iOS デバイスに設定を適用する

組織の Apple プッシュ証明書を作成、管理します。Google エンドポイント管理を最初に設定するときに、プッシュ証明書を設定します。証明書の有効期限が近づくと、既存の証明書を更新できるようになります。

証明書を早めに更新すると、iOS ユーザーは各自のデバイスを再登録する必要がなくなります。有効期限がすでに切れている証明書を更新することはできません。

組織の Apple Business Manager アカウントまたは Apple School Manager アカウントに接続して、会社所有の iOS デバイスを管理できるようにします。会社所有の iOS デバイスの管理を設定する方法をご覧ください。MDM サーバー トークンの有効期限が近づくと、トークンを更新できるようになります。

アプリを一括購入して組織内の iOS デバイスに配布できます。Google Workspace アカウントまたは Cloud Identity アカウントを使用して Apple Business Manager または Apple School Manager に接続します。アプリのライセンスを購入し、コンテンツ トークンを使用してアカウントと同期することができます。詳しくは、Apple VPP で iOS アプリを配布するをご覧ください。

カスタムのプッシュ設定を有効にした場合、この設定は使用できません。

ユーザーの Google Workspace のメール、カレンダー、連絡先を、デバイス上の対応する iOS 内蔵アプリと自動的に同期します。[Google アカウントの設定をプッシュする] チェックボックスをオンにすると、以下が可能になります。

• Google Workspace のメールを Apple のメール アプリと同期する。
• Google Workspace のカレンダーの予定を Apple カレンダー アプリと同期する。
• Google Workspace の連絡先を Apple の連絡先アプリと同期する。
• ユーザーが iOS の連絡先アプリで組織内ディレクトリを検索することを許可する。

ユーザーは、メールやカレンダーの予定を Google モバイルアプリ（推奨）または iOS アプリで表示できます。詳しくは、iOS デバイスを登録するをご覧ください。

Apple Mail アプリからメールにアクセスすることを禁止する場合は、IMAP アクセスをオフにします。カレンダーの予定と連絡先は引き続き iOS アプリと同期されます。詳しくは、POP と IMAP アクセスの有効と無効を切り替えるをご覧ください。IMAP を無効にした場合は、Google Workspace のメールが Apple のメールアプリと同期されなくなる旨をユーザーに案内してください（ユーザーのデバイスに通知が表示されないこともあるためです）。また、IMAP が無効になっている場合、ユーザーが Google アカウントで Apple のメール アプリにログインしようとしても通知なくブロックされます。

Google アカウント設定をオンにすると、管理登録済みデバイスのユーザーに、Google Workspace アカウントのパスワードの設定を求める通知が届きます。ユーザーは、Google Device Policy アプリなどの Google モバイルアプリで Google Workspace アカウントにログインすることで、新しいデバイスを登録できます。

iOS の組み込みアプリの Google Workspace のメール、カレンダー、連絡先はそのデバイスで管理されます。このため、管理コンソールでのデバイス エントリの削除などによりデバイスの登録を解除すると、Google Workspace のメール、カレンダーの予定、連絡先がデバイスから削除されます。後で企業データにアクセスする必要がある場合は、デバイスを再登録する必要があります。

注: 管理コンソールでデバイスのエントリを削除せずにユーザー アカウントをブロックすると、Google Workspace のメール、カレンダー、連絡先の同期は停止しますが、デバイスの組み込み iOS アプリにはデータが残る可能性があります。

• デバイスの登録 - （デフォルト）組織は、デバイスを完全に管理できます（デバイスからすべてのデータをワイプするなど）。デバイス上の仕事用アプリのインベントリを確認し、デバイスの安全なパスワードの使用をユーザーに要求できます。
• ユーザーの登録 - iOS デバイス上の仕事用データと個人データを分離して、デバイス上の仕事用データを完全に管理できるほか、ユーザーは個人データに対するプライバシーを保持できます。この設定を新しいデバイスにのみ適用する場合は、[既存ユーザーのデバイス登録を許可する] チェックボックスをオンにします。
• ユーザーの選択 - （デバイスの新規登録のみ）ユーザーがデバイスに仕事用アカウントを追加する際に、登録の種類を選択できるようにします。

デバイスがロックされているときに、ユーザーがコントロール センターを表示し、設定を変更できるようにします。画面をスワイプすることで、コントロール センターから Wi-Fi、Apple AirDrop、カメラなどの設定やアプリにアクセスできます。

ロック画面でのコントロール センターへのアクセスを禁止するには、[ロック画面でのコントロール センターの利用を許可する] チェックボックスをオフにします。

ユーザーはロックされたデバイスで通知センターを開くことができるようになります。画面を上から下にスワイプすることで、通知センターからカレンダーの予定や不在着信など、最近のアラートを確認できます。

ロック画面から通知センターを開けないようにするには、[ロック画面での通知ビューの表示を許可する] チェックボックスをオフにします。ただし、新着通知はこれまでどおり表示されます。

ユーザーがデバイスのロック画面から今日ビューを表示できるようにします。画面を左から右にスワイプすることで、今日ビューでその日の情報の概要を確認できます。表示される情報には、カレンダーの予定の名前やメールの件名など、プライベートな情報が含まれる場合があります。

ロック画面で今日ビューをブロックするには、[ロック画面で今日ビューの表示を許可する] チェックボックスをオフにします。

ユーザーが iOS デバイスから Google Workspace のデータを組織外のユーザーと共有できるようになります。オンにすると、データの持ち出し対策設定を使用して誤ってデータが漏洩するのを防ぐことができます。ただし、Apple の Visual Look Up の結果のコピー、スクリーンショットの撮影、翻訳拡張機能など、データの引き出しに関するすべての方法を禁止することはできません。ユーザーが Google Workspace のデータを外部と共有できないようにするには、[Google Workspace の該当データが外部と共有される可能性のある操作をユーザーに許可しない] を選択します。

重要:一部のファイルは Google Workspace 以外のアプリで開くことがあり、データ保護の対象外となることがあります。

詳しくは、iOS デバイスでの過失によるデータ漏洩を防止するをご覧ください。

iOS デバイスの Workspace アプリで Apple Intelligence の文章作成ツールを使用できるようになります。Apple Intelligence が有効になっている場合、ユーザーは文章作成ツールから Workspace のデータをコピーして、組織外のユーザーと共有できるようになる可能性があります。

ユーザーが文章作成ツールを使用できないようにするには、[iOS デバイスの Google Workspace アプリで Apple Intelligence の文章作成ツールの使用を許可する] をオフにします。

詳しくは、iOS デバイスでの過失によるデータ漏洩を防止するをご覧ください。

ユーザーが Apple App Store アプリ以外または Google Device Policy アプリ以外を経由してインストールする企業アプリを信頼できるようにします。

提供元が不明なアプリをユーザーが信頼することを許可している場合（チェックボックスがオン）、ユーザーがそのようなアプリを初めて開いたときに、そのアプリの開発者がデバイスで信頼されていない旨の通知が表示されます。ユーザーは、各自のデバイスの設定でアプリの開発者を信頼するよう設定できます。ユーザーが開発者を信頼した場合、同じ開発者による他のアプリもインストールしてすぐに開けるようになります。

ユーザーがアプリの開発者を信頼しないようにするには、[新しい企業アプリの開発者をユーザーが信頼することを許可する] チェックボックスをオフにします。このチェックボックスをオフにしても、この設定をデバイスに適用する前にユーザーが信頼していたアプリの開発者はすべて、引き続きそのデバイスで信頼されます。ユーザーは、同じ開発者による他のアプリもインストールして開くことができます。

ユーザーが管理対象外のアカウントを使用して管理対象外のアプリで仕事用ファイルとリンクを開き、Apple AirDrop を使って共有できるようにします。

仕事用ファイル、添付ファイル、リンクを開くのに、管理対象アカウントで管理対象アプリのみを使用することを要求する場合は、[管理対象アプリで作成したアイテムを、管理対象外のアプリで開くことを許可する] チェックボックスをオフにします。たとえば、機密として扱われるメール添付ファイルを、ユーザーが仕事用アカウントを使って個人のアプリで開くことを禁止することができます。

仕事用ファイルとリンクを管理対象外のアプリで開くことを禁止する場合でも、Apple AirDrop を使ったそうしたアイテムの共有を許可することはできます。AirDrop を使った共有を禁止するには、[管理対象アプリで作成したアイテムを、AirDrop を使用して共有することを許可する] チェックボックスをオフにします。

管理対象アプリで Apple iCloud を使用してデータを保存できるようにします。iCloud に保存されたデータは、デバイスのユーザーが削除するまで残ります。

仕事用アプリのデータが iCloud に保存されないようにするには、[iCloud でのデータの保存を管理対象アプリに許可する] チェックボックスをオフにします。その場合でも、ユーザーの個人データには iCloud を使用できます。

ユーザーが管理対象アカウントを使用して、管理対象アプリで個人のドキュメント、添付ファイル、リンクを開くことができるようにします。

管理対象アプリで個人のドキュメントやリンクを開けないようにするには、[管理対象外のアプリで作成したアイテムを、管理対象のアプリで開くことを許可する] チェックボックスをオフにします。その場合、ユーザーが個人のドキュメントやリンクを開くことができるのは、個人アカウントで管理対象外のアプリを使用するときだけとなります。

管理対象アプリがモバイルデータを使用してオンライン接続することを許可します。モバイルデータを使用して同期できるようにする場合は、ローミング時の同期を許可するかどうかも指定できます。ローミング中の同期を無効にするには、[ローミング中の同期を管理対象アプリに許可する] チェックボックスをオフにします。

モバイルデータを常に使用できないようにするには、[モバイルデータを使った同期を管理対象アプリに許可する] チェックボックスをオフにします。

iOS デバイスから iCloud へのドキュメントとデータの同期について、ユーザーがオンとオフを切り替えられるようにします。許可すると、ユーザーのさまざまな iOS アプリのデータは iCloud に保存され、ユーザーのサポート対象 iOS デバイス間で同期されます。

デバイスと iCloud との同期をブロックするには、[iCloud とのドキュメントおよびデータの同期をユーザーに許可する] チェックボックスをオフにします。

iOS 13 以降の場合、監視対象の会社所有デバイスにのみ適用されます。iOS 12 以前の場合は、詳細管理の対象になっているすべてのデバイスに適用されます。

オンにすると、Apple iTunes へのすべてのバックアップが強制的に暗号化されます。ユーザーが自分の iOS デバイスを iTunes にバックアップするとき、iTunes のデバイス概要画面にある [ローカルのバックアップを暗号化] または [iPhone のバックアップを暗号化] チェックボックスがオンになり、オフにすることができなくなります。

バックアップの暗号化を初めてオンにすると、パスワードの入力を求めるメッセージが iTunes に表示されます。暗号化されたバックアップはユーザーのパソコンに保存されます。ユーザーが iOS デバイスを復元するには、このパスワードを入力する必要があります。

デバイスを暗号化せずにバックアップできるようにするには、[バックアップの暗号化を必須とする] チェックボックスをオフにします。

ユーザーが毎日、Wi-Fi 経由で iOS デバイスを iCloud に自動でバックアップできるようになります。iCloud へのバックアップ中、iOS デバイスは電源をオンにしてロックし、電源に繋いでおく必要があります。管理対象のデバイスにのみ適用されます。

iCloud へのデバイスのバックアップを禁止するには、[iCloud でのデバイスのバックアップをユーザーに許可する] チェックボックスをオフにします。

ユーザーが iCloud キーチェーンを使用できるようにします。iCloud キーチェーンを使用すると、ユーザーのユーザー名、パスワード、クレジット カード番号は、iCloud への保存の際に 256 ビット AES（Advanced Encryption Standard）で暗号化されます。また、こうしたデータはユーザーのサポート対象 iOS デバイス間で同期されます。管理対象のデバイスにのみ適用されます。

ユーザーが iCloud キーチェーンを使用できないようにするには、[iCloud とのキーチェーン同期をユーザーに許可する] チェックボックスをオフにします。

ユーザーのカメラロール内の写真を iCloud のマイフォトストリームに同期できるようにします。次の操作を行う場合は、[マイフォトストリームへの写真の同期をカメラロールに許可する] チェックボックスをオフにします。

• マイフォトストリーム内の写真をデバイスから消去する。
• カメラロールの写真のマイフォトストリームへの同期を停止する。
• 共有ストリーム内の写真と動画がデバイスに表示されないようにする。

注: これらの写真や動画のコピーが他に存在しない場合は、完全に削除される可能性があります。

ユーザーが写真と動画を iCloud に保存して、どのデバイスからでもアクセスできるようにします。管理対象のデバイスとデバイス登録済みデバイスにのみ適用されます。

iCloud フォトライブラリへのアクセスをブロックするには、[iCloud フォトライブラリを許可する] チェックボックスをオフにします。オフにした場合、iCloud フォトライブラリからデバイスに完全にダウンロードされていない写真はすべて、デバイスから削除されます。

ユーザーが写真と動画を iCloud 内の共有アルバムに追加できるようにします。この設定を使用すると、他のユーザーを招待して、そのユーザーが自分の写真、動画、コメントをアルバムに追加することもできるようになります。管理対象のデバイスとデバイス登録済みデバイスにのみ適用されます。

ユーザーが共有アルバムに登録したり、共有アルバムを公開したりできないようにするには、[iCloud での写真の共有を許可する] チェックボックスをオフにします。

ユーザーが画面のスクリーンショットまたは録画を保存できるようにします。

画面のキャプチャを禁止するには、[スクリーンショットと画面録画を許可する] チェックボックスをオフにします。

ユーザーが Siri を使用できるようにします。Siri をブロックするには、[Siri を許可する] チェックボックスをオフにします。

Siri の使用を許可する場合は、ロック中のデバイスで Siri がユーザーに応答するかどうかも指定できます。ロック中のデバイスで Siri をブロックするには、[ロック画面での Siri の利用を許可する] チェックボックスをオフにします。

ユーザーが Apple Watch デバイスを手首から外した状態で、ロック解除せずに使用できるようにします。

時計がユーザーの手首から外されたときに自動的にロックされるようにするには、[手首検出を行わずに Apple Watch の利用を許可する] チェックボックスをオフにします。ユーザーは Apple Watch を手首に付けていなくても、パスコードまたはペア設定された iPhone を使ってロック解除できます。

あるデバイスで開始した作業を別のデバイスで続行できるように、ユーザーが Apple Handoff を使用してデバイス間でアプリのデータを送信することを許可します。たとえば、iPad の Safari でドキュメントを途中まで読み、残りの部分を iPhone の Safari で読むことができます。

Handoff をブロックするには、[Handoff を許可する] チェックボックスをオフにします。

ユーザーが Safari で自動入力を使用してオンライン フォームを入力できるようにします。このチェックボックスをオンにすると、名前、住所、電話番号、メールアドレスなどユーザーがフォームに入力する情報が Apple Safari に記憶されます。これらの情報は、以降のオンライン フォームの自動入力に使用されます。

Safari での自動入力をブロックするには、[Safari での自動入力を許可する] チェックボックスをオフにします。

iOS 13 以降の場合、この設定は監視対象の会社所有デバイスにのみ適用されます。iOS 12 以前の場合は、詳細管理の対象になっているすべてのデバイスに適用されます。

ユーザーが Safari を使用して不正なウェブサイトにアクセスしたときに、警告メッセージを表示します。

不正なウェブサイトに関する警告が表示されないようにするには、[Safari の不正なウェブサイトに関する警告を適用する] チェックボックスをオフにします。

Safari で JavaScript を許可します。JavaScript は、ウェブサイトのボタン、フォーム、その他のコンテンツに使用されます。管理対象のデバイスとデバイス登録済みデバイスにのみ適用されます。

Safari で JavaScript をブロックするには、[Safari で JavaScript を許可する] チェックボックスをオフにします。なお、JavaScript をオフにすると適切に動作しないウェブサイトもあります。

ユーザーが Safari のウェブページにアクセスしたり、ウェブページを閉じたりするときに、ポップアップ ウィンドウが開くことを許可します。多くの場合、こうしたポップアップはディスプレイ広告に使用されます。ただし、重要なコンテンツの表示にポップアップ ウィンドウを使用しているウェブサイトもあります。管理対象のデバイスとデバイス登録済みデバイスにのみ適用されます。

ポップアップをブロックするには、[Safari でポップアップを許可する] チェックボックスをオフにします。

Safari でアクセスするすべてのウェブサイト、サードパーティ、広告主が、Cookie やその他のデータをデバイスに保存することを許可します。管理対象のデバイスとデバイス登録済みデバイスにのみ適用されます。

Cookie などのデータがデバイスに保存されないようにするには、[Safari で Cookie の使用を許可する] チェックボックスをオフにします。Cookie をオフにすると、一部のウェブサイトが適切に動作しない可能性があります。

iOS 12 以前のデバイスを使用しているユーザーは、MDM プロファイルのインストールを求められます。iOS 13 以降では、MDM プロファイルは常に必須です。

iOS 12 以前のデバイスでプロファイルのインストールをスキップできるようにするには、[MDM プロファイルを必須とする] チェックボックスをオフにします。その場合、管理対象の会社所有デバイスに該当する設定は適用されず、その他の詳細管理設定のみが適用されます。

• AirDrop によるパスワード共有を無効にするには、[認証] [パスワードの共有] に移動し、この機能をオフにします。
• 管理対象アプリで作成したファイルを AirDrop で共有できないようにするには、[データ共有] [管理対象外のアプリでドキュメントを開く] に移動し、[管理対象アプリで作成したアイテムを、AirDrop を使用して共有することを許可する] チェックボックスをオフにします。

• ユーザーは App Store にアクセスできません。
• 他のデバイスで購入したアプリは自動的にダウンロードされません。
• Google Device Policy アプリと、Device Policy アプリを使用してインストールされたすべてのアプリ（限定公開の iOS アプリを除く）には自動更新が適用されません。
• ユーザーは引き続き、Google Device Policy アプリを使用して許可されたアプリをダウンロードできます。

• App Store へのアクセスを禁止するには、[App Store のアプリのインストールをユーザーに許可する] チェックボックスをオフにします。ユーザーは引き続き、Google Device Policy アプリを使用して許可されたアプリをダウンロードできます。
• 他のデバイスで購入したアプリが自動ダウンロードされないようにするには、[他のデバイスで購入したアプリの自動ダウンロードを許可する] チェックボックスをオフにします。

• AirPrint プリンタの検索を iBeacon に許可する - AirPrint Bluetooth ビーコンを経由したフィッシング攻撃を防ぐには、このチェックボックスをオフにします。iBeacon がブロックされていても、デバイスでは同じ Wi-Fi ネットワーク上で AirPrint プリンタを検出できます。
• AirPrint の認証情報の保存をキーチェーンに許可する - AirPrint のユーザー名とパスワードをキーチェーンで保存できないようにするには、このチェックボックスをオフにします。
• 証明書を信頼できなくても AirPrint 接続を許可する - TLS 印刷で信頼できる証明書を要求する場合は、このチェックボックスをオフにします。