ABM / DEP 統合
Apple Business Manager (ABM) は、Apple が提供するデバイスを大規模に管理するためのプラットフォームです。ABM と GuardMDM を統合することで、ゼロタッチ登録が可能になります。ユーザーがデバイスの箱を開ける前に、自動的に管理が開始されます。
ABM とは
ABM(旧称 DEP — Device Enrollment Program)により、組織は以下を実行できます:
- デバイスを自動的に MDM サーバーに割り当てる
- ユーザーの操作なしでデバイスを登録する
- 初回起動前に設定と制限を適用する
- 完全な管理制御のためにデバイスを監視下に置く
- デバイスの所有権と割り当てを追跡する
ABM での MDM サーバー割り当て
GuardMDM が ABM に割り当てられたデバイスを管理できるようにするには、まず GuardMDM を ABM 内で信頼された MDM サーバーとして登録する必要があります。
手順
- トークンを生成する:GuardMDM で Settings > ABM Integration > トークン生成 に移動します
- トークンをアップロードする:Apple Business Manager(
https://business.apple.com)の Settings > MDM Server にアップロードします - サーバートークンをダウンロードする:ABM でサーバー作成後にトークンをダウンロードします
- サーバートークンをアップロードする:GuardMDM の Settings > ABM Integration に戻ってトークンをアップロードします
トークン交換が完了すると、GuardMDM は ABM で割り当てられたデバイスを管理する権限を得ます。
デバイス割り当て方法
ABM では、デバイスを MDM サーバーに割り当てる方法が 3 つあります。
自動割り当て
ABM に追加された新しいデバイスは、デフォルトの MDM サーバーに自動的に割り当てられます。これが最もシンプルな方法で、手動操作は不要です。
- 最適な用途: 大規模なデバイスフリート、新規デバイス購入
- 設定: ABM 設定でデフォルト MDM サーバーを構成
- 動作: ABM 同期後、デバイスが自動的に GuardMDM に表示されます
手動割り当て
ABM で個別のデバイスを選択し、GuardMDM の MDM サーバーエントリに割り当てます。
- 最適な用途: パイロットプログラム、複数 MDM 環境
- 設定: デフォルトサーバーは不要
- 動作: 明示的に割り当てられたデバイスのみが GuardMDM に表示されます
シリアル番号割り当て
シリアル番号を含む CSV ファイルを ABM にアップロードしてデバイスを割り当てます。
- 最適な用途: 既存デバイスの一括割り当て
- 設定: デバイスインベントリからシリアル番号をエクスポート
- 形式: シリアル番号を 1 行に 1 つずつ記載した CSV
- 動作: 一致したデバイスが指定された MDM サーバーに割り当てられます
ABM デバイスの同期
統合が有効になると、GuardMDM は ABM からデバイスレコードを取得します。
手動同期
GuardMDM ダッシュボードからいつでも同期を実行できます:
- Devices > ABM Devices に移動します
- Sync Now をクリックします
- 同期が完了するまで待ちます(通常 10〜30 秒)
カーソルベースのページネーション同期
GuardMDM は ABM からデバイスリストを取得する際に、カーソルベースのページネーションを使用します。この方法は、大規模なデバイスフリートにおいてオフセットベースのページネーションよりも信頼性が高くなります。
- 仕組み: 各同期リクエストは、次のデバイスバッチを指すカーソルを返します
- バッチサイズ: 設定可能(デフォルト 1 ページあたり 100 台)
- 信頼性: 同期中にデバイスが追加・削除されても、レコードを見逃すことなく処理
- パフォーマンス: 数十台から数十万台まで、あらゆる規模のフリートに効率的
自動定期同期
GuardMDM は 5 分 ごとに ABM と自動的に同期し、新しいデバイス割り当てや変更を取得します。
- 間隔: 5 分(設定変更不可)
- 同期対象: 新しいデバイス割り当て、デバイス属性の変更、割り当て解除
- トリガー: 統合が有効な間、継続的に実行
- レイテンシ: ABM で割り当てられてから 5 分以内に GuardMDM にデバイスが表示されます
ADE プロファイルの割り当て
ADE(Automated Device Enrollment) プロファイルは、デバイスの初回起動時の動作を制御します。GuardMDM に割り当てられた各デバイスには ADE プロファイルが必要です。
ADE プロファイルの内容
- 登録タイプ: ユーザー主導 vs. 自動
- セットアップアシスタントのスキップ: スキップするセットアップ画面(Apple ID、Touch ID、Siri など)
- 監視: デバイスを監視下に置くかどうか
- MDM ロック: ユーザーが MDM 登録を解除できるかどうか
- 部門およびサポート情報: セットアップ中に表示
プロファイルの割り当て
プロファイルはデバイスレベルまたはデバイスグループレベルで割り当てることができます。
| 方法 | 範囲 | ユースケース |
|---|---|---|
| デバイスレベル | 単一デバイス | テスト、役員用デバイス |
| グループレベル | グループ内の全デバイス | 部門展開、OS ベースのグループ |
OS ごとのデフォルトプロファイル
GuardMDM では、各オペレーティングシステムに デフォルトの ADE プロファイル を設定できます。これにより、新しいデバイスに手動で割り当てることなく、適切なプロファイルが自動的に適用されます。
- iOS / iPadOS デフォルトプロファイル: すべての新しい iPhone および iPad に適用
- macOS デフォルトプロファイル: すべての新しい Mac に適用
- tvOS デフォルトプロファイル: すべての新しい Apple TV デバイスに適用
ABM からデバイスが同期されると、GuardMDM は以下を確認します:
- デバイスに明示的に割り当てられたプロファイルがあるか? → そのプロファイルを使用
- デバイスの OS にデフォルトプロファイルがあるか? → それを使用
- プロファイルが見つからない → デバイスはダッシュボードに 未割り当て として表示
ABM を使用した登録フロー
GuardMDM に割り当てられたデバイスがアクティベートされると:
- デバイスが Apple のアクティベーションサーバーに接続
- Apple が ABM で MDM 割り当てを確認
- ABM がデバイスに GuardMDM への接続を指示
- GuardMDM が ADE プロファイルを送信
- デバイスがプロファイルを適用して登録
- デバイスが GuardMDM に 登録済み として表示
ABM トークンの有効期限
ABM トークン有効期限 — 登録に影響あり
ABM トークンの有効期限は 1 年間 です。期限切れ後:
- デバイス同期が停止 — 新しいデバイスが GuardMDM に取り込まれなくなります
- ADE 登録が失敗 — 新しいデバイスが自動登録できなくなります
- デバイス情報が古くなる — ABM の変更が同期されなくなります
すでに登録済みのデバイスには影響ありません — リモートコマンドとプロファイルのプッシュは引き続き機能します。
推奨事項: 有効期限の 30 日前にトークンを更新してください。Apple Business Manager から新しいトークンをダウンロードし、GuardMDM にアップロードします。
トラブルシューティング
| 問題 | 考えられる原因 | 解決方法 |
|---|---|---|
| デバイスが GuardMDM に表示されない | トークンの期限切れ | ABM トークンを再生成して再アップロード |
| 同期が失敗する | ネットワークの問題 | ファイアウォールルールを確認して再試行 |
| デバイスが登録されない | ADE プロファイルが割り当てられていない | デバイスの OS にデフォルトプロファイルを割り当てる |
| 誤ったプロファイルが適用される | デフォルトプロファイルの設定ミス | 正しい OS のデフォルトプロファイルを更新 |
| デバイスが「未割り当て」のまま | 一致するデフォルトプロファイルがない | デフォルトの ADE プロファイルを作成して割り当てる |
次へ: デバイス登録方法
