この記事は、Supershipグループ Advent Calendar 2021の16日目の記事になります。
はじめに
会社等でユーザーに PC を貸与する際、多くの場合あらかじめ設定が必要となる。これを簡略化するために各プラットフォームは事前構成プログラムを持っており、 Apple は Automated Device Enrollment (ADE) というプログラムを用意している。
※ 少し前までは Device Enrollment Program (DEP) という名前で展開されており、今でも DEP で探したほうがドキュメントが多い。
※2 Apple は教育機関向けプログラムとして Apple Distinguished Educator を展開しており、こちらも ADE と略されるので混乱しないよう注意が必要。
ADE では下記のような機能が提供されている。
- MDM への自動登録
- アカウントや設定の事前構成
- 設定アシスタント(初期設定画面)のスキップ
macOS で ADE を利用するためには下記の要件を満たすことが必要となる。
- Apple Business Manager (ABM) にサインアップしている
- 対応した MDM を運用している
- 対応ディストリビューターから Mac を購入している
3 が一番難易度が高く、対応ディストリビューターから Mac を購入していない場合、 macOS で ADE を利用できない。例えば ADE を利用してキッティングを簡略化するために、途中から ADE に登録できる Mac の購入に切り替えても、それ以前の Mac を ADE に登録することはできない。
ざっくりとした仕組み
ADE に対応したディストリビューターと契約すると「Appleお客様番号」を取得することができる。 Apple から購入する場合には法人向け Apple Store を契約する必要がある。
この番号を ABM に登録すると機器情報が ABM に登録されるようになる。
ABM には複数の MDM サーバーを登録することができ、 ADE 情報をどの MDM で使用するかを選択できる。(OS ごとに自動で使用する MDM を指定することもできる。)
その後 MDM 側で機器に対応した ADE プロファイルを指定すると、 MDM が ABM に ADE プロファイルを登録する。
その後、ユーザーが Mac を起動し設定をスタートしたとき、 macOS が自動的に ADE プロファイルを読み、 MDM 登録などの初期設定が行われる。
(Mac は ABM に ADE プロファイルを取得に行くわけではないと思われるが、ここでは ABM に取りに行くように表現している。)
macOS が取得する ADE プロファイルは MDM のプロファイルとは異なるため、 ADE に用意された項目のみ設定が可能である。
まとめ
OSやデバイスに用意されている MDM プロファイルは機器ごとに分かれていても基本的な仕組みとしては共通であるのに対し、デバイス登録時のフローは機器・MDMベンダーごとに異なるため、仕組み自体は難しくなくても煩雑になりがちです。
しかし、うまく活用すればデバイス管理のコストがかなり簡略化されるので、きちんと理解し、うまく適用することでエラーが起きにくく効率的な仕組みを構築することができます。各社の公式ドキュメントも充実しており、読めば分かるようになっているので、みなさん頑張りましょう。。。
宣伝
Supershipグループではエンジニアを積極的に採用しており、情報セキュリティに関する採用も行っています。
ぜひ Supershipグループ採用サイト をご覧ください。