デバイス登録

Apple Business Manager のデバイス登録では、デバイスを一括で購入し、認証中に自動的にこれらのデバイスを MDM に登録できます。 参加する場合、Ivanti Neurons for MDM をこれらのデバイスを管理するMDMサーバーとして利用できます。 詳細はhttps://business.apple.com/をご覧ください。

Ivanti Neurons for MDM とDevice Enrollmentの連携

Ivanti Neurons for MDM をDevice Enrollment用のMDMサーバーとして使用するには、Ivanti Neurons for MDM でApple Business Managerサーバートークンをセットアップします。

各Apple Business Managerサーバーについて、Ivanti Neurons for MDMで次の操作を実行できます。

• 接続をテスト
• Device Enrollmentプロファイルを追加
• パブリックキーをダウンロード
• Device Enrollmentフル同期 - フル同期を開始します。 完了に時間がかかることがあります。 同期が完了すると、[前回の同期] 列で情報を見ることができます。 フル同期がすでに進行中の場合はフル同期を開始できません。
• 新規トークンをアップロード
• 削除

[認証を編集] と [Device Enrollmentデバイス属性を指定] アクションは、Device Enrollment（MDMサーバー）ではなくDevice Enrollmentプロファイルについて実行可能となります。

手順

1. [管理] > [Apple] > [Device Enrollment] を開きます。
2. [ダウンロードキー] をクリックします。
3. Ivanti Neurons for MDMキーを保存します。
4. business.apple.comをクリックします。
5. Device Enrollment対応のApple認証情報を使用してサインインします。
6. Apple Device Enrollmentサイトで：
1. [開始] をクリックします。
2. Appleのサービスの認証に使用する信頼できる電話を選択します。
3. 選択された電話に送信する検証コードを入力します。
4. [MDMサーバーを追加] をクリックします。
5. サービスで利用する仮想MDMサーバーを識別する名前を入力します。
6. [次へ] をクリックします。
7. 先にダウンロードしておいたパブリックキーをアップロードします。
8. [次へ] をクリックします。
9. [お使いのサーバートークン] をクリックしてトークンをダウンロードします。
10. [完了] をクリックします。
7. Ivanti Neurons for MDMで [アップロード] をクリックします。
8. [次へ] をクリックします。
9. 認証オプションを選択します。
   • ユーザに登録/ログインを指示 

     visionOSプラットフォームで動作しているデバイスはサポートしていません。 代わりに、[ユーザログインをスキップ] を使用してデバイスを登録してください。

     ユーザはユーザ名とパスワードの入力を求められます。 ユーザはパスワードまたはPINをパスワードフィールドに入力します。 macOS 15+デバイスの場合は、パスキーがサポートされているIDプロバイダー上のiDPユーザ向けに、Face ID、Touch ID、セキュリティキーなどの追加のオプションもあります。 認証に関するパスワードとPINの設定は [ユーザ] > [ユーザ設定] で行います。

   • ユーザログインをスキップ

     nobody（匿名）ユーザまたは定義済みのユーザに割り当てられているデバイスは、後で [デバイス] ページから特定のユーザに再割り当てが可能です。

     以下のオプションから1つ選択してください：

     • 1人のユーザを定義して全デバイスを割り当てる
     • 全デバイスを匿名ユーザ1人に割り当てる

選択されたオプションが、[ユーザ設定] の選択肢より優先されます。

10. [アップロード] をクリックし、ステップ3で受領したキーをインストールします。
11. 表示されているフォームに入力し、Device Enrollmentデバイスのプロファイルを定義します。

設定	操作内容
名前	このDevice Enrollmentプロファイルを識別する名前を入力します。
説明	プロファイルの説明を入力します。
部署	このプロファイルに関連付けられている組織内の部署の名前を入力します。
監視モード	構成や制限において追加管理を有効化します。 iOS 13+およびmacOS 10.15+のデバイスでは、このオプションがデフォルトで有効化されています。
iOS 17+	登録用の最小OSバージョンを要求：管理者は、デバイス登録のための最小限必要なOSバージョンを設定できます。 デバイスが最小OSバージョンの条件を満たしていない場合、必須バージョンにアップグレードするよう求めるプロンプトがユーザに対して表示されます。 ユーザがアップグレードを拒否した場合は、登録がブロックされます。 最小iOS：ビルドバージョンが 'OSVersion' キーで指定されたOSバージョンと一致していない場合は、このOSバージョンが優先されます。 最小ビルドバージョン：ビルドバージョンが 'OSVersion' キーで指定されたOSバージョンと一致していない場合は、このOSバージョンが優先されます。 このフィールドはオプションであり、不正なビルド番号を入力した場合に メッセージ：ユーザに表示するのに適したエラーの説明。 必要に応じて、 クライアントは最善努力式でメッセージの表示を試行しますが、 ローカル条件により表示できない場合があります。 慣例としては、メッセージを追加する必要があります。 iOS向けベータプログラム：自動デバイス登録中にiOS上のベータソフトウェアバージョンを強制的に実行します。
macOS 14+	登録用の最小OSバージョンを要求：管理者は、デバイス登録のための最小限必要なOSバージョンを設定できます。 デバイスが最小OSバージョンの条件を満たしていない場合、必須バージョンにアップグレードするよう求めるプロンプトがユーザに対して表示されます。 ユーザがアップグレードを拒否した場合は、登録がブロックされます。 最小macOS：ビルドバージョンが 'OSVersion' キーで指定されたOSバージョンと一致していない場合は、このOSバージョンが優先されます。 最小ビルドバージョン：ビルドバージョンが 'OSVersion' キーで指定されたOSバージョンと一致していない場合は、このOSバージョンが優先されます。 このフィールドはオプションであり、不正なビルド番号を入力した場合に メッセージ：ユーザに表示するのに適したエラーの説明。 必要に応じて、 クライアントは最善努力式でメッセージの表示を試行しますが、 ローカル条件により表示できない場合があります。 慣例としては、メッセージを追加する必要があります。 macOS向けベータプログラム：自動デバイス登録中にmacOS上のベータソフトウェアバージョンを強制的に実行します。
iOS更新を自動的にダウンロードおよびインストール	（iOS 9.0+のみ）デバイスの [設定] > [iTunes StoreとApp Store] で [自動ダウンロード] オプションが選択されている場合は、[デバイス登録プロファイル] オプションがオフになっている場合でも、OS更新は自動的にダウンロードされますが、インストールはされません。 この設定は、Device Enrollment登録済みの監視対象デバイスに適用されるiOSソフトウェア更新設定がある場合に優先されます。 この設定の変更はすべて、デバイスのリセットがなくてもDevice Enrollment登録済みの監視対象デバイスに適用されます。
MDM削除可能	デバイスの登録後、ユーザがMDMから登録を解除できないかどうかを定義します。 この設定は共有iPadには適用されません。
MDM必須要件	アクティベーションプロセス中に、ユーザが、MDMのインストールをスキップできないかどうかを定義します。 iOS 13+およびmacOS 10.15+のデバイスでは、このオプションがデフォルトで有効化されています。
ペアリングを許可	（iOS 13+およびmacOS 10.15+は対象外）iTunes同期などのホストペアリング機能を許可します。 有効なペアリング証明書を持つホストに対しては、ペアリングが常に許可されます。
証明書	[+追加] をクリックして証明書をアップロードします。
サポート電話番号	デバイスユーザがサポートを依頼できる電話番号を入力します。
Eメールアドレスをサポート	デバイスユーザがサポートを依頼できるメールアドレスを提供します。
カスタム登録	（iOS 13.0+ and macOS 10.15+）カスタム登録Webページを作成します。 Device Enrollmentでユーザを認証するカスタムWebページ（Web View）を指定します。 このページには、認証の形式、ブランディング、同意する文章、プライバシーポリシーなどのカスタム情報を表示します。 詳細は、以下の手順で「Device EnrollmentカスタムWebページの追加」セクションをご覧ください。 [カスタム登録を有効化] を選択し、この機能を有効化します。 https://mycustomweburl.comなど、URLを入力します。 このURLが、Web Viewでユーザに提示するカスタムURLの値を定義します。
マルチユーザ	（iOS 13.4+）ビジネス向け共有iPad 企業において、パーソナライズされた経験を維持しながら、複数の従業員間でデバイスを共有させることができます。 デバイスで共有iPadを有効化するには [マルチユーザモード] を選択します。 詳細はビジネス向け共有iPadを参照してください。 この設定は、Apple Educationには適用されません。 マルチユーザ設定を変更するには [監視モード] 設定を選択します。
割り当て量	（iOS 13.4+）ビジネス向け共有iPad この値の単位はメガバイト（MB）で、デバイス内で1人のユーザに割り当てられているストレージ容量を示します。 値が小さすぎる場合は、デバイスによってデフォルトの割り当て量が割り当てられます。
常駐ユーザ	（iOS 13.4+）ビジネス向け共有iPad この値は、デバイス上に持続的に存在する、または常駐するユーザ数を示します。 この値がデバイスがサポートするユーザの最大数より大きい場合、MDMサーバーは最大ユーザ数をデフォルトとして使用します。 管理者は割り当て量または常駐ユーザ数を指定できます。 両方の値がある場合、MDMサーバーはデフォルトで割り当て量を使用します。
ユーザセッションタイムアウト	（iOS 14.5+）ビジネス向け共有iPad ユーザセッションのタイムアウト時間（秒）を示します。 ユーザセッションは指定の時間だけ動作がなければ自動的にログアウトとなります。 最小値は30秒です。 この値を0に設定するとタイムアウトがなくなり、デバイスのデフォルトタイムアウトが適用されます。 1～29の値は無効です。 1～29に設定するとデフォルトのタイムアウトに設定されます。
一時セッションタイムアウト	（iOS 14.5+）ビジネス向け共有iPad ゲストまたは一時セッションのタイムアウト時間（秒）を示します。 一時セッションは指定の時間だけ動作がなければ自動的にログアウトとなります。 最小値は30秒です。この値を0に設定するとタイムアウトがなくなり、デバイスのデフォルトタイムアウトが適用されます。 1～29の値は無効です。 1～29に設定するとデフォルトのタイムアウトに設定されます。
一時セッションのみ	（iOS 14.5+）ビジネス向け共有iPad Trueの場合、ユーザにはゲスト用ウェルカム画面のみ表示され、ユーザはゲストユーザとしてのみログインできます。 Falseの場合、ユーザは管理対象Apple IDでサインインできます（既存の挙動）。 デフォルト：False
管理された Apple ID の既定のドメイン	（iOS 16.0+）ビジネス向け共有 iPad ドメインのリストを指定します。 ユーザはQuickTypeキーボードのドメインのリストから各自のアカウントドメインを選択できます。
オンライン認証猶予期間	（iOS 16.0+）ビジネス向け共有 iPad ユーザがネットワークに接続せずにログインできる日数を指定します。 この値をゼロに設定すると、毎回オンライン認証が強制的に実行されます。 デフォルト：0
自動ロック時刻	（iOS 17.0+） デバイスがスリープモードに入るまでの時間（秒）を指定します。 最小値は120秒です。
パスコードロック猶予期間	デバイスユーザがデバイスのパスコードを入力してデバイスをロック解除しなければならなくなるまでの時間（秒）を指定します。 最小値は0秒、最大値は14400秒です。
タイムゾーン	デバイスのタイムゾーンを指定します。 例: 太平洋/ミッドウェー

以下の設定オプションで、デバイスアクティベーション中にユーザがスキップしてもよい手順を定義します。

設定オプション
パスコードの入力をスキップ - これを選択すると、Apple Pay設定のスキップとTouch ID設定のスキップが自動的に有効化されます。 位置情報サービスをスキップ バックアップからの復元をスキップ Androidからの「iOS移行」をスキップ 利用規約をスキップ Apple IDおよびiCloudへのサインインをスキップ - これを選択すると、Apple Pay設定のスキップが自動的に有効化されます。 Touch ID設定をスキップ（iPhone 5s、6、6+、iPad Air 2、iPad Mini 3のみ） - これを選択すると、Apple Pay設定のスキップが自動的に有効化されます。 Apple Pay設定をスキップ（iPhone 6、6+、iPad Air 2、iPad Mini 3のみ） Zoom設定をスキップ Siriをスキップ インテリジェンスをスキップ（iOS 18+およびmacOS 15+） 診断情報の自動送信をスキップ クラウドストレージをスキップ（iOS 10.3、macOS 10.13.4以降） ディスプレイ色設定をスキップ（iOS 9、macOS 10.14以降） ホームボタン感度をスキップ キーボード選択画面をスキップ オンボーディング情報画面をスキップ - この情報はユーザ向けです。 カバーシート、マルチタスキング＆コントロールセンターなど。 Apple Watch移行画面をスキップ 「アピアランスを選択」画面をスキップ（iOS 13.0+およびmacOS 10.14+） スクリーンタイムをスキップ（iOS 12.0+およびmacOS 10.15+） プライバシーをスキップ（macOS 10.13.4、tvOS 11.3以降） ロックダウンモードの有効化をスキップ（iOS 17.1+およびmacOS 14.0+） ソフトウェアアップデートをスキップ（iOS 12.0+およびmacOS 15.4+） 携帯電話プランペインの追加をスキップ（iPhone Xs、iPhone Xs Max、iPhone XR） ログインページにカスタムテキストを表示 - テキストボックスにカスタムテキストメッセージを入力する場合には、このオプションを選択します。 このメッセージは、Device Enrollmentの設定中にデバイスのログインページに表示され、エンドユーザの作業に役立つ情報を提供します。 自動詳細設定 - このオプションを選択すると、設定アシスタントがデバイスの設定画面を自動的に進めます。 デフォルトはfalseです。 tvOSおよびmacOS 11以降でサポートされています。 自動詳細設定はWi-Fi接続では機能しません。デバイスにはイーサネット接続が必要です。 住所条件 - 住所条件ペインをスキップします。 （iOS 16+）
iOS
開始ペインをスキップ（13.0+） iMessageとFaceTimeをスキップ（12.0+） 音声言語をスキップ（13.0+） 復元完了をスキップ（14.0+） 更新完了をスキップ（14.0+） セーフティをスキップ（16.0+） アクションボタン設定ペインをスキップ（17.0+） Webコンテンツフィルターペインをスキップ（18.2+） [セーフティと取り扱い] ペインをスキップ（18.4） マルチタスキングペインをスキップ（26.0+） OSショーケースペインをスキップ（26.0+）
macOS
iCloud Analytics画面をスキップ True Toneディスプレイ画面をスキップ（10.13.6+）-（任意）True Toneディスプレイウィンドウをスキップするには、このオプションを選択します。 アクセシビリティをスキップ (11.0+) Watchでロック解除をスキップ (12.0+) ロックダウンモードの有効化をスキップ (14.0+) 壁紙選択をスキップ (14.1+) 追加設定のプライバシーペインをスキップ（26.0+）
tvOS
Apple TVホーム画面レイアウト同期画面をスキップ Apple TVプロバイダーサインイン画面をスキップ 「タップして設定」オプションをスキップ Aerialスクリーンセーバー設定をスキップ
macOSアカウント設定アシスタントオプション
管理アカウント作成をスキップ プライマリ設定アカウント作成をスキップ プライマリアカウントをレギュラーユーザとして作成（チェックがなければ管理者として）
デバイス登録の設定中にデバイス構成を待機
構成および優先度の高いアプリケーションがデバイスにプッシュされるまで待機 - 構成および優先度の高いアプリケーションをデバイスにプッシュしてから、残りのデバイス登録設定画面に進む場合に選択します。 この設定によりエンドユーザは、必要な構成と優先度の高いアプリケーションがデバイスにプッシュされるまでデバイスを使用できなくなります。 時間制限 - デフォルトの時間制限は3分です。 最大で10分に設定できます。 この機能を有効化するには、Device Enrollmentプロファイルの編集中に [監視モード] オプションを選択します。

12. [保存] をクリックします。
    次の表は、[管理] > [Apple] > [デバイス登録] ページで入力されます。

    設定	操作内容
    [名前] (列見出しをクリックすると、アルファベット順に並べ替えられます。) この列の項目を検索するには [検索] フィールドを使用します	MDM サーバ名
    Apple アカウント名 (列見出しをクリックすると、アルファベット順に並べ替えられます。) この列の項目を検索するには [検索] フィールドを使用します	管理対象Apple ID
    デバイス数	割り当てられたデバイスの数
    登録プロファイル	割り当てられたデバイス登録プロファイルの数
    前回同期日時 (列見出しをクリックすると、アルファベット順に並べ替えられます。)	前回接続日時
    トークンの有効期限 (列見出しをクリックすると、アルファベット順に並べ替えられます。)	トークン有効期限

Device Enrollmentプロファイルの編集

手順

1. [管理] > [Apple] > [Device Enrollment] を開きます。
2. Apple Business Managerサーバー（Appleのサイトで作成したもの）の名前をAppleアカウント名の列から見つけます。
3. Enrollmentプロファイル列で数字のリンクをクリックします。
4. 具体的なプロファイルで [アクション] > [Device Enrollmentプロファイルを編集] を開きます。
5. プロファイルを更新および保存します。

複数のDevice Enrollmentプロファイルの管理

各Apple Business Managerサーバーに対してDevice Enrollmentプロファイルは複数作成できます。 これにより異なるデバイス群に異なる構成を配布します。 1つのDevice Enrollmentプロファイルから別のDevice Enrollmentプロファイルへデバイスを移動することも可能です。

手順

1. [管理] > [Apple] > [Device Enrollment] を開きます。
2. Apple Business Managerサーバーの名前をAppleアカウント名の列で探します。
3. Enrollmentプロファイル列で数字のリンクをクリックします。
4. 新しいDevice Enrollmentプロファイルを作成し、選択したサーバーに関連付けるには [新規プロファイルを作成] をクリックします。 プロファイルを作成および保存します。
5. 各プロファイルを管理するには、[アクション] をクリックし、以下のいずれかを選択します。
   • デフォルトのプロファイルに設定 - 同じ仮想サーバー内でのデフォルトのプロファイルに設定します。 新しいデバイスを登録するとこのデフォルトプロファイルを受信します。
   • プロファイルを編集 - 既存のプロファイルを編集します。
   • 認証を編集 - Device Enrollment認証設定を編集します。
   • Device Enrollmentデバイス属性を指定 - 管理者は、デバイスのカスタム属性を利用し、追加プロパティをこれらのオブジェクトと関連付けます。 これにより、そのプロパティをグループのビルドや構成の配布に利用可能となります。
   • 削除 - デフォルトのプロファイルは削除できません。 デフォルト以外のプロファイルを削除すると、関連するすべてのデバイスがデフォルトのプロファイルに割り当てられます。
6. 同じ仮想サーバー内で（異なるApple Business Managerサーバー間ではなく）1つのプロファイルから別のプロファイルへ登録済みデバイスを移動するには、[デバイス数] 列で数字のリンクをクリックします。 プロファイルの再割り当てはまだ登録されていないデバイスに適用されます。
   1. デバイス1台を移動するには、特定のデバイスについて [Enrollmentプロファイルを割り当てる] をクリックし、ドロップダウンリストからプロファイルを選択して [割り当てる] をクリックします。
   2. 複数のデバイスを移動するには、デバイスを選択し、[アクション] > [Enrollmentプロファイルを割り当てる] を開いた後、ドロップダウンリストからプロファイルを選択して [割り当てる] をクリックします。

• Device Enrollmentプロファイルが編集された場合、変更済みプロファイルのデバイス数がすぐに更新されます。
• Appleのサイトでサーバートークンを更新している場合は、既存のトークンが無効となります。 ただし、トークンの有効期限を含むDevice Enrollmentページの表示内容は、新しいトークンをアップロードするまで変更されません。

Device EnrollmentカスタムWebページの追加

対象：iOS 13.0、macOS 10.15、およびサポートされる以降のバージョン

カスタム登録セクションでは、Device Enrollmentでユーザを認証するカスタムWebページ（Web View）を指定できます。 このページには、認証の形式、ブランディング、同意する文章、プライバシーポリシーなどのカスタム情報を表示します。

手順

1. [管理] > [Apple] > [Device Enrollment] を開きます。
2. Appleのサイトで作成したサーバー名を探します。
3. [アクション] > [Device Enrollmentプロファイルを編集] を開きます。
4. カスタム登録セクションで [カスタム登録を有効化] を選択します。
5. 以下のオプションから1つ選択してください：
   • MobileIronがホストするWebページ - 登録がMicrosoft Active Directory Federation Services（ADFS）やOktaなどのIDプロバイダー（IDP）を使用している場合はIDプロバイダー（IDP）にリダイレクトされます。 IDP以外の認証を使用するIvanti Neurons for MDMユーザの場合はセルフサービスポータルにリダイレクトされる場合もあります。
   • カスタムURL - https://mycustomweburl.comなどのURLを入力します。 このURLが、新しいDevice Enrollmentデバイスまたは消去したデバイスの初期設定中に読み込まれるWeb Viewでユーザに提示するカスタムURLの値を定義します。 このフィールドを使用し、独自の認証UIと認証方法を定義してください。 ユーザの認証後、MDM登録プロファイルがダウンロードされます。

Device EnrollmenカスタムWebページのワークフロー

このセクションでは、Device EnrollmenカスタムWebページの機能とカスタムWebページ（Web View）作成手順を詳細に指定します。

URLフィールドに指定されたカスタムWebページが初めて読み込まれたとき：

• 構成Web URLはhttps形式で、GETリクエストです。 このWebページはパブリック証明書を使用する必要があります。
• 登録を開始したAppleデバイスにより、GETリクエストにカスタムヘッダー「x-apple-aspen-deviceinfo」が付加されます。 これには、デバイス属性のplistを含むCMS（暗号メッセージ構文）エンベロープのbase64エンコーディングが含まれます。 これは、トークンベースのデバイス登録における当初のPOSTリクエストで提供されるのと同じ形式の同じ情報です。

その後、カスタムWebページが読み込まれたとき：

• デバイスユーザは、管理者のホストサーバがcustom.mobileconfigファイルをクライアントに提供するまで、カスタムWebページ（Web View）を使用します。 Ivanti Neurons for MDMサーバーは、MDMプロファイルのバイトコードを返します。 管理者のホストサーバーでは、custom.mobileconfigファイルをapplication/x-apple-aspen-configのMIMEタイプともに設定する必要があります。これにより、デバイスのMDMプロファイルがダウンロードされ、デバイスにインストールされます。
• Ivanti Neurons for MDMの認証用として、Webページには認証ユーザ名とパスワード情報を含める必要があります。 Ivanti Neurons for MDMでは別のユーザを作成し、そのユーザにIvanti Neurons for MDMサーバURL（https://micloudDomain.com/c/i/dep/custom.mobileconfigなど）でMDMプロファイルを取得するカスタム登録の役割を指定することをお勧めします。
• デバイスを登録し、MDMプロファイルをIvanti Neurons for MDMから取得するため、管理者のホストWebサーバーはIvanti Neurons for MDMサーバーURLへのPOSTコールを実行する必要があります。 また、デバイスがGET URLにアクセスし、カスタムWebページを読み込む際に、ヘッダー「x-apple-aspen-deviceinfo」とデバイスが提供する値を渡す必要があります。 登録ユーザIDが提供されない場合、デバイスはnobodyユーザとして登録されます。 その他の情報は以下をご覧ください。
  • デバイスがDevice Enrollmentプロファイルに設定されたカスタムURLにアクセスすると、管理者のホストWebサーバーはデバイスが提示するヘッダー「x-apple-aspen-deviceinfo」を取得します。
  • そのデバイスのMDMプロファイルと関連ユーザを取得するため、管理者のホストWebサーバーはIvanti Neurons for MDMサーバーURLに対してヘッダー「x-apple-aspen-deviceinfo」のPOSTコールを実行する必要があります。 これは、Ivanti Neurons for MDMのユーザIDを要求パラメータとする基本的な認証情報（https://miCloudDomain.com/c/i/dep/[email protected]など）を含みます。 ユーザにはカスタム登録の役割が指定されます。
  • 管理者のホストWebサーバーは、バイトコードを受け取った後、応答ヘッダー「Content-Disposition = attachment;filename="profile.mobileconfig」と「Content-Type = application/x-apple-aspen-config」を設定することにより、バイトコードをデバイスにダウンロードします。
• Web Viewが閉じ、OSがプロファイルのインストールを試みます。これはMDM登録プロファイルでなければなりません。

Ivanti Neurons for MDM は、MDMプロファイルが戻されたユーザIDを認証しません。 したがって管理者は、MDMプロファイルを要求する前にユーザIDについて必要な認証を実行する必要があります。

iOSの場合、消去済みデバイスの最初のセットアップ時にこのワークフローを実行できます。 macOSの場合、Setup Assistantで、あるいはSetup AssistantでDevice Enrollmentをスキップした場合はProfiles設定ペインでもこのワークフローを実行できます。

カスタムWebページ作成に関する開発者向けの情報は、以下のAppleドキュメンテーションをご覧ください：

• Web View
• Web Viewを通じた認証
• Webサイトのデスクトップ版またはモバイル版を表示できる簡単なiPadのWebブラウザを実装するサンプルコード

Device Enrollment認証設定の編集

手順

1. [管理] > [Apple] > [Device Enrollment] を開きます。
2. Appleのサイトで作成したサーバー名を探します。
3. [アクション] > [認証の編集] を選択します。

モバイルアカウントのBootstrapトークン管理

対象：macOS 10.15およびサポートされる以降のバージョンを搭載し、Apple School ManagerまたはApple Business Managerを使用してMDMにデバイス登録されたデバイス。

Ivanti Neurons for MDM は、モバイルアカウントのBootstrapトークン管理をサポートします。 Bootstrapトークンにより、モバイルアカウントがFileVaultを使用するmacOSデバイスにサインインできます。 この機能により、ログインするすべてのモバイルアカウントが自動的にSecureTokenを受け取ります。 この機能は暗号化されたマシンに複数のユーザがログインする場合に便利です。

マネージド管理アカウントがデバイスにログインする場合：

• 初回ログイン時にMDMサーバーからBootstrapトークンが要求されます。
• MDMサーバーがBootstrapトークンを提供する場合、デバイスがアカウントのSecureTokenを自動的に作成します。
• デバイスがユーザのFileVaultを有効化します。

[Bootstrapトークン利用可] は、デバイス詳細ページのフィールドであり、新しいデバイスグループやカスタムポリシーを作成する際のフィルター属性でもあります。

トラブルシューティングや検証の場合はデバイスのデバイス詳細ページを開いてください。 [Bootstrapトークンを取得]、[Bootstrapトークンを設定] のアクション名を使用したフィルターでデバイスログを絞り込みます。

Device Enrollmentを使用したマネージドmacOS管理者アカウントの設定

Ivanti Neurons for MDM は、工場出荷時の状態にリセットしたデバイスや初めて起動したデバイスでのDevice Enrollment登録をサポートしています。 Device Enrollmentの使用により、macOSデバイス上で管理者アカウントを作成できます。 Ivanti Neurons for MDMIvanti Neurons for MDM Ivanti Neurons for MDM は、macOSの任意登録しかサポートしないため、iOSデバイスにのみ適用されるDevice Enrollmentプロファイルの [MDM必須要件] フィールドを無視します。

手順

1. [管理] > [Apple] > [Device Enrollment] を開きます。
2. Appleのサイトで作成したサーバー名を探します。
3. [アクション] > [Device Enrollmentプロファイルを編集] を開きます。
4. macOSアカウント設定アシスタントオプションから次のいずれかを選択します。
• 管理者アカウント作成をスキップ - 表示でも非表示でも、管理者アカウントの作成を禁止するには、このオプションを選択します。 [マネージドmacOS管理者アカウントを設定] セクション（以下に説明）で管理者アカウントの作成を許可するには、このオプションの選択を解除します。
• プライマリ設定アカウント作成をスキップ - macOSデバイスでプライマリアカウントの設定をスキップするには、このオプションを選択します。 管理者アカウントのほかのユーザアカウントは作成されません。 マネージドmacOS管理者アカウントを作成するには、別のセクション [マネージドmacOS管理者アカウントを設定] が表示されます（以下に説明）。 このアカウントはユーザ＆グループに対して非表示にすることも可能です。
• プライマリアカウントをレギュラーユーザとして作成（チェックがなければ管理者として） - 登録の一環として非管理者の標準アカウントを作成するには、このオプションを選択します。 それでも管理者が管理者アカウントを作成し、デバイスにプッシュすることは可能です。 マネージドmacOS管理者アカウントを作成するには、別のセクション [マネージドmacOS管理者アカウントを設定] が表示されます（以下に説明）。 このアカウントはユーザ＆グループに対して非表示にすることも可能です。
5. マネージドmacOS管理者アカウントを作成するには、上のいずれかを選択した後、以下の情報を [マネージドmacOS管理者アカウントを設定] セクションに入力してください。
• フルネーム
• アカウント名
• パスワード
• パスワードの確認
• （任意）ユーザ＆グループのマネージド管理者アカウントを非表示
6. [プライマリ設定アカウント作成をスキップ] を選択しない場合、次の情報を [プライマリアカウントを設定] セクションに入力します。 これにより、マネージドローカルユーザの短縮名が管理者の短縮名に設定され、マネージド管理者アカウントのユーザチャネルサポートが追加されます。
   • フルネーム
   • 短縮名
   • （任意）エンドユーザによる変更を防止 - この設定は「フルネーム」や「短縮名」に代替変数があり、空と評価されている場合にはオーバーライドされます。 これを選択した場合、以下のいずれかのオプションが適切に設定されている場合に限り、このプライマリ管理者アカウント設定が適用されると理解したことを確認してください。
     1. 認証設定画面で [ユーザ登録/ログインを指示] が選択されている。
     2. MobileIronがホストするWebページが登録のカスタマイズに選択されている。
7. マネージド管理者アカウントのユーザチャネルサポートを有効化するには [プライマリ設定アカウント作成をスキップ] を選択します。 管理者の短縮名にはマネージドローカルユーザの短縮名を設定します。
8. [保存] をクリックします。

ローカルのmacOS管理者アカウントパスワードの変更

管理者は、Device Enrollment中にセットアップアシスタントが作成したローカルのmacOS管理者アカウントのローカルパスワードを変更できます。

対象：macOS 10.11またはサポートされる以降のバージョン。

手順

1. [デバイス] を開きます。
2. デバイスが関連付けられているユーザ名をクリックしてデバイス詳細ページを開きます。
3. [アクション] メニューで [[macOS管理者パスワードを設定] をクリックします。これは [デバイスリスト] ページで1つ以上のデバイスを選択しても実行できます。
4. パスワードを入力します。
5. [保存] をクリックします。

CSVにエクスポート

Ivanti Neurons for MDM デバイス登録済みのデバイスをCSVファイルにエクスポートできます。

手順

1. [管理] > [Apple] > [デバイス登録] を開きます。
2. [デバイス数] 列の下の、特定のデバイス数リンクをクリックします。
3. [CSVにエクスポート] オプションをクリックして、デバイスリストと関連詳細をCSVファイルにエクスポートします。 レポートの準備が完了すると、レポートをダウンロードまたは削除するよう促すメッセージが表示されます。 レポートをダウンロードするためのリンクが記載された電子メールも送信されます。
4. [ダウンロード] をクリックします。
5. （任意）レポートを削除するには [削除] をクリックします。