Apple デバイス登録プログラム (DEP) のベスト プラクティス

デバイス登録プログラムの概要

Apple Business Manager や Apple School Manager をご利用のお客様は、デバイス登録プログラムにより Apple デバイス (iOS/macOS/tvOS) の展開および構成を簡単に行えます。企業や学校はデバイス登録プログラムを使用することで、手元に届いたデバイスを、ほぼ何もすることなくそのまま MDM に加入させて使い始めることができます。Apple 社、Apple 社の認定販売代理店、または通信事業者から直接購入した、企業所有の iOS/macOS/tvOS デバイスはデバイス登録プログラムの機能を利用可能です。

デバイス登録プログラムの主要機能:

  • MDM 加入の強制および MDM プロファイルの削除禁止
  • ワイヤレスでの監視対象設定
  • 設定アシスタントの簡略化

デバイス割り当ての管理の詳細は Apple Business Manager ヘルプを参照してください。

 

機密情報を保護するためのベスト プラクティス

Apple デバイス登録プログラムでは、新規デバイス導入時の設定アシスタントにおける「認証オン」と「認証オフ」の 2 つのフローがサポートされています。  「認証オン」を選択した場合、実際にデバイスの導入を行うユーザーはまず、有効な認証情報を入力する必要があります。これにより初めて、認証情報やアプリなどを含む機密情報とともに、そのデバイスが該当ユーザーに対して構成されます。「認証オフ」の場合、デバイスは管理対象として MDM に加入しますが、機密性の高い企業データを取得するまでユーザー認証は発生しません。

iOS デバイスや macOS デバイスでは、「認証オフ」での構成は主に代理セットアップ (シングル ユーザー代理セットアップとマルチ ユーザー代理セットアップ) のワークフローで利用されます。代理セットアップのワークフローでユーザー機密情報を適切に保護するためには、以下の構成方法を推奨します。

  • 実際のエンドユーザー アカウントではなく、企業リソースにアクセスする権限のない代理セットアップ ユーザーのアカウントを使用します。
  • 代理セットアップでは一般的な構成やアプリのセットアップのみを行い、E メール、証明書、モバイル SSO などのユーザー固有の構成はエンドユーザーのみが実行できるようにします。
  • iOS では上記の推奨事項に加え、代理セットアップ ユーザーに対してアプリの「表示/非表示」構成を適用し、事前インストール済みのアプリやセットアップ段階でインストールしたアプリをすべて非表示にします (AirWatch Agent/Workspace ONE Intelligent Hub を除く)。これにより、自動構成によって企業の機密情報を取り込むようなインストール済みアプリへのアクセスを防止することができます。
  • macOS では上記の推奨事項に加え、Workspace ONE UEM はデフォルトでネイティブ MDM のベスト プラクティスに準拠します。シングル ユーザー/マルチ ユーザーのいずれの代理セットアップでも、ユーザーの機密情報は「認証オフ」のフローで処理されます。Workspace ONE UEM では、ユーザー固有の構成とプロファイルを展開する前にユーザー認証を行うため、デバイスのドメイン参加が必要になります。

Other Languages: English

免責事項:これは英文の記事「Best Practices using Apple Device Enrollment Program (DEP)」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

Have more questions? Submit a request

0 Comments

Article is closed for comments.