SEに聞いてみた!企業向け管理対象Apple Account完全ガイド
Apple Account運用はIT管理者にとって悩みの種。
企業のAppleデバイス運用を日々サポートするなかで、最近特に増えているのが管理対象Apple Account(旧 管理対象Apple ID)に関するご相談です。
「管理対象Apple Accountでの運用に統一するうえで何から手をつければ?」
「管理対象Apple Accountを検討しているが、本当に自社に合った運用が叶うのか?」
今回のブログでは、これまで多くのお客様のAppleデバイス運用をサポートしてきたTooのセールスエンジニアに、企業で管理対象Apple Accountの運用をはじめる際に考えるべきことを聞いてみました!
自社に合った運用が叶うの?という部分は、別記事「管理対象Apple IDとは?」でも解説していますので、そちらもチェックしてみてくださいね。
目次
回答者プロフィール回答者プロフィール
太田 洸(おおた こう)
株式会社Too エンタープライズアカウント部 セールスエンジニアチームマネージャー。
多くのスタートアップ、エンタープライズ企業へ、Appleプラットフォームの導入と管理・セキュリティ製品導入の支援を担当。その経験を生かし、Mac運用のアウトソーシングサービス『UTORITO』のサービス開発にも従事。
※編集者注:本ブログでは、はじめに「どのような企業で管理対象Apple Accountを使うべきか?」という判断ポイントからご紹介しています。「管理対象Apple Accountを使うと決めたので、始めるための準備について知りたい」という方は、ステップ3からお読みいただけます。
ステップ1:管理対象Apple Accountについて理解する
今日は管理対象Apple Accountについて教えてほしいのですが…… 前提として、企業では基本的に管理対象Apple Accountを使ったほうがいいんでしょうか?
うーん、実はそういうわけでもないんですよね。
普段Apple AccountやAppleデバイスをどう業務利用しているか、会社としてどこまで制限したいかなどによって異なります。一括管理できる良さはありつつも、個人用Apple Accountでしかできないこともあるので、「それぞれの企業の事情によって選択すべき」というのが正直なところです。
なるほど……じゃあ、企業でApple Accountを考えるうえでは、まず自社の方針やユーザの使い方をよく考えた上で運用方針を決めた方がいいんですね。
その通りです!
弊社にご相談いただいたお客様の中には、検討の結果「管理対象Apple Accountに移行しようと思っていたけど、要件的に難しいことがわかりました」という方もいらっしゃいました。
ステップ2:Apple Accountの運用方針を決定する
では、運用方針を決めるにあたって、まずすべきことはなんでしょうか?
まずは、現状の確認をしましょう。
現状確認
大きくポイントとなるのは以下の3点ですね。
- MDMの導入状況
- BYODかどうか
- ユーザのApple Account利用用途
MDMの導入状況
MDM(モバイルデバイス管理)ということは、デバイスの情報を取得したりアプリを配布したりすることと関係してます?
はい、まさに後者の「アプリの配布」がポイントです。
管理対象Apple Accountでサインインしたデバイスでは、App Storeからユーザがアプリケーションを購入したりダウンロードしたりすることができません。
IT管理者によって許可されたアプリケーションのみをMDMを使って配布できるので、「アプリの制限」という文脈で管理対象Apple Accountの導入を考える企業もいらっしゃいます。
まあつまり、管理対象 Apple AccountはMDMとの併用が前提なので、管理デバイスが少ない企業など、MDMを導入する予定がない企業には不向きです。
BYOD(Bring Your Own Device)
「BYOD」は、従業員の私用デバイスを業務利用することですよね。私用のiPhoneだったら、基本的には個人用Apple Accountを使っていると思いますが、管理対象Apple Accountが関係してくるんですか?
BYODの場合、従業員が所有するデバイスなので、デバイスベースでMDMから管理するわけにはいかないですよね。
とはいえ、会社の重要なデータに私用デバイスから自由にアクセスさせるのは、データ漏洩の危険性があるので、なんとかならないか……。そういうケースで、「管理対象Apple Accountの領域をMDMで管理する」という選択をとる企業もいらっしゃいます。
つまり、ユーザのデバイス上では、個人用Apple Accountと管理対象Apple Accountの両方でサインインされる、という理解であっていますか?
はい、そうなります。
iPhoneのホーム画面を見てわかるわけではないのですが、デバイス内部では管理対象Apple Accountと紐づいた組織管理の領域と、個人用Apple Accountの領域で分かれています。
BYODに対応しているMDMを使えば、この管理対象Apple Accountの領域に対して、MDMからアプリを配布することができます。データを守るために、組織管理の領域からユーザの個人領域へコピー&ペーストをさせない、というような設定もできるんですよ。
なるほど〜。ちなみに、それってMacに対してもできるんですか?
残念ながら、この話はmacOSはできないんですよね。iOS、iPadOSのBYODに限ります。
BYODに関しては、対応するMDMを選んだり、サーバを立てたりなど、考えるべきことがたくさんあるので、実際はApple Accountの話だけでなく複合的に検討する必要があります。
ユーザのApple Account利用用途
ユーザの利用用途についてはどうでしょう?個人用Apple Accountでしかできないこともある……という話も出ていましたが、業務上支障があるケースもありますか?
はい。どの機能が使えないの?というのは、Apple公式サイト「管理対象Apple Accountでのサービスへのアクセス」を確認してほしいのですが、よく話題になるのが、アプリ開発業務のある企業でApple Developer Programを利用しているケースです。
管理対象Apple Accountの場合、Developer Programへの登録は可能ですが、支払い、すなわち毎年の更新をするためには、別途Appleへ問い合わせる必要があります。App Store ConnectやTestFlightの利用ができないため、Apple Developer Programを利用する場合、基本的には個人用Apple Accountが必要です。
アプリ開発を行う企業は注意が必要なんですね。Appleのウェブサイトを見ると、コンテンツの購入のほか、iCloudのサービスも管理対象Apple Accountでは使えなさそうですが……。
これに関しては、企業にとって大きなデメリットになることはあまりないと考えています。
利用できないiCloudサービスのほとんどが、業務上不要な機能がほとんどだと思います。「ホーム」とか「iCloudメール」などですね。「探す」機能については、正確な位置情報を取得したいご要望がある場合にネックになることもありますが、MDMによる紛失対策でカバーできる範囲かな、と。
「探す」が利用できないのは、位置情報のような従業員の個人情報を企業が収集できる機能は設けない、というAppleのプライバシー保護方針も関係しているのではないでしょうか。
ちなみに、数年前は連係機能など便利な機能が使えなかったのですが、2025年6月現在は使えるようになっています!
逆に、個人用Apple Accountだとできないことってあります?
1台のiPadにマルチユーザがサインインして共有で使う、いわゆる「共有iPad」の機能を使いたい場合は、管理対象Apple Accountが必要です。
実際の例だと、病院で看護師や医師の方々がiPadを共有で使うために、共有iPadを採用したケースがありましたね。
まとめ
・管理対象Apple AccountはMDMとの併用が前提
・BYODで管理対象Apple Accountを使うとMDMでの管理が可能に
・Apple Developer Programを利用中の場合は注意!
・共有iPadをやりたいなら管理対象Apple Account
Apple Accountの運用方針を決定する
現状の整理ができたら、次は「どうしたいか」ですね!
そうですね!
Apple Account運用のTo-Beは、セキュリティポリシーなど「企業のIT管理者としてどう制限するか」という話と、連係機能やiCloudなど「ユーザにとっての利便性をどう担保するか」の話、この二つの軸で考えていくことになります。
Apple Accountをそもそも使わせないでアプリ配布もすべてMDMから配布するケース、アプリ開発系の業務に関わるユーザのみ個人用Apple Accountで、ほかのユーザは管理対象Apple Accountを利用しているケースなど、さまざまです。
「結局、うちの会社で管理対象Apple Accountを使うべきなの?」とお悩みの方は、別記事『管理対象Apple IDとは?』で詳細を解説していますので、そちらの記事も参考にしてみてください。
管理対象Apple IDとは?|Appleブログ|株式会社too
ステップ3:管理対象Apple Accountを作成するための準備
運用方針の社内周知
では、管理対象Apple Accountの運用開始のために必要な準備について教えてください!まずは……何から手をつけたらいいでしょう?
Apple Accountの運用方針が決まったら、まずは社内への周知が欠かせません。
管理対象にしろ個人用にしろ、Apple Accountは従業員の方が使うものですし、管理対象Apple Accountを使いはじめる際にユーザ側の作業が発生します。あらかじめユーザに対して、運用方針や移行スケジュール、移行に必要な作業などを案内しておくとスムーズに管理対象Apple Accountへの移行が進められます。
一部で個人用Apple Accountの利用を許可する場合は、このタイミングで希望するユーザのアカウントリストを一緒に作成しておくといいと思います!
管理対象Apple Account用のドメインの準備
一部の用途にのみ個人用Apple Accountを使う場合、アカウントリスト以外に準備することはありますか?
あります!
実は、全員一律に管理対象Apple Accountを使わせるか、一部のユーザの個人用Apple Account利用を許可するかによって、管理対象Apple Accountの準備方法が異なります。
これから詳しく解説していきますね!
管理対象Apple Accountは、組織のドメイン名を使用することが前提です。
たとえば自社の「@example.co.jp」というドメインを使って、個人用Apple Accountを作成して使っている人達がいるとします。
今後は全社員に管理対象Apple Accountを使ってもらう方針になったので、これまで個人用Apple Accountを使っていたユーザには管理対象Apple Accountへ移行してもらいたいし、今後勝手に会社のドメイン(@example.co.jp)で個人用Apple Accountを作って欲しくない。
そういう場合に必要になってくるのが、ドメインのロック、キャプチャの作業です。
組織のドメインを使って個人用Apple Accountが作られている場合、このようなアラートが出ます
この作業は、IT管理者がApple Business Manager(ABM)上で行う必要があります。詳しいやり方を知りたい方は、Apple公式サポートサイトの「Apple Business Managerでドメインをロックする」、「Apple Business Managerでドメインのキャプチャする」をご覧ください。
厳密には、使いたいドメインが組織に紐づいたドメインであることを示す「ドメインの確認」という作業がこれ以前に必要ですが、ここでは説明を省きますね。
Apple Business Managerでドメインをキャプチャする - Appleサポート(日本)
ドメインキャプチャプロセスが進むと、今そのドメインで個人用Apple Accountを使っているユーザに、アカウントを30日以内に変更するよう通知が送信されます。変更の強制はできず、あくまでユーザ自身が管理対象Apple Accountへの移行かメールアドレスの変更を選択する必要があります。
でも、それだと引き続き個人用Apple Accountで業務用Macにサインインし続けられちゃうのでは?
はい、そうなんです。そこは運用でカバーする部分になりますね……。
Macに限られますが、たとえばApple製品に特化したMDMであるJamf ProやKandjiは、管理下にあるMacでサインインしているApple Accountが管理対象かどうかの情報を取得することができます。
MDMで個人用Apple AccountにサインインしているMacを洗い出して、そのユーザに対して移行を促していく、ということができます。
Kandji製品ページ|株式会社Too
補足:個人用Apple Accountを残す場合
これまでの話は「全て管理対象Apple Accountに移行する」というケースを想定していましたが、たとえばアプリ開発担当など、一部の人のみ今までと同じ個人用Apple Accountを使い続ける場合はどうすべきですか?
その場合は、ドメインのロックやキャプチャを行わず、組織のドメインとは別に、管理対象Apple Account用のドメインを用意するのをおすすめします。
たとえばアプリ開発用に「adp@example.co.jp」というアドレスでApple Developer Programに登録していた場合、「@example.co.jp」のドメインは個人用Apple Accountとして使い続ける必要があるので、「@appleid.example.co.jp」のドメインをABMで登録する、というようなイメージです。
まとめ
・運用方針が決まったらユーザに告知
・管理対象Apple Account用のドメインで、個人用Apple Accountを作らないようロック
・個人用Apple Accountでサインインしているユーザには、管理対象Apple Accountへの移行作業を行なってもらう必要あり
ステップ4:管理対象Apple Accountを作成する
ここまできたら、いよいよ管理対象Apple Accountの作成ができますね!作成方法はいくつか選択肢があると聞いたのですが……
はい、大きく分けて2つの方法があります。
IT管理者が手動でひとつずつ作成する方法と、IdPと連携して一括で作成する方法です。
作成する管理対象Apple Accountの数が少なければ手動でも大丈夫ですが、全社員の管理対象Apple Accountを作成するなど、数が多い場合はIdP連携の方が絶対に楽です。
Entra IDを使って管理対象Apple Accountを一括作成する方法をご紹介した動画があるので、詳しくはそちらをご覧ください!
【IT管理者向け】Entra IDを使って管理対象Apple IDをABMに一括作成!
おわりに
ここまで管理対象Apple Accountについてお話ししてきましたが、太田さんはApple Accountの運用を考えるうえで何がいちばん肝だと思いますか?
やっぱり、いかに企業としてセキュリティなど守るべきところを守りつつ、ユーザの業務効率や利便性を損なわないか、ですかね……。
ステップ2「Apple Accountの運用方針を決定する」でも触れましたが、すでにユーザが業務でiCloudメモの同期やKeynoteの共同編集、ユニバーサルクリップボードなどの連係機能を活用されているケースも多く見られるのではないでしょうか。
こういったAppleデバイスのエコシステムを活かした業務効率化や利便性向上を推進を検討している場合、いずれの機能もApple Accountに基づくものなので、管理対象Apple Accountによって統制を取っていくのが望ましいと考えています。
Apple Accountの話は、企業でのAppleデバイス導入や管理と切っても切れない関係にあります。Tooではこれまで多くのお客様からご相談を受けた経験があるので、お困りのIT管理者の方は、お気軽にご相談いただければと思います!
Apple製品管理・セキュリティ個別相談会
記事は2025年6月12日現在の内容です。
この記事に付けられたタグ
おすすめ記事を見る
