iOS 15の組織内での導入

こんにちは Alexandre Morinです シニアコンサルティングエンジニアとして 世界中の企業や教育機関のお客様を サポートしています デバイスとコンテンツの管理を 専門としています iOS 15とiPadOS 15を 組織の動作環境に導入する方法 について紹介でき光栄です iOS 15では 大切な人と つながれる新しい方法 タスクに集中するためのパワフルな ツールや マップの魅力的な 各種アップデートが提供されているほか 新しいプライバシー保護機能により データの透明性が高まり データをより詳細に管理できる ようになりました iPadOS 15では あらゆることを 簡単にこなせます 情報をスムーズに見つけて整理でき マルチタスキング機能も より見つけやすく 使いやすくなりました ウィジェットをホーム画面上のAppと 一緒に配置できたり どんなAppや画面を開いていても クイックメモでコメントやアイデアを 書きとめられるようになりました iOS 15とiPadOS 15では デバイス管理に特化した アップデートも搭載されており これにより教育機関や企業の環境で デバイスの導入と管理をさらに改善できます WWDC21では 数々のセッションで こうしたアップデートや新機能が 詳しく取り上げられました まずは「Appleデバイス管理に関する 新機能」を 関連するセッションに先立って見ることを おすすめします 同僚のGrahamとNadiaが 「設定」の刷新されたデバイス管理機能や 「管理対象のペーストボード」のような 新しい管理機能を 紹介しています このセッションでは iOSデバイスとiPadOSデバイスを 大規模に導入するための基礎知識と WWDC21以降に追加された 新しいデバイス管理のアップデートを 紹介します 本日紹介する管理機能すべてにおいて 基盤となるテクノロジーは MDMと呼ばれる モバイルデバイス管理です MDMは Appleが デベロッパ向けに提供している デバイス管理ソリューションを開発 するためのフレームワークです そうしたソリューションは ユーザーインターフェイスや市場の焦点が 異なるとしても すべてAppleが定義する 同じAPIセットから動作します iOSデバイスとiPadOSデバイスを 組織に導入する際に 最初に決めるべき重要なことは デバイスの所有モデルと 接続オプションです デバイスの所有者が誰かによって 利用可能なデバイス管理機能が 大きく異なります 組織としてデバイスを購入し 従業員や学生に配布する場合 組織はデバイス管理機能を フルに利用できます 各ユーザーに1台ずつ配布する 1人1台のデバイス導入モデルと ユーザー間でデバイスを交代で使う 共用のデバイス導入モデルがあります 一方 ユーザーが所有する デバイスをサポートする場合 組織が利用できる管理機能は限定され デバイスの所有者に より多くの権限があります 決めるべき重要なことの2つ目は デバイスに配備する 接続の種類です 組織所有のデバイスでも ユーザーが所有するデバイスでも Wi-Fiに加えて携帯電話通信サービスを 利用できるようにすることが可能です プライベートセルラーネットワークや 緊急通報サービスの利用を 検討することもできます iPadでは 5Gに対応した 新しいiPad miniのように 携帯電話通信機能を内蔵することで 従業員や学生の使用パターンを 変えることができます 携帯電話通信機能に対応した デバイスを導入する際は 物理的なSIMとeSIMの どちらを使用するかを 検討する必要があります 簡単に取り外せて 盗難や紛失の恐れがある 物理的なSIMとは異なり eSIMはソフトウェアベースであり MDMの制約を使って デバイスにロックできます また MDMを使用して 数百台 数千台 数万台のデバイスに インストールできるため 大規模な導入も容易です これは物理的にSIMを挿入するよりも はるかに効率的で 費用対効果に優れています eSIMテクノロジーのもう1つの利点は MDMを使用することで 新しいSIMカードを入手したり 各デバイスに物理的にアクセスしたりする 必要がなく 既存の環境で 通信事業者を試したり 変更したりできることです このような利点があるため eSIMは携帯電話通信機能に対応した デバイスを大量に導入するのに最適です 最近のiPhoneモデルはDual SIMに 対応しており 同時に2つの音声回線を利用できます ビジネス回線とパーソナル回線 として利用することもできれば 救急隊員やフィールドワーカーなどの 現場で作業する従業員のために 2つのビジネス回線を用意することも可能です 通常 物理的なSIMとeSIMの 組み合わせで利用します iPhone 13はデュアルeSIMに 対応しているため 携帯電話通信機能に対応した導入に さらに柔軟性を持たせることができます MDMを使用して 一方または両方のeSIMを ユーザー向けにプロビジョニングしたり ユーザーが一方のeSIMを ニーズの変化に応じて 管理したりできます デバイスの所有モデルと 接続オプションを選択したら デバイスを導入および管理する必要があります 導入のすべての側面は デバイスを所有するのが 組織かユーザーかに 左右されますので それぞれ説明します まず 組織としてデバイスを購入し 従業員や学生に配布する場合の デバイス導入について説明します ここでは 優れた導入戦略を形成する 4つの分野 すなわち 登録 継続的な管理 コンテンツ および再導入について説明します まず 組織所有のデバイスの登録についてです 組織所有のデバイスの登録に最適なのは 「自動デバイス登録」です デバイスに触れずに 導入ワークフローを実施できます 自動デバイス登録を行ったデバイスは 自動的に監視対象になり Appleが定義する管理オプションのすべてに アクセスできるようになります この方法では 組織のニーズに応じて 登録内容をカスタマイズできます カスタムブランディングや 同意文を表示できます また Azure AD Okta あるいはPingなどの 最新の認証サービスを使って デバイスの設定プロセスを 安全に行うことができます さらに ソフトウェアアップデート の後に表示される画面を含む いくつかの設定アシスタント画面を スキップできます これは 今後のソフトウェアアップデートの際にも 同様にスキップされますから キオスクのような 無人端末機に最適です なお 自動デバイス登録は ユーザーが管理を解除できない 唯一の登録方法です このプロセスはすべて Apple School Managerまたは Apple Business Managerと呼ばれる Webベースのポータルで実現されます AppleやApple製品取扱店から 購入したデバイスは このポータルに表示され デバイスを自動的にMDMサーバに 割り当てるよう設定できます デバイスが開封されアクティベートされると このポータルからデバイスに MDMへの登録を指示し MDMで定義した登録設定を適用します AppleやApple製品取扱店以外で 購入したデバイスの場合は MacでApple Configurator 2を使って iPhone iPad Apple TVといったデバイスを 手動でApple School Managerまたは Apple Business Manager に追加できます デバイスを手動で追加する場合 ユーザーがオプトアウトして デバイスを管理から解除できる 30日間の暫定期間があります 30日間を過ぎると デバイスは永久的に追加されます デバイスがApple School Managerまたは Apple Business Managerに 登録されると MDMで定義した登録設定が 適用されます 1人1台のデバイス導入モデルでは 通常 エンドユーザーが 箱から出してすぐに設定します ここで 特定の設定アシスタント画面 をスキップする機能があると ユーザーがスムーズに 設定できます 言語と国を選択すると 慣れ親しんだ設定アシスタントのプロセスに MDMへの登録が統合されます ユーザー間でデバイスを交代で使う場合 登録設定で共有iPadを有効にできます この機能により 共有デバイスを使用する 学生や従業員一人ひとりに 1人1台のデバイス導入モデルと同じような パーソナライズされた体験を提供できます すべての導入タイプにおいて Apple Configurator 2を使えば 初期のデバイスプロビジョニング操作を よりスムーズかつ迅速に行うことができます デバイスに一切触れることなく 一度に数十台ものデバイスを プロビジョニングできます お住まいの地域で Apple School Managerまたは Apple Business Managerに アクセスできない場合は 自動デバイス登録の代わりに 「デバイス登録」という方法があります これにより 組織で所有するデバイスを 強力に管理された方法で導入できます このためには Apple Configurator 2を使って USB経由でデバイス管理を有効にし デバイス登録を利用して MDMに登録する必要があります どちらの場合も Apple Configurator 2を使って 1回の操作で行うことができます Apple School Managerまたは Apple Business Manager での登録に含まれている MDMのロック機能は利用できませんが ここで取り上げた機能のほとんどは 利用できます 組織所有のデバイスを登録できたので 次に継続的な管理についてお話しします 先に述べたように MDM管理は すべてのiOSおよびiPadOSデバイスの オペレーティングシステムに組み込まれています デバイスの管理状態や 使用しているMDM機能については ユーザーも組織も 設定Appで確認できます MDMの各種機能は ペイロード 機能制限 タスク またはクエリに 分類されます 構成プロファイルは Appleデバイスに 設定と認証情報を読み込む ペイロードで構成されています 構成プロファイルにより 設定 アカウント 機能制限 認証情報の 構成が自動化されます これらの異なるペイロードタイプを使用して パスコードポリシーを適用したり 機密性の高い環境での カメラへのアクセスを制限したり カスタムフォントを導入したりできます メール 連絡先 カレンダーのアカウント情報を ユーザーごとに設定できます デバイスにWi-FiやVPNなどの ネットワーク情報や これらの 接続に必要な証明書を設定できます 組織への導入で最も重要な MDMペイロードの1つは 機能制限です 機能制限はセキュリティポリシーを徹底し ユーザーがタスクに集中できるようにします 一般的な機能制限では デバイス名を 変更できないようにしたり iCloudサービスやApp Store を無効にして ユーザーが サードパーティ製Appをインストール できないようにしたりします その場合でも MDMを使用して Appを導入することは可能です また サードパーティ製Appや ほとんどのシステムAppについて 任意のAppをホーム画面に 表示したり非表示にしたり ということもできます WWDCでは「Managed Open In」 を補完する 「管理対象のペーストボード」という 新しい機能制限が発表されました 「Managed Open In」は 管理対象ソースからの 添付ファイルや書類が 管理対象外のデバイスなどで 誤って開かれることを防ぎ またその逆の場合も防ぎます 例えば 機密メールの添付ファイルを ユーザーの個人用Appで開くことはできません 同様にこの機能制限で 個人の文書が誤って組織のデータに 混入することを防ぐこともできます WWDCでは ユーザーのプライバシーを保護し トラフィックを暗号化する機能として iCloudプライベートリレーが発表されました また WWDC以降の新機能として 監視対象の制限が導入されており デバイス上でiCloudプライベートリレーを オフにできます WWDCでは mask.icloud.comの DNSの否定応答を返すことで この機能を制限できることを ネットワーク管理者に お伝えしました WWDC以降 2つ目のホストである mask-h2.icloud.comを 追加しました 便利な機能制限の例をもう少し紹介しましょう USBペアリングの管理は 物理的な接続を介した デバイスへのアクセスだけでなく ログの収集といった ITタスクのためのアクセスを 可能にするためにも重要です これまでIT管理者は USBの 接続を一切行わないように 登録設定を行ってきました この方法は非推奨となり より柔軟な新しい方法が登場しました 監視対象の制限 allowHostPairingです この制限を設定すると 組織のiOS／iPadOSデバイスと 同じ監視識別情報を持つ コンピュータのみが USB経由で アクセスできるようになります この方法の最大の利点は これらの設定を変更する際に デバイスを復元する必要がないことです アクセスが必要になっても ロックアウトされることはありません 最後に 皆さんはパスコードを 忘れてしまったユーザーから デバイスの解除について問い合わせを 受けたことがあると思います ユーザーが 最後のロック解除以降に Wi-Fi専用のデバイスを再起動すると Wi-Fiの認証情報は暗号化されたままで デバイスはネットワーク外となり MDMはパスコードの消去コマンド を送信できません この状況では Ethernetアダプタが 非常に役立ちます 事前にUSBRestrictedModeを 無効にしていた場合は ここでEthernetに接続されて パスコードの消去コマンドが デバイスに送信されます これは 機能制限がもたらす セキュリティ上のメリットと 機能サポート上の考慮を 比較検討した一例です 完全にロックすることが 害を及ぼすこともあるからです さて MDMに登録されたデバイスは 多くの直接的な管理タスクによって管理でき 強力なリモート機能を組織に提供します 管理タスクでは Appのインストール デバイスのリモートワイプ ソフトウェアアップデートの インストールなど デバイスに対して 特定のアクションを実行します ここで注目すべきタスクは 紛失モードと アクティベーションロックです 紛失したデバイスや置き忘れた デバイスを探すには 「管理対象紛失モード」を使用します MDMを使用して デバイスを 紛失モードにして探します この間 MDMはデバイスの 位置情報を収集したり 警告音を鳴らしたりできます デバイスはロックされ 組織の連絡先が表示された カスタムメッセージが 表示されるので デバイスを見つけた人は追跡中の デバイスであるとわかります また MDMがデバイスの 紛失モードをオフにすると ロック画面には デバイスの 位置情報が特定されたこと そしてその時刻を知らせる メッセージが表示されます 重要なのは 紛失モードでは ユーザーにiCloudの使用や 位置情報サービスへのアクセスの 許可をリクエストしないことです 実は 位置情報サービスをオフにしても 紛失モードは機能します 紛失モードのプライバシーに関する通知は ユーザーのプライバシーとIT管理上の 考慮のバランスを取っています Apple School Managerまたは Apple Business Managerの デバイスには デバイスベースの アクティベーションロックが搭載されて いるので盗難防止が容易です デバイスベースのアクティベーション ロックを活用することで MDMはデバイスやユーザーの iCloudアカウントに関する操作なしに Appleのサーバから直接 アクティベーションロックを 有効／無効にできます 組織が所有するデバイスでは この方法のみを使用し ユーザーが 自分のiCloudアカウントを使って デバイスをアクティベーションロック できないようにしてください ユーザーがユーザーベースの アクティベーションロックを 使用する場合でも MDMは バイパスコードを取得し そのコードとデバイスに 送信されるコマンドで アクティベーションロックを解除できます MDMでは管理対象のデバイスを照会できるので デバイスのステータスや デバイスがコンプライアンス基準を 満たしているかどうかを確認できます MDMに送信されるインベントリの更新で デバイス名を確認したり リモートで設定したり ロックしたりもできます バッテリー残量のデータは デバイスのバッテリーが 丸一日持続するかどうかを 把握するのに役立ち ローミングステータスは 高額な携帯電話通信料の 発生を警告してくれます そしてもちろん パスコード要求 によるコンプライアンスは 組織のデバイスとデータを セキュリティ保護するのに役立ちます デバイス管理の目的の多くは ソフトウェアアップデートの 管理および配信などの 重要なケースに見られるように 一連の機能制限 クエリ およびタスクを 組み合わせることで達成されます 「組織内でのソフトウェア アップデートの管理」では 同僚のLucyがソフトウェアの アップデート管理について取り上げました iOS 15の導入準備として 何点か振り返りつつ補足したいと思います ベータ版のソフトウェアアップデート がリリースされると AppleSeed for ITを利用して それを入手し 組織の動作環境でテストできます AppleSeed for ITでは IT部門向けのリリースノートや テストプランにアクセスし 直接フィードバックを送ることができます AppleSeed for ITについて詳しくは WWDC20のセッションを視聴してださい ソフトウェアアップデートを組織の 動作環境で検証するのに ベータサイクルよりも長い 時間が必要な場合は アップデートを最大90日間延期できます iOSとiPadOSで すべてのアップデートに 同じ延期の値が適用されます 延期とは 本来ならば「設定」で ユーザーに表示されるアップデートが 指定した期間が過ぎるまで 非表示になることです 延期は MDMコマンド Apple Configurator 2 またはmacOSのFinderで デバイスをアップデートする 機能には影響しません MDMを使用して 監視対象デバイスに 最新のOSまたは 特定のOSバージョンを インストールできます 延期されたアップデートが ユーザーには非表示になっていてもです また WWDC21以降の新機能として 一般公開版を待たずに ベータ版のアップデートを延期して 延期のワークフローを テストできるようになりました デバイスをアップデートする準備が整い MDMのインストールコマンドを送信すると アップデートを促すメッセージが 各デバイスに表示され 所属組織が要求しているアップデート であることがユーザーに通知されます MDMから送信されるアップデートはすべて 必須のアップデートとして扱われ ユーザーがそうしたアップデートを 延期できるのは3回までです 3回延期した後は アップデートしなければ 緊急電話を除いて ユーザーはデバイスを引き続き 使用することができなくなります パスコードが設定されている デバイスでのアップデートは ユーザーはパスコードを入力して 承認する必要があります iOS 15とiPadOS 15を筆頭に iOS 14.5／iPadOS 14.5以降を 利用するユーザーに 2つのソフトウェアアップデート のバージョンから選ぶオプションが 表示されるようになりました これにより 最新バージョン のiOS 15／iPadOS 15が リリースされると ユーザーは すぐにアップデートできます あるいはiOS 14／iPadOS 14 を継続したままで 重要なセキュリティアップデート を適用できます アップデートのオプションは 一定期間表示されます MDMは提示するオプションを 設定コマンドの RecommendationCadence という新しいキーで 管理できます こうしたアップデートのオプションでは 当然 組織が設定した ソフトウェアアップデートの 延期期間が適用されます RecommendationCadenceが 0の場合 ユーザーには iOS 14またはiOS 15のリリースに アップデートするオプションが 表示されます RecommendationCadenceが 1の場合 ユーザーには iOS 14のリリースに アップデートするオプションしか 表示されません RecommendationCadenceが 2の場合 ユーザーには iOS 15のリリースに アップデートするオプションしか 表示されません いずれの場合も 組織が設定した 延期ポリシーは尊重されます こうしたアップデートのオプションは MDMソリューションで処理されますが ここで提供されている カスタムコマンドを送信して RecommendationCadenceを 組織のデバイスに設定する こともできるかもしれません 先ほど 共有iPadについて触れましたが 共有iPadを有効にする際に 考慮すべき点について もう少し詳しく説明したいと思います ユーザーはApple School Managerまたは Apple Business Managerで作成した 管理対象Apple IDでサインインします 教育機関であれば 所属組織の学生情報システムと同期すれば 管理対象Apple IDを自動的に作成できます またAzure Active Directoryを 使用している場合は 既存の認証情報を活用できるよう 設定することもできます 認証情報がないユーザーは 一時セッションで データを残さずに 共有iPadにログインできます 共有iPadはコンテンツキャッシュ と連動しています これについては 後ほど デバイス上でのコンテンツ取得 のところで説明します また テザリングキャッシュを使うと Macがコンテンツキャッシュと Ethernet接続をUSB経由で 共有iPadデバイスの カートに提供することで Wi-FiネットワークからAppやiPad OSの アップデートトラフィックを オフロードすることができます デバイスの登録と管理については以上です 次に コンテンツ導入を考えましょう 従業員や学生にAppやブックを配信するには Apple School Managerまたは Apple Business Managerで コンテンツのライセンスを取得します App Storeで配信される サードパーティ製App Apple Booksのブック およびカスタムApp のライセンスを購入します カスタムAppは 社内外のデベロッパによって その組織専用に作成されたもので その組織だけが Apple School Managerまたは Apple Business Managerで 購入できます なお カスタムAppは AppleがホストするAppですが 一般向けには提供されていません Appleはデバイスベースとユーザーベースの 両方のApp配信を提供しています 組織所有のデバイスでは デバイスベースのApp配信を利用します ライセンスを取得したら MDMを使用して デバイスに直接Appを割り当て配信します 各デバイスでApple IDを設定したり 各ユーザーに参加依頼を 送信したりする必要はありません 組織がAppのライセンスの 完全な所有権を維持し デバイスからライセンスを取り消したり 別のデバイスに割り当て直したりできます

優れたユーザー体験を提供し ネットワークの遅延を抑えるため ネットワーク上でコンテンツキャッシュを 有効にしてください このサービスはmacOSに組み込まれており よくダウンロードされるアセットを ローカルにキャッシュします App StoreのAppや ブック iCloudコンテンツなどの アセットをキャッシュすると 共有iPadでユーザーコンテンツ を同期する際に役立ちます 中でも便利なのは MDMやユーザーが 組織のネットワーク上で デバイスをアップデートする際に ソフトウェアアップデートを キャッシュする機能でしょう

1人1台のデバイス導入モデルを成功させ 拡張性の高い導入にするには 最初に導入するAppの数を 1つまたは数個に抑える必要があります そのようにして ユーザーに初期アクセスと 生産性を迅速に提供しながら ユーザーが必要に応じて デバイスに追加のAppを インストールできるようにします また Appの導入トラフィックの大部分を 帯域外に移動させ トラフィックが集中しないよう 導入時間とネットワークを分散させます 共有iPadの導入では ユーザーによるAppのインストール は推奨されません 組織として すべての共有iPadデバイスに すべてのAppをインストールした上で MDMの「Appを表示／非表示」ペイロード を使ってAppを選択する必要があります その際 グループメンバーシップ に基づき 各ユーザーのニーズに 合わせてAppを選択します これにより ユーザーはログインするたびに Appをインストールする必要がなくなります デバイスのコンテンツを管理する 方法がわかったところで デバイスを再導入または 再利用する方法を確認しましょう

デバイスを再導入／再利用する際は 組織のデータやユーザーデータを 安全かつ確実に消去する必要があります 組織またはユーザーは デバイスが手元にある状態で 「設定」の「すべてのコンテンツと 設定を消去」オプションを使って すべての暗号化キーを削除し デバイス上のすべての ユーザーデータを暗号化して アクセスできないように することができます こうすることで デバイスから すべての個人情報を 確実に消去した上で デバイスを誰かに譲ったり 修理やアップグレードのために 返却したりできます これはApple Configurator 2 macOSのFinder または MDMのリモートワイプコマンド を使って行うこともできます ここまでで 組織がデバイスを購入して 従業員や学生に配布する場合の デバイスの導入について 4つの重要な分野を考えてきました 一方 ユーザーが所有する デバイスを管理する場合や その両方が混在している場合もあります 4つの導入フェーズを ユーザーが所有するデバイスについても 同じように考えてみましょう まず デバイスの登録についてです ユーザーが所有するデバイスには 「ユーザー登録」があります ユーザー登録は 従業員や学生が 自分のデバイスを職場や学校に 持ち込んで使用する場合に特化して 設計されたものです ユーザー登録は 個人データのプライバシーを保護しつつ デバイス上の組織のデータを セキュリティ保護するために使用します WWDC21では同僚のTimmとMelissaが 「アカウント駆動型ユーザ登録」セッションで ユーザー登録のオンボーディングと 認証機能の大幅な改善について 紹介しました ここで ユーザー登録の基本を確認しつつ この素晴らしいセッションに 何点か補足したいと思います ユーザー登録には 管理対象Apple IDが必要です 管理対象Apple IDは 組織によって所有および管理され iCloudなどのAppleサービスへの アクセスに必要です 管理対象Apple IDはフェデレーションや SIS（学生情報システム）との同期により ユーザーに提供できます ユーザー登録では 個人用Apple IDに加えて 管理対象Apple IDを使用します 管理対象および管理対象外のAppは 正しいiCloudアカウントを それぞれ自動的に使用します データの分離では 組織のデータとユーザーのデータを 暗号化された 別々のAPFSボリュームに 確実に分離します iOS 15とiPadOS 15には 個人所有の デバイスへの対応を さらに向上させる ユーザー登録の 新しいアップデートがあります 慣れ親しんだ設定アシスタントが利用できる 自動デバイス登録と同様に iOS 15とiPadOS 15でも 似たようなアプローチで ユーザー登録のプロセスを効率化しています ユーザーはアカウントや設定の 管理に慣れているので ユーザー登録のプロセスを 直感的に開始できます

管理対象Apple IDを ユーザーに提供できない場合や Apple School Managerまたは Apple Business Managerへの アクセスがない場合は ユーザーが所有するデバイスを 登録する別の方法として 「デバイス登録」があります この登録タイプは ユーザー登録に比べて ユーザーのプライバシーが守られないため 個人所有のデバイスを組織のMDMに 登録するかどうかについて ユーザーはより慎重になるかもしれません 登録タイプの選択肢が2つある場合は ユーザー登録を選択します ユーザーが個人所有のデバイスを 組織のMDMに登録することを 選択すると 組織は特定の管理機能を 利用できるようになります ユーザー登録の管理機能は BYODに特化して厳選されているため 企業アカウントやVPN設定を構成できます ユーザーのデバイスにパスコードを 要求することもできますが ポリシー上 非常に長くて 複雑すぎるパスコードを 要求することはできません 管理対象のAppは導入できますが ユーザー個人のAppを 管理することはできません こうした機能により MDMに インストールされたAppについては 詳細を確認できますが 個人のAppについてはできません 組織として 個人情報や ユーザーの位置情報に アクセスしたり ユーザーのデバイス全体を リモートワイプすることはできません ただし 組織のAppやアカウント およびデータは いつでも削除できます このようにしてユーザー登録では ユーザーのプライバシーと データをセキュリティ保護する ニーズとのバランスを取っています ユーザー登録はManaged Open In を完全にサポートしているので 組織提供のデバイスと同じように 強力なデータフロー管理機能を 利用できます これには ユーザーが誤って Managed Open Inの境界を越えて データを移動しないようにする 「管理対象のペーストボード」も含まれます

ユーザー登録を利用すれば ユーザーは管理対象Apple IDと 個人用Apple IDの両方でログインできます ですので ユーザーにはデバイスの紛失時に 個人で対応できるよう 「探す」を有効にすることを推奨してください アクティベーションロックも同様です ユーザーがデバイスを所有し デバイスをロックするための キーを管理します 以上が ユーザー登録で提供される デバイス管理機能です ここからは デバイスへのコンテンツ導入 について説明します 組織所有のデバイスの場合と同様 Apple School Managerまたは Apple Business Managerの 「Appとブック」セクションで ライセンスを購入できます 組織所有のデバイスでは デバイスベースのApp配信を行い ユーザー登録のデバイスでは ユーザーの管理対象Apple ID にライセンスを割り当てます ユーザーは自分のデバイスへのインストール を承認する必要がありますが 管理対象Apple IDと ライセンスは どちらも Apple School Managerまたは Apple Business Manager から提供されているため 利用規約の確認はありません Appのライセンスについては 組織が完全な所有権を維持し 自由に再利用できます WWDC21では ユーザー所有のデバイスに 主要なAppをインストールする際に役立つ Required Appが発表されました AppカタログやVPN Appなど 確実にインストールしたいAppがある場合 Required Appで指定しておけば 監視対象外のデバイスに サイレントでインストールされます これはカスタムAppでも同様です また ユーザー登録されたデバイスに 主要な管理対象のAppが インストールされたままにするために それらのAppを削除不可としてマークできます それらのAppを削除しようとすると ユーザーに警告が表示されます これは セルフサービスの MDMエージェントAppなど 重要なAppに活用できる機能で ユーザー所有のデバイスへの導入完了時 またはユーザーがデバイス をアップグレードしたり 組織を離れるといったケースにも適用できます どのような理由であれ いずれはユーザー所有のデバイスを 管理から削除する必要が発生します その場合の登録解除は ユーザー自身がデバイスの 「設定」で行うことができます MDMを使用して 登録解除することもできます さらに 再利用されるデバイスが 「すべてのコンテンツと設定を消去」 Apple Configurator 2 またはFinderを使って消去され 事実上デバイスの登録が 解除されるという場合もあります 従業員や学生が 新しいデバイスに移行する場合は 個人のデータのみが移行されます デバイス設定後に そのデバイスに新たなMDM登録を行うことで データはバックアップされ移行が完了します 以上 組織所有のデバイスと ユーザーが所有するデバイスの両方について 4つの重要な分野を説明しました それでは iOS 15とiPadOS 15の導入に 役立つリソースを確認しましょう 先に述べた通り AppleSeed for ITから プレリリース版のAppleのソフトウェアに アクセスしてダウンロードし 組織の動作環境でテストできます 詳細なテスト計画も用意されているほか お寄せいただいたフィードバックは 企業や教育機関の専用キューに 送信されるようになっています Apple School Managerや Apple Business Managerの 「ユーザガイド」は ユーザーのデバイスや コンテンツの管理に役立ちます Appleデバイス導入リファレンスは 本日お話ししたトピックに関する テクニカルドキュメントで MDMのサポート情報やインフラ およびサービス統合など についても参照いただけます 「Appleプラットフォームのセキュリティ」は Appleプラットフォームにまたがる すべてのソフトウェア ハードウェア およびサービスに関するセキュリティ情報を 提供しています また AppleCare Professional Supportの Webサイトでは AppleCare for Enterpriseをはじめとする AppleCare OS Supportプランで IT部門やITヘルプデスク向けに 提供されている各種プログラム の情報を掲載しています 皆さんの動作環境で iOSやiPadOSの導入が 成功することを願っています ご視聴ありがとうございました