用語集
- Apple Account
ユーザがApp Store、iCloud、iMessage、FaceTime、AppleオンラインストアなどのAppleサービスにアクセスするために使用する個人のアカウントです。サインインに必要な情報に加えて、Appleサービスに必要なすべての連絡先、支払い情報、セキュリティに関する詳細情報が含まれます。(個人のApple Accountは、管理対象外Apple Accountとも呼ばれます。)管理対象Apple Accountも参照してください。
- Apple Business Manager
Apple Business Managerは、IT管理者向けのシンプルなWebベースのポータルです。iPhone、iPad、Mac、Apple TV、Apple Watch、またはApple Vision Proのいずれを使用しているかにかかわらず、他社製のデバイス管理サービスと連携して、コンテンツを簡単に一括購入したり、IDプロバイダ(IdP)にリンクしたり、デバイスを追加したりできます。
- Apple School Manager
Apple School Managerは、IT管理者向けのシンプルなWebベースのポータルです。iPhone、iPad、Mac、Apple TV、Apple Watch、またはApple Vision Proのいずれを使用しているかにかかわらず、他社製のデバイス管理サービスと連携して、コンテンツを簡単に一括購入したり、Student Information System(SIS)にリンクしたり、デバイスを追加したりできます。
- Appleお客様番号
組織に対してAppleから割り当てられるアカウント番号(複数可)。Appleのハードウェアまたはソフトウェアを購入する際に使用します。この番号は、お客様の組織が特定のプログラムへの登録資格があることを確認するために必要となります。番号が不明な場合は、組織の購買担当者、財務部門、またはApple Accountチームにお問い合わせください。この番号はGSXアカウント番号とは異なります。
- D-U-N-S番号
Dun & Bradstreet(D&B)社がそのデータベース内の各企業に割り当てる9桁の識別子。Appleはプログラムに登録された組織をD&Bデータベースと照合します。自社のD-U-N-S番号の取得方法について詳しくは、「Welcome to D&B Support」を参照してください。
- eSIM(内蔵SIM)
Apple Watch Series 3以降、iPhone XR、iPhone XS、iPhone XS Max以降、および第3世代iPad Pro以降にリリースされたすべてのiPadのソフトウェアベースのSIM。SIMカード(Subscriber Identity Module)も参照してください。
- Federated Authentication
1つのディレクトリシステムのアカウントに関連付けられたユーザ名とパスワードを、ほかのシステムでも同様に認証情報として使用できるようにするプロセス。
- IDフェデレーション
複数のセキュリティドメインでIDプロバイダ間に信頼を確立すること。
- PIV(Personal Identity Verification)カード
2ファクタ認証、デジタル署名、暗号化に使用されるスマートカードテクノロジーの1タイプ。macOSのスマートカードの組み込み対応は、CryptoTokenKit(CTK)フレームワークを基にしています。
- SIMカード(Subscriber Identity Module)
モバイルデバイスでサブスクリプションに登録しているユーザを特定および認証するためのUICC(universal integrated circuit card)。eSIM(内蔵SIM)も参照してください。
- オペレーティングシステムとチャンネル
デバイス管理ペイロードは特定のオペレーティングシステム、および共有iPadとMacで使用できます。共有iPadとMacには複数のユーザを登録できるので、ペイロードは、デバイスチャンネル(すべてのユーザ)に適用することも、ユーザチャンネル(特定のユーザ)に適用することもできます。
- サプライヤ
適格なデバイスの購入先の事業者。発注書(PO)を使用してAppleから直接デバイスを購入する場合は「Apple(直接購入)」オプションを使用し、サプライヤとしてAppleお客様番号を入力します。Apple製品取扱店またはモバイルデータ通信事業者からデバイスを購入する場合は「販売店」オプションを使用して販売店番号を入力し、アカウントのサプライヤとして取扱店を追加します。各サプライヤをアカウントに追加する必要があるのは一度だけです。
- シングルサインオン
ユーザが認証情報と認可情報を一度入力してチケットを受け取ることによって、チケットの有効期限が切れるまで(通常10時間)リソースにアクセスできるようになるプロセス。
- セキュアトークン
生成タイミングや保存方法など、暗号化鍵の実装に対処するmacOSの機能。具体的には、セキュアトークンはユーザのパスワードで保護される鍵暗号化鍵(KEK)のラッピングされたバージョンです。
- デバイス管理サービス
ユーザがデバイスを所有しているか、組織がデバイスを所有しているかにかかわらず、構成、プロファイル、およびコマンドをデバイスに送信することにより、管理者がデバイスを安全かつリモートで構成できるようにするサービス。ソフトウェアとデバイス設定のアップデート、組織ポリシーへの準拠の監視、デバイスのリモートワイプやリモートロックなどの機能もあります。ユーザが所有するデバイスは、ユーザ自身がデバイス管理サービスに登録できます。組織が所有するデバイスは、Apple School ManagerまたはApple Business Managerを使用して自動的に登録できます。
- バックアップ
ホーム画面のレイアウト、アプリデータ(Safariのブックマークや「カレンダー」のイベントなど)、デバイス上の「設定」で設定できるすべての項目(制限、証明書、一部のアカウントタイプを含む)、連絡先、およびカメラロール(写真アルバム以外)などの情報が含まれている重要なデータのコピー。Finder(macOS 10.15以降)やiTunes(macOS 10.14以前)を使用して同期したり、iCloudまたはiCloud Driveに保存したりするアプリやメディアは通常、バックアップには組み込まれません。監視対象でないデバイスのバックアップは、FinderまたはiTunesのバックアップと同じもので、どちらも同じように使用できます。監視対象でないデバイスのバックアップは、監視対象でないデバイスにのみ復元することができます。同様に、監視対象デバイスのバックアップは、ほかの監視対象デバイスにのみ復元することができます。
- ブートストラップトークン
すべてのモバイルアカウントで自動的にセキュアトークンを提供するデバイス管理ベースの機能です。具体的には、ブートストラップトークンを使用すると、モバイルアカウントとデバイス登録で作成されるオプションの管理者アカウント(「管理対象管理者」)の両方にセキュアトークンを付与できます。macOS 11以降では、ブートストラップトークンは、ローカルユーザアカウントを含めて、Macコンピュータにログインするすべてのユーザにセキュアトークンを付与できます。
- ペイロード
少なくとも1つの管理対象の設定。LDAPなど一部の設定には、複数のペイロードを含めることができます。ペイロードを使用して、強化されたネットワークセキュリティ、ユーザ認証、Wi-Fi認証、VPNポリシー設定、メール設定などを管理できます。設定も参照してください。
- マシンベースの適用(MBE)
Macでアクセス可能なアカウントについてはスマートカード認証を優先するため、パスワードに基づく認証を削除する実装。ユーザベースの適用(UBE)と比較してください。
- ユーザベースの適用(UBE)
特定のユーザまたはユーザグループにスマートカード認証の例外を作成する実装。このオプションにより、パスワードに基づく認証はすべて無効になります。マシンベースの適用(MBE)と比較してください。
- ユーザ承認デバイス管理登録
macOS 10.13.2以降では、ユーザ承認デバイス管理登録でデバイス管理サービスのソフトウェアに追加権限が許可されます。macOS 11以降は、コマンドラインを使用してプロファイルをインストールできなくなったため、ユーザがすべての新しい登録を承認します。ユーザ承認デバイス管理登録は、ユーザ登録とは異なります。
- ローカルアカウントペアリング
ローカルアカウントにMacコンピュータのスマートカード認証を適用する方法。
- 管理対象Apple Account
ユーザがAppleのサービスにアクセスできるように、企業または教育機関が作成し、所有し、管理するアカウント。ユーザが自分用に作成する管理対象外Apple Accountとは別個のものです。(管理対象外Apple Accountは、個人のApple Accountとも呼ばれます。)Apple Accountも参照してください。
- 共有iPad
共有iPad機能を使用して、複数の生徒が教室にある同一のiPadを使えるようにできます。こうすることで、デバイスを共有していても、学習体験をパーソナライズすることができます。クラスからクラスへ非常に簡単に移行できるだけでなく、時間も節約できます。生徒は、中断したところから簡単に作業を再開でき、生徒の作業は自動的に保存されます。共有iPadを「クラスルーム」と併用すると、インテリジェントなキャッシュにより、生徒が以前に使用していたiPadに戻ったときに素早くサインインできます。
- 構成プロファイル
Appleデバイスに設定と認証情報を読み込むペイロードで構成された(末尾が.mobileconfigの)XMLファイル。構成プロファイルにより、設定、アカウント、制限、および資格情報の構成が自動化されます。これらのファイルはデバイス管理サービスで作成できます。または、手動で作成するか、MacのApple Configuratorを使用して作成できます。
- 識別情報
証明書は自由に配布できますが、IDは安全に保管する必要があります。自由に配布される証明書とその公開鍵は、対応する秘密鍵のみで復号化できるような暗号化プロセスに使用されます。システムは、IDの秘密鍵部分をPKCS12(.p12)ファイルに格納し、パスフレーズが必要な別の鍵で暗号化します。
- 重複
デバイス管理で、2つ以上の同じペイロード。例えば、証明書ペイロードには複数の証明書が含まれ、VPNペイロードには複数のVPN設定が含まれることがあります。1台のデバイスまたは1ユーザで特定の2つ以上のペイロードを有効にすることはできず、ペイロードは単一である必要があります。
- 設定
デバイス管理の場合、一意識別子は特定のアプリ、機能、または接続機能(Exchange、パスコード、VPN、Wi-Fi、プロキシなど)に適用されます。例えば、Wi-Fiネットワークの名前やExchangeサーバに対する認証方法に関する情報は設定の一種です。特定のアプリ、機能、または接続機能の設定が入力されると、それらはペイロードになります。ペイロードも参照してください。
- 組織ID
Apple School ManagerまたはApple Business Managerでの一意の識別子。Apple製品取扱店またはモバイルデータ通信事業者に組織IDを提示し、ご使用のアカウントプロファイルにその販売店の販売店番号を追加した場合、その取扱店から購入するデバイスを同店がAppleに提出し、Apple School ManagerまたはApple Business Managerにデバイスのシリアル番号を表示できることを承認したことになります。
- 登録方法
デバイス管理サービスへのデバイス登録の3つの主な方法: ユーザ登録、デバイス登録、自動デバイス登録。
- 認可
自分のIDを証明するアサーションを提供することで認証が行われたあとに、認証局からトークンを取得すること。
- 認証
自分のIDを証明するアサーションを提供したあとに、認証局から資格情報を取得すること。
- 販売代理店番号
Apple School ManagerまたはApple Business Managerに参加する各Apple製品取扱店またはモバイルデータ通信事業者の固有の識別子。Apple製品取扱店またはモバイルデータ通信事業者の販売店番号をアカウントプロファイルに追加し、その取扱店に組織IDを提示した場合、その取扱店から購入するデバイスを同店がAppleに提出し、Apple School ManagerまたはApple Business Managerにデバイスのシリアル番号を表示できることを承認したことになります。