Zenn
🍏

Apple ConfiguratorのみでiPhone/iPadを監視対象モードにしてみる

に公開
iOS
iPad
iPhone
iPadOS
ABM
tech

はじめに

本記事では、iPhone/iPadをApple Configuratorのみを用いて通常モードから監視対象モード(監視モード, Supervised Mode)に変更する方法を紹介します。
iOSにおける監視対象モードとは、企業などの組織が管理するiPhone/iPadデバイスを対象に、デバイスの構成や制限を詳細に制御できる機能です[1]
本記事では、組織等においてiPhone/iPadデバイスの管理を行いたい場合に、まずはApple Business Manager(ABM)・Apple School Manager(ASM)や、MDM(Mobile Device Management)を使用せず監視対象モードを設定したいといったケースを想定しています。

前提

必要な環境

本記事では下記のデバイスを用います。

  • 監視対象に切り替えるデバイス(移行デバイス
    • 本記事ではiOS 18がインストールされたiPhoneを用います
  • Macデバイス(MacBookやMac miniなど)
    • Apple Configuratorがインストールされている必要があります。本記事ではバージョン2.17を用います。
    • Apple Configuratorの動作に必要なOSバージョンにアップグレードできない場合は、OpenCore Legacy Patcherを使用して新しいバージョンのOSを強制的に使用すれば動作しますが、互換性の問題が発生することもあります

必要ではないもの

  • ABM・ASMの登録、D-U-N-S番号の取得
  • MDMサーバの準備
  • 自動デバイス登録(ADE: Automated Device Enrollment)の設定

iOSにおける監視対象モードとは

iOSでは、構成プロファイルをデバイスにインストールすることで、プロファイルに記載されている設定をデバイスに適用することができます。例えば、モバイルデータ通信ネットワークの設定において、APNに関連する構成プロファイルを事業者がユーザに配布すれば、ユーザはAPNの設定をせずにモバイルデータ通信が使用できるようになります。

監視対象ではないデバイス(=通常デバイス)と監視対象モードが有効になっているデバイス(=監視対象デバイス)の違い(一例)は、以下の通りです。

  • メッセージ表示有無
    • 監視対象デバイスでは、設定画面の上部に○○によって監視及び管理されていますと表示される
  • 構成プロファイルで制御できる項目の数
    • 監視対象デバイスでは、より多くの項目を構成プロファイルを用いて制御可能
  • 管理対象Apple IDを使用できるかどうか
    • 監視対象デバイスでは、ABM・ASM上で作成したApple IDでログイン可能
  • 管理対象紛失モード設定とリモートワイプができるかどうか
    • 監視対象デバイスでは、MDMを併用することで、全ての監視対象モードのデバイスに対し、管理対象紛失モード有効化、ワイプをリモートで実行可能[2]
    • 管理対象紛失モードでは、管理者がデバイスの位置情報を確認可能

構成プロファイルで制御可能な項目の一覧はApple Configuratorのプロファイル作成画面またはConfiguration Profile Reference[3]、Appleプラットフォーム導入[4]で確認できます。

Apple Configuratorのプロファイル作成画面(監視対象デバイスのみ適用可能なオプションを確認可能)

管理対象デバイスでのみ制御できる項目(一例)

項目 項目(Key) 通常デバイスで適用可能 監視対象デバイスで適用可能
「すべてのコンテンツと設定を消去(工場出荷時設定にリセット)」の無効化 allowEraseContentAndSettings X O
「AirDrop」の無効化 allowAirDrop X O
「App Store」の無効化 allowAppInstallation X O
「Siri」の無効化 allowAssistant X O
「Siri」にWeb上のユーザ生成コンテンツにアクセスしないようにする allowAssistantUser GeneratedContent X O
構成プロファイル削除ができないようにする PayloadRemovalDisallowed X O

手順

1. 環境準備

MacデバイスにApple Configuratorをインストールしてください。その後、Macデバイスと管理対象デバイスに変更したいデバイスをUSBケーブルで接続してください。
正しく接続されると、以下のような画面が表示されます。

デバイス接続時におけるApple Configuratorの画面

2. デバイスのリセット

移行デバイスをリセットし、「ようこそ」画面が表示される状態にしてください。

リセットの方法について→Apple Configuratorを用いてデバイスリセットするには?

通常デバイスから管理対象デバイスに移行時のデータバックアップ→監視対象デバイス/通常デバイスのバックアップを復元するとデバイスはどうなる?

3. 「組織」の作成

まだApple Configuratorで「組織」を作成していない場合は、下記の手順に従って組織を作成してください。

  1. Apple Configuratorのメニュー->設定->組織を表示
  2. +を押下
  3. ダイアログに従って、「組織」を作成
    • 途中、ABM・ASMアカウントを求められますが、スキップボタンがあります
    • 名前のみ必須項目です。名前はデバイス上で表示されることになります。Apple Configuratorはいつでも名前を変更できますが、デバイスに名前を反映できるのは、リセットするタイミングのみです。


組織を作成した後の画面

4. 監視対象デバイスへの移行

Apple Configuratorのデバイスメニューを開き、準備を選択します。
ダイアログが表示されたら、下記の図のようにオプションを設定し、次に進みます。

設定例

次にMDMサーバを聞かれますがMDMに登録しないを選び、次に進みます。
組織は先ほど作成したものを選択し、設定アシスタントについては必要に応じてチェックを外します。
最後に準備を押下します。

その後、デバイスの情報を参照すると、組織情報が登録されていることを確認できます。


デバイス内の設定アプリからも確認可能

5. 構成プロファイルの作成とインストール

単に監視対象モードに変更しただけではあまり意味がなく、構成プロファイルをデバイスにインストールすることで価値が発揮されます。
そのためにはまず、構成プロファイルを作成する必要があります。

作成はApple Configuratorのメニュー→ファイル新規プロファイルから作成できます。
例えば、ユーザが勝手にリセットできないような構成プロファイルを作成するには、制限から"すべてのコンテンツと設定を消去"を許可のチェックを外します。
一通り設定を終えたら、構成プロファイルを適当な場所に保存してください。

構成プロファイルのインストールは、

  1. Apple Configurator
  2. デバイス内(構成プロファイルで制限していないとき)
  3. MDM
    から可能です。1.でインストールする場合は、デバイスメニュー->追加->プロファイルから作成したプロファイルを選択することでインストールできます。

    インストールされたプロファイル


"すべてのコンテンツと設定を消去"が選択できなくなっている

Q&A

Apple Configuratorを用いてデバイスリセットするには?

Apple Configuratorからデバイスを選び、復元を選択するとリセットできます。

監視対象デバイス/通常デバイスのバックアップを復元するとデバイスはどうなる?

  • どのタイプのデバイスからバックアップを取得したのか
  • バックアップの復元先が同一デバイスであるか否か
    によって、復元後のデバイスが監視対象デバイス/通常デバイスになるかが決定します。
バックアップ元の状態/復元先 同一デバイス 別デバイス
監視対象 監視対象になる[5](通常デバイスへの変更はリセット必須) 監視対象にならない(構成プロファイルも削除)
通常 監視対象にならない(監視対象への変更はリセット必須) 監視対象にならない(監視対象への変更可)

通常デバイスを監視対象デバイスに移行する際に、データを可能な限り引継ぐ方法は下記に記載しています。
https://zenn.dev/t_oot/articles/39d0d45cfe9dbd

監視対象デバイスを通常デバイスに戻すには?

二通り方法があります。いずれもデバイスをリセットする必要があります。

  1. iOSデバイス内でリセット(すべてのコンテンツと設定を消去)を行う
    • デバイス管理者は勝手にリセットされないよう、構成プロファイルで制限する必要があります
  2. Apple Configuratorで「準備」を適用(適用時に監視対象デバイスとならないように設定)
    • 第三者のApple Configuratorでリセットされないように、「準備」適用時にデバイスにほかのコンピュータとのペアリングを許可の選択を外しておく必要があります

Apple Configurator自体のバックアップはどうする?

公式のサポートページにバックアップ・復元方法が記載されています[6]

リセットせずに監視対象デバイスに変更できる?

監視対象デバイス・通常デバイスの切り替えは「ようこそ」画面でのみ実施できます。すなわち、リセットを行う必要があります。
リセットせずにApple Configuratorで準備を適用しようとすると、データ消去を求めるダイアログが表示されます。

監視識別情報とは?

監視ID、 Supervision Identityと呼ばれ、実態は秘密鍵及び公開鍵のペアです。監視対象デバイスに変更する際に使用された監視識別情報と一致する監視識別情報をもつMacデバイスでのみ、監視対象を解除するなど、監視対象デバイスの管理を行うことができます。
デバイスの監視識別情報を切り替える場合は、デバイスのリセットが必要です[7]

デバイスにほかのコンピュータとのペアリングを許可を有効化すると監視識別情報をもたないMacデバイスでも管理を行うことができます。

監視対象デバイスにせず構成プロファイルを設定できる?

できます。ただし、制御できる項目が大幅に制限されます。

Apple Configuratorを使わずプロファイル更新ができる?

Microsoft IntuneなどのMDMを使用すれば、Apple Configuratorを使わずにプロファイル更新を行ったり、管理対象紛失モードをオンにしたりできます。

Apple Configuratorを使わず監視対象デバイスにできる?

Apple 自動デバイス登録(ADE)を使用すると、初めて電源を入れたときにプロファイル登録やMDM登録を行うことができます。ABM・ASMに登録しておく必要があります。

脚注

  1. https://support.apple.com/ja-jp/guide/deployment/dep1d89f0bff/web ↩︎

  2. https://help.apple.com/pdf/security/ja_JP/apple-platform-security-guide-j.pdf ↩︎

  3. https://developer.apple.com/business/documentation/Configuration-Profile-Reference.pdf (記事執筆時点で2019-05-03のリファレンスとなっている) ↩︎

  4. https://support.apple.com/ja-jp/guide/deployment/dep5370d089/1/web/1.0 ↩︎

  5. https://support.apple.com/ja-jp/guide/apple-configurator-mac/cad4bd2f08/ ↩︎

  6. https://support.apple.com/ja-jp/101974 ↩︎

  7. https://support.apple.com/ja-jp/guide/apple-configurator-mac/apd9e4f64088/ ↩︎

Discussion

ログインするとコメントできます