Skip to content

MDMプロファイルとは?

プロファイルは、Apple のモバイルデバイス管理(MDM)フレームワークの中核となる要素です。MDM プロファイルは、デバイスを管理に登録し、管理対象デバイスへ設定を配布するために使用されます。MDM プロファイルには次の 2 種類があります。

  • 登録プロファイル
  • 構成プロファイル。

登録プロファイル

名前のとおり、登録プロファイルはデバイスを MDM システムに登録するために使用されます。登録プロファイルには、その正当性を証明する証明書が付属しており、デバイスがコマンドを受信したり、ソフトウェアをインストールしたり、MDM ソリューションから配布される構成プロファイルを受け入れたりできるよう準備します。

また、登録プロファイルにより、MDM は登録されたデバイスの状態を確認することができます。これには、デバイス名、アクティベーションロックの状態、バッテリー残量などの情報が含まれます。

構成プロファイル

構成プロファイルは XML ファイル(拡張子 .mobileconfig) であり、デバイスの設定を定義する ペイロード を含んでいます。構成プロファイルは通常、登録プロファイルのインストール後に配布されますが、必ずしも登録プロファイルが必要というわけではありません。たとえば、VPN やメールアカウントの情報は、デバイスを MDM に登録しなくても構成プロファイルとして配布することができます。

ペイロードの種類や要件はデバイスによって異なります。たとえば、AirPlay セキュリティプロファイル は Apple TV にのみ追加できますが、証明書プロファイル はすべての Apple デバイスにインストールできます。ほとんどの場合、デバイスがサポートしていないペイロードは無視されます。

 

MDMプロファイルの作成方法

プロファイルは通常、MDM ソリューションによって作成・配布されます。このプロセスの多くは、管理者やユーザからは見えない形で処理されます。ただし、構成プロファイルを手動で作成することも可能です。

構成プロファイルを手動で作成する方法

構成プロファイルを手動で作成する最も一般的な方法は Apple Configurator を使用することです。

  1. Apple Configurator で 「ファイル」>「新規プロファイル」 を選択します。新しい構成プロファイルのドキュメントウインドウが表示されます。
  2. 「一般」設定ペインで、名前識別子(Identifier) を入力します。
  3. ペイロードを追加するには、左側のリストから対象の項目を選択し、「構成」 をクリックして設定を入力します。必須項目にはアイコンが表示されます。ペイロードの種類によっては複数追加できるため、その場合はペイロード設定ペイン右上の 「ペイロードを追加」 をクリックして追加します。
  4. プロファイルに署名する場合は、「ファイル」>「プロファイルに署名」 を選択し、ポップアップメニューから証明書を選択して 「OK」 をクリックします。
  5. 「ファイル」>「保存」 を選択し、プロファイル名と保存場所を指定して 「保存」 をクリックします。

構成プロファイルの編集

  1. Apple Configurator で 「ファイル」>「開く」 を選択し、Mac 上の構成プロファイルを指定します。
  2. 構成プロファイルに署名が付いている場合は、「ファイル」>「プロファイルの署名を解除」 を選択します。
  3. ペイロードの削除または追加を行います。削除する場合は対象のペイロードを選択し、右上の 「ペイロードを削除」 をクリックします。追加する場合は対象の項目を選択し、設定を編集します。
  4. プロファイルに署名する場合は、「ファイル」>「プロファイルに署名」 を選択し、ポップアップメニューから証明書を選択して 「OK」 をクリックします。
  5. 編集が完了したら、「ファイル」>「保存」 を選択します。

MDM プロファイルの削除

デバイスの登録方法によっては、エンドユーザが自分のデバイスからプロファイルを削除できる場合があります。それ以外の場合は、管理者のみが削除できます。削除の影響は、プロファイルの種類や設定内容によって異なります。

MDMプロファイルを削除するとどうなるか

登録プロファイルを削除すると、デバイス登録時にインストールされた構成プロファイルも削除されます。ただし、それらの設定が必ず元の状態に戻るとは限りません。

たとえば、登録プロファイルによってユーザのデバイスにメールアカウントが追加され、複数文字のパスコード設定が必須になっていた場合、プロファイルを削除すると次のことが起こります。

  1. 2つの構成プロファイルが削除される
  2. メールアカウントが削除される
  3. パスコード要件は解除されるが、パスコード自体は以前の状態に戻らない

ユーザがより簡単なパスコードに変更したい場合は、設定アプリでパスコード設定を手動で変更する必要があります。

 

MDMプロファイルの削除方法

監視対象(Supervised)のデバイスにインストールされたプロファイルは、デバイスを消去するか、管理者が削除可能に設定していない限り、エンドユーザが削除することはできません。(削除可能に設定されている場合でも、プロファイルに削除パスワードのペイロードが含まれている場合は、そのパスワードの入力が必要になります。)それ以外の場合、プロファイルは MDM ソリューションによってのみ削除できます。

MDM ソリューションによってインストールされたプロファイルは、その MDM ソリューションから削除するか、デバイスの登録を解除することで削除できます。

それ以外のケースでは、ユーザ自身がプロファイルを削除することも可能です。

 

最新情報をお届け

ITとセキュリティチームが常に最先端を行くための、Iruの週刊記事、動画、リサーチコレクション。