iPhoneをIntune管理に切り替える時の落とし穴

みなさんこんにちは。

企業のセキュリティ意識の高まりに伴い、スマートフォンをMDMできっちり管理していきたい、という要望が増えています。

Microsoft IntuneはMicrosoft365サブスクリプションで利用でき、マルチプラットフォーム対応のMDMですから、導入を検討される企業も多いかと思います。

今回は現在利用中のiPhoneをIntune制御に切り替える、というシナリオの中で注意すべき、「データ移行」に関する話になります。

監視モードと初期化

iPhoneを管理するとき、避けて通れないのが監視モードです。

Appleデバイスの監視について

監視モードとは、一言で言えばMDM用の隠し機能です。
オンにすることで、強力な機能制限や位置情報取得などが行えるようになります。
私用で使っている分にはお目にかかることはありませんが、組織で集中管理する場合は必須と言っていいです。

監視モード時の、設定アプリの表示

ただし、監視モードへの切り替えにはネックとなる点があります。
初期化が必須であるということです。

仕組みとして、設定アシスタント（初期設定）しか監視モードに切り替える術がありません。
設定アシスタントを行うために初期化が必須となるわけです。

そのため、利用中のiPhoneをIntuneで監視モード下に置くこととする場合、どのように初期化後にデータ復元するか、が課題となります。

監視モードとデータ復元

iPhoneのバックアップ機能は優秀で、アプリのデータ等を含めてほとんどのデータを移行することができます。

iPhoneのバックアップを作成する

そのため、初期化に伴うデータ復元を考えるとき、まずは標準のバックアップ機能を利用することを考えるでしょう。

取得方法としてはiCloudとPCへのローカルバックアップの2種類があります。
かつては完全に復元したいならローカルで、というイメージでしたが、最近では両者の差分はほぼ無くなってきています。
iCloudの5GB制限についても、データ移行時には21日間無制限にバックアップが作成できるようになっています。

そのため、ネットワーク環境にもよりますが、iCloud経由でバックアップを作成するやり方が進めやすいといえます。
ただ、AppleIDがある前提になるので、各端末に配布していない場合はPCを利用するしかありません。

新しい iPhone や iPad の購入時に iCloud ストレージを一時利用する

さて、そこで考えなければならないのが監視モードとの兼ね合いです。
実は、現在監視モードになっているか、そして機種変更するか、が関係してきます。

ここが重要なポイントなのですが、
非監視モードのバックアップデータを、同一端末に監視モードで復元することはできないのです。

ここはややこしいので、表にまとめるとこのような関係になります。

そのため、これまで監視モードにしていなかったiPhoneを、機種変更せずに監視モードにする場合、データ復元が非常に困難になります。
一応別端末に復元してバックアップを取り直す方法もとれなくはないのですが、多数の端末をそのフローで処理するのは無理があります。

もしこのパターンに当てはまる場合は、端末入れ替えをするタイミングを待って監視モードを導入するのが現実的です。

Intune登録とデータ復元

ここまで監視モードにフォーカスして話をしてきましたが、もう1点考慮しなければならないポイントがあります。
それがIntune登録です。

Intuneを使って監視モードをオンにする場合、他のMDMと同様にADE（旧DEP）という仕組みを利用します。

自動デバイス登録を利用する

前節の説明でいけば、「既に監視モードにしてあれば、データ移行は問題ないんでしょ」とお思いになるかもしれませんが、ここにもう一つの落とし穴があります。

それは、監視モードのバックアップデータでも、同一端末のバックアップではIntune登録に失敗するということです。

ADEのプロセスでは、設定アシスタントにて「監視モード化」と「Intune登録」という2つのプロセスが走ることになります。

Intuneの仕様で、同一端末で取得したバックアップを復元した場合、「Intune登録」のプロセスが行われないのです。
そのため、結果としては監視モードではあるが、Intune登録されないiPhoneが出来上がることになってしまいます。

iOS/iPadOS のバックアップと復元 - Microsoft Intune

この仕様の意図ははっきりとはわかりませんが、重複登録などのトラブルを回避するためにこうしているのでしょう。

正直、他社MDMからIntuneへの切り替えの障壁になっているので、登録できるようにした方がいいと思うんですが…。

※補足　ADEではクイックスタートは利用できません。

まとめ

ここまでの話を踏まえると、「機種変更せずにADEでIntune登録しようとした場合、バックアップからの復元は実質不可能」ということがわかります。

そのため、個人的にはiPhoneのMDM切り替えは機種変更時に合わせて行うことがベストプラクティスと考えています。

ただし、急を要する場合もあるでしょうから、その際は敢えて監視モードは使わずにIntune登録しておき、機種変更を待って監視モードに切り替える方法も取れるかと思います。

また、普段からクラウドストレージを利用していてローカルデータが少ないのであれば、いっそバックアップ復元をしない手もあります。

このようにMDM切り替えにおいてはApple側とMDM側の両方の仕様を正しく理解し、移行計画を作成する必要があります。
こちらが何かの参考になりましたら幸いです。