Appleデバイスでのアクティベーションロック
アクティベーションロックをオンにすると、ある人のiPhone、iPad、Mac、またはApple Watchをほかの人が使用したり売ったりするのが難しくなります。MDMソリューションを使ってアクティベーションロックを管理することで、組織はその盗難防止機能の恩恵を受けると同時に、組織のデバイスのアクティベーションロックをオフにする機能も利用できます。
利用できるアクティベーションロックには2つのタイプがあります:
組織に紐付けている場合: 組織に紐付いたアクティベーションロックには、Apple School Manager、Apple Business Manager、またはApple Business Essentialsが必要であり、通常は組織の管理が簡単です。これにより、MDMソリューションは、サーバ側の操作によってアクティベーションロックのオン/オフの切り替えを完全に制御できます。
ユーザに紐付いている場合: ユーザに紐付いたアクティベーションロックでは、ユーザが個人のApple Account(管理対象Apple Accountではなく)を持っていて、その人が「探す」をオンにする必要があります。この方法では、MDMソリューションでアクティベーションロックが許可されている場合、ユーザは組織に紐付いたデバイスを個人のApple Accountにロックできます。
注記: 一部のMDMソリューションでは、両方のアクティベーションロック方法がサポートされています。両方を使おうとした場合は、最初に成功するアクティベーション・ロック・イベントが優先されます。
アクティベーションロックをオフにする
Apple School Manager、Apple Business Manager、またはApple Business Essentialsでは、「デバイスの管理」権限のあるユーザが、組織の所有するiPhone、iPad、Mac、Apple Watch、またはApple Vision Proの組織に紐付いたアクティベーションロックおよびユーザに紐付いたアクティベーションロックをオフにすることができます。デバイスは、Apple School Manager、Apple Business Manager、またはApple Business Essentialsに表示されている必要がありますが、MDMサーバに割り当てられている必要はありません。
詳しくは、以下を参照してください:
Apple School Managerユーザガイド: アクティベーションロックをオフにする
Apple Business Managerユーザガイド: アクティベーションロックをオフにする
Apple Business Essentialsユーザガイド: アクティベーションロックをオフにする
iPhoneおよびiPadでの組織に紐付いたアクティベーションロック
組織に紐付いたアクティベーションロックを許可すると、(ユーザではなく)MDMソリューションからAppleサーバにデバイスのロックまたはロック解除が直接伝達されます。これは完全にサーバ側で行われるため、ユーザの操作やデバイスの状態に依存することはありません。MDMソリューションは、独自のバイパスコードを作成し、デバイスのアクティベーションロックをオンまたはオフにする必要があるときにAppleサーバに送信します。
MDMソリューションがアクティベーションロックの削除に失敗したとします。そのあとアクティベーションロックの画面で、MDMソリューションをApple School Manager、Apple Business Manager、またはApple Business EssentialsにリンクするMDMサーバトークンを作成したアカウントのユーザ名とパスワードを入力します。これは、管理者、サイトマネージャ(Apple School Managerのみ)、またはデバイス登録マネージャの役割を持つアカウントです。
重要: デバイスがApple School Manager、Apple Business Manager、またはApple Business Essentialsに紐付けられたMDMソリューションに割り当てられている場合は、この方法を使用する必要があります。
ユーザに紐付いたアクティベーションロック
組織に紐付いたアクティベーションロックとは対照的に、ユーザに紐付いたアクティベーションロックを使用すると、ユーザが自分のiCloudアカウントを使って組織所有のデバイスをロックできます。
この場合、MDMソリューションを使用すると、ユーザは組織に紐付いた監視対象デバイスでアクティベーションロックをオンにできます。監視対象デバイスではデフォルトでアクティベーションロックが禁止されているため、ユーザがアクティベーションロックをオンにできるようにする前に、デバイスで作成されたバイパスコードをMDMソリューションで取得し、保存する必要があります。ユーザが組織を離れた場合などに、何らかの理由でApple Accountで認証できない場合は、デバイスを消去して新しいユーザに割り当てる必要があるときに、このバイパスコードを使用して、MDMを使用してリモートで、またはデバイス上で直接、アクティベーションロックをオフにすることができます。
iPhoneおよびiPadでは、バイパスコードを利用できるのは、デバイスが初めて監視対象になってから15日間まで、またはMDMソリューションにコードが明示的に指定(その後、クリア)されるまでです。MDMソリューションで15日以内にバイパスコードを取得しないと、そのバイパスコードは取得できなくなります。
アクティベーションロックを使用するには、MacコンピュータにAppleシリコンまたはApple T2セキュリティチップが搭載されている必要があります。対象のMacコンピュータでデバイス登録を使用している場合、macOS 10.15以降にアップグレードすると、アクティベーションロックはデフォルトで禁止され、オプションで有効にできます。macOS 10.15以降の(アップグレードではなく)インストール時にアクティベーションロックを管理するには、デバイスが監視されている必要があります。macOS 11以降では、デバイス登録を使用してデバイスが監視されている場合、アクティベーションロックは、デバイスがMDMに登録される時点まで管理できません。つまり、デバイスがMDMに登録されて監視対象になったとき、アクティベーションロックはすでにオンになっている可能性があります。その場合、アクティベーションロックはMDMを使ってオフにできず、ユーザが最初にオフにするまでデフォルトで禁止されません。
デバイスを物理的に所有している場合、iPhoneまたはiPadでは、アクティベーションロックの画面のApple AccountパスワードのフィールドにMDMのアクティベーションロックのバイパスコードを入力し、ユーザ名のフィールドは空白のままにします。Macでは、メニューバーの「復旧アシスタント」をクリックして「MDMキーでアクティベート」オプションを選択することで、バイパスコードを入力できます。バイパスコードの場所については、MDMベンダーの資料を参照してください。
MDMでユーザに紐付いたアクティベーションロックを許可すると、以下のようになります:
MDMソリューションでデバイスのアクティベーションロックを許可したときに「探す」がオンになっていると、その時点でアクティベーションロックがオンになります。
MDMソリューションでアクティベーションロックを許可したときに「探す」がオフになっていると、アクティベーションロックはユーザが次回「探す」をオンにしたときにオンになります。
バイパスコードを使用してアクティベーションロックを解除する
MDMソリューションによってアクティベーションロックの管理に使用されるバイパスコードは、アクティベーションロックをクリアできるようにするために不可欠です。これらのバイパスコードについては、セキュリティ保護し、定期的にバックアップを作成してください。MDMベンダーが変わる場合は、これらのバイパスコードのコピーが提供されること、または登録されているすべてのデバイスのアクティベーションロックがクリアされることを確認してください。
デュアルSIMに対応しているAppleデバイスのアクティベーションロックをクリアするには、MDMソリューションでリクエストに両方のIMEI(International Mobile Equipment Identity)の値を含める必要があります。MDMベンダーについては、Apple Developer Webサイトの「バイパスコードを作成する/使用する」(英語)を参照してください。
MDMソリューションがアクティベーションロックを削除できない場合は、MDMベンダーのサポートリソースに問い合わせるか、Appleのサポート記事「アクティベーションロックの解除方法」を参照してください。