デバイス登録

Apple Business Manager のデバイス登録では、デバイスを一括で購入し、認証中に自動的にこれらのデバイスを MDM に登録できます。 参加する場合、Ivanti Neurons for MDM をこれらのデバイスを管理するMDMサーバーとして利用できます。 詳細はhttps://business.apple.com/をご覧ください。

Ivanti Neurons for MDM とDevice Enrollmentの連携

Ivanti Neurons for MDM をDevice Enrollment用のMDMサーバーとして使用するには、Ivanti Neurons for MDM でApple Business Managerサーバートークンをセットアップします。

各Apple Business Managerサーバーについて、Ivanti Neurons for MDMで次の操作を実行できます。

  • 接続をテスト
  • Device Enrollmentプロファイルを追加
  • パブリックキーをダウンロード
  • Device Enrollmentフル同期 - フル同期を開始します。 完了に時間がかかることがあります。 同期が完了すると、[前回の同期] カラムで情報を見ることができます。 フル同期がすでに進行中の場合はフル同期を開始できません。
  • 新規トークンをアップロード
  • 削除

[認証を編集][Device Enrollmentデバイス属性を指定] アクションは、Device Enrollment(MDMサーバー)ではなくDevice Enrollmentプロファイルについて実行可能となります。

手順

  1. [管理] > [Apple] > [Device Enrollment] を開きます。
  2. [ダウンロードキー] をクリックします。
  3. Ivanti Neurons for MDMキーを保存します。
  4. business.apple.comをクリックします。
  5. Device Enrollment対応のApple認証情報を使用してサインインします。
  6. Apple Device Enrollmentサイトで:
    1. [開始] をクリックします。
    2. Appleのサービスの認証に使用する信頼できる電話を選択します。
    3. 選択された電話に送信する検証コードを入力します。
    4. [MDMサーバーを追加] をクリックします。
    5. サービスで利用する仮想MDMサーバーを識別する名前を入力します。
    6. [次へ] をクリックします。
    7. 先にダウンロードしておいたパブリックキーをアップロードします。
    8. [次へ] をクリックします。
    9. [お使いのサーバートークン] をクリックしてトークンをダウンロードします。
    10. [完了] をクリックします。
  7. Ivanti Neurons for MDM[アップロード] をクリックします。
  8. [次へ] をクリックします。
  9. 認証オプションを選択します。
    • ユーザーに登録/ログインを指示

      ユーザーはユーザー名とパスワードの入力を求められます。 ユーザーはパスワードまたはPINをパスワードフィールドに入力します。 認証に関するパスワードとPINの設定は [ユーザー] > [ユーザー設定] で行います。

    • ユーザーログインをスキップ

      nobody(匿名)ユーザーまたは定義済みのユーザーに割り当てられているデバイスは、後で [デバイス] ページから特定のユーザーに再割り当てが可能です。

      以下のオプションから1つ選択してください:

      • 1人のユーザーを定義して全デバイスを割り当てる
      • 全デバイスを匿名ユーザー1人に割り当てる
  10. 選択されたオプションが、[ユーザー設定] の選択肢より優先されます。

  11. [アップロード] をクリックし、ステップ3で受領したキーをインストールします。
  12. 表示されているフォームに入力し、Device Enrollmentデバイスのプロファイルを定義します。
  13. 設定 操作内容

    名前

    このDevice Enrollmentプロファイルを識別する名前を入力します。

    説明

    プロファイルの説明を入力します。

    部署

    このプロファイルに関連付けられている組織内の部署の名前を入力します。
    監視モード 構成や制限において追加管理を有効化します。 iOS 13+およびmacOS 10.15+のデバイスでは、このオプションがデフォルトで有効化されています。
    iOS更新を自動的にダウンロードおよびインストール (iOS 9.0+のみ)[設定] > [iTunes & App Store] で自動ダウンロードオプションを選択した場合、OS更新は自動的にダウンロードされますが、デバイス登録プロファイルオプションがオフの場合でも、インストールはされません。 この設定は、Device Enrollment登録済みの監視対象デバイスに適用されるiOSソフトウェア更新設定がある場合に優先されます。 この設定の変更はすべて、デバイスのリセットがなくてもDevice Enrollment登録済みの監視対象デバイスに適用されます。
    MDM削除可能 デバイスの登録後、ユーザーがMDMから登録を解除できないかどうかを定義します。

    この設定は共有iPadには適用されません。

    MDM必須要件 アクティベーションプロセス中に、ユーザーが、MDMのインストールをスキップできないかどうかを定義します。 iOS 13+およびmacOS 10.15+のデバイスでは、このオプションがデフォルトで有効化されています。
    ペアリングを許可 (iOS 13+、macOS 10.15+は対象外)iTunes同期などのホストペアリング機能を許可します。 有効なペアリング証明書を持つホストに対し、ペアリングが常に許可されます。
    証明書 [+追加] をクリックして証明書をアップロードします。

    サポート電話番号

    デバイスユーザーがサポートを依頼できる電話番号を入力します。
    Eメールアドレスをサポート デバイスユーザーがサポートを依頼できるメールアドレスを提供します。
    カスタム登録 (iOS 13.0+ and macOS 10.15+)カスタム登録Webページを作成します。 Device Enrollmentでユーザーを認証するカスタムWebページ(Web View)を指定します。 このページには、認証の形式、ブランディング、同意する文章、プライバシーポリシーなどのカスタム情報を表示します。 詳細は、以下の手順で「Device EnrollmentカスタムWebページの追加」セクションをご覧ください。
    • [カスタム登録を有効化] を選択し、この機能を有効化します。
    • https://mycustomweburl.comなど、URLを入力します。 このURLが、Web Viewでユーザーに提示するカスタムURLの値を定義します。
    マルチユーザー

    (iOS 13.4+)ビジネス向け共有iPad

    企業において、パーソナライズされた経験を維持しながら、複数の従業員間でデバイスを共有させることができます。

    デバイスで共有iPadを有効化するには [マルチユーザーモード] を選択します。 詳細はビジネス向け共有iPadを参照してください。

    • この設定は、Apple Educationには適用されません。
    • マルチユーザー設定を変更するには [監視モード] 設定を選択します。

    割り当て量

    (iOS 13.4+)ビジネス向け共有iPad

    単位はメガバイト(MB)で、デバイス内で1人のユーザーに割り当てられているストレージの容量を示します。 値が小さすぎる場合、デフォルトの割り当て量がデバイスに割り当てられます。

    常駐ユーザー

    (iOS 13.4+)ビジネス向け共有iPad

    この値は、デバイス上に持続的に存在する、または常駐するユーザー数を示します。 この値がデバイスがサポートするユーザーの最大数より大きい場合、MDMサーバーは最大ユーザー数をデフォルトとして使用します。

    管理者は割り当て量または常駐ユーザー数を指定できます。 両方の値がある場合、MDMサーバーはデフォルトで割り当て量を使用します。

    ユーザーセッションタイムアウト

    (iOS 14.5+)ビジネス向け共有iPad

    ユーザーセッションのタイムアウト時間(秒)を示します。 ユーザーセッションは指定の時間だけ動作がなければ自動的にログアウトとなります。 最小値は30秒です。 この値を0に設定するとタイムアウトがなくなり、デバイスのデフォルトタイムアウトが適用されます。

    1~29の値は無効です。 1~29に設定するとデフォルトのタイムアウトに設定されます。

    一時セッションタイムアウト

    (iOS 14.5+)ビジネス向け共有iPad

    ゲストまたは一時セッションのタイムアウト時間(秒)を示します。 一時セッションは指定の時間だけ動作がなければ自動的にログアウトとなります。 最小値は30秒です。この値を0に設定するとタイムアウトがなくなり、デバイスのデフォルトタイムアウトが適用されます。

    1~29の値は無効です。 1~29に設定するとデフォルトのタイムアウトに設定されます。

    一時セッションのみ

    (iOS 14.5+)ビジネス向け共有iPad

    Trueの場合、ユーザーにはゲスト用ウェルカム画面のみ表示され、ユーザーはゲストユーザーとしてのみログインできます。

    Falseの場合、ユーザーは管理対象Apple IDでサインインできます(既存の挙動)。

    デフォルト:False

    管理された Apple ID の既定のドメイン

    (iOS 16.0+)ビジネス向け共有 iPad

    ドメインのリストを指定します。 ユーザーはQuickTypeキーボードのドメインのリストから各自のアカウントドメインを選択できます。

    オンライン認証猶予期間

    (iOS 16.0+)ビジネス向け共有 iPad

    ユーザーがネットワークに接続せずにログインできる日数を指定します。

    この値をゼロに設定すると、毎回オンライン認証が強制的に実行されます。

    デフォルト:0

    タイムゾーン

    デバイスのタイムゾーンを指定します。

    : 太平洋/ミッドウェー

    以下の設定オプションで、デバイスアクティベーション中にユーザーがスキップしてもよい手順を定義します。

    設定オプション

    • パスコードの入力をスキップ - これを選択すると、Apple Pay設定のスキップとTouch ID設定のスキップが自動的に有効化されます。
    • 位置情報サービスをスキップ
    • バックアップからの復元をスキップ
    • Androidからの「iOS移行」をスキップ
    • 利用規約をスキップ
    • Apple IDおよびiCloudへのサインインをスキップ - これを選択すると、Apple Pay設定のスキップが自動的に有効化されます。
    • Touch ID設定をスキップ(iPhone 5s、6、6+、iPad Air 2、iPad Mini 3のみ) - これを選択すると、Apple Pay設定のスキップが自動的に有効化されます。
    • Apple Pay設定をスキップ(iPhone 6、6+、iPad Air 2、iPad Mini 3のみ)
    • Zoom設定をスキップ
    • Siriをスキップ
    • 診断情報の自動送信をスキップ
    • クラウドストレージをスキップ(iOS 10.3、macOS 10.13.4以降)
    • ディスプレイ色設定をスキップ(iOS 9、macOS 10.14以降)
    • ホームボタン感度をスキップ
    • キーボード選択画面をスキップ
    • オンボーディング情報画面をスキップ - この情報はユーザー向けです。 カバーシート、マルチタスキング&コントロールセンターなど。
    • Apple Watch移行画面をスキップ
    • 「アピアランスを選択」画面をスキップ(iOS 13.0+およびmacOS 10.14+)
    • スクリーンタイムをスキップ(iOS 12.0+およびmacOS 10.15+)
    • プライバシーをスキップ(macOS 10.13.4、tvOS 11.3以降)
    • 携帯電話プランペインの追加をスキップ(iPhone Xs、iPhone Xs Max、iPhone XR)
    • ログインページにカスタムテキストを表示 - テキストボックスにカスタムテキストメッセージを入力する場合には、このオプションを選択します。 このメッセージは、Device Enrollmentの設定中にデバイスのログインページに表示され、エンドユーザーの作業に役立つ情報を提供します。
    • 自動詳細設定 - このオプションを選択すると、設定アシスタントがデバイスの設定画面を自動的に進めます。 デフォルトはfalseです。 tvOSおよびmacOS 11以降でサポートされています。 自動詳細設定はWi-Fi接続では機能しません。デバイスにはイーサネット接続が必要です。
    • 住所条件 - 住所条件ペインをスキップします。 (iOS 16+)
    iOS
    • ソフトウェア更新をスキップ(12.0+)
    • 開始ペインをスキップ(13.0+)
    • iMessageとFaceTimeをスキップ(12.0+)
    • 復元完了をスキップ(14.0+)
    • 更新完了をスキップ(14.0+)

    macOS

    • iCloud Analytics画面をスキップ
    • True Toneディスプレイ画面をスキップ(macOS 10.13.6+) - (任意)True Toneディスプレイ画面をスキップする場合に選択します。
    • アクセシビリティをスキップ(macOS 11.0+)
    • Watchでロック解除をスキップ(macOS 12.0+)

    tvOS

    • Apple TVホーム画面レイアウト同期画面をスキップ
    • Apple TVプロバイダーサインイン画面をスキップ
    • 「タップして設定」オプションをスキップ
    • Aerialスクリーンセーバー設定をスキップ

    macOSアカウント設定アシスタントオプション

    • 管理アカウント作成をスキップ
    • プライマリ設定アカウント作成をスキップ
    • プライマリアカウントをレギュラーユーザーとして作成(チェックがなければ管理者として)
    デバイス登録の設定中にデバイス構成を待機
    • 構成および優先度の高いアプリケーションがデバイスにプッシュされるまで待機 - 構成および優先度の高いアプリケーションをデバイスにプッシュしてから、残りのデバイス登録設定画面に進む場合に選択します。 この設定によりエンドユーザーは、必要な構成と優先度の高いアプリケーションがデバイスにプッシュされるまでデバイスを使用できなくなります。

    • 時間制限 - デフォルトの時間制限は3分です。 最大で10分に設定できます。

    この機能を有効化するには、Device Enrollmentプロファイルの編集中に [監視モード] オプションを選択します。

  14. [保存] をクリックします。
    次の表は、[管理] > [Apple] > [デバイス登録] ページで入力されます。
    設定操作内容

    [名前]

    (列見出しをクリックすると、アルファベット順に並べ替えられます。)

    この列の項目を検索するには [検索] フィールドを使用します

    MDM サーバ名

    Apple アカウント名

    (列見出しをクリックすると、アルファベット順に並べ替えられます。)

    この列の項目を検索するには [検索] フィールドを使用します

    管理対象Apple ID

    デバイス数

    割り当てられたデバイスの数

    登録プロファイル

    割り当てられたデバイス登録プロファイルの数

    前回同期日時

    (列見出しをクリックすると、アルファベット順に並べ替えられます。)

    前回接続日時

    トークンの有効期限

    (列見出しをクリックすると、アルファベット順に並べ替えられます。)

    トークン有効期限

     

  • Apple Device Enrollmentに新規デバイスを追加する際、Ivanti Neurons for MDM が新規デバイスを検出するまでに最長で15分かかる場合があります。 その後、新規デバイスに登録プロファイルが割り当てられます。 Device Enrollmentに新規デバイスを追加できない場合は、[ダッシュボード] > [通知] を開き、Device Enrollmentに関するAppleからの通知を確認してください。 EULAに更新がある場合は、新しいEULAを承諾する手順がメールで通知されます。
  • Apple Device Enrollment経由での登録中、テナントに存在するすべてのカスタムデバイス属性を閲覧し、デバイスに割り当てることができます。
  • 共有 macOS デバイスでは、ListUsers コマンドを実行すると、デバイスのすべてのローカル ユーザのリストと、デバイスを登録したユーザの前回のチェックイン詳細情報のみが表示されます。

Device Enrollmentプロファイルの編集

手順

  1. [管理] > [Apple] > [Device Enrollment] を開きます。
  2. Apple Business Managerサーバー(Appleのサイトで作成したもの)の名前をAppleアカウント名のカラムから見つけます。
  3. Enrollmentプロファイルカラムで数字のリンクをクリックします。
  4. 具体的なプロファイルで [アクション] > [Device Enrollmentプロファイルを編集] を開きます。
  5. プロファイルを更新および保存します。
  • Device Enrollmentプロファイルが編集された場合、変更済みプロファイルのデバイス数がすぐに更新されます。
  • Appleのサイトでサーバートークンを更新している場合は、既存のトークンが無効となります。 ただし、トークンの有効期限を含むDevice Enrollmentページの表示内容は、新しいトークンをアップロードするまで変更されません。

デバイス登録プロファイルには、次の詳細情報が含まれます。

設定 操作内容

プロファイル名

(列見出しをクリックすると、アルファベット順に並べ替えられます。)

このDevice Enrollmentプロファイルを識別する名前を入力します。

説明

(列見出しをクリックすると、アルファベット順に並べ替えられます。)

プロファイルの説明を入力します。

部署

(列見出しをクリックすると、アルファベット順に並べ替えられます。)

このプロファイルに関連付けられている組織内の部署の名前を入力します。

サポート電話番号

(列見出しをクリックすると、アルファベット順に並べ替えられます。)

デバイスユーザーがサポートを依頼できる電話番号を入力します。

デバイス数

プロファイルのデバイス数が表示されます。

アクション

プロファイルの管理

複数のDevice Enrollmentプロファイルの管理

各Apple Business Managerサーバーに対してDevice Enrollmentプロファイルは複数作成できます。 これにより異なるデバイス群に異なる構成を配布します。 1つのDevice Enrollmentプロファイルから別のDevice Enrollmentプロファイルへデバイスを移動することも可能です。

手順

  1. [管理] > [Apple] > [Device Enrollment] を開きます。
  2. Apple Business Managerサーバーの名前をAppleアカウント名のカラムで探します。
  3. Enrollmentプロファイルカラムで数字のリンクをクリックします。
  4. 新しいDevice Enrollmentプロファイルを作成し、選択したサーバーに関連付けるには [新規プロファイルを作成] をクリックします。 プロファイルを作成および保存します。
  5. 各プロファイルを管理するには、[アクション] をクリックし、以下のいずれかを選択します。
    • デフォルトのプロファイルに設定 - 同じ仮想サーバー内でのデフォルトのプロファイルに設定します。 新しいデバイスを登録するとこのデフォルトプロファイルを受信します。
    • プロファイルを編集 - 既存のプロファイルを編集します。
    • 認証を編集 - Device Enrollment認証設定を編集します。
    • Device Enrollmentデバイス属性を指定 - 管理者は、デバイスのカスタム属性を利用し、追加プロパティをこれらのオブジェクトと関連付けます。 これにより、そのプロパティをグループのビルドや構成の配布に利用可能となります。
    • 削除 - デフォルトのプロファイルは削除できません。 デフォルト以外のプロファイルを削除すると、関連するすべてのデバイスがデフォルトのプロファイルに割り当てられます。
  6. 同じ仮想サーバー内で(異なるApple Business Managerサーバー間ではなく)1つのプロファイルから別のプロファイルへ登録済みデバイスを移動するには、[デバイス数] カラムで数字のリンクをクリックします。 プロファイルの再割り当てはまだ登録されていないデバイスに適用されます。
    1. デバイス1台を移動するには、特定のデバイスについて [Enrollmentプロファイルを割り当てる] をクリックし、ドロップダウンリストからプロファイルを選択して [割り当てる] をクリックします。
    2. 複数のデバイスを移動するには、デバイスを選択し、[アクション] > [Enrollmentプロファイルを割り当てる] を開いた後、ドロップダウンリストからプロファイルを選択して [割り当てる] をクリックします。

  • Device Enrollmentプロファイルが編集された場合、変更済みプロファイルのデバイス数がすぐに更新されます。
  • Appleのサイトでサーバートークンを更新している場合は、既存のトークンが無効となります。 ただし、トークンの有効期限を含むDevice Enrollmentページの表示内容は、新しいトークンをアップロードするまで変更されません。

Device EnrollmentカスタムWebページの追加

対象:iOS 13.0、macOS 10.15、およびサポートされる以降のバージョン

カスタム登録セクションでは、Device Enrollmentでユーザーを認証するカスタムWebページ(Web View)を指定できます。 このページには、認証の形式、ブランディング、同意する文章、プライバシーポリシーなどのカスタム情報を表示します。

手順

  1. [管理] > [Apple] > [Device Enrollment] を開きます。
  2. Appleのサイトで作成したサーバー名を探します。
  3. [アクション] > [Device Enrollmentプロファイルを編集] を開きます。
  4. カスタム登録セクションで [カスタム登録を有効化] を選択します。
  5. 以下のオプションから1つ選択してください:
    • MobileIronがホストするWebページ - 登録がMicrosoft Active Directory Federation Services(ADFS)やOktaなどのIDプロバイダー(IDP)を使用している場合はIDプロバイダー(IDP)にリダイレクトされます。 IDP以外の認証を使用するIvanti Neurons for MDMユーザーの場合はセルフサービスポータルにリダイレクトされる場合もあります。
    • カスタムURL - https://mycustomweburl.comなどのURLを入力します。 このURLが、新しいDevice Enrollmentデバイスまたは消去したデバイスの初期設定中に読み込まれるWeb Viewでユーザーに提示するカスタムURLの値を定義します。 このフィールドを使用し、独自の認証UIと認証方法を定義してください。 ユーザーの認証後、MDM登録プロファイルがダウンロードされます。

Device EnrollmenカスタムWebページのワークフロー

このセクションでは、Device EnrollmenカスタムWebページの機能とカスタムWebページ(Web View)作成手順を詳細に指定します。

URLフィールドに指定されたカスタムWebページが初めて読み込まれたとき:

  • 構成Web URLはhttps形式で、GETリクエストです。 このWebページはパブリック証明書を使用する必要があります。
  • 登録を開始したAppleデバイスにより、GETリクエストにカスタムヘッダー「x-apple-aspen-deviceinfo」が付加されます。 これには、デバイス属性のplistを含むCMS(暗号メッセージ構文)エンベロープのbase64エンコーディングが含まれます。 これは、トークンベースのデバイス登録における当初のPOSTリクエストで提供されるのと同じ形式の同じ情報です。

その後、カスタムWebページが読み込まれたとき:

  • デバイスユーザは、管理者のホストサーバがcustom.mobileconfigファイルをクライアントに提供するまで、カスタムWebページ(Web View)を使用します。 Ivanti Neurons for MDMサーバーは、MDMプロファイルのバイトコードを返します。管理者のホストサーバーでは、custom.mobileconfigファイルをapplication/x-apple-aspen-configのMIMEタイプともに設定する必要があります。これにより、デバイスのMDMプロファイルがダウンロードされ、デバイスにインストールされます。
  • Ivanti Neurons for MDMの認証用として、Webページには認証ユーザー名とパスワード情報を含める必要があります。Ivanti Neurons for MDMでは別のユーザを作成し、そのユーザにIvanti Neurons for MDMサーバURL(https://micloudDomain.com/c/i/dep/custom.mobileconfigなど)でMDMプロファイルを取得するカスタム登録の役割を指定することをお勧めします。
  • デバイスを登録し、MDMプロファイルをIvanti Neurons for MDMから取得するため、管理者のホストWebサーバーはIvanti Neurons for MDMサーバーURLへのPOSTコールを実行する必要があります。 また、デバイスがGET URLにアクセスし、カスタムWebページを読み込む際に、ヘッダー「x-apple-aspen-deviceinfo」とデバイスが提供する値を渡す必要があります。 登録ユーザーIDが提供されない場合、デバイスはnobodyユーザーとして登録されます。 その他の情報は以下をご覧ください。
    • デバイスがDevice Enrollmentプロファイルに設定されたカスタムURLにアクセスすると、管理者のホストWebサーバーはデバイスが提示するヘッダー「x-apple-aspen-deviceinfo」を取得します。
    • そのデバイスのMDMプロファイルと関連ユーザーを取得するため、管理者のホストWebサーバーはIvanti Neurons for MDMサーバーURLに対してヘッダー「x-apple-aspen-deviceinfo」のPOSTコールを実行する必要があります。 これは、Ivanti Neurons for MDMのユーザーIDを要求パラメータとする基本的な認証情報(https://miCloudDomain.com/c/i/dep/[email protected]など)を含みます。 ユーザーにはカスタム登録の役割が指定されます。
    • 管理者のホストWebサーバーは、バイトコードを受け取った後、応答ヘッダー「Content-Disposition = attachment;filename="profile.mobileconfig」と「Content-Type = application/x-apple-aspen-config」を設定することにより、バイトコードをデバイスにダウンロードします。
  • Web Viewが閉じ、OSがプロファイルのインストールを試みます。これはMDM登録プロファイルでなければなりません。

Ivanti Neurons for MDM は、MDMプロファイルが戻されたユーザーIDを認証しません。 したがって管理者は、MDMプロファイルを要求する前にユーザーIDについて必要な認証を実行する必要があります。

iOSの場合、消去済みデバイスの最初のセットアップ時にこのワークフローを実行できます。 macOSの場合、Setup Assistantで、あるいはSetup AssistantでDevice Enrollmentをスキップした場合はProfiles設定ペインでもこのワークフローを実行できます。

カスタムWebページ作成に関する開発者向けの情報は、以下のAppleドキュメンテーションをご覧ください:

Device Enrollment認証設定の編集

手順

  1. [管理] > [Apple] > [Device Enrollment] を開きます。
  2. Appleのサイトで作成したサーバー名を探します。
  3. [アクション] > [認証の編集] を選択します。

モバイルアカウントのBootstrapトークン管理

対象:macOS 10.15およびサポートされる以降のバージョンを搭載し、Apple School ManagerまたはApple Business Managerを使用してMDMにデバイス登録されたデバイス。

Ivanti Neurons for MDM は、モバイルアカウントのBootstrapトークン管理をサポートします。 Bootstrapトークンにより、モバイルアカウントがFileVaultを使用するmacOSデバイスにサインインできます。 この機能により、ログインするすべてのモバイルアカウントが自動的にSecureTokenを受け取ります。 この機能は暗号化されたマシンに複数のユーザーがログインする場合に便利です。

マネージド管理アカウントがデバイスにログインする場合:

  • 初回ログイン時にMDMサーバーからBootstrapトークンが要求されます。
  • MDMサーバーがBootstrapトークンを提供する場合、デバイスがアカウントのSecureTokenを自動的に作成します。
  • デバイスがユーザーのFileVaultを有効化します。

[Bootstrapトークン利用可] は、デバイス詳細ページのフィールドであり、新しいデバイスグループやカスタムポリシーを作成する際のフィルター属性でもあります。

トラブルシューティングや検証の場合はデバイスのデバイス詳細ページを開いてください。 [Bootstrapトークンを取得]、[Bootstrapトークンを設定] のアクション名を使用したフィルターでデバイスログを絞り込みます。

Device Enrollmentを使用したマネージドmacOS管理者アカウントの設定

Ivanti Neurons for MDM は、工場出荷時の状態にリセットしたデバイスや初めて起動したデバイスでのDevice Enrollment登録をサポートしています。 Device Enrollmentの使用により、macOSデバイス上で管理者アカウントを作成できます。 Ivanti Neurons for MDMIvanti Neurons for MDM Ivanti Neurons for MDM は、macOSの任意登録しかサポートしないため、iOSデバイスにのみ適用されるDevice Enrollmentプロファイルの [MDM必須要件] フィールドを無視します。

手順

  1. [管理] > [Apple] > [Device Enrollment] を開きます。
  2. Appleのサイトで作成したサーバー名を探します。
  3. [アクション] > [Device Enrollmentプロファイルを編集] を開きます。
  4. macOSアカウント設定アシスタントオプションから次のいずれかを選択します。
    • 管理者アカウント作成をスキップ - 表示でも非表示でも、管理者アカウントの作成を禁止するには、このオプションを選択します。 [マネージドmacOS管理者アカウントを設定] セクション(以下に説明)で管理者アカウントの作成を許可するには、このオプションの選択を解除します。
    • プライマリ設定アカウント作成をスキップ - macOSデバイスでプライマリアカウントの設定をスキップするには、このオプションを選択します。 管理者アカウントのほかのユーザーアカウントは作成されません。 マネージドmacOS管理者アカウントを作成するには、別のセクション [マネージドmacOS管理者アカウントを設定] が表示されます(以下に説明)。 このアカウントはユーザー&グループに対して非表示にすることも可能です。
    • プライマリアカウントをレギュラーユーザーとして作成(チェックがなければ管理者として) - 登録の一環として非管理者の標準アカウントを作成するには、このオプションを選択します。 それでも管理者が管理者アカウントを作成し、デバイスにプッシュすることは可能です。 マネージドmacOS管理者アカウントを作成するには、別のセクション [マネージドmacOS管理者アカウントを設定] が表示されます(以下に説明)。 このアカウントはユーザー&グループに対して非表示にすることも可能です。
  5. マネージドmacOS管理者アカウントを作成するには、上のいずれかを選択した後、以下の情報を [マネージドmacOS管理者アカウントを設定] セクションに入力してください。
    • フルネーム
    • アカウント名
    • パスワード
    • パスワードの確認
    • (任意)ユーザー&グループのマネージド管理者アカウントを非表示
  6. [プライマリ設定アカウント作成をスキップ] を選択しない場合、次の情報を [プライマリアカウントを設定] セクションに入力します。これにより、マネージドローカルユーザーの短縮名が管理者の短縮名に設定され、マネージド管理者アカウントのユーザーチャネルサポートが追加されます。
    • フルネーム
    • 短縮名
    • (任意)エンドユーザーによる変更を防止 - この設定は「フルネーム」や「短縮名」に代替変数があり、空と評価されている場合にはオーバーライドされます。 これを選択した場合、以下のいずれかのオプションが適切に設定されている場合に限り、このプライマリ管理者アカウント設定が適用されると理解したことを確認してください。
      1. 認証設定画面で [ユーザー登録/ログインを指示] が選択されている。
      2. MobileIronがホストするWebページが登録のカスタマイズに選択されている。
  7. マネージド管理者アカウントのユーザーチャネルサポートを有効化するには [プライマリ設定アカウント作成をスキップ] を選択します。 管理者の短縮名にはマネージドローカルユーザーの短縮名を設定します。
  8. [保存] をクリックします。

ローカルのmacOS管理者アカウントパスワードの変更

管理者は、Device Enrollment中にセットアップアシスタントが作成したローカルのmacOS管理者アカウントのローカルパスワードを変更できます。

対象:macOS 10.11またはサポートされる以降のバージョン。

手順

  1. [デバイス] を開きます。
  2. デバイスが関連付けられているユーザー名をクリックしてデバイス詳細ページを開きます。
  3. [アクション] メニューで [[macOS管理者パスワードを設定] をクリックします。これは [デバイスリスト] ページで1つ以上のデバイスを選択しても実行できます。
  4. パスワードを入力します。
  5. [保存] をクリックします。

CSVにエクスポート

Ivanti Neurons for MDM デバイス登録済みのデバイスをCSVファイルにエクスポートできます。

手順

  1. [管理] > [Apple] > [デバイス登録] を開きます。
  2. [デバイス数] 列の下の、特定のデバイス数リンクをクリックします。
  3. [CSVにエクスポート] オプションをクリックして、デバイスリストと関連詳細をCSVファイルにエクスポートします。レポートの準備が完了すると、レポートをダウンロードまたは削除するよう促すメッセージが表示されます。 レポートをダウンロードするためのリンクが記載された電子メールも送信されます。
  4. [ダウンロード] をクリックします。
  5. (任意)レポートを削除するには [削除] をクリックします。