- 2026年4月にリリースされたApple Businessとは何か・旧ABMから何が変わったか
- 構成カタログで設定できる項目の一覧と実務上のポイント
- セキュリティチェックシートの項目をApple Businessの構成でどうカバーするか
- 構成設計で迷った・議論になったポイントの実録
- Jamf Proとの使い分け判断
2026年4月14日、Appleがこれまでバラバラに提供していたApple Business Manager(ABM)、Apple Business Essentials(ABE)、Apple Business Connectの3サービスが統合され、「Apple Business」として生まれ変わった。
しかも、これまで有料だったMDM機能(旧ABE相当)が無料化された。Apple Business単体でデバイス管理が完結する時代が来たことになる。
ある会社でちょうどAppleデバイスのセキュリティ構成を見直すタイミングだったので、「セキュリティチェックシートで問われる項目をApple Businessの構成でどこまでカバーできるか」を整理してみた。その設計過程を共有したい。
▼そもそもApple Businessとは何か
Apple Businessは、Appleが企業向けに提供するオールインワンのプラットフォームだ。
従来のABMユーザーにとっては「ADE(自動デバイス登録)でデバイスをJamfやIntuneに流し込む窓口」という印象が強かったと思う。3ヶ月に1回ログインしてデバイスを流すだけの、ほぼ無人運営の管理画面——くらいの認識だったのが、2026年4月の統合で大きく変わった。
・組み込みデバイス管理(Built-in MDM):外部MDMなしでデバイス管理が可能に
・ブループリント:構成+アプリ+ユーザー割り当てをテンプレート化して一括適用
・構成カタログ:FileVault、パスワードポリシー、Wi-Fi、AirDrop制限などをGUIで設定
・アプリ/パッケージ配布:App Storeアプリの配布に加え、.pkgファイルの配信も可能
・ブランド機能:Apple Maps、Apple Mailでのブランド表示(MDM外の機能)
特にブループリントの概念が強力で、「ユーザーデバイス用」「サービスデバイス用(会議室・キオスク向け)」「カスタム」の3種類のテンプレートが用意されている。Wi-Fi設定、パスワードポリシー、ソフトウェアアップデート強制、アプリ配布がブループリント1枚で完結する。
Apple Businessの組み込みMDMはあくまで標準のMDMフレームワークで動くサービス。Jamf Proのようなカスタムスクリプト実行、適用タイミングの細かい制御(ポリシー機能)、動的グルーピングといった高度な機能は備えていない。
▼構成カタログで設定できる項目一覧
Apple Businessの構成カタログでは、以下の項目をGUIから設定できる。実際に触ってみて整理した一覧がこちら。
| 構成項目 | 対応OS | ポイント |
|---|---|---|
| Application Layer Firewall | macOS | 着信接続のブロック、ステルスモード設定。「すべてブロック」にするとAirPlay等も使えなくなるので注意。設定の副作用がUI上に表示される親切設計 |
| Gatekeeper | macOS | App Storeのみ / 確認済み開発者 / 無制限の3段階。Finderバイパス(右クリックで開く)の許可/拒否も設定可能。Sequoia以降はMDM管理が唯一の制御手段 |
| FileVault | macOS | ディスク全体暗号化の強制。事前に暗号化証明書のアップロードが必須。復旧キーは直接確認不可(ダウンロード+手動復号が必要) |
| パスワードと画面ロック解除 | macOS / iOS | 最小文字数・複雑性・有効期限・自動ロック・失敗時消去を一元設定。BYOD iPhoneは「6文字以上+単純不可」のみ有効。macOS/iOSを別々に管理せず一元設定できる |
| ソフトウェアアップデート | macOS / iOS | 自動アップデートの強制。セキュリティ方針「パッチ30日以内適用」をブループリントで自動化できる |
| Wi-Fi | macOS / iOS / iPadOS | SSID・認証情報を自動配布(ユーザーが手動設定しなくてよくなる)。証明書構成と組み合わせて802.1X認証も可能 |
| iCloud | macOS / iOS / iPadOS 他 | Keychain、写真、ファイル同期を機能単位でON/OFF。iCloudバックアップ、コラボレーション等も制御可能。データの外部流出経路として重要な設定項目 |
| AirDrop | macOS | 使用制限・パスワードのAirDrop共有も個別に制限可能。業務ファイルの外部流出経路になるため、セキュリティ方針上は制限推奨 |
| データ保護(管理対象データ) | iOS | 業務アプリと個人アプリ間のデータ移動を制御(Managed Open-In)。ペーストボード制御、AirDrop非管理対象扱いなど |
| VPN | macOS / iOS | L2TP/IPSecなど標準VPN構成を配布。Per-App VPNは未確認。サーバー情報・共有シークレット・プロキシ設定が可能 |
| 証明書 | macOS / iOS / iPadOS | 組織のWebサイト検証・VPN認証・メール署名・802.1X認証に使用。FileVaultの暗号化証明書もここで管理 |
| Webフィルタ | iOS(監視対象のみ) | ブロックドメインを最大100件登録。組み込みコンテンツフィルタ(除外リスト最大100件)。監視対象デバイスにのみ有効 |
| アプリアクセス | iOS / tvOS | 許可リスト or 拒否リストでアプリを制御。電話/設定/Business Essentialsアプリは拒否不可。適用時に開いているアプリは強制終了される点に注意 |
| ロック画面 | macOS / iOS / iPadOS | ロック画面に表示するメッセージ/外観を設定。「このデバイスを紛失した場合は〇〇まで連絡を」などの情報表示が可能 |
| AirPlay | macOS / iOS | 接続先を社内の許可されたApple TVのみに限定 |
| AirPrint | macOS / iOS / iPadOS | 使用可能なプリンターをIPアドレスで指定して配布。ドライバー不要で印刷環境を標準化できる |
| Webクリップ | macOS / iOS / iPadOS | WebアプリのショートカットをホームやDockに配布。社内ポータルへのアクセス標準化に有効 |
| 省エネルギー | macOS | スリープ・WoL・Power Napを設定。ユーザーがローカルで変更しても再起動でプロファイル設定に戻る |
| コンテンツキャッシュ | macOS | App Store/iCloudコンテンツをローカルMacにキャッシュして帯域節約。多拠点や低速回線環境で有効 |
こうして並べると、セキュリティの基本的な構成はApple Business単体でかなりカバーできることがわかる。
アプリ/パッケージ配布
構成カタログとは別に、Apple Businessにはアプリとパッケージの配布機能もある。
App Storeアプリについては、予め「アプリとブックス」で購入したアプリをブループリント経由で配布できる。ただし、Mac向けのApp Storeアプリは選択肢が少ないため、Macアプリの配布にはパッケージ配布を使うのが現実的だ。
macOSパッケージ配布では、App Store外の.pkgファイルをURL+SHA-256を指定して登録し、ブループリント経由で管理対象Macに配信できる。実務的にはGitHub Releases等でアプリのpkgをリリースし、Apple Businessに登録して配布する流れになる。
▼セキュリティチェックシート対応の構成設計
ここからが本題。大手企業のセキュリティチェックシートで問われやすい項目に対して、Apple Businessの構成でどう対応するかを設計した。
自社のセキュリティ方針と照らし合わせつつ、優先度「高」の項目から構成を固めていった。
| チェック項目 | Apple Business構成 | 設定案 | 優先度 |
|---|---|---|---|
| パーソナルFW有効化 | Application Layer Firewall | FW有効+ステルスモード有効。「すべてブロック」は強制しない(AirPlay等に影響)。SentinelOne(EDR)の補完として外部からの侵入口を塞ぐ | 高 |
| 不正ソフトウェアのインストール制限 | Gatekeeper | App Store+確認済みデベロッパ。Finderオーバーライドは拒否(ハード強制) | 高 |
| ノートPCのHDD暗号化 | FileVault | FileVault有効(強制)。暗号化証明書は事前アップロード、秘密鍵はKeeperで管理 | 高 |
| PWのルール(8文字以上・複雑性・自動ロック) | パスワードと画面ロック解除 | 12文字以上・英数字混在必須・自動ロック5分・認証猶予期間は即時 | 高 |
| OSパッチ/アップデートの適用 | ソフトウェアアップデート | 自動アップデート有効(強制)。「重要パッチは30日以内に適用」を構成で担保 | 高 |
| データ持ち出し制御 | iCloud / AirDrop / データ保護 | iCloudバックアップ無効(支給端末)、iCloud Drive業務データ流出リスクあれば無効、AirDrop制限、管理対象外アプリへのデータアクセス禁止、ペーストボード制御 | 高 |
| 端末認証・デバイス証明書 | 証明書 | 社内CA証明書があれば配布。将来的にデバイス証明書+SSO認証で「管理デバイスのみアクセス可能」を担保 | 中 |
| Webフィルタリング | Webフィルタ | ブロックドメイン登録(最大100件)。ただしiOS監視対象デバイスのみ有効 | 中 |
| 利用アプリの制御 | アプリアクセス | 許可リスト方式で業務アプリのみ許可。支給iPad・キオスク端末の用途制限 | 中 |
| リモートアクセス時のVPN利用 | VPN | 優先度含め要確認。ゼロトラスト構成との整合性を見ながら判断 | 中 |
▼構成設計で迷った・議論になったポイント
構成案を作る中で、いくつか「ここは要議論」となったポイントがある。同じような設計をする人の参考になれば。
iCloudの制御をどこまで厳しくするか
iCloudは業務データの流出経路として最もリスクが高い項目の一つだ。ただし、全部無効にすると利便性が著しく落ちる。
結論として、以下のように切り分けた。
| 設定項目 | 設定値 | 理由 |
|---|---|---|
| iCloudバックアップ | 支給端末は無効推奨 | 業務データが個人iCloudに流出するのを防止 |
| iCloud Drive | 業務データ流出リスクがあれば無効 | Google Driveを正とするなら二重管理を防ぐ意味でも無効が妥当 |
| iCloud Keychain | 組織方針次第 | Keeperなど別のパスワードマネージャーを使っていれば無効で良い |
| iCloud同期を管理対象アプリに許可 | いいえ | 管理対象データの流出経路を塞ぐ |
| AirDropを非管理対象扱い | はい | AirDrop経由での業務データ流出を防止 |
| 消去 | 支給端末は無効 | ユーザーによる端末ワイプを防止 |
「何を守りたいのか」を先に決めること。「とりあえず全部止める」は現場の反発を招くだけで、継続的な運用に支障が出る。「業務データが個人クラウドに流出しない」という守りたいラインを明確にして、それ以外は柔軟に対応するのが現実解。
パスワードポリシーの文字数
セキュリティチェックシートでは「8文字以上」が一般的な基準だが、今回は12文字以上に設定した。
理由はシンプルで、8文字ではブルートフォース攻撃に対する耐性が低すぎるからだ。特にMacのログインパスワードはFileVaultの復号鍵にも紐づくため、ここのポリシーを甘くするとディスク暗号化の意味が半減する。
Apple Businessの仕様上、BYOD iPhoneに対しては「6文字以上+単純不可」しか適用できない。ここは構成の限界として受け入れるしかない。組織所有のiPhoneであればフルにポリシーを適用できるが、BYODは別枠で考える必要がある。
Firewallの「すべての着信接続をブロック」を強制するか
結論として「強制しない」にした。
これを有効にするとAirPlayやAirDrop、Bonjourなどの内部通信も含めて全てブロックされてしまう。会議室でのAirPlay利用など、業務に支障が出るケースが想定された。SentinelOne(EDR)を導入済みだったので、ファイアウォールはあくまで補完的な位置づけとした。
構成カタログのUI上に副作用が表示される設計になっていて、ここはAppleらしい親切さを感じた。
FileVaultの復旧キー管理
Apple Businessの仕様上、FileVaultの復旧キーを管理画面から直接確認できない(ダウンロード+手動復号が必要)。
これは正直不便だった。Jamf Proであれば復旧キーをインベントリから確認できるので、ここはJamf Proとの併用が現実的な判断ポイントになる。今回は秘密鍵をKeeperで別途管理する運用にした。
▼Jamf Proとの使い分け
Apple Businessの組み込みMDMがここまで充実すると、「Jamf Proは不要になるのか?」という疑問が出てくる。
結論から言うと、規模と要件次第だ。
・Appleデバイスのみの環境で、台数が数十台規模
・セキュリティポリシーが標準的(構成カタログでカバーできる範囲)
・カスタムスクリプトの実行や動的グルーピングが不要
・外部MDMのライセンスコストを抑えたい
・年次のMDMトークン更新作業をなくしたい
・カスタムスクリプトでMacへの細かな設定変更が必要
・設定の適用タイミングを細かく制御したい(ポリシー機能)
・デバイスやユーザー情報に基づく動的グルーピングが必要
・FileVaultの復旧キーを管理画面から直接確認したい
・Windows混在環境でIntuneとの連携が必要
・100台超の規模でセキュリティ監査が厳しい環境
個人的な所感としては、50名以下のスタートアップでAppleデバイスのみの環境であれば、Apple Business単体で十分に運用できる。
逆に、100名を超えてきたり、セキュリティ監査が厳しくなってきた段階ではJamf Proへの移行を検討する、という段階的なアプローチが現実的だ。Apple Business単体の組み込みMDMでまず固めて、成長に合わせてJamf Proに移行する——コスト的にもスキル的にも、この順序が一番無理がない。
▼まとめ
- ▶ Apple Businessの登場により、無料でAppleデバイスのセキュリティ構成管理がここまでできるようになった
- ▶ セキュリティチェックシートで問われる主要項目(FW、ディスク暗号化、パスワードポリシー、OSアップデート強制、データ持ち出し制御)はApple Businessの構成カタログでほぼカバーできる
- ▶ 一方で、復旧キー管理の不便さ、カスタムスクリプト・動的グルーピングの不在など、エンタープライズ向けの要件には限界がある
- ▶ 「まずはApple Businessで始めて、成長に合わせてJamf Proに移行する」が、スタートアップ期の情シスにとっては最もコスパの良い選択肢
📅 30分無料相談、受け付けています
「Apple Businessの構成を一緒に設計してほしい」「Jamf Proとの使い分けを相談したい」——そういった段階からお気軽にどうぞ。
📅 30分無料相談を予約する →