iOS9+MDMの教育向け設定が実際どうなのか検証してみた
久しぶりの更新です。
このブログで以前に書いた「WWDCビデオによるとiOS9で教育分野のiPad管理が大幅に改善されそうです」が公開から時間が経った今も結構読まれているようです。そろそろiOS9もリリースされて時間が経過しており、「実際に使ってみてどうよ?」というのが知りたい人が多いのかもしれません。
ということで、これから全国各地の学校で新学期に向けた新規導入や、導入済み端末の保守作業に挑む方々や、これらのタスクを業者さんに丸投げではなく学校である程度内製化しスキルアップしようという方を対象に、以前記事に書いた内容が、本投稿執筆時点においてどこまで実現できているかの検証結果を紹介しようと思います。全国各地でiPadのDeploy作業に挑む皆様の一助となれば幸いです。
なお、今回の検証には iOS9.3 で実装されると言われている「Classroom」などの新機能は含まれていません。こちらについては、環境が整い次第試してみようと思っています。
1. MDMから遠隔でアプリをインストールする場合でもApple ID が不要になる
こちらについては、執筆時点(2016/1/30)で国内の主要MDMは未対応のようです。ざっくり情報を検索していくと、海外のMDMでは一部で対応事例が出てきているような記載が見られるので、現在「本当にできた」という事例を収集しているところです。が、英語ベースのMDMは困った時にヘルプやマニュアルを読み解くのが大変です。管理に長けた業者さんにお願いできる場合は良いですが、学校が自前保守を行うことを(将来的に)考えているならば、英語大得意でかつ機械も任せろ!的な人が当面異動や転職する予定もなさそうという場合を除いて大変な気がします(私見ですけど)。
いずれにしても、生徒一人1台のiPadを配布する場合はこのApple IDの取得は手間や管理の面でも頭の痛い問題で、これから導入作業が本格化する3−4月にかけてぜひとも実現してほしい機能かと思います。国内ベンダーではアイキューブドシステムズさんの「CLOMO」が当該機能を→のページで「近日提供予定」としていますので期待しています>この記事を読んでいる中の人各位
2. MDMから一斉にiOSの最新版へのアップデートを指示できるようになる
これについてはほとんど調べてもないですし、検証もしていません。というのも、仮にできたとしても、全端末が一斉にWebからアップデートを取得することになり、ネットワークへの負荷がかなり高くなることが懸念されるからです。できれば保守作業として一時的にiPadを一箇所に回収し、(万一に備え事前にバックアップを取得する意味も含め)Apple Configuratorなどを使って有線経由でアップデートした方が確実だと思ってます。
3.「パスコード」「壁紙」「機器名称」などの変更を制限可能になる
すでに「構成プロファイル」の機能拡張により実現されています。Apple Configurator2 の構成プロファイルエディタの「制限」の中にペイロードが新規に登場しており、これらを利用することで「共用iPadに勝手にパスコードを設定されて他の生徒が利用不可能になるのを防ぐ」ことや、「管理用にiPadのデバイス名に生徒個々を特定できるような情報を登録している場合はそれを変更できないように制限する」ことができるようになります。(ただし、これらはiOS9以上かつ監視モードで運用されているiPadを想定している機能となります)
4.VPPやDEPのシミュレーターが利用できるようになる
こちらについては業者かつ開発者領域になってくるので省略。
5. Apple Configurator2(以下AC2)によるキッティングの効率化
こちらについてはいろんな項目をあげましたが、重要度の高い
・複数のMacとApple ConfiguratorによるiPadの分散管理と設定情報の共有
について紹介します。AC2の最大のメリットが多分これでしょう。AC2を利用するにはMacをElCapitan以上にアップデートしないといけないのですが、その価値はあります。
iPadを監視モードにするには
1. AC/AC2を使う
2. DEPを使う
の二つの方法しかないのですが、DEPは利用できる条件が限られます。現状では AC を使うのが一般的でしょう。しかし、ACを使って監視モードにした場合、当該iPadはそのMacを「母艦」として扱います。生徒が自宅のPCなどにiPadを接続し初期化やアプリのiTunes経由でのインストールを防ぐため、「母艦」のMac以外との接続を禁止することが教育分野では(特に低学年では)一般的な運用ですが、この母艦という概念が厄介でした。
というのも
- 母艦のMacのバックアップを取っていない状態でMacが故障するとお手上げ
- 業者が「監視設定」をし、業者がそのMacを保有・保管している場合は業者にiPadを送り返さないと保守作業ができない
と言った問題に直面する可能性があるからです。
ところが、Apple Configurator2 では定められた手続きをとることで「母艦を複数台に分散させる」ことができるようになっています。これにより、学年ごとに管理用Macを分けるとか、業者と学校で同じ母艦情報をシェアするとか、運用面での柔軟性が上がります。
ーーーーーーーーーー
以上、以前の記事に対して情報をUpdateしましたが、今回の iOS9 + MDM の最大のメリットは
App Storeの利用を制限していても、MDMからのアプリ配信ができる
これに尽きるでしょう。
主に小中学校では生徒児童がゲームなど教育上適切ではないAppをインストールするのを防ぐ目的でApp Storeをホーム画面から消す「App Store制限」を適用するのが一般的です。ところが、このApp Storeを制限すると、MDMの最大の武器である「遠隔でiPadに教育用アプリを配る」という機能が使えなくなってしまうのです。
そのためこれまでは
1.「MDMで一時的にApp Store制限を解除」し、その後「Appを遠隔でインストール」した後に「App Store制限を再適用」する
2. iPadをいったん回収してAC/AC2から有線経由でインストールする
3. MDM各社が提供する「アプリポータル」経由でアプリを配信し、生徒に操作をしてもらってインストールする(Apple ID とそのパスワードを生徒が知っている必要がある)
といった方法しかありませんでした。この辺りが、MDMをせっかく導入しても「思ったよりも不便」と言われる泣き所だったのですが、iOS9ではこれが改善され、構成プロファイルにAppのインストール制限のペイロードが追加されています。
最上位の「AC 及び iTunesからのAppのインストールを許可」のチェックを外すと、(たぶんOSに何んらかの変更を加えない限り)Appは追加不能になります。一方、真ん中の「App StoreからのAppのインストールを許可」のチェックを外すと、iPadのホーム画面からApp Storeが消えますが、MDM経由でのアプリ配信はきちんと動作するように改善されています。
VPPで購入したアプリについては、適切な手順でライセンスを配布すれば、サイレントインストール(生徒児童が操作しなくても、勝手にアプリがインストールされる)も可能。きちんとアプリが配信されたかどうかを確認したい場合は、MDMの端末状況一覧から導入済みアプリをチェックすればOKです。生徒児童も管理者も一切iPadに手を触れることなく、かつiPad側の設定を変更することもなくアプリの追加配信ができるようになったということで、MDMの本領発揮といったところでしょうか。
以上、直近で検証してみた範囲で MDM + iOS9 のイケてるところをまとめてみました。
なお、今回紹介した多くのオプションは「監視モード」で運用することが前提になっています。教育分野では以前から監視モードが鉄板でしたが、一部の機能は企業用途でも非常に有用かと思います。今後、組織で利用するiPadは「監視モード運用」がデファクトスタンダートになっていくかもしれませんね。
最後に:上記の情報を業者の方が利用することは全く問題ないのですが、MDM製品によって機能やできることには微妙に差分がありますし、すでに動いているiPadをiOS9にUpdateした場合にどんな挙動の違いが出るかはわかりません。上記の情報の利用によって発生した如何なる問題や不利益について当方は責任を負いかねますのでその点は十分にご留意ください。検証不足で発生した問題により影響を受けるのは生徒児童です。学習機会の損失につながるリスクも意識して、きちんと事前検証しましょう(と自戒を込めて付記しておきます)。