MDMの仕組みを紐解く(Apple) ※過去記事
MDMの仕組みを紐解く(Apple) ~①MDMの概要紹介~
MDMの仕組みを紐解く(Apple) ~②モバイル端末を操るMDMコマンド~
Appleデバイスを MDM で管理する上で重要になってくる要素に
「監視モード(Supervised Mode)」というものがあります。
今回は、この「監視モード」について紹介いたします。
「監視モード(Supervised Mode)」とは?
監視モードとは、Appleデバイスに対してより強力な管理と制御を提供する機能です。 このモードを有効にすることで、管理者はデバイスの設定や動作を細かく制御できるようになるため、 組織で所有する Appleデバイスを管理するには、「必須」の機能といっても過言ではありません。
例えば、iPhoneが監視モードになっている場合、「設定」アプリの検索フィールドの下に 「このiPhoneは <組織名>によって監視および管理されています>」といった文言が表示されます。
監視モードのメリット
監視モードが設定されている場合にのみ利用できる、制御・命令が数多く存在します。 全てを紹介することはできませんが、その一部を紹介させていただきます。
| 監視モードの場合にのみ可能な制御・命令の一例 | 概要 |
|---|---|
| 紛失モード | 遠隔で紛失モードの有効化が行えます。 紛失モードを有効化すると、特殊なロック状態となり操作できないようにします。その他にも、音を鳴らしたり、位置情報を取得することなどが可能です。 |
| OSアップデート | 遠隔でOSアップデートの指示が可能です。 日常のOSアップデートの実施や、OSに脆弱性が見つかった場合に即座にOSアップデートを実施するといった運用などが可能になります。 |
| デバイス名の変更 | 遠隔でデバイス名の変更が可能です。 組織でデバイス名の命名ルールがある場合など、遠隔で設定できると便利です。 |
| アプリのサイレントインストール | 監視モードの場合、遠隔で強制的にアプリのインストールが可能です。[1](監視モードではない場合でもアプリのインストール命令がおこなえますが、ユーザー側でインストールするかどうかのポップアップが表示されます) |
| ユーザー操作によるアプリインストールの禁止 | App Storeでのアプリインストールなどを禁止することが可能です。遠隔でのアプリインストールと組み合わせて、組織が許可したアプリしか使わせないといった運用が可能です。 |
| AirDropの利用禁止 | Apple製品間で各種ファイルを直接共有することができるAirDropの利用を制限可能です。AirDropを経由したファイルの不正な持ち出しなどを防ぐことができます。 |
| インターネット共有(テザリング)の禁止 | インターネット共有(テザリング)を禁止することができます。組織所有のSIMによるデータ通信を、私用目的で共有するようなことを防ぐことが可能です。 |
| 初期化の禁止 | ユーザーが初期化するのを禁止することが可能です。 誤って初期化されてしまうことや、デバイスを私的利用するために悪意を持って初期化されるようなケースを防ぐことができます。 |
| ...etc. | これらの他にも、監視モードでしか制御できない設定や命令が多数あります! |
いかがでしょうか?監視モードで可能となることを一部だけ紹介させていただきましたが 組織でAppleデバイスを管理する上で役立つような、制御・命令が多くあることを 分かっていただけたのではないかと思います。
監視モードの設定方法
監視モードを設定するための方法は2つあります。
- ゼロタッチ登録を使用する方法
- Apple Configurator を使用する方法
ゼロタッチ登録
ゼロタッチ登録は、事前準備さえしておけば購入したばかりの端末でもネットワークにつなげるだけでMDMの管理下となり 自動で各種設定やアプリのインストール等をおこなうことが出来る、とても便利な機能です! そして、ゼロタッチ登録を使ってセットアップしたデバイスは自動的に監視モードになります。
組織でMDMを使って多数のAppleデバイスを管理する場合は、セットアップ工数の削減のためにも、ゼロタッチ登録で監視モードにするのが一般的かと思います。
ゼロタッチ登録を利用するためには、Appleが提供するApple Business Manager/Apple School Manager との連携が必要です。これらについては、ゼロタッチ登録などと合わせて、また後日紹介させていただこうと思います。
Apple Configuratorを使用する方法
Mac の Apple Configurator というアプリを使うことで、iPhoneやiPadを監視モードにすることも可能です。
監視モードに設定したいiPhoneやiPadをUSBケーブルでMacに接続し、Apple Configurator アプリ上から監視モード設定を行います。
※ 注意点としては、監視モードにする際にはデバイスが必ず初期化されます。
どちらの設定方法においても 監視モードの有効化には、”セットアップ前の端末(もしくは初期化した端末)”が必須となります。 そのため、すでに運用しているAppleデバイスを後から監視モードに変更するのは少しハードルが高くなってしまいます。
デバイスを管理する方法を事前に検討し、組織のAppleデバイスを新規購入(入れ替え)のタイミングなどに合わせて、計画的に動いていくことが大事になってきます。
おわりに
今回は Appleデバイスにおける監視モードについて紹介させていただきました。
組織のApple デバイスをMDMで管理する上で重要なモードだということが、分かっていただけたのではないでしょうか。
SKYSEA Client View においても、監視モードのメリットとして紹介させていただいた項目はもちろんご利用いただくことが可能です。 MDM製品をご検討の際には、ぜひ「SKYSEA Client View」をよろしくお願いいたします。
Apple が提供する VPP(Volume Purchase Program)を利用してアプリを配布する場合にのみ、強制的なインストールが可能です。 VPPに関する詳細は、また後日紹介させていただければと思います。 ↩︎
