EPISODE 02

非ITエンジニアが取り組むリモートワーク基盤構築の記録

OS X Server.appのProfile Manager

リモートワークで利用する端末の管理

iPadに限らず組織で利用する端末は、情報漏えい、紛失・盗難対策などセキュリティの観点からリアルタイムに端末の情報を取得したり遠隔で端末を操作したりする必要が生じる。オフィスに設置されているパソコンやOA機器と異なり、リモートワークなどオフィス外で利用することが前提のため、管理を怠ると面倒なことになるのは明らか。同時に端末自体の資産管理やアプリ、コンテンツの管理も重要で、端末、アプリ、コンテンツの棚卸もリモートで管理することを想定しておく必要がある。

Profile Managerでのソリューション

iPadなどの端末を組織で管理するケースでは、一括でセキュリティや端末管理、アプリ配信などのポリシーを設計し、そのポリシーを基に運用をしていくわけだ。旧来の携帯電話のように1台毎に端末を設定して配布することもできるが、この場合、数台では力技でなんとかなるけど10台以上では、時間ばかり掛かって現実的ではない。そのためツールを利用して、ポリシー設定したりアプリやコンテンツを配信していくことになる。一般的にはMDMと呼ばれるソリューションだ。

MDMの主な機能は以下の4つになる認識で、ざっと調べた所、どのMDMサービスも同じようなサービスを提供している。特にiOSに限っては、どのMDM ベンダも提供する機能には大きな差分がないように見受けられる。

・セキュリティ管理
・アプリ管理
・コンテンツ管理
・資産管理

Profile ManagerとMDM

OS X Server.appのProfile Managerも同様に端末やアプリの管理機能を提供することができる。

・セキュリティ管理
OSの機能制限、リモートでのロック・ワイプ(初期化)、端末パスコードの削除、パスコードの強制とポリシーの適用、クラウドサービスの利用制限、ブラウザのフィルタリングによる制限など

・アプリ管理
インストールされているアプリのバージョンの取得、アプリの配信・インストール、アンインストール制限、アプリ内設定など

・コンテンツ管理
iBooksやPDFの配信、削除など

・資産管理
端末とグループ、ユーザの紐づけ、シリアル番号、電話番号、OSバージョンなど

と、概ね必要そうな要件は充させている感触。

事前準備手順

・Server.appでProfile Managerを立ち上げる
・パソコンのブラウザからProfile Manager管理画面へアクセスしパラメータを設定
・Profile Managerで端末ポリシーパラメータを設定し構成プロファイルを作成する
・管理対象端末のブラウザからProfile ManagerへSafariでアクセスして上記で作成した構成プロファイルをインストールする
・Profile Managerに端末が登録されたことを確認する

Profile Managerで端末をリモート操作する流れ

イメージはこんな感じ

Profile Managerの管理画面にコマンドを登録すると、AppleのPushサーバ経由で端末へコマンドが送られる。端末はPushサーバからの通知を受け取りProfile Managerへアクセスしコマンドを受け取り端末のパラメータを変更した後、処理状態をProfile Managerへ通知する。

端末はインターネットに繋がっていれば常時Push通知を受け取れる状態になっているが、指示コマンドによっては、端末がスリープ状態の時は指示が実行されない。

次回以降はProfile Managerの具体的な設定を書いていく予定。