2021.9.6
MDMの導入から利用開始まで(5) -デバイスに紐付けられる3種類のプロファイルを理解する-
前回の投稿で、MDMの全体像を捉えるための考え方を紹介しました。ザックリ絵に描くと以下のようになるということでした。(まだ前回の投稿を見ていない方はまず先にご覧下さい。)
(設計図-ブループリントを作り、それを然るべき端末郡に適用する)
組織内の全端末が全く一緒というケースは稀ですので、多くの場合、設計図は幾つも作ることになります。ただ設計図を作るといっても、まずその設計図に何が含まれるのか網羅的に把握しておく必要はあるでしょう。
そこで本稿では、設計図を介してデバイスに流し込む「プロファイル」に何が含まれるかを解説します。ただ、MDMによって設定の仕方やUI/UX、使っている用語などが異なるという点は留意して下さい。冒頭の図に沿った基本的なMDMの考え方として捉えて頂ければと思います。
プロファイルは大きく3種類
エンタープライズiOSにおけるプロファイルとは組織として端末をどのように使わせるのかを規定するものです。別の言い方をすると、端末に対する「設定」「制限」「権限」「許可」といったものの定義情報と言えるでしょう。
アプリ開発者の方であれば、プロビジョニングプロファイルに馴染みがある筈です。これはInHouseアプリを起動する「権限」情報ですね。そのプロビジョニングプロファイルを含めて、プロファイルには大きく3種類があります。
| 種類 | 役割 |
|---|---|
| (1) 構成プロファイル | OSレベルの設定や制限を規定する |
| (2) DEPプロファイル | DEP端末の設定を規定する |
| (3) プロビジョニングプロファイル | アプリが端末で起動できるかどうかの権限を規定する。通常はアプリ署名時に使用 |
そもそもプロファイルという言葉を使わないMDMサービスもありますので、この3種のプロファイル名が言葉通りには出てこなくても心配は不要です。
ようは、(1)OSレベルの設定、(2)DEP端末用の設定、(3)アプリの起動権限、この3つを設計図に紐付けることができるということだけ押さえて下さい。(DEP端末についてはこちらを参考)
順に詳細を見ていきましょう。
(1) OSレベルの設定・制限 : 何ができるか Apple Configurator2 に学ぶ
以前の投稿でMDMの設計指針は Apple Configurator2 のブループリントという機能に学ぶと良いと書きました。実は、Apple Configurator2は、構成プロファイル(OSレベルの設定・制限)について学ぶ学習教材としても最適なツールです。
というのも、適用可能な設定・制限をほぼ全てカバーする構成プロファイルエディタを搭載しているからです。厳密には Apple の公式情報 Configuring Multiple Devices Using Profiles を見るべきですが、Apple Configurator2 の構成プロファイルエディタでほぼ全てを楽に俯瞰することができます。
(Apple Configurator2 の構成プロファイルエディタ。カテゴリ毎に指定可能な設定・制限を俯瞰できる)
左のペインが設定・制限できる大分類です。画面キャプチャでは見えないぐらいにカテゴリが並んでいますね。それぐらいiOSに指定できる設定・制限が多様だということです。是非、手元のMacで Apple Configurator2 から構成プロファイルエディタを起動して、どんな設定が可能なのか眺めてみて下さい。(Apple Configurator2 の使い方はこちら)
さて一方で多くのMDMサービスは、Apple Configurator2 と同様の構成プロファイルエディタ(または設定・制限エディタ)を備えています。
(jamf NOW の画面。制限を指定している様子。構成プロファイルというキーワードは使用していない)
ですが、いきなりMDMサービス上で設定・制限を設計することは余りお勧めしません。MDMサービスの契約プランによって使えない機能があり全貌を把握できない場合があるからです。また、iOS以外にWindowsやAndroidの設定用UIまで混在しているMDMもあり、MDM利用経験が浅い方は混乱必至だからです。
(あらゆるOSの設計図を Policy という概念でまとめている hexnode mdm の例)
これに対し Apple Configurator2 の構成プロファイルエディタなら、iOSに限定してどんな設定ができるのかだけを、ほぼ全て把握できます。またADP/ADEPで developer 登録していたり AppleSeed for IT の契約をしている場合は、未公開beta版の Apple Configurator2 を先行して見ることもできます。
(リリース前のiOSに設定・制限できる見込みの内容を確認できる。これはサードベンダーのMDMサービスではできない)
そういうわけで、できれば常に最新バージョンの Apple Configurator2 の構成プロファイルエディタを使って、OSレベルでどんな設定・制限ができるのか概観しておきましょう。弊社では、情シス部門に最低Mac1台を用意して、リファレンスとして Apple Configurator2 をいつでも確認できるようにしておくことを推奨しています。(Beta版利用のためにもう1台加えた計2台が理想です)
(2) DEP端末の設定 : MDMサービスの管理画面で確認
DEP端末にはOSレベルの設定・制限とは異なる次元の設定・制限があります。これをDEPプロファイルと呼びます。例えば、MDM支配下から外れることを許可するかどうかや、初期設定アシスタントの表示抑制などが含まれます。(詳しくはこちら)
DEPプロファイルの一覧は残念ながら Apple Configurator2 では見ることができません。
(DEP化という作業を行う過程でDEPプロファイルに含める設定を見ることができるが面倒臭い)
MDM仕様書の Device Enrollment Program の章(p.96)を見るのもの良い選択ですが、英語な上にこちらも分かりにくいので余りお勧めできません。
(DEP端末の詳細が記載されているが、どちらかというとMDMサービスを開発するベンダーのための内容)
よってDEP端末の設定に何が指定できるのかは、使用しているMDMサービスのサポートに、DEP(Device Enrollment Program)やADE(Automated Device Enrollment)のキーワードを告げて確認するかマニュアルを検索するのが良いでしょう。(DEPやADEの違いについてはこちら)
(弊社がよく使うBizMobile Go!ではDEPプロファイルという設定画面が用意されている)
(3) プロビジョニングプロファイルは詳細確認不要
最後のプロファイルは、プロビジョニングプロファイルです。ただプロビジョニングプロファイルを普段意識する必要はないでしょう。意識する必要があるのは、
- MDMでInHouseアプリを配信している
- 当該InHouseアプリの ipa ファイルのリビルドや再署名が困難
という極めて稀なケースです。
余り知られていませんが、プロビジョニングプロファイルの期限が切れたからといってInHouseアプリを毎年再署名(再ビルド)する必要はありません。実は MDM でInHouseアプリ用のプロビジョニングプロファイルを単体で配信し、期限が切れたInHouseアプリの利用を継続させることができます。
そのような運用が必要な場合に、設計図にInHouseアプリ用のプロビジョニングプロファイルを登録します。ただこの機能に対応していないMDMもありますので注意して下さい。
(MDMの管理下にある端末には、プロビジョニングプロファイルを単体で配信できる)
なおプロビジョニングプロファイルは Apple の Developer Console で生成するもので、InHouseアプリの場合プロビジョニングプロファイルに特別な設定は特に行いません。せいぜい Bundle Identifier と署名時に使う証明書の指定ぐらいです。
(InHouse用のプロビジョニング作成時には特別な設定を何も行わない)
通常は、再署名やリビルドで毎年InHouse用のipaファイルを生成し直す運用が多いことでしょう。プロビジョニングプロファイルは当該InHouseアプリと共にデバイスにインストールされますので、普段は特別に意識しなくてもいいわけです。この件はまた別の投稿で詳しく解説します。
以上、MDMの導入設計に関連して「プロファイル」について解説しました。
今一度まとめると、「設計図」に盛り込むプロファイルが3つあるということでした。
通常、MDM導入の設計時には構成プロファイル、つまりOSレベルの設定・制限を意識するのみで十分です。(1)に書いた通り Apple Configurator2 の構成プロファイルエディタを設計の参考にして下さい。
