developersIO
Jamf で Apple アカウントを追加できないよう制御してみた

Jamf で Apple アカウントを追加できないよう制御してみた

jamfくらめその情シス情報システム
2026.05.14

はじめに

立神です。Jamf で管理しているデバイスにおいて、業務利用とは無関係な個人の Apple アカウントでサインインされてしまうと、会社デバイスに個人データが紐付いてしまう、アクティベーションロックがかかってしまう(監視対象デバイスでは MDM 経由で解除可能なケースもあります)などのリスクがあります。
今回は、構成プロファイルとスマートデバイスグループを組み合わせて、Apple アカウントを追加・変更できないように制御する方法を紹介します。

ゴール

本記事で実現する挙動は以下の通りです。

  • 一度サインインした後は、サインアウトおよびアカウントの変更ができない

検証環境

  • Jamf Pro バージョン:11.27.1
  • iPad (iPadOS 26.3.1)
  • Apple Business (AB) で Jamf Pro に登録済み

手順

1. 事前登録 (PreStage Enrollment) で Apple アカウントの設定をスキップ

今回は Apple アカウントにサインインする前の挙動を確認するために、セットアップ時にサインインしないよう、スキップする設定を入れました。

事前登録.png

なお、最初から指定のアカウントでサインインしても、以降の設定には影響しません。
誤って個人のアカウントでサインインしてしまうと、アカウントの変更ができなくなりますので注意が必要です。

2. アカウント制限の構成プロファイルを作成

アカウントの設定変更を制限する構成プロファイルを作成します。なお、本制限は監視対象(Supervised)デバイスでのみ機能します。
新規ボタンより作成を開始し、名称には任意の名前を入力します。
ペイロードから「制限」→「機能」を選択し、「アカウント設定の変更」で「制限」を選択します。

構成プロファイル制限.png

3. 構成プロファイルを全デバイスに適用

この構成プロファイルをデバイスに適用する必要があります。
構成プロファイルの Scope より、ターゲットモバイルデバイスですべてのデバイスを選択します。
ここまで完了したら保存をクリックします。

構成プロファイルScope.png

4. デバイスをセットアップして動作確認

想定通り Apple アカウントへのサインインがブロックされるか確認します。
iPad を用意し設定を開くと、Apple アカウントの部分がグレーアウトしてサインインできなくなっていることが確認できます。

サインインできない.png

会社管理下のアカウントにはサインインさせたい

このままでは、会社のアカウントにもサインインできなくなってしまいます。
そのため、未サインインのデバイスは設定を適用しないよう、除外する必要があります。

5. スマートデバイスグループを作成

スマートデバイスグループを作成して Apple アカウントにサインインしていないデバイスを抽出します。
新規ボタンをクリックして作成を開始し、表示名には任意の名前を入力します。
「クライテリア」のタブに移動し、抽出の判定条件を設定します。

Apple アカウントにサインインしているかどうかを判別するクライテリアは iTunes Store アカウント です。
今回はサインインしていないアカウントなので、オペレータに is not を指定し、値に Active を指定します。
なお、オペレータに is を指定して、値に Not Active を指定するのと同様の挙動になります。
設定が完了したら保存ボタンをクリックします。

スマートデバイスグループ.png

6. 構成プロファイルの Scope で除外を設定

作成したスマートデバイスグループを、構成プロファイルの適用外に設定します。
先ほど作成した構成プロファイルの編集ボタンをクリックし、Scope タブに移動します。
構成プロファイルの Scope から除外を選択し、追加ボタンをクリックします。
デフォルトでは「モバイルデバイス」が選択されているため、「モバイルデバイスグループ」をクリックします。
作成したスマートデバイスグループを探し、追加ボタンをクリックします。
完了ボタンをクリックします。

除外に設定.png

画像のようになっていることを確認し、右下の保存ボタンをクリックします。

7. サインインできることを確認

iPad を再度確認すると、グレーアウトしていた部分が選択できるようになっています。

サインインできる.png

タップして Apple アカウントにサインインします。

8. サインイン後、アカウント変更が不可になることを確認

サインイン直後は制限が適用されていませんが、インベントリ更新のタイミングで再びグレーアウトし、変更ができなくなります。

サインイン後にサインインできない.png

以上で設定は完了です。

注意点

前述の通り、すでに個人アカウントにサインインしている場合、サインアウトも実行できないため注意が必要です。
その場合は、構成プロファイルの除外設定に個別で対象デバイスを追加する必要があります。
また、サインイン直後は制限が適用されません。インベントリ更新を待つか、管理者が手動で更新する必要があります。

Mac での設定について

今回はモバイルデバイスを対象に設定を適用しました。
Mac についても同様に制限をすることが可能です。
構成プロファイルから「制限」のペイロードを選択し、システム設定でインターネットアカウントの変更を許可のチェックを外します。

Mac構成プロファイル.png

この構成プロファイルを適用すると、アカウントのサインイン / サインアウトができなくなることが確認できます。

適用前

Macサインインできる.png

適用後

Macサインインできない.png

サインイン後

Macサインアウトできない.png

おわりに

今回は、Jamf Pro の構成プロファイルとスマートデバイスグループを組み合わせて、Apple アカウントのサインイン後にアカウント変更を制御する方法を紹介しました。
業務利用デバイスに個人アカウントが紐付くリスクを抑えつつ、会社管理下のアカウントには問題なくサインインできる運用を実現できます。
ぜひ活用してみてください。

参考資料

モバイルデバイス構成プロファイル • Jamf Pro ドキュメント 11.27.0 • Jamf Learning Hub

デバイスの制限 • Jamf Now ドキュメント • Jamf Learning Hub

コンピュータ構成プロファイル • Jamf Pro ドキュメント 11.27.0 • Jamf Learning Hub

クラスメソッドオペレーションズ株式会社について

クラスメソッドグループのオペレーション企業です。
運用・保守開発・サポート・情シス・バックオフィスの専門チームが、IT・AI をフル活用した「しくみ」を通じて、お客様の業務代行から課題解決や高付加価値サービスまでを提供するエキスパート集団です。

現在当社では Jamf Pro の導入から運用まで、専門チームがお客様の状況に合わせて継続的にサポートしています。

・各種セキュリティ関連項目の設定支援
・構成プロファイル設計支援
・導入後のご質問対応や改善提案

Jamf Pro の導入や運用でお困りごとがございましたら専用ページよりお問い合わせください。

クラスメソッドのエンジニアと1on1で話してみませんか?

選考に関係のないカジュアルな面談です。
「技術スタックや開発環境について詳しく知りたい」「実際のプロジェクト事例を聞きたい」「リモートワークや評価制度について確認したい」など、気になることを直接エンジニアに質問できます。
カジュアル面談に申し込む

この記事をシェアする

関連記事

Jamf Pro のスマートグループとスタティックグループの違いと使い分け
立神 皓基
2026.03.04
くらめその情シス:macOS/iOSでフリーボードの利用を制限してみた
畠山浩樹
2022.12.16
情シスのOJT研修を振り返ってみた
イドンホ
2024.12.16
SelfService+ の変更点をまとめてみた
立神 皓基
2026.02.26