Apple Business Manager/Apple School Managerは、企業や教育現場などの組織でさまざまなApple社のデバイスなどの管理が可能となるWebサービスです。 今回はこのApple Business Manager/Apple School Managerの設定方法や使い方、プラクティスなどを解説していきます。

あくまで2019年12月時点の情報であるため、時が経つと画面や仕様が変更になっている場合があります。

この記事はcorp-engr 情シスSlack(コーポレートエンジニア x 情シス) Advent Calendar 2019の12月16日の記事でもあります。

Apple Business Manager/Apple School Managerとは

Apple Business Manager/Apple School ManagerはIT管理者のためのWebサービスです。 Apple社のデバイスはもちろんManaged Apple IDの管理が可能です。

Apple Business Manager(以下「ABM」という)は企業向け、Apple School Manager(以下「ASM」という)は教育機関向けという違いであり、中身はほぼ同一の機能を有しています。

これらはすべて無料で使用できます。 Apple社のWebサービスや製品を組織で導入する場合は、使用の有無にかかわらず登録および設定をしておくことをお勧めします。

ABM/ASMの申請

ABM/ASMを使用するためには以下の手順に沿って申請します。手順は以下のとおりです。

  1. 作業1:D-U-N-S番号の発行
  2. 作業2:組織の登録と審査
  3. 作業3:Managed Apple IDの登録
  4. オプション:Managed Apple IDのFederated Authenticationの設定

以下ABMを前提として話を進めていきます。

作業1:D-U-N-S番号の発行

Data Universal Numbering System、通称D-U-N-Sは、ダン&ブラッドストリート社が管理している、企業コードの付与管理システム、並びに同システムによって各企業に付与された企業コードの名称です。

ABM/ASMの登録にはこの番号が事前に必要となります。

D-U-N-S番号の発行方法その1

D-U-N-S® Number - Support - Apple Developerから申請リクエストを投げることができます。

  1. D-U-N-S Number look up toolを使用して英語表記の法人名でリクエストを投げる
  2. リクエストを投げると、D-U-N-S Number Request/Update Confirmation のようなメールが飛んでくるので先方から連絡が来るまで待つ
  3. Please provide your business registration and we will send it to our investigations team to verify your information. みたいに言われるので、登記簿謄本など会社情報が記載されている公的書類を添付して送り返す
    • 日本語のものでかまいません
  4. D-U-N-S Number Request/Update Completed のようなメールが来るので、内容にD-U-N-S Numberが記載されていれば完了

D-U-N-S番号の発行方法その2

東京商工リサーチ社がD-U-N-S® Number申請サービスにて有償でD-U-N-S番号の発行の代行しています。

作業2:組織の登録と審査

所属する組織の登録ページから登録が可能です。

まずは以下の組織の情報を入力します。

  • D-U-N-S番号を発行した際に使用した英語表記の法人名
  • D-U-N-S番号
  • +81を付与した法人の代表電話番号
  • 法人のWebサイト

組織の情報

また、詳細には、会社の代表者名を入力しておくのが無難です。 確認用連絡先には、Apple社と契約を実施する担当者の連絡先を入力してください。

詳細と確認用連絡先

登録情報の確認画面にて入力した情報に問題がなければ「送信」ボタンをクリックすることで審査が始まります。 審査には最大5営業日かかるので、余裕を持って申請してください。

審査の過程で、登録した代表電話宛にApple社の担当者から発信番号が米国の電話による確認があるため、必ず出れるようにしておきましょう。 米国からの電話ではありますが、日本語の応対でかまいません。

電話では、

  • 代表者宛に登録した役職で本人が実在するかどうかを本人と確認
  • ABMの担当者が実在するかどうか本人と確認
  • 登録電話番号とWebサイトに間違いはないかの確認
  • ABMの使用目的の確認
    • デバイス管理が目的であることを使えればよい

上記の確認が行われます。 特に、急に代表者に取り次いでしまうと状況が把握できない可能性があるため、事前に代表者にABMの使用に関する確認の電話が来ることを伝えておくとよいでしょう。

電話での確認が終わると、確認用連絡先のメールアドレス宛に登録が承認された旨のメールが届きます。 「管理担当者さんをクリック」というリンクを踏むとすべての審査が完了します。

作業3:Managed Apple IDの登録

ABMの審査が完了すると、ABMにログインなどに使用するManaged Apple IDの作成の画面に遷移します。 画面に表示される手順通りに進めて行けばよいです。 ここで作成するApple IDは削除できない特権アカウントなどになるわけではないため、共通アカウントとしてではなく作業者自身の個人の情報を入力すればよいです。

Managed Apple IDには電話番号による2ステップ認証が必須であるため、SMSが受信可能な電話番号を用意しておく必要があります。

Managed Apple IDについては組織におけるApple IDの運用をご覧ください。

オプション:Managed Apple IDのFederated Authenticationの設定

Managed Apple IDは個別に作成できますが、Microsoft Azure Active Directory(以下「Azure AD」という)を使用している場合、Azure ADのユーザー名とパスワードをManaged Apple IDとして利用できます。 そのほかIdPも今後サポートされる可能性はありますが、2019年12月現在はAzure ADのみがサポートされています。

使用できる条件として、Azure ADのUserPrincipalNameとメールアドレス(およびドメイン)が一致している必要があります。

  1. サイドバーの下部の「設定」を選択して、「アカウント」項目を開く
  2. Federated Authenticationの「編集」を選択して、「ドメインを追加…」をクリック
  3. Azure ADのドメイン名を入力
  4. Azure ADのグローバル管理者、アプリケーション管理者、またはクラウドアプリケーション管理者のアカウントを入力しログイン

Federated Authenticationの設定 ドメインの追加 Federated Authentication設定状態

Federated Authenticationを設定すると、設定したドメイン名を使用したApple IDがすでに存在する場合、対象のメールアドレス宛に変更の旨の通知ができます。 すでに存在するApple IDが削除されるわけではなく、ランダムなドメイン名のメールアドレスとしてApple IDが切り替わるという挙動をするため、メールアドレスだけを回収できる機能であると考えてもらうと良いです。 既存のApple IDの情報が引き継がれるわけではないのでご注意ください。

また、この通知を有効にするとキャンセルができない挙動のようですので、合わせてご注意ください。

詳しくはApple Business ManagerのFederated Authenticationについて - Apple サポートのドキュメントをご覧ください。

デバイス管理の設定

ABMは自動デバイス登録(旧称、Device Enrollment ProgramまたはDEP)の設定ができます。手順は以下のとおりです。

  1. 作業1:MDMサーバの設定
  2. 作業2:お客様番号の設定
  3. オプション:デフォルトのデバイスの割り当て

作業1:MDMサーバの設定

自動デバイス登録の対象の端末をどのMDMサーバで使用するかを設定することになりますが、そのためにはMDMサーバを事前に登録しておく必要があります。

事前に、登録するMDMサーバから自動デバイス登録のためのパブリックキーをダウンロードしておきます。

  1. サイドバーの下部の「設定」を選択して、「デバイス管理の設定」項目を開く
  2. 「MDMサーバの追加」をクリック
  3. 任意のMDMサーバ名を設定
  4. MDMサーバ側で生成された自動デバイス登録用のパブリックキーをABMにアップロード
  5. 「保存」をクリック
  6. 作成したMDMサーバ項目を開く
  7. 「トークンをダウンロード」をクリック
  8. ダウンロードしたトークンをMDMサーバ側にアップロード

MDMサーバーの設定 MDMサーバーの登録 MDMサーバー

MDMサーバ名はどのようなMDMサーバなのかを認識できる名前を設定することをお勧めします。

「MDMサーバの追加」時のMDMサーバがデバイスを解除することを許可します。のチェック項目はご自身の組織のユースに応じて設定します。 デバイスを組織が所有していない場合、ABMの利用規約にのっとってデバイスの所有を解除する必要があります。

ABMでも個別に解除できますが、MDMサーバ側からデバイスの所有を解除をするのは工数削減のために有効な場合があります。 誤ってデバイスの所有を解除してしまった場合でも、認定販売代理店または携帯電話会社を通じて再び追加できます。

作業2:お客様番号の設定

Apple社が発行するお客様番号、携帯電話キャリアなどの販売店に関しては、Apple社から発行されている販売店IDも合わせてABMに登録することで、自動デバイス登録が使用できます。

販売側が、つまりベンダーによる自動デバイス登録の適用作業が完了すると、管理者宛に登録完了のメールが来ます。 自動デバイス登録されている端末は、ABMを経由してMDMサーバに割り当てることができます。

  1. サイドバーの下部の「設定」を選択して、「デバイス管理の設定」項目を開く
  2. お客様番号の項目の「編集」ボタンをクリック
  3. Appleお客様番号または販売店IDを入力してして「完了」ボタンをクリック

購入だけではなくレンタルも対象となるので、詳しくはベンダーに確認してください。

オプション:デフォルトのデバイスの割り当て

ABMではシリアル番号または注文番号から手動でどのMDMサーバにデバイスを割り当てるかを手動で設定できます。 しかし、毎度手作業で行うのはとても面倒であるため、MDMサーバに割り当てをデバイスごとに自動で割り当てる設定が可能です。

割り当て可能なデバイスの種類は、

  • iPad
  • iPhone
  • iPod
  • Mac
  • Apple TV

の5種類です。

Apple Watchには対応していません。

デフォルトデバイスの割り当て

アプリケーションライセンスの管理

ABMはVolume Purchase Program(以下「VPP」という)の設定できます。手順は以下のとおりです。

  1. 作業1:「場所」の設定
  2. 作業2:サーバトークンのダウンロード
  3. 作業3:アプリケーションの購入/割当

作業1:場所の設定

ABMには「場所」という概念があります。 VPPはこの「場所」に紐付くという特徴があります。 自動デバイス登録はABMのアカウント自体に紐付いていましたが、VPPでは異る点に注意が必要です。

「場所」はデフォルトでABM申請時の住所が存在していますが、このデフォルトの「場所」にVPPを紐付けるのは悪手です。

ベストプラクティスは、MDMサーバごとに別々の「場所」を作成するという方法です。 これはVPPのライセンスを異るMDMサーバで使用する場合、またはMDMサーバを移行する際にVPPライセンスの取り合いになりVPPが機能しなくなってしまうという仕様があるためです。Apple社のサポート方にも伺いましたが、この運用が良いということです。

「場所」間のライセンスの移動は柔軟に対応できるため、ライセンスを余計に購入する必要はありません。

具体的にはMDMサーバに紐付く「場所」を以下のように設定すると良いです。

  1. サイドバーの上部の「場所」を選択して、建物マークをクリック
  2. 場所名にMDMサーバ用の「場所」である旨を入力
  3. 住所は必須ですので、デフォルトの「場所」と同じ住所または任意の住所を入力
  4. 「保存」ボタンをクリック

場所の追加 場所の入力

作業2:サーバトークンのダウンロード

MDMサーバに、MDMサーバごとに設定した「場所」を利用してVPPの設定します。

  1. サイドバーの下部の「設定」を選択して、「Appとブック」項目を開く
  2. MDMサーバに対応したサーバトークンをダウンロード
  3. MDMサーバ側で、ダウンロードしてきたVPPのサーバトークンをアップロード

サーバトークンダウンロード

作業3:アプリケーションの購入/割当

iOS、iPadOS、macOSのアプリケーションはVPPライセンスで配布が可能です。 ABMでは無償有償にかかわらず、必ず購入と場所への割り当ての手順を踏む必要があります。

  1. サイドバーの中部の「Appとブック」を選択
  2. 検索窓から購入したいアプリケーションを検索
  3. 購入したいアプリケーションを選択
  4. 割り当て先から割り当てたい「場所」を選択
  5. 「入手」ボタンをクリック

アプリケーションの購入

番外編(プッシュ証明書の設定)

ABM/ASMの話とは少し外れますが、Jamf ProMicrosoft IntuneなどのMDMサービスを使用する際には、Apple Push Certificates Portalで作成したプッシュ証明書を各種MDMサーバに登録する作業が毎年必要です。 このPush証明書はApple IDに紐付いています。

さて、なぜ引き合いに出したかと言うと、設定方法によっては取り返しのつかない事になりかねないたためです。

プッシュ証明書の仕様で、すでにMDMサーバに登録されているプッシュ証明書をApple ID(便宜上旧 Apple IDとする)を用いて発行した場合、旧 Apple IDとは異なるApple ID(便宜上新 Apple IDとする)を用いて発行したプッシュ証明書で更新作業を行ってしまうと、MDMコマンドが発行できなくなる挙動をします。 つまり、異なるApple IDを使用し、プッシュ証明書の更新作業をすると、MDMの機能が一切使えなくなってしまうという問題があります。

再度使えるようにするには、手動で各端末のリセット作業が必要となります。 個人的には数百台、数千台でこのような状況になってしまったら血の気が引いてしまいます。

ゆえに、MDMサーバに登録するプッシュ証明書を作成するApple IDは、従業員個人のApple IDではなくグループメールなどの共有アカウントでApple IDを作成するべきです。 従業員個人のApple IDは退職などに伴いApple IDは消えてしまう可能性があるためです。

上記の注意点を念頭におきつつ、プッシュ証明書の設定と更新作業は複数人で認識を合わせたり、ドキュメントを残しておいたりすると良いでしょう。

終わりに

Apple社が提供する、Apple Business Managerについて設定手順と、いくつかのプラクティスを紹介しました。

特にVPPの場所に関しては放置してしまうと、今は良くても後任の方がつらい思いをするかもしれないので、今からでも対応してみると良いかもしれません。 また、これからABM/ASMを設定される方の参考になれば幸いです。

宣伝

情シスSlackってなんだろ?と思った方はぜひ情シスSlackで幸せになった話をご覧ください。

興味がある!入ってまずは情報収集してみたい!こんな知見を共有できる!という方は情シスSlack 招待ページから参加できます。