Apple ユーザー登録

Apple ユーザー登録は、ユーザーが所有するデバイス、つまり BYOD (Bring Your Own Device) シナリオ用に設計された管理モードです。

制約事項 Apple ユーザー登録には、iOS 13 や iPadOS 13 以降が必要です。

管理対象 Apple ID

ユーザー登録は、管理対象 Apple ID を使用してデバイス上のユーザー ID を識別し、iCloud などの Apple サービスにサインインします。

管理対象 Apple ID は、組織によって所有および管理されます。各ユーザーに対して、Apple Business Manager で一意の管理対象 Apple ID とパスワードを作成します。ユーザーは、デバイスを Sophos Mobile に登録するには、管理対象 Apple ID の認証情報を入力する必要があります。

管理対象 Apple ID を手動で作成する代わりに、Apple Business Manager で Microsoft Azure Active Directory (Azure AD) を使用してフェデレーション認証を設定できます。この場合、Apple Business Manager は管理対象 Apple ID の作成を管理し、ユーザーは Azure AD メールとパスワードを使用してサインインします。詳細は、Apple Business Manager ドキュメントを参照してください。

デバイスで、管理対象 Apple ID はユーザーの個人用 Apple ID と共存します。ユーザーが Sophos Mobile からデバイスの登録を解除すると、iOS はデバイスから管理対象 Apple ID を削除します。

個人データと仕事用データの分離

ユーザー登録モードに登録したデバイスには、仕事用データを保存するための管理対象 Apple File System (APFS) ボリュームがあります。このボリュームには、次が含まれます。

  • 管理アプリとアプリデータ
  • 管理下にある鍵チェーン
  • 管理対象 Apple ID の iCloud アカウントからの文書ファイル
  • 管理対象 Apple ID のメール、カレンダー、およびメモアプリからのデータ

ユーザーが Sophos Mobile からデバイスの登録を解除すると、iOS は管理対象 APFS ボリュームを削除します。

管理機能

ユーザーがデバイスを所有しているため、モバイルデバイス管理 (MDM) の機能は限られています。

ユーザーの個人データにはアクセスできません。管理対象 APFS ボリュームでは、アプリ、証明書、ポリシーなどの項目のみを管理およびクエリできます。

UDID、IMEI、MAC アドレスなどのデバイス ID にはアクセスできません。Sophos Mobile は、ユーザーがデバイスを Sophos Mobile に登録する際に iOS によって作成される特定の ID でデバイスを識別します。ユーザーがデバイスを登録解除してから再登録すると、デバイスは新しい ID を取得し、Sophos Mobile はそれを新しいデバイスとして処理します。

Sophos Mobile はMAC アドレスにアクセスできないため、ユーザー登録デバイスに対してネットワーク アクセス コントロール (NAC) を使用できません。

警告 デバイスパスワードのルールを設定できますが、ユーザーがパスワードを忘れた場合はリセットできません。

アプリ管理

Apple ユーザー登録デバイスでは、Apple Business Manager (旧称: Apple VPP アプリ) で購入したアプリのみをインストールできます。

このようなアプリは、Sophos Mobile 経由でインストールするか、管理対象 Apple ID に割り当てて、ユーザーが App Store からインストールするようにしてください。

各アプリは、個人用 Apple ID (個人アプリ) または管理対象 Apple ID (管理対象アプリ) のいずれかで、デバイスに 1回のみインストールできます。この際、次のルールが適用されます。

  • ユーザーが同じ個人アプリを既にインストール済みの場合、管理アプリをインストールすることはできません。
  • ユーザーは管理アプリをアンインストールできますが、ユーザーが再インストールすれば再び管理対象になります。
  • 以前に管理アプリとしてインストールした個人アプリをユーザーがインストールできるようにするには、Sophos Mobile を使用して管理アプリをアンインストールするか、管理対象 Apple ID からアプリのライセンスを削除する必要があります。
  • メール、メモ、カレンダーはアカウントごとに使用可能で、管理対象 Apple ID (管理対象の APFS ボリューム上) と個人用 Apple ID (システムの APFS ボリューム上) の両方のデータを保存できます。