BYODで「働き方改革」の実現を考えてみた(MobileIron編)

働き方改革

BYODを実現するためのEMM製品のPoCシリーズは、今回で3本目となりました。

今回は、MobileIron社のMobileIronのPoCレポートになります。

MobileIronの特徴

MobileIronは、jamf PROとは違い、多くのデバイスに対応したEMM製品です。

具体的に対応できるデバイスとしては、Mac、WindowsPC(windows10)、iOS、Androidとかなり幅広く対応できる製品になります。

現在では、VMware WorkspaceONE(旧Airwatch)や、IBMのMaaS360、Microsoft Intuneと並んで実績の多いEMM製品と言っていいと思います。

また、最近はセキュリティ機能の強化も行われており、SaaSを安全に使用できるような様々な認証方法が提供されていて、ZERO-TRUSTをキーワードに 最適な認証方式で、ユーザへの負荷を増やさずに色々なクラウドサービスへのアクセスを簡単に実現できる製品となっているようです。

MobileIron公式サイト

トライアルの開始準備

トライアルの開始は、MobileIronのホームページから申し込むことも可能ですが、今回は国内の代理店に直接おい願いして トライアル環境の手配をお願いしました。

トライアルは、製品比較のために過去に実施した2つのEMM製品と全く同じシナリオで実施します。

実施するシナリオ

  • 管理者アカウントの作成
  • クライアント設定用プロファイルの作成
  • クライアントにプロファイルをインストール
  • クライアントの制限を設定
    • コントロールパネルの使用不可設定
      • 省エネルギー
      • Bluetooth
    • Dockの設定変更
      • サイス変更
      • 表示位置変更
    • クライアントのロック
    • クライアントに設定したプロファイルの削除

では、さっそくトライアルを始めましょう。

トライアル開始

トライアル用のMobileIronサーバにアクセスします。(トライアル開始のメールに記載)

ログイン用の管理者アカウントと初期パスワードも送られてきますので、それに従って、初期設定ウィザードを実施します。

ウィザードが終了すると、ダッシュボード画面が表示されます。

最初は何も表示されていません。(丸が三つ表示されてますが、初めは全て100%か0%なので気にしないでください)

注:下記の画像は、いくつか設定を行なった後の画像になりますので、初期の画像とは異なります。

次に、クライアントに配布するプロファイルに設定するAPNsの証明書を作成します。

「管理」タブをクリックし、左メニューの「iOS」カテゴリの「MDM証明書」をクリックします。

  • 3つの機能が表示されますので、左の「ファイルをダウンロード」ボタンを押します。
  • ApplePushInfo.txtというファイルがダウンロードされます。
  • 次に、真ん中の「Certificateを取得」をクリックします。
  • 「Apple Push Certificates Portalへアップロード」画面が表示されますので、現在の画面はそのままにして『Apple Push Certificates Portalを開く』をクリックしてAppleのサイトを開きます。
  • Apple Push Certificates Portal画面の指示に従って、MDM証明書をダウンロードします。
  • MobileIronの画面に戻り、一番右のアップロード欄にある「アップロード」ボタンをクリックします。
  • 先ほどダウンロードしたMDM証明書を選択してアップロードします。

この状態で、クライアントからエンロール用のURLにアクセスします。 アクセスすると、MobileIronにログインするための画面が出ますので、あらかじめ作成しておいたユーザでログインします。

ログインが正常に行われると、プロファイルのダウンロードが行われます。 ダウンロードしたプロファイルをダブルクリックして、インストールします。

これで、Apple Push Notification service(APNs)を使用して、クライアントに指示を送る環境ができました。

Apple Push Notification serviceとは

APNsと一般的には、略して表現されることが多いですが、これはどのようなことが実現できる機能なのか、簡単に説明します。

通常、クライア ントのMacにはアプリケーションを通じたメッセージ(例えばHTTPベースなど)は送ることが可能ですが、本体の機能に 関して変更をかけたり、制限するような特殊なメッセージを送ることはできません。

例えば、OSアップデートのメッセージ等はこのAPNsを使用していますが、MDMを実現する上でもこれと同じレベルでクライアントのMacに制御メッセージを送る必要があります。

そのために、MDMサーバから直接送るのではなく、Appleが提供しているこのAPNsを経由してクライアントMacにメッセージを送る必要があります。

MobileIronサーバに接続する環境ができましたが、実際にデバイスが登録されたか確認してみましょう。

デバイスタブをクリックすると、クライアントのMacが表示されています。

名前をクリックすると、より詳細なMacの情報が取得できていることがわかります。

この時点で、上部のアイコンからデバイスのロックや消去が可能な状態になります。

クライアントの制限の設定

クライアントMacの各種制限(以下ペイロードと呼びます)を実施するために、Apple製のソフトウェアである「macOS Server」(有償)を使用してプロファイルを作成します。

※以前は、Apple・デベロッパー・プログラム(ADP)に登録済みの場合は、無料で使用できたようですが、2019/8月現在はベータ版のみが利用可能となっており、かつ、ベータ版の動作OSがMacOS 10.15以降となっておりOSも正式リリース前のバージョンとなっていますので、購入してご利用されることをお勧めします。

macOS Serverを、Appleストアより、ダウンロードしてインストールします。

macOS Server

では、プロファイルを作成していきます。

  • プロファイルマネージャの準備
    • サービス欄のプロファイルマネージャを起動して、サービスをOnにします。
    • 一番下にあるプロファイルマネージャ横の「Safariで開く」ボタンをクリックします。
    • Safariが開き、プロファイルマネージャのログイン画面が表示されるので、ログインします。(ユーザーはmacOS Server管理コンソール内で管理可能)
  • プロファイルマネージャでプロファイルの設定を作成

    • プロファイルマネージャの画面にて、「デバイスグループ」をクリックします。
    • 「設定」タブから、「新規デバイスグループの設定」欄にある「編集」ボタンをクリックします。
    • 「一般」セクションにある「プロファイルの配布タイプ」を「手動ダウンロード」に変更します。
    • 制限を行いたいセクションをクリックし、「構成」をクリック。下記の設定を行い、「OK」をクリックします。
      • 今回は、「システム環境設定の項目を制限」で、「省エネルギー」と「Bluetooth」を無効にします。
      • 「Dock」の表示設定で、サイズ、拡大、位置を変更設定します。
    • 「設定」タブの画面に戻るため、「保存」をクリックします。

  • 設定ファイル(構成プロファイル)をダウンロード

    • 「保存」ボタンをクリックした後、数秒後に「ダウンロード」ボタンがクリックできるようになるので、クリックします。
    • 「macOS」をクリック。→構成プロファイルがダウンロードされます。

      ※ここで、システム環境設定のプロファイルインストール画面が表示されますが、キャンセルをクリックして進めます。

  • MobileIronに構成プロファイルを取り込む

    • MobileIronにサインインし、「構成」→「+追加」→「カスタム」をクリックします。

    • プロファイル名を設定し、macOSを選択→ダウンロードした構成プロファイルをローカルドライブから選択してアップロード→「次へ→」をクリックします。

      設定した制限はデバイスグループやユーザグループ、または特定のデバイス、特定のユーザを選択して即時に反映させることもできますが、通常は一定間隔でMDMサーバと通信するタイミングで、各種設定が反映されるようになっています。

デバイスのロック

では、次にデバイスをロックしてみましょう。

デバイスタブの一覧表示から、対象のデバイスの左□をクリックし、上部のアクションボタンからプルダウンで機能一覧を表示して、ロックを選択します。

6桁のPINコード設定画面が表示されますので、忘れないような数値を設定して、完了ボタンを押します。

数秒後に、クライアントMacが強制的に再起動となります。

再起動後は、PINコード入力画面が表示されPINコードを入力しない限り起動できなくなります。

ロック時に設定したPINコードを入力すると、通常通りの画面で起動できます。

もし、デバイスを紛失した際には、わかった時点で管理者がロックを実施して、見つかった場合は正規の使用者にPINコードを伝えることで漏洩も防ぐことができ、 かつ、他の使用者によって内部データを見られるリスクも無くなります。

また、デバイスが見つからない、または戻ってくる可能性が低い場合は、消去コマンドを実施することで、次回起動時に強制的に初期化が実施されます。

ここまでのユーザインターフェイスは、ローカライズもしっかりしており非常にわかりやすいインターフェイスになっていますので、あまり迷わずに設定できるのではないでしょうか。

さらに、各画面には、簡単な機能説明が表示されており、マニュアルを見て調査する必要性はかなり少なくなっています。

まとめ

MobileIronのトライアルは、実際には本番環境にかなり近い環境となっており、実際のABM(Apple Business Manager)や、APNsとの証明書交換による設定も行なうことで 導入決定時には、そのまま本番環境に移行できるレベルのものになっています。

また、ドキュメントを含め、MobileIronサーバの操作画面は細かい部分もローカライズがしっかりしており、日本市場をかなり意識したサービスになっていると感じました。

なお、クライアントの制限を行うプロファイル作成については、別途有償ソフトウェアを購入する必要がありますが、これはこれで、OSに依存する各種設定をApple純正ツールに任せることで 製品の安定性にも寄与しているのではないかと思います。

MobileIronは、MDM、EMM、UEMと進化を続けており、専用メーカの製品としては非常によくできている製品だと感じました。

今回は、Macのみのトライアルを実施しましたが、時間があればWindowsPCについてもトライアルを実施して見たいと思います。

関連リンク

BYODで「働き方改革」の実現を考えてみた(jamf PRO編)

BYODで「働き方改革」の実現を考えてみた(VMware Workspace ONE編)

BYODで「働き方改革」の実現を考えてみた