AirWatchの基礎 第16回〜Device Enrollment Program(DEP)の利用〜

AirWatchの基礎 第16回〜Device Enrollment Program(DEP)の利用〜
皆さん　こんにちは。
モバイルデバイスを企業で利用する際に、AirWatchを利用したEMMの必要性についてはこれまでのブログ記事でご理解されたのではないでしょうか？一旦、AirWatchへ登録してしまえば以降の作業は、AirWatch経由で行う事が出来て運用の簡素化を行う事が出来ますが、初期設定作業やキッティングについては、企業側でどのように行うか検討する必要があります。ここでいう初期設定作業やキッティングは、デバイスを梱包から空けて、初めて電源をいれた際の初期設定（言語設定/Wi-Fi接続/各種デバイス設定項目等）とその後、AirWatchまで登録（キッティング）を行い、利用出来る状態にする作業も含まれます。導入ベンダーに初期設定からキッティングをお願いする事が一般的かもしれませんが、自社ですべて実装する事を検討されている場合は、Apple Device Enrollment Program(DEP)を利用する事をご検討されてはいかがでしょうか？
このブログでは、AirWatchでApple社が提供の Apple Device Enrollment Program(DEP)を利用し、初期設定からキッティングの連携についてご紹介いたします。
Apple Device Enrollment Program(DEP)とは
iOSおよびmac OSデバイスを企業で利用する際に、Apple社から直接購入もしくはApple社正規販売店や通信事業者から購入する事で、デバイスを企業IDに紐づけ、管理された状態で出荷させる事が出来ます。これはApple Device Enrollment Program(DEP)と呼ばれており、ユーザは利用開始前にデバイスの直接操作を最小化し、自動的にデバイスをEMM(MDM)に登録させ、デバイスの管理を行う事が出来ます。AirWatchではDEPをサポートしており、ユーザの初期設定作業やキッティング作業工数を大幅に削減する事が出来ます。また、AirWatchのDEPに事前設定により、次の機能を有効化する事も出来ます。以下の設定は、DEPの利用でのみ提供出来る機能となります。

• 監視対象 (Apple configuratorもしくはDEPで設定可能)
• MDMプロファイルロック(DEPでのみ設定可能)
• OS更新(監視対象が有効でかつDEPでのみ設定可能)

DEPの詳細は、Apple社サイトを参照ください。なお、以下内容は、対象をiOSのDEPについて言及して記載致します。
Apple Device Enrollment Program(DEP)とAirWatchの連携
まず、Apple DEPサイト(http://deploy.apple.com/)で企業登録を行い、Customer IDの取得する必要があります。その際、企業に関連するメールアドレスでプログラムエージェントアカウント（企業の代表アカウント）を作成します。このメールアドレスは、DEPへサインインする時のApple IDとして利用されます。企業登録の詳細は、Apple DEP Guideを参照ください。
DEPサイトへのサインイン
登録したApple IDでサインイン

本人確認にために確認コードを発行(２要素認証)

スマートフォンにSMSで配信された確認コードを入力

ログイン後、Device Enrollment Programのサイトへ

AirWatchとDEPの統合
統合とは、AirWatchの組織グループとDEPを公開キーとトークンの受け渡しを行い、関連付けを行う事です。統合が終了した後にDEPデバイスを登録すると、対象の組織グループのデバイス＞ライフサイクル＞加入状態に、登録デバイスがリストされます。これにより、登録されたデバイスが起動した際に、予め設定された内容を元に、自動的にAirWatchの指定の組織グループへ加入処理が行われます。統合は、管理を簡素化させる為に顧客組織グループに一つにする事を推奨しています。
重要!!　統合作業は、AirWatchコンソールとDEPサイトの両方で作業を行います。AirWatchコンソールでDEPウィザードの設定を開始したら、ブラウザのセッションを開いたまま、別タブでそれぞれ作業を進める必要があります。1つのブラウザのセッションで構成全体を終了させないと、統合の保存をさせる事が出来ません。

1. [AirWatchコンソール]:統合する組織グループへ移動
2. [AirWatchコンソール]:グループと設定>すべての設定>デバイスとユーザ>Apple>デバイス登録プログラムより、構成を選択しDEPウィザードを開始
3. [AirWatchコンソール]:公開キーのダウンロードから、キーのダウンロード ファイル名 MDM_DEP_PublicKey-<組織グループ名>.pem

4. [Apple DEPサイト]:サーバ管理からMDMサーバ追加を選択
5. [Apple DEPサイト]: MDMサーバ名を(任意)に入力し、次へ
6. [Apple DEPサイト]:ファイルを選択から公開キーのアップロードし、次へ
7. [Apple DEPサイト]:サーバトークンをクリックし、ダウンロード   ファイル名 <MDMサーバ名> _Token_<DATE>_smime.p7m

8. [AirWatchコンソール]:アプロードを選択して、サーバトークンをアップロードし、次へ
9. [AirWatchコンソール]: 認証を「オン」にし、デバイス所有形態や組織グループを設定し、次へ
10. [AirWatchコンソール]: プロファイル名、部門、御社内のサポート担当者連絡先に値を入力

加入用プロファイルを適宜設定
冒頭に記載した、監視対象やMDMプロファイルロックはこの設定を有効にする事で設定されます。

11. [AirWatchコンソール]:iOSデバイスの初期セットアップ時にユーザに手動で設定させる項目を選択
12. [AirWatchコンソール]: 設定内容を確認して保存
13. [AirWatchコンソール]:統合がされた事を確認

DEPデバイスをサーバ構成に登録
DEPの統合を行っても、どのデバイスがどのAirWatchの組織グループへ参加するか指定する必要があります。その操作の為に、Apple DEPサイトのデバイス管理から、購入済みのDEPデバイスをサーバ構成に割り当てを行う必要があります。割り当てにはシリアル番号の他に注文番号やcsvで作成されたファイルのアップロードも可能となります。

AirWatchコンソールから割り当てされたデバイスの同期
対象の組織グループのデバイス＞ライフサイクル＞加入状態を開き、追加よりデバイスの同期を実行すると、追加したデバイスがリストに追加されます。
加入状態からデバイスの同期

DEPと同期

同期後のデバイスリスト

加入前準備
DEPデバイスを登録した組織グループにユーザ・プロファイルおよびアプリ等の設定を行ってください。DEP環境だからといって特別な設定は必要ありません。
加入処理
デバイスの電源を初めて入れ、次の手順となります。

⑥までは、通常のiOSのセットアップ作業となり、⑦で統合されたAirWatchの組織グループへリダイレクトされます。

⑧でAirWatchの認証が行えれば、加入処理が行われ、以降は、DEPプロファイルで定義したiOSのセットアップ（例　パスコード/Touch ID/Siriなど）が続きます。iOSのセットアップが終了すると、AirWatchで設定したプロファイルおよびアプリケーションが配信され作業は終了となります。
運用でのヒント

1. 追加でデバイスを購入した場合は、既設のサーバ構成にデバイスを登録し同期を取れば、加入状態にリストされます。但し、DEPデバイスがリストされた組織グループに、DEPデバイス以外のデバイスが加入しようとすると、加入が拒否されます。これは、この組織グループがホワイトリストとして登録されているデバイスとなる為、登録されていないデバイスが加入拒否される事は、正しい動作となります。リストされていないデバイスをDEPの組織グループへ加入させたい場合、手動でホワイトリストを作成しデバイスの追加が必要になります。
2. 登録されたデバイスを別の組織グループへ加入させたい場合は、DEPのプロファイルの追加で別な組織グループを指定し、そのプロファイルにデバイスを移動（割り当て）させる事で実現出来ます。

プロファイルの追加

プロファイルの構成


*設定項目は、統合と同様ですので割愛させて頂きます。
なお、AirWatchの基礎 第3回〜AirWatchへの初めてのログイン〜で投稿させて頂いた組織グループの階層の権限で、下部には移動（割り当て）できますが同一階層や上部には移動（割り当て）できませんのでご注意ください。また、加入ユーザも同様に、上部で登録されているデバイスに下部で登録されてユーザでは、加入出来ません。
下部の組織グループでのプロファイルを作成した後、そのプロファイルへデバイスの移動（割り当て）を行いたい場合は、右のアイコンの割り当ての編集から行う事が出来ます。

“このバッチタイプ用のテンプレートをダウンロードする”をクリックすると、csvファイルがダウンロードされますのでファイルを編集し、ファイルをアップロードください。csvファイルには、現在リストされているDEPデバイスのシリアル番号がリストされていますので、移動したいデバイスのシリアル番号のみ残し保存し、ファイルの選択からcsvファイルをアップロードしてください。

移動（割り当て）を行うと、以下図のように割り当て台数が表示されます。

まとめ
モバイルを企業で活用する上で、運用の簡素化は必須となります。DEPを利用する事で、デバイスの初期設定およびキッティング作業が最小化される事が出来ますので、AirWatchをご利用される場合、選択肢の一つとしてご検討してはいかがでしょうか？
参考資料

• VMware AirWatch Guide for the Apple Device Enrollment Program (myAirWatchより)
• FAQ: Device Enrollment Program (myAirWatchより)

本ブログの内容は情報提供のみを目的としたもので、VMwareとしての正式な見解ではありません。また、モバイル製品の特性上、アップデート等が早い為、記載内容の動作・仕様が予告なく変更される事があります。最新の情報は、myAirwatchポータルサイトよりマニュアルをご参照ください。　myAirwatchへこちら