iOS

Endpoint ManagementでiOSデバイスを管理するには、AppleのAppleプッシュ通知サービス(APNs)証明書を設定します。詳しくは、「APN証明書」を参照してください。

Endpoint Managementは、iOSデバイスをMDM+MAMモードに登録します。ユーザーは、任意でMAM-onlyモードで登録することもできます。Endpoint Managementは、MDM+MAMモードのiOSデバイスに対して、次の種類の認証をサポートします。詳しくは、「証明書および認証」を参照してください。

  • ドメイン
  • ドメイン+セキュリティトークン
  • クライアント証明書
  • クライアント証明書およびドメイン
  • 派生資格情報
  • IDプロバイダー:
    • Azure Active Directory
    • Citrix IDプロバイダー

iOSデバイスの管理を開始するための一般的なワークフローは次のとおりです:

  1. オンボーディングプロセスの完了。「オンボードとリソースのセットアップ」と「デバイス登録およびリソース配信の準備」を参照してください。

  2. 登録方法の選択と構成。「サポートされている登録方法」を参照してください。

  3. iOSデバイスポリシーの構成

  4. ユーザーが提供する資格情報を使用するiOSデバイスの登録

  5. デバイスとアプリのセキュリティ操作の設定。「セキュリティ操作」を参照してください。

サポートされているオペレーティングシステムについては、「サポートされるデバイスオペレーティングシステム」を参照してください。

サポートされている登録方法

次の表は、uOSデバイスでサポートされているEndpoint Managementでの登録方法を示しています:

方法 サポート
Appleデバイス登録プログラム(DEP) はい
Apple School Manager DEP はい
Apple Configurator はい
手動登録 はい
登録招待 はい

Appleでは、ビジネスおよび教育用アカウント向けのデバイス登録プログラムが提供されています。ビジネス用アカウントの場合、デバイスをEndpoint Managementで登録して管理するには、Apple Deployment Programに登録して、AppleのDEP( Device Enrollment Program:デバイス登録プログラム)を利用する必要があります。これは、iOS、macOS、Apple TVデバイス向けのプログラムです。「Apple DEPを介したデバイスの展開」を参照してください。

教育用アカウントの場合は、Apple School Managerアカウントを作成します。Apple School Managerでは、デバイス登録プログラム(DEP)とVolume Purchase Program(VPP)が統合されています。Apple School Managerは、教育向けDEPの一種です。「Apple Education機能との統合」を参照してください。

Appleデバイス登録プログラム(DEP)を使用して、iOS、macOS、およびApple TVデバイスを一括登録することができます。これらのデバイスは、Appleから直接購入するか、Apple正規販売代理店、または通信事業者から購入することができます。Appleから直接購入したかどうかにかかわらずApple Configuratorを使用してiOSデバイスを登録できます。「Appleデバイスの一括登録」を参照してください。

手動によるiOSデバイスの追加

テスト目的など、iOSデバイスを手動で追加する場合は、次の手順に従います。

  1. Endpoint Managementコンソールで、[管理]>[デバイス] の順にクリックします。[デバイス] ページが開きます。

    [デバイス]ページの画像

  2. [追加] をクリックします。[デバイスの追加] ページが開きます。

    [デバイス]ページの画像

  3. 次の設定を構成します。

    • プラットフォーム選択: [iOS] を選択します。
    • シリアル番号: デバイスのシリアル番号を入力します。
  4. [追加] をクリックします。[デバイス] の表に示される一覧の一番下に、追加したデバイスが表示されます。デバイスの詳細を表示して確認するには:追加したデバイスを選択して表示されるメニューで [編集] をクリックします。

    注:

    デバイスの横にあるチェックボックスをオンにすると、デバイス一覧の上にオプションメニューが表示されます。一覧で項目をクリックして、その項目の右側にオプションメニューを表示できます。

    • 構成されたLDAP

    • ローカルグループおよびローカルユーザーを使用する場合:

      • 1つまたは複数のローカルグループ。

      • ローカルグループに割り当てられたローカルユーザー。

      • デリバリーグループはローカルグループと関連付けられます。

    • Active Directoryを使用する場合:

      • デリバリーグループはActive Directoryグループと関連付けられます。

      [デバイス詳細]一覧の画像

  5. [一般] ページには、シリアル番号やプラットフォームの種類に関するその他の情報など、デバイスの識別子が表示されます。[デバイス所有権] で、[コーポレート] または [BYOD] を選択します。

    [一般] ページには、デバイスの [セキュリティ] プロパティ([Strong ID]、[デバイスのロック]、[アクティベーションロックバイパス]、プラットフォームの種類に関するその他の情報など)も表示されます。[デバイスの完全なワイプ] フィールドには、ユーザーのPINコードが含まれます。デバイスがワイプされた後、ユーザーはこのコードを入力する必要があります。ユーザーがコードを忘れた場合は、こちらで確認できます。

  6. [プロパティ] ページには、Endpoint Managementがプロビジョニングするデバイスのプロパティが表示されます。この一覧は、デバイスの追加に使用されるプロビジョニングファイルに含まれるデバイスのプロパティを表示します。プロパティを追加するには、[追加] をクリックして一覧からプロパティを選択します。各プロパティの有効な値に関しては、デバイスのプロパティ名と値に関するPDFを参照してください。

    プロパティを追加すると、最初に追加したカテゴリに表示されます。[次へ] をクリックして [プロパティ] ページに戻ると、プロパティは適切な一覧に表示されます。

    プロパティを削除するには、項目の上にマウスカーソルを置いて、右側の [X] をクリックします。Endpoint Managementデバイスによりその項目が削除されます。

  7. 残りの [デバイス詳細] セクションには、デバイスの概要が表示されます。

    • ユーザープロパティ: ユーザーのRBACの役割、グループメンバーシップ、VPPアカウント、およびプロパティを表示します。このページでインベントリからVPPアカウントを削除できます。
    • 割り当て済みポリシー: 展開済み、保留中、失敗したポリシーの数を含む、割り当て済みポリシーの数が表示されます。各ポリシーの名前、種類、最新展開の情報が表示されます。
    • アプリ: インストール済み、保留中、失敗のアプリ展開数を含む、最新のインベントリ時点のアプリ数が表示されます。アプリ名、ID、種類、その他の情報が表示されます。HasUpdateAvailable などのiOSおよびmacOSのインベントリキーの説明については、「モバイルデバイス管理(MDM)プロトコル」を参照してください。
    • メディア: 展開済み、保留中、失敗のメディア展開数を含む、最新のインベントリ時点のメディア数が表示されます。
    • 操作: 展開済み、保留中、失敗のアクション数を含む、アクション数が表示されます。最新展開のアクション名と時間が表示されます。
    • デリバリーグループ: 成功、保留中、失敗したデリバリーグループの数が表示されます。各展開のデリバリーグループ名と展開時間が表示されます。デリバリーグループを選択すると、状態、アクション、チャネル、またはユーザーなどの詳細な情報を表示できます。
    • iOSプロファイル: 名前、種類、組織、説明など、最新のiOSプロファイルインベントリが表示されます。
    • iOSプロビジョニングプロファイル: UUID、有効期限、管理対象かどうかなど、エンタープライズ配布プロビジョニングプロファイルの情報を表示します。
    • 証明書: 有効な証明書と期限切れまたは失効した証明書が表示され、種類、プロバイダー、発行者、シリアル番号、期限切れまでの残日数などの情報も表示されます。
    • 接続: 最初の接続状態と最後の接続状態が表示されます。各接続のユーザー名、最後から2番目の認証時間、最後の認証時間が表示されます。
    • MDMステータス: MDMステータス、最後のプッシュ時間、最後のデバイス応答時間などの情報が表示されます。

iOSデバイスポリシーの構成

デバイスポリシーを使用して、Endpoint ManagementとiOSを実行するデバイスとの通信に関する構成を行います。次の表は、iOSデバイスで使用可能なデバイスポリシーの一覧です:

     
AirPlayミラーリング AirPrint APN
アプリアクセス アプリ属性 アプリ構成
アプリインベントリ アプリのロック アプリネットワーク使用状況
アプリのアンインストール アプリ通知 カレンダー(CalDav)
携帯ネットワーク 連絡先(CardDAV) OS更新の制御
資格情報 デバイス名 教育の構成
Exchange フォント ホーム画面のレイアウト
iOSおよびmacOSプロファイルのインポート LDAP 場所
ロック画面のメッセージ メール 管理対象ドメイン
MDMオプション 組織情報 パスコード
パーソナルホットスポット プロファイルの削除 プロビジョニング プロファイル
プロビジョニング プロファイルの削除 プロキシ 制限
移動 SCEP 共有iPad - 最大常駐ユーザー数
共有 iPad - パスコードロックの猶予期間 SSOアカウント ストア
購読済みカレンダー 使用条件 VPN
壁紙 Webコンテンツフィルター Webクリップ
Wi-Fi    

ユーザーが提供する資格情報を使用するiOSデバイスの登録

詳しくは、「デバイス登録」を参照してください。

セキュリティ操作

iOSは、以下のセキュリティ操作をサポートしています。各セキュリティ操作の説明については、「セキュリティ操作」を参照してください。

     
アクティベーションロックバイパス アプリのロック アプリのワイプ
ASM DEPアクティベーションロック 証明書の書き換え 制限の削除
紛失モードを有効化/無効化 追跡を有効/無効にする フルワイプ
検索 ロック 警報
AirPlayミラーリングの要求/停止 再起動/シャットダウン 取り消し/承認
選択的なワイプ ロック解除  

iOSデバイスのロック

iOSデバイスをロックし、デバイスのロック画面にメッセージと電話番号を表示することができます。

ロックされたデバイスでメッセージと電話番号を表示するには、Endpoint Managementコンソールで [パスコード] ポリシーがtrueに設定されている必要があります。あるいは、デバイス上でパスコードを手動で有効化できます。

  1. [管理]>[デバイス] の順にクリックします。[デバイス] ページが開きます。

    [デバイス]ページの画像

  2. ロックするiOSデバイスを選択します。

    デバイスの横にあるチェックボックスをオンにすると、デバイス一覧の上にオプションメニューが表示されます。一覧で項目をクリックして、その項目の右側にオプションメニューを表示できます。

    オプションメニューの画像

    オプションメニューの画像

  3. オプションメニューの [保護] を選択します。[セキュリティ操作] ダイアログボックスが開きます。

    [セキュリティ操作]ダイアログボックスの画像

  4. [ロック] をクリックします。[セキュリティ操作] 確認ダイアログボックスが開きます。

    [セキュリティ操作]確認画面の画像

  5. 必要に応じて、デバイスのロック画面に表示するメッセージと電話番号を入力します。

    iOSは「Lost iPad」という文字列をユーザーが [メッセージ] フィールドに入力した内容に追加します。

    [メッセージ] フィールドを空白にして電話番号を指定すると、Appleはメッセージ「Call owner」をデバイスのロック画面に表示します。

  6. [デバイスのロック] をクリックします。

iOSデバイスを紛失モードにする

Endpoint Managementの紛失モードデバイスプロパティで、iOSデバイスを紛失モードにします。Appleのマネージド紛失モードと異なり、Endpoint Managementの紛失モードでは、ユーザーは自分のデバイスを探せるようにするために、次のどちらの操作も実行する必要がありません: [iPhone/iPadを探す] 設定を構成するか、またはCitrix Secure Hubの位置情報サービスを有効化する。

ただし、Endpoint Managementの紛失モードでは、デバイスのロックを解除できるのはEndpoint Managementだけです。一方、Endpoint Managementのデバイスロック機能を使用すると、ユーザーは管理者から提供されたPINコードを使用して、直接デバイスをロック解除できます。

紛失モードを有効または無効にするには: [管理]>[デバイス] に移動し、監視対象デバイスを選択して [保護] をクリックします。次に、[紛失モードを有効化] または [紛失モードを無効化] をクリックします。

紛失モードオプションの画像

[紛失モードを有効化] をクリックした場合は、デバイスが紛失モードになったときにデバイスに表示される情報を入力します。

デバイスに表示される情報の画像

次のいずれかの方法を使って紛失モードの状態を確認する:

  • [セキュリティ操作] ウィンドウで、ボタンが [紛失モードを無効化] であることを確認します。
  • [管理]>[デバイス] から、[セキュリティ][一般] タブで、[紛失モードを有効化]または[紛失モードを無効化]の最後の操作を確認します。

[一般]タブの画像

  • [管理]>[デバイス] から [プロパティ] タブで、[MDMの紛失モードの有効化] の設定値が正しいことを確認します。

[MDMの紛失モードの有効化]設定の画像

iOSデバイスでEndpoint Managementの紛失モードを有効化すると、Endpoint Managementコンソールも以下のように変更されます:

  • [構成]>[操作][操作] 一覧には、自動化された操作 [デバイスを失効][デバイスの選択的なワイプ][デバイスを完全にワイプ] は含まれません。
  • [管理]>[デバイス][セキュリティ操作] 一覧に、[失効] および [選択的なワイプ] デバイス操作が含まれなくなりました。必要に応じて、セキュリティ操作を使ってフルワイプを実行することは引き続き可能です。

iOSは「Lost iPad」という文字列をユーザーが [セキュリティ操作] 画面の [メッセージ] に入力した内容に追加します。

[メッセージ] を空白にして電話番号を指定すると、Appleはメッセージ「Call owner」をデバイスのロック画面に表示します。

iOSアクティベーションロックのバイパス

アクティベーションロックは、紛失したり盗まれたりした管理対象デバイスが再アクティブ化されないようにすることを目的とした[iPhone/iPadを探す]の機能です。アクティベーションロックでは、ユーザーのApple IDとパスワードを入力してからでないと、以下の操作を実行することはできません:[iPhone/iPadを探す]をオフにする、デバイスを消去する、またはデバイスを再アクティブ化する。組織所有のデバイスの場合は、デバイスのリセットや再割り当てなどを行う際にアクティベーションロックをバイパスする必要があります。

アクティベーションロックを有効にするには、Endpoint ManagementのMDMオプションデバイスポリシーを構成し、展開します。これにより、ユーザーのApple資格情報なしで、Endpoint Managementコンソールからデバイスを管理できるようになります。アクティベーションロックで必要なApple資格情報の入力を省略するには、Endpoint Managementコンソールで[アクティベーションロックバイパス]セキュリティ操作を発行します。

たとえば、紛失したiPhoneがユーザーによって返却された場合や、フルワイプの前後にデバイスを設定する場合、iPhoneでiTunesアカウントの資格情報を求められた際に、Endpoint Managementコンソールで[アクティベーションロックバイパス]セキュリティ操作を発行することでこの手順を省略することができます。

アクティベーションロックバイパスのデバイス要件

  • Apple ConfiguratorまたはApple DEPによる監視対象である
  • iCloudアカウントで構成済みである
  • [iPhone/iPadを探す]が有効になっている
  • Endpoint Managementに登録済みである
  • MDMオプションデバイスポリシー(アクティベーションロックが有効になっている)がデバイスに展開されている

デバイスのフルワイプを発行する前にアクティベーションロックをバイパスするには、次の手順を実行します:

  1. [管理]>[デバイス] の順に選択し、デバイスを選択して [保護][アクティベーションロックバイパス] の順にクリックします。
  2. デバイスをワイプします。デバイスの設定時に、アクティベーションロック画面は表示されません。

デバイスのフルワイプを発行した後にアクティベーションロックをバイパスするには、次の手順を実行します:

  1. デバイスをリセットまたはワイプします。デバイスの設定時に、アクティベーションロック画面が表示されます。
  2. [管理]>[デバイス] の順に選択し、デバイスを選択して [保護][アクティベーションロックバイパス] の順にクリックします。
  3. デバイスの[戻る]ボタンをタップします。ホーム画面が開きます。

次の点に注意してください:

  • ユーザーが「iPhone/iPadを探す」をオフにしないようアドバイスしてください。デバイスからフルワイプを実行しないでください。いずれの場合も、ユーザーはiCloudアカウントのパスワードを入力するよう求められます。アカウントの検証後にすべてのコンテンツと設定が消去されると、iPhone/iPadのアクティブ化画面がユーザーに表示されなくなります。
  • デバイスでアクティベーションロックバイパスコードを作成済みであり、アクティベーションロックが有効になっている場合は、フルワイプ後に[iPhone/iPadのアクティブ化]ページを省略できなくても、Endpoint Managementからデバイスを削除する必要はありません。管理者またはユーザーがAppleサポートに連絡することで、デバイスのブロックを直接解除することができます。
  • ハードウェアインベントリの際に、Endpoint Managementはデバイスのアクティベーションロックバイパスコードの照会を行います。バイパスコードが使用可能な場合は、デバイスからEndpoint Managementにバイパスコードが送信されます。その後、バイパスコードをデバイスから削除するには、Endpoint Managementコンソールから[アクティベーションロックバイパス]セキュリティ操作を送信します。この時点で、Endpoint ManagementとAppleに、デバイスのブロック解除に必要なバイパスコードが存在します。
  • [アクティベーションロックバイパス]のセキュリティ操作は、Appleのサービスの可用性に依存しています。操作がうまくいかない場合は、次の手順を実行してデバイスのブロックを解除できます。デバイスで、iCloudアカウントの資格情報を手動で入力します。または、[ユーザー名]フィールドは空のままにして、[パスワード]フィールドにバイパスコードを入力します。バイパスコードを見つけるには、[管理]>[デバイス] に移動し、デバイスを選択して [編集][プロパティ] の順にクリックします。[セキュリティ情報] の下に [アクティベーションロックバイパスコード] があります。