Jamf Proだけでアカウント駆動型登録が実現可能に
より手軽になったアカウント駆動型登録の導入体験
Appleがアカウント駆動型を発表したのは2021年のWWDCでした。
管理対象Apple Accountを使用してデバイスにサインインすることでMDMへの登録を完了することができるこの手法は、BYOD導入をサポートする画期的な機能でした。
ただし実際に導入するためのハードルは高く、MDMベンダー側の対応が必要であったこと、アカウント駆動型登録に必要な登録情報を含むJSONファイルをホストするWebサーバが別途必要であったため、手軽に導入するには至っていませんでした。
Jamf Proは以前からアカウント駆動型登録には対応していましたが、JSONをホストする機能は有していなかったため、導入事例としてはごくわずかとなっています。
今回のJamf Pro 11.25.0のアップデートでは、このアカウント駆動型登録に必要な登録情報を含むJSONファイルをJamf Proがホストする機能を実装したことで、これまでよりもより手軽にアカウント駆動型登録を試すことができるようになっています。
今回のブログではアカウント駆動型登録に対応したJamf Proの機能の概要についてご紹介していきます。
目次
アカウント駆動型登録とは何かアカウント駆動型登録とは何か
アカウント駆動型登録が登場する以前にもBYOD向けの機能として手動でMDMへデバイスを登録する方法は用意されていましたが、同時に様々な課題もありました。
- 業務データと個人データを分離することが難しい
- 個人のデバイスであっても登録されていればワイプが可能
- 個人でインストールしているアプリの一覧まで取得できるなどプライバシーへの配慮がなかった
MDMによっては独自の機能を使用することで業務データと個人データの分離やプライバシーへの対応を実現しているものもありましたが、あくまでもMDMベンダー独自の機能であったためコスト面の問題やApple標準の機能でないなどの問題があり、導入の壁となっていたことは否めません。
アカウント駆動型登録は、これらの課題に対応すべくAppleが定めた「OSレベルで実装された仕組みを、MDMが利用する方式」となるため、MDMベンダーに依存せず様々な課題に対応したBYOD環境を導入できる仕組みとなります。
そんなアカウント駆動型登録には、「ユーザ登録」と「デバイス登録」の2つの登録方法があります。「ユーザ登録」は先にもご説明したとおり主にBYODを導入するための方法に対して、「デバイス登録」は組織が所有するデバイスを管理対象Apple Accountで登録する方法となります。
どちらにも共通しているのは「管理対象Apple Accountを使用して手動でデバイスを登録する」という点になります。
登録方法の違いによって、どの様な機能面での差がでるのでしょうか。
下記の表は登録方法の違いによる機能面の差についての簡単な比較となります。
この様に登録方法は共通していますが、デバイスの所有者が誰になるのか?に応じて管理できる領域や範囲が異なることがわかります。
今回は「ユーザ登録」を実行するための設定を中心にご説明します。
必要要件:設定の概要と登録方法
1. アカウント駆動型登録に対応しているOS
アカウント駆動型登録に対応しているMacおよびモバイルデバイスのOSは下記のとおりとなります。
- macOS 15.2以降
- iOS 18.2以降 / iPadOS 18.2以降
- visionOS 2.2以降
2. Apple Business Manager / Apple School Manager側の設定
デバイスを購入した際に、自動的に割り当てられるMDMを各デバイスごとに指定しておく必要があります。この自動割り当てを設定していないと、アカウント駆動型登録作業中に登録先のMDMについての情報をデバイスが受け取れなくなりますので注意してください。
デバイス管理サービス > 管理の割り当て > デフォルトの割り当て
3. Jamf Pro側の設定
1. JSONをホストするための準備
Jamf Proでアカウント駆動型登録を設定するためには、今のところはJamf Pro APIの「/v1/service-discovery-enrollment/well-known-settings」エンドポイントを使用して、Jamf Proが代替サービス検出JSONファイルをホストするように構成する必要があります。
GUIでの設定はできませんので、その点だけご注意ください。
1. https://お客様のドメイン.jamfcloud.com/api にアクセスする
2. Jamf Pro API を選択する
3. トップページにて認証を実施
・Username/Password欄にJamf Proにサインインするアカウント情報を入力
・「Authorize」をクリック
4. 「service-discovery-enrollment」の「GET」を実行して現在の設定値を確認する
・設定値をコピーしておく
5. コピーした設定値の「enrollmentType」を「mdm-byod」に変更
6. 「service-discovery-enrollment」の「PUT」に編集した設定値を入力してJamf Proに適用する
2. アカウント駆動型登録を有効にする
次にアカウント駆動型登録自体を有効にしておく必要があるため、Jamf Proの下記の設定箇所を有効にします。
設定 > グローバル > ユーザーによる登録 > デバイス >アカウント駆動型ユーザ登録 > 個人所有のモバイルデバイスに対して有効にする
ここまでの作業で、アカウント駆動型登録を実行するための準備は完了となります。
4. デバイスの登録
iPhoneやiPadを登録する場合は、下記の手順にて登録を実行します。
- 設定 > 一般 > VPNとデバイス管理 > 勤務先または学校のアカウントでサインインしてください の順にタップする
- サインイン画面で管理対象Apple Accountを入力し「続ける」をタップします
- Jamf Proへの登録用のアカウント情報を入力して「続ける」をタップします
- iCloudへサインインするため2で入力した管理対象Apple Accountのパスワードを入力して「続ける」をタップします
- リモートマネージメント画面で「リモートマネージメントを許可」をタップします
ここまでの手順を実行することで、デバイスの登録が完了します。
まとめ
Jamf Pro 11.25.0では、アカウント駆動型登録がJamf Pro単体で実装可能となり、BYOD管理の構成がよりシンプルになりました。
Appleが提供するプライバシー重視の管理モデルを、よりスムーズに現場へ展開できる環境が整ったと言えます。
今後のBYOD戦略を検討する上で、注目すべきアップデートではないでしょうか。
Jamf製品全般に関するご相談など、気になることがありましたら、サポートさせていただければと思いますので、ぜひお気軽にお問い合わせください!
Jamf・Iru製品個別相談会
記事は2026年2月24日現在の内容です。
この記事に付けられたタグ
おすすめ記事を見る
