Ivantiブログ: 投稿者

Apple Business Manager Device Migration：知っておくべきこと

Fri, 12 Sep 2025 17:27:33 Z

AppleのOS 26のリリースにより、Apple Business Manager（ABM）またはApple School Manager（ASM）を使用するIT管理者に、新しい強力なツールが提供されます：Device Migrationです。この機能により、MDMプラットフォーム間でのデバイスの切り替えが大幅に容易になり、エンドユーザーへの中断を最小限に抑えることができます。

本記事では、知っておくべき重要事項と、ABM Device MigrationがIvanti Neurons for MDMへの移行を非常に簡単にする方法についてご説明いたします。

ABM Device Migrationの主要機能

AppleのABM Device Migration機能により、手動の手順やユーザーへの中断なしに、異なるMDMソリューション間でのデバイス移行が容易になります。

手動での再登録が不要。デバイスを消去したり手動で再登録したりすることなく、あるMDMサーバーから別のサーバーへ、またはあるベンダーのMDMから別のベンダー（Ivanti Neurons for MDMを含む）へデバイスを転送できます。既存のすべてのユーザーデータとデバイス構成は、移行中に自動的に適用されます。エンドユーザーは、デバイスの再起動と新しいMDMへの再登録という、ガイド付きの2回のクリックで再登録を完了できます。

Enrollment Deadlines。これは、AppleがABMとASMに導入した最新機能です。デバイスを新しいMDMインスタンスに移行するための期限を設定し、適用することができます。デバイスが期限内に登録されない場合、ロックされ、ユーザーは登録を完了するよう求められます。この期限により、新しいMDMへの再登録の自動化プロセスをトリガーすることができます。エンドユーザーには、シームレスに再登録を完了するための画面が表示されます。

エンドユーザーエクスペリエンス。エンドユーザーエクスペリエンスは、enrollment deadlineが過ぎていない限り、移行中に変更を認識しません。移行が完了すると、ユーザーはデバイスを再起動するよう促されます。デバイスの再起動後、エンドユーザーは新しい管理ソリューションにデバイスを再登録するよう促され、これには1回のクリックが必要です。

API駆動。このプロセスは、Appleの新しいAPI（有効化が必要）を使用して、ABMまたはASMポータルを通じて管理することもできます。これは、APIインフラストラクチャを使用する顧客が、ABMコンソールにアクセスすることなく、新しいApple ABM APIを使用してデバイスを一括で割り当てまたは割り当て解除できることを意味します。

ABM Device Migrationのユースケース

この機能をいつ使用しますか？以下は、主要なユースケースです。

クラウド移行

ABM Device Migrationにより、デバイスを再登録することなく、オンプレミスMDMからクラウドベースのMDMに移行できます。Ivantiのお客様にとって、この機能により、Ivanti Endpoint Manager（macOS用）またはIvanti Endpoint Manager Mobile（すべてのAppleデバイス用）からIvanti Neurons for MDMへの移行が容易になります。

MDMプロバイダーの切り替え

ABM Device Migrationは、別のMDMプロバイダーからIvanti Neurons for MDMへの切り替え、またはJamfやKandjiなどのAppleデバイスのみを管理するMDMから、すべてのデバイスタイプ（Android、Windows、Apple）を単一のプラットフォームに統合することを簡素化します。

学区でのデバイスの再配置

教育機関は、すべてのApple管理および割り当て設定を維持しながら、部門またはキャンパス間でデバイスを再配置できます。

合併、買収、または組織再編

M&Aまたは組織再編によりITインフラストラクチャを統合または分離する場合、ユーザーへの中断を最小限に抑えながら、デバイスを新しいMDM環境に移行できます。

ABM Device Migrationの設定：ステップバイステップガイド

開始する前に

開始する前に考慮すべき2つの重要な点があります：

Device Migrationは、iOS 26、iPadOS 26、またはmacOS 26（またはそれ以降）を実行しているデバイスでのみ動作します。まずデバイスが更新されていることを確認してください。
Device Migrationをサポートするために、MDMサーバー側で変更を行う必要はありませんが、ターゲットMDMサーバーは新しいデバイス割り当てと登録リクエストを受信する準備ができている必要があります。

ABMコンソール経由でのDevice Migration

Apple Business Managerにサインインし、Devicesに移動します。ここから、検索バーを使用して、シリアル番号、注文番号、またはその他の識別子でターゲットデバイスを見つけます。次に、移行期限を設定するデバイスを選択します。

次に、デバイスの詳細を確認します：デバイスをクリックして詳細ビューを開き、正しいMDMサーバーに割り当てられていることを確認します。これで、移行期限を設定できます。

ここから、Assign Device Managementをクリックします。

ポップアップで、デバイスを割り当てる新しいMDM組織を選択できます。

次に、期限を選択します。

期限の希望する日時を選択します。これは、ユーザーが割り当てられたMDMサーバーにデバイスを移行する必要がある最終日です。ユーザーがプロンプトに従わない場合、デバイスからロックアウトされます。次に、Continueをクリックします。

デバイスで、ユーザーはデバイスを再起動するよう通知を受け取ります。

再起動後、デバイスはユーザーに新しい管理サービスへの登録を要求します。

API経由でのDevice Migration

API経由でABM Device Migrationを設定するのは簡単で、どのMDMに、またはどのMDMから切り替えるかに関係なく、ABM（またはASM）内で完全に実行されます。

まず、Apple Business ManagerまたはApple School Managerアカウントにログインし、Settings > Device Manager Settingsに移動します。

次に、Device Migrationを許可するために必要なAPIを確認して有効にします。（方法がわからない場合は、ステップバイステップのヘルプについてApple管理者ガイドを確認してください。）

APIが有効になると、Appleの移行ワークフローに従ってデバイスを選択し、新しいターゲットMDMサーバーを指定できます。オプションで、移行されたデバイスのenrollment deadlineを設定できます。

ABM Device Migrationの追加リソース

より詳細な情報が必要な場合は、以下を参照してください：

Ivantiの最新イノベーションでApple DDMを最適化

Tue, 21 Jan 2025 20:10:27 Z

現代の企業に導入されるデバイス、とりわけAppleデバイスが急増しており、ITチームやサイバーセキュリティチームにとって、もともと負担の大きいデバイス管理業務がさらに重くなっています。

最近の調査によると、大企業の76%がAppleデバイスの利用を拡大しており、米国企業の57%がAppleの導入ペースは他の選択肢を上回っていると回答しています。そのため、デバイス管理を効率化し、コンプライアンスを自動化し、拡張性を高めるために、Apple宣言型デバイス管理（DDM）を活用することが、より多くの企業にとって重要になっています。

AppleのDDMへのアプローチは2021年に導入され、OSのリリースごとに拡張されてきました。これにより、デバイス管理に根本的な変化がもたらされ、ソフトウェアアップデートとパッチ適用が効率化されています。現在、ITチームは望ましい状態を定義できるため、Appleデバイスは構成と更新をローカルで自己適用でき、サーバーや手動介入への依存を減らせます。

その結果、更新をより迅速に実行し、エラーを最小限に抑え、エンドユーザー体験を目に見えない形でプロアクティブに向上できます。これにより、セキュリティと運用の俊敏性を維持しながら、IT部門の負荷を大幅に軽減できます。

AppleはiOS、iPadOS、macOS 26における従来型のソフトウェアアップデート管理を非推奨にしており、2027年のOSバージョンではサポートを廃止する予定です。つまり、DDMへ移行するなら今がそのタイミングです。IvantiのMDMおよびUEM製品が、管理者によるApple DDMの最大活用をどのように支援するかを見ていきましょう。

宣言型デバイス管理（DDM）とは

DDMは、主に企業や組織のIT環境でデバイスを管理するための高度なアプローチです。管理者はデバイスやシステムの望ましい状態を定義でき、システムはその状態を自動的に適用して維持できます。

DDMモデルは、構成やアクションをIT管理者が中央でスクリプト化して管理する従来の命令型管理から脱却するものです。従来のアプローチでは、各デバイスで望ましい結果を達成するために直接的な指示が必要でした。

DDMの主な機能とメリット

従来のデバイス管理モデルと比較して、DDMにはどのような利点があるのでしょうか。

管理者はデバイスの望ましい状態や動作を指定でき、その状態を「どのように」実現するかではなく、「何を」実現すべきかに焦点を当てられます。たとえば、セキュリティ設定を構成するために個別のコマンドをスクリプト化する代わりに、管理者は必要な設定を宣言するだけで、システムがそれを適用します。
デバイスは自律的に構成を監視し、事前定義された状態への準拠を確保します。デバイスに逸脱が生じた場合、手動介入なしで自動的に自己修正し、コンプライアンスを回復します。
DDMは、反復的で手動の構成作業の必要性を最小限に抑えるため、大規模環境で非常に高い効果を発揮します。
DDMは管理ワークフローの複雑さを最小限に抑え、デバイス全体の一貫性を確保します。
DDMでは最新の管理プロトコルを使用し、デバイス構成やポリシーをより迅速かつ確実に更新できます。
DDMは一般的にクラウドベースのモバイルデバイス管理（MDM）ソリューションに実装され、同期、監視、適用にクラウドを活用しますが、オンプレミスのソリューションにも実装できます。
DDMは構成と適用のプロセスを自動化することで、手動作業を削減します。
デバイス全体で一貫性とコンプライアンスを確保し、人的ミスのリスクを低減します。
動的な更新により、従来の方法と比べてポリシーや設定をより迅速に適用できます。
変更はユーザー体験を妨げることなく、シームレスに実装されます。

DDMのユースケース例
仮の例として、IT管理者が企業環境内のすべての従業員デバイスについて、次の要件を宣言するとします。
特定のバージョンのオペレーティングシステムを搭載していること。
暗号化を有効にすること。
特定のアプリケーションへのアクセスを制限すること。
DDMを使用すると、これらの要件は自動的に適用され、継続的に実施され、逸脱があれば修復されます。

Apple DDMによるソフトウェアアップデートとOSパッチ適用

ソフトウェアアップデートとオペレーティングシステム（OS）のパッチ適用にApple宣言型デバイス管理を活用すると、これらのプロセスを大きく改善し、よりプロアクティブで効率的かつシームレスにできます。管理を簡素化し、遅延を減らし、デバイス群を常に安全かつ最新の状態に保つことができます。

ソフトウェアアップデートのメリット

分散実行による一元管理

管理者は構成を中央で設定し、実行はデバイスのローカル機能に委ねます。

プロアクティブなローカル適用

更新はデバイスレベルで適用されるため、サーバーによる継続的な介入が不要になります。管理者が望ましいOSバージョンと期限を設定すると、デバイスが自律的にコンプライアンスを確保します。
デバイスは自らを監視し、サーバーとの継続的な通信を必要とせずに更新を適用します。

自動化

管理者は特定のバージョン、期限、更新スケジュール（例：業務時間外）を構成でき、エンドユーザーへの影響を最小限に抑えながらプロセスを自動化できます。
たとえば、重要なセキュリティパッチを特定の時刻にスケジュールすることで、ユーザーの介入なしにすべてのデバイスを更新できます。
デバイスの電源がオフで更新期限に間に合わなかった場合、宣言型管理により更新は後の時刻に自動的に再スケジュールされます。

ユーザー通知とエクスペリエンス

通知は期限の14日前から開始され、ユーザーが都合のよいタイミングで更新するよう促します。期限当日には、必要に応じてデバイスが自動的に再起動し、更新をインストールします。
管理者はこれらの通知をカスタマイズしたり、早期リマインダーを抑制したりできます（例：小売業や医療環境）。
管理者は、強制期限前の手動更新を許可する、ユーザーによる延期を制限するなど、Apple DDMで許可されるユーザー操作のレベルを構成できます。

ネットワーク依存を抑えた迅速な更新

サーバーがデバイスの状態を継続的に確認する従来のMDMとは異なり、DDMはコンプライアンス機構をエンドポイントに移すことで遅延を低減します。

ステータスレポートの強化

デバイスは、更新が進行中か、正常に完了したか、失敗したかを含め、更新のステータスをサーバーへプロアクティブに報告します。失敗した場合は、詳細なエラーログを利用できます。

OSパッチ適用のメリット

コンテキストに応じた更新のための述語

DDMでは、デバイスが充電中である場合やバッテリー残量が80%を超えている場合にのみパッチを適用するなど、更新の条件付きルール（述語）を設定できます。
これらの条件はデバイス上でローカルに評価されるため、更新は状況に応じて効率的に実行されます。

新しいOSバージョンへのシームレスな移行

DDMは、各ステップで管理者が手動で監督することなく、新しいOSリリースやセキュリティパッチへの移行を自動的に管理します。

インターネットがない環境でのローカルアクション

デバイスはオフライン時でも構成やパッチを適用でき、事前に読み込まれた基準に基づいて更新を適用し、条件が許可したとき（例：電源に接続されたときや業務時間外）に変更を有効化します。

もう1つの実践的なユースケース
1,000台以上のiPhoneとMacBookを持つ組織で、ゼロデイ脆弱性への即時パッチ適用が必要になったとします。解決策は何でしょうか。
管理者はApple DDMを使用して、パッチの期限と対象バージョンを宣言します。
デバイスはローカルの述語に基づいて更新を適用し、最適な条件下（例：バッテリー消費が少ない時間帯）でパッチが適用されるようにします。
ユーザーは更新前に通知を受け取るため、ワークフローを中断されることなく情報を把握できます。

Ivantiの宣言型管理サポート

Ivantiの宣言型管理サポートは、Appleの宣言型デバイス管理（DDM）フレームワークを基盤として、Appleデバイスを管理するためのシームレスでプロアクティブかつ効率的なアプローチを提供します。主な構成要素にはどのようなものがあるのでしょうか。

Apple DDMフレームワークとの統合

IvantiはAppleのDDMを、既存のモバイルデバイス管理（MDM）プロトコルを強化するものとして活用しています。これは完全な置き換えではなく、次の目的で設計された追加レイヤーです。

デバイス応答の自動化：デバイスが構成とポリシーをローカルで適用できるようにし、継続的なチェックにおけるサーバーへの依存を減らします。
リアルタイムのプロアクティブ性の実現：事前定義された条件（述語）が満たされると、デバイスは更新や構成を自律的に適用できます。

ソフトウェアアップデートの適用

Ivantiのプラットフォームは、Appleの宣言型ソフトウェアアップデート管理をサポートし、次の機能を提供します。

適用設定：管理者はOSバージョン、期限、更新スケジュールを指定できます。
プロアクティブなローカルアクション：デバイスは自らを監視し、手動入力やサーバー側のトリガーを待つことなく更新を適用します。
コミュニケーションの向上：デバイスは更新の進捗、成功または失敗をIvanti管理サーバーに直接報告し、管理者にリアルタイムの可視性を提供します。

述語管理

Ivantiサポートの特長の1つは、構成や更新を適用する前にデバイスが評価する論理条件である述語の処理です。たとえば、次のような条件です。

ポリシーは、デバイスのバッテリー残量が80%を超えている場合にのみ適用されます。
構成は、デバイスが充電中の場合に有効化されます。

Ivantiコンソールでの述語管理の簡素化

Ivantiは、構成全体で述語を作成、管理、再利用するための専用インターフェイスを提供します。
これらの述語は宣言型構成に簡単に適用でき、複雑なワークフローを効率化します。

ユーザー体験と通知

IvantiはAppleの通知機能を活用して、ユーザー体験を向上させます。

通知は更新期限の14日前から開始でき、頻度や内容を調整するオプションがあります。
重要な更新では、予定された期限に再起動と更新を強制することで、ユーザーによる延期を上書きできます。

期限超過時の処理

デバイスが期限に間に合わなかった場合（例：電源がオフだった場合）、Ivantiはコンプライアンスを確保するために更新を自動的に再スケジュールします。

サポートされる構成

Ivantiは従来のMDM構成と新しいDDM構成の両方をサポートすることで、後方互換性と宣言型管理へのスムーズな移行を確保します。
既存のポリシーとワークフローは中断なく継続されます。
宣言型構成（例：述語やローカル適用）は、プラットフォーム内に段階的に統合され、強調表示されます。

関連：ウェビナー IvantiでAppleデバイス管理をマスターする

宣言型デバイス管理によるAppleデバイスの更新とパッチ適用に関するIvantiのガイダンス

Apple DDMをサポートするIvantiのアプローチは、Appleの宣言型管理フレームワークが持つプロアクティブな機能を活用し、使いやすいインターフェイス、自動化、複雑な企業ワークフローへの対応と組み合わせています。この包括的なガイダンスにより、企業のデバイス管理の効率性とセキュリティが向上します。

更新とパッチの適用

自動スケジューリングにより、管理者は対象OSバージョンと更新を実行する特定の日時を指定して、更新を適用できます。これにより手動更新の必要性がなくなり、組織のポリシーへの準拠が確保されます。
デバイスはローカルで更新の適用を実施し、サーバーとの継続的な通信に依存せず、事前構成された条件に基づいて更新を適用します。

ユーザー通知の管理

通知は更新期限の14日前からエンドユーザーに送信され、透明性を提供するとともに、ユーザーが都合のよいタイミングで更新するよう促します。
小売業や医療などの特定のユースケースでは、柔軟な通知構成により、管理者は早期通知を抑制し、直前のアラートを選択して影響を最小限に抑えることができます。

コンプライアンスと可視性の向上

デバイスは更新ステータスをIvantiサーバーへプロアクティブに報告し、更新が進行中か、正常に完了したか、失敗したかを知らせます。管理者は問題のトラブルシューティングに役立つ詳細なエラーログにもアクセスできます。
デバイスが期限に間に合わなかった場合（例：電源がオフだった場合）、デバイスは次に利用可能な時間帯に更新を自動的に再スケジュールします。

条件付き更新における述語の使用

管理者は、更新を適用するタイミングを決定する述語ロジックを定義できます。
条件はローカルで評価されるため、デバイスがオフラインでも更新を実行できます。
Ivantiは、構成全体で述語を作成、管理、再利用するためのツールを提供し、条件付き更新をより簡単に実装できるようにします。

ユーザー体験の向上

エンドユーザーには、強制期限を含む更新スケジュールについて明確に通知されます。自動適用を回避するため、期限前に手動で更新をインストールする選択肢もあります。
更新は業務時間外にスケジュールでき、ユーザーの日常業務への影響を最小限に抑えられます。

パッチ管理の効率化

Ivantiは、Appleシステムアップデートに対応した宣言型パッチ管理をサポートします。
管理者は重要なセキュリティパッチを含む更新を適用でき、デバイスを安全かつ準拠した状態に保てます。

関連：ナレッジベース記事 Neurons for MDMとEPMMでAppleソフトウェアアップデートを適用する方法

Apple DDMサポートにおける優れたアプローチ

IvantiのApple宣言型デバイス管理へのアプローチは、組織の自動化、ローカル適用、プロアクティブな機能を拡張する点で際立っています。

管理者は使いやすいツール、カスタマイズ可能な通知、詳細なステータスレポートのメリットを得られます。一方、スケジュールされた更新とシームレスなワークフローにより、エンドユーザーへの影響は最小限に抑えられます。Ivantiにより、Apple DDMは、それを利用する組織にとってさらに効率的で安全かつ拡張性の高いものになります。

関連：企業向けApple宣言型デバイス管理ガイド

WWDC23: Apple デバイスを管理するために IT 管理者が知っておくべきこと

Tue, 25 Jul 2023 19:51:36 Z

Apple が毎年開催する開発者会議 (WWDC) は、Apple のデバイスを管理するすべての人にとって情報の宝庫です。

新しいオペレーティングシステム（特にiOS 17、iPadOS 17、macOS 14、watchOS 10）と新製品（15インチMacBook Airとアップル Vision Pro）が大きな注目を集めたかもしれませんが、WWDC23は、企業のデバイス管理にとっても、それに劣らない重要な多数の新機能をもたらしました。

では、IT 管理者はこの秋の OS アップデートを前に、何に注意を払うべきなのでしょうか。

宣言型デバイス管理の大きな前進

Apple は 2021 年、MDM プロトコルの拡張機能として宣言的管理を導入しました。そして今年は、段階的な移行の一環として、MDM と宣言型管理の共存が可能な構成を同時にリリースする傾向が続きました。 Apple は、今日の MDM プロトコルから宣言型管理への移行パスを発表しました。これにより、エンドユーザーにとってシームレスな切り替えが可能になります。

今年の注目点は、Apple が宣言型管理によってのみサポートできる機能（パスキー と Apple Watch 管理）もリリースしていることです。 Ivanti の UEM 製品は、今後数四半期で宣言型デバイス管理、つまりこれらの新機能をサポートする予定です。

IT部門にとっても、エンドユーザーにとっても、よりシンプルなデバイス登録

今年リリースされたデバイス登録機能強化の明確なテーマは、手作業からの脱却です。

Return to Service は、デバイスを管理下に戻すための新機能で、IT 管理者はコマンドを送信してデバイスを消去し、自動的に再登録することができます。これまでは手作業で行われていたプロセスです。この機能は、手動による作業を行わずにリモートで再設定する必要がある、専用ユーザーのいない機器で特に有効です。たとえば、退院後にiPad をリセットする必要がある場合などです。

アカウント駆動型デバイス登録（すでに利用可能なアカウント駆動型ユーザー登録の拡張機能）は、ユーザーがプロファイルを手動でインストールするのではなく、職場や学校のアカウントでサインインしたときに自動的にデバイスを登録します。この余分なステップを省くことで、デバイスのオンボーディングを効率化できます。

デバイス登録のテーマでは、Setup Assistant においても、OS の最小要件を満たすデバイスに登録を制限する機能、セットアップ中に FileVault を設定する機能など、注目すべき機能強化が見られました。これらの機能により、企業は、基本的なセキュリティ機能がコンプライアンスに適合していることを確認するための手動の設定を必要とせずに、サプライヤーからエンドユーザーへ直接デバイスを配送することができます。

優れたエンドユーザー体験の実現に向けた簡単なエンドユーザー認証

Managed Apple ID の更新により、組織は、エンドユーザが自社のデバイスやサービスにアクセスしやすくなるよう改善されたさまざまな認証機能を利用できるようになります。 Managed Apple ID には、iCloud Keychain、Apple Wallet、およびアクセス管理制御のサポートが含まれ、組織は特定のサービスへのアクセスを制限したり、ユーザがサインインした際のデバイスの管理状態を指示したりできるようになります。さらに、管理対象デバイス間でパスキーを同期できるようになったため、さらに安全な認証が可能になりました。

プラットフォームシングルサインオン (SSO) では、ID プロバイダー (IdP) からの資格情報を使用して、共有された Mac でローカルユーザーアカウントを作成できるようになりました。

最後に、Managed Device Attestation が macOS で利用可能になり、デバイスのセキュリティ態勢とプロパティについて強力な保証を提供します。

デバイスとアプリケーションの接続に関する有用な更新

VPN の代わりに、HTTP/3 または HTTP/2 トンネルを使用してトラフィックを保護するために、新しいビルトインリレーを使用できるようになりました。構成はドメインベースで、管理対象アプリ、ドメイン、またはデバイス全体に適用できます。

また、Apple　はイーサネットの　802.1X　サポートを拡張しました。これにより、WiFi に頼ることなく、認証を必要とする制限されたネットワークに iPhone、iPad、Apple TV を接続することができます。

プライベートネットワークとネットワークスライシングのサポート

待望のプライベート 5G および LTE ネットワークのサポートが、ついに iOS 17 および iPadOS 17 で実現しました。

管理者は、Wi-Fi よりも携帯電話を優先させるために、デバイスがジオフェンスに入ったときに自動的にプライベート SIM をアクティブ化できます。

また、5G ネットワークスライシングにより、モバイルネットワーク事業者は、ネットワーク遅延、スループット、パケットロスに対する特定のサービス品質要件を持つ 5G スタンドアロンネットワークを通じてトラフィックをカスタマイズできます。

職場におけるウェアラブルの新しい使用例

Apple Watch が新たに管理対象デバイスとしてサポートされました。監視対象の iPhone とペアリングされた Apple Watch は、watchOS 10 で登録、管理できるようになりました。ただし、宣言型の管理構成が有効でなければならないという非常に重要な要件があります。。

今秋の OS アップデートに向けた計画

Ivanti は iOS 17 と macOS 14 のベータ版を積極的にテストしており、優れたエンドユーザー・エクスペリエンスと合理化された IT プロセスのために、これらの新機能を活用できるようにしています。

Ivanti 製品のゼロデイサポートを計画しているため、互換性に関するコミュニケーションに注意してください。