Appleは、Device Enrollment Program(DEP)から自動デバイス登録(Automated Device Enrollment 、略称ADE)へとサービス名を変更いたしました。

アップルデバイスの管理者には不可欠だと言えるぐらい便利なADE。iOSデバイスの導入が圧倒的に楽になるのは間違いないですが、ADEとは具体的にどういうプログラムなのか、どうすれば使えるか、そしてどこで買えるのでしょうか?この記事がADEについての理解を深め、iOSデバイスの導入の役に立つと幸いです。

ADEとは?iPhoneやiPadの初期設定を圧倒的に早く済ませる方法!

Automated Device Enrollment(ADE)は、Appleが提供する企業向けiOS端末導入支援サービスです。ADEを利用することにより、導入作業の簡略化、導入コストの削減、セキュリティ管理機能の向上とiOS端末の業務利用における課題を全て解決することが出来ます。

企業であっても、学校など施設であっても、大量のモバイルデバイスを導入するときは、とても検討事項が多いです。利用用途にもよりますが、セキュリティの設定、利用環境の情報や利用できるアプリなど、様々な運用を想定した設計を行う必要があります。その後、通常だとデバイスを購入してから、管理者はデバイスを一台ずつPCに繋げたり、MDMと認証したりすることによって、必要な設定や、アプリケーションの配信を行う事になりますが、とても時間と労力がかかる作業です。

その運用上の手間を解決する一つの手段がADEです。ADEを使うと端末側での設定を一切行うことなく、ユーザーが端末の電源を入れるだけで、全ての設定を終わらせる、などという運用も可能になります。
ただし、ADEの契約を事前に行う必要があったり、管理者がMDMとADEの繋ぎこみを設定したりといった管理者側の操作が一部増えることになります。
それを加味しても運用上のメリットが多数存在しているため、ADEは、大型運用では、必須と言っても良い程広がっているのが現状です。

導入規模が多くなるほど管理者の作業負担が増大!企業が購入したiOS端末は全て強制的にMDMの管理下に入るキッティング作業のために費やしていた時間や負荷、コストを大幅に削減できる。

上記の図でもわかる通り、ADEを利用することで、端末そのものに対するキッティング手順が大幅に減っています。
ぱっと見ただけでも運用上の手間が削減されていることがわかると思いますが、ADEにもメリットデメリットがあります。
この特徴を抑えておけば、自社でのiOSデバイスの導入がより円滑に進みます。

ADEの5つの大きなメリット

ADEには複数のメリットがあります。

  1. デバイスの導入時に必要なキッティング(初期設定)作業は、従来とても時間と労力がかかる作業でした。特にデバイスを監視対象(Supervised mode)へ変更する場合は、各デバイスを有線(USBケーブル)でApple Configuratorにつなげて設定する必要がありました。ADEを使うと、その設定は、無線ネットワークで自動的に(OTA, Over The Air)行われますので、Apple Configuratorを用意する必要もなく、キッティング作業が大幅に削減できます。このメリットはデバイスが増えれば増えるほど大きくなります。
  2. デバイスの管理や遠隔設定などに必要なMDMの構成プロファイルは従来利用者が削除できました。構成プロファイルを削除するとデバイスがMDM管理の対象外となってしまい、再設定が必要となります。ADEを利用している場合に限り、MDMの構成プロファイルの削除を防止できるようになるため、デバイスがMDM管理下から外れるリスクがなくなります。
    設定により「プロファイル削除」の防止も可能
  3. MDM構成プロファイルのインストールを強制することが出来ます。端末利用者は、MDMを導入しない限り端末を使うことが出来なくなるため、MDMに登録されないという事態を回避することが出来ます。途中で設定を変えたりしなければ、運用中の端末を初期化した場合でも、MDM構成プロファイルをインストールしなければ端末が使えないという状態を作ることが出来るため、利用者変更の度に端末を回収する様な必要が無くなります。
  4. MDM構成プロファイルのインストール時に認証情報を求める事が出来ます。この機能は、管理者が任意で設定することが出来るため、不要な場合は、設定しなければ、入力を求められず、強制的にMDM構成プロファイルがインストールされます。この機能を使うと、例えば紛失した端末が拾った第三者に再アクティベートされる様な事態に陥った際、端末の初期設定から先に進めなくなるといった使い方が出来ます。
  5. iOSデバイスのアクティベーション画面で各種設定を表示せず、スキップさせることができます。新規のデバイスを初めて起動するとアクティベーションアシスタントに様々な設定が求められますが、ADEを使った場合、このプロセスを短縮できます。スキップした設定項目は基本的に設定しない形となるため、運用上必要な設定は、表示する様な運用が必要になります。

このような大きなメリットがあるため、ADE機能を含めた提案を求められる事が多くなっています。ただし、一方でADEを利用する場合、契約までの流れや、ADEを使う場合のみに必要な検討事項など、IT管理者にとって越えなければいけないハードルがあります。

ADEを使う条件とは

ADEの利用にあたっては、いくつかの条件があります。

まずは、利用している端末(もしくは、利用予定の端末)がADEの対象となる端末かどうかを知る必要があります。
対象となる端末は、ADEに対応している販売店から端末を購入するか、Apple Storeから法人として端末を購入している必要があり、登録出来る端末(新規/既存などの販売形態)は、販売店により異なります。
つまり、端末を新規に購入する場合は、対応した販売店から端末を購入すれば問題ありませんが、購入した販売店によっては、登録することが出来ないケースもあります。
キャリアや各販売店で条件が異なってくるため、事前に確認しておく事をおすすめします。

次にADEは、Appleに対する申し込みが必要です。申し込みフォームから必要な情報を入力して申請する必要があり、勝手にすぐ使える様になるものではありません。
利用開始までに申し込みが完了していないと、端末の導入に間に合わないというような事態も想定されるので、早めに登録を始める事をおすすめします。
登録時に前項で挙げた販売店がそれぞれ所有しているADE販売店IDを入力する必要があるので、端末購入と並行して申し込み作業を行いましょう。
この登録作業は、登録されるエンドユーザー企業が自身で行う必要があるので、管理者の方は、忘れずに実施しましょう。

Apple Business Manager
Apple School Manager

また、ADEを利用するにはADEに対応しているMDMが必要です。
Optimal BizはADEに対応していますが、ご利用のMDMによっては、ADEが利用できないといったケースも出て来ます。
Optimal Bizの場合のIT管理者が知るべきADEサーバーへの登録方法やMDMサーバーとの紐付け方については詳細なマニュアルなどをご用意しておりますので、問い合わせフォームからお問い合わせください。
上記の条件がADEの利用に必要な条件です。

ADEを使う際に気をつける事

ADEを使う理由が監視対象への変更手順の簡略化や、MDM構成プロファイルの削除防止である場合は、特に意識する必要はありませんが、例えば、「ユーザーに新規の端末をそのまま送って、全てを自動的に完了させたい。」などといったように、キッティングの簡略化を目的として、ADEの導入を考えている場合、運用時に意識しておかなければならないことがあります。

それは、MDMから設定出来ないiOSの設定や、配信したアプリなどでユーザーが手動入力しなければならない内容があることです。
MDMからパスコードポリシーやアプリの配信などは行えますが、例えば、Apple IDを使ったiTunesやStore、iCloudへのログイン、位置情報の有効化などは、ユーザーが任意で入力することになるため、強制化が難しくなります。
ユーザーが指定するApple IDを固定したい場合は、ADEを使っていたとしても、初期設定後、管理者がApple IDを入力した上で、アカウント変更禁止の設定を投げ込まなければ、制限することが難しくなります。
他にもMDMから配信したアプリケーションに対して、手動で設定を入れておく必要がある場合も同様です。

まとめ

ADEを使いたい場合の必要なステップは以下の通りとなります。

  1. アップルやADEに対応している代理店でiOSデバイスを購入します
  2. アップルでADEアカウントを登録します
  3. MDMとの連携設定を行います
  4. ADEの設定プロフィールを設定します
  5. デバイスのアクティベーションを行います

管理者としての目線で見ると、ADEは、非常に魅力的な要素が多いと感じると思います。
一部、既存の運用フローやポリシーの見直しが必要になるケースもありますが、徐々に監視対象前提の制限機能などが増えている昨今では、管理者、利用者共に負担軽減に繋がる可能性が高いです。
もし、新規に端末を導入する計画がある、既存の運用を見直したいといった場合には、ADEを含めた運用の検討をおすすめします。
導入の際のキッティング作業(初期設定)が短縮出来るのはもちろん、セキュリティ面でもより強固な運用が行えるようになり、今、管理者が抱えている運用課題も解決するかもしれません。

ご質問などご相談がございましたら気軽にお問い合わせください。

このブログの免責事項について