Apple Device Enrollment Program(DEP)
Apple Device Enrollment Program(DEP)により、管理者はiOS、iPadOSおよびmacOSデバイスが実際に届く前に事前プロビジョニングし、自動でシステム マネージャーに自己登録できます。一元的なデバイス監視を通じて管理制御を強化できます。これにより、iOS、iPadOS、macOSおよびtvOSデバイスの追加と導入の作業が大幅に簡素化されます。この記事では、システム マネージャーでApple Automatic Device Enrollmentを使用する方法について説明します。
DEPの使用資格の取得方法など、このプログラムの詳細については、Apple社の公式導入ガイドをご確認ください。詳細については、Apple Business ManagerポータルまたはApple School Managerポータルを直接参照してください。
以下のビデオでも、システム マネージャーを使用したDEP設定および導入の例について説明しています。
iOS 11リリースでは、Apple Configuratorを使用してiOS 11以降の任意のデバイスを既存のDEPアカウントに追加できるようになりました。デバイスは、AppleまたはApple再販業者から購入したものでなくてもかまいません。この手順については、こちらの記事を参照してください。
システム マネージャーとApple DEPの関連付け
システム マネージャーでApple DEPを使用するには、システム マネージャー導入環境をDEP内のオーガナイゼーションに関連付ける必要があります。以下の手順では、Device Enrollment Program Guideに従ってオーガナイゼーションのApple IDがすでに作成済みであることを前提としています。Apple Business ManagerポータルまたはApple School Managerポータルでも、同じ機能を使用できます。
- Merakiダッシュボードで、システム マネージャー用にEMMネットワークを作成します。
- Organization(オーガナイゼーション) > Configure (設定) > MDM(MDM)に移動し、Apple Device Enrollment Program(Apple Device Enrollment Program)セクションまでスクロールダウンします。
- 提供されているMeraki_Apple_DEP_cert.pemファイルをダウンロードします。
- .pemファイルが以前にダウンロードされていて、サーバー トークンの有効期限が切れている場合は、clear token(トークンの消去)をクリックして.pemファイルを再度ダウンロードします。
- 別のブラウザ ウィンドウで、Apple Business ManagerまたはApple School Managerポータルに移動し、目的のオーガナイゼーションに関連付けられたApple IDを使用してサインインします。
- Settings(設定) > Device Management Settings(デバイス管理の設定)に移動します。
- Add MDM Server(MDMサーバの追加)をクリックします。
- DEPのMDMサーバーのName(名前)を入力し、Next(次へ)をクリックします。
- Choose File...(ファイルの選択...)をクリックし、手順3でダウンロードした.pem公開鍵をアップロードし、Next(次へ)をクリックします。
- 提供されたサーバー トークンをダウンロードし、Done(完了)をクリックします。
- Merakiダッシュボードに戻って、DEPセクションのChoose File(ファイルの選択)ボタンをクリックします。
- 手順9でダウンロードしたサーバー トークンを選択し、アップロードします。
- DEPでこのMDMサーバーに関連付けられたデバイスの登録先となるデフォルトのシステム マネージャー ネットワークを選択します。
- Save Changes(変更を保存)をクリックします。
Merakiダッシュボードにサーバー トークンをアップロードするときにエラーが発生する場合は、ファイル名の末尾が「smime.p7m」になっていることを確認します。同じファイルを複数回ダウンロードした場合に末尾に追加される「(1)」などの文字は不要です。
MDMでは、Appleのポータルで最後にダウンロードしたDEPトークンのみと同期できます。現在のトークンを同期できない場合は、「Sync failed:Unable to connect to Apple's servers at this time」または「Sync failed.Please try again later.」というエラーが表示されることがあります。トークンを2回ダウンロードしようとすると、Appleのポータルから次の警告が表示されます。
この場合、Merakiシステム マネージャーとの同期を保つために、トークンをもう一度更新する必要があります。
DEPトークンの更新
Apple DEPトークンは仕様により、1年間有効です。DEPを介した登録を続けるには、以下の手順を実行します。
- Merakiダッシュボードで、Organization(オーガナイゼーション) > MDM(MDM)に移動し、更新するApple DEPサーバーをクリックします。Edit DEP Server(DEPサーバーを編集)ウィンドウで、Update Token(トークンの更新)をクリックします。
- download your public key cert(公開鍵証明書をダウンロード)をクリックして、Meraki_Apple_DEP_cert.pemファイルをダウンロードします。
- Apple Business ManagerポータルまたはApple School Managerポータルにログインします。
- Settings(設定) > MDM Servers(MDMサーバ) > MDMサーバー(以下のスクリーンショットの「Meraki」)をクリックして更新します。
- Edit(編集) > Upload New...(新規アップロード...)をクリックします。
- Meraki_Apple_DEP_cert.pemファイルをアップロードし、Apply(適用)をクリックして保存します。 Download Token(トークンのダウンロード)をクリックして、Meraki_Token_smime.p7mファイルをダウンロードします。
- Merakiダッシュボードに戻り、Meraki_Token_smime.p7mファイルをMerakiにアップロードして、DEPトークンの更新を完了します。
このプロセスが終了すると、トークンがさらに365日間、有効になります。
デバイスのインポート
Apple DEPサーバーのデバイスは、システム マネージャーに自動的に同期されます。デバイスはApple注文番号またはシリアル番号を使用して、DEP MDMサーバーに追加できます。
- AppleのApple Business ManagerポータルまたはApple School Managerポータルにログインし、Devices(デバイス) > Device Assignments(デバイスの割り当て)に移動します。
- Order Number(注文番号)、Serial Number(シリアル番号)またはUpload CSV file(CSVファイルをアップロード)を選択し、該当する情報を入力します。
- Assign to Server(サーバに割り当て)アクションを選択し、目的のMDMサーバーを選択します。
- Done(完了)をクリックします。
正しく割り当てられて関連付けられたデバイスが、システム マネージャーによって、Systems Manager(システム マネージャ) > Manage(管理) > DEP(DEP)タブに入力されます。
注記:資格を得るには、デバイスが過去3年以内にAppleから直接購入されたものであるか、参加している再販業者または通信事業者経由で購入されたものである必要があります。iOS 11ではこの要件が変更され、ユーザはどの購入先からのiOSまたはiPadOSデバイスでもDEPに追加できるようになる予定です。詳細およびサポート対象国については、Apple Device Enrollment Programのページを参照してください。
デバイスへの設定の適用
DEP設定は、デバイスを初めてセットアップするとき、またはすでに使用中のデバイスを工場出荷時の設定にリセットした後、設定アシスタントによって適用されます。
DEP登録ステータス
「DEP enrollment(DEP登録)」ステータス列に表示される状態は3つあります。デバイスをDEPサーバーからシステム マネージャーに同期したばかりの場合、ラベルは「Empty(空)」になります。
- Empty(空):デバイスが初めてDEPからシステム マネージャーに同期されたときのデフォルト状態です。つまり、デバイスにはDEP設定が割り当てられていません。
- Assigned(割り当て済み):新しいDEP設定がデバイスに割り当て済みですが、まだ適用されていません。初期セットアップ時または工場出荷時の設定へのリセット後に、適用対象の設定が有効になります。
- Pushed(プッシュ済み):デバイスにDEP設定が適用済みです。プッシュされた設定内容やタイミングは、この表の他の列で確認できます。
設定の割り当て
DEP経由でシステム マネージャーに割り当てられたデバイスは、セットアップ時にデフォルトのシステム マネージャー ネットワークに自動登録されます。デバイスの監視やセットアップ手順のスキップといった追加設定により、導入をさらにカスタマイズして効率化できます。
- システム マネージャー ネットワーク内で、Systems Manager(システム マネージャ) > Manage(管理) > DEP(DEP)に移動します。
- 設定を適用する必要があるデバイスの横のチェックボックスをクリックします。
- Assign settings(設定の割り当て)をクリックします。
- 事前設定された設定値がある場合は、ドロップダウンから選択します。それ以外の場合は、表示される以下のフィールドと選択項目をすべて指定します。
- Name(名前):適用される設定グループに付けるわかりやすい名前。
- Allow pairing(ペアリングを許可):デバイスをコンピュータとペアリングできます。これにチェックが入っていない場合は、デバイスをコンピュータ上のXcodeやiTunesなどのアプリケーションに接続できなくなります。特にシングル アプリ モードにロックされる場合は、デバイスのトラブルシューティング/復元機能が制限されます。
- Supervise(監視):登録され次第、デバイスを監視します。
- Mandatory(必須):ユーザはセットアップ中に登録を完了する必要があり、手順をスキップできません。
- Removable(削除可能):管理プロファイルを削除できます。デバイスが監視対象の場合を除き、管理プロファイルは削除可能です。詳細はこちらを参照してください。
- Shared iPad(共有iPad):Apple School Managerによる共有デバイスの導入に使用されます。管理対象のApple IDでASMがプロビジョニングされる場合を除き、これを選択しないでください。こちらでApple社の公式ドキュメンテーションを参照してください。
- Support phone number(サポート電話番号):セットアップ中に支援が必要な場合にユーザに提供される電話番号です。
- Department(部署):iPadが割り当てられるオーガナイゼーションの部署が表示されます。これはセットアップ中に表示されます。
- Skip(スキップ):設定用のプロンプトやApple IDにサインインするためのプロンプトを非表示にするなど、セットアップ処理でスキップするページを指定できます。必要に応じてこれらを後で指定することもできます。
- Assign # device(s)(# デバイスを割り当て)をクリックします。「DEP enrollment(DEP登録)」ステータスが「Assigned(割り当て済み)」に更新されます。
- ほとんどの場合、この時点でデバイスを工場出荷時の設定にリセットする必要があります。これは、確実にデバイスをアクティベートしてDEP設定を反映するために必要です。
- Macでは、リカバリ モードで再起動してオペレーティング システムを再インストールします。iOSまたはiPadOSデバイスでは、Settings(設定) > General(一般) > Reset(リセット)に移動し、Erase All Content and Settings(すべてのコンテンツと設定を消去)をタップします。
- Erase(消去)をタップして確定します。
- 場合によっては、最初のアクティベーション プロセス中にAppleからDEP設定が正しくプッシュされない場合、新品のデバイスでも消去が必要になることがあります。
DEP設定を割り当て時は、Set Up as New Device(新しいデバイスとしてセットアップ)を選択し、「Restore from Backup(バックアップから復元)」オプションはスキップしてください。デバイスの監視状態が変わる場合について、AppleではiCloud、iTunesまたは移行アシスタントのバックアップからの復元を推奨していません。デバイスのセットアップ後にiCloudにサインインして、設定を同期できます。
設定プロファイルと構成設定をデバイスに適用するには、適切なタグを適用する必要があります。デバイスが登録されたときに、以下で設定したタグが自動的に適用されるように、事前に設定できます。 これにより、これらのタグに関連付けられたプロファイルとアプリが登録時に自動的にインストールされ、シームレスな体験を提供できます。
- Systems Manager(システム マネージャ) > Manage(管理) > DEP(DEP)に移動します。
- タグを適用する必要があるデバイスの横のチェックボックスをクリックします。
- Tag(タグ)をクリックします。
- Add(追加)ボックスに、デバイスに適用するタグを入力します。既存のタグの場合は、一覧から選択します。それ以外の場合は、Add option(オプションの追加)をクリックして、新しいタグを作成します。タグにスペースを含めることはできません。
- Add(追加)をクリックして、タグを適用します。
デバイスからの設定の削除
デバイスをリセットして別の条件で管理する必要が生じた場合、DEPを介して適用した設定を削除できます。
- Systems Manager(システム マネージャ) > Manage(管理) > DEP(DEP)に移動します。
- 目的のデバイスの横にあるチェックボックスをクリックします。
- Remove settings(設定の削除)をクリックします。
既存の設定を上書きするには、前述した設定の適用の手順に従います。新しく割り当てた設定は、デバイスが工場出荷時の設定にリセットされるまで適用されないことに注意してください。
登録前のデバイスにタグが適用されていた場合、プロファイルとアプリの関連付けを防ぐためにこれらのタグを削除することもできます。
- Systems Manager(システム マネージャ) > Manage(管理) > DEP(DEP)に移動します。
- 目的のデバイスの横にあるチェックボックスをクリックします。
- Tag(タグ)をクリックします。
- Remove(削除)ボックスで、デバイスから削除するタグを選択します。
- Remove(削除)をクリックします。
設定の表示/非表示
設定の適用時に、使用されないDEP設定の事前設定を非表示にするには、「設定の表示/非表示(Show/Hide settings)」オプションをクリックし、非表示にする設定のチェックを解除します。
DEPデバイスの復元
DEP登録デバイスがシステム マネージャーから削除された場合、MerakiダッシュボードをApple DEPと同期するための追加の手順を実行しない限り、そのデバイスは自動的には再表示されません。
DEPデバイスの復元に関する具体的な操作について詳しくは、ドキュメンテーションを参照してください。
Apple DEPトークンの消去
場合によっては、問題解決のため、またはApple側の別のMDMサーバーを使用するために、DEPトークンを削除する必要が生じます。削除するには、Organization(オーガナイゼーション) > MDM(MDM)ページに移動します。Apple Device Enrollment Program(Apple Device Enrollment Program)の下で、Clear Server Token(サーバー トークンの消去)ボタンをクリックします。これにより既存のトークンが削除され、新しいトークンをアップロードできるようになります。
注記: DEPトークンが消去されると、Systems Manager(システム マネージャ) > Manage(管理) > DEP(DEP)の下にあるクライアントのドロップダウン メニューから既存のDEP設定が消去されます。
Merakiダッシュボードでオーガナイゼーションに関連付ける必要のあるすべてのデバイスは、AppleのDEPポータル内で新しいMDMサーバーへの割り当ても必要になることに注意してください。MDMサーバーが変更になると、デバイスの再割り当ても必要になります。すでに多数のデバイスに設定が割り当て済みである場合は、できればDEPトークンの消去は避けてください。その理由は、DEPトークンを消去すると、クラウド内のこれらの割り当て済み設定がパージされるためです(デバイス自体ではパージされません)。 また、割り当て済みデバイスの一覧をAppleのサイト内でスプレッドシートにエクスポートすることをお勧めします。再割り当てプロセスに役立ちます。