- Device Enrollment Programとは
- DEPの利用開始
- その他
Device Enrollment Programとは
Appleが提供するiOSデバイスのセキュリティ管理を強化する無料サービス。
略してDEPと呼ばれる。ざっくり出来ることは次の2つ。
- 購入したデバイスとMDMを強制的に紐づけることができる
- より高度なポリシーをデバイスに適用することができる
注意
利用するためにはApple Business Manager(ABM)またはApple School Manager(ASM)への申し込みが必要。以降はABMを前提として記載します。
開設後に、販売店へDEPを利用する旨を伝えれば調達したiOSデバイスがABM上に反映されてくる。
基本的に購入後のDEP対応は不可。Apple Configuretor 2を使って頑張るしかないらしい。
メリット
ざっくりメリットは次の6つ
- MDMへの自動登録
- MDMへの強制登録
- MDMプロファイルの削除禁止
- 監視対象モードの有効化
- iOSデバイスの初期設定画面のスキップ
- MDM登録時のユーザー認証
DEPの利用開始
STEP1 「Apple Business Manager」の申し込み
販売店からではなく自身で申し込む必要がある。
既に「DEPお客様ID」を持っている場合は新規登録は不要。
新規申し込みする場合のABMの申請手順は以下のページがとても分かりやすい。
STEP2 「デバイス申し込み」と「DEP申し込み」
販売店への申し込み時にはDEPを利用する旨と合わせて「DEPお客様ID」が必要。
申し込みを受理すると、販売店がDEPにデバイスを登録してデバイス納品と完了通知(注文番号やシリアル番号一覧など)という流れになる。
納品されたデバイスはSTEP4が完了するまでは初期設定してはいけない
注意
DEPにデバイス登録されるまで1週間くらいかかるケースがあるのでギリギリだと試合終了。
STEP3 「MDMサーバー登録」と「デバイスにMDMサーバーを割り当てる」
MDMサーバー登録
- MDMからサーバー公開鍵をダウンロードする
- DEPにサーバー公開鍵をアップロードする
- DFPからDEPサーバートークンをダウンロードする
- MDMにDEPサーバートークンをアップロードする
デバイスにMDMサーバーを割り当てる
- DEPに完了通知に記載された注文番号を入力する
- DEPでデバイスにMDMサーバーを割り当てる(ABMの設定によっては自動割り当て可能)
- MDMでDEPサーバーとの同期を実施する(MDMの設定によっては自動同期可能)
- MDMでDEPサーバーから同期されたデバイスを確認する
STEP4 「ApplePush証明書登録」「DEPプロファイル作成」「デバイスにDEPプロファイルを割り当てる」
ApplePush証明書登録
- MDMからCSRをダウンロードする
- ApplePushPortalにCSRをアップロードする
- ApplePushPortalからApplePush証明書をダウンロードする
- MDMにApplePush証明書をアップロードする
DEPプロファイル作成
- MDMでDEPプロファイルを作成する
デバイスにDEPプロファイルを割り当てる
- MDMでデバイスにDEPプロパティを割り当てる
- MDMでDEPサーバーとの同期を実施する
- DEPにデバイスとDEPプロファイルの割り当て情報が反映される
STEP5 「MDMプロファイル作成」「デバイスにMDMプロファイルを割り当てる」
MDMプロファイル作成
- MDMでMDMプロパティを作成する
デバイスにMDMプロファイルを割り当てる
- MFMでデバイスにMDMプロファイルを割り当てる
STEP6 デバイスの初期設定検証
- デバイスの電源をいれて、初期設定開始
- DEPサーバーへ自動接続
- デバイスにDEPプロパティが自動ダウンロードされる
- MDMサーバーへ自動接続
- デバイスにMDMプロファイルが自動ダウンロードされる
- デバイスにポリシー反映
注意 デバイスがDEPサーバーに自動接続するタイミングは次の2つ
- 初回電源オン後の初期設定の時
- デバイス初期化後の初期設定の時
その他
DEPサーバートークンとApplePush証明書は毎年更新が必要。
特にApplePush証明書は期限が切れた場合や別のAppleIDで証明書登録した場合には
MDMで管理不能になり、iOSデバイスの初期化が必要になります。あきらめなくても試合終了です。