ユーザ登録とMDM
ユーザ登録はBYOD(自分のデバイスを持ち込み、組織ではなくユーザがデバイスを所有する)を導入するために設計されています。これは、IDプロバイダ(IdP)、Google Workspace、またはMicrosoft Entra ID、Apple School ManagerまたはApple Business Manager、および他社製MDMソリューションと連係します。また、Apple Business Essentialsのデバイス管理とも連係します。
MDMへのユーザ登録は、以下の4段階に分かれています:
サービスの検出: デバイスが自分自身をMDMソリューションに識別させます。
ユーザ登録: ユーザは、MDMソリューションへの登録の認可を受けるため、IDプロバイダ(IdP)に資格情報を提供します。
セッショントークン: 継続的な認証を可能にするために、セッション・トークンがデバイスに発行されます。
MDM登録: 登録プロファイルが、MDM管理者が設定したペイロードと共にデバイスに送信されます。
ユーザ登録と管理対象Apple Account
ユーザ登録には、管理対象Apple Accountが必要です。管理対象Apple IDは組織によって所有および管理され、従業員に特定のAppleサービスへのアクセスを提供します。また、管理対象Apple Accountには以下が該当します:
手動で作成、またはFederated Authenticationを使用して自動で作成される
Student Information System(SIS)と統合されているか、.csvファイルがアップロードされている(Apple School Managerのみ)。
Apple School Manager、Apple Business Manager、またはApple Business Essentialsで、割り当てられているロールでのサインインにも使用できる
ユーザが登録プロファイルを削除すると、その登録プロファイルに基づくすべての構成プロファイル、設定、管理対象アプリが一緒に削除されます。
ユーザ登録は管理対象Apple Accountと統合され、デバイスにユーザIDを確立します。登録を完了するためにはユーザが正常に認証される必要があります。管理対象Apple Accountはすでにユーザがサインインしている個人のApple Accountと併用でき、この2つのIDは相互に連係しません。
ユーザ登録とFederated Authentication
管理対象Apple Accountは手動で作成できますが、組織はIdP、Google Workspace、またはMicrosoft Entra IDとユーザ登録との同期を利用することができます。そのためには、組織はまず以下を行う必要があります:
IdP、Google Workspace、またはMicrosoft Entra IDでユーザの資格情報を管理する
オンプレミス版のActive Directoryがある場合は、Federated Authenticationを準備するための追加構成が必要です。
Apple School Manager、Apple Business Manager、またはApple Business Essentialsに組織を登録する
Apple School Manager、Apple Business Manager、またはApple Business EssentialsにFederated Authenticationを設定する
MDMソリューションを構成してApple School Manager、Apple Business Manager、またはApple Business Essentialsにリンクするか、またはApple Business Essentialsに組み込まれているデバイス管理を使用する
(オプション)管理対象Apple Accountを作成する
ユーザ登録と管理対象アプリ(macOS)
ユーザ登録では、macOSに管理対象アプリが追加されました(この機能はデバイス登録や自動デバイス登録ではすでに可能でした)。CloudKitを使用する管理対象アプリでは、MDM登録に関連付けられた管理対象Apple Accountを使用します。MDM管理者は、InstallAsManagedキーをInstallApplicationコマンドに追加する必要があります。iOSやiPadOSのアプリと同様に、ユーザがMDMから登録解除するときに、これらのアプリが自動的に削除されるようにすることができます。
ユーザ登録とアプリ別ネットワーク
iOS 16、iPadOS 16.1、およびvisionOS 1.1以降のアプリ別ネットワークは、ユーザ登録で登録したデバイスのVPN(アプリ別VPNと呼ばれます)、DNSプロキシ、Webコンテンツフィルタで利用できます。つまり、管理対象アプリによって開始されたネットワークトラフィックのみが、DNSプロキシ、Webコンテンツフィルタ、またはその両方を通過します。ユーザの個人的なトラフィックは分離されたままであり、組織によってフィルタリングされたりプロキシされたりすることはありません。これは、以下のペイロードの新しいキー値ペアを使用して実現されます:
ユーザが自分の個人用デバイスを登録する方法
iOS 15、iPadOS 15、macOS 14、およびvisionOS 1.1またはそれ以降では、ユーザが個人のデバイスを簡単に登録できるように設定アプリに直接組み込まれた、効率的なユーザ登録プロセスを組織が使用できます。
これを実行するには:
iPhone、iPad、およびApple Vision Proでは、ユーザは「設定」>「一般」>「VPNとデバイス管理」に移動し、「勤務先または学校のアカウントでサインインしてください」ボタンを選択します。
Macでは、ユーザは「設定」>「プライバシーとセキュリティ」>「プロファイル」に移動し、「勤務先または学校のアカウントでサインインしてください」ボタンを選択します。
管理対象Apple Accountを入力すると、サービスの検出によりMDMソリューションの登録URLが識別されます。
その後、組織のユーザ名とパスワードを入力します。組織の認証が成功すると、登録プロファイルがデバイスに送信されます。継続的な認可を可能にするために、セッショントークンもデバイスに発行されます。そのあと、デバイスで登録プロセスが開始され、ユーザは管理対象Apple Accountでサインインすることを求められます。iPhone、iPad、およびApple Vision Proでは、登録シングルサインオンを使って認証を求められる回数を減らすことで、認証プロセスを効率化できます。
登録が完了すると、新しい管理対象アカウントが設定アプリ(iPhone、iPad、およびApple Vision Pro)および「システム設定」(Mac)内に目立つように表示されます。これを使って、ユーザは個人のApple Accountで作成したiCloud Driveにあるファイルにアクセスできます。ファイルアプリに組織のiCloud Drive(ユーザの管理対象Apple Accountに関連付けられています)が別個に表示されます。
iPhone、iPad、およびApple Vision Proでは、管理対象アプリと管理対象のWebベース書類はすべて、組織のiCloud Driveにアクセスできます。MDM管理者は、特定の制限を使用して特定の個人の書類と組織の書類を別々に管理できます。詳しくは、管理対象アプリの制限と機能を参照してください。
ユーザは、個人のデバイスで管理されているものと、組織によって提供されているiCloudストレージの容量に関する詳細を確認できます。ユーザがデバイスを所有しているため、ユーザ登録ではペイロードおよび制限の限定的なセットのみをデバイスに適用できます。詳しくは、ユーザ登録MDMの情報を参照してください。
Appleがユーザデータを組織のデータから分離する方法
ユーザ登録が完了すると、デバイス上に別の暗号化鍵が自動的に作成されます。デバイスがユーザによって、またはMDMを使用してリモートで登録解除されると、それらの暗号化鍵は安全に破棄されます。鍵は以下の管理対象データを暗号化によって分離するために使用されます:
アプリデータコンテナ: iPhone、iPad、Mac、およびApple Vision Pro
カレンダー: iPhone、iPad、Mac、およびApple Vision Pro
デバイスでiOS 16、iPadOS 16.1、macOS 13、およびvisionOS 1.1、またはそれ以降を実行している必要があります。
キーチェーン項目: iPhone、iPad、Mac、およびApple Vision Pro
注記: 他社製のMacアプリではデータ保護キーチェーンAPIを使用する必要があります。詳しくは、Apple Developerのドキュメント「kSecUseDataProtectionKeychain」(英語)を参照してください。
メール添付ファイルとメールメッセージ本文: iPhone、iPad、Mac、およびApple Vision Pro
メモ: iPhone、iPad、Mac、およびApple Vision Pro
リマインダー: iPhone、iPad、Mac、およびApple Vision Pro
デバイスでiOS 17、iPadOS 17、macOS 14、およびvisionOS 1.1、またはそれ以降を実行している必要があります。
ユーザが個人のApple Accountと管理対象Apple Accountでサインインしている場合、「Appleでサインイン」は管理対象アプリでは管理対象Apple Accountを、管理対象外アプリでは個人のApple Accountを自動的に使用します。Safariまたは管理対象アプリ内のSafariWebViewでサインインフローを使用する場合、ユーザは管理対象Apple Accountを選択して入力し、サインインと作業アカウントを関連付けることができます。
システム管理者が管理できるのは組織アカウント、設定、およびMDMでプロビジョニングされる情報のみで、ユーザの個人アカウントは管理できません。実際、組織が所有している管理対象アプリのデータを安全に保管しているのと同じ機能が、ユーザの個人コンテンツを保護し、個人コンテンツが企業のデータストリームに入り込まないようにしています。
MDMでできること | MDMでできないこと |
|---|---|
アカウントを構成する | 個人情報、使用状況に関するデータまたはログを表示する |
管理対象アプリのインベントリにアクセスする | 個人用アプリのインベントリにアクセスする |
管理対象データのみを削除する | 個人データを削除する |
アプリをインストールして構成する | 個人用アプリの管理を引き継ぐ |
パスコードを要求する | 複雑なパスコードまたはパスワードを要求する |
特定の制限を適用する | デバイスの位置情報にアクセスする |
アプリ別VPNを構成する | 一意のデバイス識別子にアクセスする |
| デバイス全体をリモートでワイプする |
| アクティベーションロックを管理する |
| ローミング状況にアクセスする |
| 紛失モードをオンにする |
注記: iPhoneおよびiPadでは、管理者が6文字以上のパスコードを要求し、ユーザが単純なパスコード(「123456」や「abcdef」など)を使用できないようにできますが、複雑な文字やパスワードを要求することはできません。