さてさて、前回共有 iPad の記事で Apple Business Manager と Azure AD の連携について記事を書きますと予告しましたので、今回は ABM と Azure AD の連携について書いてみたいと思います。
　今回は Azure AD を単独で準備するのではなく、Office365 に付属の無料版 Azure AD でやってみたいと思います。ですので、タイトルの通り ABM と Office365 の連携ということになります。今回の記事は少し長いですが、最後までお付き合いください！

Office365 には、Office365 ユーザを管理するために Azure AD が用いられています。これを無料版 Azure AD と呼んでいます。Offiec365 の管理者は、Azure AD ポータルにも同じ管理者アカウントでログインができます。ある一定以上の機能を利用するには、Azure AD Premium P1 や P2 が必要となりますが、通常の SAML2.0 認証で連携するのであれば、無償版のまま利用可能というわけです。
​

ABM と Office365 の連携のステップは割と簡単です。

1. ABM にログイン
2. 設定＞アカウント＞編集で、連携したいドメインを追加する（実際に存在する Office365 アカウントのドメイン onmicrosoft.com は使えません）
3. 対象ドメインの DNS レコードに、TXT レコードを追加
4. 設定＞アカウント＞編集の連携したいドメインで「確認」を実施
5. 設定＞アカウント＞編集＞Federated Authentication を有効にする
6. 設定＞アカウント＞編集の連携したいドメインで「連携」を行う

気をつけていただきたいのは、ABM へのログインが全てフェデレーションされるわけではないということです。そうならないために、実際に管理対象Apple ID として連携したいドメインを指定します。連携するドメインは実際に利用されている Office365 アカウントと同一のドメインでなければなりません。

ABM にドメインを追加すると、apple-domain-verification という TXT レコードの値が出力されます。この値を DNS レコードに追加して、確認ボタンを押すと、ABM はそのドメインが実際に存在するかどうか確認を行います。

Federated Authentication で「接続」ボタンを押すと、Microsoft Azure ポータルにサインイン画面が表示されます。ここでは Office365 の管理者アカウントでサインインを行ってください。正常に連携が行えると、以下のような表示に切り替われば連携は完了です。

今回当社で実際に sbintegration.com というドメインを連携したのですが、このドメイン内のアカウントで既に Apple ID として利用実績がある場合には”競合”エラーになります。

このエラーが出た場合ですが、ログをダウンロードしても、どのアカウントが Apple ID に利用されているかは分かりません。通常は Apple ID の管理はIT管理者がしていると思われますが、もし分からない場合は地道に My Apple ID でサインインを試すということになりそうです。

さて、競合している Office365 アカウントには以下のようなメールが自動で送信されます。https://appleid.apple.com で対象IDでサインインを行うと、メールアドレスを変更するよう促されます。サインイン後に Apple ID を変更することも可能です。この競合を解決しないと、60日後に競合しているメールアドレスの Apple ID は利用できなくなりますのでご注意ください。

Federated Authentication が連携済で、ドメインの連携をONにすれば ABM と Office365 の連携は完了です。Office365 上のユーザはライセンスを持っているユーザでも良いですし、ライセンスを持たないユーザでも問題ありません。試しにABMで Office365 でサインインしてみてください。以下のような画面になれば連携は成功しています。（実際にはABMのサインインはエラーになりますよ）

DEPで登録済みの iPad に実際に Office365 アカウントで管理対象Apple ID としてサインインしてみましょう。実際の動作については動画をご覧ください。

iPad にサインインすると、Office365 アカウントで iMessage や FaceTime が使えることが分かります。
さて iPad に管理対象 Apple ID でサインインした後に、Apple Business Manager にサインインしてみると、Office365 のアカウントが追加されているのが確認できます。ロールは職員という形ですので、デバイス側で iCloud として利用できる他、ABM へのサインインはできません。

いかがでしょうか？Apple Business Manager と Azure AD の連携で、iOS デバイス、iPadOS デバイスがより便利になること請け合いですね！
もっと詳しいお話しが聞きたいという方は、どうぞ何なりとお問い合わせいただけますと幸いです。
では、最後までお付き合いいただきありがとうございました！ではまた！

　うーん、これはまた･･･随分と iPad が違うデバイスに生まれ変わった瞬間に思えます。トラックパッドがあるだけでここまで変わるか？！と思えるレベルで、これは最早PCではないか！と喜びいさんで色々やってみた結果。

　　”ほな、PCちがうかぁ〜"

となってしまった顛末について書いてみたいと思います。

　キーを叩いた感じは初期の VAIO を彷彿とさせるライトで且つしっかりとした打鍵感があり、Smart Keyboard 系のヘコヘコした感じとは打って変わってPC感が滲み出ます。今後の MacBook はこのキーボードになると聞くと、MagicKeyboard 搭載の MacBook が欲しくなるレベルです。ESC キーが無いことが iPad なのねと一瞬思わせせはするものの、トラックパッドも安っぽいペコペコ感が無くて、マルチジェスチャーと相まって Macユーザにも違和感がありません。

”ほら浮いてる" ･･･確かに！画面を一番傾けた状態だと、テンキーにガシガシ指が当たって痛いですｗ ここは次回改善されると良いなと思われるポイント。とても素晴らしいなと思うのは、USB-C ポートがヒンジ部分に付いたことで、ケーブルがプランプランしなくて済むことです。このちょっとした気遣いが、iPad じゃない感を引き立たせてくれます。
以前の Smart Keyboard は子供の変身合体ロボみたいにガチャガチャしてて、変なところが盛り上がってて、使い勝手は悪く、打鍵感も安っぽく、デザイン的にスマートとは言い難い物で私は大嫌いでした。今回の Magic Keyboard こそ、使い勝手、デザイン、打鍵感全てを備えた"スマート"なキーボードに仕上がってると自信を持って言えます。

　キーボードとしての操作性はほぼ Mac と等しく以下のようなキーが普通に使えます。ESC が無いので一瞬探す癖がありますが確かに要らないですよね。ふむ。

Apple 曰く iPadOS でのマルチタスクはここに記載の通り Slide Over , Split View を使うのだが、全ての起点は DOCK となる仕様というのが少々難解というか常に DOCK に全てのアプリがあるわけじゃないし、結局ホーム画面に戻ってアプリをタップして切り替えるという動作がどうも忙しない。Split View なんかをスマートに使えたら便利そうなのだが、あるアプリを起動していて下にポインタを移動しても DOCK が出てきたり出てこなかったり･･･結局ホームに戻って･･･という事になるのがやっぱり iPad なんだよねこれと思わせる所以。

　なんだよ、これはもうPCじゃないかー！と喜びも露わに、Apple Business Manager に入って Apple Book コンテンツでも買うかと購入。もう気分はデスクトップ Safari なのでサクサクと購入まで進めたと言いたいけど、まぁ紆余曲折あって Apple Book コンテンツを引き換えコード方式で購入。この引き換えコードをいざダウンロードしようとしたら、***********.csv_______ という謎な名前のファイルが File のダウンロードフォルダーに格納された。こういう場合、PCならファイル名を変えたり、面倒だったらそのままエディタで開いちゃったりという事ができるのだが、iPad というか iOS の仕様でファイルの挙動は全て拡張子で左右される決まりになっている。そのためこのファイルを選択すると、得たいの知れないファイルであることを知らされ、「別のアプリを使用してこのファイルを開いてください」と言われるので、いろんなファイルを試して見たが結局このファイルを開くことはできなかった。
　Apple のサービスが、Apple のデバイスで読めないファイルを吐き出すのもどうかと思いはするが、このようなケースは結構ある。iOS ではテキストファイル .txt の挙動もかなり怪しい。ファイルを扱うデバイスという観点で言うと、iPad は色んな制約の下でしか使えないという事を思い知らされる。
　だから iPad + Magic Keyboard が本当にお勧めなユーザは、PC を持っていてもYouTube観たり、ブラウザでインターネットサーフィンしたり、SNS で誰かと交流したりというライトユーザ？、であれば十分事足りると思われはするのだが、12.9" の iPadPro が 129,000円、Magic Keyboard が 37,800円でこの2つを足すと 166,800円であって、Core i7 + 8G RAM + SSD512G くらいのPC買えちゃうんじゃない？とか思ったりもするが、でもPCってウィルスソフトを更新したり、OS のアップデートしたり、メンテナンスが結構リテラシーの低いユーザさんにとっては難儀な物であるのは確かなので、Zip ファイルの解凍なんて年に一回くらいしかしないよって人で、メールやメッセージ利用、基本写真や動画やSNSやWebを楽しむ、そして沢山あるアプリでエンターテインメントも、ストリーミングのNetflixやHuluや Amazon Prime などの動画も楽しむ。こんな方なら確かに iPad Pro はまたとないPCライクな体験もできる素晴らしいデバイスなんじゃなかろうかと思いました。いやむしろPCを越えるデバイスだとすら思えます。
　今、私は MacBook Pro と、iPad Pro 12.9" with Magic Keyboard を持ち歩いていますが、最近では取り出すのは圧倒的に iPad Pro が増えてきています。メールや Slack をチェック、返信なんて作業だったら間違いなく iPad Pro の方がライト＆クイックです。
　MacBook Pro でターミナルをしょうっちゅう開いて、コマンドを叩きまくってるもう１つの顔を持ってる私にとって、ワオッ！PCじゃんこれ！と思った気持ちは、「ほなPC違うかぁ〜」とも思わされましたが、しかししかし iPad Pro がとても魅力的なデバイスに大変身したなぁと感銘も受けているというワケなのです。iPad Pro 11" か iPad Pro 12.9" 2020 をお持ちの方には Apple Pencil より先に Magic Keyboard の購入をお勧めします。ではまた！！

　外出自粛と天気のせいもあって、家にいても暇なので今までやれなかったことを色々やってみようてことで本を読んだり、検証したり、これはこれで楽しい日々ですが、いつまで本当に続くんでしょうね？もうスーツも着る日が来ないんじゃないかと思ったりしてしまいますが、社会の構造がなんとなく変わってしまうかもしれないですね。

　さてさて、ここのところ、共有iPad で色々遊ぶのが楽しくて仕方ありません。改めて色々とりまとめてみたので、共有 iPad についておさらいかねて書いていこうと思います。

　共有iPad を利用するために JamfPro にも色々改良が加えられています。まずここらへんから見ていきましょう。

　「共有iPadを有効にする」チェックボックと、ONにした場合の最大人数（10人まで）を指定できます。当然のことですが、共有 iPad にしたいデバイスだけのために Prestage を1つ（または複数）作成しなければなりません。

　「ユーザーが管理対象のApple IDを持っている場合、Volume Purchase に自動的に登録する」チェックボックスが追加になりました。管理対象 Apple ID でサインインしているユーザに対しては、基本 User base VPP という形になりますが、このチェックをONにしておくことでサイレントインストールが可能になります。

　「共有iPad の一次セッションを許可する」という制限項目が追加になっています。何のこっちゃら？という感じですが、英語表記では Allow Shared iPad temporary session となっています。これは、共有 iPad の最近ログインしたユーザ画面の右下にある、ゲストユーザを許可するかどうかという指定になります。禁止にすると、右下のゲストアイコンは消去されます。

　「パスコードの猶予期間を更新」（Update Password Grace Period）というリモートコマンドが追加されました。共有iPad ではデバイスにログインするためには管理対象Apple ID とそのパスワードが必要になります。デフォルトは即時になっていますので、利用していて画面がロックされるとまた管理対象Apple ID のパスワードを入れなければなりません。そのため、一度管理対象Apple ID でログインした後は、何分間までロックされてもパスワード不要で入れるようにするかという値を設定するものです。詳しい皆さんなら、パスコードペイロードの中にあった項目と同じと気づかれると思いますが、パスコードペイロードは共有iPad では使用できませんので、こちらのコマンドを使って設定を変更します。最大4時間まで設定できますよ。
　「ユーザのログアウト」（Log Out User）というリモートコマンドが追加になっています。これはログイン中のユーザを強制的にログアウトするコマンドですね。

　インベントリには共有ipadユーザが追加になっています。JamfPro 側からはログインしているユーザの削除を行うことができます。また、前述のログアウトコマンドを利用すればユーザを強制的にログアウトさせることもできます。

　Apple Business Manager では、職員でユーザを作成するか、Azure AD を IdP としたフェデレーション設定することで、Windows の資格情報をそのまま ABM の管理対象Apple ID として利用することも可能になります。

　何度も書いていますが、マルチユーザ環境となった共有ipad へのログインは管理対象Apple ID を用います。Microsoft Azure AD にフェデレーションされていれば、Windows のログイン資格情報が使えます。ログアウトは電源ボタンを押してロック画面にし、そこからログアウトを行います。

　前述した通り、ロックするたびに ABM の管理対象Apple ID のパスワードを入れないといけないため、パスワードの猶予時間の設定は必須な気がしています。（4時間は流石に長いですが）

　共有 iPad のホーム画面では、左上にログイン中のユーザの名前が表示されます。
　ユーザはアプリを削除したり、アプリの位置を変更したりできません。これができない理由は、共有 iPad はデフォルトでホーム画面レイアウトのペイロードが適用されているのと同じ状況になります。
　左の図のホーム画面は、ホーム画面レイアウトのペイロードを用いて、アイコンの位置を明示的にレイアウトしています。

　というわけで、共有 iPad を色々使ってみて思ったことは、なかなか使い道がありそう！ってことですね。少しだけ皆さんにもイメージできればと思い書いてみました。では最後までお付き合いいただきありがとうございました。