Skip to content

ABM / DEP 統合

Apple Business Manager (ABM) は、Apple が提供するデバイスを大規模に管理するためのプラットフォームです。ABM と GuardMDM を統合することで、ゼロタッチ登録が可能になります。ユーザーがデバイスの箱を開ける前に、自動的に管理が開始されます。

ABM とは

ABM(旧称 DEP — Device Enrollment Program)により、組織は以下を実行できます:

  • デバイスを自動的に MDM サーバーに割り当てる
  • ユーザーの操作なしでデバイスを登録する
  • 初回起動前に設定と制限を適用する
  • 完全な管理制御のためにデバイスを監視下に置く
  • デバイスの所有権と割り当てを追跡する

ABM での MDM サーバー割り当て

GuardMDM が ABM に割り当てられたデバイスを管理できるようにするには、まず GuardMDM を ABM 内で信頼された MDM サーバーとして登録する必要があります。

手順

  1. トークンを生成する:GuardMDM で Settings > ABM Integration > トークン生成 に移動します
  2. トークンをアップロードする:Apple Business Manager(https://business.apple.com)の Settings > MDM Server にアップロードします
  3. サーバートークンをダウンロードする:ABM でサーバー作成後にトークンをダウンロードします
  4. サーバートークンをアップロードする:GuardMDM の Settings > ABM Integration に戻ってトークンをアップロードします

トークン交換が完了すると、GuardMDM は ABM で割り当てられたデバイスを管理する権限を得ます。

デバイス割り当て方法

ABM では、デバイスを MDM サーバーに割り当てる方法が 3 つあります。

自動割り当て

ABM に追加された新しいデバイスは、デフォルトの MDM サーバーに自動的に割り当てられます。これが最もシンプルな方法で、手動操作は不要です。

  • 最適な用途: 大規模なデバイスフリート、新規デバイス購入
  • 設定: ABM 設定でデフォルト MDM サーバーを構成
  • 動作: ABM 同期後、デバイスが自動的に GuardMDM に表示されます

手動割り当て

ABM で個別のデバイスを選択し、GuardMDM の MDM サーバーエントリに割り当てます。

  • 最適な用途: パイロットプログラム、複数 MDM 環境
  • 設定: デフォルトサーバーは不要
  • 動作: 明示的に割り当てられたデバイスのみが GuardMDM に表示されます

シリアル番号割り当て

シリアル番号を含む CSV ファイルを ABM にアップロードしてデバイスを割り当てます。

  • 最適な用途: 既存デバイスの一括割り当て
  • 設定: デバイスインベントリからシリアル番号をエクスポート
  • 形式: シリアル番号を 1 行に 1 つずつ記載した CSV
  • 動作: 一致したデバイスが指定された MDM サーバーに割り当てられます

ABM デバイスの同期

統合が有効になると、GuardMDM は ABM からデバイスレコードを取得します。

手動同期

GuardMDM ダッシュボードからいつでも同期を実行できます:

  1. Devices > ABM Devices に移動します
  2. Sync Now をクリックします
  3. 同期が完了するまで待ちます(通常 10〜30 秒)

カーソルベースのページネーション同期

GuardMDM は ABM からデバイスリストを取得する際に、カーソルベースのページネーションを使用します。この方法は、大規模なデバイスフリートにおいてオフセットベースのページネーションよりも信頼性が高くなります。

  • 仕組み: 各同期リクエストは、次のデバイスバッチを指すカーソルを返します
  • バッチサイズ: 設定可能(デフォルト 1 ページあたり 100 台)
  • 信頼性: 同期中にデバイスが追加・削除されても、レコードを見逃すことなく処理
  • パフォーマンス: 数十台から数十万台まで、あらゆる規模のフリートに効率的

自動定期同期

GuardMDM は 5 分 ごとに ABM と自動的に同期し、新しいデバイス割り当てや変更を取得します。

  • 間隔: 5 分(設定変更不可)
  • 同期対象: 新しいデバイス割り当て、デバイス属性の変更、割り当て解除
  • トリガー: 統合が有効な間、継続的に実行
  • レイテンシ: ABM で割り当てられてから 5 分以内に GuardMDM にデバイスが表示されます

ADE プロファイルの割り当て

ADE(Automated Device Enrollment) プロファイルは、デバイスの初回起動時の動作を制御します。GuardMDM に割り当てられた各デバイスには ADE プロファイルが必要です。

ADE プロファイルの内容

  • 登録タイプ: ユーザー主導 vs. 自動
  • セットアップアシスタントのスキップ: スキップするセットアップ画面(Apple ID、Touch ID、Siri など)
  • 監視: デバイスを監視下に置くかどうか
  • MDM ロック: ユーザーが MDM 登録を解除できるかどうか
  • 部門およびサポート情報: セットアップ中に表示

プロファイルの割り当て

プロファイルはデバイスレベルまたはデバイスグループレベルで割り当てることができます。

方法範囲ユースケース
デバイスレベル単一デバイステスト、役員用デバイス
グループレベルグループ内の全デバイス部門展開、OS ベースのグループ

OS ごとのデフォルトプロファイル

GuardMDM では、各オペレーティングシステムに デフォルトの ADE プロファイル を設定できます。これにより、新しいデバイスに手動で割り当てることなく、適切なプロファイルが自動的に適用されます。

  • iOS / iPadOS デフォルトプロファイル: すべての新しい iPhone および iPad に適用
  • macOS デフォルトプロファイル: すべての新しい Mac に適用
  • tvOS デフォルトプロファイル: すべての新しい Apple TV デバイスに適用

ABM からデバイスが同期されると、GuardMDM は以下を確認します:

  1. デバイスに明示的に割り当てられたプロファイルがあるか? → そのプロファイルを使用
  2. デバイスの OS にデフォルトプロファイルがあるか? → それを使用
  3. プロファイルが見つからない → デバイスはダッシュボードに 未割り当て として表示

ABM を使用した登録フロー

GuardMDM に割り当てられたデバイスがアクティベートされると:

  1. デバイスが Apple のアクティベーションサーバーに接続
  2. Apple が ABM で MDM 割り当てを確認
  3. ABM がデバイスに GuardMDM への接続を指示
  4. GuardMDM が ADE プロファイルを送信
  5. デバイスがプロファイルを適用して登録
  6. デバイスが GuardMDM に 登録済み として表示

ABM トークンの有効期限

ABM トークン有効期限 — 登録に影響あり

ABM トークンの有効期限は 1 年間 です。期限切れ後:

  • デバイス同期が停止 — 新しいデバイスが GuardMDM に取り込まれなくなります
  • ADE 登録が失敗 — 新しいデバイスが自動登録できなくなります
  • デバイス情報が古くなる — ABM の変更が同期されなくなります

すでに登録済みのデバイスには影響ありません — リモートコマンドとプロファイルのプッシュは引き続き機能します。

推奨事項: 有効期限の 30 日前にトークンを更新してください。Apple Business Manager から新しいトークンをダウンロードし、GuardMDM にアップロードします。

トラブルシューティング

問題考えられる原因解決方法
デバイスが GuardMDM に表示されないトークンの期限切れABM トークンを再生成して再アップロード
同期が失敗するネットワークの問題ファイアウォールルールを確認して再試行
デバイスが登録されないADE プロファイルが割り当てられていないデバイスの OS にデフォルトプロファイルを割り当てる
誤ったプロファイルが適用されるデフォルトプロファイルの設定ミス正しい OS のデフォルトプロファイルを更新
デバイスが「未割り当て」のまま一致するデフォルトプロファイルがないデフォルトの ADE プロファイルを作成して割り当てる

次へ: デバイス登録方法

MIT ライセンスの下で公開