iOS 11、MDM、DEP、VPPでのiPhone、iPad運用基盤
ビジネス用途でiPhone、iPadを管理・運用する際に頭を悩ませるのが端末の管理と運用。Windows PCのようにデスクに固定して使うわけではないので、PCの運用とは異なる観点で考慮すべきことが多々ある。Appleもその辺は認識しているようで、サードベンダとのソリューション連携を含めた様々なツールが提供されている。ただし、自社の要件に即したベストプラクティスを見つけるのは、相当な検討時間と作業工数が発生する。
多くの時間を使って検討したとしてもAppleの方針一つで企画から再検討せざるを得なくなったり、OSがアップデートされる度に運用手順やセキュリティポリシーを変更したりする必要に迫られるので、相当なスピード感を持って取り組まないと、せっかく導入した端末が、誰にも使われずに机の引き出しや倉庫に眠ってしまうという残念な状況になってしまう。
一般的にプロジェクトの企画から終了まで考慮すべきなのは、
IT企画>業務の検討>業務アプリの検討>運用基盤の検討>セキュリティポリシの検討>端末・SIMの調達>テスト>キッティング>展開>運用>回収・廃棄
というライフサイクルになるのだろうけど、これをひとつずつ考えただけで本当にここまでしてモバイルデバイスを導入する意味があるのだろうかと頭が痛くなってしまう。とはいえ、ひとつずつ整理していくしかないのでiOS 11がリリースされたタイミングで、一旦現時点でのiOS端末の管理・運用について気がついた点をメモしておく。
- 用語の整理
- 用途
- 端末
- MDM
- MDMで、できることとそうでないこと
- セキュリティポリシー
- 監視対象端末
- アプリのインストール
- 遠隔ロック・ワイプ・紛失モード
- 位置情報
- 発信、着信履歴管理
- MDMサービス選定
- Apple Configurator 2
- VPP
- DEP
- Active Directory連携
- Office 365
- キッティング
- Apple ID
- Wi-Fiネットワーク・キャッシュサーバ
- AppleCare Help Desk Support
- MVNO
- ヘルプデスク
- Windows 10
- Android
用語の整理
まずは用語を整理する。理由はよくわからないけど、ベンダや人によって用語の表現が異なるケースがあるので、この辺は関係者で認識をあわせておかないと後々混乱するかもしれない。企画から運用まで管理者ひとりでやれるなら用語なんてどうでもいいけど、企業で運用する限り、そういったケースはあまりないはず。むしろ用語の定義としてドキュメントに残しておくと後が楽。
用途
iOS端末を使う人は誰か、目的は何か、利用する期間はいつからいつまでか。業務用アプリは内製するのか、委託開発するのか、汎用アプリを使うのか。iPad,iPhoneの両方を使うのか、どちらか一方なのか。企画の段階で決めておかないと、あれやりたいもこれもやりたいとグダグダになってしまう。まずは使う人と、用途を絞ってある程度ノウハウが溜まってから、次のステップで拡張する方針とした方がスムーズに進むはず。
端末
iOS端末といっても、2017年現在入手できる端末はiPhone 6s、iPhone SE、iPhone 7、iPhone 8、iPhone Ⅹ、iPad mini、iPad Air2、iPad、iPad Proとかなり幅広い。基本的には、検討時の最新機種を使うのが楽なのだろうけど、大量に調達するときに、在庫なしみたいな状況になったり、iPad miniの用にディスコンになるような端末は運用の継続性の観点で支障が出ることになる可能性も。
MDM
Mobile Device Managementの略。一般的には遠隔でiOSのセキュリティポリシーを変更したり、アプリやコンテンツを配信したりするための仕組み。派生系でMAM (Mobile Application Management)やMCM (Mobile Content Management)、EMM(Enterprise Mobility Management)などと呼ばれることもあるけど、言葉が明確に定義されているわけではなさそうで、MDMと明示されているサービスを使って、アプリケーションの管理やコンテンツの管理が可能なサービスもある。
ネット上で検索してヒットするサービスはそのほとんどがクラウドを前提としたサービスになっている。アップル自身でMDMのクラウドサービスは提供しておらず、別のソリューションとしてmacOSにインストールしたServer.appを利用して、ほぼMDM同様のことを実現している程度。
オンプレで構築するのは今となってはメリットは少ないと思う。そもそもAppleがサーバ用途のハードウェアをリリースしていないし、macOS+Server.appをAWSなどのIaaS環境に入れて運用するのも現実的ではないので、今から検討するならクラウドサービス一択。
MDMで、できることとそうでないこと
大前提としてMDMは遠隔で端末を自由にコントロールしたり、端末に保存されているデータを全て管理したり、リモートで端末にログインするようなツールではない。何ができて何ができないか、MDMでやりたいことが実現できない場合、別のツールやアプリを検討するなどの見極めは必要。なんでもできる魔法のツールではないという認識は持っておかないと、後々こんなはずじゃなかったってことになる。
セキュリティポリシー
運用中のPCのポリシを踏襲するという考え方もあるけど、Active Directoryのグループポリシーとはだいぶ差分がある。iOSの仕様上、MDMの仕様上できないことがあるので、上手いことスライドさせるのは難しい。とりあえずは、Mac App StoreからダウンロードできるApple Configurator 2で作成できる構成プロファイルの設定パラメータをざっと見て雰囲気を掴んでおくとMDMの設計がらくになるかもしれない。
監視対象端末
監視モード、Supervised Modeなどいくつか呼び方があるけど、アップルのドキュメントでは監視対象端末と書かれているので、それが正しいはず。監視対象端末とそうでない端末はMDMで設定できる項目に差分があって、監視対象に設定した端末の方が制限できる項目は多い。監視対象端末に設定するには後述するDEPやApple Configurator 2を利用することで設定することができる。
なおApple Configurator 2で監視対象端末に設定し、MDMの構成プロファイルをインストールするとユーザ作業で構成プロファイルを削除することが可能になるが、DEPを使った場合は、構成プロファイルの削除は抑止可能なので、DEPの方が安全性は高い。
アプリのインストール
iOSアプリのインストールにはいくつか種類がある。
・Apple Volume Purchase Program (VPP) を利用してライセンスを一括購入したアプリ
・Apple IDを利用してApp Storeからインストールするアプリ
・自社で開発した業務用のアプリ
・Webアプリ
VPPとMDMを連携させた上で、VPPで一括購入したアプリを端末に(Apple IDではない)に割り当てるとサイレントインスールしたり、必要がなくなった端末からライセンスを引き戻したりすることができる。配信対象のアプリをデバイスではなくApple IDに割り当てると、サイレントインストールはできずユーザがApple IDとパスワードを入力してインストールすることになる。MDMによってはアプリをカタログ化しておきユーザが必要とするアプリをユーザ操作によってインストールすることも可能。
VPPとMDMを使って配信されたアプリは管理対象のアプリとして設定できるので、リモートでアンインストールりたり、App Storeからユーザがインストールしたアプリへのデータ引き渡しを制限したりできる。より厳密に管理するのであれば、ユーザによるApp Storeからのインストールを禁止(App Storeのアイコンを表示させない)とする運用にする方がよりセキュリティは高くなる。
ブラウザを使うWebアプリについてはWebクリップで端末にショートカットを配信する。
いずれにしてもインストールされたアプリはMDMから一覧表示できるので、App Storeをユーザに解放するケースでは、定期的に管理者が監査するような運用方針でもいいかもしれない。
遠隔ロック・ワイプ・紛失モード
iOS端末は持ち運びが前提となっているので、社内に据え置いてあるパソコンよりも盗難に遭ったり紛失する可能性が高い。そのためMDMはリモートで端末をワイプしたり、ロックしたりするのは必須の機能。
端末を監視対象にしておくと、紛失モードに設定することができる。紛失モードはOSの初期化はされないけど、完全なロック状態にすることができる機能。紛失モード中でもMDMから端末の位置情報はMDMで取得することができるので、ワイプの前に紛失モードを利用してユーザに探してもらうといった運用にした方が、初期化して再キッティングの手間も省けるはず。
MDMによってはセルフポータルのようなユーザ向けのサイトを提供することができるので、ユーザ側に専用のURLを発行し、ユーザ自身でワイプしたり、紛失モードにしたりするといった運用を検討しても良さそう。
位置情報
端末の位置情報をリアルタイムに監視したい、端末の動きをトレースしたいといった要件はありそうだけど、実際のところMDMの位置情報はそういった用途には向いていない。どちらかと言えば場所や時間でセキュリティプロファイルを切り替えるような用途の方が向いている印象。会社内にいるときは緩めのポリシー、社外で利用するときは厳格なポリシーにするといった変更はできる。サービス残業を防ぐため、業務時間外は業務アプリを利用させないと言ったポリシーも上手くやればできるはず。
発信、着信履歴管理
MDMによっては端末の発信履歴や通話時刻、通話時間を採取することができる。プライバシーも考慮する必要はあるが、通信事業者からの通話履歴とあわせて回線ごとの料金プランをシミュレートしたり、私用電話を防ぐ目的で使ってもいいかもしれない。
MDMサービス選定
ちゃんと精査して比較検討はしていないけど、国内ベンダ、海外ベンダ含めて数十種類すぐに見つかる。ただどのベンダもWebサイトに詳細な機能は載せていないので、自社の要件にあったサービスを探し出すのはかなり難しい。 機能が豊富でも使いきれないし、機能が多ければ多いほどライセンス費用は嵩む。
端末の購入と同時に通信事業者が提案するMDMを採用してもいいけど、要件をちゃんと伝えないと高い買い物になるかもしれない。何か致命的な問題が起きた時に、モバイル端末という特性上、一度入れたMDMを入れ替えるのにはユーザ、管理者ともにかなりのパワーが必要になる。
特にiPhoneに関しては、常時持ち歩く前提の端末なので、MDM選定でミスったとしても、回収>再キッティング>再配布というのは現実的に難しい。そのあたりまで考慮して提案してくれる通信事業者であれば採用してもいいかもしれない。逆にライセンスだけ発行するから後はよろしくやっておいて、みたいな対応をするベンダは不採用にした方がよさそう。後々必ずサポートは必要になるので、不安であれば信頼できる代理店経由で購入する方が安心できる。
MDMサービスを比較していると、海外ベンダのサービスと国内ベンダのサービスがあることに気がつく。国内ベンダでも海外のサービスを日本語にローカライズしているだけといったものもある。国内で全て開発しているベンダのほうが少ない印象。海外ベンダのサービスを使うときには、管理画面やMDMアプリが日本語に対応していないと、運用に入ってからもある程度のスキルをもった運用担当者が必要になるので、運用コストが上がる可能性もでてくる。
OSの追従も検討する必要がある。アップルによるiOSのメジャーアップデートは年に一回だけど細かいアップデートは数回リリースされるので、遅くともアップルのリリース翌日には対応しているようなサービスを選びたいところ。
気をつけないといけないのは、OSアップデート前のMDM APIの動作を確認したというだけで、翌日対応としているベンダもあるし、アップデートされたOSのMDM APIに対応したバージョンを含めた上で、翌日までにリリースされるベンダもあるということ。
MDMの管理画面については、事前にでもサイトなどで確認しておいた方がよい。サービスによっては専用クライアントをPCにインストールする必要がったり、MDMベンダ特有の用語ばかりが使われていて直感的に操作できないということもある。
Apple Configurator 2
端末キッティングの自動化を検討する際に利用するツール。構成プロファイルをインストールしたり、監視端末に設定することができる。基本的にはGUIで操作できるがApple ScriptやAutomater、MDMと合わせて利用すると、キッティング時のヒューマンステップを大きく削減できるはず。なおMac専用のツールのため、WindowsやLinuxでは利用できない。利用料金は無料。
VPP
VPPサービスの登録手順は以下にエントリした。
後述するDEPのApple IDと同じメールアドレスを利用することも考えたが、別にしておいた方が運用上混乱が少なさそうなのでDEPとは別とした。同じApple IDでも登録はできるはずなので運用を考慮した上で登録するといいかもしれない。
DEP
Device Enrollment Programのアップルが提供する端末設定の自動化サービス。このサービスだけで自動化することはできず、MDMとの連携が前提条件。DEPの登録はアップルのWebサイトで行う。登録費用や毎月の費用は発生しない。登録にあたり企業ドメインのメールアドレス(フリーメールでは登録できない)とDUNSナンバー、担当者の連絡先などの情報が必要。メールアドレスは個人のメールアドレスではなく、グループメールなどで登録した方が担当者が変更になった時に引き継ぎが楽になるはず。メールアドレスはApple IDとして登録される。なお、予備の連絡先メールアドレスも必須項目なので、受信できるメールアドレスは2つ必要になる。
2、3日するとアップルの担当者から登録した電話番号宛に登録内容確認の電話が入り、利用する予定の通信事業者やMDMサービス名、登録予定の端末についてヒアリングされる。入電後問題がなければ24時間後にDEPの登録が完了し、DEPの登録番号がWeb上で発行されるので、この番号をiOSを購入する予定の代理店や通信事業者に伝えると、DEPに対応した端末が納入されるという工程。端末の購入先は限定されているようなので、端末の購入先にDEP登録が可能なことを確認して置く必要がある。端末納入とほぼ同時にDEPに購入したシリアル番号が登録される。MDMとの連携はDEPのWebサイトからトークンをダウンロードして、MDMの管理画面にアップロードすることでMDMの管理下に端末を置くことができる。
DEPの登録前に最低でも通信事業者などの端末購入先とMDMは決めておかないとDEPを利用することができない。意外に手続きに時間が掛かるので、余裕を持って作業時間を確保しておいた方がいい。
DEPとMDMを連携させることで、上述したApple Configurator 2を利用することなく「ワイヤレス」で監視モードにしたり、キッティングを自動化することができる。
DEP、MDM、VPPをうまく連携させれば端末の購入元から端末を直接ユーザに納品させ、ユーザが電源を入れた瞬間にリモートで設定した内容が反映されるというキッティングレスでの運用も可能になりそう。
Active Directory連携
Active Directoryとの連携が可能なMDMも存在する。メリットとしては、既に構築してあるディレクトリサービスとMDMサービスが連携するので、ユーザ管理が一元化できるというところか。クラウドサービスと社内にあるActive Directoryを連携するのには、中間サーバを立てたり、サーバに同期クライアントをインストールしたりすることで実現している。
Office 365
OA用途を想定してiOSを導入するケースでは、Office 365がiOSアプリにも力を入れているので使いやすい。社内のActive DirectlyとAzure AD、MDMを連携させることで、ユーザ管理もできるしOfficeアプリを管理対象のアプリに設定しておけば、管理対象以外のアプリへのデータの引き渡しなどを制限することもできる。
既にOffice 365を導入しているならば追加のライセンスは不要で、iOS端末にクライアントアプリをインストールして利用することもできるはずだ。当然OneDriveに保存されているデータの閲覧もできるし、iOSで作成、編集したドキュメント類の保存もできる。
キッティング
何年か前までは手作業でiOSの設定やアプリのインストールを行なっていたけど、かなりの工数が発生するので、前述したDEP、VPP、MDMを連携させて自動化するのが主流になっている。ユーザへの展開時はもちろん、故障した時も、修理が完了した端末の電源を入れるだけで、必要な設定やアプリがインストールされるので、運用上のメリットも大きい。手作業による作業ミスもなくなるので、可能な限り設計段階で自動化を検討した方がメリットはありそう。
Apple ID
基本的には個人での利用を前提としたサービスなので、法人利用での一元管理はできないと考えた方が良さそう。バックアップが取れたり連絡先やブラウザのブックマーク、その他個人で利用するにはかなり便利なサービス。ただユーザによる意図しない操作でデータが流出する可能性もあることを考えると、積極的に利用するのはかなりリスキーな印象。
どうしても利用しなければならないケースがあったとして、取得方法も検討しなければならない。会社のメールアドレスをApple IDに指定する場合は、端末で取得する際にアップルからメールアドレス宛にアクティベートするメールが飛びユーザ側でURLをクリックしてアクティブにするといった作業が必要になる。これは管理者負担、ユーザ負担が大きすぎる。ユーザが既にApple IDを会社のメールアドレスで取得していた時はユーザにパスワードを照会する必要も出てくる。
端末をWi-Fi接続して大量のApple IDを取得することもできないと思った方がいい。同じIPアドレスから大量のリクエストがあったらアップル側で不正取得と見なしてブロックされる。事前にアップルに告知してブロックを解除する要請をするか、LTE接続で取得するなどの方法を考慮する必要はある。
Wi-Fiネットワーク・キャッシュサーバ
iOSのアップデートや大きなサイズのアプリをダウンロードする際にはWi-Fiでのインストールが必須となる。ユーザの自宅や、フリーWi-Fiのスポットでアップデートするといった考え方もあるだろうけど、セキュリティ的にも不安はある。
そのため社内にWi-Fiネットワークを構築しておいた方が、運用しやすい。あわせてキャッシュサーバも構築しておくことで、一度ダウンロードしたアプリやOSのアップデートファイルを再度インターネット経由でアップルに取りに行くことはなく、LANの中で完結できるので、ダウンロードとインストール作業のユーザ負担は減るはず。通信費用の観点でもLTEからWi-Fiにオフロードすることで、削減できる可能性もある。
AppleCare Help Desk Support
社内のリソースで対応しきれない場合、外部ベンダに委託することも考慮しなければならないが一度アップルの法人向けサポートを検討してもいいかもしれない。価格だけ見ると高価に感じるかもしれないが、アップル専任サポートに質問できるというのは心強いはず。
https://www.apple.com/jp/support/professional/it-departments/
MVNO
いわゆる格安SIMと呼ばれているMVNOだけど、いくつもの事業者があるので選定は難しい。安いからといって安易に飛びつくと、通信制限があったり、特定の時間帯では使い物にならないほど通信速度が遅くなるケースがある。そのためコンシュマー向けのMVNOサービスではなく、法人向けのサービスを展開している事業者に相談して、最適なプランを検討する方が失敗は少ない。
ヘルプデスク
ユーザ向けの操作説明、紛失・盗難時のヘルプデスクも検討する必要がある。内製化するのか、外部に委託するのか、盗難などの緊急時には24時間365日社内のリソースで対応できるのか。端末が故障した時の修理の体制はあるのか。最近ではユーザの方がiPhone、iPadに関する知識は豊富なので、突っ込んだ質問にも回答できるスキルを持った運用担当者をアサインする必要が出てくるかもしれない。
加えてアプリやMDMのライセンス、通信費用、端末棚卸し、MDMや周辺システムの監視、操作など必要だけど見えない部分の工数は膨大になる。
どちらかと言えば末や周辺システムの設計よりも運用の方が工数負担が大きいので、一部分だけでも委託するような検討を一度はしてみた方がよい。
Windows 10
Windows 10に対応しているMDMも数多く存在する。ただActive Directoryのグループポリシーのようにきめ細やかな設定ができるサービスは今のところ見つけられていない。一部のMDMではSCCMやWSUSのような機能を持っているものもあるので、ローカルポリシーと組み合わせてうまく使えばWindows Upadateのコントロール、アプリケーション配信まで可能になる。
Android
Androidに対応したMDMも数多く存在する。機種が限定されていたり、機能が限定されていることが多いので、事前に対応している機種であることを確認する必要はある。対応機種であってもAndroidのバージョンによって制限があるのでiOSで設計したポリシーをそのまま流用するのは難しそう。端末自体のライフサイクルがiOSと比較して短かいことや、OSのアップデートがグーグルのリリースと大きくズレることもあるので慎重に検討する必要はある。
ただ端末価格が安いものが多く、ラインナップも豊富なので、用途によってはiOSよりも柔軟に設計、運用できるかもしれない。
色々書いたけど、iPhoneが発売されてから10年、本格的にビジネスに使われるようになってから6年くらいは経っているので本気でiOSを業務で使う覚悟があるならば、ノウハウを持ったエンジニアを採用した方が設計・運用を外部に委託するより安く済むかもしれない。