情シスは何度でも甦るさ。

OracleDB/Ruby好きの情シス部員がお送りします

iPhoneを企業導入することになってMDMとか運用管理とかやってみた

前提

  • ユーザー企業の情シス
  • 社員、店にiPhoneを配布することになった
    • 社員配布数:100端末以上
    • 店配布数:数百
  • 検証のため、一部先行して導入
  • iPhoneは、キャリアから調達(Docomo
  • キャリアのMDMサービスを使用(あんしんマネージャー)  
     

全社展開に向けて、運用管理を考えなきゃ。

検証当初に困ったこと

  • キャリア提供のMDMは機能不足な気が
    • iOSのユーザーによるアップデートを無効にできない
    • サポートへの問い合わせに時間がかかる。手段がTELしかなくて、ログの文言をいちいち口頭で伝えるのが面倒
    • アプリ配信時にユーザーにApple IDのパスワードを入力させなければならない 
       
       

そもそも、キャリアの提供するMDM機能ってイケてるのか?

色々調べた結果

キャリアの提供するMDMはイケてる

  • あんしんマネージャーはVMWare社のAirWatchという製品を提供
    • この製品によりVMWareは、ガートナーにリーダーと評価されてる
    • Softbankでも提供している模様。auは多分違う
  • そもそもAppleが操作を許可してないことはMDMからも操作できない(iOSのアップデートは無効化できない)
  • サポートは時間がかかるが丁寧で確実ではある
  • アプリインストールの自動化はAppleが提供する企業向けプログラムMDMを組み合わせれば実現可能

f:id:ryoben:20171113115150p:plain:w480
エンタープライズ モビリティ管理のガートナー マジック クアドラント(2017)

Appleが提供する企業向けプログラム

  • Device Enrollment Program(DEP) ※AirWatch対応
    • 端末の初期設定(キッティング)の自動化
    • アプリ配布のサイレント・インストール、 iOSの更新。
  • Volume Purchase Program(VPP) ※AirWatch対応
    • 企業向けAppStore
    • アプリライセンスの一括管理
    • AppleIDをユーザーが意識せずにインストール可能
  • Apple Developer Enterprise Program
    • AppStore(VPP含む)通さずにアプリ配布が可能(自社サーバ経由)
    • 開発ツールの提供やAppleのサポートがある
    • 大企業でAppを内製してる企業向けなので不要
  • AppleCare for Enterprise
    • 企業向け端末保証。キャリアの保証があるので不要

ビジネス - プログラム - Apple(日本)

Device Enrollment Program(DEP)

  • 初期設定の自動化
    • iPhoneを箱から出して、最初にやる設定作業を自動化できる。
      • これがないとUSBでPCにつなげて設定する必要がある
      • Apple Storeやキャリアから購入すると、端末にDEPの設定をした状態で出荷が可能
    • 端末側でのプロファイルの削除の無効化が可能
  • アプリの配布
    • アプリのサイレントインストールが可能になる
    • iOSの更新もできる  
       

Docomoから購入する場合は、ある程度設定済みで納品されるので、効果は薄い(ZEROではない)

参考: mdm-richard.blogspot.jp

Volume Purchase Program(VPP)

  • 企業向けAppStore
    • 組織に対してライセンス数を購入する(有料無料問わず)
    • 購入したライセンスを端末に摘要する
    • 法人のクレジットカードが必要
  • AppleIDをユーザーが意識せずにインストール可能
    • インストール時にAppleIDのパスワードが入力不要 → ITリテラシーが低いとパスワード入力は意外とつまづく
    • なぜか、パスワード2回入力が必要
    • うちの会社では、初めてのアプリ配信では、20%しかアプリのインストールに成功せず
    • プッシュ配信でのインストールだったので、失敗すると再度プッシュしてあげる必要がある(成功するまでプッシュを繰り返す毎日)

まとめ

  • キャリアのMDMだけでも、運用管理は可能
    • ITリテラシーが低い場合は、VPPは有効化した方がよさげ
      • ただ、Apple側への申請が結構大変
        • DUNS番号の登録でかなり時間が取られる。
  • たまにちゃんと動かないこともある
    • プロファイルでアプリ削除を無効にしたはずなのに、削除できちゃった
    • 手動削除したら、アプリをプッシュできなくなっちゃった  
       

iOSも結構な勢いでバージョンアップするので、MDM側もそれに追いつくのが大変。細かい不具合は許容するしかない。
まだ、うちも検証中だけど、スモールスタートして運用手順を確立してから全社に拡大していった方が良い。

なお、BYODで行う場合は、システム部門は下手にデバイス管理すると、結構死ねる気がする。使う側も個人端末に監視エージェントとか入れられるの嫌だろうし。そこは、端末を管理せずに、N/Wとアプリ側でうまいこと制限した方が得策な気が。