2021.8.9

MDM管理下から外れられないようにしたDEP端末を端末側で無理やり初期化したらどうなるか

以前の投稿で、DEP端末であればMDM管理下から外れられないように設定できることを解説しました。

 
(左はMDM管理下から外れられる通常チェックイン済み端末。右はMDM管理下から外れることを禁止したDEP端末)

さて、MDM管理下から外れられないようにした端末(上図の右側)をiOS端末側で初期化したらどうなるでしょうか？以下のようにリセットの画面から無理やり初期化すると…

 

工場出荷時に戻りますから、これでMDM管理下から外れることができてしまえるのでしょうか。

答えは、NOです。

MDM管理下から外れられない設定になっているDEP端末は、たとえiOS端末側で初期化してもMDMの支配からは逃れられません。それもその筈、DEP端末とは工場出荷後の初回電源ONで、

• 自動で監視モードとなる
• 自動でMDMにチェックインする

の2つが同時に行われる端末なのでした。(参考 : DEPとは何か)

端末は初期化によって工場出荷状態になりますから、その直後の起動でやはり自動的にチェックインされ、再びMDMで指定した通りの設定が流し込まれアプリもインストールされます。「振り出しに戻る」だけですね。納品されたDEP端末の箱を開梱し電源ONした時の挙動と一緒です。

端末で何度初期化されても「振り出しに戻る」だけですから、従業員が勝手に配布端末を初期化して個人利用する可能性を心配する必要はありません。これぐらいDEP端末はMDMの支配を強くできるのですね。

 

端末側での初期化を禁止する必要はないかも知れない

端末から初期化してもMDM設定通りの端末に戻るだけ。初期化されても元通り。…となると、iOS端末からの初期化禁止をあえて行う必要がない場合もあることに気が付きます。

(構成プロファイルで端末からの初期化を禁止できる設定が作れるのだった)

初期化禁止の方法を紹介した以前の投稿で

特に、商業施設での設置型端末や、各支社の受付・打ち合わせルームに常設するiOS端末がそうです。
現地判断で当事者が初期化を行えたほうがいい場合もあります。

と書きました。MDMの設定が正しく行われていれば、端末の調子が悪いという報告が寄せられた時に、iOS端末側で初期化して貰ったほうが手っ取り早い場合があります。「とりあえず端末を初期化して貰ったら元に戻りますので…」と言えることが、サポート労力の軽減に繋がることもあるでしょう。

もしiOS端末からの初期化を禁止していると、初期化は

• MDMから遠隔初期化
• Apple Configurator2 をつないで初期化

の二択になります。Macとの接続を禁止していれば前者一択となりますし、状況によってはリカバリーモードによる復旧まで視野に入れなくてはなりません。誰にとっても面倒なことになります。

禁止できるものは全て禁止する…のではなく、アプリの特性や端末の利用シーンを考慮して端末での初期化を禁止するかどうかを決めるのをお勧めします。弊社での経験上、DEP端末であれば禁止しないほうが有事の対応が楽です。(ただ使用するアプリにもよりますので慎重に検討する必要があります)

 

ということで今回は、MDMチェックアウトできないDEP端末で、端末側から初期化された場合にどうなるかについて説明しました。結論は「納品後のDEP端末を初めて開梱した時と同じ振る舞いになる」でした。運用設計の参考にして頂ければと思います。