アクティブ化ロックは、iOS/iPadOS デバイスと macOS デバイスの [マイ アプリの検索] に組み込まれているセキュリティ機能です。 有効にすると、ユーザーの Apple ID とパスワードを次のように要求することで、未承認のアクセスが防止されます。
- [自分の検索] をオフにする
- デバイスを消去する
- ディスクを再アクティブ化する
ユーザーがデバイスで [自分の検索] を設定すると、アクティブ化ロックが自動的に有効になります。
組織のアクティブ化ロックへの影響
ライセンス認証ロックは、デバイスの盗難や紛失からデバイスを保護するのに役立ちますが、IT 管理者がデバイスのライフサイクルを管理するための課題を生み出す可能性があります。 例:
- ユーザーがアクティブ化ロックを有効にしてから、organizationのままにします。 Apple ID 資格情報がないと、デバイスを再アクティブ化できません。
- 更新または転送中にデバイスを再割り当てする必要がありますが、アクティブ化ロックでは再利用できません。
これらのシナリオは、プロビジョニングを遅らせ、サポートのオーバーヘッドを増やし、運用効率に影響を与える可能性があります。
これらの問題を解決するために、Apple では、ユーザーの Apple ID とパスワードを使用せずに、監視対象デバイスのライセンス認証ロックを無効にする機能が導入されました。 監視対象デバイスは、Apple のライセンス認証サーバーに格納されているデバイス固有のアクティブ化ロック バイパス コードを生成します。
アクティブ化ロックのしくみの詳細については、「 iPhone と iPad のアクティブ化ロック」を参照してください。
Intune でアクティブ化ロックを管理する方法
デバイスでライセンス認証ロックを無効にするには、次の 2 つの方法があります。
- デバイスでライセンス認証ロック バイパス コードを手動で入力する。
- アクティブ化ロック デバイスの無効化アクションを使用する。
監視対象デバイスの場合、Intuneはライセンス認証ロック バイパス コードを格納します。このコードは、デバイスに入力してライセンス認証ロックを手動で無効にすることができます。 デバイスがワイプされた場合は、空白のユーザー名とコードをパスワードとして使用して、デバイスに直接アクセスできます。 さらに、Intuneは、デバイスと対話することなくアクティベーション ロックを無効にするために、Apple のアクティブ化サーバーにバイパス コードを直接発行できます。
Intune を使用してアクティベーション ロックを管理するビジネス上の利点は次のとおりです。
- ユーザーは、Find My アプリのセキュリティ上の利点を得ます。
- ユーザーが以前のユーザー名やパスワードを必要とせずに、デバイスを再利用する必要があるときに作業を行い、ロックを解除できます。
ヒント
Apple Business Manager と Apple School Manager でライセンス認証ロックを直接オフにすることもできます。 詳細については、「 Apple Business Manager でアクティベーション ロックをオフにする」を参照してください。
前提条件
デバイス プラットフォームの要件
このリモート アクションでは、次のプラットフォームがサポートされています。
- 自動デバイス登録 (ADE) による 監視モード での iOS/iPadOS
- 自動デバイス登録 (ADE) を使用して登録された macOS
デバイス構成の要件
アクティブ化ロックを管理する前に、デバイスを許可するように構成する必要があります。
iOS/iPadOS プラットフォームの設定カタログ ポリシーを作成し、次の設定を使用します。
カテゴリ 設定名 値 マネージド設定>MDM オプション 監視中に許可されるアクティブ化ロック 可 構成するデバイスをメンバーとして含むグループにポリシーを割り当てます。
アクティブ化ロックを管理する前に、デバイスを許可するように構成する必要があります。
macOS プラットフォームの設定カタログ ポリシーを作成し、次の設定を使用します。
カテゴリ 設定名 値 マネージド設定>MDM オプション 監視中に許可されるアクティブ化ロック 可 構成するデバイスをメンバーとして含むグループにポリシーを割り当てます。
ロールの要件
このリモート アクションを実行するには、少なくとも次のいずれかのロールを持つアカウントを使用します。
- Intune サービス管理者
- 次を含むカスタム ロール:
- アクセス許可 リモート タスク/アクティブ化ロックのバイパス
- Intune内の管理対象デバイス (組織/読み取り、管理対象デバイス/読み取りなど) の可視性とアクセスを提供するアクセス許可
アクティブ化ロックを無効にする方法
Intuneのアクティブ化ロックリモート デバイスの無効化アクションは、ユーザーの Apple ID とパスワードを必要とせずにアクティブ化ロックを削除します。 ただし、このアクションの後に [マイ アプリの検索] が起動すると、アクティブ化ロックが自動的に再度有効になります。 デバイスの再ロックを回避するには、ライセンス認証ロックを無効にする前に、デバイスが物理的に所有されていることを確認してください。
Microsoft Intune管理センターで、[デバイス>すべてのデバイス] を選択します。
デバイスの一覧からデバイスを選択します。
デバイスの概要ウィンドウの上部で、リモート アクション アイコンの行を見つけます。 [ アクティブ化ロックを無効にする] を選択します。
[ハードウェア] を選択し、[条件付きアクセス] でアクティブ化ロック バイパス コード値を見つけてコピーします。
重要
コードをコピーする前にデバイス設定をリセットすると、コードはIntuneから削除され、アクセスできなくなります。 デバイスをワイプする前に、バイパス コードをコピーしてください。
Microsoft Graph を使用して activationLockBypassCode プロパティを取得するには、クエリに明示的に含める必要があります。
デバイス オブジェクトに対してフィルター処理されていない要求を送信すると、Graph から既定のプロパティ セットが返され、 activationLockBypassCode が nullされます。
ライセンス認証ロック バイパス コードを使用する方法
- Microsoft Intune管理センターで、[デバイス>すべてのデバイス] を選択します。
- デバイスの一覧からデバイスを選択します。
- デバイスの概要ウィンドウの上部で、リモート アクション アイコンの行を見つけます。 [ ワイプ] を選択します。
- デバイスがリセットされると、Apple ID とパスワードの入力を求められます。 [ID] フィールドは空白のままにし、パスワードの ライセンス認証ロック バイパス コード を入力します。 この手順では、デバイスからアカウントを削除します。
- デバイスがリセットされたら、メニュー バーで [回復アシスタント ] を選択し、[ MDM キーを使用してアクティブ化 ] オプションを選択してバイパス コードを入力します。
参照リンク
- Microsoft Graph API: bypassActivationLock アクション