Apple Education機能との統合

Apple Educationを使用する環境で、Endpoint Managementをモバイルデバイス管理(MDM)ソリューションとして使用できます。Endpoint Managementのサポートには、Apple School Manager(ASM)やiPad用のクラスルームアプリが含まれています。Endpoint Managementの教育の構成デバイスポリシーでは、Apple Educationを使用する講師および生徒のデバイスを構成します。

講師と生徒には事前に構成された監視対象iPadが提供されます。この構成には、Endpoint ManagementでのASMの登録、新しいパスワードで構成された管理対象Apple IDアカウント、および必須の一括購入アプリとiBooksが含まれます。

次のビデオでは、ASMとEndpoint Managementに対して行う変更のクイックツアーを提供しています。

ビデオアイコン

Endpoint ManagementによるApple Education機能のサポートの概要をお伝えします。

Apple School Manager

ASMは、教育機関で使用するiOSデバイスとmacOSノートブックコンピューターのセットアップ、展開、管理を可能にするサービスです。ASMに含まれるWebベースのポータルを使用することで、IT管理者は次のことが可能になります:

  • Apple Deployment Programデバイスを異なるMDMサーバーに割り当てる

  • アプリとiBooksの一括購入ライセンスを購入する

  • 管理対象Apple IDの一括作成。これらのカスタマイズされたApple IDを使用することで、iCloud Driveでのドキュメントの保存、iTunesコースへの登録などの、Appleサービスを利用できます。

Endpoint Managementには複数のASMアカウントを追加できます。たとえば、この機能によって、教育の単位や学部ごとに異なる登録設定、設定補助オプションが利用できるようになります。追加後、各ASMアカウントをさまざまなデバイスポリシーに関連付けることができます。

ASMアカウントをEndpoint Managementコンソールに追加すると、Endpoint Managementはクラスおよび名簿情報を取得します。デバイスのセットアップ時に、Endpoint Managementは以下を実行します:

  • デバイスを登録します。
  • デバイスポリシー(教育の構成、ホーム画面のレイアウトなど)などの、展開用に構成されたリソースをインストールします。
  • また、一括購入で購入したアプリとiBooksの両方をインストールします。

その後、事前に構成されたデバイスを講師と生徒に提供します。デバイスを紛失した場合や盗難に遭った場合は、MDMの紛失モード機能を使用してデバイスをロックしたり検索したりすることができます。

iPad用クラスルームアプリ

iPad用クラスルームアプリを使用すると、講師は生徒のデバイスに接続してデバイスを管理できます。デバイス画面を表示したり、iPadでアプリを開いたり、Webリンクを共有して開いたり、生徒の画面をApple TVに表示したりすることができます。

クラスルームアプリは、App Storeで無料で入手できます。Endpoint Managementコンソールにアプリをアップロードします。次に教育の構成デバイスポリシーを使用して、講師のデバイスに展開するクラスルームアプリを構成します。

Appleの教育向け機能について詳しくは、Appleの「教育」サイトおよび同サイトの「教育用導入ガイド」を参照してください。

前提条件

  • Citrix Gateway

  • MDM+MAMモードで構成されたEndpoint Management。Endpoint ManagementがMDM+MAMで既に構成されている場合は、ASMと使用できます。

  • Apple iPad第3世代(最小バージョン)、またはiOS 9.3(最小バージョン)を実行するiPad Mini

注:

Endpoint Managementは、LDAPまたはActive Directoryに対するASMユーザーアカウントの検証を行いません。ただし、Endpoint ManagementをLDAPまたはActive Directoryに接続して、ASMの講師や生徒と関連付けられていないユーザーとデバイスを管理できます。たとえば、Active Directoryを使用して、そのほかのASMメンバー(IT管理者やマネージャーなど)にSecure MailとSecure Webを提供できます。

ASMの講師と生徒はローカルユーザーであるため、彼らのデバイスにCitrix Secure Hubを展開する必要はありません。

Citrix Gatewayの認証を含むMAM登録では、ローカルユーザーはサポートされません(Active Directoryユーザーのみ)。このため、Endpoint Managementは講師と生徒のデバイスに必須の一括購入アプリとiBooksのみを展開します。

共有iPadの前提条件

  • iPad Pro、iPad第5世代、iPad Air 2以降、iPad mini 4以降
  • 32GB以上のストレージ容量
  • 監視

Apple School ManagerとEndpoint Managementの構成

Apple、Apple正規販売店、または通信事業者からiPadを購入したら、このセクションのワークフローに従って、ASMアカウントとデバイスをセットアップします。このワークフローには、ASMポータルとEndpoint Managementコンソールで実行する手順が含まれています。

この手順に従って、1対1モデル(学生1人当たり1つのiPad)で使用するすべてのiPad、または講師のiPad(非共有)の統合を構成します。共有iPadを構成するには、「共有iPadの構成」を参照してください。

手順1:Apple School Managerアカウントを作成し、セットアップアシスタントを完了する

Apple Deployment Programからアップグレードする場合は、Appleサポートの記事Apple School Managerにアップグレードするを参照してください。ASMアカウントを作成するには、https://school.apple.com/にアクセスし、指示に従って登録します。ASMへの初回ログオン時に、セットアップアシスタントが開きます。

  • ASMの前提条件、セットアップアシスタント、および管理タスクについて詳しくは、Apple School Managerユーザガイドを参照してください。

  • ASMのセットアップには、Active Directoryのドメイン名とは異なるドメイン名を使用します。たとえば、ASMのドメイン名には「appleid」のようなプレフィックスを付けます。

  • ASMを名簿データに接続すると、ASMによって講師と生徒の管理対象Apple IDが作成されます。名簿データには講師、生徒、およびクラスを含めるようにします。ASMに名簿データを追加する方法については、前述の「ASMユーザガイド」を参照してください。

  • 前述の「ASMユーザガイド」で説明されているように、管理対象Apple IDの形式を所属機関に合わせてカスタマイズできます。

    重要:

    ASM情報をEndpoint Managementにインポートした後に、管理対象Apple IDを変更しないでください。

  • 正規販売店や通信事業者を通じてデバイスを購入した場合は、ASMにデバイスをリンクします。詳しくは、前述の「ASMユーザガイド」を参照してください。

手順2:Endpoint ManagementをApple School ManagerのMDMサーバーとして構成し、デバイスの割り当てを構成する

ASMポータルには、[MDM Servers] タブがあります。このセットアップを完了するには、Endpoint Managementの公開キーファイルが必要です。

  1. 次の手順を実行して、Endpoint Managementの公開キーをローカルコンピューターにダウンロードします:Endpoint Managementコンソールにログオンし、[Settings]>[Apple Deployment Program] の順に選択します。

    Apple Deployment Program設定画面

  2. [Download Public Key] の下にある [Download] をクリックしてPEMファイルを保存します。

  3. Apple Deployment Program Portalで、[Settings][Device Management Settings」 の順にクリックします。[Add MDM Server] をクリックします。

    ASMポータル

  4. [Endpoint Management]の名前を入力します。入力するサーバーの名前は参考用であり、サーバーURLやサーバー名ではありません。[Upload Public Key] にある [Choose File] をクリックします。

    ASMポータル

  5. Endpoint Managementからダウンロードしたサーバーキーをアップロードして、[Save] をクリックします。

  6. サーバートークンを生成します。[Download Token] をクリックし、コンピューターにサーバートークンファイルをダウンロードします。

    ASMポータル

  7. [Default Device Assignment][Change] をクリックします。どのようにデバイスを割り当てるかを選択して求められる情報を入力します。詳しくは、ASMユーザガイドを参照してください。

手順3:Apple School ManagerアカウントをEndpoint Managementに追加する

  1. Endpoint Managementコンソールで、[設定]>[Apple Deployment Program] に移動し、[Apple Deployment Programsアカウントの追加][追加] をクリックします。

    Apple Deployment Program設定画面

  2. [サーバートークン] ページで、[アップロード] をクリックし、ASMポータルからダウンロードしたサーバートークン(.p7m)ファイルを選択します。トークンの情報が表示されます。

    Apple Deployment Program設定画面

    注:

    • [組織のID]は、Apple Deployment Programの顧客IDです。

    • ASMアカウントでは、[組織の種類]教育[組織のバージョン]v2です。

  3. [アカウント情報] ページで次の設定を入力します。

    Apple Deployment Program設定画面

    • Apple Deployment Programアカウント名: このApple Deployment Programアカウントの一意の名前。国や組織構造など、Apple Deployment Programアカウントの分類を示す名前を付けます。
    • 事業/教育単位: デバイスを割り当てる教育の単位や学部です。このフィールドは必須です。
    • 一意のサービスID: アカウントの識別に役立つオプションの一意のIDです。
    • サポート用電話番号: ユーザーがセットアップ時にサポートが必要となった場合に連絡するサポートの電話番号。このフィールドは必須です。
    • サポート用メールアドレス: エンドユーザーが使用できるサポート用のメールアドレス(オプション)。
    • 教育機関のサフィックス: 特定のASM Deployment Programアカウントのクラスのフラグを設定します。(一括購入のサフィックスは、一括購入アカウントのアプリとiBooksのフラグを設定します)。ASM Deployment ProgramとASM一括購入の両方のアカウントで、同じサフィックスを使用することをお勧めします。
  4. [次へ] をクリックします。[iOS設定] で次の設定を入力します。

    Apple設定画面

    • 登録設定

      • デバイス登録を必須にする: ユーザーにデバイスの登録を要求します。この設定を [いいえ] に変更します。
      • デバイス登録のための資格情報を求める: Apple Deployment Programのセットアップ時にユーザーに資格情報の入力を要求します。ASMとEndpoint Managementの統合では、この設定のデフォルトは [はい] で変更できません。Apple Deployment Programでは、デバイス登録の資格情報が必要です。
      • セットアップを完了するため構成を待機する: すべてのMDMリソースがユーザーデバイスに展開されるまで、デバイスをセットアップアシスタントモードのままにしておく必要があるかどうか。ASMとEndpoint Managementの統合では、この設定はデフォルトで [いいえ] になっています。Appleのドキュメントによると、デバイスがセットアップアシスタントモードの間は以下のコマンドが機能しない場合があります。

        • InviteToProgram
        • InstallApplication
        • InstallMedia
        • ApplyRedemptionCode
    • デバイス設定

      • 監視モード: iOSデバイスを監視モードにします。デフォルトの [はい] を変更しないでください。iOSデバイスをSupervisedモードにする方法について詳しくは、「Apple Configuratorを使用してiOSデバイスをSupervisedモードにするには」を参照してください。

      • 共有モード: iPadで共有モードを有効にします。最小要件を満たさないデバイスは、共有できません。
      • 登録プロファイルの削除を許可: ASMの統合で、ユーザーがデバイスから登録プロファイルを削除できるようにします。この設定を [はい] に変更します。
      • デバイスのペアリングを許可: ASMの統合では、デバイスのペアリングを許可してiTunesとApple Configuratorを通じてデバイスを管理できるようにします。この設定を [はい] に変更します。
  5. [iOSセットアップアシスタントオプション] で、ユーザーが初めてデバイスを起動するときにスキップするiOSセットアップアシスタントの手順を選択します。デフォルトでは、セットアップアシスタントにはすべての手順が含まれています。セットアップアシスタントから手順を削除すると、ユーザーエクスペリエンスが簡素化されます。

    重要:

    Apple ID使用条件の手順は含めることを強くお勧めします。これらの手順により、講師と生徒は管理対象Apple IDの新しいパスワードを入力して、要求される使用条件を受け入れることができます。

    Apple Deployment Program設定画面

    • 位置情報サービス: デバイスに位置情報サービスを設定します。
    • Touch ID: iOSデバイスにTouch IDを設定します。
    • パスコードロック: デバイスのパスコードを作成します。
    • 新規としてセットアップまたは復元: 新規に、またはiCloudかiTunesのバックアップからデバイスを設定します。
    • Androidから移動: AndroidデバイスからiOSデバイスへのデータ転送を有効にします。このオプションは、[新規としてセットアップまたは復元] がオンの場合(すなわち、手順をスキップする場合)にのみ使用できます。
    • Apple ID: デバイスのApple IDアカウントを設定します。チェックボックスをオンにして、この手順を含めることをお勧めします。
    • 使用条件: デバイスの使用契約条件に対する同意をユーザーに要求します。チェックボックスをオンにして、この手順を含めることをお勧めします。
    • Apple Pay: iOSデバイスにApple Payを設定します。
    • Siri: デバイスでSiriを使用するかどうかを選択します。
    • App Analytics: クラッシュデータおよび使用状況の統計情報をAppleと共有するかどうかを設定します。
    • ディスプレイズーム: iOSデバイスにディスプレイ解像度(標準またはズーム)を設定します。
    • True Tone: iOSデバイスでTrue Toneディスプレイを設定します。
    • ホームボタン: ホームボタンの画面感度を設定します。
    • 新機能のハイライト: iOS 11.0デバイス(最小バージョン)で、配布準備情報画面、[Access the Dock from Anywhere]および[Switch Between Recent Apps]を設定します。
    • プライバシー: Apple Deployment Programデバイスの設定中に、[データおよびプライバシー]ペインがユーザーに表示されないようにします。iOS 11.3以降の場合。
    • ソフトウェアの更新: Apple Deployment Programデバイスのセットアップ中に必須ソフトウェアの更新画面が表示されないようにします。iOS 12.0以降の場合。
    • スクリーンタイム: Apple Deployment Programデバイスのセットアップ中にスクリーンタイム画面が表示されないようにします。iOS 12.0以降の場合。
    • SIMのセットアップ: Apple Deployment Programデバイスのセットアップ中に[Add Cellular Plan]画面が表示されないようにします。iOS 12.0以降の場合。
    • iMessageとFaceTime: Apple Deployment Programデバイスのセットアップ中にiMessageとFaceTimeの画面が表示されないようにします。iOS 12.0以降の場合。
  6. アカウントを表示するには、[設定]>[Apple Deployment Program] に移動します。Endpoint ManagementとASMアカウント間の接続をテストするには、アカウントを選択して [接続性をテスト] をクリックします。

    Apple Deployment Program設定画面

    状態を示すメッセージが表示されます。

    Apple Deployment Program設定画面

    数分後に、ASMのユーザーアカウントが [管理]>[ユーザー] ページに表示されます。Endpoint Managementでは、インポートされた各ユーザーの管理対象Apple IDに基づいて、ローカルユーザーアカウントが作成されます。次の例では、ユーザーアカウント用にカスタマイズされたApple IDで、ドメイン名のプレフィックスがappleidになっています。

    Apple Deployment Program設定画面

特定のASMアカウントのすべてのユーザーを検索するには、ユーザー検索のフィルターにアカウント名を入力します。

手順4:Apple School Managerの教育用一括購入アカウントを構成する

このセクションでは、Endpoint Managementが、アプリとiBooksの一括購入ライセンスの購入に使用されるアカウントを指すように構成します。

  1. ASM向けの教育用一括購入アカウントを構成するには、「iOS一括購入」の説明を実行します。[一括購入アカウントの追加]画面では、会社トークンを入力する必要があります。教育用一括購入アカウントから直接トークンをダウンロードして、[一括購入アカウントの追加] 画面に貼り付けます。

    一括購入画面

    一括購入画面

  2. 一括購入ライセンスがEndpoint Managementにインポートされるまで数分間待ちます。

手順5:Apple School Managerユーザーのパスワードを追加する

ASMアカウントが追加されると、Endpoint ManagementがASMからクラスとユーザーをインポートします。Endpoint Managementはクラスをローカルグループとして扱い、コンソール内で「グループ」の用語が使用されます。ASMでグループ名があるクラスには、Endpoint Managementによってグループ名が割り当てられます。それ以外の場合、Endpoint Managementではグループ名にソースシステムIDを使用します。ASMのコース名は一意でないため、Endpoint Managementではクラス名にコース名を使用しません。

Endpoint Managementは管理対象Apple IDを使用して、ユーザーの種類がASMのローカルユーザーを作成します。ASMでは、すべての外部データソースとは別に資格情報が作成されるため、ユーザーはローカルです。そのため、Endpoint Managementではこれらの新しいユーザーの認証にディレクトリサーバーを使用しません。

ASMは、一時的なユーザーパスワードをEndpoint Managementに送信しません。CSVファイルからインポートするか、手動で追加します。一時的なユーザーパスワードをインポートするには、次の手順を実行します:

  1. 管理対象Apple IDの一時的なパスワードを作成するときにASMによって生成されたCSVファイルを取得します。

  2. CSVファイルを編集し、一時的なパスワードを、Endpoint Managementへの登録でユーザーが入力した新しいパスワードに置き換えます。この目的では、パスワードの種類に対する制約はありません。

    以下の形式でCSVファイルに入力します: user@appleid.citrix.com,Firstname,Middle,Lastname,Password123!

    各項目の意味は次の通りです:

    ユーザー:user@appleid.citrix.com

    名: Firstname

    ミドルネーム: Middle

    姓: Lastname

    パスワード:Password123!

  3. Endpoint Managementコンソールで、[管理]>[ユーザー]の順にクリックします。[ユーザー] ページが開きます。

    次の [管理]>[ユーザー] 画面の例では、ASMからインポートされたユーザー一覧が表示されています。[ユーザー] 一覧には以下のように表示されます。

    • [ユーザー名] には管理対象Apple IDが表示されます。

    • [ユーザーの種類]のASMは、ASM由来のアカウントであることを示しています。

    • [グループ] にはクラスが表示されます。

    [ユーザー]画面

  4. [ローカルユーザーのインポート] をクリックします。[プロビジョニングファイルのインポート] ダイアログボックスが開きます。

  5. [形式]では [ASMユーザー] を選択し、手順2で準備したCSVファイルに移動して、[インポート] をクリックします。

    [ユーザー]画面

  6. ローカルユーザーのプロパティを表示するには、該当するユーザーを選択して [編集] をクリックします。

    [ユーザー]画面

    nameプロパティに加えて、次のASMプロパティを使用できます:

    • ASMのデータソース: クラスのデータソース(CSVまたはSFTPなど)です。
    • ASMの管理対象Apple ID: 管理対象Apple IDには、所属機関名とappleidを含めることができます。たとえば、IDはjohnappleseed@appleid.myschool.eduのようになります。Endpoint Managementでは、管理対象Apple IDの認証が要求されます。
    • ASM組織名: Endpoint Managementでアカウントに付けた名前です。
    • ASMのパスコードの種類: 複合(8つ以上の英数字で構成された生徒以外のパスワード)、4(桁)、または6(桁)の、個人のパスワードポリシーです。
    • ASMの一意の個人ID: ユーザーの識別子です。
    • ASMの個人の状態: 管理対象Apple IDがアクティブ非アクティブかを指定します。管理対象Apple IDアカウントにユーザーが新しいパスワードを入力すると、この状態がアクティブになります。
    • ASMの個人の役職: 講師、生徒、そのほかのいずれかです。
    • ASMの一意の個人ID: ユーザーの識別子です。
    • ASMソースシステムID: システムソースの識別子です。
    • ASMの生徒の学年: 生徒の学年情報です(講師は使用しません)。

手順6:必要に応じて生徒の写真を追加する

各生徒の写真を追加できます。講師がAppleのクラスルームアプリを使用すると、アプリに写真が表示されます。

写真の推奨事項は次のとおりです:

  • 解像度:256 x 256ピクセル(2xデバイスで512 x 512ピクセル)

  • 形式:JPEG、PNG、またはTIFF

写真を追加するには、[管理]>[ユーザー] の順に選択し、ユーザーを選択して、[編集][イメージを選択] の順にクリックします。

[ユーザー]画面

手順7:リソースとデリバリーグループを計画してEndpoint Managementに追加する

デリバリーグループで、ユーザーのカテゴリに展開するリソースを指定できます。たとえば、講師と生徒のデリバリーグループを1つ作成できます。または、複数のデリバリーグループを作成して、さまざまな講師や生徒に送信するアプリ、メディア、ポリシーをカスタマイズできます。クラスごとに1つまたは複数のデリバリーグループを作成できます。また、マネージャー(教育機関のそのほかの職員)のデリバリーグループを1つまたは複数作成することもできます。

ユーザーデバイスに展開するリソースには、デバイスポリシー、一括購入アプリ、およびiBooksが含まれます。

  • デバイスポリシー:

    講師がクラスルームアプリを使用する場合は、教育の構成デバイスポリシーが必要です。そのほかのデバイスポリシーを確認して、講師と生徒のiPadをどのように構成および制限するかを決定します。

  • 一括購入アプリ:

    Endpoint Managementでは、一括購入アプリを必須アプリとして教育ユーザーに展開する必要があります。Endpoint Managementでは、このような一括購入アプリをオプションとして展開することはサポートされません。

    Appleのクラスルームアプリを使用する場合は、講師のデバイスにのみ展開します。

    講師や生徒に提供するそのほかのアプリを展開します。このソリューションではCitrix Secure Hubアプリを使用しないため、講師や生徒に展開する必要はありません。

  • 一括購入iBooks:

    Endpoint Management ServerをASMアカウントに接続すると、Endpoint Managementコンソールの [構成]>[メディア] に、購入したiBooksが表示されます。このページに一覧表示されたiBooksを、デリバリーグループに追加できます。Endpoint Managementでは、iBooksを必須メディアとしてのみ追加できます。

講師および生徒のリソースとデリバリーグループを計画したら、Endpoint Managementコンソールでこれらのアイテムを作成できます。

  1. 講師または生徒のデバイスに展開するデバイスポリシーを作成します。教育の構成デバイスポリシーについて詳しくは、「Educationの構成デバイスポリシー」を参照してください。

    [教育の構成ポリシー]画面

    デバイスポリシーについて詳しくは、「デバイスポリシー」および個々のポリシーに関する記事を参照してください。

  2. アプリ([構成]>[アプリ])とiBooks( [構成]>[メディア] )を構成します。

    • デフォルトで、Endpoint ManagementはアプリとiBooksをユーザーレベルで展開します。初回展開時に、ASMへの登録を求めるメッセージが講師と生徒に送信されます。招待状を受け入れると、ユーザーは次回展開時(6時間以内)にASMアプリとiBooksを受信します。新規ASMユーザーに、アプリとiBooksの強制展開を適用することをお勧めします。これを実行するには、デリバリーグループを選択して [展開] をクリックします。

      デバイスレベルで、アプリ(iBooksは除く)の割り当てを選択できます。これを実行するには、[デバイスへの強制ライセンス割り当て] の設定を [オン] に変更します。デバイスレベルでアプリを割り当てる場合、一括購入プログラム参加の招待状はユーザーに送信されません。

    アプリ構成画面

    • 講師にのみアプリを展開するには、講師のみを含むデリバリーグループを選択するか、次の展開規則を使用します。

       Deploy this resource by ASM device type
       only
       Instructor
      

    アプリ構成画面

  3. オプションです。ASMのユーザープロパティに基づいてアクションを作成します。たとえば、新しいアプリのインストール時に生徒のデバイスに通知を送信するアクションを作成できます。または、次の例に示すように、ユーザープロパティによってトリガーされるアクションを作成できます。

    [アクション]構成画面

    アクションを作成するには、[構成]>[アクション] の順に選択します。アクションの構成について詳しくは、「自動化された操作」を参照してください。

  4. [構成]>[ デリバリーグループ] の順に選択し、講師と生徒のデリバリーグループを作成します。ASMからインポートしたクラスを選択します。また、講師と生徒の展開規則も作成します。

    たとえば、講師のユーザー割り当てを次に示します。展開規則は次のとおりです。

    Limit by user property
    ASM person title
    is equal to
    Instructor
    

    デリバリーグループ構成画面

    生徒のユーザー割り当てを次に示します。展開規則は次のとおりです。

    Limit by user property
    ASM person title
    is equal to
    Student
    

    デリバリーグループ構成画面

    ASM組織名に基づく展開規則を使用して、デリバリーグループをフィルター処理することもできます。

    デリバリーグループ構成画面

  5. リソースをデリバリーグループに割り当てます。次の例は、デリバリーグループに含まれるiBookを示しています。

    デリバリーグループ構成画面

    次の例は、デリバリーグループを選択して [展開] をクリックすると開く確認ダイアログボックスを示しています。

    デリバリーグループ構成画面

    詳しくは、「リソースの展開」の「デリバリーグループを編集するには」と「デリバリーグループを展開するには」を参照してください。

手順8:講師および生徒のデバイス登録をテストする

次の方法のいずれかを使用してデバイスを登録できます。

  • 学校管理者は、Endpoint Managementコンソールで設定したユーザーパスワードを使用して、講師と生徒のデバイスを登録できます。これにより、アプリとメディアが既にセットアップされたデバイスをユーザーに提供できます。

  • デバイスを受け取ったユーザーは、管理者によって提供されたユーザーパスワードを使用して登録します。登録が完了すると、Endpoint Managementによってデバイスポリシー、アプリ、およびメディアがデバイスに送信されます。

登録をテストするには、ASMにリンクしたApple Deployment Programデバイスを使用します。

  1. デバイスがASMにリンクしていない場合は、ハードリセットを実行してデバイスのコンテンツと設定を消去します。

  2. 講師のASMデバイスを登録します。次に、生徒のASMデバイスを登録します。

  3. [管理]>[デバイス] ページで、両方のASMデバイスがMDMのみに登録されていることを確認します。

    [デバイス] ページを、ASMデバイスの状態([ASM登録済み][ASM共有][講師][生徒] )ごとにフィルター処理できます。

    デバイス構成画面

  4. MDMリソースが各デバイスに適切に展開されたことを確認するには、デバイスを選択し、[編集] をクリックして、各種ページを確認します。

    デバイス構成画面

手順9:デバイスの配布

Appleでは、講師と生徒にデバイスを配布できるように、イベントをホストすることを推奨しています。

事前登録済みのデバイスを配布しない場合も、これらのユーザーに以下を提供します:

  • 登録用のEndpoint Managementパスワード

  • 管理対象Apple ID用の、ASMの一時的なパスワード。

初回時のユーザーエクスペリエンスは次のとおりです。

  1. ハードリセット後にユーザーが初めてデバイスを起動すると、Endpoint Managementにより登録画面でデバイスを登録するように求められます。

  2. ユーザーは管理対象Apple IDと、Endpoint Managementへの認証に使用するEndpoint Managementパスワードを入力します。

  3. Apple IDのセットアップ手順で、管理対象Apple IDとASMの一時的なパスワードの入力を求めるメッセージがデバイスに表示されます。これらの項目によって、Appleサービスへのユーザー認証が行われます。

  4. iCloudでのデータの保護に使用される、管理対象Apple IDのパスワード作成を求めるメッセージがデバイスに表示されます。

  5. セットアップアシスタントの終了時に、Endpoint Managementによりデバイスへのポリシー、アプリ、メディアのインストールが開始されます。ユーザーレベルで割り当てられるアプリとiBooksについては、講師と生徒に一括購入への登録を促すメッセージがセットアップアシスタントにより表示されます。招待状を受け入れると、ユーザーは次回展開時(6時間以内)に一括購入アプリとiBooksを受信します。

共有iPadの構成

クラスルーム内の複数の生徒は、1人または複数の講師が教えているさまざまな科目について、iPadを共有できます。

管理者か講師が共有iPadを登録し、デバイスポリシー、アプリ、メディアをデバイスに展開します。その後、生徒が管理対象Apple IDの資格情報を入力して共有iPadにサインインします。以前生徒に[教育の構成]ポリシーを展開したことがある場合、生徒はデバイスを共有するために「その他のユーザー」としてサインインする必要はありません。

Endpoint Managementは、共有iPadで次の2つの通信チャネルを使用します。デバイス所有者(講師)用のシステムチャネルおよび現在の常駐ユーザー(生徒)用のユーザーチャネル。Endpoint Managementは、これらのチャネルからAppleがサポートするリソースに対応した適切なMDMコマンドを送信します。

システムチャネル上に展開されるリソースは次のとおりです。

  • 教育の構成、ロック画面のメッセージ、最大常駐ユーザー数、パスコードロックの猶予期間などのデバイスポリシー
  • デバイスベースの一括購入アプリ

    Appleは、共有iPadでエンタープライズアプリやユーザベースの一括購入アプリをサポートしていません。共有iPadでは、アプリはユーザーごとではなく、デバイス全体にインストールされます。

  • ユーザーベースの一括購入iBooks

    Appleは、共有iPadでのユーザーベースの一括購入iBooksの割り当てをサポートしています。

ユーザーチャネル上に展開されるリソースは次のとおりです。

  • デバイスポリシー:アプリ通知、ホーム画面レイアウト、制限

    Endpoint Managementは、ユーザーチャネル上のデバイスポリシーのみをサポートしています。

デバイスポリシーを構成する場合、ポリシー設定の [プロファイルの対象] で展開するチャネルを指定します。

デバイスポリシー構成画面

ユーザーチャネルで展開したデバイスポリシーを削除する場合、[プロファイルの削除]ポリシーの [展開範囲][ユーザー] を選択するようにしてください。

一般的なワークフロー

通常、講師には事前に構成された監視対象共有iPadが提供されます。講師は生徒に各デバイスを配布します。事前登録済みの共有iPadを講師に配布しない場合は、講師にEndpoint Managementサーバーのパスワードを提供して、デバイスを登録できるようにしてください。

共有iPadの構成と登録の一般的なワークフローは次のとおりです。

  1. Endpoint Managementサーバーコンソールで共有モードを有効にして、ASMアカウントを追加します([設定]>[Apple Deployment Program])。詳しくは、「共有iPadのASMアカウントを管理する」を参照してください。
  2. このセクションで説明するように、必要なデバイスポリシー、アプリ、メディアをEndpoint Managementに追加して、これらのリソースをデリバリーグループに割り当てます。
  3. 講師に共有iPadのハードリセットを実行するよう指示します。登録の[Remote Management]画面が開きます。
  4. 講師が共有iPadを登録します。 Endpoint Managementは、登録済みの各共有iPadに構成済みのリソースを展開します。自動再起動後、講師は生徒とデバイスを共有できるようになります。サインインページがiPadに表示されます。
  5. 生徒がクラスを選択し、管理対象Apple IDと一時的なASMのパスワードを入力します。 共有iPadがASMを認証すると、生徒はASMパスワードを作成するよう促されます。次回の共有iPadへのサインインでは、生徒は新しいASMパスワードを使用します。
  6. iPadを共有している別の生徒は、ここまでの手順を繰り返してサインインすることができます。

共有iPadのASMアカウントを管理する

既にAppleの教育向け機能でEndpoint Managementを使用している場合:インストラクタが使用するデバイスなど、共有されていないデバイスに対しては、Endpoint Managementに既存のASMアカウントが設定されています。同一のASMとEndpoint Managementサーバーを、共有デバイスと非共有デバイスの両方に使用できます。

Endpoint Managementは、次の展開シナリオをサポートしています。

  • 1クラスあたり1グループの共有iPad

    このシナリオでは、複数の共有iPadを1クラスの生徒に割り当てます。iPadはクラスルームにとどまります。そのクラスの各科目の講師達は、同じグループのiPadを使用します。

  • 講師1人あたり1グループの共有iPad

    このシナリオでは、複数の共有iPadを1人の講師に割り当てます。講師は、授業を行うさまざまなクラスでこれらのiPadを使用します。

共有iPadをデバイスグループにまとめる

ASMによって、複数のMDMサーバーを作成して、デバイスをグループに編成できます。共有iPadをMDMサーバーに割り当てる時は、クラスごとまたは講師ごとに、共有iPadのグループのデバイスグループを作成します。

  • グループ1の共有iPad>デバイスグループ1 MDMサーバー
  • 共有iPadのグループ2>デバイスグループ2 MDMサーバー
  • 共有iPadのグループN>デバイスグループN MDMサーバー

各デバイスグループにASMアカウントを追加する

Endpoint Managementサーバーコンソールで複数のASMアカウントを作成すると、クラスごとまたは講師ごとに共有iPadのグループ1つずつ自動的にインポートされます:

  • デバイスグループ1 MDMサーバー>デバイスグループ1アカウント
  • デバイスグループ2 MDMサーバー>デバイスグループ2アカウント
  • デバイスグループN MDMサーバー>デバイスグループNアカウント

共有iPadに固有の要件は以下のとおりです。

  • デバイスグループごとに1つのASMアカウントを用意し、以下の設定を有効にします。
    • デバイス登録を必須にする
    • 監視モード
    • 共有モード
  • 同じ教育機関では、すべてのASMアカウントに同じ教育機関のサフィックスを使用してください。

アカウントを追加するには、[設定]>[Apple Deployment Program] に移動します。

Apple Deployment Program設定構成画面

共有iPadのアプリ

共有iPadは、デバイスベースの一括購入アプリの割り当てをサポートしています。Endpoint Managementサーバーは共有iPadにアプリを展開する前に、デバイスに一括購入ライセンスを割り当てるようApple一括購入サーバーに要求を送信します。一括購入の割り当てを確認するには、[構成]>[アプリ]>[iPad] に進み、[一括購入] を展開します。

共有iPad用のメディア

共有iPadはユーザーベースの一括購入iBooksの割り当てをサポートしています。Endpoint Managementサーバーは共有iPadにiBooksを展開する前に、生徒に一括購入ライセンスを割り当てるようApple一括購入サーバーに要求を送信します。一括購入の割り当てを確認するには、[構成]>[メディア]>[iPad] に進み、[一括購入] を展開します。

メディア構成画面

共有iPadの展開規則

デリバリーグループレベルの規則はユーザープロパティに関するものであるため、共有iPadを展開する場合これらの規則は適用されません。デバイスのグループごとにポリシー、アプリ、メディアを絞り込むには、アカウント名に基づいて、リソースの展開規則を追加します。次に例を示します:

  • デバイスグループ1のアカウントでは、次の展開規則を設定します:

  Apple Deployment Program account name
  Only
  Device Group 1 account

  • デバイスグループ2のアカウントでは、次の展開規則を設定します:

  Apple Deployment Program account name
  Only
  Device Group 2 account

  • デバイスグループNのアカウントでは、次の展開規則を設定します:

  Apple Deployment Program account name
  Only
  Device Group N account

デバイスポリシー構成画面

非共有のiPadを使用して講師にのみAppleクラスルームアプリを展開する場合、ASMの共有状態を次の展開規則で絞り込みます:


Deploy this resource regarding ASM shared mode
only
unshared

または:


Deploy this resource regarding ASM shared mode
except
shareable

アプリ構成画面

共有iPadのデリバリーグループ

講師ごとのデバイスグループについては、次を参照してください。

  • 1つのデリバリーグループを構成する。講師には、[教育の構成]ポリシーで定義されているすべてのクラスを割り当てます。

デリバリーグループ構成画面

  • このデリバリーグループには、次のMDMリソースを含める必要があります。
    • デバイスポリシー:
      • 教育の構成
      • ロック画面のメッセージ
      • アプリ通知
      • ホーム画面のレイアウト
      • 制限
      • 最大常駐ユーザー数
      • パスコード ロックの猶予期間
    • 必要な一括購入アプリ
    • 必要な一括購入iBooks

デリバリーグループ構成画面

共有iPadのセキュリティ操作

既存のセキュリティ操作に加えて、共有iPadでは次のセキュリティ操作を使用できます:

  • 常駐ユーザーの取得: 現在のデバイスで有効なアカウントを持つユーザーの一覧を表示します。この操作により、デバイスとEndpoint Managementコンソール間で強制的に同期が行われます。
  • 常駐ユーザーのログアウト: 現在のユーザーを強制的にログアウトさせます。
  • 常駐ユーザーの削除: 指定したユーザーの現在のセッションを削除します。ユーザーは再びサインインできます。

セキュリティ操作画面

[常駐ユーザーの削除] のクリック後、ユーザー名を指定できます。

セキュリティ操作画面

セキュリティ操作の結果は、[管理]>[デバイス]>[一般] ページおよび [管理]>[デバイス]>[デリバリーグループ] ページに表示されます。

共有iPadの情報を取得する

共有iPadに関する情報は、[管理]>[デバイス] ページで確認できます。

  • 次を検索できます。
    • デバイスが共有されているか([ASM共有]
    • 共有デバイスにログインしているユーザー([ASMログイン済みユーザー]
    • 共有デバイスに割り当てられているすべてのユーザー([ASM常駐ユーザー]

デバイス構成画面

  • [ASMデバイスの状態] でデバイス一覧を絞り込む:

デバイス構成画面

  • [管理]>[デバイス]>[ログイン済みユーザーのプロパティ] ページで、共有iPadにログインしているユーザーの詳細を確認できます。

デバイス構成画面

デバイス構成画面

  • [管理]>[デバイス]>[デリバリーグループ] ページでは、デリバリーグループの講師およびユーザーへのリソース展開に使用されているチャネルを確認できます。[チャネル/ユーザー] 列には、チャネルの種類([システム] または [ユーザー])と受信者(講師または生徒)が表示されます。

デバイス構成画面

  • 常駐ユーザーの情報を取得できます。
    • 同期するデータがある: クラウドに同期させるデータをユーザーが持っているかどうか。
    • データクォータ: ユーザーに設定されているデータクォータ(バイト単位)。ユーザークォータが一時的にオフになっているか、ユーザーに割り当てられていない場合は、クォータが表示されないことがあります。
    • 使用済みデータ: ユーザーが使用したデータ量(バイト単位)。システムの情報収集時にエラーが発生した場合、値が表示されないことがあります。
    • ログイン中: ユーザーがデバイスにログオンしているかどうか。

デバイス構成画面

  • 両方のチャネルのプッシュステータスを確認できます。

デバイス構成画面

講師、生徒、およびクラスのデータの管理

講師、生徒、およびクラスのデータを管理する場合は、次のことに注意してください。

  • ASM情報をEndpoint Managementにインポートした後に、管理対象Apple IDを変更しないでください。Endpoint Managementは、ユーザーの特定にASMのユーザー識別子も使用します。

  • 1つまたは複数の教育の構成デバイスポリシーを作成した後に、ASMにクラスデータの追加や変更を行った場合は、ポリシーを編集してから再展開します。

  • 教育の構成デバイスポリシーを展開した後にクラスの講師を変更する場合は、ポリシーを確認してEndpoint Managementコンソールで確実に更新してから、ポリシーを再展開します。

  • ASMポータルでユーザープロパティを更新すると、Endpoint Managementでもコンソールでプロパティが更新されます。ただし、Endpoint Managementでは、そのほかのプロパティと同じ方法で[ASMの個人の役職]プロパティ(講師、生徒、またはそのほか)が受信されません。このため、ASMでASMの個人の役職を変更する場合は、次の手順を完了してEndpoint Managementに変更が反映されるようにします。

データを管理するには:

  1. ASMポータルで、生徒の学年を更新し、講師の学年を削除します。

  2. 生徒のアカウントを講師のアカウントに変更した場合は、クラスの生徒一覧からそのユーザーを削除します。次に、同じまたは別のクラスの講師一覧に、そのユーザーを追加します。

    講師のアカウントを生徒のアカウントに変更した場合は、クラスからそのユーザーを削除します。次に、同じまたは別のクラスの生徒一覧に、そのユーザーを追加します。更新内容は、次回の同期時(デフォルトで5分ごと)またはフェッチ時(デフォルトで24時間ごと)に、Endpoint Managementコンソールに表示されます。

  3. 教育の構成デバイスポリシーを編集し、変更を適用して再展開します。

    • ASMポータルからユーザーを削除すると、Endpoint Managementでもフェッチ後にEndpoint Managementコンソールからそのユーザーが削除されます。

      サーバープロパティ値bulk.enrollment.fetchRosterInfoDelayを変更することで、2つのベースライン間の間隔を短縮できます(デフォルトは1440分)。

    • リソース展開後に、生徒をクラスに参加させる場合は、その生徒だけで構成されたデリバリーグループを作成してリソースを展開します。

    • 生徒や講師が一時的なパスワードを紛失した場合は、ASM管理者に問い合わせるようにします。管理者によって一時的なパスワードが提供されるか、または新しいパスワードが生成されます。

Apple School Manager DEPに登録済みの紛失または盗難に遭ったデバイスの管理

Appleの[iPhone/iPadを探す]サービスには、アクティベーションロック機能が含まれています。アクティベーションロックは、Apple Deployment Programに登録済みのデバイスが紛失または盗難に遭った場合に、不正ユーザーがそのデバイスを使用したり転売したりすることを防止します。

Endpoint Managementには、ASM DEPに登録済みのデバイスにロックコードを送信できる、[ASMアクティベーションロック] のセキュリティ操作が含まれています。

[ASMアクティベーションロック] のセキュリティ操作を使用すると、ユーザーに[iPhone/iPadを探す]サービスの有効化を要求せずに、Endpoint Managementでデバイスを検索できます。ASMデバイスが強制リセットまたは完全にワイプされた場合、ユーザーは管理対象Apple IDとパスワードを入力してデバイスのロックを解除します。

コンソールからロックを解除するには、セキュリティ操作 [アクティベーションロックバイパス] をクリックします。アクティベーションロックをバイパスする方法については、「iOSアクティベーションロックのバイパス」を参照してください。ログインパネルを空白のままにして、パスワードとして [ASMアクティベーションロックバイパスコード] を入力することもできます。この情報は、[プロパティ] タブの [デバイス詳細] で入手できます。

アクティベーションロックを設定するには、[管理]>[デバイス] の順に選択し、該当するデバイスを選択して、[セキュリティ][ASMアクティベーションロック] の順にクリックします。

デバイス構成画面

[ASMエスクローキー][ASMアクティベーションロックバイパスコード] のプロパティが、[デバイス詳細] に表示されます。

デバイス構成画面

ASMアクティベーションロックに対するRBACの権限は、[デバイス]>[ASM/バイパスアクティベーションロックを有効化] です。

RBAC構成画面