管理対象Apple IDのさらなる活用方法

♪ ♪

ようこそ！ Enterprise Servicesチームの Darshです 今日は管理対象Apple IDに 予定されている アップデートについてお話します このセッションでは 管理対象Apple IDの使用や 作成に関する主要な 新機能について説明します まず管理対象Apple IDに ついて簡単に確認します

管理対象Apple IDは ビジネスや学校など組織内での 使用に特別に設計された Apple IDの一種です 従業員や学生がデバイスや サービスにサインインし デバイス間でデータを同期 できるようにする際 個人のApple IDを使用する 必要はありません これにより組織はアカウントとデータの 両方を管理できるようになります Apple Business Managerや Apple School Managerで 作成および管理されます では始めましょう このセッションではまず 管理対象Apple IDを 使いやすくするための新機能と 登録オプションについて説明します 次に管理対象Apple IDを より詳細に管理できる 新しいアクセス管理機能 について説明します 最後にプロバイダと統合して 管理対象Apple IDを管理する 方法について説明します まずは今年管理対象Apple IDで 利用可能になる 新機能と登録オプションから 始めましょう 管理対象Apple IDを使用して デバイスにサインインすると iCloudによってデータを バックアップし同期が維持され カレンダーや連絡先やメモなどを すべての― デバイスで使用できるようになります そして今年はさらに多くの サポートを追加します 見てみましょう 管理対象Apple IDが iCloudキーチェーンをサポート パスワードやその他の情報を デバイス間で同期できるようになりました またiCloudキーチェーンを使用して パスキーを同期できるため Face IDまたはTouch IDを使用し アプリやサイトに簡単にサインインします パスキーが管理対象Apple IDで どう機能するかに関する詳細は 「Deploy passkeys at work」 セッションをご覧ください 管理対象Apple IDは すでにメッセージや株価 ニュースとSiriでサポートされており 管理対象Apple IDでサインイン中の すべてのデバイス間でこれらのアプリ内の データを同期できるようになりました またウォレットへの管理対象Apple IDの サポートも導入します クレジットカードやデビットカード 運転免許証や米国の州ID 交通系カード キー バッジなどのアイテムを 安全に保存できるようになり すべてのデバイスからアクセスできます そして連係機能の優れた仕事効率化機能を 管理対象Apple IDに 導入し デバイス間をシームレスに 移動できるようにします 管理対象Apple IDの連係機能では 連係カメラなどの機能の他 Handoffや Sidecar Instant Hotspot ユニバーサルクリップボードなど多数機能を 複数デバイスにサインインしている 管理対象Apple IDで利用できます 管理対象Apple IDで サポートされている 既存のアプリとサービスに加えて iCloudの完全サポートにより さらに多くの機能が追加されます これらの全機能にアクセスするには 設定で管理対象Apple IDを 使用してサインインするだけです そうすると アカウントに関連する情報と 管理対象Apple IDで利用できる― すべてのiCloudサービスについて 確認できます 仕事専用のデバイスがある場合 管理対象Apple IDで iCloudを使用すると便利です 個人のデバイスを仕事に使用できる 組織に属している場合は どうなるでしょうか 仕事用データにアクセスしたいのですが すでにそのデバイス上のiCloudには 個人用Apple IDで サインインしています 同じデバイスで両方のアカウントに アクセスするにはどうすればいいでしょうか 管理対象Apple IDを使用すると 仕事用データにアクセスでき アカウント主導のユーザー登録で 個人用デバイスを利用できます さらに詳しく知りたい場合は WWDC21の「Discover account-driven User Enrollment」をどうぞ ここではこれがユーザーにとって どう機能するかについてまとめます

アカウント主導のユーザー登録では 個人のApple IDを使用した 個人用アカウントと 管理対象Apple IDを使用した 仕事用アカウントを両方利用できます デバイス上の仕事データと個人データは 暗号化によって分離され 異なるパーティションに保存されるため 仕事用データを安全に保ち 個人データをプライベートに保ちます 両方のアカウントでサインインした場合 管理対象Apple IDでiCloudを使用して 仕事に関連した重要な情報に アクセスできます この設定は非常にシンプルです からの中の に移動し をタップします 次に管理対象Apple IDを使用して 組織にサインインします ユーザー登録を使用すると 職場アカウントにサインインし 同時にデバイスは管理対象として 登録されます 管理を受け入れるとサインインと登録が どちらも完了します 今年はユーザーに提供するデバイスを 所有する組織に対して さらなる利便性を提供したいと考えました これらの組織は通常デバイス登録で デバイスを管理し 高レベルのデバイスの管理と 可視性を得ています ここで デバイス登録を行う組織が ユーザー登録においても 簡単なサインインフローを 得られることが重要だと考えます そこで今年はアカウント主導の ユーザー登録に加えて アカウント主導のデバイス登録を 導入します アカウント主導のデバイス登録を 通じて登録されたデバイスは プロファイルベースのデバイス登録の 管理機能のほとんどを利用でき デバイス上で個人データと 仕事データを分離できます その仕組みを見てみましょう 新しい登録フローも 現在のユーザー登録と 同じ方法で開始されますので まずから 職場または学校の アカウントにサインインします ユーザー登録と同様に サービス検出を使用して 登録プロファイルを取得し ユーザーにプロンプ​​トを表示して 管理対象Apple IDで認証するよう 促します 登録がアカウント主導のデバイス登録で 設定されている場合 新しいリモート管理画面が表示され 組織がユーザーのデバイス上で行える データアクセスやアクションについて ユーザーに通知します 登録が完了すると ユーザー登録と同様 管理対象Apple IDが 個人用Apple IDとともに デバイスにサインインされます ユーザーは 登録の際にインストールされた 管理プロファイルや 利用可能なiCloudサービスを含む 自分の管理対象Apple IDに関する 情報を確認できます iCloudサービスは ユーザー登録で 利用できるものと同一です このように至ってシンプルです アカウント主導のデバイス登録により ユーザーがデバイス登録のために プロファイルを手動でダウンロードし インストールする必要がなくなります いずれかのアカウント主導の登録フローで 登録されたデバイスの場合 「職場および学校でAppleでサインイン」 を利用するアプリにアップデートがあります 今後「Appleでサインイン」を利用する iOS／iPadOS／macOSの管理対象アプリには 管理対象Apple IDを使用して サインインできるようになります これで仕事用には仕事用の アカウントを使用し 個人用には個人用アカウントを 使用できるようになります 認証にWebビューを使用しているか Safariを使用している場合 「別のApple IDを使用」を クリック／タップすることで 管理対象Apple IDを入力して サインインを完了できます 次に 管理対象Apple IDを使用した Macでのサインインについてお話しします 今年 両方のアカウント主導の登録フローが macOSに導入されます 見ていきましょう システム環境設定でセキュリティと プライバシーに移動します の下に新しい サインインボタンがあります 以前と同様に 管理対象Apple IDで サインインし 定義された登録の種類に応じて ユーザー登録またはデバイス登録の いずれかを受理します iOSやiPadOSと同様に 管理対象Apple IDでサインインした アカウントは個別にリストされ 仕事用データは個人データとは 別に保管されます これにより 先に見たように iOSやiPadOSで利用できるのと同じ― iCloud機能に 管理対象Apple IDで アクセスできるようになります これら両方の登録フローを確認したので MDMデベロッパがアカウント主導の デバイス登録とユーザー登録の 双方をサポートする方法と どちらかの登録方法を選ぶ上で 役に立つ情報も見ていきましょう すでにアカウント主導型のユーザー登録を サポートしているMDMデベロッパなら 既知のエンドポイントを 実装していると思います 登録する際 登録すべき管理対象Apple IDが クエリパラメータとして渡されます ここでユーザーIDに加えて 登録を試みるデバイスの デバイスモデルも受理します この新しい情報は どのユーザーと どのデバイスが ユーザー登録またはデバイス登録の どちらを受理すべきかを 決定するのに役立ちます アカウント主導のユーザー登録を サポートするには サーバは「mdm-byod」で応答します これはデバイスが既知のエンドポイントに リクエストを送信するときの 「Version」キーの値です また登録プロファイルでは EnrollmentModeの値が 「BYOD」に設定されます MDMデベロッパが アカウント主導の デバイス登録を使用するのに 必要なのは 既知の応答の 「Version」キーを 「mdm-adde」に変更し 登録プロファイルで登録モードを ADDEに設定することです 作業はたったそれだけです これらの構成変更により ユーザー向けのアカウント主導の デバイス登録を利用可能にできます それではまとめてみましょう アカウント主導の デバイス登録により 管理対象のデバイス登録を簡易化できます ユーザー登録と同様 管理対象Apple IDで サインインするだけです デバイス登録のほぼすべての 機能を利用できるため パスコードポリシーやデバイスを ワイプしてロックする機能なども より詳細に管理できるようになりました 管理対象Apple IDが 個人のApple IDと同時に サインインできるようになり それぞれのデータが分離されます これらはiOS／iPadOS／macOSで 利用可能です macOSのプロファイルベースの デバイス登録と同様 これによりデバイスが監視され 最高レベルの管理が提供されます またMDMをサポートするために 必要なのはいくつかの変更のみです 今年の機能と登録オプションの アップデートにより 管理対象Apple IDで 仕事の効率性とプライバシー そして データセキュリティの適切なバランスを 取る方法が組織に提供されます 管理対象Apple IDの新しい 使用方法に加えて よりパワフルな管理機能の導入により どのようなデータアクセスとアクションを 実施できるようにするか判断できます 詳しく見ていきましょう 組織のすべての管理対象Apple IDに 適用される 新しい アクセス管理ポリシーを導入します このポリシーを使用すると デバイスの管理レベルに基づいて 管理対象Apple IDによる サインインを制御でき どのiCloudサービスが利用可能かを 判断できます これらのポリシーは Apple Business Manager またはApple School Managerで 構成されます どのように表示されるか 見てみましょう 管理レベルに基づいて 管理対象Apple IDでサインインできる デバイスの種類を制御できます 管理を必要としないデフォルトの 「Any Device」ポリシーを そのまま使用することも ユーザーが自分のデバイスを― 職場に持ち込む場合に より高いセキュリティを確保できる 「Managed Devices Only」に 設定することもできます そして「Supervised Devices Only」 ポリシーは 従業員にデバイスを提供する 組織向けに最高レベルの セキュリティを提供します メッセージとFaceTimeにも 新しい管理機能が追加され 組織内のユーザーからのメッセージと 通話のみを受け入れるよう FaceTimeを制限したり完全に無効に したりできるようになりました

デベロッパ向けには AppleSeed for ITに加えて XcodeとApple Developerサイトへの アクセスも管理できるようになりました また管理対象Apple IDで サポートされている いずれのアプリとサービスでも iCloudを無効にできます 個別のアプリに対してiCloudを 無効にすると 組織によって設定されたポリシーが デバイスに反映されます この例では管理者が Apple Business Managerの リマインダーをオフに設定したため 対応するトグルがデバイスで オフになっています ユーザーはデバイス上でローカルに リマインダーを使用できますが データはiCloudと同期されません 「Managed Devices Only」あるいは 「Supervised Devices Only」の サインインポリシーをサポートするには MDMデベロッパは セキュアトークンを返す 新しいCheck-in request message タイプを実装する必要があります このトークンは管理対象Apple IDが MDMサーバによって 管理されているデバイスのみに サインインすることを 検証します 機能を見てみましょう 新しいCheck-in request message タイプはGetTokenと呼ばれます これを実装するにはMDMには 組織によって Apple Business Managerまたは Apple School Managerに登録されている― MDMサーバのサーバUUIDが必要です これはGet Account Detail エンドポイントで利用できます それと登録されたMDMサーバに 関連付けられた MDMサーバ証明書の秘密鍵です 管理者は組織の Access Managementポリシーを Apple Business Managerまたは Apple School Managerで設定します このポリシーは組織に属する すべての管理対象Apple IDに 適用されます 管理対象Apple IDが デバイスにサインインしようとすると デバイスはこのGetTokenを使用して デバイスを管理している MDMサーバからトークンをリクエストします MDMサーバは 秘密鍵で署名された JSON Webトークンで応答します デバイスはサインインフロー中に このトークンを使用し ポリシーを確認します トークンが検証され ユーザーのデバイス管理状態が 組織のサインインポリシーに準拠している ことが確認されると― ユーザーは正常にサインインできます Access Managementの 組織サインインポリシーは iOS 17／iPadOS 17／macOS 14で 機能します ポリシーが更新されるか デバイスの状態が変更した場合 コンプライアンス違反となり ユーザーは デバイスからサインアウトされます GetTokenチェックインメッセージにより 承認されたアクセスのみが デバイスとデータに保証されます MDMデベロッパ向けに実装の 詳細をお見せします GetTokenリクエストは 他のチェックインコマンド同様の 構造に従います MessageTypeはGetTokenです 新しいTokenServiceTypeキーは トークンをリクエストしている サービスを提示 com.apple.maidに設定します このGetTokenチェックインリクエストの 応答はJSON Webトークンです issはMDMサーバのUUIDに設定されます iatはトークンがサーバによって 生成されたときのタイムスタンプで トークンが有効とみなされる期間を 制限するために使用されます jti識別子 これはサーバによって生成された識別子で ランダムなUUID文字列である必要があります これはトークンが１回のみ使用される ためのものです service_typeですが これはリクエストで送信された TokenServiceTypeであり com.apple.maidに設定されている 必要があります JSON Webトークンは 応答として送信する前に MDMサーバの秘密鍵で署名します 新しいアクセス管理コントロールは 今夏以降にApple Business Managerと Apple School Managerの ベータ機能として利用可能になる予定です 管理対象Apple IDの使用と管理に 関する新機能について説明したので 次は管理対象Apple IDの作成と IDプロバイダとの 連携について説明します Apple Business Managerまたは Apple School Managerを使用して 管理対象Apple IDを作成することが できますが IDプロバイダを 使用することもできます IDプロバイダがある場合は 独自のドメインを使用して 管理対象Apple IDを組織のメールID のように見せることが可能で フェデレーション認証を有効にして ユーザーが組織で使うのと同じ認証情報で 管理対象Apple IDにサインイン できるようにし 組織内でユーザーディレクトリを同期して 管理対象Apple IDに変更が発生したときに 自動的に更新を取得できます Apple Business Managerと Apple School Managerは Microsoft Azure Active Directoryの フェデレーション認証に追加されています 昨年にはGoogle Workspaceの サポートも追加しました 何千もの組織がこうしたIDプロバイダを 利用して 管理対象Apple IDを自動的に作成し アカウントの同期を維持しています 今年はあらゆる組織が 管理対象Apple IDで IDプロバイダを利用できるように したいと考えました またカスタムIDプロバイダの サポートを追加する 統合オプションも導入されます 公開または社内を問わず いずれのIDプロバイダも Apple Business Managerまたは Apple School Managerと統合できます Microsoft Azure ADや Google Workspaceとの 既存の統合と同様に カスタムIDプロバイダの統合においても フェデレーション認証や ディレクトリ同期 アカウントセキュリティを サポートします この統合では次の３つの 標準を使用します フェデレーション認証用の OpenID Connect クロスドメインID管理システム ディレクトリ同期用のSCIMと パスワード変更などの アカウントセキュリティイベント用の OpenID Shared Signals Frameworkです この統合に対応するために IDプロバイダは これら３つの標準をサポートする 必要があります また今年後半をめどに Oktaも サポートされるIDプロバイダとして 加入する準備を進めていることを 共有したいと思います これは Oktaが利用可能になると 管理対象Apple ID用の 完全に統合されたIDプロバイダの全利点を もうすぐ活用できるようになる ということを意味します より多くの組織が管理対象 Apple IDを作成し この新しい統合オプションを活用し IDプロバイダと 連携し始めています まとめに入ります iCloudキーチェーンやウォレット そして優れた連係機能など 組織内の管理対象Apple IDで 利用できる すべての新機能を活用しましょう MDMソリューションのサポートにより アカウント主導のデバイス登録で ユーザーが手動でプロファイルを インストールしなくても iPhone／iPad／Macを 管理対象に登録できます 管理対象Apple IDが サインインできる場所と 新しいアクセス管理機能で使用できる アプリやサービスを制御しましょう IDプロバイダは Apple Business Managerまたは Apple School Managerと統合し 管理対象Apple IDで フェデレーション認証や ディレクトリ同期 アカウントセキュリティ イベントなどを利用可能にできます 今年導入された管理対象Apple ID のすべての新機能を あなたの組織がどう活用されるか とても楽しみです ご視聴いただきありがとうございます 素晴らしい一日を！