Apple Business ManagerとApple Configurator2とIntuneの関係
はじめに
Apple Configurator2(以下、AC2)を触ることがあったので忘備録です。
あまりAC2を使う組織もないので情報も少ないなという印象です。
全体像
ABMとAC2とIntuneとADEの関係をまとめてみました。
ADEをどこに書くか迷いました。販売店がABMにデバイスを登録することと記載してみました。
ADE用とAC2用のプロファイルの違い
IntuneではADE用「ADE Profile」とAC2用「AC2 Profile」のプロファイルを作成できます。
このプロファイルの設定値はかなり異なります。
例えば、iOS初期セットアップ時にユーザーに設定してほしい項目(顔認証など)をADE用のプロファイルでは設定できますが、AC2用のプロファイルでは設定できません。
ではどこで設定するのかというと、AC2でiOSをセットアップするときに設定します。
また、iOSをIntuneに登録時、Intuneポータルサイトアプリに必ずサインインする必要があります。
ADE用のプロファイルにはVPPを利用してApple ID無しでIntuneポータルサイトアプリを自動インストールさせる設定がありますが、AC2用のプロファイルでは設定できません。
セットアップ中にApple IDを入力するとインストールされます。
個人のApple IDの利用を禁止する組織は基本的にADE用のプロファイルを利用する必要がありそうです。
ABMのMDMサーバー
前の節で 「AC2プロファイルあんまり役に立たなくない?普通にADE用のプロファイル使った方が良くない?」 と思いませんか?(自分は思いました)
もちろん、AC2でセットアップしたデバイスもADE用のプロファイルを利用できます。
しかも販売店がABMにデバイスを登録してくれる(≒ADE)を利用していなくてもOKです。
その時に大事になるのがABMでのMDMサーバーという考え方です。
AC2でセットアップしたデバイスのMDMサーバーは図の「AC2 + Intune」になっているので、AC2用のプロファイルが利用されます。
これをABMから図の「ADE + Intune」に変更してあげることで、デバイス情報がIntuneに同期されADE用のプロファイルに割り当たります。
AC2プロファイルを利用する時はシリアル番号をIntuneにアップロードする必要があるのですが、ADE用のプロファイルを利用するのであればこの作業は不要です。
そしてAC2のプロファイルの値も適当で問題ないです。
ここまでの、AC2でセットアップしたiPhoneをADE用のプロファイルを使ってIntuneに登録する手順はこちらのブログに記載があります。
Intuneでワイプするとどうなる?
IntuneでワイプするとIntuneからデバイスは削除されますが、ABMにはデバイスは残ります。
IntuneのワイプのスコープはIntuneのみなのでABMには影響がないようです。
MSの公開情報もiPhoneを再登録する時は、「Intuneからワイプ」または「Intuneからデバイスを削除してクライアント側で初期化」と案内されているのでそりゃそうかという印象ですが、やってみないと不安でした。
初期化するたびにAC2でセットアップするのは大変すぎますよね。。不要でよかった。。
おわりに
今までABM/AC2を触ったことがなくあいまいなイメージでしたが大分クリアになりました。
Discussion