Apple Deployment Programによるデバイスの展開
Appleは、ビジネスアカウントと教育機関アカウント向けにデバイス登録プログラムを提供しています。ビジネスアカウントの場合、XenMobileでのデバイス登録と管理にApple Business Manager (ABM) またはApple School Manager (ASM) を使用するために、Apple Deployment Programに登録します。このプログラムは、iOS、iPadOS、およびmacOSデバイスが対象です。
Apple Deployment Programは、個人ではなく組織向けに提供されています。Apple Deployment Programアカウントを作成するには、かなりの数の企業情報と詳細を提供する必要があります。そのため、アカウントの申請と承認には時間がかかる場合があります。
教育機関アカウントの場合、Apple School Managerアカウントを作成します。ASMは、Apple Deployment ProgramとAppleの一括購入を統合します。Apple School Managerアカウントを作成するには、Apple Schoolサイトにアクセスしてください。
Apple Deployment Programへの登録
Apple Business Managerに登録するには、business.apple.comにアクセスします。Enroll nowをクリックして、新しいアカウントを申請します。ベストプラクティスとしては、deployment@company.comのような組織のメールアドレスを使用することです。登録プロセスには数日かかる場合があります。ログオン資格情報を受け取ったら、Apple Business Managerに記載されている手順に従ってアカウントを作成してください。
注:
教育機関アカウントについては、「Apple Education機能との統合」を参照してください。
Apple Business ManagerアカウントとXenMobileの接続
Apple Business ManagerアカウントをXenMobile展開に接続するには、XenMobileコンソールとApple Business Managerに情報を入力します。次の手順に従ってください。
手順1:XenMobile Serverから公開キーをダウンロード
-
XenMobileコンソールで、[設定]>[Apple Deployment Program]の順に移動します。
-
[公開キーのダウンロード]で、[ダウンロード]をクリックします。
手順2:Appleアカウントからサーバートークンファイルを作成してダウンロード
- 管理者またはデバイス登録マネージャーアカウントを使用して、Apple Business Managerにサインインします。
-
サイドバーの下部にある[設定]をクリックし、[デバイス管理設定]>[MDMサーバーの追加]をクリックします。
- [MDMサーバー名]設定で、XenMobile Serverの名前を入力します。入力するサーバー名は参照用です。サーバーのURLや名前ではありません。
- [公開キーのアップロード]で、[ファイルの選択]をクリックします。XenMobileからダウンロードした公開キーをアップロードし、変更を保存します。
-
[トークンのダウンロード]をクリックして、サーバートークンファイルをコンピューターにダウンロードします。
ABMアカウントをXenMobileに追加する際に、サーバートークンファイルをアップロードする必要があります。トークンファイルをインポートすると、ABMトークン情報がXenMobileコンソールに表示されます。
- [デフォルトのデバイス割り当て]で、[変更]をクリックします。デバイスの割り当て方法を選択し、要求された情報を提供します。詳しくは、ABMユーザーガイドを参照してください。
手順3:XenMobileにABMアカウントを追加
XenMobileには複数のABMアカウントを追加できます。この機能により、国や部署などに応じて異なる登録設定やセットアップアシスタントオプションを使用できます。その後、ABMアカウントを異なるデバイスポリシーに関連付けます。
たとえば、異なる国のすべてのABMアカウントを同じXenMobile Serverに一元化して、すべてのABMデバイスをインポートおよび監視できます。部署、組織階層、またはその他の構造ごとに登録設定とセットアップアシスタントオプションをカスタマイズすることで、ポリシーは組織全体で適切な機能を提供し、ユーザーは適切な支援を受けられます。
-
XenMobileコンソールで、[設定]>[Apple Deployment Program]に移動し、[Apple Deployment Programアカウントの追加]で[追加]をクリックします。
-
[サーバートークン]ページで、サーバートークンファイルを指定し、[アップロード]をクリックします。
サーバートークン情報が表示されます。
-
[アカウント情報]ページで、次の設定を指定します。
- Apple Deployment Programアカウント名: このApple Deployment Programアカウントの一意の名前。国や組織階層など、Apple Deployment Programアカウントを整理する方法を反映した名前を使用します。
- ビジネス/教育機関ユニット: デバイスが割り当てられるビジネスユニットまたは部署。このフィールドは必須です。
- 一意のサービスID: アカウントをさらに識別するためのオプションの一意のID。
- サポート電話番号: セットアップ中にユーザーがヘルプを求めるためのサポート電話番号。このフィールドは必須です。
- サポートメールアドレス: エンドユーザーが利用できるオプションのサポートメールアドレス。
- 教育機関サフィックス: ASMアカウントの場合。このアカウントを通じて登録されたデバイスに割り当てられるサフィックスを入力します。
-
[iOS設定]で、次の設定を指定します。
登録設定
- デバイス登録の要求: ユーザーにデバイスの登録を要求するかどうか。デフォルトは[はい]です。
-
デバイス登録に資格情報を要求: ABMセットアップ中にユーザーに資格情報の入力を要求するかどうか。Citrix®は、すべてのユーザーにデバイス登録中に資格情報の入力を要求し、承認されたユーザーのみがデバイスを登録できるようにすることを推奨します。デフォルトは[はい]です。
初回セットアップ前にABMを有効にし、このオプションを選択しない場合、XenMobileはABMユーザー、Secure Hub、ソフトウェアインベントリ、ABM展開グループなどのABMコンポーネントを作成します。このオプションを選択した場合、XenMobileはコンポーネントを作成しません。その結果、後でこのオプションをクリアした場合、資格情報を入力していないユーザーは、これらのABMコンポーネントが存在しないため、ABMに登録できません。その場合、ABMコンポーネントを追加するには、ABMアカウントを無効にしてから再度有効にします。
- セットアップ完了まで構成を待機: すべてのMDMリソースがデバイスに展開されるまで、ユーザーのデバイスをセットアップアシスタントモードに維持することを要求するかどうか。この設定は、監視モードのデバイスで利用できます。デフォルトは[いいえ]です。
- Appleのドキュメントによると、デバイスがセットアップアシスタントモードの場合、次のコマンドが機能しない可能性があります。
- InviteToProgram
- InstallApplication
- ApplyRedemptionCode
- InstallMedia
- RequestMirroring
- DeviceLock
デバイス設定
- 監視モード: Apple Configuratorを使用してABM登録デバイスを管理する場合、または[セットアップ完了まで構成を待機]が有効になっている場合は、[はい]に設定する必要があります。デフォルトは[はい]です。iOSデバイスを監視モードにする方法の詳細については、「Apple Configuratorを使用してiOSデバイスを監視モードにする」を参照してください。
- 登録プロファイルの削除を許可: デバイスがリモートで削除できるプロファイルを使用することを許可するかどうか。デフォルトは[いいえ]です。
- デバイスペアリングを許可: ABMを通じて登録されたデバイスについて、Apple MusicおよびApple Configuratorを通じて管理できるかどうか。デフォルトは[いいえ]です。
必須最小バージョン
- 古いデバイスの登録を許可: 有効にすると、デバイスは現在の必須最小バージョンにアップグレードできなかった場合でも登録できます。デフォルトはオンです。このオプションは、iOS 17.0以降でのみ利用可能です。
- 指定バージョンオプション: 管理者が指定バージョンを手動で入力することを許可するかどうか。デフォルトはオフです。このオプションは、iOS 17.0以降でのみ利用可能です。
- 利用可能なiOSバージョン: リストから利用可能なiOSバージョンを選択できます。デバイスのiOSバージョンが現在のバージョンより低い場合、デバイスで更新プロセスが開始されます。将来的にバージョンが期限切れになった場合、利用可能なバージョンリストの最小バージョンが使用されます。デフォルトはなしです。なしに設定した場合、効果はありません。このオプションは、iOS 17.0以降でのみ利用可能です。
- 指定バージョン: デバイスのiOSバージョンが現在のバージョンより低い場合、デバイスで更新プロセスが開始されます。将来的にバージョンが期限切れになった場合、利用可能なバージョンリストの最小バージョンが使用されます。予期せぬエラーを防ぐため、正しいバージョン番号を入力してください。
監視ID
GroundControlツールを使用する場合、以下の操作を行うための証明書を追加できます。
- ペアリング制限を上書きして、「このホストを信頼しますか」というプロンプトを回避
- USB経由で管理対象デバイスのアクションをエスカレートし、ユーザーの操作なしでプロファイルのインストールなどのアクティビティを実行。これにより、GroundControlはチェックアウトのためにシングルアプリモードとデバイスロックを有効にできます。
- ABMデバイスにバックアップを復元
GroundControlの詳細については、GroundControlのWebサイトを参照してください。
-
macOS設定で、以下の設定を指定します。
登録設定
- デバイス登録を必須にする: ユーザーにデバイスの登録を要求するかどうか。デフォルトははいです。
- 設定が完了するまで待機: はいの場合、MDMリソースのパスコードがデバイスに展開されるまで、macOSデバイスは設定アシスタントを続行しません。その展開は、ローカルアカウントの作成前に行われます。この設定は、macOS 10.11以降のデバイスで利用可能です。デフォルトはいいえです。
デバイス設定
- 登録プロファイルの削除を許可: デバイスがリモートで削除できるプロファイルを使用することを許可するかどうか。デフォルトはいいえです。
-
iOS設定アシスタントオプションで、ユーザーがデバイスを初めて起動するときにiOS設定アシスタントがスキップする手順を選択します。画面がスキップされると、関連する機能はデフォルト設定を使用します。ユーザーは、それらの機能へのアクセスを完全に制限しない限り、設定完了後にスキップされた機能を構成できます。機能へのアクセス制限の詳細については、制限デバイスポリシーを参照してください。すべての項目のデフォルトはクリアされています。以下に、設定が選択された場合に何が起こるかを説明します。
- 位置情報サービス: ユーザーがデバイスで位置情報サービスを設定するのを防ぎます。
- Touch ID: ユーザーがiOSデバイスでTouch IDまたはFace IDを設定するのを防ぎます。iOS 15で非推奨になりました。
- パスコードロック: ユーザーがデバイスのパスコードを設定するのを防ぎます。パスコードが存在しない場合、ユーザーはTouch IDまたはApple Payを使用できません。
- 新規として設定または復元: ユーザーがデバイスを新規として設定したり、iCloudまたはApple App Storeのバックアップから復元したりするのを防ぎます。
- Androidからの移行: ユーザーがAndroidデバイスからiOSデバイスにデータを転送するのを防ぎます。このオプションは、新規として設定または復元が選択されている場合(つまり、手順がスキップされている場合)にのみ利用可能です。
- Apple ID: ユーザーがデバイスの管理対象Apple IDアカウントを設定するのを防ぎます。
- 利用規約: ユーザーがデバイスの使用に関する利用規約を読んで同意するのを防ぎます。
- Apple Pay: ユーザーがApple Payを設定するのを防ぎます。この設定がクリアされている場合、ユーザーはTouch IDとApple IDを設定する必要があります。これらの設定がクリアされていることを確認してください。
- Siri: ユーザーがSiriを構成するのを防ぎます。
- アプリ分析: ユーザーがクラッシュデータと使用状況統計をAppleと共有するかどうかを設定するのを防ぎます。
- 画面表示の拡大: ユーザーがiOSデバイスで画面解像度(標準または拡大)を設定するのを防ぎます。iOS 17で非推奨になりました。
- True Tone: ユーザーが4チャンネルセンサーを設定してディスプレイのホワイトバランスを動的に調整するのを防ぎます。
- ホームボタン: ユーザーがホームボタンのフィードバックスタイルを設定するのを防ぎます。iOS 15で非推奨になりました。
- 新機能のハイライト: ユーザーがAppleソフトウェアの新機能に関する情報を表示する画面を見るのを防ぎます。
- プライバシー: ユーザーがデータとプライバシーのペインを見るのを防ぎます。iOS 11.3以降の場合。
- ソフトウェアアップデート: ユーザーがiOSを最新バージョンに更新するのを防ぎます。iOS 12.0以降の場合。
- スクリーンタイム: ユーザーがスクリーンタイムを有効にするのを防ぎます。iOS 12.0以降の場合。
- SIM設定: ユーザーがモバイル通信プランを設定するのを防ぎます。iOS 12.0以降の場合。
- iMessageとFaceTime: ユーザーがiMessageとFaceTimeを有効にするのを防ぎます。iOS 12.0以降の場合。
- 外観: ユーザーが外観モードを選択するのを防ぎます。iOS 13.0以降の場合。
- ようこそ: ユーザーが開始画面を見るのを防ぎます。iOS 13.0以降の場合。
- 復元完了: ユーザーが設定中に復元が完了したかどうかを見るのを防ぎます。iOS 14.0以降の場合。
- 更新完了: ユーザーが設定中にソフトウェアアップデートが完了したかどうかを見るのを防ぎます。iOS 14.0以降の場合。
- アクションボタン: ユーザーがアクションボタン構成ペインを見るのを防ぎます。iOS 17.0以降の場合。
- ロックダウンモード: Appleアカウントが設定されている場合、ユーザーがロックダウンモードペインを見るのを防ぎます。iOS 17.1以降の場合。
- インテリジェンス: ユーザーがインテリジェンスペインを見るのを防ぎます。iOS 18.0以降の場合。
- カメラボタン: ユーザーがカメラボタンペインを見るのを防ぎます。iOS 18.0以降の場合。
ABMアカウントは、設定 > Apple Deployment Programに表示されます。
-
macOS設定アシスタントオプションで、ユーザーがデバイスを初めて起動するときにmacOS設定アシスタントがスキップする手順を選択します。画面がスキップされると、関連する機能はデフォルト設定を使用します。ユーザーは、それらの機能へのアクセスを完全に制限しない限り、設定完了後にスキップされた機能を構成できます。機能へのアクセス制限の詳細については、制限デバイスポリシーを参照してください。すべての項目のデフォルトはクリアされています。以下に、設定が選択された場合に何が起こるかを説明します。
- 新規として設定または復元: ユーザーがデバイスを新規として設定したり、Time Machineバックアップから復元したり、システム移行を行ったりするのを防ぎます。
- 位置情報サービス: ユーザーがデバイスで位置情報サービスを設定するのを防ぎます。macOS 10.11以降の場合。
- Apple ID: ユーザーがデバイスの管理対象Apple IDアカウントを設定するのを防ぎます。
- 利用規約: ユーザーがデバイスの使用に関する利用規約を読んで同意するのを防ぎます。
- Siri: ユーザーがSiriを構成するのを防ぎます。macOS 10.12以降の場合。
-
FileVault: FileVaultを使用して起動ディスクを暗号化します。XenMobileは、システムに単一のローカルユーザーアカウントがあり、そのアカウントがiCloudにサインインしている場合にのみFileVault設定を適用します。
macOSのFileVaultディスク暗号化機能を使用して、システムボリュームの内容を暗号化することで保護できます(https://support.apple.com/en-us/HT204837)。FileVaultがオンになっていない最新モデルのポータブルMacで設定アシスタントを実行すると、この機能をオンにするよう求められる場合があります。このプロンプトは、新しいシステムとOS X 10.10または10.11にアップグレードされたシステムの両方に表示されますが、システムに単一のローカル管理者アカウントがあり、そのアカウントがiCloudにサインインしている場合に限ります。
- アプリ分析: ユーザーがクラッシュデータと使用状況統計をAppleと共有するかどうかを設定するのを防ぎます。
- プライバシー: ユーザーがデータとプライバシーのペインを見るのを防ぎます。macOS 10.13以降の場合。
- iCloud分析: ユーザーが診断用iCloudデータをAppleに送信するかどうかを選択するのを防ぎます。macOS 10.13以降の場合。
- iCloud書類とデスクトップ: ユーザーがiCloudデスクトップと書類を設定するのを防ぎます。macOS 10.13以降の場合。
- 外観: ユーザーが外観モードを選択するのを防ぎます。macOS 10.14以降の場合。
- アクセシビリティ: ユーザーがVoice Overを自動的に聞くのを防ぎます。デバイスがイーサネットに接続されている場合にのみ利用可能です。macOS 11以降の場合。
- 生体認証: ユーザーがTouch IDとFace IDを設定するのを防ぎます。macOS 10.12.4以降の場合。
- True Tone: ユーザーが4チャンネルセンサーを設定してディスプレイのホワイトバランスを動的に調整するのを防ぎます。macOS 10.13.6以降の場合。
- Apple Pay: ユーザーがApple Payを設定するのを防ぎます。この設定がクリアされている場合、ユーザーはTouch IDとApple IDを設定する必要があります。Apple IDと生体認証の設定がクリアされていることを確認してください。macOS 10.12.4以降の場合。
-
スクリーンタイム: ユーザーがスクリーンタイムを有効にするのを防ぎます。macOS 10.15以降の場合。
-
ローカルアカウント設定オプション: デバイスに管理者アカウントを作成するための設定を指定します。ユーザーはこの情報を使用してmacOSデバイスにログインします。XenMobileは、指定された情報を使用してアカウントを作成します。
- プライマリアカウントを標準ユーザーとして作成: このユーザーにデバイスの管理者権限を付与する代わりに、XenMobileは標準権限を持つユーザーを作成します。macOSは管理者アカウントを必要とするため、XenMobileは最初に管理者アカウントを作成し、次に新しい標準アカウントを作成してそれをプライマリとして設定します。
- 管理者のフルネーム: システムが管理者アカウントに表示する名前を入力します。
- 管理者のショートネーム: デバイスがホームフォルダーとシェルに表示する名前を入力します。
- 管理者パスワード: 管理者アカウントの安全なパスワードを入力します。
- 「ユーザーとグループ」に管理者アカウントを表示: クリアされている場合、管理者アカウントはmacOS設定のユーザーとグループに表示されません。プライマリアカウントを標準ユーザーとして作成する場合、この設定を有効にして、XenMobileが最初に作成する管理者アカウントを非表示にします。
Deployment Program対応デバイスの注文
Deployment Program対応デバイスは、Appleから直接、またはDeployment Program対応の正規販売店や通信事業者から注文できます。Appleから注文するには、Apple Deployment ProgramポータルでAppleカスタマーIDを提供します。お客様のカスタマーIDにより、Appleは購入したデバイスをApple Deployment Programアカウントに関連付けることができます。
販売店または通信事業者から注文するには、Appleの販売店または通信事業者に連絡して、Apple Deployment Programに参加しているかどうかを確認してください。デバイスを購入する際に、販売店のApple Deployment Program IDを尋ねてください。Apple Deployment ProgramアカウントにApple Deployment Program販売店を追加する際に、Appleはその情報を要求します。販売店のApple Deployment Program IDを追加すると、Deployment ProgramカスタマーIDが発行されます。Deployment ProgramカスタマーIDを販売店に提供してください。販売店はそのIDを使用して、デバイス購入に関する情報をAppleに提出します。詳細については、Appleのデバイス登録サイトを参照してください。
Deployment Program対応デバイスの管理
注文が出荷された後、iOS、iPadOS、およびmacOSデバイスをXenMobile Serverに関連付けることができます。
- 管理者またはデバイス登録マネージャーアカウントを使用して、Apple Business Managerにサインインします。
- サイドバーで、デバイスをクリックします。Appleから直接購入したデバイスは自動的に表示されます。Apple Configurator 2からApple Business Managerにデバイスを割り当てるには、Apple Business Managerユーザーガイドを参照してください。
- リストでデバイスまたはデバイスの総数を選択し、デバイス管理の編集をクリックします。2つのオプションがあります。
-
MDMサーバーにデバイスを割り当てるには、サーバーに割り当ての下で、XenMobile Serverの名前を選択します。続行をクリックします。
新しいデバイスをApple Business Managerに一括で割り当てるには、展開用のデフォルトのXenMobile Serverを設定します。詳細については、一括登録用のデフォルトサーバーの設定を参照してください。
-
XenMobile Serverからデバイスの割り当てを解除するには、割り当て解除を選択します。
-
Apple Deployment Programデバイスが、選択したXenMobile Serverに関連付けられました。
iOS、iPadOS、またはmacOSデバイスを修理に出す場合、Apple Business Managerからデバイスを削除する必要があります。修理済みのデバイスが返却されたら、そのデバイスをXenMobile Serverに再割り当てする必要があります。デバイスを交換する場合、注文番号を使用して新しいデバイスをXenMobile Serverに割り当てることができます。
割り当てられたデバイスの履歴を確認するには:
- 管理者またはデバイス登録マネージャーアカウントを使用して、Apple Business Managerにサインインします。
- サイドバーで、割り当て履歴をクリックします。次に、割り当てを選択して詳細を表示します。
- ダウンロードをクリックして、割り当て済みおよび未割り当てのすべてのデバイスのシリアル番号を含むCSVファイルをダウンロードします。
デバイスが販売された、盗難された、または修理できない場合、iOS、iPadOS、およびmacOSデバイスをApple Business Managerから削除できます。
- 管理者またはデバイス登録マネージャーアカウントを使用して、Apple Business Managerにサインインします。
- サイドバーで、デバイスをクリックし、デバイスを検索します。
- デバイスを選択し、デバイスのリリースをクリックします。ダイアログボックスで変更を確認し、プログラムからデバイスを削除します。iOSおよびiPadOSデバイスを再度追加するには、Apple Configurator 2を使用します。Apple Configurator 2でmacOSデバイスを再度追加することはできません。