Appleデバイスの一括登録

次の2つの方法で多数のiOSデバイス、macOSデバイス、Apple TVデバイスをEndpoint Managementに追加できます。

  • Apple、加入式のApple認定リセラー、またはキャリアから直接購入したiOS、macOS、Apple TVデバイスの登録は、Appleデバイス登録プログラム(DEP)を使用して登録できます。共有iPadもサポートされています。Endpoint Managementは、ビジネス向けデバイス登録プログラムと、教育向けApple School Managerをサポートします。ここでは、ビジネス用DEPアカウントとの統合について説明します。Apple School ManagerのDEPアカウントについて詳しくは、「Appleの教育向け機能との統合」を参照してください。

    Endpoint ManagementでmacOSデバイスをDEPにより登録する場合、そのデバイスではmacOS 10.10以降を実行している必要があります。

  • また、iOSデバイスは、Appleから直接購入したかどうかにかかわらずApple Configuratorを使用してを登録できます。

企業向けDEPの場合:

  • 実物のデバイスを直に設定つまり準備する必要はありません。代わりに、デバイスのシリアル番号または発注番号をDEP経由で送信して、デバイスの構成と登録を行います。
  • Endpoint Managementにデバイスが登録されると、ユーザーは、登録されたデバイスをすぐに使い始めることができます。さらに、DEPでデバイスをセットアップすると、ユーザーが初めてデバイスを起動したときに入力する必要のある設定アシスタントの手順の一部を省略できます。
  • DEPのセットアップについて詳しくは、AppleのDevice Enrollment Programページを参照してください。

Apple Configuratorの場合:

  • macOS 10.7.2以降およびApple Configurator 2アプリが動作するAppleコンピューターにiOSデバイスを接続します。Apple Configurator 2を介してiOSデバイスを準備しポリシーを構成します。
  • デバイスを必要なポリシーでプロビジョニングした後に初めてEndpoint Managementに接続すると、そのデバイスにEndpoint Managementからポリシーが送信されます。その後、デバイスの管理を開始できます。
  • Apple Configuratorの使用について詳しくは、Apple Configuratorのヘルプを参照してください。

前提条件

Endpoint ManagementとAppleを接続するには、必要なポートを開く必要があります。詳しくは、「ポート要件」を参照してください。

ビジネス用Apple DEPアカウントとEndpoint Managementの統合

企業向けApple DEPアカウントを持っていない場合は「Apple DEPを介したデバイスの展開」を参照して下さい。

ビジネス用Apple DEPアカウントをEndpoint Managementサーバー環境に接続するには、以下の手順に従ってEndpoint ManagementコンソールとApple DEPポータルで情報を入力します。

手順1: Endpoint Managementサーバーから公開キーをダウンロードします

  1. Endpoint Managementコンソールにログオンし、[設定]>[Appleデバイス登録プログラム(DEP)] の順に移動します。

    Apple DEP設定画面の画像

  2. [公開キーのダウンロード] の下にある [ダウンロード] をクリックします。

手順2:Appleアカウントからサーバートークンファイルを作成してダウンロードします

  1. 企業のApple IDを使用して、Apple Deployment Program Portalにログオンします。

  2. Apple DEP Portalで、[Device Enrollment Program] をクリックします。

    Apple DEP Portalの画像

  3. [Manage Servers]をクリックし、右側にある [Add MDM Server] をクリックします。

    Apple DEP Portalの画像

  4. [Add MDM Server] にEndpoint Managementサーバーの名前を入力し、[Next] をクリックします。

    Apple DEP Portalの画像

  5. Apple DEP Portalで、[Choose file] をクリックして、Endpoint Managementからダウンロードした公開キーを選択し、[Next] をクリックします。

    Apple DEP Portalの画像

  6. [Your Server Token] をクリックして、ブラウザーからダウンロードするサーバートークンを生成し、[Done] をクリックします。

    Apple DEP Portalの画像

    トークンファイルをインポートした後、Apple DEPトークン情報がEndpoint Managementコンソールに表示されます。Endpoint ManagementにDEPアカウントを追加するときに、このサーバートークンファイルをアップロードします。

手順3:DEPアカウントをEndpoint Managementに追加する

Endpoint Managementには複数のDEPアカウントを追加できます。この機能によって、国や部門などごとに異なる登録設定や設定補助オプションを利用できるようになります。追加後、各DEPアカウントをさまざまなデバイスポリシーに関連付けることができます。

たとえば、同じEndpoint Managementサーバーにさまざまな国のDEPアカウントをすべて集約して、すべてのDEPデバイスをインポートして管理することもできます。登録設定と設定補助オプションを部門、組織上の階層、または他の構造ごとにカスタマイズすることで、ポリシーが組織全体で適切に機能し、デバイスユーザーが適切な設定補助を受けられるようになります。

  1. Endpoint Managementコンソールで、[設定]>[Appleデバイス登録プログラム(DEP)]に移動し、[DEPアカウントの追加][追加] をクリックします。

    Apple DEP設定画面の画像

  2. [アカウント情報] ページで次の設定を入力します。

    Apple DEP設定画面の画像

    • DEPアカウント名: このDEPアカウントの一意の名前。国や組織構造など、DEPアカウントの分類を示す名前を付けます。
    • 事業/教育単位: デバイスを割り当てる事業単位または部門。このフィールドは必須です。
    • 一意のサービスID: アカウントの識別に役立つオプションの一意のIDです。
    • サポート用電話番号: ユーザーがセットアップ時にサポートが必要となった場合に連絡するサポートの電話番号。このフィールドは必須です。
    • サポート用メールアドレス: エンドユーザーが使用できるサポート用のメールアドレス(オプション)。
  3. [サーバートークン] ページでサーバートークンファイルを指定し、[アップロード] をクリックします。

    Apple DEP設定画面の画像

    サーバートークンの情報が表示されます。

  4. [iOS設定] で次の設定を入力します。

    Apple DEP設定画面の画像

    登録設定:

    • デバイス登録を必須にする: ユーザーにデバイス登録を要求するかどうか。デフォルトは [はい] です。
    • デバイス登録のための資格情報を求める: DEPのセットアップ時にユーザーに資格情報の入力を要求するかどうか。デバイスの登録ですべてのユーザーに資格情報を入力を要求し、承認済みのユーザーだけがデバイスを登録できるようにしてください。デフォルトは [いいえ] です。

      初回のセットアップでDEPを有効にしており、このオプションをオンにしない場合、DEPユーザー、Secure Hub、ソフトウェアインベントリ、DEP展開グループなどのDEPコンポーネントが作成されます。このオプションを選択すると、Endpoint Managementによってコンポーネントは作成されません。そのため、後でこのオプションをオフにしても、これらのDEPコンポーネントは存在しないため、資格情報を入力していないユーザーはDEP登録を実行できません。その場合、DEPコンポーネントを追加するには、DEPアカウントを無効化してもう一度有効化する必要があります。

    • セットアップを完了するため構成を待機する: すべてのMDMリソースがユーザーのデバイスに展開されるまで、デバイスをセットアップアシスタントモードのままにしておく必要があるかどうか。これはiOS 9.0以降のSupervisedモードのデバイスでのみ使用できます。デフォルトは [いいえ] です。
    • Appleのドキュメントによると、デバイスがセットアップアシスタントモードの間は以下のコマンドが機能しない場合があります。
      • InviteToProgram
      • InstallApplication
      • ApplyRedemptionCode
      • InstallMedia
      • RequestMirroring
      • DeviceLock

    デバイス設定:

    • 監視モード: DEPで登録したデバイスをApple Configuratorで管理する場合、または [セットアップを完了するため構成を待機する] が有効な場合は、[はい] に設定する必要があります。デフォルトは [はい] です。iOSデバイスをSupervisedモードにする方法について詳しくは、「Apple Configuratorを使用してiOSデバイスをSupervisedモードにするには」を参照してください。
    • 登録プロファイルの削除を許可: リモートから削除できるプロファイルをデバイスで使用することを許可するかどうかを選択します。デフォルトは [いいえ] です。
    • デバイスのペアリングを許可: DEPで登録したデバイスをiTunesおよびApple Configuratorで管理できるかどうか。デフォルトは [いいえ] です。
  5. [macOS設定] で設定を入力します。

    Apple DEP設定画面の画像

    登録設定:

    • デバイス登録を必須にする: ユーザーにデバイス登録を要求するかどうか。デフォルトは [はい] です。
    • セットアップを完了するため構成を待機する: [はい] の場合、MDMリソースパスコードがデバイスに展開されるまで、macOSデバイスはセットアップアシスタントを続行しません。その展開が行われるのは、ローカルアカウントの作成前になります。この設定はmacOS 10.11以降のデバイスで使用できます。デフォルトは [いいえ] です。

    デバイス設定:

    • 登録プロファイルの削除を許可: リモートから削除できるプロファイルをデバイスで使用することを許可するかどうかを選択します。デフォルトは [いいえ] です。
  6. [Apple TV設定] で、次の設定を指定します。

    • デバイス登録を必須にする: ユーザーがデバイス登録をスキップできないようにします。
    • デバイス登録のための資格情報を求める: 登録時に資格情報を確認します。この設定が無効の場合、Apple TVはデフォルトの「デバイス登録プログラムユーザー」として登録されます。
    • セットアップを完了するため構成を待機する: デバイスは、すべてのリソースが展開されるまで[セットアップアシスタント]画面のまま待機します。
    • 監視モード: 管理者は制限を構成するとともに、さらに多くの機能を使用できるようになります。
    • 登録プロファイルの削除を許可: ユーザーが登録プロファイルを削除できるようにします。
    • デバイスのペアリングを許可: デバイス登録プログラムを介して登録されたデバイスを、iTunesやApple ConfiguratorなどのAppleツールで管理できるようにします。

    Apple DEP設定の構成画面の画像

  7. [iOSセットアップアシスタントオプション] で、ユーザーが初めてデバイスを起動して使用するときに実行する必要がないiOSセットアップアシスタントの手順(すなわち、スキップできる手順)を選択します。すべての項目は、デフォルトで選択が解除されています。

    Apple DEP設定画面の画像

    • 位置情報サービス: デバイスに位置情報サービスを設定します。
    • Touch ID: iOS 8.0以降のデバイスにTouch IDを設定します。
    • パスコードロック: デバイスのパスコードを作成します。
    • 新規としてセットアップまたは復元: 新規に、またはiCloudかiTunesのバックアップからデバイスを設定します。
    • Androidから移動: AndroidデバイスからiOS 9以降のデバイスへのデータ転送を有効にします。このオプションは、[新規としてセットアップまたは復元] がオンの場合(すなわち、手順をスキップする場合)にのみ使用できます。
    • Apple ID: デバイスのApple IDアカウントを設定します。
    • 使用条件: デバイスの使用契約条件に対する同意をユーザーに要求します。
    • Apple Pay: iOS 8.0以降のデバイスにApple Payを設定します。
    • Siri: デバイスでSiriを使用するかどうかを選択します。
    • App Analytics: クラッシュデータおよび使用状況の統計情報をAppleと共有するかどうかを設定します。
    • ディスプレイズーム: iOS 8.0以降のデバイスにディスプレイ解像度(標準またはズーム)を設定します。
    • True Tone: iOS 10.0デバイス(最小バージョン)にTrue Toneディスプレイを設定します。
    • ホームボタン: iOS 10.0デバイス(最小バージョン)に、ホームボタンの画面の感度を設定します。
    • 新機能のハイライト: iOS 11.0デバイス(最小バージョン)で、配布準備情報画面、[Access the Dock from Anywhere]および[Switch Between Recent Apps]を設定します。
    • プライバシー: DEPデバイスの設定中に、[データおよびプライバシー]ペインがユーザーにを表示されないようにします。iOS 11.3以降の場合。
    • 外観: DEPデバイスの設定中にユーザーが[Choose Your Look]画面を表示できないようにします。iOS 12.0以降の場合。
    • ソフトウェアの更新: DEPデバイスのセットアップ中に必須ソフトウェアの更新画面が表示されないようにします。iOS 12.0以降の場合。
    • スクリーンタイム: DEPデバイスのセットアップ中にスクリーンタイム画面が表示されないようにします。iOS 12.0以降の場合。

    DEPアカウントを表示するには、[設定]>[Appleデバイス登録プログラム(DEP)] に移動します。

  8. [macOSセットアップアシスタントオプション] で、ユーザーが初めてデバイスを起動して使用するときに実行する必要がないmacOSセットアップアシスタントの手順(すなわち、スキップできる手順)を選択します。すべての項目は、デフォルトで選択が解除されています。

    Apple DEP設定画面の画像

    • 新規としてセットアップまたは復元: 新規に、またはiCloudかiTunesのバックアップからデバイスを設定します。
    • 位置情報サービス: デバイスに位置情報サービスを設定します。
    • Apple ID: デバイスのApple IDアカウントを設定します。
    • 使用条件: デバイスの使用契約条件に対する同意をユーザーに要求します。
    • Siri: デバイスでSiriを使用するかどうかを選択します。
    • FileVault: FileVaultを使用して起動ディスクを暗号化します。Endpoint ManagementがFileVaultの設定を適用するのは、ローカルユーザーアカウントがシステムに1つで、そのアカウントがiCloudにサインインしている場合のみです。

      macOSのFileVaultディスク暗号化機能を使ってコンテンツを暗号化し、システムボリュームを保護します(https://support.apple.com/en-us/HT204837)。FileVaultがオンになっていない旧モデルのポータブルMacでセットアップアシスタントを実行すると、この機能を有効にするように求められることがあります。このプロンプトは、新しいシステムとOS X 10.10または10.11にアップグレードされたシステムの両方に表示されますが、システムのローカル管理者アカウントが1つで、そのアカウントがiCloudにサインインしている場合にのみ表示されます。

    • App Analytics: クラッシュデータおよび使用状況の統計情報をAppleと共有するかどうかを設定します。
    • 登録: ユーザーにデバイスの登録を要求します。

      登録情報の設定は、OS X 10.9で利用可能でした。登録プロセスを使用して、システムの登録情報をAppleに送信することができました。この情報によってユーザーの連絡先情報とMacのハードウェアが関連付けられたのです。Appleでは主に、この情報をAppleCareのサポートに役立てるために使用していました。以前にApple IDを入力した場合は、セットアップアシスタントによって、必要に応じて、Apple IDアカウントに基づいて登録が送信されています。Apple IDを入力しなかった場合は、連絡先情報を手動で入力することができました。

      [ローカルアカウントのセットアップオプション] で、macOSに必要な管理者アカウントを作成するための設定を指定します。Endpoint Managementは、指定された情報を使用してアカウントを作成します。

    • プライバシー: DEPデバイスの設定中に、[データおよびプライバシー]ペインがユーザーに表示されないようにします。macOS 10.13以降の場合。
    • iCloud Analytics: DEPデバイスの設定中に、iCloud Analytics画面がユーザーに表示されないようにします。macOS 10.13以降の場合。
    • iCloudの書類とデスクトップ: DEPデバイスの設定中に、iCloudの書類とデスクトップ画面がユーザーに表示されないようにします。macOS 10.13以降の場合。
  9. [Apple TV設定アシスタントのオプション] で、ユーザーが初めてデバイスを起動して使用するときに実行する必要がないApple TV設定アシスタントの手順(すなわち、スキップできる手順)を選択します。すべての項目は、デフォルトで選択が解除されています。

    Apple DEP設定の構成画面の画像

  10. Endpoint ManagementとApple間の接続をテストするには、アカウントを選択して [接続性をテスト] をクリックします。

    Apple DEP設定画面の画像

    状態を示すメッセージが表示されます。

    Apple DEP設定画面の画像

DEPアカウント用のデバイスポリシーの展開規則およびアプリの構成

[設定]>[デバイスポリシー] および [設定]>[アプリ][展開規則] セクションから、DEPアカウントをさまざまなデバイスポリシーとアプリに関連付けることができます。ポリシーまたはアプリを次のいずれかの方法で指定できます。

  • 特定のApple DEPアカウントに対してのみ展開する。
  • 選択したものを除くすべてのApple DEPアカウントに展開する。

DEPアカウントの一覧には、ステータスが有効または無効のアカウントのみが含まれます。DEPアカウントが無効の場合、DEPデバイスはこのアカウントに属しません。このため、Endpoint Managementではこれらのデバイスにアプリまたはポリシーが展開されません。

以下の例では、デバイスポリシーを、Apple DEPアカウント名が「DEP Account NR」に設定されているデバイスのみに展開するように構成しています。

![Apple DEP設定画面の画像](/ja-jp/citrix-endpoint-management/media/apple-dep-deployment-rule-policy-example.png)

Apple Configurator設定の構成

  1. Endpoint Managementコンソールで、[設定]>[Apple Configuratorデバイス登録] の順に選択します。

    Apple DEP設定画面の画像

  2. [Apple Configuratorデバイス登録を有効にする][はい] に設定します。

  3. [Apple Configuratorで入力する登録URL] は、読み取り専用のフィールドです。これはEndpoint ManagementサーバーがAppleとの通信に使用するURLです。手順の後半で、このURLをコピーしてApple Configuratorに貼り付けます。Apple Configurator 2の場合、登録用URLは、Endpoint Managementサーバーの完全修飾ドメイン名(FQDN。mdm.server.url.comなど)またはIPアドレスです。

  4. 認識のないデバイスが登録されないようにするには、[登録前にデバイスの登録が必要です][はい] に設定します。注:この設定が [はい] の場合、登録前にEndpoint Managementの [管理]>[デバイス] から手動で行うか、CSVファイルを使用して、設定済みのデバイスを追加する必要があります。

  5. iOS 7.1以降のデバイスのユーザーに対して、登録時に資格情報の入力を要求するには、[デバイス登録のための資格情報を求める][はい] に設定します。デフォルトでは資格情報は不要です。

  6. 注:Endpoint Managementサーバーで信頼済みのSSL証明書を使用する場合は、この手順はスキップしてください。[アンカー証明書のエクスポート] をクリックして、certchain.pemファイルをmacOSキーチェーン(ログインまたはシステム)に保存します。

    Apple DEP設定画面の画像

  7. Apple Configuratorを開始して [Prepare]>[Setu]>[Configure Settings] の順に選択します。

  8. Configuratorの [Device Enrollment] 設定の [MDM server URL] ボックスに、手順4のMDMサーバーURLを貼り付けます。

  9. Endpoint Managementで信頼済みのSSL証明書を使用しない場合は、[Device Enrollment] 設定の [Anchor] 証明書にルート証明機関およびSSLサーバー証明機関をコピーします。

  10. DockコネクタUSBケーブルを使用して、最大で30台のデバイスを同時にApple Configuratorが動作するMacに接続して構成します。Dockコネクタがない場合は、1台または複数のPowered USB 2.0高速ハブを使用してデバイスを接続します。

  11. [Prepare] をクリックします。Apple Configuratorを使用したデバイスの準備について詳しくは、Apple Configuratorのヘルプページ「デバイスを準備する」を参照してください。

  12. Apple Configuratorで、必要なデバイスポリシーを構成します。

  13. 準備ができたデバイスから電源を入れてiOS設定アシスタントを開始し、初回使用のためにデバイスを準備します。

Apple DEPを使用しているときに証明書を更新するには

Endpoint Management Secure Sockets Layer(SSL)証明書が更新されたら、Endpoint Managementコンソールで [設定]>[証明書] の順に選択し、新しい証明書をアップロードします。[インポート] ダイアログボックスの [使用目的] で、[SSLリスナー] をクリックして証明書がSSLに使用されるようにします。サーバーを再起動すると、新しいSSL証明書が使用されるようになります。Endpoint Managementの証明書について詳しくは、「Endpoint Managementでの証明書のアップロード」を参照してください。

SSL証明書を更新するときに、Apple DEPとEndpoint Managementの間の信頼関係を再構築する必要はありません。ただし、この記事の上記の手順に従って、いつでもDEP設定を再構成できます。

Apple DEPについて詳しくは、Appleのドキュメントを参照してください。

Apple Configuratorを使用してiOSデバイスをSupervisedモードにするには

重要:

デバイスをSupervisedモードにすると、特定のバージョンのiOSがデバイスにインストールされ、以前に保存されたユーザーデータまたはアプリケーションがデバイスから完全に消去されます。

  1. https://itunes.apple.comからApple Configuratorをインストールします。

  2. iOSデバイスをAppleコンピューターに接続します。

  3. Apple Configuratorを起動します。監視の準備が整っているデバイスがあることがConfiguratorに表示されます。

  4. デバイスの監視の準備を行うには:

    • [Supervision control][On] に設定します。構成を定期的に再適用することによってデバイスを管理する場合は、この設定を選択することをお勧めします。

    • 必要に応じてデバイスの名前を指定します。

    • 最新バージョンのiOSをインストールする場合、[iOS]ボックスの一覧で [Latest] を選択します。

  5. デバイスの監視の準備が整ったら、[準備]をクリックします。