プロファイルとペイロードについて

構成プロファイルは、iPhone、iPad、iPod touch、Mac、Apple TV などの Apple デバイスに設定と認証情報を読み込むペイロードで構成される XML ファイルです。「プロファイルマネージャ」を使うと、プロファイルを作成してこのようなデバイスにインストールできます。

設定および認証情報には、次のような情報を含めることができます:

  • デバイスのセキュリティポリシーや制限

  • VPN 構成情報

  • ネットワーク設定

  • メールとカレンダーのアカウント

  • iPad、iPhone、iPod touch、および Mac がエンタープライズシステムや学校のネットワークと連係するための認証資格情報

構成プロファイルを暗号化および署名できます。これにより、構成プロファイルの使用を特定の Apple デバイスに制限することができ、ユーザ名とパスワードがなければだれも設定を変更することができません。また、プロファイルをデバイスにロックすることもできます。これにより、一度インストールした後は、デバイスのすべてのデータをワイプするかプロファイルに関連付けられたパスワードを入力しない限り、プロファイルを削除できなくなります。Microsoft Exchange アカウントなどのプロファイルによって構成されるアカウントは、プロファイルを削除しないと削除できません。

組織のすべてのペイロードを 1 つの構成プロファイルに含めることもできますが、めったに変更されない設定とよく変更される設定とでプロファイルを分けて作成することも検討してください。めったに変更されない設定には、ネットワーク、セキュリティとプライバシー、LDAP、メール、カレンダー、ソフトウェア・アップデートがあります。よく変更される設定には、VPN、証明書、Web クリップ、ログイン項目、Dock、プリンタなどがあります。

構成プロファイルは、ユーザ用、デバイス用、またはユーザとデバイスのグループ用に作成できます。その選択に基づいて、プロファイルのペイロードが用意され、そのレベルで設定が適用されます。たとえば、ユーザ用の構成プロファイルを作成するときは、デバイスにのみ適用される設定は含まれません。

デバイスやユーザグループの特性によってプロファイルを分けるのも良い方法です。詳しくは、ペイロードのベストプラクティスを参照してください。

構成プロファイルは、メールの添付ファイルとして、専用の Web ページ上のリンクを介して、または「プロファイルマネージャ」のユーザポータルによって配布できます。ユーザがメールの添付ファイルを開いたり、Web ブラウザでプロファイルをダウンロードしたりすると、プロファイルのインストール開始を求められます。「プロファイルマネージャ」をモバイルデバイス管理サーバとして使用して、デバイスを登録したユーザに新しいプロファイルまたはアップデートされたプロファイルを送信することもできます。

通常、構成プロファイルで定義された設定は、パスワード以外、ユーザが変更することはできません。プロファイルによって構成されるアカウントは、プロファイルを削除しないと削除できません。プロファイルを削除した場合は、再インストールしない限り、そのデバイスを組織内で利用できなくなることがあります。たとえば、プロファイルを削除すると、ユーザがネットワークにアクセスできなくなったり、メールを受信できなくなったり、「カレンダー」アプリケーションでイベントを作成できなくなったりすることがあります。iOS デバイスでは、プロファイルをデバイスにロックできます。これにより、デバイスからすべてのデータをワイプするかパスコードを入力しない限り、インストールされたプロファイルを削除できなくなります。

iOS 9 以降では、デバイスが監視対象で MDM に登録されている場合、証明書または Wi-Fi ペイロードを持つ構成プロファイルが設定アシスタントでインストールされると、自動的に監視対象になります。

重要: 監視対象ではない iOS デバイスでは、「一般」設定でこのオプションが「しない」に設定されている場合でも、パスコードを知っているユーザならプロファイルを削除できます。OS X プロファイルは、ユーザが管理者の名前とパスワードを知っている場合は削除できます。