iPhoneを企業導入することになってMDMとか運用管理とかやってみた
前提
- ユーザー企業の情シス
- 社員、店にiPhoneを配布することになった
- 社員配布数:100端末以上
- 店配布数:数百
- 検証のため、一部先行して導入
- iPhoneは、キャリアから調達(Docomo)
- キャリアのMDMサービスを使用(あんしんマネージャー)
全社展開に向けて、運用管理を考えなきゃ。
検証当初に困ったこと
- キャリア提供のMDMは機能不足な気が
そもそも、キャリアの提供するMDM機能ってイケてるのか?
色々調べた結果
キャリアの提供するMDMはイケてる
- あんしんマネージャーはVMWare社のAirWatchという製品を提供
- そもそもAppleが操作を許可してないことはMDMからも操作できない(iOSのアップデートは無効化できない)
- サポートは時間がかかるが丁寧で確実ではある
- アプリインストールの自動化はAppleが提供する企業向けプログラムとMDMを組み合わせれば実現可能
Appleが提供する企業向けプログラム
- Device Enrollment Program(DEP) ※AirWatch対応
- 端末の初期設定(キッティング)の自動化
- アプリ配布のサイレント・インストール、 iOSの更新。
- Volume Purchase Program(VPP) ※AirWatch対応
- 企業向けAppStore
- アプリライセンスの一括管理
- AppleIDをユーザーが意識せずにインストール可能
- Apple Developer Enterprise Program
- AppStore(VPP含む)通さずにアプリ配布が可能(自社サーバ経由)
- 開発ツールの提供やAppleのサポートがある
- 大企業でAppを内製してる企業向けなので不要
- AppleCare for Enterprise
- 企業向け端末保証。キャリアの保証があるので不要
Device Enrollment Program(DEP)
- 初期設定の自動化
- iPhoneを箱から出して、最初にやる設定作業を自動化できる。
- これがないとUSBでPCにつなげて設定する必要がある
- Apple Storeやキャリアから購入すると、端末にDEPの設定をした状態で出荷が可能
- 端末側でのプロファイルの削除の無効化が可能
- iPhoneを箱から出して、最初にやる設定作業を自動化できる。
- アプリの配布
- アプリのサイレントインストールが可能になる
- iOSの更新もできる
Docomoから購入する場合は、ある程度設定済みで納品されるので、効果は薄い(ZEROではない)
Volume Purchase Program(VPP)
- 企業向けAppStore
- 組織に対してライセンス数を購入する(有料無料問わず)
- 購入したライセンスを端末に摘要する
- 法人のクレジットカードが必要
- AppleIDをユーザーが意識せずにインストール可能
- インストール時にAppleIDのパスワードが入力不要 → ITリテラシーが低いとパスワード入力は意外とつまづく
- なぜか、パスワード2回入力が必要
- 電波の関係か、ちゃんとパスワード2回入力しても、インストールできないことも
- うちの会社では、初めてのアプリ配信では、20%しかアプリのインストールに成功せず
- プッシュ配信でのインストールだったので、失敗すると再度プッシュしてあげる必要がある(成功するまでプッシュを繰り返す毎日)
まとめ
- キャリアのMDMだけでも、運用管理は可能
- たまにちゃんと動かないこともある
- プロファイルでアプリ削除を無効にしたはずなのに、削除できちゃった
- 手動削除したら、アプリをプッシュできなくなっちゃった
iOSも結構な勢いでバージョンアップするので、MDM側もそれに追いつくのが大変。細かい不具合は許容するしかない。
まだ、うちも検証中だけど、スモールスタートして運用手順を確立してから全社に拡大していった方が良い。
なお、BYODで行う場合は、システム部門は下手にデバイス管理すると、結構死ねる気がする。使う側も個人端末に監視エージェントとか入れられるの嫌だろうし。そこは、端末を管理せずに、N/Wとアプリ側でうまいこと制限した方が得策な気が。