組織で利用するApple IDを全て管理対象Apple ID（Managed Apple ID）にした話

はじめに

この記事はApple Business Manager（ABM）の設定でGoogle Workspace（GWS）とのフェデレーションを有効にして、会社のメールアドレスを利用して作られた通常のApple IDを全て管理対象Apple IDに置き換えたという話です。

キーワード紹介

少しでも分かりやすく読んで頂くため、ポイントとなる４つの用語を先に紹介します。

① プライマリ ドメインのメールアドレス（xxx.yyy@domain.com）
② ユーザー エイリアス ドメインのメールアドレス（xxx.yyy@other-domain.com）
③ 通常のApple ID（①で作成されていたが、②に紐づけられることになる）
④ 管理対象Apple ID（①で作成される）

全体の流れ

1. プライマリ ドメインのメールアドレスを使って各自発行した通常のApple IDで運用している状態

2. ABMでGWSとのFederated Authenticationを有効にする

3. 60日以内に、利用していたApple IDのメールアドレスをユーザー エイリアス ドメインのメールアドレスに変更してもらう

4. プライマリ ドメインのメールアドレスで管理対象Apple IDを発行する

5. 端末にサインインしているApple IDを管理対象Apple IDに切り替えてもらう

6. サービスで利用するApple IDを管理対象Apple IDに切り替える

これで、組織で利用するApple IDを管理対象Apple IDにする事が可能です。

対応が必要だった点

1. 管理対象Apple IDに切り替えるか検討

管理対象Apple IDのメリット・デメリットについて別の記事でまとめています。

2. ユーザ名の競合を解決

これは、管理対象Apple IDとなる予定のメールアドレスで通常のApple IDが作成されていた場合に発生します。

ABMでフェデレーションを有効にすると、対象のドメインでApple IDを作成しているユーザ全員に「Apple IDのアップデートが必要です」というメールが届きます。
メールの内容は、「組織で対象のドメインが登録された為、60日後にこのメールアドレスをApple IDとして利用出来なくなります。Apple IDとして使用する新しいメールアドレスを入力してください。」というものです。

対応としては、GWSにユーザー エイリアス ドメインを設定し、ユーザー エイリアス ドメインのメールアドレスにApple IDのメールアドレスを変更できるようにしました。

通常のApple IDに紐付けるメールアドレスは、メールを受信できればどんなメールアドレスでも設定可能です。必ずしもユーザ エイリアス ドメインである必要はありませんが、組織で管理できるメールアドレスが好ましいです。
また、メールアドレスを更新しないまま60日が経過してしまうと、強制的にAppleから発行された別のメールアドレスに変更されてしまうようです。

3. 新しいメールアドレスの準備

前述した「ユーザ名の競合」を解決するために、今までプライマリ ドメインのメールアドレスで利用していたApple IDを、違うメールアドレスに紐づける必要があります。

そこで、下記リンクの「別ドメインのメールアドレスをユーザーに付与する」方法で、GWSにユーザー エイリアス ドメインを設定しました。

・ユーザーに両方のドメインのメールアドレスが提供されます。
・ユーザーはどちらのアドレスでもメールを送受信できます。
・ユーザーごとの追加費用はかかりません。

別ドメインのメールアドレスをユーザーに付与する

ユーザー エイリアス ドメインまたはセカンダリ ドメインを追加する - Google Workspace 管理者 ヘルプ

設定が反映されるまで時間がかかります。
金曜日に実施し、月曜日には全員利用できる状態となりました。

4. GWSで検索候補に表示されるメールアドレスを設定する

ユーザー エイリアス ドメインを設定するとGoogleカレンダーやGmailなどの検索候補に、プライマリ ドメインのメールアドレスとユーザー エイリアス ドメインのメールアドレスが表示されてしまい、使い勝手が悪くなってしまいます。
下記URLの記事を参考に設定して、メインのメールアドレスだけを表示する設定としました。

ディレクトリに表示するメールアドレスを設定する - Google Workspace 管理者 ヘルプ

5. 管理対象Apple IDの挙動を調査

フェデレーションの流れを確認

1. Apple IDを入力する画面で、プライマリ ドメインのメールアドレスを入力する

2. 管理対象のメールアドレスと識別され、ブラウザが立ち上がる

3. GWSのメールアドレスとパスワードを入力する

4. 2段階認証の確認コードを入力（初回のみ）

5. 管理対象Apple IDとしてサインインできる

管理対象Apple IDが作成される条件

• ユーザーがApple端末へサインイン試行すると作成される

  • セットアップ中でも、フェデレーションで管理対象Apple IDを作成可能

  • セットアップ済みの状態でも、設定AppからフェデレーションでApple IDを作成可能

• 管理者がABM上にて手動で作成する

• ABMとGWSのディレクトリ同期によって自動的に作成される（筆者はOFFにしています）

フェデレーションが機能する条件は、macOSのバージョンが12.4以降 または iOSのバージョンが15.5以降です。

管理対象Apple IDをABM上で削除するとどうなるか

• アカウントは削除され、iCloudなどのデータも消える

• サインインしていた端末では「セキュリティ上の理由によりご利用のアカウントが無効になっており、サインインできません。」と表示される

6. Appleのビジネス向けストアにサインイン出来なくなる

プライマリドメインのメールアドレスで作成された通常のApple IDで利用者登録をしていて、ユーザ エイリアス ドメインにメールアドレスを変更した場合、ビジネス向けストアへサインイン出来る人と出来ない人が現れました。

サインインできない場合には、再度登録の手続きが必要です。

Appleビジネス向けストアを案内して頂いた店舗のビジネスチームに、管理対象Apple IDで利用者登録が出来ないか質問したところ、「管理対象Apple IDは、通常のApple IDと異なる仕様のため、カスタムストアで利用すると支障が出ることが報告されている。そのため、貴社ドメインのメールアドレスを新規作成いただきたい。」という内容の回答がありました。

7. 管理対象Apple IDで端末にサインインできない

これが一番厄介な問題です。
iPhoneでは確認されず、Macで多く発生しました。
Macのユーザアカウントにおいて、通常のApple IDからサインアウトした後、管理対象Apple IDでサインインすることが出来無いというものです。

筆者が経験したパターンとしては、

• 通常のApple IDでサインアウトしてすぐに管理対象Apple IDでサインインできる人もいる

• 通常のApple IDからサインアウトした状態で利用し、数日後に管理対象Apple IDでサインインできるようになった

• フェデレーションで自動作成されたApple IDではサインイン出来なかったが、ABMで手動作成するとサインイン出来るようになった

• サインインのプロセスがループして端末にサインイン出来ない、諦めて再起動するとサインイン出来ていた

• 設定Appからサインイン出来ないので、Apple Music Appからサインインを試みると端末にサインイン出来た

• 上記全部試してもサインイン出来ない

確実にサインイン出来る唯一の方法として、

• 新規作成したユーザアカウントでは、管理対象Apple IDを使ってサインイン出来ます

しかし、ユーザアカウントの新規作成はローカル環境の再構築が必要となり、非常にユーザ負荷が高いものとなるので注意が必要です。

Apple サポートに問い合わせて検証しましたが、原因は不明でした。
新規作成したユーザアカウントでサインイン出来るため、Apple IDと端末に問題は無さそうです。
結果として、ユーザアカウントを作り直して対応するしかないという結論に至りました。

8. 通常のApple IDのメールアドレスを変更した結果、iCloudが利用できない状態になる

これは筆者が検証中に遭遇し、解決しなかった問題です。
検証の為、通常のApple IDを＠gmail.comに紐付けし、ユーザ エイリアス ドメインのメールアドレスへ紐付けしたところ、iCloudが利用できなくなりました。
症状としては、iCloudに接続できないため、端末へのサインインも出来ません。しかし、appleid.apple.comやApp Storeへのサインインは出来るという状態です。

およそ2週間かけて、Apple サポートの指示に従いながら調査に協力しましたが、原因は不明でiCloudの利用再開には至りませんでした。
アカウントのステータスがiCloudを利用できないものになっており、iCloudのデータ復旧は非常に難しい状況とのことでした。
通常のApple IDは今後利用する予定も無く、iCloudのデータに執着は無かったため調査終了としました。

9. アナウンスの為のドキュメント作成

時間制限のある「ユーザ名の競合を解決」だけ期限を設定し、端末へのサインインは各自のタイミングで実施としてアナウンスしました。

最後に

通常のApple IDを利用している環境からの移行は大変ですが、成し遂げた暁には適切にApple IDを管理できる環境が手に入ります。
これは非常に大きなメリットです。

救いがあるとすれば、初めから管理対象Apple IDでセットアップを行う場合、どこにも躓くことなくセットアップが完了するという点です。

管理対象Apple IDの運用に関する情報は少なく、少しでも皆様の参考になれば幸いです。

2022/11/9 追記

Apple法人営業部の方にお話を伺ったところ、カスタムストアに登録していたApple IDを管理対象Apple IDに変更するといった何らかの属性変更が行われた際に、iCloudが利用不可になる場合がある。
そのため、カスタムストアへ登録するApple IDは他サービスと併用していないものを用意するようお願いしており、通常のApple IDでも管理対象Apple IDでも登録可能であるとのことでした。

2023/4/5 追記

管理対象Apple IDでサインしているデバイスを初期化する際には、事前にデバイスからサインアウトしておくとスムーズです。
「すべてのコンテンツと設定を削除」に含まれるiCloudからサインアウトのプロセでは上手くサインアウトできない場合があります。