プロファイルを使用した複数デバイスの設定

概要

構成プロファイルを使うと、多数のデバイスを設定するプロセスを効率化できます。構成プロファイルを使用して設定できるプロパティには、カレンダーとEメールのカスタム設定、ネットワーク設定（Wi-FiやVPN設定など）、証明書、デバイスの制限などがあります。

構成プロファイルの導入方法には、次のような複数のオプションがあります。

• App Storeから入手可能なApple Configurator 2を使用。

• Eメールで配信。

• ウェブページ上で配信。

• 「Over-the-Air（OTA）経由のプロファイル配信と構成」で説明されているワイヤレス構成を利用。

• Mobile Device Management Serverを利用したOver-the-Air（OTA）。

プロファイルの定義

構成プロファイルは、任意のXMLツールで読み書きできるプロパティリストの形式で保存されます。

構成プロパティリストには、TopLevelオブジェクトにリストされているプロパティが含まれます。これらのプロパティには、プロファイルと、プロファイルの導入に関する規則が記述されます。具体的な構成値は、PayloadContentプロパティにあるペイロードの配列に格納されます。

各ペイロードの内容には、プロファイル固有のキー（「プロファイル固有のペイロードキー」を参照）と、すべてのペイロードに共通のキー（以下のキー定義のリストを参照）が含まれます。

PayloadType（文字列）

各ペイロードドメインのリファレンスページで指定されているペイロードタイプ。

PayloadVersion（整数）

この特定のペイロードのバージョン。

PayloadIdentifier（文字列）

ペイロードの逆DNS形式の識別子。この識別子は通常、TopLevel値と同じものであり、追加のコンポーネントが付与されます。

PayloadUUID（文字列）

ペイロードを特定するグローバル一意識別子。実際の中身は何でも構いませんが、グローバルに一意の識別子でなければなりません。macOSでは、uuidgenを使用してUUIDを生成します。

PayloadDisplayName（文字列）

プロファイルペイロード名。人が読める形式の文字列で指定します。「Detail」画面に表示される名前であり、一意である必要はありません。

PayloadDescription（文字列）

このペイロードの説明。人が読める形式の文字列で指定します。「Detail」画面に表示される説明です。

PayloadOrganization（文字列）

このプロファイルを提供する組織名。人が読める形式の文字列で指定します。この値は、組み込まれる辞書の組織ペイロード値と一致する必要はありません。

プロファイルの暗号化と署名

iOSとmacOSは、どちらも暗号化を使用してプロファイルの内容を不正アクセスから保護します。暗号化されたプロファイルは、事前にデバイスにインストールされた秘密鍵を使用しないと復号できません。プロファイルを暗号化する手順は、次の通りです。

1. PayloadContent配列を削除し、プロパティリストとしてシリアル化します。このプロパティリストの最上位オブジェクトは、辞書ではなく配列であることに注意してください。

2. シリアル化したプロパティリストに対し、エンベロープでラップしたデータとしてCMS暗号化を施します。

3. 暗号化したデータをDER（識別符号化規則）形式でシリアル化します。

4. EncryptedPayloadContentキーを使用し、プロファイルのデータプロパティリスト項目の値として、シリアル化したデータを設定します。

プロファイルに署名すると、データの整合性が保証されます。プロファイルに署名するには、DERエンコード済みのCMS Signed Data構造体にXMLプロパティリストを配置します。

SCEP構成プロファイルの例

以下のリストは、Simple Certificate Enrollment Protocol（SCEP）ペイロードが含まれているサンプルプロファイルの内容を示しています。

<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple Inc//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
   <dict>
      <key>PayloadVersion</key>
      <integer>1</integer>
      <key>PayloadUUID</key>
      <string>Ignored</string>
      <key>PayloadType</key>
      <string>Configuration</string>
      <key>PayloadIdentifier</key>
      <string>Ignored</string>
      <key>PayloadContent</key>
      <array>
         <dict>
            <key>PayloadContent</key>
            <dict>
               <key>URL</key>
               <string>https://scep.example.com/scep</string>
               <key>Name</key>
               <string>EnrollmentCAInstance</string>
               <key>Subject</key>
               <array>
                  <array>
                     <array>
                        <string>O</string>
                        <string>Example, Inc.</string>
                     </array>
                  </array>
                  <array>
                     <array>
                        <string>CN</string>
                        <string>User Device Cert</string>
                     </array>
                  </array>
               </array>
               <key>Challenge</key>
               <string>...</string>
               <key>Keysize</key>
               <integer>1024</integer>
               <key>KeyType</key>
               <string>RSA</string>
               <key>KeyUsage</key>
               <integer>5</integer>
            </dict>
            <key>PayloadDescription</key>
            <string>Provides device encryption identity</string>
            <key>PayloadUUID</key>
            <string>fd8a6b9e-0fed-406f-9571-8ec98722b713</string>
            <key>PayloadType</key>
            <string>com.apple.security.scep</string>
            <key>PayloadDisplayName</key>
            <string>Encryption Identity</string>
            <key>PayloadVersion</key>
            <integer>1</integer>
            <key>PayloadOrganization</key>
            <string>Example, Inc.</string>
            <key>PayloadIdentifier</key>
            <string>com.example.profileservice.scep</string>
         </dict>
      </array>
   </dict>
</plist>