アクティベーションロック

MobiControl v14 Manual

Apple ID とアクティベーションロックの関係

  • 再アクティベーション(初期設定)の作業でApple IDが必要
    端末の運用上の理由で、端末をリセットしたい場合があります。その場合、アクティベーションロックを有効にしておくと、再アクティベーション(初期設定)の作業で、通常は、Apple IDとパスワードの入力が要求されます。紛失や盗難で他人に使われるのを防止するためです。
  • 監視モードでは、Apple IDの管理が不要
    端末を監視モードとして設定するべく、アクティベーションするときには、Apple IDの登録画面が現れません。そして、Apple IDの登録をせずとも、端末を使用することができます。その際、Appストアのアプリは、デバイスベースのVPPアプリをアプリカタログに掲載することで配布します。 「iCloud」にアクセスできなくても、「紛失モード」で同等の操作ができます。これで、煩雑な端末毎のApple IDの管理を回避できます。

は、両立できません。 Apple IDがAppleに登録されてない場合、又は、MobiControl管理者がApple IDを知らない場合は、を実行できないからです。 アクティベーションロックを無効にしておくと、元所有者のApple IDがなくてもアクティベーションができますが、それは、端末の紛失や盗難の場合に、他人に使われる危険があります。 これを解決するのが、アクティベーションロックのバイパスです。
(表1)の端末のステータスに関して(A)と(B)とでは、水色のセルの部分で異なることに、ご注目ください。(B)の場合は、紛失や盗難の場合でも他人は使用できません。

(表1)


(A)(B)
アクティベーションロックを無効にした端末アクティベーションロックを有効にした端末で、アクティベーションロックのバイパスを要求された端末
リセット(Wipe)をする際、パスコードや元ユーザのApple IDとPW(パスワード)の入力が必要か?
端末操作でのリセット(Wipe)をする場合 不要!!
注1
必要
コンソールからのリモート操作で、Wipeをする場合 不要不要
Wipeの後に、再アクティベーションをするときに、元ユーザのApple IDとPWの入力が必要か? 不要不要
備考 他人に譲渡する場合に適用する。
紛失や盗難の場合に、他人に使われる危険がある。
リモート操作で端末をリセットするときに適用する。
リモートWipeをしない限り、他人に使われる危険はない。
  • 注1 iTunesを起動したPCに、USBケーブルで端末を接続すると、パスコードや、元ユーザのApple IDとPWを入力しなくても、端末をアクティベーションできます。 そして、新しいユーザは、自分のApple ID とPWを登録して、当該端末を使い始めることができます。

アクティベーションロックとそのバイパスの関係

アクティベーションロックの有効/無効と、アクティベーションロックのバイパスとの関係を(表2)に示します。

(表2)

非監視モード端末の
アクティベーションロック
コンソールから制御不可注2
監視モード端末での
アクティベーションロック
コンソールから制御可能注3
無効状態有効状態 無効状態有効状態
アクティベーションロックバイパス注4
要求されてない端末要求された端末
端末操作でリセット(WIPE)をする時には、パスコードと元ユーザのApple IDとPWの入力が必要か? 不要必要不要 必要必要
コンソールからのWIPE 可能可能可能 可能可能
WIPEの後、再アクティベーションをする時にApple IDとPW 又は バイパスコードの入力は? 拾得者のApple IDとPWの入力でアクティベーション可能 元ユーザのApple IDとPWの入力をしないとアクティベーションできない Apple IDとPWを入力せずにアクティベーションとMobiControlへの再登録可能
注5
元ユーザのApple IDとPWの入力でアクティベーションとMobiControlへの再登録可能 Apple IDもバイパスコードも入力せずに、アクティベーションとMobiControlへの再登録可能
注7
バイパスコードの入力でアクティベーションとMobiControlへの再登録可能注6
備考
  • 他人に端末を譲渡する時に適用

  • 盗難の場合は、拾得者に使われる危険

  • 他の従業員に端末を譲渡する時に適用注8

  • 盗難の場合は、拾得者に使われる危険
通常の運用では望ましい状態
  • 盗難や紛失でない場合にコンソールからのWIPEの前に、端末にバイパスを要求する
  • 盗難や紛失の可能性のある端末に対してコンソールからWIPEをすると、 拾得者に使われる危険
  • 注2 監視モードでない端末は、下記のローカル操作で、「iPhoneを探す」をオフにすると「アクティベーションロック」を無効にできます。
    • iOS10.3以降の場合
      「設定」 --> 「[ユーザ名]」 --> 「iCloud」の画面の下の方の「iPhoneを探す」をオフにします。
    • iOS10.2以前の場合
      「設定」 --> 「iCloud」の画面の下の方の「iPhoneを探す」をオフにします。
  • 逆に、「iPhoneを探す」をオンにすると、アクティベーションロックが有効になります。 オンにする又はオフにする時、Apple ID のパスワードの入力画面が現れるので、パスワードを入力します。
    監視モードでない端末のユーザがアクティベーションロックを無効にすることを、コンソールからは、禁止することはできません。
    非監視モードは、私物端末を想定しており、私物端末を他人に譲渡することを阻むことはできないからです。
  • 注3「アクティベーションロックの有効化」の(図1)を参照ください。 (図1)で「アクティベーションロックの有効化」にチェックを入れると、端末はアクティベーションロックが有効になります。 そして、注2の方法で、端末ユーザがアクティベーションロックを無効にすることはできなくなります。 端末は、監視モードである必要があります。
  • 注4「アクティベーションロックのバイパス」の(図2)を参照ください。
    (図2)で、「バイパスアクティブ化ロックステータス」の値が、「コード有効」なら、(図3)で、アクティベーションロックのバイパスをコンソールから 該当端末に対して要求できます。
  • 注5 端末の被譲渡人、又は、端末拾得者が、端末を利用できます。その際、Appストアにアクセスすることで、新しい端末ユーザのApple IDの登録もできます。
    「設定アシスタントで登録を必須にする」にチェックを外した端末登録ルールを適用してアクティベーションをすると、MobiControlに登録されない状態で端末の利用を再開できます。
    更に、別の端末登録ルールが生成する登録URLをブラウザに入力すると、別の端末登録ルールが指定する端末グループに登録することもできます。
  • 注6 端末の元ユーザのApple IDが分からないときは、Apple IDの入力欄に、アクティベーションロックのバイパスコードを入力することで、再アクティベーションとMobiControlへの登録ができます。アクティベーションロックのバイパスコードは、(図2)のように、端末一覧に表示できます。
  • 注7 アクティベーションロックのバイパスコードは、(図2)で例示するように桁数が長いので、その入力作業は煩雑です。 この場合は、その入力作業を避けることができます。これが、アクティベーションロックのバイパスと呼ばれるゆえんです。
  • 注8 デバイスベースのVPPアプリは、Apple IDに紐づけられていません。 端末ユーザが変わってもそのまま、VPPアプリの使用権を継承できます。

アクティベーションロックの有効化

端末グループの全端末に対し、アクティベーションロックを有効にするには、(図1)を表示します。 (図1)の表示方法については、Apple製品:詳細設定の設定を参照ください。

(図1)


上位の端末グループでの(図1)で、「アクティベーションロックを有効化」にチェックを入れると、傘下の端末グループ全ての端末でアクティベーションロックが有効になります。
逆に、アクティベーションロックが有効になっている特定の端末を無効にするには、端末を選んで(図1)を開き、チェックを外します。

アクティベーションロックのバイパス

(図2)は、コンソールの端末一覧の例です。「バイパスアクティブ化ロックステータス」の列を参照ください。 これは、アクティベーションロックバイパスのステータスを意味します。

(図2)

  • 「バイパスを要求済み」の表示は、
    アクティベーションロックをバイパスするようコンソールから端末に要求済みの意味です。 この端末に対し、コンソールからWipeしたとします。 そうすると、そのWipeの後の再アクティベーションでは、Apple ID とパスワード または アクティベーションロックバイパスコードを入力しなくても、アクティベーションを実行でき、MobiControlに再度登録されます。
  • 「コード有効」の表示は、
    端末がMobiControlサーバに送ってきたアクティベーションロックバイパスコードが有効なものであったということです。 この端末に対しては、アクティベーションロックバイパスの要求をすることができます。
  • 「該当なし」は、なんらかの理由で、アクティベーションロックバイパスの要求を送る対象にならない端末です。
iOS端末をDEP経由で、MobiControlサーバに登録すると、端末からの最初のチェックインで、 端末からアクティベーションロックのバイパスコードがMobiControlサーバに送られます。

コンソールでの端末一覧に、(図2)のように、「バイパスアクティブ化ロックステータス」の列を表示する方法は、 端末一覧でのプロパティの入れ替えページを参照ください。
(図2)での、「バイパスアクティブ化ロックステータス」は、(表3)のように5種類があります。

(表3)

バイパスを要求済みアクティベーションロックのバイパスをコンソールから端末に対し要求済み
コード有効有効なアクティベーションロックのバイパスコードをサーバは受領済みだが、 現在は、コンソールからバイパスを端末に要求してない状態
コードの有効性が未定義アクティベーションロックのバイパスコードが有効か否か不明
コードを使用できないなんらかの理由でアクティベーションロックのバイパスコードを利用できない
該当なし
  • 監視モードの端末ながら、「アクティベーションロックのバイパスコードを受領していない
  • 監視モードの端末でない
(図2)で、「バイパスアクティブ化ロックステータス」の欄が「コード有効」と表示されている端末に対しては、 次の方法で、バイパスを要求できます。

  1. 端末を選択し、上部のアクションバーの3点リーダーを選びます。

  2. 3点リーダーを選ぶと、(図3)のプルダウンメニューが現れます。この メニューの「アクティブ化ロックをバイパス」を選択します。

  3. ポップアップ画面がでるので、これに「OK」ボタンを押します。
(図3)
アクティベーションロックのバイパスを要求した端末に対して、Wipeのコマンドを送ります。 (図3)と同じようにプルダウンメニューを開くと、その中に「初期化(Wipe)」の項目があります。
これを選択します。ポップアップが現れるので、これのOKボタンを押します。

(図4)

アクティベーションロックのバイパスコードが表示されない

(図2)のアクティベーションロックのバイパスコードの列に、アクティベーションロックのバイパスコードが表示されないことがあります。この場合は、コンソールからのWipeもできません。
これは、次の3条件が揃った場合です。
  1. 端末を最初にアクティベーションをしたときに、他のMDMサーバに登録した
  2. その後、アクティベーションロックを無効にしないまま、当該MDMからの登録解除
  3. MobiControlへの登録URLを当該端末のブラウザに入力して、MobiControlに登録
この場合は、次の作業を行います。
  1. この端末を、前のMDMサーバに再度登録します。
  2. 当該MDMのコンソール操作で、アクティベーションロックを無効にしてから端末の初期化(Wipe またはリセット)を行います。
  3. ABM(Apple Business Manager)サーバから、当該端末を削除します。
  4. MobiControlに対し、手動DEPの方法で登録します。