Appleデバイスの管理対象Apple Account
管理対象Apple Accountは、従業員の生産性を高め、ユーザが必要とする場合があるサービスを提供するための最適な方法です。このアカウントは組織向けに設計され、ユーザが自分用に作成する個人のApple Accountとは別個のものです。これにより、堅牢な管理制御によって組織のデータを個人のデータと切り離しておくことができます。
Apple Accountと同じように、専用デバイスや共有デバイスで管理対象Apple Accountを使用すると、共有iPad、iCloud、iWorkや「メモ」を使用した共同作業などの特定のAppleのサービスにアクセスできます。また、Apple School Manager、Apple Business Manager、およびApple Business Essentialsにアクセスして使用することもできます。
Apple School Managerでは、管理対象Apple Accountは教育機関によって所有および管理され、教育機関のニーズ(パスワードのリセット、通信の制限、役割ベースの管理など)を満たすように設計されています。Apple School Managerを使用すると、ユーザごとに一意の管理対象Apple Accountを簡単に一括作成できます。
Apple School Manager、Apple Business Manager、およびApple Business Essentialsでは、 管理対象Apple Accountは組織によって所有および管理されています(パスワードのリセット、サービスへのアクセスの管理、役割ベースの管理など)。Apple School Manager、Apple Business Manager、およびApple Business Essentialsを使用すると、ユーザごとに一意の管理対象Apple Accountを簡単に一括作成できます。
Appleが管理対象Apple AccountのISO 27001および27018規格に継続的に準拠している認証を見るには、「Appleプラットフォーム認証」の「Appleのインターネットサービスのセキュリティ認証」を参照してください。
管理対象Apple Accountの作成方法
管理対象Apple Accountは、以下の操作を行ったあとに作成されます:
Google Workspace、Microsoft Entra ID、またはIDプロバイダ(IdP)でFederated Authenticationを使用する
Google Workspace、Microsoft Entra ID、またはIdPからユーザを読み込む
Apple School Managerのみ: Student Information System(SIS)からアカウントを読み込む
Apple School Managerのみ: SFTP(Secure File Transfer Protocol)を使用して.csvファイルを読み込む
手動でアカウントを作成する
職場および学校での「Appleでサインイン」
職場および学校での「Appleでサインイン」は、管理対象Apple Accountで「Appleでサインイン」ができるようになる機能です。従業員、教師、および生徒は、自分の管理対象Apple Accountでサインインして、「Appleでサインイン」に対応しているアプリやWebサイトにアクセスできます。管理者、サイトマネージャ(Apple School Managerのみ)、およびユーザマネージャは、「Appleでサインイン」で使用できるアプリを制御できます。職場および学校で「Appleでサインイン」を使用するには、AppleデバイスでiOS 16、iPadOS 16.1、macOS 13またはそれ以降が使用されている必要があります。
詳しくは、WWDC22のビデオ「職場および学校での「Appleでサインイン」を理解する」(英語)をご覧ください。
パスキーと管理対象Apple Account
パスキーは、パスワードを使用しないサインイン操作を実現できるように設計されており、利便性と安全性が両立されています。標準ベースのテクノロジーで、フィッシングに強く、常に強固で、共有シークレットはありません。
iCloudキーチェーンは管理対象Apple Accountに対応しているので、組織でパスキーを導入して従業員が会社のリソースにアクセスできるようにしたり、iPhone、iPad、およびMacデバイスのすべてにパスキーを安全に同期したりできます。アクセス管理機能を使用すると、管理対象パスキーへのアクセスを許可するために必要なデバイスの管理状態を定義することもできます。
宣言型パスキー認証構成では、管理対象デバイスがパスキーが組織のサービスにプロビジョニングされたときに認証を提供できます。認証は、構成でドメインが指定されたWebサイトやアプリにユーザがパスキーを登録したタイミングで行われます。デバイスは、安全にパスキーを生成したあと、構成で定義された証明書の識別情報を使用して、アクセス対象のサービスに対してWebAuthn認証を実行します。そのため、サービスは、組織が管理するデバイスでパスキーが作成されたことを確認してから、アクセス権をプロビジョニングできます。
生成されたパスキーは、管理対象Apple Accountに関連付けられたiCloudキーチェーンに自動保存されます。管理対象Apple Accountが存在しない場合、パスキーを作成できません。
ユーザにシンプルなサインインフローを提供する場合、アプリデベロッパは関連ドメインを使用して、ドメインとアプリ(オプションでMDMによる関連ドメインの構成を許可できます)の安全な関連付けを行います。これが可能な場合、iOS、iPadOS、およびmacOSによって正しいパスキーが自動選択されるので、シームレスなサインイン操作を実現できます。他社製サービスで認証を行う場合、代わりにASWebAuthenticationSessionを使用できます。
詳しくは、パスキー認証宣言型構成を参照してください。