Column

Apple デバイスを組織導入するとき Apple ID はどうする?管理対象 Apple ID について解説!

企業や教育機関などの組織が iPad、iPhone や Mac といった Apple デバイスを、初めて一括導入・配布するとき、デバイスに設定する Apple ID 作成・管理はどのようにすればいいか、よくご質問をいただきます。

プライベートで Apple デバイスをお使いの方ならご存知の通り、Apple ID は Apple デバイスへアプリをダウンロードするなど、Apple 社のサービスを利用するために必要なアカウントです。
基本的に Apple デバイスは個人利用を想定した設計になっているため、通常みなさんが個々で取得している「個人用 Apple ID 」はデバイスを利用する個人の権限が一番強く、組織で使うにはセキュリティ面や管理面で課題があります。そこで組織における Apple ID に関する課題を解決するために 「管理対象 Apple ID 」を Apple 社が提供しています。

本記事では、個人で利用する「 個人用 Apple ID 」と組織利用を想定した 「管理対象  Apple ID 」について説明します

Apple ID の役割

前述した通り、Apple ID は、Apple 社のサービスを利用する上で必要なアカウントとなり、ユーザを一意に特定するための ID です。

個人用 Apple ID でできること

Apple ID を作成することで以下のサービス等を利用することができます。

App Store

Apple Developer Program

Apple Music

iCloud

iTunes

Apple Pay

探す

など

個人用 Apple ID を組織利用する場合の課題

しかし、個人用 Apple ID は、組織利用を想定していないため、以下のような課題があります。

  • Apple ID 作成
    個人用 Apple ID は、オンラインで利用ユーザ数分の登録申請をする必要があります。また登録情報はメールアドレスとパスワードの他に二段階認証用( SMS 認証用)の電話番号や秘密の質問などの情報入力も必要となるため、ユーザ数が多いほど管理者に負担がかかります。ユーザ各自で登録を行わせる方法もありますが、その場合、管理者側でアカウント情報を把握するのが難しくなります。
  • 情報漏洩の危険性
    パスワードを含めた Apple ID の管理が徹底できないと、例えば退職者の Apple ID を削除することができない、といった問題が発生しやすく、退職者はその後も iCloud にアップロードしたデータにアクセスができるため、情報漏洩に繋がる可能性があります。
  • Apple ID 管理
    ユーザ自身でパスワード等の変更が可能なため、管理者側でアカウント情報の把握が難しくなります。例えばアクティベーションロックがかかっている端末(ユーザが「探す」機能を ON にしている端末)は、デバイスを初期化し再セットアップする際は必ず Apple ID のパスワードの入力を求められ、アクティベーションロック解除が必要になります。もし、パスワードがわからない場合は、Apple サポートへアクティベーションロック解除依頼をする必要があります。
  • ライセンス購入や移管
    有料アプリ等のコンテンツは、個人用 Apple ID にクレジットカード情報を紐づけて購入する必要があり、購入毎に経費精算の手間が発生します。また、購入した有料コンテンツの所有権は個人になるため、退職や部署移動などで不要になったライセンスを他者へ引き継ぐことができません。

組織利用を想定した「管理対象 Apple ID 」とは

これまでのご説明の通り「個人用 Apple ID 」 を組織で利用するには課題があります。これらの課題を解決できるのが「管理対象 Apple ID 」です。

「管理対象 Apple ID 」 であれば、組織に所属しているメンバー(企業であれば従業員。学校であれば教職員や児童・生徒・学生。)を、管理者が一括で作成・管理を行うことが可能です。

「管理対象 Apple ID 」を作成するには、法人向けの Apple Business Manager ( ABM ) や 教育機関向けの Apple School Manager ( ASM ) という Apple 社が提供しているクラウドポータルサービスを使用します。(作成方法は後の項で説明します。)
また、「管理対象 Apple ID 」は組織が所有しているため、特定の機能が無効になっており、Mobile Device Management ( MDM ) と組み合わせてご利用頂く前提のサービスとなります。

※ ABM の登録方法や MDM に関する情報は、以下記事にまとめていますので、ご参考にしてください。

管理対象 Apple ID で、できること・できないこと

それでは管理対象 Apple ID で、できることを以下で説明していきますが、前述した通り、管理対象 Apple ID は MDM と組み合わせて利用することを前提に設計されていますので、管理対象 Apple ID のみでは使えない機能が有ります。

  • 管理対象 Apple ID で使えない機能

    App Store / iTunes Store

    Apple Music

    iPhone を探す/ Mac を探す / 友達を探す

    特定の iCloud 機能( iCloud メール / iCould キーチェーン / iCloud ファミリー共有など)

    Apple Pay

上記の通り、例えば 「 App Store が利用できないとアプリの配布はどうすればいいの?」と思いますが、ABM・ASM と MDM を組み合わせることでアプリの配布を行うことが可能になります。以下では、Apple デバイスの管理に最適な MDM 「 Jamf Pro 」を使った場合にできることについても説明します。

  • 管理対象 Apple ID でできること

    ABM / ASM 上で Apple ID の作成・削除・パスワードリセットができる

    ABM / ASM 上で Apple ID の一覧を確認・管理ができる

    ABM / ASM 上で「管理対象 Apple ID 」二段階認証電話番号のリセットができる

    ASM(教育機関)は、200 GB 分の iCloud ストレージを利用できる

  • Jamf Pro を導入してでできること

    ABM / ASM で一括購入したアプリを端末へ一括配布し、サイレントインストールができる

    「 Self Service 」アプリを使うとユーザ自身が必要なときに必要なアプリをセルフ方式でインストールすることができる

    一括配布したアプリのライセンス管理ができる

    デバイス紛失時は「探す」機能を使わず、Jamf Pro より「デバイスロック」や「デバイス消去」のリモートコマンド送信をかけることができ「紛失モード有効」実行時にデバイスの位置情報を取得することができる

管理対象 Apple ID の作成方法

本項では「管理対象 Apple ID 」の作成方法について解説します。「管理対象 Apple ID 」の作成方法には以下の方法があります。

ABM・ASMで手動作成する

Federated Authentication の利用 ( Google Workspace または Microsoft Azure AD )

Azure AD での SCIM の利用

Google Workspace との同期

SFTP 経由で CSV ファイルでの一括取込 ( ASM のみ )

※Google Workspace や Microsoft Azure Active Directory ( Azure AD ) を利用されていない場合は手動作成が必要となります。ただし、ASM の場合は、Secure File Transfer Protocol (  FTP ) 経由で .csv ファイルの一括取込が可能です。

前述した通り、管理対象 Apple ID を作成するには 企業の場合 ABM 、教育機関の場合 ASM の登録を行う必要が有ります。登録には 1 週間ほど審査時間が掛かる場合が有りますので、早い段階で登録しておくことをお勧めします。( ABM の登録方法についてはこちらをご確認ください)
以下では、ABM の登録が完了していることを前提に、ABMでの手動作成方法について説明します。

ABM で管理対象 Apple ID を手動作成

  1. ABMへログインし、ユーザ追加登録
  2. 新規アカウント追加画面にて、ユーザ情報を入力 (必須入力項目のみ記載します)

※1:「確認済みのドメイン」とは?
管理対象 Apple ID に追加できるドメインは別の組織によって所有権が確認されていないドメインのみです。ドメインを追加する場合は、”確認プロセス”を実施する必要があります。
【参考URL】確認プロセスについて
https://support.apple.com/ja-jp/guide/apple-business-manager/axm48c3280c0/web

※2:「確認済みのドメイン」と「予約済みドメイン」の確認方法
サイドバーの下部にある自分の名前を選択し「環境設定」>「アカウント」の順に選択すると、ドメインが表示されます。
・緑色丸印が付いているドメイン:確認済みドメイン
・黄色丸印が付いているドメイン:確認プロセスの実施必要
(ただし、黄色丸印のドメインの中で「 xxxxx.appleid.com 」は、Appleが自動的に生成するドメイン(予約済みドメイン)となり確認プロセス不要で管理対象 Apple ID の @ 以下に利用可能です。)

※3:例「 magichat.appleid.com 」

※4:役割について
各ユーザには1つ以上の役割が割り当てられ、その役割によってユーザが実行できる作業が異なります。例えば、管理対象 Apple ID の利用用途は、iCloud だけを利用させたいという場合、ABM は「職員」、ASM は「生徒」か「職員」の役割を割り当てます。役割に応じた権限を事前に確認し、各ユーザに適切な役割を割り当ててください。また「管理者」は最大で5ユーザまで割り当て可能です。「管理者」ユーザが何らかの理由でサインインできない場合に備えて、「管理者」ユーザは 2 名以上設定しておくことをお勧めします。
【参考URL】ABM の役割・権限
https://support.apple.com/ja-jp/guide/apple-business-manager/axm97dd59159/web
【参考URL】ASM の役割・権限
https://support.apple.com/ja-jp/guide/apple-school-manager/axm97dd59159/web

まとめ

以上のことから、ユーザへ自由度を与えるのか、組織としてしっかり管理するのかが選択のポイントになると考えます。

個人用 Apple ID 管理対象 Apple ID
メリット Apple のサービスが制限なく利用ができる ・簡単にアカウントの作成・管理ができる
・パスワードや二段階認証の電話番号を忘れても管理者がリセットできる
・有料アプリを組織で最適購入できる
・退職したユーザのアカウントは管理者が削除できる
デメリット ・アカウント作成に手間がかかる
・アカウント管理が徹底できない
・有料アプリは個人購入となり別ユーザへの移管ができない
・退職者によるアカウント継続利用のリスクがある
・MDM 利用が前提となる
・ユーザ自身で自由にアプリ購入ができない(開発者に対しては、自由にアプリのインストールを許可したい場合等)

この記事をシェア