Apple Education機能との統合

Apple Educationを使用する環境で、Endpoint Managementをモバイルデバイス管理(MDM)ソリューションとして使用できます。Endpoint Managementは、iOS 9.3で導入されたAppleの教育向け機能の強化(Apple School Manager、iPad用クラスルームアプリケーションなど)をサポートします。Endpoint Managementの教育の構成デバイスポリシーでは、Apple Educationを使用する講師および生徒のデバイスを構成します。

講師と生徒には事前に構成された監視対象iPadが提供されます。この構成には、Endpoint ManagementでのApple School Manager DEPの登録、新しいパスワードで構成された管理対象Apple IDアカウント、および必須のVPPアプリとiBooksが含まれます。

次のビデオでは、Apple School ManagerとEndpoint Managementに対して行う変更のクイックツアーを提供しています。

ビデオアイコン

Endpoint ManagementによるApple Education機能のサポートの概要をお伝えします。

Apple School Manager

Apple School Managerは、教育機関で使用するiOSデバイスとmacOSラップトップコンピューターのセットアップ、展開、管理を可能にするサービスです。Apple School Managerに含まれるWebベースのポータルを使用することで、IT管理者は次のことが可能になります。

  • 異なるMDMサーバーへのDEPデバイスの割り当て

  • アプリとiBooksのVPPライセンスの購入

  • 管理対象Apple IDの一括作成。これらのカスタマイズされたApple IDを使用することで、iCloud Driveでのドキュメントの保存、iTunesコースへの登録などの、Appleサービスを利用できます。

Apple School Managerは、教育向けDEPの一種です。Endpoint Managementは、ビジネス向けDEPとApple School Managerの登録の両方をサポートします。

Endpoint Managementには複数のApple School Manager DEPアカウントを追加できます。たとえば、この機能によって、教育の単位や学部ごとに異なる登録設定、設定補助オプションが利用できるようになります。追加後、各DEPアカウントをさまざまなデバイスポリシーに関連付けることができます。

Apple School Manager DEPアカウントをEndpoint Managementコンソールに追加すると、Endpoint Managementはクラスおよび名簿情報を取得します。デバイスのセットアップ時に、Endpoint Managementは以下を実行します:

  • デバイスを登録します。

  • デバイスポリシー(教育の構成、ホーム画面のレイアウトなど)などの、展開用に構成されたリソースをインストールします。また、VPPを通じて購入されたアプリとiBooksもインストールします。

その後、事前に構成されたデバイスを講師と生徒に提供します。デバイスを紛失した場合や盗難に遭った場合は、MDMの紛失モード機能を使用してデバイスをロックしたり検索したりすることができます。

iPad用クラスルームアプリケーション

iPad用クラスルームアプリケーションを使用すると、講師は生徒のデバイスに接続してデバイスを管理できます。デバイス画面を表示したり、iPadでアプリを開いたり、 Web リンクを共有して開いたり、生徒の画面をApple TVに表示したりすることができます。

クラスルームアプリケーションは、App Storeで無料で入手できます。Endpoint Managementコンソールにアプリケーションをアップロードします。次に教育の構成デバイスポリシーを使用して、講師のデバイスに展開するクラスルームアプリケーションを構成します。

Appleの教育向け機能について詳しくは、Appleの「教育」サイトおよび「教育用導入ガイド」を参照してください。

前提条件

  • NetScaler Gateway

  • Enterpriseモード(XME、MDM+MAMとも呼ばれます)またはMDMモードで構成されたEndpoint Management。Endpoint ManagementがXMEまたはMDMモードですでに構成されている場合は、Apple School Managerと使用できます。

  • Apple iPad第3世代(最小バージョン)、またはiOS 9.3(最小バージョン)を実行するiPad Mini

注:

Endpoint Managementは、LDAPまたはActive Directoryに対するApple School Managerユーザーアカウントの検証を行いません。ただし、Endpoint ManagementをLDAPまたはActive Directoryに接続して、Apple School Managerの講師や生徒と関連付けられていないユーザーとデバイスを管理できます。たとえば、Active Directoryを使用して、そのほかのApple School Managerメンバー(IT管理者やマネージャーなど)にSecure MailとSecure Webを提供できます。

Apple School Managerの講師と生徒はローカルユーザーであるため、彼らのデバイスにCitrix Secure Hubを展開する必要はありません。

NetScaler Gatewayの認証を含むMAM登録では、ローカルユーザーはサポートされません(Active Directoryユーザーのみ)。このため、Endpoint Managementは講師と生徒のデバイスに必須のVPPアプリとiBooksのみを展開します。

共有iPadの前提条件

  • iPad Pro、iPad第5世代、iPad Air 2以降、iPad mini 4以降
  • 32GB以上のストレージ容量
  • 監視

Apple School ManagerとEndpoint Managementの構成

Apple、Apple正規販売店、または通信事業者からiPadを購入したら、このセクションのワークフローに従って、Apple School Managerアカウントとデバイスをセットアップします。このワークフローには、Apple School ManagerポータルとEndpoint Managementコンソールで実行する手順が含まれています。

この手順に従って、1対1モデル(学生1人当たり1つのiPad)で使用するすべてのiPad、または講師のiPad(非共有)の統合を構成します。共有iPadを構成するには、「共有iPadの構成」を参照してください。

手順1:Apple School Managerアカウントを作成し、セットアップアシスタントを完了する

Apple Deployment Programからアップグレードする場合は、Appleサポートの記事「Apple School Manager へのアップグレードに備える」を参照してください。Apple School Managerアカウントを作成するには、https://school.apple.com/にアクセスし、指示に従って登録します。Apple School Managerへの初回ログオン時に、セットアップアシスタントが開きます。

  • Apple School Managerの前提条件、セットアップアシスタント、および管理タスクについて詳しくは、「Apple School Managerヘルプ」を参照してください。

  • Apple School Managerのセットアップには、Active Directoryのドメイン名とは異なるドメイン名を使用します。例えば、Apple School Managerのドメイン名には「appleid」のようなプレフィックスを付けます。

  • Apple School Managerを名簿データに接続すると、Apple School Managerによって講師と生徒の管理対象Apple IDが作成されます。名簿データには講師、生徒、およびクラスを含めるようにします。Apple School Managerへの名簿データの追加について詳しくは、「Apple School Managerヘルプ」の「職員、生徒、クラスの検索」の記事を参照してください。

  • Apple School Managerヘルプ」の「管理対象Apple ID」で説明されているように、管理対象Apple IDの形式を所属機関に合わせてカスタマイズできます。

    重要:

    Apple School Manager情報をEndpoint Managementにインポートした後に、管理対象Apple IDを変更しないでください。

  • 正規販売店や通信事業者を通じてデバイスを購入した場合は、Apple School Managerにデバイスをリンクします。詳しくは、「Apple School Managerヘルプ」の「デバイスの管理」の記事を参照してください。

手順2:Endpoint ManagementをApple School ManagerのMDMサーバとして構成し、デバイスの割り当てを構成する

Apple School Managerポータルには”MDMサーバ”タブが含まれています。このセットアップを完了するには、Endpoint Managementの公開キーファイルが必要です。

  1. 次の手順を実行して、Endpoint Managementの公開キーをローカルコンピューターにダウンロードします:Endpoint Managementコンソールにログオンし、[設定]>[Appleデバイス登録プログラム(DEP)] の順に選択します。

    Apple DEP設定画面の画像

  2. [公開キーのダウンロード] の下にある [ダウンロード] をクリックしてPEMファイルを保存します。

  3. Apple School Managerポータルで “MDM サーバ” をクリックし、Endpoint Managementの名前を入力します。入力するサーバーの名前は参考用であり、サーバーURLやサーバー名ではありません。

  4. “パブリックキーのアップロード” の下にある “ファイルのアップロード” をクリックします。

    Apple School Managerポータルの画像

  5. Endpoint Managementからダウンロードしたサーバーキーをアップロードして、“保存” をクリックします。

  6. サーバートークンを生成します。“トークンの取得” をクリックし、コンピューターにサーバートークンファイルをダウンロードします。

    Apple School Managerポータルの画像

  7. “デバイスの割り当て” をクリックし、どのようにデバイスを割り当てるかを選択して求められる情報を入力します。詳しくは、『Apple School Managerヘルプ』の「デバイスの管理」を参照してください。

  8. “アクションの実行” メニューの “アクションの選択” で、“サーバに割り当て” をクリックします。次に、“MDMサーバ” メニューで、デバイスの管理にサーバをクリックした後、“完了” をクリックします。

手順3:Apple School ManagerアカウントをEndpoint Managementに追加する

  1. Endpoint Managementコンソールで、[設定]>[Appleデバイス登録プログラム(DEP)]に移動し、[DEPアカウントの追加][追加] をクリックします。

    Apple DEP設定画面の画像

  2. [サーバートークン] ページで、[アップロード] をクリックし、Apple School Managerポータルからダウンロードしたサーバートークン(.p7m)ファイルを選択します。トークンの情報が表示されます。

    Apple DEP設定画面の画像

    注:

    • 組織のIDは、DEPの顧客IDです。

    • Apple School Managerアカウントでは、[組織の種類]教育[組織のバージョン]v2です。

  3. [アカウント情報] ページで次の設定を入力します。

    Apple DEP設定画面の画像

    • DEPアカウント名: このDEPアカウントの一意の名前。国や組織構造など、DEPアカウントの分類を示す名前を付けます。

    • 事業/教育単位: デバイスを割り当てる教育の単位や学部です。このフィールドは必須です。

    • 一意のサービスID: アカウントの識別に役立つオプションの一意のIDです。

    • サポート用電話番号: ユーザーがセットアップ時にサポートが必要となった場合に連絡するサポートの電話番号。このフィールドは必須です。

    • サポート用メールアドレス: エンドユーザーが使用できるサポート用のメールアドレス(オプション)。

    • 教育機関のサフィックス: 特定のApple School Manager DEPアカウントのクラスのフラグを設定します(VPPのサフィックスは、VPPアカウントのアプリとiBooksのフラグを設定します)。Apple School Manager DEPとApple School Manager VPPの両方のアカウントで、同じサフィックスを使用することをお勧めします。

  4. [次へ] をクリックします。[iOS設定] で次の設定を入力します。

    Apple DEP設定画面の画像

    • 登録設定

      • デバイス登録を必須にする: ユーザーにデバイスの登録を要求します。この設定を [いいえ] に変更します。

      • デバイス登録のための資格情報を求める: DEPのセットアップ時にユーザーに資格情報の入力を要求します。Apple School ManagerとEndpoint Managementの統合では、この設定のデフォルトは [はい] で変更できません。Apple DEPでは、デバイス登録の資格情報が必要です。

      • セットアップを完了するため構成を待機する: すべてのMDMリソースがユーザーデバイスに展開されるまで、デバイスをセットアップアシスタントモードのままにしておく必要があるかどうか。Apple School ManagerとEndpoint Managementの統合では、この設定はデフォルトで [いいえ] になっています。Appleのドキュメントによると、デバイスがセットアップアシスタントモードの間は以下のコマンドが機能しない場合があります。

        • InviteToProgram
        • InstallApplication
        • InstallMedia
        • ApplyRedemptionCode
    • デバイス設定

      • 監視モード: iOSデバイスを監視モードにします。デフォルトの [はい] を変更しないでください。iOSデバイスをSupervisedモードにする方法について詳しくは、「Apple Configuratorを使用してiOSデバイスをSupervisedモードにするには」を参照してください。

      • 登録プロファイルの削除を許可: Apple School Managerの統合で、ユーザーがデバイスから登録プロファイルを削除できるようにします。この設定を [はい] に変更します。

      • デバイスのペアリングを許可: Apple School Managerの統合では、デバイスのペアリングを許可してiTunesとApple Configuratorを通じてデバイスを管理できるようにします。この設定を [はい] に変更します。

  5. [iOSセットアップアシスタントオプション] で、ユーザーが初めてデバイスを起動するときにスキップするiOSセットアップアシスタントの手順を選択します。デフォルトでは、セットアップアシスタントにはすべての手順が含まれています。セットアップアシスタントから手順を削除すると、ユーザーエクスペリエンスが簡素化されます。

    重要:

    Apple ID使用条件の手順は含めることを強くお勧めします。これらの手順により、講師と生徒は管理対象Apple IDの新しいパスワードを入力して、要求される使用条件を受け入れることができます。

    Apple DEP設定画面の画像

    • 位置情報サービス: デバイスに位置情報サービスを設定します。

    • Touch ID: iOS 8.0以降のデバイスにTouch IDを設定します。

    • パスコードロック: デバイスのパスコードを作成します。

    • 新規としてセットアップまたは復元: 新規に、またはiCloudかiTunesのバックアップからデバイスを設定します。

    • Androidから移動: AndroidデバイスからiOS 9以降のデバイスへのデータ転送を有効にします。このオプションは、[新規としてセットアップまたは復元] がオンの場合(すなわち、手順をスキップする場合)にのみ使用できます。

    • Apple ID: デバイスのApple IDアカウントを設定します。チェックボックスをオンにして、この手順を含めることをお勧めします。

    • 使用条件: デバイスの使用契約条件に対する同意をユーザーに要求します。チェックボックスをオンにして、この手順を含めることをお勧めします。

    • Apple Pay: iOS 8.0以降のデバイスにApple Payを設定します。

    • Siri: デバイスでSiriを使用するかどうかを選択します。

    • App Analytics: クラッシュデータおよび使用状況の統計情報をAppleと共有するかどうかを設定します。

    • ディスプレイズーム: iOS 8.0以降のデバイスにディスプレイ解像度(標準またはズーム)を設定します。

    • True Tone: iOS 10.0デバイス(最小バージョン)にTrue Toneディスプレイを設定します。

    • ホームボタン: iOS 10.0デバイス(最小バージョン)に、ホームボタンの画面の感度を設定します。

  6. DEPアカウントを表示するには、[設定]>[Appleデバイス登録プログラム(DEP)]に移動します。アカウントを選択して [接続性をテスト] をクリックし、Endpoint ManagementとApple School Manager間の接続をテストします。

    Apple DEP設定画面の画像

    状態を示すメッセージが表示されます。

    Apple DEP設定画面の画像

    数分後に、Apple School Managerのユーザーアカウントが [管理]>[ユーザー] ページに表示されます。Endpoint Managementでは、インポートされた各ユーザーの管理対象Apple IDに基づいて、ローカルユーザーアカウントが作成されます。次の例では、ユーザーアカウント用にカスタマイズされたApple IDで、ドメイン名のプレフィックスがappleidになっています。

    Apple DEP設定画面の画像

特定のApple School Manager DEPアカウントのすべてのユーザーを検索するには、ユーザー検索のフィルターにアカウント名を入力します。

手順4:Apple School Managerの教育用VPPアカウントを構成する

このセクションでは、Endpoint Managementが、アプリとiBooksのVPPライセンス購入に使用されるVPPアカウントを指すように構成します。

  1. Apple School Manager向けの教育用VPPアカウントを構成するには、「iOS Volume Purchase Program」の指示に従います。[VPPアカウントの追加]画面では、会社トークンを入力する必要があります。教育用VPPアカウント(https://volume.itunes.apple.com/us/store)から直接トークンをダウンロードして、[VPPアカウントの追加] 画面に貼り付けます。

    iOS設定画面の画像

    iOS設定画面の画像

  2. VPPライセンスがEndpoint Managementにインポートされるまで数分間待ちます。

手順5:Apple School Managerユーザーのパスワードを追加する

Apple School Manager DEPアカウントが追加されると、Endpoint ManagementがApple School Managerからクラスとユーザーをインポートします。Endpoint Managementはクラスをローカルグループとして扱い、コンソール内で「グループ」の用語が使用されます。Apple School Managerでグループ名があるクラスには、Endpoint Managementによってグループ名が割り当てられます。それ以外の場合、Endpoint Managementではグループ名にソースシステムIDを使用します。Apple School Managerのコース名は一意でないため、Endpoint Managementではクラス名にコース名を使用しません。

Endpoint Managementは管理対象Apple IDを使用して、ユーザーの種類がASMのローカルユーザーを作成します。Apple School Managerでは、すべての外部データソースとは別に資格情報が作成されるため、ユーザーはローカルです。そのため、Endpoint Managementではこれらの新しいユーザーの認証にディレクトリサーバーを使用しません。

Apple School Managerは、一時的なユーザーパスワードをEndpoint Managementに送信しません。CSVファイルからインポートするか、手動で追加します。一時的なユーザーパスワードをインポートするには、次の手順を実行します。

  1. 管理対象Apple IDの一時的なパスワードを作成するときにApple School Managerによって生成されたCSVファイルを取得します。

  2. CSVファイルを編集し、一時的なパスワードを、Endpoint Managementへの登録でユーザーが入力した新しいパスワードに置き換えます。この目的では、パスワードの種類に対する制約はありません。

    以下の形式でCSVファイルに入力します。 elizabethabeles@appleid.citrix.com,Elizabeth,Anne,Abeles,Citrix123!

    各オプションの意味は次のとおりです。

    ユーザー: elizabethabeles@appleid.citrix.com

    名: Elizabeth

    ミドルネーム: Anne

    姓: Abeles

    パスワード: Citrix123!

  3. Endpoint Managementコンソールで、[管理]>[ユーザー]の順にクリックします。[ユーザー] ページが開きます。

    次の [管理]>[ユーザー] 画面の例では、Apple School Managerからインポートされたユーザー一覧が表示されています。[ユーザー] 一覧には以下のように表示されます。

    • [ユーザー名] には管理対象Apple IDが表示されます。

    • [ユーザーの種類]のASMは、Apple School Manager由来のアカウントであることを示しています。

    • [グループ] にはクラスが表示されます。

    [ユーザー]画面の画像

  4. [ローカルユーザーのインポート] をクリックします。[Import Provisioning File]ダイアログボックスが開きます。

  5. [形式]では [ASMユーザー] を選択し、手順2で準備したCSVファイルに移動して、[インポート] をクリックします。

    [ユーザー]画面の画像

  6. ローカルユーザーのプロパティを表示するには、該当するユーザーを選択して [編集] をクリックします。

    [ユーザー]画面の画像

    名前のプロパティのほかに、Apple School Managerの以下のプロパティが表示されます。

    • ASM DEPアカウント: Endpoint Managementでアカウントに付けた名前です。

    • ASMの個人の役職: 講師、生徒、そのほかのいずれかです。

    • ASMの一意の個人 ID: 一意のユーザーIDです。

    • ASMのソースシステム ID: 所属組織によってユーザーに構成されたIDです。

    • ASMの個人の状態: 管理対象Apple IDがアクティブ非アクティブかを指定します。管理対象Apple IDアカウントにユーザーが新しいパスワードを入力すると、この状態がアクティブになります。

    • ASMの管理対象Apple ID: 管理対象Apple IDには、所属機関名とappleidを含めることができます。たとえば、IDはjohnappleseed@appleid.myschool.eduのようになります。Endpoint Managementでは、管理対象Apple IDの認証が要求されます。

    • ASMの生徒の学年: 生徒の学年情報です(講師は使用しません)。

    • ASMのパスコードの種類: 複合(8つ以上の英数字で構成された生徒以外のパスワード)、4(桁)、または6(桁)の、個人のパスワードポリシーです。

    • ASMのデータソース: クラスのデータソース(CSVまたはSFTPなど)です。

手順6:必要に応じて生徒の写真を追加する

各生徒の写真を追加できます。講師がAppleのクラスルームアプリケーションを使用すると、アプリケーションに写真が表示されます。

写真の推奨事項は次のとおりです。

  • 解像度:256 x 256ピクセル(2x デバイスで 512 x 512ピクセル)

  • 形式:JPEG、PNG、またはTIFF

写真を追加するには、[管理]>[ユーザー] の順に選択し、ユーザーを選択して、[編集][イメージを選択] の順にクリックします。

[ユーザー]画面の画像

手順7:リソースとデリバリーグループを計画してEndpoint Managementに追加する

デリバリーグループで、ユーザーのカテゴリに展開するリソースを指定できます。たとえば、講師と生徒のデリバリーグループを1つ作成できます。または、複数のデリバリーグループを作成して、さまざまな講師や生徒に送信するアプリ、メディア、ポリシーをカスタマイズできます。クラスごとに1つまたは複数のデリバリーグループを作成できます。また、マネージャー(教育機関のそのほかの職員)のデリバリーグループを1つまたは複数作成することもできます。

ユーザーデバイスに展開するリソースには、デバイスポリシー、VPPアプリ、 およびiBooksが含まれます。

  • デバイスポリシー

    講師がクラスルームアプリケーションを使用する場合は、教育の構成デバイスポリシーが必要です。そのほかのデバイスポリシーを確認して、講師と生徒のiPadをどのように構成および制限するかを決定します。

  • VPPアプリ

    Endpoint Managementでは、VPPアプリを必須アプリとして教育ユーザーに展開する必要があります。現在Endpoint Managementでは、このようなVPPアプリをオプションとして展開することはサポートされません。

    Appleのクラスルームアプリケーションを使用する場合は、講師のデバイスにのみ展開します。

    講師や生徒に提供するそのほかのアプリを展開します。このソリューションではCitrix Secure Hubアプリを使用しないため、講師や生徒に展開する必要はありません。

  • VPP iBooks

    Endpoint Management ServerをApple School Manager VPPアカウントに接続すると、Endpoint Managementコンソールの [構成]>[メディア] に、購入したiBooksが表示されます。このページに一覧表示されたiBooksを、デリバリーグループに追加できます。現在Endpoint Managementでは、iBooksを必須メディアとしてのみ追加できます。

講師および生徒のリソースとデリバリーグループを計画したら、Endpoint Managementコンソールでこれらのアイテムを作成できます。

  1. 講師または生徒のデバイスに展開するデバイスポリシーを作成します。教育の構成デバイスポリシーについて詳しくは、「教育の構成デバイスポリシー」を参照してください。

    [教育の構成ポリシー]画面の画像

    デバイスポリシーについて詳しくは、「デバイスポリシー」および個々のポリシーに関する記事を参照してください。

  2. アプリ([構成]>[アプリ])とiBooks( [構成]>[メディア] )を構成します。

    • デフォルトで、Endpoint ManagementはアプリとiBooksをユーザーレベルで展開します。初回展開時に、VPPへの登録を求めるメッセージが講師と生徒に送信されます。招待状を受け入れると、ユーザーは次回展開時(6時間以内)にVPPアプリとiBooksを受信します。新規VPPユーザーに、アプリとiBooksの強制展開を適用することをお勧めします。これを実行するには、デリバリーグループを選択して [展開] をクリックします。

      デバイスレベルで、アプリ(iBooksは除く)の割り当てを選択できます。これを実行するには、[デバイスへの強制ライセンス割り当て] の設定を [オン] に変更します。デバイスレベルでアプリを割り当てる場合、VPPプログラム参加の招待状はユーザーに送信されません。

    アプリ構成画面の画像

    • 講師にのみアプリを展開するには、講師のみを含むデリバリーグループを選択するか、次の展開規則を使用します。

       Deploy this resource by ASM DEP device type
       only
       Instructor
      

    アプリ構成画面の画像

  3. オプションです。Apple School Managerのユーザープロパティに基づいてアクションを作成します。たとえば、新しいアプリのインストール時に生徒のデバイスに通知を送信するアクションを作成できます。または、次の例に示すように、ユーザープロパティによってトリガーされるアクションを作成できます。

    [アクション]構成画面の画像

    アクションを作成するには、[構成]>[アクション] の順に選択します。アクションの構成について詳しくは、「自動化されたアクション」を参照してください。

  4. [構成]>[ デリバリーグループ] の順に選択し、講師と生徒のデリバリーグループを作成します。Apple School Managerからインポートしたクラスを選択します。また、講師と生徒の展開規則も作成します。

    たとえば、講師のユーザー割り当てを次に示します。展開規則は次のとおりです。

    Limit by user property
    ASM person title
    is equal to
    Instructor
    

    デリバリーグループ構成画面の画像

    生徒のユーザー割り当てを次に示します。展開規則は次のとおりです。

    Limit by user property
    ASM person title
    is equal to
    Student
    

    デリバリーグループ構成画面の画像

    Apple School Manager DEPアカウント名に基づく展開規則を使用して、デリバリーグループをフィルター処理することもできます。

    デリバリーグループ構成画面の画像

  5. リソースをデリバリーグループに割り当てます。次の例は、デリバリーグループに含まれるiBookを示しています。

    デリバリーグループ構成画面の画像

    次の例は、デリバリーグループを選択して [展開] をクリックすると開く確認ダイアログボックスを示しています。

    デリバリーグループ構成画面の画像

    詳しくは、「リソースの展開」の「デリバリーグループを編集するには」と「デリバリーグループを展開するには」を参照してください。

手順8:講師および生徒のデバイス登録をテストする

次の方法のいずれかを使用してデバイスを登録できます。

  • 学校管理者は、Endpoint Managementコンソールで設定したユーザーパスワードを使用して、講師と生徒のデバイスを登録できます。これにより、アプリとメディアがすでにセットアップされたデバイスをユーザーに提供できます。

  • デバイスを受け取ったユーザーは、管理者によって提供されたユーザーパスワードを使用して登録します。登録が完了すると、Endpoint Managementによってデバイスポリシー、アプリ、およびメディアがデバイスに送信されます。

登録をテストするには、Apple School ManagerにリンクしたDEPデバイスを使用します。

  1. デバイスがApple School Managerにリンクしていない場合は、ハードリセットを実行してデバイスのコンテンツと設定を消去します。

  2. 講師のApple School Manager DEPデバイスを登録します。次に、生徒のApple School Manager DEPデバイスを登録します。

  3. [管理]>[デバイス] ページで、両方のApple School Manager DEPデバイスがMDMのみに登録されていることを確認します。

    [デバイス] ページを、Apple School Manager DEPデバイスの状態([ASM DEPが登録されました][講師][生徒] )ごとにフィルター処理できます。

    デバイス構成画面の画像

  4. MDMリソースが各デバイスに適切に展開されたことを確認するには、デバイスを選択し、[編集] をクリックして、各種ページを確認します。

    デバイス構成画面の画像

手順9:デバイスの配布

Appleでは、講師と生徒にデバイスを配布できるように、イベントをホストすることを推奨しています。

事前登録済みのデバイスを配布しない場合も、これらのユーザーに以下を提供します。

  • DEP登録用のEndpoint Managementパスワード

  • 管理対象Apple ID用の、Apple School Managerの一時的なパスワード。

初回時のユーザーエクスペリエンスは次のとおりです。

  1. ハードリセット後にユーザーが初めてデバイスを起動すると、Endpoint ManagementによりDEP登録画面でデバイスを登録するように求められます。

  2. ユーザーは管理対象Apple IDと、Endpoint Managementへの認証に使用するEndpoint Managementパスワードを入力します。

  3. Apple IDのセットアップ手順で、管理対象Apple IDとApple School Managerの一時的なパスワードの入力を求めるメッセージがデバイスに表示されます。これらの項目によって、Appleサービスへのユーザー認証が行われます。

  4. iCloudでのデータの保護に使用される、管理対象Apple IDのパスワード作成を求めるメッセージがデバイスに表示されます。

  5. セットアップアシスタントの終了時に、Endpoint Managementによりデバイスへのポリシー、アプリ、メディアのインストールが開始されます。ユーザーレベルで割り当てられるアプリとiBooksについては、講師と生徒にVPPへの登録を促すメッセージがセットアップアシスタントにより表示されます。招待状を受け入れると、ユーザーは次回展開時(6時間以内)にVPPアプリとiBooksを受信します。

共有iPadの構成

クラスルーム内の複数の生徒は、1人または複数の講師が教えているさまざまな科目について、iPadを共有できます。

管理者か講師が共有iPadを登録し、デバイスポリシー、アプリ、メディアをデバイスに展開します。その後、生徒が管理対象Apple IDの資格情報を入力して共有iPadにサインインします。以前生徒に[教育の構成]ポリシーを展開したことがある場合、生徒はデバイスを共有するために「その他のユーザー」としてサインインする必要はありません。

Endpoint Managementは、共有iPadで次の2つの通信チャネルを使用します。デバイス所有者(講師)用のシステムチャネルおよび現在の常駐ユーザー(生徒)用のユーザーチャネル。Endpoint Managementは、これらのチャネルからAppleがサポートするリソースに対応した適切なMDMコマンドを送信します。

システムチャネル上に展開されるリソースは次のとおりです。

  • 教育の構成、ロック画面のメッセージ、最大常駐ユーザー数、パスコードロックの猶予期間などのデバイスポリシー
  • デバイスベースのVPPアプリ

    Appleは、共有iPadでエンタープライズアプリやユーザベースのVPPアプリをサポートしていません。共有iPadでは、アプリはユーザーごとではなく、デバイス全体にインストールされます。

  • ユーザーベースのVPP iBook

    Appleは、共有iPadでのユーザーベースのVPP iBooksの割り当てをサポートしています。

ユーザーチャネル上に展開されるリソースは次のとおりです。

  • デバイスポリシー:アプリ通知、ホーム画面レイアウト、制限

    Endpoint Managementは現在、ユーザーチャネル上のデバイスポリシーのみをサポートしています。

デバイスポリシーを構成する場合、ポリシー設定の [プロファイルの対象] で展開するチャネルを指定します。

デバイスポリシー構成画面の画像

ユーザーチャネルで展開したデバイスポリシーを削除する場合、[プロファイルの削除]ポリシーの [展開範囲][ユーザー] を選択するようにしてください。

一般的なワークフロー

通常、講師には事前に構成された監視対象共有iPadが提供されます。講師は生徒に各デバイスを配布します。事前登録済みの共有iPadを講師に配布しない場合は、講師にEndpoint Managementサーバーのパスワードを提供して、デバイスを登録できるようにしてください。

共有iPadの構成と登録の一般的なワークフローは次のとおりです。

  1. Endpoint Managementサーバーコンソールで共有モードを有効にして、ASM DEPアカウントを追加します([設定]>[Appleデバイス登録プログラム(DEP)])。詳しくは、「共有iPadのASM DEPアカウントを管理する」を参照してください。
  2. このセクションで説明するように、必要なデバイスポリシー、アプリケーション、メディアをEndpoint Managementに追加して、これらのリソースをデリバリーグループに割り当てます。
  3. 講師に共有iPadのハードリセットを実行するよう指示します。DEP登録の[Remote Management]画面が開きます。
  4. 講師が共有iPadを登録します。 Endpoint Managementは、登録済みの各共有iPadに構成済みのリソースを展開します。自動再起動後、講師は生徒とデバイスを共有できるようになります。サインインページがiPadに表示されます。
  5. 生徒がクラスを選択し、管理対象Apple IDと一時的なApple School Manager(ASM)のパスワードを入力します。 共有iPadがASMを認証すると、生徒はASMパスワードを作成するよう促されます。次回の共有iPadへのサインインでは、生徒は新しいASMパスワードを使用します。
  6. iPadを共有している別の生徒は、ここまでの手順を繰り返してサインインすることができます。

共有iPadのASM DEPアカウントを管理する

既にAppleの教育向け機能でEndpoint Managementを使用している場合:インストラクタが使用するデバイスなど、共有されていないデバイスに対しては、Endpoint Managementに既存のASM DEPアカウントが設定されています。同一のASMとEndpoint Managementサーバーを、共有デバイスと非共有デバイスの両方に使用できます。

Endpoint Managementは、次の展開シナリオをサポートしています。

  • 1クラスあたり1グループの共有iPad

    このシナリオでは、複数の共有iPadを1クラスの生徒に割り当てます。iPadはクラスルームにとどまります。そのクラスの各科目の講師達は、同じグループのiPadを使用します。

  • 講師1人あたり1グループの共有iPad

    このシナリオでは、複数の共有iPadを1人の講師に割り当てます。講師は、授業を行うさまざまなクラスでこれらのiPadを使用します。

共有iPadをデバイスグループにまとめる

ASMによって、複数のMDMサーバーを作成して、デバイスをグループに編成できます。共有iPadをMDMサーバーに割り当てる時は、クラスごとまたは講師ごとに、共有iPadのグループのデバイスグループを作成します。

  • グループ1の共有iPad>デバイスグループ1 MDMサーバー
  • 共有iPadのグループ2>デバイスグループ2 MDMサーバー
  • 共有iPadのグループN>デバイスグループN MDMサーバー

各デバイスグループにASM DEPアカウントを追加する

Endpoint Managementサーバーコンソールで複数のASM DEPアカウントを作成すると、クラスごとまたは講師ごとに共有iPadのグループ1つずつ自動的にインポートされます:

  • デバイスグループ1 MDMサーバー>デバイスグループ1 DEPアカウント
  • デバイスグループ2 MDMサーバー>デバイスグループ2 DEPアカウント
  • デバイスグループN MDMサーバー>デバイスグループN DEPアカウント

共有iPadに固有の要件は以下のとおりです。

  • デバイスグループごとに1つのASM DEPアカウントを用意し、以下の設定を有効にします。
    • デバイス登録を必須にする
    • 監視モード
    • 共有モード
  • 同じ教育機関では、すべてのASM DEPアカウントに同じ教育機関のサフィックスを使用してください。

DEPアカウントを追加するには、[設定]>[Appleデバイス登録プログラム(DEP)]に移動します。

Apple DEP設定の構成画面の画像

共有iPadのアプリ

共有iPadは、デバイスベースのVPPアプリの割り当てをサポートしています。Endpoint Managementサーバーは共有iPadにアプリを展開する前に、デバイスにVPPライセンスを割り当てるようApple VPPサーバーに要求を送信します。VPPの割り当てを確認するには、[構成]>[アプリ]>[iPad]に進み、[Volume Purchase Program(VPP)]を展開します。

共有iPad用のメディア

共有iPadは、ユーザーベースのVPP iBooksの割り当てをサポートします。Endpoint Managementサーバーは共有iPadにiBooksを展開する前に、生徒にVPPライセンスを割り当てるようApple VPPサーバーに要求を送信します。VPPの割り当てを確認するには、[構成]>[Media]>[iPad] に移動し、「Volume Purchase Program」 を展開します。

メディア構成画面の画像

共有iPadの展開規則

デリバリーグループレベルの規則はユーザープロパティに関するものであるため、共有iPadを展開する場合これらの規則は適用されません。デバイスのグループごとにポリシー、アプリケーション、メディアを絞り込むには、DEPアカウント名に基づいて、リソースの展開規則を追加します。次に例を示します。

  • デバイスグループ1のDEPアカウントでは、次の展開規則を設定します。

  DEP account name
  Only
  Device Group 1 DEP account

  • デバイスグループ2のDEPアカウントでは、次の展開規則を設定します。

  DEP account name
  Only
  Device Group 2 DEP account

  • デバイスグループNのDEPアカウントでは、次の展開規則を設定します。

  DEP account name
  Only
  Device Group N DEP account

デバイスポリシー構成画面の画像

非共有のiPadを使用して講師にのみAppleクラスルームアプリを展開する場合、ASM DEPの共有状態を次の展開規則で絞り込みます。


Deploy this resource regarding ASM DEP shared mode
only
unshared

または:


Deploy this resource regarding ASM DEP shared mode
except
shareable

アプリ構成画面の画像

共有iPadのデリバリーグループ

講師ごとのデバイスグループについては、次を参照してください。

  • 1つのデリバリーグループを構成する。講師には、[教育の構成]ポリシーで定義されているすべてのクラスを割り当てます。

デリバリーグループ構成画面の画像

  • このデリバリーグループには、次のMDMリソースを含める必要があります。
    • デバイスポリシー
      • 教育の構成
      • ロック画面のメッセージ
      • アプリ通知
      • ホーム画面のレイアウト
      • 制限事項
      • 最大常駐ユーザー数
      • パスコード ロックの猶予期間
    • 必須のVPPアプリ
    • 必須のVPP iBooks

デリバリーグループ構成画面の画像

共有iPadのセキュリティ操作

既存のセキュリティ操作に加えて、共有iPadでは次のセキュリティ操作を使用できます(iOS 9.3以降で利用可能)。

  • 常駐ユーザーの取得: 現在のデバイスで有効なアカウントを持つユーザーの一覧を表示します。この操作により、デバイスとEndpoint Managementコンソール間で強制的に同期が行われます。
  • 常駐ユーザーのログアウト:現在のユーザーを強制的にログアウトさせます。
  • 常駐ユーザーの削除: 指定したユーザーの現在のセッションを削除します。対象のユーザーは再びサインインできるようになります。

セキュリティ操作画面の画像

[常駐ユーザーの削除] のクリック後、ユーザー名を指定できます。

セキュリティ操作画面の画像

セキュリティ操作の結果は、[管理]>[デバイス]>[一般]ページおよび[管理]>[デバイス]>[デリバリーグループ]ページに表示されます。

共有iPadの情報を取得する

共有iPadに関する情報は、[管理]>[デバイス]ページで確認できます。

  • 次を検索できます。
    • デバイスが共有されているか([ASM DEP共有]
    • 共有デバイスにログインしているユーザー([ASMログイン済みユーザー]
    • 共有デバイスに割り当てられているすべてのユーザー([ASM常駐ユーザー]

デバイス構成画面の画像

  • [ASM DEPデバイスの状態]でデバイス一覧を絞り込む:

デバイス構成画面の画像

  • [管理]>[デバイス]>[ログイン済みユーザーのプロパティ]ページで、共有iPadにログインしているユーザーの詳細を確認できます。

デバイス構成画面の画像

デバイス構成画面の画像

  • [管理]>[デバイス]>[デリバリーグループ]ページでは、デリバリーグループの講師およびユーザーへのリソース展開に使用されているチャネルを確認できます。[チャネル/ユーザー]列には、チャネルの種類([システム]または[ユーザー])と受信者(講師または生徒)が表示されます。

デバイス構成画面の画像

  • 常駐ユーザーの情報を取得できます。
    • 同期するデータがある:クラウドに同期させるデータをユーザーが持っているかどうか。
    • データクォータ:ユーザーに設定されているデータクォータ(バイト単位)。ユーザークォータが一時的にオフになっているか、ユーザーに割り当てられていない場合は、クォータが表示されないことがあります。
    • 使用済みデータ:ユーザーが使用したデータ量(バイト単位)。システムの情報収集時にエラーが発生した場合、値が表示されないことがあります。
    • ログイン中: ユーザーがデバイスにログオンしているかどうか。

デバイス構成画面の画像

  • 両方のチャネルのプッシュステータスを確認できます。

デバイス構成画面の画像

講師、生徒、およびクラスのデータの管理

講師、生徒、およびクラスのデータを管理する場合は、次のことに注意してください。

  • Apple School Manager情報をEndpoint Managementにインポートした後に、管理対象Apple IDを変更しないでください。Endpoint Managementは、ユーザーの特定にApple School Managerのユーザー識別子も使用します。

  • 1つまたは複数の[教育の構成]デバイスポリシーを作成した後に、Apple SchoolManagerにクラスデータの追加や変更を行った場合は、ポリシーを編集してから再展開します。

  • 教育の構成デバイスポリシーを展開した後にクラスの講師を変更する場合は、ポリシーを確認してEndpoint Managementコンソールで確実に更新してから、ポリシーを再展開します。

  • Apple School Managerポータルでユーザープロパティを更新すると、Endpoint Managementでもコンソールでプロパティが更新されます。ただし、Endpoint Managementでは、そのほかのプロパティと同じ方法で[ASMの個人の役職]プロパティ(講師、生徒、またはそのほか)が受信されません。このため、Apple School ManagerでASMの個人の役職を変更する場合は、次の手順を完了してEndpoint Managementに変更が反映されるようにします。

データを管理するには:

  1. Apple School Managerポータルで、生徒の学年を更新し、講師の学年を削除します。

  2. 生徒のアカウントを講師のアカウントに変更した場合は、クラスの生徒一覧からそのユーザーを削除します。次に、同じまたは別のクラスの講師一覧に、そのユーザーを追加します。

    講師のアカウントを生徒のアカウントに変更した場合は、クラスからそのユーザーを削除します。次に、同じまたは別のクラスの生徒一覧に、そのユーザーを追加します。更新内容は、次回の同期時(デフォルトで5分ごと)またはフェッチ時(デフォルトで24時間ごと)に、Endpoint Managementコンソールに表示されます。

  3. 教育の構成デバイスポリシーを編集し、変更を適用して再展開します。

    • Apple School Managerポータルからユーザーを削除すると、Endpoint Managementでもフェッチ後にEndpoint Managementコンソールからそのユーザーが削除されます。

      サーバープロパティ値bulk.enrollment.fetchRosterInfoDelayを変更することで、2つのベースライン間の間隔を短縮できます(デフォルトは1440分)。

    • リソース展開後に、生徒をクラスに参加させる場合は、その生徒だけで構成されたデリバリーグループを作成してリソースを展開します。

    • 生徒や講師が一時的なパスワードを紛失した場合は、Apple School Manager管理者に問い合わせるようにします。管理者によって一時的なパスワードが提供されるか、または新しいパスワードが生成されます。

Apple School Manager DEPに登録済みの紛失または盗難に遭ったデバイスの管理

Appleの“iPhone/iPadを探す”サービスには、アクティベーションロック機能が含まれています。アクティベーションロックは、DEPに登録済みのデバイスが紛失または盗難に遭った場合に、不正ユーザーがそのデバイスを使用したり転売したりすることを防止します。

Endpoint Managementには、Apple School Manager DEPに登録済みのデバイスにロックコードを送信できる、[ASM DEPアクティベーションロック]のセキュリティ操作が含まれています。

[ASM DEPアクティベーションロック] のセキュリティ操作を使用すると、ユーザーに“iPhone/iPadを探す”サービスの有効化を要求せずに、Endpoint Managementでデバイスを検索できます。Apple School Managerデバイスが強制リセットまたは完全にワイプされた場合、ユーザーは管理対象Apple IDとパスワードを入力してデバイスのロックを解除します。

コンソールからロックを解除するには、セキュリティ操作 [アクティベーションロックバイパス] をクリックします。アクティベーションロックをバイパスする方法については、「iOSアクティベーションロックのバイパス」を参照してください。ログインパネルを空白のままにして、パスワードとして [ASM DEPアクティベーションロックバイパスコード] を入力することもできます。この情報は、[プロパティ] タブの [デバイス詳細] で入手できます。

アクティベーションロックを設定するには、[管理]>[デバイス] の順に選択し、該当するデバイスを選択して、[セキュリティ][ASM DEPアクティベーション ロック] の順にクリックします。

デバイス構成画面の画像

[ASM DEPエスクローキー][ASM DEPアクティベーションロックバイパスコード] のプロパティが、[デバイス詳細] に表示されます。

デバイス構成画面の画像

ASM DEPアクティベーションロックに対するRBACの権限は、[デバイス]>[ASM DEP/バイパスアクティベーションロックの有効化] です。

RBAC構成画面の画像