以前、当ブログの「Apple製品を会社として導入するための準備をした話」にてApple IDに関していくつか言及しました。 しかし、この記事は2017年の内容であり、2019年7月現在では少々状況が変化しています。

今回は、Apple IDにフォーカスして2019年7月時点の教育や企業、法人などの組織における運用方法等を紹介します。

2019-12-16 追記

Managed Apple IDとMicrosoft Azure Active Directoryの統合機能はすでに使用可能です。

詳しい内容については「Apple Business Manager/Apple School Managerの設定」の記事をご確認ください。

Apple IDの役割

Apple IDは、Apple社のサービスを利用するのに必要なアカウントおよびユーザーを一意に特定するためのIDです。

Apple IDを作成することで、

  • App Store
  • Apple Developer Program
  • Apple Music
  • Apple Store
  • iCloud
  • iTunes

など、さまざまなApple社が提供するサービスを使用できます。

組織におけるApple IDに関する課題

Apple IDの作成には、受信可能なメールアドレスとパスワードが必要です。 更に追加として、秘密の質問、SMS認証用の電話番号またはiOS/macOSが動作する端末が必要です。

このような制約の中、組織において、個人で使用するApple IDと同様にApple IDを作成すると、いくつかの課題が起こる可能性があります。

以下に例を挙げます。

  1. さまざまなサービスに紐付いているが故、退職後など利用の必要がなくなった場合もそれらの接続・操作権限を持ってしまう
    • つまり、適切なアカウントの棚卸しが難しい
  2. パスワードや秘密の質問の紛失やSMS認証の受け取りができなくなり、アカウントの変更、最悪の場合使用ができなくなる
    • つまり、統合的なアカウントマネジメントができない
  3. App StoreのアプリケーションやiBooks Storeの本などのライセンスが人数分買い切りになってしまう
    • つまり、統合的なライセンス管理ができない

これらは組織においてしばしば問題となります。

また、2019年2月からApple Developer Programの利用者は、SMS認証(2ステップ確認)または信頼できる電話番号を担保とする端末による認証(2ファクタ認証)が必須となりました。 iOSアプリケーションの配布のためにApple Developer Programに加入している組織が多い現在、これをきっかけにApple IDを適切に管理をしていきたいという要望が増えてきている印象です。

App Storeの規約について

App Storeアプリケーションの規約については注意すべき事項があります。 App Storeのエンドユーザー向け規約であるLICENSED APPLICATION END USER LICENSE AGREEMENTの「ライセンスの範囲」の項目には以下のように記されています。

This license does not allow you to use the Licensed Application on any Apple Device that you do not own or control, and except as provided in the Usage Rules, you may not distribute or make the Licensed Application available over a network where it could be used by multiple devices at the same time.

ここでポイントとなるのが、個人で所有または管理していない端末でのApp Storeのアプリケーション(無料/有料問わず)の使用は規約違反の可能性があるということです。

組織においてはしばしば、組織が貸与するmacOSやiOSの端末が使用されます。 これらの端末上で通常のApple IDを使用してApp Storeを使用する場合、「ライセンスの範囲」と照らし合わせてみると、 通常のApple IDを使用してStoreのアプリケーションを使用することは規約違反になりうる と解釈できます。

規約に準拠していない運用は、教育や企業、法人としてあるべき姿ではないため、このような運用は見直す必要があります。

代替手段としては、Apple製品を会社として導入するための準備をした話でも言及しました Volume Purchase Program を使用すると、Apple社の規約に沿った形でApp Storeのアプリケーションを使用できます。

課題解決のためのクラウドポータルApple School Manager/Apple Business Manager

これらの課題を解決するために、Apple社はソリューションを提供しています。 それが、Apple School Manager(以下「ASM」という)とApple Business Manager(以下「ABM」という)です。 ASMは教育機関向け、ABMは企業向けのクラウドポータルです。

両方とも、

  • Device Enrollment Program(以下「DEP」という)
  • Managed Apple ID
  • Volume Purchase Program(以下「VPP」という)
  • MDM Server管理

などの機能が使用できます。ASMは追加で、

  • 学習管理システム
  • Classroomアプリケーション上の教材配布
  • iTunes Uへの名簿連携
  • 無料のiCloud 200GB容量

が使用できます。

ABMを使用するには D-U-N-S Number が必要です。 また、ASMを使用するには D-U-N-S Number に加えて、Apple社が認める教育組織または教育行政組織である必要があります。

Apple Deployment Programとの違い

Apple Deployment Program(以下「ADP」という)はDEP管理がメインのポータルサイトを表したり、DEPとVPPのことを表したりしました。 更に、ADPポータル(deploy.apple.com)とVPPポータル(vpp.itunes.com)が存在していましたが、2018年にDEPとVPPが一元的に管理できるようにABMまたはASMに移行されました。

そのため、ADPはすでになくなったと考えても差し支えないでしょう。 過去の使用などを参考にすると、ADPやDEP、VPPとの立ち位置が紛らわしいと思われますが、このような経緯があったためでした。

Managed Apple IDとは

前置きが長くなりましたが、組織におけるApple IDに関する課題を解決するためのソリューションが Managed Apple ID です。「管理対象Apple ID」とも呼ばれます。

Managed Apple IDは、企業であれば従業員に、教育機関であれば教職員や児童・生徒に発行できます。 通常のApple IDと大きく異なる点は、組織内のApple IDを管理者が一括作成・管理が可能で、付与したManaged Apple IDに対して役割や権限を設定できることです。 また、セキュリティや管理の観点から一部制限を受ける機能やサービスがあります。

Managed Apple IDと通常のApple IDの違い

Managed Apple IDと通常のApple IDには機能にいくつか違いがあるので以下にまとめてみました。

機能 Managed Apple ID 通常のApple ID
App Store/iTunes Store 使用不可 使用可
Apple Music 使用不可 使用可
iPhoneを探す/Macを探す/友達を探す 使用不可 使用可
iCloudメール/iCouldキーチェーン/iCloudファミリー共有 使用不可 使用可
FaceTime 使用不可 使用可
HomeKit接続デバイス 使用不可 使用可
Apple Pay 使用不可 使用可
メモのロック 使用不可 使用可
App Store Connect/Enterprise Connect 使用可 使用可
Apple Developer Program/Apple Developer Enterprise Program 使用可 使用可
パスワードの複雑度 ASMのみ使用可 使用不可
パスワード試行回数制限 10回の失敗でアカウントロック なし
パスワードのリセット ポータル上で管理者が実行 追加認証を使用
使用不可の場合復旧不可
SMS認証の電話番号リセット ポータル上で管理者が実行 パスワードと追加認証を使用して個人が実行
アカウントの無効化/削除 ポータル上で管理者が実行 パスワードと追加認証を使用して個人が実行
表示名の変更 ポータル上で管理者が実行 パスワードと追加認証を使用して個人が実行

上記のようにManaged Apple IDには一部制限があるものの、通常のApple IDには存在せず組織では有用になりうる機能が存在します。

Managed Apple IDの作成方法

前提条件として、必要要件を満たしApple社の審査を通過しABM/ASMのグラウドポータルにアクセスできている必要があります。

Managed Apple IDは、ASMまたはABMのポータルから作成したいApple IDのメールアドレス宛に送付するメールのリンクを経由して作成できます。 新しい Apple ID を作成する方法から個人で作成してしまうと、以下のように少々面倒なマイグレーションを行う必要があるため注意が必要です。

通常のApple IDからManaged Apple IDへのメールアドレスの移行

通常のApple IDを A@example.com のメールアドレスで既に所有している場合、 A@example.com のメールアドレスでManaged Apple IDを作成できません。 しかし、組織の現場ではしばしば A@example.com をManaged Apple IDにしたいケースがあります。

その場合は、以下の手順を踏むことで実質メールアドレスを移行できます。

  1. A@example.com のApple IDを削除(または捨てアドなどに変更)
  2. A@example.com のエイリアスとして B@example.com を作成
  3. B@example.com でManaged Apple IDを作成
  4. A@example.com の削除(または変更)から30日待機
  5. B@example.com のManaged Apple IDを A@example.com に変更

通常のApple IDおよびManaged Apple IDのメールアドレスは無効化されてから一定の間、Apple社の内部では15日または30日間有効なApple IDとして取り扱われるため、このような手順が必要となります。

Apple ID自体を移行しているわけではないため、サポートに問い合わせもこの方法は案内されませんでした。

これからのManaged Apple ID

iOS 13から公式で User Enrollment と呼ばれるBYODのサポートを予定しています。 このUser EnrollmentにはManaged Apple IDが必須となります。

そのため、ABMのみMicrosoft Azure Active Directoryと連携してManaged Apple IDがシームレスに作成できる機能が追加される予定であることが発表されました。

WWDC19におけるWhat's New in Managing Apple DevicesセッションのFederated Authenticationに関するスライド

詳しくはWWDC19のWhat’s New in Managing Apple Devicesセッションをご覧ください。

まとめ

組織におけるApple IDの運用について、「Managed Apple ID」を紹介しました。 多くの場合、主に使用用途がApp Storeの利用だと思いますが、規約違反になる可能性もあるため、もし通常のApple IDでの運用をされている組織の方々は一度運用を見直してみると良いでしょう。

組織におけるApple IDの運用で困っている方の参考になれば幸いです。

用語まとめ

この記事でいくつか用語が出てきたので、以下にまとめておきます。ご参考までにご覧ください。

用語 現在のステータス
Apple School Manager 教育機関用のクラウドポータル
Apple Business Manager 企業用のクラウドポータル
Apple Deployment Program 廃止
Apple School ManagerまたはApple Business Managerに移行
Device Enrollment Program デバイスセットアップや管理のためのサービス
Volume Purchase Program 専用ポータルはApple School ManagerとApple Business Managerに移行
サービスとしては健在