後付けでMDMを全社導入した話

0. 手作業はつらいのである

弊社、現時点で60名以上いる従業員ひとりひとりにiPadを貸与していて、これを社内の情報共有基盤にしている。

加えて、ビジネスチャットにLINE WORKSを使っているのだが、iPadは原則Wi-Fi運用（SIMスロットはある）でデータSIMは一部従業員にしか貸与していないので、全体的な利便性を考慮してBYOD機器に対してLINE WORKSアプリのインストールと使用を許可している。

翻って、iPadは事前にMacアプリのApple Configurator 2（以下AC2と呼称）を使い、Apple Business Manager（以下ABMと呼称）のAppとブックで取得したライセンスを機器に個別に割り当てることでキッティングし、従業員に配布している。
このため、従業員がApp Storeを使ってアプリをアップグレードしようとしても「ユーザーが違う」と怒られるため、アプリの更新はキッティングしたMacを持って従業員のところを駆けずり回る、という一大イベントになる。

結果、実際のアプリ更新だけで0.6人月程度、その他事前検証や日程調整などを含めると、iPadアプリの更新管理に年間で1人月弱の工数がかかっており、これが地味に重たい。

1. そこでMDM

このほど、モバイルデバイス管理（以下MDMと呼称）サービスの導入が許可されたため、なるべく従業員の環境を壊さずMDMを後付け導入する方法を模索していたところ、幸運にもうまくいったので、その時のことを残しておく。

1-1. 前提条件

結論から言えば、以下すべてを満たしていれば、ユーザーの環境を破壊することなく後付けでMDMを導入できる。

• Appleお客様番号を取得している
• ABMを利用している
• iOS機器のキッティングは、「監視モード」で行っている

1-2. 解説

Appleお客様番号は、後述する自動デバイス登録（Automated Device Enrollment、以下ADEと呼称）を使うのに必要。
弊社の場合、iPadは直販で買ったのでAppleビジネス窓口経由で取得したが、リセラー経由の場合はリセラーに一度相談したほうがいい。

極力Apple製デバイスを買う前に取得しておくのが望ましいが、一応後からでも取得は可能。弊社は後からとった。

Appleお客様番号が払い出されると、それ以後に買ったApple製デバイスはすべてABMに自動登録される。また、その企業（または団体）専用のApple Store（Custom Apple Storeと呼ばれる）の利用申請ができるようになる。

一方「監視モード」については、キッティング時にしか選択できない。あとから監視モードにしたいときは、AC2でiOS機器を再セットアップしなければならない。

監視モードになっていると、構成プロファイルを書き込むことでiOS機器を細かくコントロールできるようになるが、MDMへの後付け加入はMDM構成プロファイルのインストールで実現しているため、監視モードは必須になる。

ABMの登録についてはキッティングの段階で使用しているはずなので、とくに問題はないはず。
ABM内で以下を行っておく。

1. 「一番権限が低い管理対象Apple ID(Managed Apple IDと呼ばれる)」を１つ以上作成しておく
2. Appleお客様番号を登録

2. 設定開始

いろいろ検討した結果、Optimal Bizを導入。こちらは直販ではなくリコージャパン株式会社をリセラーにした。

なので、ここからはOptimal Bizを前提にする。

1. APNs証明書をABMに登録
   Optimal Bizからエージェントに指示を出すのにプッシュ通知を使うため、その証明書をOptimal Bizから取得し、ABMに登録する。
2. 「Appとブック」トークン（VPPトークンとも）、ADEトークンの証明書署名要求（CSR）ファイルをOptimal Bizで作成し、これらをABMで署名、署名済み証明書をOptimal Bizに登録
3. Wi-Fiアクセスポイント設定、VPN設定などをAC2で作成し、Optimal Bizにインポート
4. 機能制限設定についてはOptimal Bizで作成できるので、上記と合わせて構成プロファイルセットを構成テンプレートに設定しておく
5. 組織をOptimal Bizで作成し、構成テンプレートを組織に割り当てる
   同様に組織には、Appとブックのライセンス設定とアプリケーション配信設定も設定できる。
6. ユーザーをOptimal Bizに登録し、組織に割り当てる
   こうすることで、同じ組織内のユーザーには同じ設定が適用される。
7. デバイスを登録する
   ここでデバイスをユーザーに割り当てることで、次のようなメリットが生まれる。
   1. ユーザーあたり５台までアプリをインストールできるようになる
   2. アプリのライセンス割り当てとインストール割り当てを分離できるので、同じユーザーの所有機器でもアプリの有無をコントロールできるようになる
8. 実際にiOS機器でOptimal Bizエージェントのセットアップを行う

ユーザーにアプリのライセンスを割り当てていると、「MDMへの参加」が必要になる。
ユーザー操作が必要になるが、

1. 対象のiOS機器でユーザーがApple IDを自前で用意している場合は、「そのApple IDのパスワード」が要求されるので、ユーザーに入力させる
2. 一方Apple IDを登録していない場合は、前述の「一番権限が低い管理対象Apple ID」でログインする

ここまでやってMDMに参加済みになると、配布設定を行っているアプリやら設定やらが落ちてくる。

3. 初期化できる場合は

初期化できる環境の場合、前述のADEが利用できる。

設定には、Optimal Bizの利用を開始すると払い出される企業コードと認証コードが必要。

1. AC2にOptimal BizのMDMサーバURLを登録（※1回行えばよい）
   ダウンロード可能なマニュアルにも書かれていない上にFAQのWebページにしか書かれていないので、設定の際は以下を参考にされたし。
   https://biz3.optim.co.jp/企業コード/setup/ios/dep_enroll?auth_code=認証コード
2. AC2の準備メニューで初期化
   初期化の際、手動構成のほうを選び、「ABMにデバイス登録する」チェックを入れる。こうすることで、ABMのデバイスにAC2で初期化したデバイスが登録される。

あとは通常のキッティング手順でデバイスを設定していけばよい。

キッティングが終わったら、ABM上のMDM登録先をAC2からOptimal Bizに変えておくことをお忘れなく。

4. Appleお客様番号を取得した後に買った機器の場合は

前述の3. 初期化できる場合は同様、ADEが利用できる。

すでにABMにデバイスが登録されているため、AC2で「準備」メニューを実行するだけでよい。こちらのケースの場合は自動構成とすればよい。

5. BYOD上のLINE WORKSについて

従業員貸与のiPadはMDM管理下に入ったので、有事の際は情シスが介入できるようになった。

ではBYOD上のLINE WORKSについてはどうするか。

実は、LINE WORKSにはLINE WORKS MDMと呼ばれるMDM機能が最初から用意されており、有効にしておくとアプリデータ、または機器のリモートワイプができるようになっている。

今回Optimal Bizを全社導入するにあたり、BYOD機器にLINE WORKSをインストールしている従業員には、BYOD機器でこれを有効にしてもらうこととした。

6. アプリが欲しくなったとき

Appとブックでライセンスを取得したアプリを配布しているため、ユーザー操作で自由にアプリを入れることができなくなった。（※これは想定内）

ただ、そうはいってもアプリが欲しい場合もあるので、そういう場合はインストール申請を出してもらうようにしてみた。

所定の内容が網羅されるよう、これにはテンプレート機能を使った。

こんな感じのテンプレートを全社共通テンプレートに登録し、必要の都度情シスに出してもらう、という想定。

なお、これを作った後で「アンケート機能を目安箱的に運用する」という方法をLWUGで紹介されたので、そっちに切り替えるかも。

7. で、どうなったか

アプリの更新管理でとられていた時間を使えるようになったことと、有事の際に情シスが介入できる幅が大幅に増えたことは、とても有意義だと思う。

ただ、まだ走り出したばかりなので、これから制度設計の見直しなども必要になるかもしれない。