企業でのApple ID管理について調べている中で、「管理対象Apple ID」の存在を知ったという方も多いのではないでしょうか。
ただ、名前は聞いたことがあるけれど、具体的に通常のApple IDと何が違い、何ができるのか、どんな組織に向いているのか、不明な点も多いかと思います。
そこで今回は、管理対象Apple IDについて詳しくご紹介していきます。
管理対象Apple IDとは、組織が作成し、所有、管理する特別なApple IDです。Managed Apple IDとも呼ばれます。
通常、Apple IDは個人のメールアドレスから個人自身が作成するものですが、管理対象Apple IDはApple Business Manager(以下ABM)上で、管理者がユーザのIDを作成します。
管理対象Apple IDがあるとABMにログインすることができ、さらに割り振られた「役割」によってABM上でユーザやデバイスに関する設定などを行うことも可能です。この「役割」は4種類あり、1つのアカウントに複数の役割を割り振ることもできます。
(1)ユーザマネージャ
主にアカウント管理を行う役割です。管理対象Apple IDの作成、編集、削除、パスワードリセットなどが可能です。
(2)デバイス登録マネージャ
主に自動デバイス登録設定に関わる役割です。MDMサーバの追加や端末の割当などが可能です。
(3)コンテンツマネージャ
主にアプリやブックの管理に関わる役割です。アプリの購入と管理、端末への割当などが可能です。
(4)職員
Apple Business Managerの操作を行わず、Apple IDとして管理対象Apple IDを使う一般社員の役割です。
※最初にABMに登録した人は「管理者」の権限になり、全てのアクションが行えます。
Apple Business Managerについては、こちらの記事で詳しく紹介しています。
(1)~(3)は、企業のABM環境を操作する管理担当者に付与される役割ですが、(4)の「職員」という役割のみ、ABM上で何らかの設定を行うためのものではありません。「職員」は、ユーザにApple IDの代替として管理対象Apple IDを使用してもらう際に用います。
ユーザは付与された管理対象Apple IDを用いて、通常のApple IDと同様にMacやiPad、iPhoneにサインインすることができます。
では、通常のApple IDを使用する場合と何が違うのかについて見ていきたいと思います。
ユーザに管理対象Apple IDを使用してもらう際は、MDMを併用して端末を管理することが前提となっています。なぜかと言うと、管理対象Apple IDは組織が所有するものであるため、一部のApple ID及びiCloudの機能を使用することができないからです。
使用できない機能の例
・App Store
・iTunes Store
・「探す」機能
・iCloudメール
・連携カメラ
など
一覧は、Apple Business Manager ユーザガイド内の「管理対象Apple IDで使用できるサービス」欄をご覧ください。
例えば管理対象Apple IDではApp Storeからアプリをインストールすることができないので、アプリの配布はMDMから行う必要があります。 また、「探す」機能も使用できないので、紛失時の対策にMDMのリモートワイプが有用です。このように、MDMの機能で出来ないことを補完して運用する必要があります。
では、管理対象Apple IDのメリットはどこにあるのでしょうか。
それは管理者がユーザーのApple IDを一元的に管理できる点です。管理対象Apple IDはABM上で一覧で確認することができるので、誰にどのApple IDを割り振ったのかを一目で確認することができます。
通常のApple IDは誰がどのApple IDを使用しているのか管理者が把握するのは難しい場合が多いですが、管理対象Apple IDであれば管理の手間を削減することができます。
ABM上から管理者がロックの解除やパスワードのリセットを行うこともできるので、パスワードの紛失時にも安心です。
また、KeynoteアプリやFaceTimeアプリの使用や、メモアプリのデバイス間のiCloudでの同期、5GBのiCloudストレージなど、Apple IDならではのビジネスに役立つ機能を使用することができます。
他にも、管理対象Apple IDでは共有iPadという機能も使用できます。
共有iPadは複数のユーザーが管理対象Apple IDでログインすることで、iPadを共有して使用できる機能です。ログアウト後もそれぞれのiCloudにデータが残るので、サインアウト後も再びサインインすれば設定が保持されます。iPadを共有機としている際に便利な機能です。
iPadを開くと管理対象Apple IDでのサインインを求められます。
※共有iPadの設定にはいくつか注意が必要です。
Appleプラットフォーム導入から詳細をご確認ください。
管理対象Apple IDの作成方法は4通りあります。Azure ADやGoogle Workspaceがあれば一括で管理対象Apple IDを作成できます。どちらもお持ちでない場合はABM上で1つずつ作成する必要がありますのでご注意ください。
・ABM上で手動作成
・Azure AD、Google WorkspaceとのFederated Authentication
・Azure ADのSCIMの利用
・Google Workspaceとの同期
ここまで管理対象Apple IDについてご紹介してきましたが、管理対象Apple IDがどのような要件に合うのか、逆に管理対象Apple IDが向いていない場合どうすればいいのかについて見ていきましょう。
◉管理対象Apple IDが向いている組織
・MDMを導入済、または導入予定
・アプリの配布をMDM経由に統一したい
・Apple IDの制限は厳しくしたいが、FaceTimeなどApple IDが必要なアプリを使用したい
・共有iPad機能を使用したい
◉管理対象Apple IDが向いていない組織
・MDMを導入する予定がない
・Apple IDに制限をかけたくない
- アプリのインストールはユーザーに任せたい
- Apple IDの機能を自由に使用させたい など
・Apple IDの使用を禁止したい
- Apple IDが必要なアプリを禁止したい
- iCloudの使用を禁止したい など
前述の通り、管理対象Apple IDはMDMとの併用が必須ですので、MDMが導入済、導入予定であることが前提となります。
その上で、「Apple IDに関する制限は厳しくしたいが、Apple IDが必要となるアプリを使用したい」、「共有iPadを使用できるようにしたい」といったような要件があれば管理対象Apple IDが有効です。
では、逆に管理対象Apple IDが向いていない場合はどうすればいいでしょうか。
その際はどのような管理を行なっていきたいかを項目に分けて整理してみると良いかと思います。例えば、MDMは導入済みかどうか、Apple IDの機能はどれを使用させたいか、アプリの配布方法をどうするか、などです。
このようにして、最終的にApple ID自体の要不要、管理対象Apple IDでは不足かどうかを精査していくことで、それぞれの企業にあった運用方法を見つけていきましょう。
▷それぞれの運用方法のメリット・デメリットについてはApple IDを法人で利用する4つの方法をご覧ください。
以上、管理対象Apple IDについてご紹介しましたが、いかがだったでしょうか。Apple ID運用の判断材料の1つとしてご活用いただければと思います。
ただ、どういうものか分かっても実際に自分の企業にどういった運用が適しているのかを判断するのは難しいかと思います。一概にどの選択が正解と言えない状況ですので、企業での運用においてはMDMの導入も行うべきか、ユーザの自由をどこまで認めるか、といったポリシーまで合わせて検討する必要があります。
弊社ではApple製品の導入に関して、調達・管理・運用・修理サポートまで、定期相談会を開催しております。
Apple IDやABMといった仕組みの利用方法はもちろん、導入に関する不安やご懸念な点がありましたら、経験豊富なスタッフにぜひご相談ください。
MDMについて、弊社ではApple製品の管理に特化した「Jamf Pro」を推奨しております。Mac・iPad・iPhone・AppleTVに至るまで、柔軟でセキュアな設計が可能です。
記事は2022年10月31日現在の内容です。