管理対象Apple IDとは?

  • Apple
  • Apple Blog
  • 管理対象Apple IDとは?
    • 管理対象Apple IDとは?

    分かりにくい「管理対象Apple ID(=Managed Apple ID)」について、なるべく簡単に解説します!

    企業でのApple ID管理について調べている中で、「管理対象Apple ID」の存在を知ったという方も多いのではないでしょうか。

    ただ、名前は聞いたことがあるけれど、具体的に通常のApple IDと何が違い、何ができるのか、どんな組織に向いているのか、不明な点も多いかと思います。

    そこで今回は、管理対象Apple IDについて詳しくご紹介していきます。

    ※2024年5月追記:WWDC2023で管理対象Apple IDのアップデートが発表されました。iCloudキーチェーンや連係機能が利用できるようになった一方、アプリストアでの購入といった利用できないままの機能もあります。アップデートした内容を追記しています。

    ※Apple IDは2024年に[Apple Account]という名称に変更しました。記事内では以前の表現が残っていますが、同じものを指します

    目次

    管理対象Apple IDとは

    管理対象Apple IDとは、組織が作成し、所有、管理する特別なApple IDです。"Managed Apple ID"とも呼ばれます。

    通常のApple IDは、個人のメールアドレスから各個人が自身で作成するものですが、管理対象Apple IDはApple Business Manager(以下ABM)上で、管理者がユーザのIDを作成します。SaaSのアカウントのようなイメージです。

    ※Apple Business Managerについては、こちらの記事で詳しく紹介しています。

    組織のアカウントやデバイスを管理する立場の方は、管理対象Apple IDを用いてABMにログインすることができ、割り振られた「役割」によってABM上でユーザやデバイスに関する設定などを行えます。

    この「役割」は4種類あり、1つのアカウントに複数の役割を割り振ることもできます。

    1. ユーザマネージャ
      主にアカウント管理を行う役割です。管理対象Apple IDの作成、編集、削除、パスワードリセットなどが可能です。
    2. デバイス登録マネージャ
      主に自動デバイス登録設定に関わる役割です。MDMサーバの追加や端末の割当などが可能です。
    3. コンテンツマネージャ
      主にアプリやブックの管理に関わる役割です。アプリの購入と管理、端末への割当などが可能です。
    4. 職員
      Apple Business Managerの操作を行わず、Apple IDとして管理対象Apple IDを使う一般社員の役割です。

    ※最初にABMに登録した人は「管理者」の権限になり、全てのアクションが行えます。なお、管理者の作成は5名までとなります。

    (1)~(3)は、企業のABM環境を操作する管理担当者に付与される役割ですが、(4)の「職員」という役割のみ、ABM上で何らかの設定を行うためのものではありません。「職員」は、ユーザにApple IDの代替として管理対象Apple IDを使用してもらう際に用います

    「職員」権限の管理対象Apple IDが付与された社員は、このアカウントで通常のApple IDと同じ様にMacやiPad、iPhoneにサインインすることができます。

    では、通常のApple IDを使用する場合と何が違うのかについて見ていきたいと思います。

    管理対象Apple IDでできないこと/できること

    ユーザに管理対象Apple IDを使用してもらう際は、MDMを併用して端末を管理することが前提となっています。なぜかと言うと、管理対象Apple IDは組織が所有するものであるため、一部のApple ID及びiCloudの機能を使用することができないからです。

    使用できない機能の例

    • App Store
    • iTunes Store
    • 「探す」機能
    • iCloudメール
    • 連携カメラ  など

    追記:2023年WWDCの発表から、それまでは使用できなかった「自動ロック解除」「連携カメラ」「Hand Off」「ユニバーサルクリップボード」といったiOSとの連係機能や、iCloudキーチェーンなども管理対象Apple IDで使用できるようになり、利便性が上がりました。

    例えば管理対象Apple IDではApp Storeからアプリをインストールすることができないので、アプリの配布はMDMから行う必要があります。 また、「探す」機能も使用できないので、紛失時の対策にMDMの紛失モードやリモートワイプが有用です。このように、MDMの機能で出来ないことを補完して運用する必要があります。

    それでは、管理対象Apple IDでできることは何でしょうか。まず、Apple IDならではのビジネスに役立つ機能が使用可能です。例えば、FaceTimeやiMessageの使用、Keynoteなどのアプリケーションの共同作業、メモアプリのデバイス間のiCloud同期、5GBのクラウドストレージが挙げられます。

    使用できる機能の例

    ・管理対象Apple IDでのサインインを許可するアプリの制限
    ・iCloudの使用を許可するアプリの設定
    ・Keynoteなどを使用した共同作業の制限
    ・管理対象Apple IDを使用してサインインできるデバイスを指定
    ・組織からの発信のみFaceTime/iMessageの受信を許可 など

    ※ なお、一部の機能には以下の条件が必要です。
    ・iOS 17、iPadOS 17、およびmacOS 14以降。
    ・サードパーティMDMソリューションによるサポート

    追記:さらに、2023年のWWDCで、ABM上で特定のアプリやサービスへのユーザアクセスをカスタマイズすることが可能になると発表がありました。

    詳細は、ABM ユーザガイド内の「Apple Business Managerを使用して特定のアプリやサービスへのユーザアクセスをカスタマイズします 」のページをご覧ください。

    機能一覧は、Apple Business Manager ユーザガイド内の「管理対象Apple IDで使用できるサービス」欄で確認できます。

    では、管理対象Apple IDを組織で使うメリットはどこにあるのでしょうか。

    それは管理者がユーザーのApple IDを一元的に管理できる点です。管理対象Apple IDはABM上で一覧で確認することができるので、誰にどのApple IDを割り振ったのかを一目で確認することができます。
    通常のApple IDは誰がどのApple IDを使用しているのか管理者が把握するのは難しい場合が多いですが、管理対象Apple IDであれば管理の手間を削減することができます。

    ABM上から管理者がロックの解除やパスワードのリセットを行うこともできるので、パスワードの紛失時にも安心です。

    他にも、管理対象Apple IDでは共有iPadという機能も使用できます。

    共有iPadは、同一のiPadに複数のユーザーが各自の管理対象Apple IDでログインすることで、共有して端末を使用できる機能です。ログアウト後もそれぞれのiCloudにデータが残るので、サインアウト後も再びサインインすれば設定が保持されます。iPadを共有機としている際に便利な機能です。

    iPadを開くと管理対象Apple IDでのサインインを求められます。

    ※共有iPadの設定にはいくつか注意が必要です。
    Appleプラットフォーム導入から詳細をご確認ください。

    管理対象Apple IDは、基本的にABM上で1つずつ作成する必要がありますが、Azure ADやGoogle Workspaceを含めたOIDC認証が可能なIdPをご利用している場合は、Federated Authentication機能で一括作成ができます。

    管理対象Apple IDの作成方法

    1. ABM上で手動作成
    2. Entra ID、Google Workspace、OIDC認証のIdPとのFederated Authentication
    3. Entra ID、Google Workspace、OIDC認証のIdPとのSCIM利用(Federated Authenticationと併用)

    結局、管理対象Apple IDは使うべき?

    ここまで管理対象Apple IDについてご紹介してきましたが、管理対象Apple IDがどのような要件に合うのか、逆に管理対象Apple IDが向いていない場合どうすればいいのかについて見ていきましょう。

    ◉管理対象Apple IDが向いている組織
    ・MDMを導入済、または導入予定
    ・アプリの配布をMDM経由に統一したい
    ・Apple IDの制限は厳しくしたいが、FaceTimeなどApple IDが必要なアプリを使用したい
    ・共有iPad機能を使用したい

    ◉管理対象Apple IDが向いていない組織
    ・MDMを導入する予定がない
    ・Apple IDに制限をかけたくない
       - アプリのインストールはユーザーに任せたい
       - Apple IDの機能を自由に使用させたい   など
    ・Apple IDの使用を禁止したい
       - Apple IDが必要なアプリを禁止したい
       - iCloudの使用を禁止したい   など

    前述の通り、管理対象Apple IDはMDMとの併用が必須ですので、MDMが導入済、導入予定であることが前提となります。
    その上で、「Apple IDに関する制限は厳しくしたいが、Apple IDが必要となるアプリを使用したい」、「共有iPadを使用できるようにしたい」といったような要件があれば管理対象Apple IDが有効です。

    では、逆に管理対象Apple IDが向いていない場合はどうすればいいでしょうか。

    その際はどのような管理を行なっていきたいかを項目に分けて整理してみると良いかと思います。例えば、MDMは導入済みかどうか、Apple IDの機能はどれを使用させたいか、アプリの配布方法をどうするか、などです。

    このようにして、最終的にApple ID自体の要不要、管理対象Apple IDでは不足かどうかを精査していくことで、それぞれの企業にあった運用方法を見つけていきましょう。

    ▷それぞれの運用方法のメリット・デメリットについてはApple IDを法人で利用する4つの方法をご覧ください。

    以上、管理対象Apple IDについてご紹介しましたが、いかがだったでしょうか。Apple ID運用の判断材料の1つとしてご活用いただければと思います。

    ただ、どういうものか分かっても実際に自分の企業にどういった運用が適しているのかを判断するのは難しいかと思います。一概にどの選択が正解と言えない状況ですので、企業での運用においてはMDMの導入も行うべきか、ユーザの自由をどこまで認めるか、といったポリシーまで合わせて検討する必要があります。

    MDMについて、弊社ではApple製品の管理に特化した「Jamf Pro」を推奨しております。Mac・iPad・iPhone・AppleTVに至るまで、柔軟でセキュアな設計が可能です。

    記事は2024年5月21日現在の内容です。

    Apple Blog Topへ

    この記事に付けられたタグ

    おすすめ記事を見る

    デバイス管理で早めのセキュリティ対策を。Macの管理を始めるためのステップをご紹介!

    デバイス管理で早めのセキュリティ対策を。Macの管理を始めるためのステップをご紹介!

    • IT管理者向け

    • Mac

    • セキュリティ

    • ビジネス
    Apple IDを法人で利用する4つの方法

    Apple IDを法人で利用する4つの方法

    • Apple ID

    • IT管理者向け

    • ビジネス

    • 教育機関
    今更聞けないMDM。導入すべき組織、進め方とは?Apple Configuratorによる代替手段も解説!

    今更聞けないMDM。導入すべき組織、進め方とは?Apple Configuratorによる代替手段も解説!

    • IT管理者向け

    • ビジネス

    • 教育機関