2020.1.27
MDMとは何か 〜今さら聞けないMDMの基礎〜
(最終更新日 : 2021/2/17)
iOS4が登場した2009年、iOSは MDM(Mobile Device Management) による端末集中管理に対応しました。あれから10年。MDMの導入は今や常識で、MDMなきiOS端末の業務活用はありえません。
もしお客様のiOS端末導入や業務用アプリ開発を支援する立場なら、MDMを導入済みかどうかの確認、もし未導入であるなら導入の提案、できれば導入と運用の支援まで行いたいものです。
本稿ではMDMの基礎を改めて振り返っておきたいと思います。
(大量のiOS端末を手動設定する様子。MDMを正しくフル活用すればこのような手間はほぼ不要となる)
MDMでできること
MDMとは、Mobile Device Management (モバイル端末管理) の略です。単語から想像できる通り、多数のモバイル端末を管理するための仕組み(プロトコル)、あるいはサービスのことを指します。
iOS端末に限らずAppleTVや、他にも Android 端末、Windows端末、macOS端末も対象になります。が、多くの場合、iOS/Android端末を管理する為に導入します。
MDMができることは以下の4つとされています。MDMサービスによって言い方や分類は微妙に異なりますが、集約すると以下の4つと考えていいでしょう。
| 機能 | 詳細 |
|---|---|
| アプリ(コンテンツ)配布 |
|
| 設定配信 |
|
| 遠隔制御 |
|
| 情報収集 |
|
MDMは、iOS等のモバイル端末導入時の懸念をほぼ全て解消します。もし以下のような心配が1つでもあるのなら、台数に関係なく1台だけでもMDMを導入することが推奨されます。
- 万が一社員が端末をなくした時に情報漏えいしないか?
- 配布する全端末をいちいち一個ずつ設定しないといけないのか?
- 社員が端末で何をしているか分からないのではないか?
- 業務で使用するAppStoreアプリを従業員に立替購入させるのか?
これらが気にならない責任者や情報管理部門はいないでしょう。MDMはこれらの心配を全て払拭してくれます。従ってMDMは法人では特に必須であり、iOS端末管理の1丁目1番地と言っても良い最も重要なサービスなのです。
MDMサービスはどこを選ぶべきか
MDMは通常、サードベンダーが提供するMDMサービスを契約・初期設定することで導入します。代表的なMDMサービスを以下にあげてみました。(以下、便宜上MDMサービスのことをMDMとよびます)
| 名称 | ベンダー |
|---|---|
| BizMobile | BizMobile |
| mobi connect | インヴェンティット |
| CLOMO MDM | アイキューブドシステム |
| Jamf | Jamf |
| Meraki | Cisco |
| AirWatch | VMWare |
| Intune | Microsoft |
これらはほんの一部で、実は世界中に何十というMDMサービスがあります。どのベンダーも揃いも揃って自社のMDMがNo.1であると喧伝している面白い業界です。
さて、どこがNo.1かはともかく。
MDMの導入にあたっては、直接ベンダーと契約するか、各メーカが定めている販売パートナーと契約を結びます。基本的に初期設定や運用は自社で行う必要があり、設計支援や運用支援までやってくれるところは稀です。
エンドユーザ企業の立場であれ、アプリを提案するSIerや開発会社の立場であれ、MDMを使いこなす自信が無い場合はベンダーや販売パートナーがどの程度サポートをしてくれるのかよく確認しておくことをお勧めします。(弊社は BizMobile の販売パートナーですが、設定・運用の代行や講習会、MDMから配布する業務アプリの選定/開発などMDMの周辺全てをご支援しています)
MDMの価格は、1台あたり月額300円、初期費用0円が平均的です。それ以上の価格の場合、前節で紹介したMDMの主要機能一覧を参考に価格妥当性を見たほうが良いでしょう。よほどの理由がない限り、
- 初期費用がかかるMDM
- 1台あたりの月額が300円以上するMDM
はお勧めしません。
誤解を恐れずに言えば、モバイル端末を管理する目的のためならMDMはどこを入れても一緒です。というのも、MDMはMDMプロトコルに準拠したプログラムに過ぎず、実現できることは誰が作ってもほぼ全て同じだからです。
差別化が非常に難しく、特別な事情がない限り「このMDMでないとできない」ということはほぼありません。「FAXをしたい」という機能要件においては、どのFAX機を買っても変わらないのと一緒ですね。
MDMを使って何をしたいのか?もしその「何」が前節の機能一覧にあるのなら、どのMDMを使っても一緒です。無い場合は、そもそもMDMでは実現できない要件の可能性があります。
MDMは一度導入すると、ほぼ100%やめれない・他のものに変えにくい性質のものなので、何がしたいのかを明確にし、サポートの充実度や価格面も勘案し慎重に吟味することをお勧めします。
MDMの技術的な仕組み
MDMがどのように動作するか、技術的な概要もおさえておきましょう。MDMは通常クラウド上で構築されておりブラウザから操作しますが、通信の流れは以下の通りとなっています。
(MDMでPUSH通知が非常に重要な役割を担う。常時オフライン前提の環境では原則MDMは使えない)
- MDMはその利用者の操作をトリガにPUSH通知サービス(APNs)にMDM用PUSHリクエストを投げる
- APNs は然るべきiOS端末にPUSHを飛ばす
- iOS端末はあらかじめ紐付けられたMDMと通信する
厳密には、2の通知によりiOS端末ではmdmdと呼ばれるMDMとの通信を司るプログラムが叩き起こされます。そして、MDMに対して「命令はなんでしょうか?」と問い合わせを行い、MDMからコマンド(命令)を受け取って実行、その結果をまたMDMに返す…というやりとりを行います。
MDMは常にこのトライアングルで動作しています。冒頭にあげた4つの役割(アプリ配布・設定配布・遠隔制御・情報収集)の全てです。そう、MDMはPUSH通知なくして機能しないのですね。
2009年当時、iOS4でPUSH通知機能の搭載が発表されました。アプリ開発界隈でとても歓迎されましたが、実はPUSH通知機能は同タイミングで登場したMDMを実現するためでもあったのですね。Appleがいかに早い時期からエンタープライズの世界を見ていたかが分かります。
MDMがネットワークのTCP/IP層でどのように動作するかについて MDMの導入で意識しておきたい社内ネットワーク設定 の投稿に詳細を解説していますので宜しければご覧ください。
最後に、MDMで重要な役割を担うPUSH通知に関連して、MDM用PUSH通知証明書について解説します。
AppStore向けにアプリ開発する際、PUSH機能を使うアプリごとにPUSH通知証明書の取得や設定が必要となりますね。デベロッパーの方はよくご存知だと思います。
(アプリ毎にAPNsへPUSHを投げるための証明書を作成する)
これと同様、MDMを使うにはMDM専用のPUSH証明書の取得や設定が必要となります。ただ、MDM用のPUSHはアプリ用のPUSHとは厳密には異なりますので、CSR生成や証明書取得の手順も大きく異なっています。
PUSH通知証明書はApple Push Certificates Portal で、MDM用のCSRを登録して入手します。
(Appleが特別に用意する証明書ポータルに、MDMサービス提供会社から入手するCSRを登録して申請する)
ここで登録するCSRはMDMサービスから提供されるもので法人しか入手できないため、必然的にMDMを使えるのは法人だけとなります。個人で入手する方法は残念ながらありません。(このため個人デベロッパーがMDMを前提としたアプリを開発するのは難しくなっています)
(BizMobileの初期設定画面で、MDM用の特別なCSRを入手する様子。各MDMが同様の機能を備える)
一部のブログ等々でCSRをADEP(Apple Developer Enterprise Program)から入手するとの記載がありますが現状では誤りですので注意して下さい。なお、PUSH証明書の取得手続きについては、MDMの導入から利用開始まで(1) 〜PUSH証明書の取得〜 に詳しく紹介しています。併せてご覧下さい。
ということで、MDMとは何か基本的なことと仕組みをご紹介しました。
上述の通り、弊社は主にBizMobileを推奨しています。黎明期からある国産MDMであり(あのMDMの内部は実はBizMobile…というケースもある)、運用のし易い作りでサポート体制もよく、価格もリーズナブルであるのがその理由です。MDMの導入支援・運用支援や代行作業をご希望の方は弊社までお問い合わせ下さい。
お知らせ : iOSDS2020で講演しますしました
2020年9月19-21日開催されたiOS関連で国内最大のイベント iOSDC2020 で、以下のようなタイトルでお話させて頂きました。
40分にわたりエンタープライズiOSの全体像をご説明しました。
本稿でご紹介したMDMにも言及。MDMが必要となる背景やプロトコルの詳細もご紹介し、ADEP, CustomApp, 監視モード, Apple Configurator2, 構成プロファイル, Apple VAR, Apple Business Manager, DEP 等々が MDM とどう連携・関連するのかを解説しています。
講演の詳細な内容は iOSDC 2020 Day1 でエンタープライズiOSについて講演しました(YouTubeで収録動画が公開されました) の投稿でご覧頂けます。録画も視聴可能です。是非ご覧ください。
