管理者は、ユーザーの個人用 iOS デバイス上のすべてのデータを管理することも、仕事用データのみを管理することもできます。Apple User Enrollment を使用すると、iOS デバイス上の仕事用データと個人データが分離されるため、ユーザーはデバイス上の仕事用データを完全に制御でき、ユーザーは個人データに対するプライバシーを保持できます。
iOS デバイスの登録オプションを比較する
BYOD(Bring Your Own Device)の iOS デバイスの登録とユーザー登録を選択できます。利用できる機能は登録タイプによって異なります。
- デバイス上の仕事用データを保護し、個人データに対するユーザーのプライバシーを保護する場合は、ユーザー登録を使用します。
- デバイスのワイプなど、デバイスをより詳細に管理するには、デバイスの登録を使用します。
| モバイル管理機能 | デバイスの登録 | ユーザー登録 |
|---|---|---|
| 組み込みの iOS アプリで仕事用データにアクセスできるようにアカウントを構成する | ✔ | ✔ |
| アプリをインストールして設定する | ✔ | ✔ |
| デバイスでパスワードを必須にする | ✔ | ✔ |
| 仕事用アプリのインベントリを確認する | ✔ | ✔ |
| 仕事用データのみを削除する | ✔ | ✔ |
| 安全なパスワードを必須にする | ✔ | |
| 個人用アプリのインベントリにアクセスする | ✔ | |
| デバイス全体(個人データを含む)をリモートワイプする | ✔ |
始める前に
- ユーザー登録は、iOS 15.5 以降を搭載した個人用デバイスでサポートされています。会社所有デバイスではご利用いただけません。
注: iOS 18 以降を搭載したデバイスでは、プロファイル ベースの元のユーザー登録方法(iOS 15.5 以降でサポート)はサポートされなくなりました。
- Google 管理コンソールと、組織の Apple Business Manager または Apple School Manager の両方のログイン情報を準備します。
- iOS デバイスを使用する組織部門でモバイルの詳細管理を有効にします。
- Apple Volume Purchase Program(VPP)を設定して、仕事用アプリをユーザーに配布します。
ステップ 1: Apple Business Manager を Google Workspace にリンクする
Apple Business Manager または Apple School Manager を Google Workspace にリンクすると、ユーザーは Google Workspace のユーザー名を管理対象の Apple ID として使用できます。これらの詳細情報を使用して iOS デバイスにログインできます。Google Device Policy アプリと、ユーザー登録デバイスに配布するその他のアプリのライセンスが必要です。Apple Business Manager を Google Workspace にリンクするには:
- Apple Business Manager または Apple School Manager を開き、ビジネス用の Apple ID でログインします。
- 左下で自分の名前
[設定] [管理対象 Apple アカウント] を選択します。 - [連携認証] の横にある [編集] をクリックします。
- [Google Workspace] [接続] を選択し、Google Workspace 管理者アカウントでログインします。
- 必要な権限の横にあるチェックボックスをオンにして、[続行] [完了] をクリックします。
- [ドメイン] の横にある [編集] をクリックします。
- 確認済みのドメインの横にある [連携] をクリックします。
- 左側にある [Directory Sync] をクリックし、[Google Workspace Sync] を有効にします。
手順 2: Google Device Policy のアプリ ライセンスを取得する
Device Policy アプリと、ユーザー登録デバイスに配布するその他のアプリのライセンスが必要です。詳しくは、Apple VPP で iOS アプリを配布するをご覧ください。
ステップ 3: 登録タイプを選択する
始める前に: 登録要件が異なるデバイスがある場合は、登録タイプごとに組織部門を設定します。たとえば、会社所有のデバイスはデバイス登録されているため、[デバイス登録] または [ユーザーの選択] が有効になっている組織部門に配置してください。詳しくは、組織部門を追加するをご覧ください。
-
Google 管理コンソールで、メニュー
[デバイス]
[モバイルとエンドポイント]
[設定]
[iOS] の順に移動します。アクセスするには、サービスとデバイスの管理者権限が必要です。
- [登録] をクリックします。
- (省略可)設定を部門やチームに適用するには、横で組織部門を選択します。
- オプションを選択します(組織部門ごとに 1 つ)。
- (デフォルト)個人の iOS デバイスの仕事用データと個人データを管理するには、[デバイスの登録] を選択します。
- 個人用デバイスの仕事用データのみを管理するには、[ユーザー登録] を選択します。
新しいデバイスにのみ設定を適用するには、[既存ユーザーのデバイス登録を許可する] チェックボックスをオンにします。 - ユーザーが登録タイプを決定できるようにするには、[ユーザーの選択] を選択します。
- [デバイスの登録] を選択する場合は、Google Device Policy アプリと設定プロファイルをインストールする必要があります。詳しくは、Google Device Policy アプリをインストールするをご覧ください。
- [ユーザー登録] を選択する場合は、このページの手順 5 に進み、デバイスを登録する手順を行います。
-
[保存] をクリックします。または、組織部門の [オーバーライド] をクリックします。
後で継承した値を復元するには、[継承] をクリックします。
手順 4: アカウントに基づくユーザー登録を設定する
iOS 18 以降のデバイスでは必須です。iOS 17 以前のデバイスでは任意。
アカウントに基づくユーザー登録を設定して、ユーザーが iOS 設定アプリで個人のデバイスを登録できるようにします。アカウントに基づく登録を設定するには、ウェブサーバーで登録情報をホストしてサービス ディスカバリを設定する必要があります。これにより、Apple は Google エンドポイント管理から情報を取得できるようになります。
サービス検出を構成する
サービス ディスカバリの JSON ドキュメントを定義します。
{ "Servers": [ { "BaseURL":"https://ios-mdm.google.com/userenrollment/enroll", "Version":"mdm-byod" } ] }次の場所から JSON ドキュメントを配信するようにウェブ ホスティングを設定します。
https://yourdomain.com/.well-known/com.apple.remotemanagement重要:
- HTTP レスポンスの Content-Type ヘッダーが application/json に設定されていることを確認します。
- ウェブサーバーの SSL 証明書は、信頼できる認証局によって発行され、このページの手順 1 で設定した確認済みのドメインと同じ完全修飾ドメイン名(FQDN)を持つ必要があります。
- サービス ディスカバリ設定は、HTTPS GET リクエストをサポートするサーバーでホストする必要があります。
次のコマンドを実行して、サービス ディスカバリ設定を確認します。
curl -I https://your_domain/.well-known/com.apple.remotemanagementJSON ファイルを提供するウェブサーバーが追加の URL パラメータを処理できることを確認します。特定の iOS バージョンでは、HTTP GET リクエストに次のパラメータが付加されることがあります。
- user-identifier - ユーザー アカウントの識別子(例: email@yourdomain.com)
- model-family - デバイスのモデル ファミリー(iPhone や iPad など)
コマンドは次のようなレスポンスを出力します。
HTTP/2 200 content-type: application/json last-modified: Wed, 30 Oct 2024 19:14:12 GMT accept-ranges: bytes date: Fri, 27 Dec 2024 18:40:36 GMT content-length: 138
この設定により、アカウントに基づく登録プロセス中に iOS デバイスが Google MDM 登録サーバーを検出できるようになります。ユーザーが管理対象 Apple アカウントのメールアドレスを入力すると、次のようになります。
- デバイスは、管理対象の Apple アカウントからドメイン名を抽出します。
- デバイスは、登録情報をホストするウェブサーバーに HTTP リクエストを送信します。
例
ユーザーの Andy Jones が管理対象 Apple ID(andy.jones@yourdomain.com)でデバイスにログインした場合:
- デバイスは yourdomain.com を抽出し、サービス ディスカバリ プロセスを使用して、https://your_domain/.well-known/com.apple.remotemanagement でホストされている登録情報に対する HTTPS リクエストを行います。
- デバイスはサービス ディスカバリ設定から Google MDM を特定し、登録を開始します。
サービス ディスカバリ プロセスの詳細については、Apple Developer ウェブサイトの Discover Authentication Servers のドキュメントをご覧ください。
手順 5: ユーザーにデバイスを登録してもらう
iOS デバイスを管理対象として登録するには、ユーザーに次の手順を行ってもらいます。
- ユーザーのデバイスがすでに管理対象として登録されている場合は、Device Policy アプリから Google Workspace アカウントの登録を解除してからアプリをアンインストールするようユーザーに伝えます。詳しくは、Device Policy アプリを管理するをご覧ください。
- 次のいずれかを選択します。
- アカウントに基づくユーザー登録を設定している場合(この記事の前半を参照)、[設定]
[全般]
[VPN とデバイス管理]
[職場または学校のアカウントにログイン] をタップし、Workspace アカウントにログインするようユーザーに伝えます。
- それ以外の場合は、Apple App Store からインストールした Gmail アプリで仕事用アカウントを使用してログインするようユーザーに伝えます。
- アカウントに基づくユーザー登録を設定している場合(この記事の前半を参照)、[設定]
- 画面の指示に沿って設定プロファイルをインストールします。ダウンロードしたプロファイルをインストールするには、iOS の設定アプリへの移動が必要になる場合があります。Google Device Policy アプリが自動的にインストールされます。
- ダウンロード後、Device Policy アプリにログインする必要があります。詳しくは、個人用デバイスを設定するをご覧ください。
- Device Policy アプリから管理対象アプリをインストールします。Device Policy アプリでアプリが [必須] とマークされている場合、ユーザーは該当のアプリをアンインストールしたうえで、Device Policy アプリから再インストールする必要があります。詳しくは、iOS デバイスで承認済みの仕事用アプリを入手するをご覧ください。
注: プライバシー上の理由から、Google エンドポイント管理では、ユーザーが登録したデバイスにインストールされているアプリのリストを読み取ることができません。ユーザーが Device Policy アプリから管理対象アプリをまだインストールしていない場合、その管理対象アプリが App Store から管理対象外としてすでにインストールされているのかどうかはわかりません。管理対象アプリがすでにデバイスにインストールされている場合は、Device Policy アプリからインストールする前にアンインストールする必要があります。ユーザーのプライバシー保護の詳細については、Apple のドキュメントをご覧ください。