ビジネスにおけるApple IDの管理

2019年、Appleは、ビジネスにおけるAppleの利用価値を高めることに特化した機能の開発に時間とリソースをさらに投入しました。
Apple at Work キャンペーンに引き続き、Appleはビジネス環境における管理対象Apple IDの管理機能を発表しましたが、この機能の範囲については若干不明な点がありました。

IT管理者や企業経営者は、デバイスを管理し、高レベルのセキュリティを維持しながら、デバイスのメンテナンスを従業員に代わって行い、従業員がデバイスを最大限に活用できるようにするための方法を常に模索しています。このような目的から、管理対象 Apple IDを検討するのは当然のことです。

しかし、残念ながら、どの企業にも当てはまるような最適解はないということをまずお伝えします。管理対象 Apple IDが最適なため、標準のApple IDではなく管理対象 Apple IDを選択する企業もあれば、管理対象 Apple IDでは制限が多すぎて使えない、と敬遠する企業もあります。

この記事では、管理対象 Apple IDとは何かを説明し、企業が管理対象 Apple IDを使用するシチュエーションとその理由を説明します。また、十分な情報を得た上で決定するため、管理対象 Apple IDを使用することによる潜在的なデメリットについても説明します。

管理対象 Apple IDとは何か。

ご存知のように、Apple IDは個人が作成し、デバイスの認証とログインに使用されます。このIDが使われた時に、デバイスが認識するユーザ設定が保存されます。これらのIDは主に個人用に作成されるものですが、最近までは企業が所有するデバイスでも使用されていました。一方、管理対象 Apple IDは、従業員が個人で作成するApple IDとは別の企業固有のApple IDです。

Apple Business Manager （ABM）は、ABMアカウントを管理者（多くの場合、IT担当者）が管理する管理対象 Apple IDを作成します。管理対象 Apple IDは、IDごとにアクセスできるAppleサービスを管理するために利用できます。Apple IDと同様に、管理対象Apple IDはデバイスをパーソナライズするために作成されます。ABMを使えば、管理者は既存の企業の認証情報を使って、従業員ごとに管理対象 Apple IDを簡単に作成することができます。WWDCでのAppleの発表により、企業はこの管理対象Apple IDの作成と配布を簡単にできるようになり、ユーザはAppleのアプリやサービスとのコラボレーションが可能になりました。これはビジネス目的の機能で、管理対象Apple IDは企業を保護するために特定の機能を自動的に利用できなくします。制限される機能については、後ほど説明します。

企業が管理対象 Apple IDを使用する理由とは

ビジネス環境でApple IDを管理する場合、管理対象 Apple IDを利用することには多くのメリットがあります。お客様の会社に合うかどうかを判断するには、メリットとデメリットを比較検討する必要があります。

最初のメリットは、適切な形で従業員からIT部門あるいはAppleデバイスの管理者に管理の責任が移るという点です。ITチームは、Apple Business Managerで管理対象 Apple IDを作成し、ABMポータルから管理します。そのため、従業員は自分のApple IDの作成や管理、必要なツールやソフトウェアのダウンロードなどに煩わされることはありません。IT部門がAppleの提供するアプリの購入やデバイス登録のための無料プログラムを提供し、MDMを通じて配布します。その結果、デバイスの管理が強化され、オンボーディングプロセスがスムーズになります。

オンボーディングのメリットとそれに伴う責任に加えて、2つ目により高いレベルのセキュリティが提供されます。管理対象 Apple IDでは、すべてのアプリとツールがIT部門とApple Business Managerによってプッシュされるため、デバイスに配布する前に各アプリを適切に検証することができます。これにより、すべてのツールの安全を確認し、従業員が安全でない、または不正なアプリケーションをダウンロードすることを防ぎ、すべての企業と顧客のデータのみを確実にバックアップして、承認された場所に保存することができます。

3つ目のメリットは、トラブルシューティングの容易さとデバイス入れ替えの容易さです。計画通りに動作するデバイスは誰にとっても喜ばしいものですが、問題が発生した場合はどうでしょうか。いざというときに忘れがちな、デバイス管理の落とし穴の一つがトラブルシューティングです。結局のところ、MDMに投資する理由の一つは、デバイスに問題が発生したときのための準備と対策です。管理対象 Apple IDはIT部門によって管理されるため、従業員がApple IDの認証情報を覚えているかどうかに依存する必要がなく、トラブルシューティングが容易になります。また、万が一、従業員が退職した場合でも、認証情報がわからないためにデバイスにアクセスできないというリスクを回避することができます。

これらが、ITチームやデバイスやMDMプラットフォームを管理する担当者にとってのメリットであることにお気づきでしょう。

管理対象 Apple IDを使用することはIT部門に多くのメリットをもたらしますが、ユーザにもメリットがあります。ユーザが認証情報の管理や日常の管理に責任を感じる必要がないことは既に説明しましたが、管理対象 Apple IDはコラボレーションの強化にもつながります。管理対象Apple IDにより、ユーザはABM内の他のユーザを検索し、アプリ間でコラボレーションすることができます。コラボレーションを容易にすることで、より多くの作業を時間通りに、より効率的に行うことができ、ビジネス目標を達成するために役立ちます。

管理対象 Apple IDを使用することのデメリットとは

ここまで読んで、「こんなに便利なのに、どうして管理対象Apple IDを使わないのだろう。」と思った方もいるかもしれません。それは、管理対象 Apple IDが企業を保護するためのものであり、自動的に無効になるサービスがあるからです。

例えば、以下のサービスが無効になります。

• App Storeでの購入
• iTunes Storeでの購入
• ブックストアでの購入
• HomeKit接続デバイス
• Apple Pay
• Find My iPhone （iPhone を探す）
• Find My Mac（Macを探す）
• Find My Friends（友達を探す）
• iCloudメール
• iCloudキーチェーン（ただし、キーチェーン項目は共有iPadデバイス上に保存・復元されます）
• iCloudファミリー共有
• FaceTime（デフォルトではオフになっていますが、企業側でオンにすることができます）
• iMessage（デフォルトではオフになっていますが、企業側でオンにすることができます）

このリストの中で最も注意しなければならないのは、「購入の制限」と「Find My」アプリです。多くの場合、この2点が問題となり管理対象 Apple IDが使用されなくなります。しかし、どちらにもちゃんと対応策があります。

 「Find My」アプリ機能から見ていきましょう。これは、Jamf Pro と Jamf NowをMDMプロバイダーとして使用すれば、簡単に克服できます。「Find My」アプリが無効になっている状態では、何かあったときにデバイスの位置を特定できないのではないかと心配される方も多いですが、そのようなことはありません。ただし、「Find My」アプリを制限しても、位置情報サービスは無効になりません。Jamfユーザは、遠隔操作でデバイスを紛失モードにしてロックし、位置情報をオンにしてデバイスを探すことができます。これで少しは安心していただけるのではないでしょうか。

そして、管理対象 Apple IDの大きな潜在的なデメリットとして、従業員の権限を制限してしまうことがあります。多くの人にとって、AppleやJamfを使ってデバイスを管理する目的は、Appleデバイスをツールとして使用することで従業員が最大限の効果を発揮できるようにすることです。App Store、iBook Store、iTunes Storeを無効にすることで、これらのストアからのすべてのコンテンツをITチームがApple Business Managerを通じてプッシュすることが必要になります。これでは、従業員が自分のデバイスをパーソナライズし、自分にとって価値のあるツール（無料アプリさえも）を使用することができません。

これはもちろん、ある人にとってはデメリットであり、ある人にとってはメリットでもあります。この記事の冒頭で、このような点をセキュリティ上のメリットとして捉えることができると述べたのはそのためです。しかし、それが諸刃の剣のように感じられることも否定できません。厳格なセキュリティ制限を設けず、従業員が自分でアプリを探すことができるようにする企業もあれば、より高いレベルのデバイス管理を求める企業もあります。そのため、企業の事情に応じて判断する必要があります。

なお、標準のApple IDとJamf ProまたはJamf NowをMDMプロバイダーとして使用している場合は、これらの個別のストアへのアクセスを制限することもニーズに合わせて柔軟に変更することもできます。例えば、従業員がApp Storeを利用できるようにしながら、Book Storeでの購入やiTunes Storeへのアクセスを禁止することができますが、管理対象 Apple IDを選択すると、これらの制限が組み込まれます。現在、どのMDMでもこれらの制限を変更することができません。

管理対象 Apple IDは、ビジネス環境に対するAppleデバイスの活用に大きく貢献する機能ですが、すべての企業に適したものではありません。自分が何を達成したいのかを認識することが最初のステップであり、上述の内容が、 これらのサービスがお客様に合っているかどうか、及び自分のチームや組織が成功するために何を必要としているかを見極めるための指針となることを願っています。