Activation Lockとは?
Activation Lock は、Appleデバイスを紛失したり盗まれたりした場合にAppleデバイスが不正に使用されるのを防ぐためにAppleが開発したセキュリティ機能です。この機能は「探す(Find My)」サービスの一部で、所有者以外がデバイスを使用または販売することを困難にすることで盗難を抑止するように設計されています。
Activation Lockの仕組み
Activation Lock は、ユーザーがデバイスで「探す」機能を設定すると自動的に有効になります。その仕組みは次の通りです。
「探す」をオンにすると、ユーザーの Apple Account はAppleのアクティベーションサーバーに安全に保存され、デバイスにリンクされます。
デバイスがアクティベートまたは回復されるたびに、デバイスはAppleに連絡して、 Activation Lock が有効になっているかどうかを確認します。
「探す」をオフにしたり、デバイスを消去したり、再アクティブ化したりするには、ユーザーは Apple Account パスワードを入力する必要があります。
企業所有のデバイスの場合、 Kandji を使用して Activation Lockを管理できます。登録時にバイパスコードを生成して、 Apple Account とパスワードなしでデバイスのロックを解除できるため、デバイスを新しいユーザーに再割り当てするときに役立ちます。 さらに、 Apple Business Manager または Apple School Manager に属するデバイスも、デバイスマネージャーの役割を持つABM/ASM管理者によってリモートで Activation Lock を無効にすることができます。
ユーザーベースの Activation Lock
ユーザーベースの Activation Lock は、デバイス ユーザーが個人の Apple Account でサインインし、 「デバイスを探す」を有効にするとアクティブになります。この機能は、 iCloud Activation Lockとも呼ばれます。
ユーザーベースのActivation Lockを防ぐ方法
デフォルトでは、ユーザーベースのActivation Lockは監視対象デバイスで許可されていません。iOS、 iPadOS、または macOS デバイスが自動デバイス登録を介して Kandji に登録されている場合、[監視対象MDMでActivation Lockを許可] オプションは false に設定されます。ただし、ユーザーベースのActivation Lockを許可する場合は、デバイスを登録する前に自動デバイス登録の設定を変更できます。
Activation Lockは「探す(Find My)」と結びついていますが、Activation Lockを防いでも「探す」へのログインができなくなるわけではありません。
Mac コンピュータに関する特別な考慮事項
すでに設定され、 Kandji に登録されているMacコンピュータの場合は、考慮すべき点がいくつかあります。
事前登録 Activation Lock - ユーザーが登録前にユーザーベースの Activation Lock を有効にした場合、有効のままとなります。
バイパスコード生成 - Mac が以前に MDMによって監視されていなかった場合、 Kandji はバイパスコードを生成して取得します。ただし、このコードでは、既存のユーザーベースの Activation Lockをさかのぼって無効にすることはできません。バイパスコードを有効にするには、ユーザーはMacを探すをオフにしてから再度オンにする必要があります。
別の MDM からの移行 - Mac が 1 つの MDM から Kandjiに移行する場合、既存の Activation Lock バイパス コードの有効期限が切れている可能性があり、 Kandji はそれを取得できません。バイパスコードは、デバイスが監視されてから30日以内にのみ取得できます。したがって、移行前に前の MDM からこれらのコードを取得することをお勧めします。
ユーザーベースの Activation Lock Bypass Code
ユーザーベースの Activation Lock を許可し、無効にする必要がある場合は、いくつかのオプションがあります。
デバイスアクションメニュー - すべての監視対象 iOS、 iPadOS、および macOS デバイス(T2またはAppleシリコンを搭載したMacコンピュータ)のデバイスアクションメニューからバイパスコードにアクセスします。
セットアップアシスタント - セットアップアシスタント中に Activation Lock 画面のパスワードフィールドにバイパスコードを入力します。
Finder - デバイスをMacに接続し、Finderのパスワードフィールドにバイパスコードを入力します(iOS/iPadOS のみ)。
macOSリカバリー - macOS リカバリーのバイパスコードを使用して、[MDM キーでアクティベート...] を選択します。[Recovery Assistant] メニューから (macOS のみ)。
デバイスベースの Activation Lock
デバイスベースの Activation Lockは、 MDMソリューションが AppleのDevice Assignment Service APIにAPI 要求を送信することで有効になります。この機能は、MDM または組織ベースの Activation Lock と呼ばれることもあり、現在は iOS および iPadOS デバイスでのみサポートされています。
デバイスベースのActivation Lockを有効にする方法
デバイスベースの Activation Lockを有効にするには、デバイスを登録する前に自動デバイス登録設定を変更する必要があります。この設定は、自動デバイス登録構成内の iPhoneセクションと iPadセクションで別々に有効にしてください。
デバイスベースの Activation Lock Bypass Code
デバイスベースの Activation Lock を有効にし、無効にする必要がある場合は、次のオプションがあります。
バイパスコード へのアクセス - デバイスアクションメニューからデバイスベースの Activation Lock バイパスコードを取得します。
管理対象 Apple Accountでサインイン する - 自動デバイス登録トークンを作成したApple Business ManagerまたはApple School Manager ユーザーの管理対象 Apple Accountを使用します。
Apple Business Manager または Apple School Manager を使用したActivation Lockの削除
Apple Business Manager または Apple School Managerでは、組織が所有するデバイスのActivation Lockを無効にするオプションがあります。デバイスは Apple Business Manager または Apple School Managerにリストされている必要がありますが、MDM サーバーに関連付ける必要はありません。 Apple Business Manager または Apple School Managerを使用してActivation Lockを削除する方法の詳細については、次の Apple サポート ガイドを参照してください。
Activation Lockバイパスコードが利用できず、Apple Business ManagerまたはApple School Managerを使用してActivation Lockを削除できない場合は、AppleCare Enterpriseサポート にお問い合わせください。