2021.11.8

構成プロファイルのインストール方法 〜Apple Configurator を使わない方法〜

以前の投稿で Apple Configurator を使って構成プロファイルをインストールする方法を紹介しました。

本稿では、Apple Configurator を使わない方法を幾つか紹介します。構成プロファイルは単なるファイル(XMLファイル)ですので、Apple Configurator2 をわざわざ使わずともそのファイルをiOS端末に入れることさえできれば、それが構成プロファイルのインストールになります。

Apple Configurator を使わない手段は主に以下4つの方法があります。

1. Safariを使う方法
2. メールを使う方法
3. cfgutilを使う方法
4. MDMを使う方法

一つ一つ、どのような動きになるか見ていきましょう。

 

1. Safariを使う方法

各iOS端末で標準ブラウザの Safari で開いて貰う方法です。社内イントラネット内にあるWebサーバ等に構成プロファイルをアップロードして、そこへのリンクを踏めるようなページを用意します。

ページを作成しなくても、構成プロファイルのURLを直接Safariで開いて貰っても構いません。

ページか構成プロファイルのURLを何らかの方法で伝えて Safari で開いて貰います。URL先が構成プロファイルだと Safari が認識すると自動的にダウンロードされ、以下のダイアログが表示されます。

ダイアログの指示どおり、設定アプリを開いてインストールします。設定アプリ内に以下のようなメニューが現れますのでタップして画面の指示に従って進めていくとインストールできます。

(インストールまで4タップ程度が必要。詳細な画面キャプチャつき手順は過去の投稿を参照)

Safari以外のブラウザでは自動ダウンロードしてくれませんので、セキュアブラウザアプリ等を使用している場合は注意して下さい。

また、Webサーバに設置する構成プロファイルは関係者以外がダウンロードできないようにしておく必要があります。下手すると機密情報の漏洩に繋がりますので、VPN接続必須のWebサーバに設置するとか、設置箇所にBasic認証をかけるかなどの工夫をして下さい。

 

2. メールを使う方法

自由に使える安全なWebサーバがない場合、構成プロファイルをメールに添付して送るという方法もあります。

(送信する側のメールクライアントは何でも良い。構成プロファイルをファイル添付して送信するだけ)

受け取り側がメールアプリで受信すると以下のように表示されます。

添付ファイルをタップすると自動的にダウンロードされて以下のダイアログが表示されます。

指示通り設定アプリから手順に従ってインストールします。詳しくは構成プロファイルの作成とインストールの基礎 〜Apple Configuratorを使う方法〜の投稿をご覧下さい。

なお、iOS端末側のメールクライアントはApple標準のメールアプリでなければなりません。他社製アプリや、社内独自またSaaS型のWebベースメールクライアントでは自動でダウンロードされませんので注意して下さい。

(Gmailアプリで添付の構成プロファイルを開いた様子。ダウンロードしてくれない)

なお、メールで構成プロファイルを送る場合は間違っても関係者以外に送信してしまうことのないようにして下さい。

 

3. cfgutilを使う方法

以前の投稿で紹介したコマンドラインツール cfgutil を使う方法です。構成プロファイルのインストールを自動化したい場合や、既存の自動化処理に組み込むような場合に役立つ方法です。

cfgutil の install-profile コマンドを使用し、オプションに構成プロファイルを指定します。

% cfgutil -e 0xXXXXXXXXXXXXXX install-profile webclip.mobileconfig
デバイスを待機中 [1/1] [*********]  100%
cfgutil: error: このプロファイルをインストールするには、デバイスでのユーザ操作が必要です。

(Domain: ConfigurationUtilityKit.error Code: 625)
"install-profile" failed on iPhone (ECID: 0x1674D804F1A526).

このコマンド実行後にiOS端末は以下のようになります。

Safari やメールを使う方法と同じく、この後設定アプリから手順に沿ってインストールします。詳しくは構成プロファイルの作成とインストールの基礎 〜Apple Configuratorを使う方法〜の投稿をご覧下さい。

デバイスが監視モード(Supervised Mode)の場合、監視ID(Supervision Identity)を -K と -C オプションで指定する必要がありますので注意して下さい。

% cfgutil -e 0x1674D804F1A526 -K ft.der -C ft.csr install-profile webclip.mobileconfig

監視IDは Apple Configurator の設定の組織一覧からエクスポートすることができます。.der と .crt の拡張子ファイルが出力されますのでそれらを使用します。秘匿すべき情報ですのでファイルは部外に漏れないよう厳重に管理して下さい。

またDEP端末の場合、MDM側との連携が必要になりますので各MDMサービスのマニュアルを参照して下さい。(MDM側が対応していない場合DEP端末に対する cfgutil がそもそも使えない場合もあります)

 

4. MDMを使う方法

最も推奨される方法です。メリットが多く、Mac不要でネット経由インストールが可能で、どの端末にどの構成プロファイルをインストールしているか集中管理できるからです。

(国産MDMのBizMobile Go!で構成プロファイルをアップロード登録する画面)

上図の BizMobile Go! のように、多くのMDMで Apple Configurator で作成した構成プロファイルのアップロードに対応しています。ただMDMによっては、プランによって対応していない場合がありますので、構成プロファイルをMDM配布しようとする場合は事前に確認するようにして下さい。

 

以上、Apple Configurator を使わない構成プロファイルのインストール方法について紹介しました。Apple Configurator を使ったインストール方法については、構成プロファイルの作成とインストールの基礎 〜Apple Configuratorを使う方法〜の投稿をご覧下さい。