はじめに
社内的にMDMを入れ替えることになりました。具体的には携帯電話キャリア製のMDMからLANSCOPEという老舗のMDMへ入替です。DEP端末としてキャリアから端末(iPhone)を仕入れ、自動的にプロファイルを落とすところまではできたのですが、どうしてもアプリを配信することができませんでした。
結論から言うと「VPPオプションを契約していなかった」ことが原因でした。ただ、そもそもこの「VPPとは何ぞや?」という部分がわかっていないと、LANSCOPEとの契約内容についても判断が難しいと思います。その部分について備忘録代わりに簡単にメモとして残そうと思います。
VPPとは何か
ABMにおけるVPPとは
ABM(Apple Business Manager)のVPP(Volume Purchase Program)は、法人向けにAppleデバイスをまとめて購入・管理するためのプログラムです。教育機関向けの「Apple School Manager」と機能が似ていますが、ABMは企業や団体を対象としています。
GoogleのGeminiより。組織でiPhoneを管理したい場合はABMにてDEP端末として登録をし、なおかつAppStoreまで管理したければVPPを利用する方法が一般的なようです。DEP端末として登録するには例えば利用申込書を交わしてDEP端末として利用できるようにしておく必要があります。
このDEP端末として利用できるようになっていると、Apple Configuratorで別端末からDEP化する必要なく、自動的にDEP化された状態で端末を利用できます。これがポイントで、自動的にDEP化されていると端末を集約して1台ずつ設定するという手間が完全にスキップできます。
話が逸れましたがVPPとはAppStoreをインストール制限(AppStore経由でアプリをインストールできなくなる)するものでもあり、DEPによりAppStore自体の利用を制限するようです。これらを組み合わせることでAppStoreをホワイトリスト的に利用することができます。ここで重要ポイントを以下に書きます。
- ABMで管理されているiPhoneはアプリ配信にVPP必須
- VPPはMDMごとに取得する必要がある
(これはコンテンツトークンのことでライセンス回収すると影響度不明) - iCloudにて復元できるかはアプリに依存する
1.ABMで管理されているiPhoneはアプリ配信にVPP必須
ABMで管理されている時点でVPPでないとアプリを配信できません。よってLANSCOPEと契約する際、iPhoneがABMで管理されている場合はVPPが必須となります(詳細は営業マンに確認してください)。元のMDMでABMにてiPhoneが管理されている場合、VPPがないとアプリが配信できません。
2.VPPはMDMごとに取得する必要がある
VPPを利用するためのトークンはABM上でコンテンツトークンという名前で存在します。これはABM上の左側のメニューの「場所」と紐づいているのですが、MDMごとに用意するのが無難です。別のMDMで利用しているコンテンツトークンを流用するのは避けましょう(私も詳細は分からないのでサポートに問い合わせてください)。
3.iCloudにて復元できるかはアプリに依存する
VPP元のコンテンツトークンは異なっていても基本的にもiCloudから復元できるようです。ただ、アプリに依存するようで、例えばAppleIDを参照して復元するパターンの場合はうまくいかないかもしれないようです。
・・・ちなみにですが、VPPオプションは後から追加もできるので、初回契約時に契約していなくても後から契約で使うことが可能です。ただし、申し込みから5営業日ほどかかるので要注意。さて、次にDEPについて。
DEPとは何か
ABMにおけるDEP(Device Enrollment Program)は、Appleが提供する法人向けのiOS/iPadOS/macOSデバイスの導入支援サービスです。2018年にADE(Automated Device Enrollment)から名称変更されました。
これだけでは全くよくわからないのですが、端的に言うと「自動的にMDMにデバイス登録をさせることできる仕組み」です。事前にABMにてMDMサーバに割り当てが必要ですが、これをしておくことでiPhoneの電源を入れてWi-Fiにつなげるだけで極論、自動的にMDMに登録されます。超便利。
ぶっちゃけこれをしてなくても利用することはできますが、DEP化することで組織として管理することができます。こうすることで組織で管理できるため、「退職者のiPhoneのパスワードがわからずリセットできない!」といったことがなくなります。要するに会社で全てID管理できます。
これをしていないと個人管理となり、上述のリセットできない(iPhoneはセキュリティに厳しいため)ためキャリアにiPhoneを返却出来ない、といったことがなくなります。またAppStoreも厳密に管理できます。ちなみにですが会社管理のAppleIDを管理対象AppleIDといいます。通常のAppleIDと管理対象AppleIDは入れ替えできませんのでご注意ください。
ちなみにですがDEP化していると初回設定時の作業をスキップすることができますので、初回設定時の高速化にもつながります。これらがVPPとDEPになります。私も書いていながらよくわからなくなってきましたが、これらは混同しがちですが全くの別物になります。自動デバイス登録や組織によるiPhone管理に欠かせないものなのです。
最後に
補足ですが、データの移行についてDEP端末の場合でもiCloud経由で復元することは可能です。PCの通信を許可していればiTunes経由でデータを移行することもできます。新旧のiPhone同士を近づけてデータを移行する方法(クイックスタート)もできますが、あくまでオフィシャルではなく実績ベースで可能というレベルのようです。
PCの通信を許可してiTunes経由でのデータ移行は現実的ではないので、DEP化した端末を各自に配布して自動でMDMに登録、iCloudによりデータの移行が無難な方法となるのでしょうか。私としてはテスト機で手順書を作成し、各自にiPhoneを配布してiCloudからデータ移行をお願いしたいところです。
追記:2024年6月11日
管理対象AppleIDのDEPデバイスについて「iPhoneを探す」機能が使えないということが判明しました。設定から見ても、そもそも「iPhoneを探す」項目が非表示となっており選択できません。具体的にはiCloudの項目の下に表示されるはずの「iPhoneを探す」の項目がないのです。
appleさんに問い合わせたところ、これは「仕様」とのことで、管理対象AppleIDの組織で管理されているDEPデバイスについては「iPhoneを探す」機能を個人では使えず、またABM上でも管理者権限を持っていようともiPhoneを探すことができないようです。
これについて対処法としてはMDM側で実装されているデバイスの位置を取得する仕組みを使ってください、とのことでした。LANSCOPEにはこの機能が備わっているため、結論から言うと「iPhoneを探す」機能がオフになっていようが非表示になっていようが、MDM(LANSCOPE)側で見ることができるので、問題ないよっていう話です。