ABM/ASM・ADE（DEP）・MDMとは？Appleデバイス管理の仕組みとゼロタッチ導入をわかりやすく解説

Appleデバイス管理を成功させるには、まず「ABM/ASM」「ADE」「MDM」という3つの要素の関係性を理解することが不可欠です。これらは連携して強力な管理体制を築きます。

この3つは三位一体の関係です。組織がデバイスの所有権を主張し(ABM/ASM)、そのデバイスを自動で管理下に置き(ADE)、そして具体的な設定や制限を適用する(MDM)。この一連の流れがAppleデバイス管理の基本です。

Apple Business Manager (ABM) と Apple School Manager (ASM) は、Appleが企業や教育機関向けに提供する、Webベースの無料ポータルです。組織が所有するAppleデバイス、アプリ、ブックを一元管理するための司令塔と言えます。主な機能は2つあります。

組織がApple正規販売代理店からiPhoneやiPadなどを購入すると、そのシリアル番号が自動的に組織のABM/ASMアカウントに登録されます。これにより、組織は「このデバイスは我々の所有物である」とAppleに対して証明できます。

この登録情報がADE（自動デバイス登録）の基盤となり、IT管理者はABM/ASM上で、どのデバイスをどのMDMサーバーに登録するかを割り当てます。この仕組みにより、箱から出して電源を入れるだけでデバイスが自動的に自社の管理下に入る「ゼロタッチデプロイ」が可能になり、大量導入時のキッティング（初期設定）の手間を劇的に削減します。

以前はVPP (Volume Purchase Program) という別のプログラムで提供されていた機能がABM/ASMに統合されています。

この機能を使えば、App Storeの有料・無料アプリのライセンスを一括で購入・管理できます。購入したライセンスはMDMを通じて各デバイスに配布されるため、ユーザー個人のApple IDは不要です。従業員の退職時にはライセンスを回収し、別の従業員に再割り当ても可能。これにより、ライセンス管理が効率化され、ビジネス必須アプリのサイレントインストールも簡単になります。

機能はほぼ同じですが、対象組織が異なります。

ADE (Automated Device Enrollment) は、日本語で「自動デバイス登録」と訳され、Appleデバイスの初期設定プロセスを自動化する仕組みです。ABM/ASMとMDMを繋ぐ重要な橋渡しの役割を担います。

「DEP」という言葉を聞いたことがある方もいるかもしれません。DEP (Device Enrollment Program) は、ADEの旧称です。

もともとAppleは、デバイス登録用のDEPとアプリ管理用のVPPを別々に提供していましたが、管理をシンプルにするためABM/ASMに統合しました。その際、DEPはADEへと名称が変更されました。現在では「DEPの後継がADE」と理解しておけば問題ありません。

ADEが実現する「ゼロタッチデプロイ」は、IT管理者の工数を大幅に削減します。具体的な流れは以下の通りです。

このプロセスにより、IT管理者が一台ずつ手作業で行っていたキッティング作業が不要になります。

ABM/ASMとADEを連携させることで、具体的にどのようなメリットが生まれるのでしょうか。主要な3つの利点を解説します。

最大のメリットは、キッティング作業の劇的な効率化です。従来の手作業によるWi-Fi設定、アカウント設定、アプリインストールなどが一切不要になります。管理者はMDMで設定を定義しておくだけで、あとは端末をユーザーに配布するだけ。特にリモートワーク環境下で従業員に直接デバイスを送付する際に絶大な効果を発揮します。

ADEを利用した登録では、デバイスを「監視モード（Supervised Mode）」に自動で設定できます。監視モードとは、組織がデバイスをより詳細に管理・制限できる特別な状態です。

これにより、組織全体で一貫したセキュリティポリシーを適用し、情報漏洩リスクを低減できます。

ABM/ASMのアプリ購入機能とMDMを連携させることで、管理者はユーザーの操作なしに業務用アプリを自動でインストール（サイレントインストール）させることができます。ユーザーはApple IDの入力も不要です。また、不要になったアプリの遠隔アンインストールや、有料アプリライセンスの回収・再割り当ても簡単に行え、コスト最適化とコンプライアンス遵守に繋がります。

ここで重要な注意点があります。それは「ABM/ASMやADEだけでは、Appleデバイスの管理は完結しない」ということです。これらはあくまで管理の基盤であり、実際にデバイスをコントロールするためにはMDMが不可欠です。

デバイスへの構成プロファイル適用、機能制限、アプリ配布、リモートワイプ（遠隔初期化）といった具体的な管理操作は、すべてMDM (モバイルデバイス管理) ソリューションの役割です。

ABM/ASMは「どのデバイスが自社のものか」を定義し、ADEは「そのデバイスをどのMDMに登録するか」を指示するだけ。その指示を受けて実際の管理を行うのがMDMです。

ABMとMDMの連携方法は、通常、ABM/ASMとMDM間でトークンや公開鍵を交換する相互認証によって行います。この連携が完了して初めて、ゼロタッチデプロイが実現します。したがって、ABMの登録と並行して、自社に最適なMDM製品を選定することが極めて重要です。

ADEによる自動登録の対象は、原則としてApple、Apple正規販売代理店、携帯キャリアから「法人契約で」新規購入したデバイスです。

すでに導入済みのデバイスや個人購入のデバイス（BYOD）は、Macの「Apple Configurator」ツールを使えば手動でABM/ASMに追加登録できます。ただし、この方法には30日間の猶予期間があり、ユーザーが管理プロファイルを削除できてしまう制約があります。最も確実な管理のためには、新規購入時からADEのプロセスに則ることが推奨されます。

本記事では、ABM/ASMとADEの役割、DEPとの違い、MDMとの関係性について解説しました。

これら3つを連携させることで「ゼロタッチデプロイ」が実現し、管理の効率化とセキュリティ強化が可能になります。これからAppleデバイスの導入・管理見直しを検討している方は、以下のステップで進めましょう。

適切な仕組みを構築すれば、Appleデバイス管理は組織の生産性とセキュリティを長期的に向上させます。本記事が、その第一歩を踏み出すための地図となれば幸いです。

A1: いいえ、ABMおよびASMの利用は無料です。ただし、連携するMDMソリューションの利用には、別途ライセンス費用が必要です。

A2: 技術的には可能です。macOSのApple Configuratorツールでデバイスを初期化すれば手動登録できます。しかし、この方法にはユーザーが30日以内なら管理から離脱できる猶予期間が設定されます。完全な管理のためには、法人契約で新規購入したデバイスを自動登録する方法が最も推奨されます。

A3: ABMでデバイスの所有権を管理することは可能ですが、ADEのメリットである「自動登録」と「初期設定の自動化」は実現できません。ADEはMDMに登録するための仕組みなので、MDMソリューションの導入が必須です。ABMとADEはMDMとセットで利用することで真価を発揮します。