Apple Profile Manager (MDM) 運用20カ月後の後日談 2019/10
最近は、貸し出し用やデモ用のiPadも増えてきて運用している合計が2200台になってます。
こんな感じの運用に落ち着いています。
DEPは必須。iPadの初期設定画面でMDMへ登録。
貸出先でやってもらってます。返却時にはリセット。
Apple IDは利用しない。パスコード掛けない(営業・貸出機なので)。アプリはMDM配信のみ。
設定入ってないとかアプリが来ないとかあったらリセット&再登録してもらう。
もう、なんかあったらリセット。
いいところ
設定反映の安定度は高い。
反映されない場合は、現地でiPadをリセットした方が結果的には速い。
純正だけあって、新機能はすぐ追従する
MDMサービスよりコストはやすい。
ただし、貸出機みたいな同じ設定のものが多かったり、頻繁にワイプしても問題ないようなユースケース限定かも。
MacStaduimでハイスペックなMac mini借りてるのが$300/m。
専門的な経験と知識は必要になる。
DEPは必須。最悪利用者側でリセットしてもらえば元に戻るので手離れが段違い。
LTE版ならドコモショップなどでDEP登録が可能
WiFi版だとAppleの法人窓口ならDEPで買える。
ACで普通のWiFi版も登録もできるが、ケーブルを繋ぐ&処理時間がかかって結構大変。
購入時からDEPがマスト
リセット禁止の制限は絶対NG。APNS証明書の期限切れるとMDMからの制御もできないし、手動でリセットも出来なくなる。
証明書は1年で切れる。届くまで時間がかかる可能性があるので3~6カ月で更新して上げないとだめ。
この場合でもApple Configuratorでリセットできるが、物理的にケーブルささないといけないのでとても手がかかる。
いけてないところ
2019/2にProfileManagerの内部PostgrelSQLのDBに不整合が起きて再起不能に。新しいMacで再セットアップを行った。
TimeMachineでバックアップをとっていたが、バックアップから復元だとDB不整合が健在化してサーバーが起動せず。
DBダンプからリストを作って、手動で再登録&再エンロールという地獄の作業で復旧。
同じ不具合が起きるのに備えて、DBのダンプを定期的に行いそのファイルをTimeMachineでバックアップさせる形に変更した。でも最悪また登録し直し必要かも。
端末管理のUIがだめだめ。リストのソートすらできないし端末ごとの情報も限られているので状況がよくわからない。
位置情報などは紛失モードにしないと出てこない。
iPadの名前を振るのが無理なので、あきらめてシリアル番号で管理のほうが幸せになれる。
デバイスグループを作るUIが使いづらい。
AグループからBグループに移すとか、1台故障したから入れ替えるとかが激しく面倒。
超が付くほど管理Webの動作が重い。たまにリロードしたり、サーバー機のスペックアップである程度は解消した。
Mac Serverが、EUALの更新とかでVPPの接続が切れてたりSSLの証明書が自動でうまく更新されてなかったり。
そのたびにリモートデスクトップでつなげるのがめんどくさい。
2~3ヶ月に1度はメンテでRDPの接続が必要。
Mac Serverの機能がProfile Managerだけになってしまって、いつまでサポートしてくれるのか若干不安
アップデートはされているので大丈夫だとは思うが…。
むしろAppleがクラウドサービス化してほしい。
APNSのプッシュ証明書を更新しわすれると再エンロールするまで何もできなくなる。証明書の期限は1年間。届かない可能性も考えて3ヶ月に1回ぐらい更新しておくと安心だけど要RDPでの接続。
当然ながらApple製品しか対応してない。
いろいろ対応しているMSのintuneとかイミフなのでそれはそれであり。
https://gyazo.com/abe87344fd8aca3cc7773f8ad399a4cb
でもProfile Managerがないこと考えたら、とても管理できないので助かってます!