こんにちは。グローバルサポート Newsletter 担当者です。
今回は Apple が提供する Apple デバイス登録プログラム (DEP) を利用し、 Workspace One UEM (UEM)でどのような事が実現できるかご紹介いたします。また、 DEP の加入方法やトラブルシューティングを行う方法を解説します。
1. はじめに
DEP の概要について
DEP は Apple が提供する企業向けの iOS 端末の導入支援プログラムです。
Apple Business Manager (ABM) への登録完了後に Apple から直接購入または Apple 正規取扱店や通信事業者から購入した iPad、iPhone、MacOS デバイスを企業 ID に紐づけることによって管理された状態で出荷する事が出来ます。 また、DEP と組み合わせて使用することでモバイルデバイス管理(MDM)との関連付けができ、ユーザーは初期設定の手順が短縮されます。そのため、ユーザーの作業も軽減でき、効率的に iOS 端末を導入する事が出来ます。
DEP を利用した MDM 加入のメリット
- 工場出荷状態からの初回起動時に、予め設定した MDM に自動的に強制的に加入できる。
- DEP プロファイルで規定した内容に沿って、非 DEP デバイスでは設定できない設定をインターネット経由で施すことができる。
- Apple Configurator 2 を用いて有線でデバイスキッティングした際にしか設定できなかった、監視モードのデバイスへの設定を自動化できる。
- 監視モードでのみ設定できるより高いレベルのデバイスコントロールが実施できる。
ABM および DEP に関する詳細は Apple ビジネスサポートをご参照ください。
2. DEP を利用した UEM への加入方法
DEP を利用してデバイスを UEM へ加入させるには大きくは以下の手順に従います。
- 対象となるデバイスが ABM に登録または登録されていることを確認する。
- UEM にて 利用中の組織グループと DEP を関連付ける設定を行い、さらに DEP プロファイルを作成する。
- 設定完了後、ABM に登録済みのデバイスを UEM と同期して、UEM コンソールに表示されることを確認する。
- 工場出荷または初期化状態となったデバイスのセットアップを完了させ、完了後に MDM に加入されていることを確認する。
DEP プロファイルで規定できる項目に関する注意事項
- [MDM プロファイル ロック]
デフォルトで有効なため、ユーザー側で加入プロファイルを削除することはできません。この設定を [無効] にした場合は、デバイス側で設定を開き [一般] – [VPN とデバイス管理] (iOS バージョンによりメニュー表記が異なる場合があります)画面に [削除] メニューが表示されます。
- [デバイスペアリング]
通常のプロファイルで設定されることを推奨します。DEP プロファイルは、工場出荷状態からの初期セットアップ時に適用され、その後再度初期化をして新たなセットアップを行うまで変更できません。そのため、 [デバイスペアリング] を DEP プロファイルで設定すると、トラブルシューティング時の Xcode ログ取得ができないなど、運用面の支障になる可能性があるからです(通常プロファイルだと必要に応じて外すことができる)。
Apple Configurator 2 を利用して ABM へデバイスを登録した場合の注意事項
ABM へ登録されていないデバイスは macOS デバイスに Apple Configurator 2 をインストールして後から登録させることができますが、その場合 Apple の規定によりセットアップ中およびセットアップ後の設定画面内にデバイス上で [リモートマネージメントから離れる] メニューが表示される点に注意してください。
- このメニューはデバイス登録後 30 日間表示されます。
- このメニューを表示させない方法はありません。
セットアップ中の表示
設定画面内の表示
ABM と UEM の連携に関する設定方法については下記のドキュメントをご参照ください。(英語)
3. 比較表
iOS デバイスプロファイルの基本内容および 監視モードに関する機能の比較についてはそれぞれ下記のドキュメントをご参照ください。
4. よくある質問とトラブルシューティング
◆概要・ベストプラクティス
Workspace ONE 向け Apple の自動デバイス登録プログラム (ADE) (以前の DEP) (2961705)
https://kb.vmware.com/s/article/2961705?lang=ja
◆加入
Q. 加入時に以下のエラーが表示され、リモートマネジメントの画面に遷移しません。
「お使いの iPhone の構成を xxxx からダウンロードできませんでした。
指定されたホスト名のサーバが見つかりませんでした」
A. UEM コンソールにおいて、下記手順を実施してエラーが解消されるかを確認します。
- [デバイス] – [ライフサイクル] – [加入状態] を開きます。
- 対象となるデバイスにチェックを付け [デバイスを同期する] – [Apple] の [同期] をクリックします。
- 再度対象となるデバイスにチェックを付け [その他のアクション] – [プロファイルの割り当て] の [保存] をクリックします。
- [グループと設定] – [すべての設定] – [デバイスとユーザー] – [Apple] – [デバイス加入プログラム] を開きます。
- [すべてのデバイスをフェッチ] をクリック後、設定を保存します。
- 対象デバイスの加入操作を行います。
Q. 加入時にリモートマネジメントの画面で「無効なプロファイル」エラーが表示され、先に進みません。
A. 下記 KB の手順を実施します。
DEP デバイスの加入時に「無効なプロファイル」エラー (50122160)
https://kb.vmware.com/s/article/50122160?lang=ja
◆DEP トークン
Q. DEP トークンの更新手順を教えてください。
A. 下記 KB の手順で更新します。
DEP 環境用 Apple サーバ トークンの更新 (50115441)
https://kb.vmware.com/s/article/50115441?lang=ja
Q. DEP デバイスが UEM コンソールと同期できません。
A. DEP トークンの有効期限が切れていないかを確認し、下記 KB の回避策を実施します。
Apple Business Manager の Apple DEP デバイスが Workspace ONE UEM コンソールと同期しない (80534)
https://kb.vmware.com/s/article/80534?lang=ja
◆DEP プロファイル
Q. DEP プロファイルの割り当てや解除ができません。
A. 下記 KB の回避策を実施します。
UEM コンソールの Workspace ONE で管理されている Apple デバイスで DEP プロファイルの割り当てや解除ができない (80531)
https://kb.vmware.com/s/article/80531?lang=ja
Workspace ONE 内の ADE (以前の DEP) デバイスで、「プロファイルが無効です。」エラーが発生する (50104383)
https://kb.vmware.com/s/article/50104383?lang=ja
Q. DEP プロファイルの変更方法を教えてください。
A. 加入済みのデバイスに適用されている DEP プロファイルを変更する場合は下記手順を実施します。
- UEM コンソールにて [デバイス] – [ライフサイクル] – [加入状態] から対象のデバイスにチェックを付けます。
- [その他のアクション] – [プロファイルの割り当て] より変更したい DEP プロファイルを選択して保存します。
- 対象デバイスにて設定を開き [一般] – [転送または iPhone をリセット] – [すべてのコンテンツと設定を消去](iOS バージョンによりメニュー表記が異なる場合があります)から初期化して再加入を行います。
◆加入解除
Q. DEP デバイスに新規ユーザーで加入し直す方法を教えてください。
A. DEP デバイスに新規ユーザーで加入し直すには、デバイスを初期化して再加入を行います。
DEP デバイスの加入解除、再構成、再加入の方法 (80539)
https://kb.vmware.com/s/article/80539?lang=ja
Q. 加入済みの DEP デバイスを ABM から所有解除した場合、デバイス側の動作に影響はありますか。
A. ABM 側で所有解除を行った場合も、加入済みのデバイスは加入解除されることはなく Workspace ONE で引き続き管理されます。
5. 最後に
今回は Apple が提供する DEP を使用したデバイス加入方法やトラブルシューティングを中心にご紹介しました。DEP デバイスの加入時に発生するエラーは、 DEP の構成や UEM コンソールの設定内容によって多岐に渡りますので、常に最新の情報が得られるよう当サポートニュースレターや KB サイトをご活用ください。
