Appleデバイスでのアクティベーションロック
ユーザがアクティベーションロックをオンにすると、iPhone、iPad、Mac、またはApple Watchを紛失したり盗まれたりしたとしても、ほかの人がそれらを使用したり売ったりするのが難しくなります。アクティベーションロックに対応しているデバイス管理サービスを使用している場合は、組織が所有するデバイスのアクティベーションロックを管理できます。
利用できるアクティベーションロックには2つのタイプがあります:
組織に紐付けている場合: 組織に紐付いたアクティベーションロックには、Apple School ManagerまたはApple Business Managerが必要であり、通常は組織の管理が簡単です。これにより、デバイス管理サービスで、サーバ側の操作によってアクティベーションロックのオン/オフの切り替えを完全に制御できます。
ユーザに紐付いている場合: ユーザに紐付いたアクティベーションロックでは、ユーザが個人のApple Account(管理対象Apple Accountではなく)を持っていて、その人が「探す」をオンにする必要があります。この方法では、デバイス管理サービスでアクティベーションロックが許可されている場合、ユーザは組織に紐付いたデバイスを個人のApple Accountにロックできます。
注記: 一部のデバイス管理サービスは、両方のアクティベーションロック方法に対応しています。両方を使おうとすると、最初に成功するアクティベーションロックイベントが優先されます。
アクティベーションロックをオフにする
Apple School ManagerまたはApple Business Managerでは、「デバイスの管理」権限のあるユーザが、組織の所有するiPhone、iPad、Mac、Apple Watch、またはApple Vision Proの組織に紐付いたアクティベーションロックおよびユーザに紐付いたアクティベーションロックをオフにすることができます。アクティベーションロックを有効にする前に、デバイスをApple School ManagerまたはApple Business Managerに追加する必要があります。さらに、デバイスは所有解除されていない状態である必要がありますが、デバイス管理サービスに割り当てる必要はありません。
詳しくは、以下を参照してください:
Apple School Managerユーザガイド: アクティベーションロックをオフにする
Apple Business Managerユーザガイド: アクティベーションロックをオフにする
iPhoneおよびiPadでの組織に紐付いたアクティベーションロック
組織に紐付いたアクティベーションロックを許可すると、(ユーザではなく)デバイス管理サービスからAppleサーバにデバイスのロックまたはロック解除が直接伝達されます。これは完全にサーバ側で行われるため、ユーザの操作やデバイスの状態に依存することはありません。デバイス管理サービスは、独自のバイパスコードを作成し、デバイスのアクティベーションロックをオンまたはオフにする必要があるときにAppleサーバに送信します。
デバイス管理サービスでアクティベーションロックを解除できない場合は、アクティベーションロックの画面で、Apple School ManagerまたはApple Business Managerにデバイス管理サービスを紐付けるデバイス管理サービストークンを作成したアカウントのユーザ名とパスワードを入力します。これは、管理者、サイトマネージャ(Apple School Managerのみ)、またはデバイス登録マネージャの役割を持つアカウントです。
重要: Apple School ManagerまたはApple Business Managerに紐付けられたデバイス管理サービスにデバイスを割り当てる場合は、この方法を使用してください。
ユーザに紐付いたアクティベーションロック
組織に紐付いたアクティベーションロックとは対照的に、ユーザに紐付いたアクティベーションロックを使用すると、ユーザが自分のiCloudアカウントを使って組織所有のデバイスをロックできます。
この場合、デバイス管理サービスを使用すると、ユーザは組織に紐付いた監視対象デバイスでアクティベーションロックをオンにできます。監視対象デバイスではデフォルトでアクティベーションロックが禁止されているため、ユーザがアクティベーションロックをオンにできるようにする前に、デバイスで作成されたバイパスコードをデバイス管理サービスで取得し、保存する必要があります。ユーザが組織を辞めた場合など、何らかの理由により自分のApple Accountで認証できない場合は、デバイスを消去して新しいユーザに割り当てる必要があるときに、バイパスコードを使用して、デバイス管理サービスを使用してリモートで、またはデバイス上で直接、アクティベーションロックをオフにすることができます。
iPhoneおよびiPadでは、バイパスコードを利用できるのは、デバイスが初めて監視対象になってから15日間まで、またはデバイス管理サービスにコードが明示的に指定(その後、クリア)されるまでです。デバイス管理サービスで15日以内にバイパスコードを取得しないと、そのバイパスコードは取得できなくなります。
アクティベーションロックを使用するには、MacコンピュータにAppleシリコンまたはApple T2セキュリティチップが搭載されている必要があります。対象のMacコンピュータでデバイス登録を使用している場合、macOS 10.15以降にアップデートまたはアップグレードすると、アクティベーションロックはデフォルトで禁止されますが、オプションで有効にできます。macOS 10.15以降の(アップグレードではなく)インストール時にアクティベーションロックを管理するには、デバイスが監視されている必要があります。macOS 11以降を搭載したMacでは、デバイス登録を使用して監視されている場合、デバイス管理サービスにデバイスを登録するまでアクティベーションロックを管理できません。つまり、Macがデバイス管理サービスに登録されて監視対象になったとき、アクティベーションロックはすでにオンになっている可能性があります。その場合、デバイス管理サービスを使ってオフにすることはできず、ユーザがオフにするまで、macOSでデフォルトで禁止にすることはできません。
デバイスを物理的に所有している場合、iPhoneまたはiPadでは、アクティベーションロックの画面のApple Accountパスワードのフィールドにデバイス管理サービスのアクティベーションロックのバイパスコードを入力し、ユーザ名のフィールドは空白のままにします。Macでは、メニューバーの「復旧アシスタント」をクリックして「MDMキーでアクティベート」オプションを選択することで、バイパスコードを入力できます。バイパスコードの場所については、デバイス管理サービスデベロッパの資料を参照してください。
デバイス管理サービスでユーザに紐付いたアクティベーションロックを許可すると、以下のようになります:
デバイス管理サービスでアクティベーションロックを許可したときに「探す」がオンになっていると、その時点でアクティベーションロックがオンになります。
デバイス管理サービスでアクティベーションロックを許可したときに「探す」がオフになっていると、アクティベーションロックはユーザが次回「探す」をオンにしたときにオンになります。
バイパスコードを使用してアクティベーションロックを解除する
アクティベーションロックを管理するには、デバイス管理サービスに2つのバイパスコードを保存する必要があります:
デバイスが生成したバイパスコード。デバイス管理サービスは、空でない別のコードをデバイスから受信するまでこのコードを保持します。
デバイス管理サービス経由でアクティベーションロックを開始するときにサーバが作成するバイパスコード。
デバイス管理サービスによってアクティベーションロックの管理に使用されるバイパスコードは、アクティベーションロックをクリアできるようにするために不可欠です。必ずバイパスコードをセキュリティ保護し、定期的にバックアップを作成してください。別のデバイス管理サービスに変更する場合は、これらのバイパスコードのコピーを受け取るか、または登録されているすべてのデバイスのアクティベーションロックがデバイス管理サービスによってクリアされるようにしてください。
デュアルSIMに対応しているAppleデバイスのアクティベーションロックをクリアするには、デバイス管理サービスでリクエストに両方のIMEI(International Mobile Equipment Identity)の値を含める必要があります。デバイス管理サービスデベロッパについては、Apple Developer Webサイトの「バイパスコードを作成する/使用する」(英語)を参照してください。
デバイス管理サービスでアクティベーションロックを削除できない場合は、デバイス管理サービスデベロッパのサポートリソースに問い合わせるか、Appleのサポート記事「アクティベーションロックの解除方法」を参照してください。