OTA 登録
OTA 登録とは
OTA(Over-The-Air)登録 を使用すると、物理的なプロビジョニングシステムや Apple Business Manager に接続しなくても、デバイスを GuardMDM に登録できます。ユーザーがデバイスで URL を開き、管理プロファイルをダウンロードしてインストールすると、デバイスが自動的に登録されます。
OTA 登録は以下の場合に主に使用されます:
- BYOD(Bring Your Own Device) — ABM に登録されていない個人デバイス
- リモートワーカー — 物理的にプロビジョニングできないデバイス
- レガシーデバイス — Apple Business Manager に登録されていないデバイス
- テストおよびステージング — 評価や開発のためのクイック登録
ADE 登録とは異なり、OTA 登録はデバイスを自動的に監視対象にしません。必要に応じて、監視は別途適用する必要があります。
登録トークンの生成
GuardMDM は JWT(JSON Web Token) ベースの登録トークンを使用します。各トークンは登録設定をエンコードし、設定可能な有効期限を持ちます。
トークンの作成
Enrollment > OTA > Tokens に移動し、トークン生成 をクリックします。
| フィールド | 説明 |
|---|---|
| 名前 | トークンのラベル(例:「Engineering BYOD」) |
| 有効期限 | トークンの有効期間(例:24時間、7日間、無期限) |
| グループ割り当て | 新しいデバイスが追加されるデバイスグループ |
| SCEP プロファイル | 証明書登録用の SCEP プロファイル(オプション) |
| 最大使用回数 | このトークンで登録できるデバイス数の上限(0 = 無制限) |
トークンの構造
JWT トークンには以下が含まれます:
{
"sub": "org_abc123",
"name": "Engineering BYOD",
"exp": 1719878400,
"group_id": "grp_456",
"scep_profile": "scep_def",
"max_uses": 100,
"jti": "unique-token-id"
}トークンは GuardMDM の秘密鍵で署名され、登録エンドポイントで検証されます。
簡単登録のための QR コード
各登録トークンは QR コード として表示でき、すばやくスキャンできます。これは対面でのオンボーディングや印刷物に最適です。
QR コードを生成するには:
- Enrollment > OTA > Tokens に移動します
- 目的のトークンの横にある QR アイコンをクリックします
- QR コード画像をダウンロードします(PNG または SVG)
QR コードには完全な登録 URL がエンコードされています。デバイスのカメラでスキャンすると、Safari で登録ページが開きます。
リモートユーザー向け登録 URL
各トークンは一意の登録 URL を生成します:
https://mdm.example.com/enroll?token=eyJhbGciOiJSUzI1NiIs...この URL は以下の方法で共有できます:
- リモートユーザーにメール送信
- 社内ポータルで共有
- 内部 Wiki に埋め込み
- メッセージングアプリ(Slack、Teams)で送信
登録ページはモバイル対応で、iOS、iPadOS、macOS で動作します。
登録フロー
OTA 登録プロセスは以下の手順で進みます:
ステップバイステップ
ユーザーがデバイスで登録 URL を開く(iOS/iPadOS では Safari、macOS では Safari または任意のブラウザ)
GuardMDM がトークンを検証する — 有効期限、最大使用回数、署名の有効性をチェック
プロファイルのダウンロード — ブラウザが
.mobileconfigプロファイルをダウンロード。これには以下が含まれます:- MDM サーバー URL
- アイデンティティ証明書(SCEP が設定されている場合)
- トラストアンカー(ルート CA 証明書)
- 登録チャレンジ(JWT トークン)
プロファイルのインストール — ユーザーは Settings > General > VPN & Device Management に移動してプロファイルをインストールするよう促されます。macOS ではシステム設定が自動的に開きます。
デバイス登録 — プロファイルインストール後、デバイスが GuardMDM に接続し、証明書を交換し、自身を登録します
ポリシーの適用 — GuardMDM が割り当てられたグループのポリシー、設定、アプリをデバイスに適用します
iOS/iPadOS でのユーザーエクスペリエンス
macOS でのユーザーエクスペリエンス
セットアップ中の SCEP 証明書登録
SCEP(Simple Certificate Enrollment Protocol) を使用すると、登録中にデバイスが一意のアイデンティティ証明書を要求できます。これは以下の目的で使用されます:
- デバイス ID — 各デバイスが認証用の一意の証明書を取得
- TLS 相互認証 — デバイスが証明書を使用して GuardMDM に認証
- デバイスごとのポリシー — 証明書にデバイス固有の属性をエンコード可能
OTA 用の SCEP 設定
- Enrollment > SCEP に移動し、SCEP プロファイルを作成します
- SCEP サーバー URL、CA フィンガープリント、チャレンジタイプを設定します
- SCEP プロファイルを登録トークンに割り当てます
SCEP が設定されている場合、登録フローに追加のステップが加わります:
SCEP チャレンジのタイプ:
| タイプ | 説明 |
|---|---|
| 静的 | プロファイルに埋め込まれた事前共有パスワード |
| 動的 | 登録ごとに生成されるワンタイムチャレンジ |
| トークンベース | JWT トークン自体がチャレンジとして機能 |
登録の確認
登録後、デバイスが適切に管理されていることを確認します。
GuardMDM での確認
- Devices に移動し、新しく登録されたデバイスを見つけます
- デバイスステータスが Managed または Enrolled と表示されていることを確認します
- 割り当てられたグループ、ポリシー、設定が適用されていることを確認します
- Enrollment Log でエラーや警告がないか確認します
デバイスでの確認
iOS/iPadOS:
- Settings > General > VPN & Device Management に移動します
- GuardMDM プロファイルが緑色のチェックマークとともに表示されるはずです
- プロファイルをタップして、インストールされた構成や制限を表示します
macOS:
- System Settings > Privacy & Security > Profiles に移動します
- GuardMDM 管理プロファイルが Verified として表示されるはずです
よくある問題
| 問題 | 原因 | 解決方法 |
|---|---|---|
| プロファイルがインストールできない | トークンの有効期限切れ | 新しいトークンを生成する |
| 「無効なプロファイル」警告 | トークンの署名が無効 | トークンを再生成する |
| デバイスが登録されたが「管理対象外」と表示される | SCEP 証明書が発行されていない | SCEP サーバーの接続を確認する |
| 「デバイスを設定中」で登録が停止する | ネットワーク接続の問題 | デバイスが GuardMDM に到達できることを確認する |
| プロファイルが信頼されていない | ルート CA がインストールされていない | 最初にルート CA プロファイルをインストールする |
