組織で利用するApple IDを管理対象Apple ID（Managed Apple ID）にするか悩んだ時に読む記事

1. はじめに

通常のApple IDと管理対象Apple IDの違いやそれぞれのメリット・デメリットについて筆者の見解を書きます。
組織の状態によって様々な選択肢があるという点に留意して閲覧ください。

2. Apple IDについて

Apple IDには、通常のApple IDと管理対象Apple IDの2種類があります。

通常のApple IDとは

下記リンクのような、一般的な方法で作成されたApple IDがこれに当たります。特徴として、Appleのサービスや機能を全て使うことが可能です。

新しい Apple ID の作成方法

管理対象Apple IDとは

Apple Business Manager（ABM）で作成されたApple IDのことを指します。
特徴として、使用できるサービスが限られている点が挙げられます。

管理対象Apple IDだけで運用しようとすると、ただ不便なだけのApple IDとなるので注意が必要です。
Jamf ProのようなMDMと組み合わせて使う必要があります。

作成方法や使用できるサービスについては下記リンクをご参照ください。

Apple Business Managerで管理対象Apple IDを使用する

サービスの制限については、
「Appleが組織での利用にリスクがあると判断した機能に制限をかけている」
と、筆者は解釈しています。

3. 通常のApple IDを組織で運用する場合

通常のApple IDで運用する例

筆者がこれまで経験した事のある運用は以下のパターンです。

• IT管理者が全てのApple IDを作成し、スプレッドシートで管理する

• 各自で作成したApple IDを、各自で使用する

• プライベートと同じApple IDを使用する

通常のApple IDを使うメリット

ビジネスの規模や組織の大きさによっては、通常のApple IDで運用するという選択肢も十分にあります。

• お金がかからない

• ABMやMDMに関する専門的な知識が不要

• Appleの全てのサービスと機能を利用できる

• App Storeから自由にアプリをインストール出来る

• Sidecar機能でiPadをサブディスプレイとして使えたりする

通常のApple IDを使うデメリット

セキュリティや適切な管理をするという観点で考えた場合に、メリットがデメリットになる場合もあります。

• App Storeから自由にアプリをインストールできる環境は安全と言えるのか

• App Storeで購入した有償コンテンツの取り扱い（ライセンス管理）

• 通常のApple IDと端末が紐づくことによるアクティベーションロック（文鎮化リスク）

• Apple IDの登録情報は利用者に紐づくため、第三者(IT管理者)による介入が難しい

• アカウントの管理と把握にかかる工数（IT管理者とユーザへの負荷）

• 同一の電話番号でApple IDを沢山作ると制限がかかる（経験済）

4. 管理対象Apple IDを組織で運用する場合

管理対象Apple IDで運用する例

前述した通り、管理対象Apple IDはMDMと一緒に運用するものです。
ABMで作成した管理対象Apple IDをMDMと組み合わせることで、

• 端末やサービスには管理対象Apple IDでサインインし、アプリはMDMで配布する

という管理体制を構築することができます。

管理対象Apple IDを使うメリット

Apple IDと有償ライセンス管理、端末の管理が出来るようになる点が大きなメリットです。IT管理者とユーザの負担も軽減されます。

• ABM上でApple IDの一覧を確認できる

• ABM上でApple IDの作成・削除・パスワードリセットができる

• 端末にアクティベーションロックがかからない

• ユーザーにアカウント管理の負担がかからない

ABMとMDMを導入し管理体制を構築したあかつきには、

• ABMとMDMで配布するアプリを制御できる

• ABMで有償アプリを購入し、MDMでライセンス管理ができる

フェデレーションの設定までできたあかつきには、

• フェデレーションにより、Apple IDが自動作成される

管理対象Apple IDを使うデメリット

デメリットとしてよく挙げられるのは以下です。

• Sidecar機能が使えなくなる

• App Storeが使えなくなる

• 「探す」アプリが使えなくなる

Sidecar機能については、Apple Support Communitiesでも使いたいというリクエストが定期的に話題になっているようです。

App Storeについては、前述したメリットとデメリットが混在するため組織の事情に合わせた判断が必要です。

「探す」アプリについては、常時位置を監視することは出来ませんが、有事の際はMDMから紛失モードにすることが可能で、紛失した端末がオンラインになった場合におおよその位置情報を取得することができます。

5. 組織におけるApple IDの運用の選択肢

① 通常のApple IDだけで運用

全て制限なしの状態。

② 管理対象Apple IDだけで運用

ABMの登録とMDMが必須。

③ 管理対象Apple IDと通常のApple IDを二刀流

「②管理対象Apple IDだけで運用」の変化系。
端末には管理対象Apple ID、App Storeには通常のApple IDでサインインする方法。この場合、App Storeは利用可能となる。

Appleのビジネス向けストアを利用している場合には、管理対象Apple IDで利用者登録が出来ないため、通常のApple IDを持つ必要があります。

④ Apple IDを使用しない運用

ABMとMDMが必須になりますが、Apple ID無しで端末を使うことも可能です。
過去、工場をペーパレス化するためiPadを準備した際には、この方法で必要なアプリだけを使える状態にして一斉に貸与しました。

6. 最後に

もう一つ、記事を紹介させてください。
こちらでは、実際に通常のApple IDで運用していた状態から管理対象Apple IDに切り替えた際の手順や苦労したポイントを紹介しています。

これらの記事が少しでも皆様の参考になれば幸いです。