Skip to content

用語集

コア MDM 概念

MDM(モバイルデバイス管理) 管理者がモバイルデバイス(iOS、macOS、Android、Windows)を無線でリモート管理、セキュリティ保護、ポリシー適用を行うためのソリューション。

APNs(Apple Push Notification service) Apple デバイスにプッシュ通知を配信する Apple のサービス。MDM サーバーは APNs を使用してデバイスを起動し、新しいコマンドを確認するよう通知する。

ABM / DEP(Apple Business Manager / Device Enrollment Program) 組織向けの Apple のデバイスポータル。ABM は初回セットアップ時にデバイスを自動的に MDM サーバーにリンクし、手動登録を不要にする。DEP は現在 ABM の一部となっている基盤となる登録フロー。

VPP(Volume Purchase Program) アプリを一括購入し、デバイスまたはユーザーにサイレント割り当てる Apple のプログラム。現在は ABM に Apps and Books として統合されている。

SCEP(Simple Certificate Enrollment Protocol) 証明書発行を自動化するためのプロトコル。MDM は SCEP を使用して、ネットワーク認証(Wi-Fi、VPN、メール)用の ID 証明書をデバイスにプッシュする。

OTA(Over-the-Air) 物理ケーブルを使わずに無線で配信される設定やソフトウェアの更新。MDM は OTA 管理システムである。

ADE(Automated Device Enrollment) DEP 登録の現代的な名称。ABM を通じて購入したデバイスが、ユーザーが初回起動時に自動的に MDM に登録されるゼロタッチフロー。

GuardMDM データモデル

Blueprint(ブループリント) 構成プロファイル、アプリ、制限、設定をバンドルした再利用可能なポリシーテンプレート。ブループリントに割り当てられたデバイスは、そのすべての設定を継承する。

Device Group(デバイスグループ) 共通の属性(例:部門、OS バージョン、場所)でグループ化されたデバイスの集合。ポリシーやコマンドは個別デバイスではなくグループを対象にできる。

Enrollment(登録) デバイスを MDM サーバーに登録するプロセス。登録中にデバイスは ID 証明書、プッシュトピック、初期構成を受け取る。

デバイスセキュリティ状態

Supervised(監視下) Apple デバイス向けの高権限管理モード。監視下モードでは、非監視下デバイスでは利用できない制限や設定(アプリインストールのブロック、常時接続 VPN、Lost Mode など)が有効になる。ADE 登録デバイスに必須。

Lost Mode(ロストモード) 監視下デバイス専用の状態で、デバイスをカスタムロック画面メッセージと連絡先番号でロックする。デバイスは定期的に位置情報を報告する。

Activation Lock(アクティベーションロック) デバイスを所有者の Apple ID に紐付ける Find My 機能。有効化されると、元の Apple ID なしではデバイスの消去や再アクティベーションができない。MDM は監視下の会社所有デバイスでアクティベーションロックをバイパスできる。

macOS セキュリティ

FileVault XTS-AES-128 を使用する macOS のフルディスク暗号化。有効化されると、起動ボリューム全体が暗号化される。MDM は FileVault を強制し、回復キーをエスクローできる。

SIP(System Integrity Protection) ルート権限でも保護されたシステムパスへの書き込みアクセスを制限する macOS セキュリティ機能。MDM は SIP を無効化できず、MDM 外(リカバリモード)で管理する必要がある。

認証とトークン

JWT(JSON Web Token) API 認証に使用されるコンパクトな署名付きトークン形式。GuardMDM はサーバー間通信および ABM 認証に JWT を使用する。

CSR(Certificate Signing Request) 署名付き ID 証明書を要求するために認証局に送信されるデータブロック。MDM は SCEP 登録時に CSR を生成してデバイス証明書を取得する。

アーキテクチャ

Tenant(テナント) 独自のデバイス、ユーザー、ブループリント、設定を持つ独立した GuardMDM インスタンス。各テナントは同一サーバー上の他のテナントからは見えない。

Multi-Tenancy(マルチテナンシー) 単一の GuardMDM インスタンスが、それぞれ完全なデータ分離を持つ複数の独立した組織(テナント)にサービスを提供できる機能。

ファイル形式

plist(Property List) 構成ファイル、設定、構成プロファイルに使用される Apple の構造化データ形式(XML またはバイナリ)。Apple MDM ペイロードのネイティブ形式。

Configuration Profile(構成プロファイル) 1 つ以上のペイロード(Wi-Fi、VPN、制限、証明書)を含む XML plist(.mobileconfig)。デバイスはプロファイルをインストールして設定を適用する。Apple MDM におけるポリシー配信の基本単位。

MIT ライセンスの下で公開