Apple Profile Managerで安価にiPadを遠隔管理

Appleの純正MDMがあるって知ってました？

MacOS Serverに含まれている「Profile Manager」を使うことで、誰でもMDMサーバーを自分で立てることができます。

https://gyazo.com/b2a449b884f5520d0a08ee74cb0f19b8

私たちも学校へお貸出しするiPadが増えてきたこともあり、MDM環境を見直していました。このProfile Managerが予想外にいい感じだったのでご紹介します！

MDMはなぜ必要か？

学校や会社など運用しているタブレットやモバイルPCが増えてくると、OSやアプリのアップデート、設定変更などを行うだけでも一苦労です。

Apple Configratorでも一括設定は行えますが、USBケーブルに物理的にさすのも大変。しかも安定して設定するには20台程度が限界なので台数が増えるとかなり時間がかかります。例えば100台なら、20台のUSB差し替え→設定、差し替え→設定…を５回繰り返す感じです。もし設定値が間違ってたら初めからやり直し。ゾットします。

MDMならネットワークさえつながっていれば、サーバーから設定を流し込めるので、かなり管理の手間が減ります。

……いや、手間が減るはずでした。現実にはMDMを使っていても、設定が反映されなかったり、謎のエラーがでてたり、なかなかうまくいかず結局１台１台設定することも多かったです。（Merakiの無料プランで使ってたのでそれが原因かもしれないですが…）

今回Profile Mangerを試したところ、Chromebookの管理コンソールばりに設定がきっちり反映されてる！できるじゃん！今までの苦労はなんだったんだー！時間返せー！w

Profile Mangerがお勧めなケース

iPadやiPhone、Macbook、AppleTVなどApple製品の管理だけで良い。

それなりにネットワークの知識がある（GUIからDNSの設定ができるぐらい）

MDMでそんなに重いことしない（一括設定、アプリ配信、紛失時のリモートワイプ程度）

ロイロでは貸し出し用iPadの管理ということもあり、この条件にばっちり合致してました。

Profile Managerの導入ハードル

Profile Managerの最大の問題点は、導入にハードルがあることです。

自分でサーバーを立てないといけないので、インターネットからアクセスできるMacが必要なんです。

すでに自分たちでWebサーバーなど運営されている場合にはどうにかできそうですが、セキリティ的を含めたサーバーの管理は大変なので、なかなか手が出しずらいところだと思います。

（今回検証してないですが、もしかしたら学内で使うiPadを管理するだけであれば、インターネットに公開せずLAN内にサーバーを立てる形でも使えるかもしれません。もちろんこの場合は学外に持ち出されるとリモートワイプも含め何もできなくなります。）

Macのホスティングサービスを利用する

そこで、この問題を解決するのがMacのクラウドホスティングサービスです。

データセンターのMac miniやMac Proを月額費用でレンタルできるサービスです。Web申し込みですぐに使い始められます。

Mac Stadium

https://www.macstadium.com/

xcloud

http://xcloud.me

さすがに日本の会社は見当たりませんでした。ラック型のMacとかあれば増えそうなんですがないですもんね。

Mac Stadiumの方が物理的なMac miniを占有できるのと比較的近いUSのデータセンターがあったので、今回はMac Stadiumの方を使うことにしました。

Mac Stadiumではバックアップがどれぐらいサービス側で取ってくれているのか名言されてなかったので、1TBのUSBハードディスクも付けてもらってTime Machineでバックアップが取られるように設定します。

数十台でうちの使い方なら大した負荷がかからないだろうとの予想で、最低スペックのMac mini $49 / m + 1TB HDD $10 / m で、合計 $59 / m の費用です。

データセンターで起動したMac miniにリモートから接続する

準備が整うとMac Stadiumから接続先の案内のメールが届きます。１時間もかかりませんでした。

リモート接続するPCはWindowsでも可能ですが、Macで操作した方がスムーズです。

safariから、vnc://～.～.～.～というURLを踏むとOS標準の画面共有アプリが起動して接続＆リモート操作できるようになります。

このMacには、すでにグローバルIPアドレスが降られているのでインターネットのどこからでもアクセスできる状態です。

セキリティ的には危険な状態なので、設定には細心の注意を払って余計なサービスを動かしたりしないように気を付けてください。

データセンター内のMac上で普段通り設定する

リモート接続後の操作は、使い慣れている普通のMac OSです。GUIで操作できます。デフォルトは表示言語が英語なので、必要に応じて変えて下さい。

Mac AppStoreからMas Serverアプリを購入します。2400円と安価です。

このMac Serverのアプリから、Profile Mangerはじめ、WebやMailやキャッシュなどの全てのサーバーサービスの設定を行うことができます。

ほとんどGUIからのウィザード形式で設定できるようになっているのでそれほど難しくないです。reachableというどんなサービスがいまインターネットからアクセスできるかチェックしてくれる機能も付いています。

使わない余計なサービスはなるべく止めておきましょう。

Profile Managerの設定に関して参考になるブログもありましたので参照ください。

http://www.episode02.com/entry/2016/08/25/195528

http://www.episode02.com/entry/2016/08/26/213000

Profile Managerへログイン

Profile Managerの管理内容に関しては、このServer.app内で行うのではなく、Webブラウザからサーバーへアクセスして行います。http://www.episode02.com/entry/2016/08/27/224046

ちなみに私はここのログインユーザーがわからなくてはまりました。

Userメニューから、”Local Network Directory”に新しくユーザーを追加して、そのユーザーでProfile Managerへログインできるようになりましたので参考にしてください。デフォルトでこの”Local Network Diretory”とProfile Managerのログインユーザーが紐づく仕組みのようです。

ここからはブラウザでの操作になりますので、Macの画面共有は切ってしまって大丈夫です。

Profile managerの使い方

Profile Managerの使い方は、Apple Configratorを踏襲しているため、Apple Configratorを使ったことのある方ならわかりやすいと思います。

DEPやMDM、VPPのデバイスライセンスなど新しい機能にもしっかり対応してます。

大まかな使い方としては、デバイスグループを作ってそこに同じ設定にしたいiPadを登録します。そのデバイスグループに、制限事項や配布したいアプリなどを設定するとiPadに反映される仕組みです。

iPad側の設定（DEPの場合）

今回弊社ではDEPで納品されたiPadを使いました。

DEPで納品された場合、AppleのDEP管理ページから、上記のProfile Managerのサーバーを登録しておくと、Profile Manager側にiPadが表示されます。

そのiPadをデバイスグループに登録すれば、iPadとMDMが関連付けされます。

iPad側の設定（DEPじゃない場合）

DEPじゃない場合には、初回のみApple ConfigratorからiPadへProfile ManagerのURLを流し込みます。

(2018/6追記）