ASM上で、ADEによるデバイス登録の設定を行います。これにより、デバイスのゼロタッチ導入が行えようになります。

ゼロタッチ導入とは、システム管理者が直接デバイスに触れることなく、デバイスの初期設定やMDMツールへの登録、各種アプリの配布・インストールといったセットアップが自動で完了する仕組みです。

iPhone / iPadを手作業でセットアップする場合、一般的にはデバイスを起動した後、セットアップウィザードを進めたり、初期設定を適用した後、アプリのインストールなどを行います。ADEを利用すれば、セットアップウィザードでWi-Fiに接続した後の残りの設定を、すべて自動で行え、労力を大幅に削減することができます。

配布コンテンツ設定

MDMツール上で、デバイスごとの初期設定や機能・操作の制限設定など、各デバイスに適用するポリシーを設定します。ここで設定した内容は構成プロファイルとして、ゼロタッチ導入の実行時にMDMツールから各デバイスへ配布・適用されます。

MDMを導入する手順:④デバイスのセットアップ

iPhone / iPadの電源を入れ、セットアップウィザードの画面が表示されたら、Wi-Fi接続まで手作業で行います。Wi-Fi接続後はゼロタッチ導入の仕組みが作動。初期設定の適用からMDMツールへの登録、アプリの配布・インストールまでが自動で行われ、セットアップが完了します。

MDMを導入する手順:⑤運用開始

ここまでの作業が完了すれば、MDMツールによるiPhone / iPadの運用管理を開始できます。以下のような項目に注意して、運用管理を行いましょう。

  • 脆弱性対策として、iOSのアップデートを継続的に実施
  • 新たに使用するアプリの一括配布・インストール
  • 機能や操作制限が十分でない場合は、制限項目を追加
  • 各部門の業務内容等に合わせて、ポリシーを適宜変更
  • デバイス紛失・盗難時のリモートロック・位置情報把握 など

また、利用者から挙がってきた要望を基に、デバイス利用環境の定期的な改善を重ねることも大切です。

まと

ここまで、iPhone / iPadの運用管理に向けたMDMツールの導入について解説しました。働き方の多様化が進むなか、モバイルデバイスのビジネス活用は今後ますます広がりを見せることが予想されます。MDMツールの導入をご検討されている組織にとって、本記事でご紹介した内容が少しでもお役に立てば幸いです。

クライアント運用管理ソフトウェア「SKYSEA Client View」では、スマートフォンやタブレット端末の安全な運用管理を支援する「モバイル機器管理(MDM)」機能をオプションで提供しています。カメラやスクリーンショット、Bluetooth、ショートメッセージなど情報漏洩リスクがある機能を制限できるほか、脆弱性対策としてiOSのアップデートを一括で実施できます。さらに、デバイスの紛失・盗難があった場合に備えて、リモートロックや端末初期化を行うことで情報漏洩を防ぐほか、端末の位置情報を地図上で確認し、捜索の手掛かりに役立てることもできます。

iPhone / iPadのビジネス活用をご検討されている組織におかれましては、ぜひSKYSEA Client ViewのMDM機能のご利用も併せてご検討ください。