Appleデバイスの管理対象Apple ID
Apple IDと同じように、専用デバイスや共有デバイスで管理対象Apple IDを使用すると、共有iPad、iCloud、iWorkや「メモ」を使用した共同作業などの特定のAppleのサービスにアクセスできます。また、Apple School Manager、Apple Business Manager、およびApple Business Essentialsにアクセスして使用することもできます。管理対象Apple IDはファミリー共有には対応していません。
Apple School Managerでは、管理対象Apple IDは教育機関によって所有および管理され、教育機関のニーズ(パスワードのリセット、通信の制限、役割ベースの管理など)を満たすように設計されています。Apple School Managerを使用すると、ユーザごとに一意の管理対象Apple IDを簡単に一括作成できます。
Apple Business ManagerおよびApple Business Essentialsでは、管理対象Apple IDは組織によって所有および管理されています(パスワードのリセット、役割ベースの管理など)。Apple Business ManagerおよびApple Business Essentialsを使用すると、ユーザごとに一意の管理対象Apple IDを簡単に一括作成できます。
Appleが管理対象Apple IDのISO 27001および27018規格に継続的に準拠している認証を見るには、「Appleプラットフォーム認証」の「Appleのインターネットサービスのセキュリティ認証」を参照してください。
管理対象Apple IDの作成方法
管理対象Apple IDは、以下の操作を行ったあとに作成されます:
Apple School Managerのみ: Student Information System(SIS)からアカウントを読み込む
Apple School Managerのみ: SFTP(Secure File Transfer Protocol)を使用して.csvファイルを読み込む
Google Workspaceからユーザを読み込む
IDプロバイダ(IdP)、Google Workspace、またはMicrosoft Entra IDでFederated Authenticationを使用する
Open ID Connect(OIDC)を使用してIdPからユーザを読み込む
クロスドメインID管理システム(SCIM)を使用してIdPまたはMicrosoft Entra IDからユーザを読み込む
手動でアカウントを作成する
重要: 管理対象Apple IDはすべて一意にする必要があることを念頭に置いてください。ほかのユーザがすでに所有しているほかのApple IDとも競合しないようにする必要があります。
職場および学校での「Appleでサインイン」
職場および学校での「Appleでサインイン」は、管理対象Apple IDで「Appleでサインイン」ができるようになる機能です。従業員、教師、および生徒は、自分の管理対象Apple IDでサインインして、「Appleでサインイン」に対応しているアプリやWebサイトにアクセスできます。管理者、サイトマネージャ(Apple School Managerのみ)、およびユーザマネージャは、「Appleでサインイン」で使用できるアプリを制御できます。職場および学校で「Appleでサインイン」を使用するには、AppleデバイスでiOS 16、iPadOS 16.1、またはmacOS 13以降が使用されている必要があります。
詳しくは、WWDC22のビデオ「職場および学校での「Appleでサインイン」を理解する」(英語)をご覧ください。
パスキーと管理対象Apple ID
パスキーは、パスワードを使用しないサインイン操作を実現できるように設計されており、利便性と安全性が両立されています。標準ベースのテクノロジーで、フィッシングに強く、常に強固で、共有シークレットはありません。
iCloudキーチェーンは管理対象Apple IDに対応しているので、組織でパスキーを導入して従業員が会社のリソースにアクセスできるようにしたり、iPhone、iPad、およびMacデバイスのすべてにパスキーを安全に同期したりできます。アクセス管理機能を使用すると、管理対象パスキーへのアクセスを許可するために必要なデバイスの管理状態を定義することもできます。
宣言型パスキー認証構成では、管理対象デバイスがパスキーが組織のサービスにプロビジョニングされたときに認証を提供できます。認証は、構成でドメインが指定されたWebサイトやアプリにユーザがパスキーを登録したタイミングで行われます。デバイスは、安全にパスキーを生成したあと、構成で定義された証明書の識別情報を使用して、アクセス対象のサービスに対してWebAuthn
認証を実行します。そのため、サービスは、組織が管理するデバイスでパスキーが作成されたことを確認してから、アクセス権をプロビジョニングできます。
生成されたパスキーは、管理対象Apple IDに関連付けられたiCloudキーチェーンに自動保存されます。管理対象Apple IDが存在しない場合、パスキーを作成できません。
ユーザにシンプルなサインインフローを提供する場合、アプリデベロッパは関連ドメインを使用して、ドメインとアプリ(オプションでMDMによる関連ドメインの構成を許可できます)の安全な関連付けを行います。これが可能な場合、iOS、iPadOS、およびmacOSによって正しいパスキーが自動選択されるので、シームレスなサインイン操作を実現できます。他社製サービスで認証を行う場合、代わりにASWebAuthenticationSession
を使用できます。
詳しくは、パスキー認証宣言型構成を参照してください。