デバイス管理のネットワークを構成する
デバイス管理サービスをインストールおよび構成するときは、ネットワークの構成方法、Transport Layer Security(TLS)、インフラストラクチャサービス、Appleサービス、およびバックアップについて考慮してください。
ローカルにホスティングされたデバイス管理サービスをインストールするときは、次の項目すべてを設定する必要があります。プロセスの初期段階でそれぞれを設定してテストすることにより、スムーズな導入を実現できます。利用するサービスが外部で管理されていたりクラウドでホスティングされていたりする場合、デベロッパが代わりにこれらの項目の多くを処理している可能性があります。
完全修飾ドメイン名を使用する
デバイス管理サービスは、組織のネットワークの内部と外部の両方から解決可能な完全修飾ドメイン名(FQDN)を使用する必要があります。これにより、ローカル接続のデバイスもリモート接続のデバイスもサーバで管理することができます。クライアントとの接続を維持するために、このドメイン名は変更しないでください。
静的IPアドレスを使用する
ほとんどのデバイス管理サービスには、静的IPアドレスが必要です。サーバのIPアドレスが変更された場合でも、既存のDNS名はそのまま維持する必要があります。
デバイス管理サービスをTransport Layer Securityで構成する
Appleデバイスとデバイス管理サービス間のすべての通信は、HTTPSで暗号化されます。それらの通信をセキュリティ保護するには、TLS(以前のSSL)証明書が必要です。よく知られている認証局(CA)からの証明書がない状態でデバイスを導入しないでください。有効期限日に注意し、期限切れになる前に証明書を更新してください。詳しくは、以下のAppleのサポート記事を参照してください:
特定のファイアウォールポートを常に開いておく
デバイス管理サービスへの内部アクセスと外部アクセスの両方を許可するには、特定のファイアウォールポートを開く必要があります。ほとんどのサービスはポート443のHTTPSを使用した受信接続を受け入れます。デバイス管理サービスとデバイスの両方がAppleプッシュ通知サービス(APNs)と通信する必要があります。デバイス管理サービスはAPNsとの通信にポート2197を使用します。クライアントはポート5223を使用します。
移行アシスタント
Macをデバイス管理サービスに適切に移行して再登録できるようにするため、macOS 13以降を使用していてデバイス管理サービスに登録されているMacコンピュータでは、移行アシスタントを使用して以下の設定を転送できなくなります:
システム
ネットワーク
プリンタ
移行中に上記の設定をスキップするには、移行先のMacをデバイス管理サービスに登録する必要があります。
ヒント: デバイス管理サービスは、アクティベーションロックのエスクローキーとバイパスコード、macOSブートストラップトークン、およびデバイスアクセスの継続性にとって重要なその他の一意のデータをホストする場合があります。そのため、オンプレミスのデバイス管理サービスインストールに対して堅牢なディザスタリカバリ戦略があることを確認してください。バックアップと復元を定期的にテストすることをおすすめします。