Apple School Managerを使用して特定のアプリやサービスへのユーザアクセスをカスタマイズします
管理対象Apple Accountを使用してサインインするユーザに、Appleの多くのアプリやサービスにアクセスしてほしいと思うかもしれません。Apple School Managerでは、ユーザがサインインできるデバイスと、利用できるようにするアプリやサービスを選択することができます。たとえば、特定のiCloud機能へのアクセスをオンにしたり、クラウドに保存できるアプリデータを指定したり、FaceTimeとiMessageへのアクセスをオンにしたりすることができます。
必要条件
一部の機能には以下が必要です。
iOS 17、iPadOS 17、macOS 14以降。
サードパーティMDMソリューションによるサポート。MDMベンダーのドキュメントを参照して、これらの機能がサポートされていることを確認してください。
重要: デバイスの管理状態の要件が変わると、デバイスの状態が新しい要件を満たさない場合に、管理対象Apple Accountがデバイスから自動的にサインアウトされます。
管理対象Apple Accountを使用してサービスにアクセスする
管理対象Apple Accountを使用する場合は、特定のサービスへのアクセス方法が異なることがあります。「Appleプラットフォーム導入」の「管理対象Apple Accountでのサービスへのアクセス」を参照してください。
ユーザがサインインできるデバイスの選択
ユーザが、管理対象Apple Accountを使用してサインインできるデバイスを選択することができます。
注記: この機能には、iOS 17、iPadOS 17、macOS 14以降と、MDMソリューションによるサポートが必要です。
Apple School Manager
で、管理者、サイトマネージャ、
またはユーザマネージャの役割を持つアカウントでサインインします。サイドバーで「アクセス管理」
を選択し、「Appleのサービス」
を選択します。「管理対象Apple Accountの許可をオンにする」を選択し、次のいずれかを選択します。
すべてのデバイス(デフォルト):ユーザは、どのデバイスでもサインインすることができます。
管理対象デバイスのみ:ユーザは、新しいGet Tokenエンドポイントに対応するMDMソリューションによって管理されているデバイスでサインインすることができます。
監視対象デバイスのみ:ユーザは、新しいGet Tokenエンドポイントに対応するMDMソリューションによって監視(管理)されているデバイスでサインインすることができます。
iCloud機能とアプリアクセスの管理
次のいずれかの機能をカスタマイズして、組織のニーズを満たすことができます。これには、ユーザが管理対象Apple Accountを使用してサインインできるデバイスの決定が含まれます。
オフ:ユーザは、iCloudにデータを保存できません。
任意のデバイス:ユーザは、任意のデバイスからiCloud上の自分のデータにアクセスできます。
管理対象デバイスのみ:ユーザは、新しいGet Tokenエンドポイントに対応するMDMソリューションによって管理されているデバイスでサインインすることができます。
監視対象デバイスのみ:ユーザは、新しいGet Tokenエンドポイントに対応するMDMソリューションによって監視(管理)されているデバイスでサインインすることができます。
注記: この機能には、iOS 17、iPadOS 17、macOS 14と、MDMソリューションによるサポートが必要です。
Apple School Manager
で、管理者、サイトマネージャ、
またはユーザマネージャの役割を持つアカウントでサインインします。サイドバーで「アクセス管理」
を選択し、「Appleのサービス」を選択します。「iCloud」を選択し、ユーザが管理対象Apple Accountを使用してサインインできるデバイスを選択します。
オフ
すべてのデバイス(デフォルト)
管理対象デバイスのみ
監視対象デバイスのみ
「共同制作」を選択し、Keynote、Numbers、Pagesを使用して作成されたファイル上でユーザが共同制作する機能や、それらのファイルが自動的に受け入れられる許可をオンにします。
全員(デフォルト):ユーザは、Apple Accountを使用してほかのユーザと共同作業できます。
組織のみ:ユーザは、同じApple School Manager組織の管理対象Apple Accountを使用するほかのユーザとのみ、共同作業できます。
オフ:ユーザは、Keynote、Numbers、Pagesのいずれの書類も共有できません。
ファイルの自動承認:ユーザは、共有書類での共同作業への参加依頼を自動的に承認することができます。
生徒以外のユーザによる共有
ユーザ(限定なし)による共有
オフ
上部から「iCloud」を選択し、次のiCloud機能へのアクセスをオフにします。
iCloud Drive:ユーザは、データをiCloud Driveに保存することができます。
パスコードとキーチェーン:ユーザは、パスワードとパスキーをiCloudキーチェーンに保存できます。
WebでのiCloudデータへのアクセス:ユーザは、www.icloud.comにサインインしてデータにアクセスできます。
iCloudバックアップ:ユーザは、iCloudバックアップを使用してデバイスをバックアップすることができます。
次の表にあるアプリについて、iCloudに保存されているアプリデータへのアクセスをオンにします。
アプリケーション
他のデバイスにデータを同期しますか?
News
Safari
Siri
カレンダー
フリーボード
メッセージ
メモ
リマインダー
株価
写真
連絡先
FaceTimeとiMessageへのユーザアクセスをオンにする
デフォルトでは、管理対象Apple Accountを使用してサインインする管理者の役割を持たないユーザは、FaceTimeとiMessageにアクセスできません。そのアクセスは変更することができます。
FaceTime:組織内の他のユーザのみ、または組織内外の全員を許可して、FaceTime(オーディオのみおよびビデオの両方)をオンにすることができます。
iMessage:組織内の他のユーザのみ、または組織内外の全員を許可して、iMessageをオンにすることができます。
注記: iMessageがオフになっている場合でも、ユーザはSMS/MMSメッセージを送受信することができます。
Apple School Manager
で、管理者、サイトマネージャ、
またはユーザマネージャの役割を持つアカウントでサインインします。サイドバーで「アクセス管理」
を選択し、「Appleのサービス」を選択します。「FaceTime」を選択してオンにし、次のいずれかを選択します。
全員(デフォルト)
組織のみ
上部から「Appleサービス」を選択し、「メッセージ」を選択してオンにし、次のいずれかを選択します。
全員(デフォルト)
組織のみ
Appleウォレットへのユーザアクセスをオンにする
デフォルトでは、管理対象Apple Accountを使用してサインインするユーザはAppleウォレットにアクセスできません。学校で許可されている場合は、このアクセスを有効にして学生証や社員証を追加可能にすることができます。
Apple School Manager
で、管理者、サイトマネージャ、
またはユーザマネージャの役割を持つアカウントでサインインします。サイドバーで「アクセス管理」
を選択し、「Appleのサービス」を選択します。「ウォレット」を選択し、アクセスをオンにしてAppleウォレットを使用します。
Apple Developerのコンテンツへのユーザアクセスをオンにする
デフォルトでは、管理対象Apple Accountを使用してサインインするユーザは、どのApple Developer Programのコンテンツにもアクセスできません。そのアクセスは変更することができます。
注記: この機能は、生徒以外の役割を持つユーザを、既存のデベロッパチームに追加できるようにします。
Apple School Manager
で、管理者、サイトマネージャ、
またはユーザマネージャの役割を持つアカウントでサインインします。サイドバーで「アクセス管理」
を選択し、「Appleのサービス」を選択します。「デベロッパ」を選択し、次のいずれかを実行します。
Apple Developer Programへのアクセスをオンにする。
Xcode Cloudプログラムへのアクセスをオンにする。
重要: コマンドラインサービス(
notarytoolなど)では管理対象Apple Accountを利用できません。
AppleSeed for ITへのユーザアクセスをオンにする
AppleSeed for ITは、組織内で新しいAppleベータソフトウェアの各バージョンのテストを実施する企業および教育機関のお客様向けに設計されています。Apple School Managerを使用する組織は、組織が参加できるアカウントの役割を割り当てることができます。次に、参加者は管理対象Apple Accountを使用してプログラムにアクセスします。フィードバックは組織に関連付けられます。
デフォルトでは、管理対象Apple Accountを使用してサインインするユーザはAppleSeed for ITにアクセスできません。そのアクセスは変更することができます。
Apple School Manager
で、管理者、サイトマネージャ、
またはユーザマネージャの役割を持つアカウントでサインインします。サイドバーで「アクセス管理」
を選択し、「Appleのサービス」を選択します。「AppleSeed for IT」を選択し、Webサイトへのユーザアクセスをオンにします。
「役割:基本アクセス権」とAppleSeed for ITのWebサイトをご覧ください。
特定のプライバシーとセキュリティ機能へのユーザアクセスをオンにする
特定のプライバシーとセキュリティ機能へのアクセスをオンにすることができます。
Apple School Manager
で、管理者、サイトマネージャ、
またはユーザマネージャの役割を持つアカウントでサインインします。サイドバーで「アクセス管理」
を選択し、「Appleのサービス」を選択します。「プライバシーとセキュリティ」を選択し、次のいずれかへのアクセスをオンにします。
データとプライバシーアクセス:ユーザアクセスを許可してデータのコピーをリクエストします。
ユーザアカウントの検索:ユーザが他のユーザの連絡先情報を検索できる機能を有効にします。「「ユーザアカウントの検索」の使用方法」を参照してください。
生徒の簡単サインイン:講師は、iPadデバイスに生徒をすばやくサインインできるようになります。
注記: 管理対象Apple Accountを使用して任意のデバイスにサインインできるようにする必要があります。この機能はFederated Authenticationでは使用できません。
自分の管理対象Apple AccountでiPadにサインインした講師は、そのデバイスを使用して生徒をそれぞれのデバイスにサインインできます。このサインイン方法は、設定アシスタントを実行しているときに、すでに設定が完了したデバイス上で実行できます。
生徒のiPadで、生徒の設定を選択し、「iPadにサインイン」をタップし、「Use Another Apple Device(別のAppleデバイスを使用する)」オプションを選択します。講師が自分のiPadを生徒のiPadの近くに持っていくと、講師のiPadに「iPadにサインイン」というダイアログが表示されます。講師は生徒のiPadのパーティクルクラウドをカメラで読み取るか、「Activate Manually(手動アクティベート)」を選択して6桁のコードを入力できます。講師はクラスの一覧から対象の生徒を選択します。その生徒は自分のiPadに自動的にサインインします。完了すると、講師のiPadに「完了」のメッセージが表示されます。
クラスルームで最寄りの管理対象外クラスを使用する:クラスルームのApple School Managerのクラスの代わりに、講師が最寄りの管理対象外クラスを作成して使用することを許可します。iPadには、iPadOS 17.4以降がインストールされている必要があります。
Apple Watchの自動サインイン:パスワードを入力しなくてもユーザがApple WatchをiPhoneとペアリングすることを許可します。
スクールワークでの生徒の進捗データ:講師に、スクールワークで割り当てるアクティビティの生徒の進捗を表示することを許可します。個々の生徒の進捗を管理するには、「スクールワークを使用した生徒の進捗の管理」をご覧ください。
スクールワーク解析の共有:Appleが、スクールワークの機能を改善するため、機械学習などの方法を使用して個人を特定できないスクールワークのデータを処理することを許可します。
講師と生徒向けの管理対象Apple Accountの追加機能
Apple School Managerでは、講師と生徒のための管理対象Apple Accountの機能を使用できます。
各ユーザアカウントに対してパスワードポリシーを割り当てられます。最も簡単な方法は、役割別に割り当てる方法です。生徒役割アカウントでは、単純な4桁または6桁のパスコードを設定できます。その他すべての役割のアカウントには、8文字以上の強力なパスワードが必要です。「役割権限」を参照してください。
また、管理者とマネージャは、臨時講師を学校に追加する場合など、いつでもアカウントを手動で追加できます。ユーザ名、ID番号、学年などのアカウント情報の表示や編集も行えます。役割によっては、ユーザの管理対象Apple Accountのパスワードをリセットしたり、ユーザがサインインできるように確認コードを送信したり、アカウントの削除、無効化、復元を行ったりできます。
多くの州や地域には、学校が生徒のデータを保護し、その使用方法を制限することを義務付ける法律があります。管理対象Apple Accountは、幼稚園から高校までの学校(または同等レベルの学校)が生徒のデータプライバシー要件に準拠できるように設計されています。「教育現場におけるApple製品のプライバシーとセキュリティについて」を参照してください。
教育機関向けの追加機能を以下の表に示します。
機能 | 説明 |
|---|---|
iCloudストレージ | 管理対象Apple Accountでは、無料で200 GBのiCloudストレージを利用できます。 |
スクールワーク | Apple School Managerで作成されたクラス名簿は、Schoolworkで自動的に利用できます。生徒の進捗レポートは、オプションでApple School Managerで有効にできます。 |
Classroom | Apple School Managerで作成されたクラス名簿は、Classroomで自動的に利用できます。 |
組織のパスワードのリセット | クラスルームアプリを使用すると、講師はIT部門を関与させることなく、生徒の管理対象Apple Accountのパスワードをリセットできます。 |
管理対象Apple Accountのパスワードの複雑度
Apple School Managerにユーザを追加する際、そのユーザに対するパスワードの複雑度を設定します。その複雑度のレベルは、ユーザが共有iPadでサインインした際に表示されるロック画面を指定します。4桁または6桁のパスコードでは、画面上に数字のみ表示されます。複雑なパスワードでは、埋め込みキーボードが表示されます。ユーザが管理対象Apple Accountと初期パスワードでサインインすると、Apple School Managerで最初に設定された複雑度のレベルのパスワードに変更するように促されます。
重要: ロック画面の動作を4桁または6桁のパスコードに設定し、そのユーザのApple School Managerの設定が複雑なパスワードである場合、そのユーザは手動で管理対象Apple Accountとパスワードを入力する必要があります。
管理対象Apple Accountの調査
管理対象Apple Accountの調査を通じて、組織は法令とプライバシーポリシーを遵守することができます。管理者、マネージャ、講師の各アカウントに対して、特定のアカウントを調査する権限を与えることができます。調査ユーザは、学内組織階層の下位に設定されているアカウントだけを監視できます。たとえば、講師は生徒を監視でき、管理者はマネージャ、講師、生徒を調査できます。
アカウントを調査するには、適切な権限を持つユーザがApple School Manager内で、特定の管理対象Apple Accountに対する特別な調査用認証情報を作成する必要があります。この認証情報は、調査対象の管理対象Apple Accountにアクセスする目的にのみ使用でき、7日間だけ有効です。この期間中、調査ユーザは対象ユーザのiCloud Drive内のコンテンツ、またはCloudKit対応App内のコンテンツにアクセスできます。アクセスのリクエストはすべて、Apple School Managerのログに記録されます。ログには、調査ユーザの名前、調査対象の管理対象Apple Account、リクエスト時刻、および調査が実施されたかどうかが記録されます。調査権限を持つすべてのユーザがログを検索できるため、調査の濫用が防止されます。
「ユーザアカウントの調査」を参照してください。