お問い合わせ
STRATEGY NOTE — 157

Google Endpoint Management iOS 新設定:有効化の判断軸

PUBLISHED2026.06.15
READ11 分
CATEGORYSTRATEGY

2026年6月4日、Google Workspace の Endpoint Management に新しい iOS MDM(モバイル端末管理)設定カテゴリが一般提供(GA)されました。この記事では、追加された設定の概要と、会社支給デバイス・BYOD それぞれで何を有効化すべきかの判断軸を整理します。

この記事を読んだほうが良い人

  • Google Workspace の Endpoint Management で iOS デバイスを管理している情シス担当者
  • 会社支給 iPhone と BYOD の両方を同じ組織で扱っている方
  • 2026年6月の新設定 GA を受けて、どの設定を変更すべきか判断軸を探している方
  • Writing Tools 制御・App Clips 制限・代替マーケットプレイス禁止の要否を検討中の方

Google Endpoint Management iOS 新設定の全体像

今回 GA になったのは、ネイティブ Apple MDM プロトコルを活用した新カテゴリの設定群です。Google Workspace の Endpoint Management 画面に以下の 6 カテゴリが追加されました。Google Workspace Updates(2026年6月4日付)によると、段階ロールアウトは最大 15 日間で完了し、すべての Google Workspace エディションが対象です。

これまで Google Endpoint Management から制御できなかった「iOS 18.1 以降の AI 機能」「EU で解禁された代替アプリ配布経路」「アプリ間のクリップボード制御」という 3 領域が、同じ管理コンソールで一括して管理できるようになった点が今回の更新の要点です。既存の Endpoint Management 管理ポリシーに統合される形で追加されるため、別途ツールを用意する必要はありません。

Apps and Services(アプリとサービス)

アプリの動作や配布に関わる設定が集まったカテゴリです。

  • Writing Tools:iOS 18.1 以降の Apple Intelligence による文書書き換え・要約機能の制御
  • App Clips:URL や NFC タグから起動できる軽量アプリ機能(iOS 14 以降)の制御
  • 代替マーケットプレイスからのアプリインストール:App Store 以外からのアプリ取得(iOS 17.4 以降・EU 向け)
  • Web 経由のアプリインストール
  • アプリ内購入
  • アプリの非表示・ロック

Safari

Safari の動作を制限するカテゴリです。閲覧履歴の削除制限やプライベートブラウジングの無効化が含まれます。業務端末でのプライベートブラウジングを組織ポリシーとして禁止したい場合の制御手段として機能します。

Device Features(デバイス機能)

端末レベルの機能を制御するカテゴリです。デフォルトブラウザ変更の制限、iPhone ミラーリング(macOS との画面共有機能)、通話録音、RCS メッセージング、eSIM 転送などが含まれます。このうち iPhone ミラーリングは、iOS 18 と macOS Sequoia を組み合わせると Mac の画面上に iPhone の全画面が表示される機能です。会議中に業務端末の画面が映り込むリスクを防ぎたい場合、制限を検討する価値があります。

Backup & iCloud Sync(バックアップと iCloud 同期)

iCloud バックアップの制御(スーパーバイズドデバイス限定)、ドキュメント同期、エンタープライズブックのバックアップが対象です。

Authentication(認証)

Touch ID(指紋認証)の利用可否など、端末ロック解除に関わる認証制御が含まれます。特定の認証方式のみを許可する運用が必要な組織では、このカテゴリの設定を参照します。

Data Sharing(データ共有)

マネージドペーストボードと呼ばれる設定が対象です。業務アプリと個人アプリ間のコピペ(クリップボード)操作を制限します。

情シスが優先的に確認すべき新設定

6 カテゴリの中でも、情報セキュリティや運用リスクに関わる設定を取り上げて解説します。

Writing Tools の制御

Writing Tools は Apple Intelligence の機能で、iOS 18.1 以降のテキストフィールドで自動的に動作する文書修正・書き換え・要約機能です。テキスト入力中に「ツール」メニューから呼び出せるほか、ユーザーが意識しなくても発動する状況もあります。

2026年1月に導入された GWS アプリ(Gmail / Drive / Docs 等)向けの Writing Tools 制御はアプリ単位での制御でしたが、今回の MDM 設定は iOS OS 全体に作用する別の制御です。GWS アプリ外のテキストフィールド(メモアプリや他社アプリ等)にも適用される点が大きく異なります。

業務文書での懸念は主に 2 点あります。

1 つ目は、内容の意図しない変換です。契約書の草案や会議メモを入力した際に AI が文章を書き換えた状態でコピーされると、原文と差異が生じます。特に英語テキストは自動変換が活発なため、グローバル拠点を持つ組織は注意が必要です。日本語対応は順次追加されている段階で、今後さらに動作範囲が広がる見込みです。

2 つ目は、データ処理の経路です。Apple Intelligence の一部処理はデバイス上で完結しますが、より複雑な要求は Apple のプライベートクラウドインフラを経由します。Apple はこの仕組みのプライバシー設計を公開していますが、社内規定や業法上のコンプライアンス要件と照合した上で判断するのが安全です。「クラウドに出してよいデータかどうか」を確認しきれていない段階では、会社支給デバイスで無効化を先行させる判断は合理的です。

BYOD ではユーザーのプライベート利用にも影響するため、仕事用プロファイルのアプリ内のみで制御が効くかどうか確認した上で判断します。

代替マーケットプレイス MDM 禁止

EU のデジタル市場法(DMA)対応として iOS 17.4 以降で追加されたこの機能は、App Store 以外のサイトからアプリを取得できるようにするものです。現時点では日本国内の一般ユーザーには解放されていませんが、EU 拠点を持つ企業やグローバルに端末を配布している組織では、設定を明示的に無効化することを推奨します。

App Store のレビューを経ないアプリは、マルウェアや情報窃取ツールが混入するリスクが否定できません。EU の規制が将来的に他地域に拡大したり、EU 向けリージョン設定を持つ端末への対策として、MDM 側で一律に禁止しておくのが安全策として機能します。設定変更のコストは低く、ユーザー体験への影響もほぼないため、会社支給・BYOD ともに早期に対応することを勧めます。

iCloud バックアップ GWS 制御

iCloud バックアップの制御は、Apple Business Manager(ABM)または Apple School Manager で管理されたスーパーバイズドデバイス(会社支給端末)にのみ適用できる設定です。非スーパーバイズドの BYOD 端末には効きません。

iCloud バックアップの対象データには、端末内のメール・連絡先・カレンダー・メモ・写真・アプリデータ(アプリ側が許可した範囲)が含まれます。機密情報を扱う部門の会社支給端末では、個人の iCloud アカウントへの自動バックアップが社内ポリシーや業法上の規制と整合するかを確認する必要があります。

無効化する場合、運用上の注意点が 1 つあります。端末の機種変更や修理後の復元時に、ユーザーが手動でデータを移し替える手順が必要になります。ABM の「アクティベーションロック管理」と連携した端末移行フローを先に整備してから、バックアップ制御を適用するのが現実的な順序です。手順が整っていない状態で先に無効化すると、機種変更のたびにヘルプデスクへの問い合わせが集中します。

BYOD への適用は推奨しません。ユーザーのプライベートデータのバックアップ手段を奪うことになり、従業員体験の面でトラブルの原因になります。

iOS MDM App Clips 制限

App Clips は URL や QR コード、NFC タグなどから起動できる軽量アプリです。インストール不要で特定機能だけを利用できる仕組みで、飲食店の注文やカーシェアのキー操作などのユースケースが典型例です。

セキュリティ観点でのリスクは「管理外のコード実行経路」にあります。ユーザーが悪意ある QR コードを読み取った際に、App Clips を経由して偽の決済 UI や認証画面を表示する攻撃手法が指摘されています。管理外のアプリ機能が端末上で一時的に動作するため、業務で App Clips を利用する社内システムが存在しないのであれば、会社支給デバイスで制限しておくのが無難です。

BYOD ではユーザーの日常利用に干渉する可能性があるため、様子見が現実的な判断です。社内で App Clips を活用する業務システムが存在するかを先に確認してから、制限の適用範囲を決めます。

マネージドペーストボードによるデータ漏えい防止

マネージドペーストボードは、MDM 管理下の「マネージドアプリ」から管理外の個人アプリへのクリップボードコピーを制限する設定です。

仕組みとしては iOS の「Open In 制限」(MDM ポリシーで管理アプリから非管理アプリへの文書共有を禁じる設定)と連動した多層防御です。たとえば Gmail(マネージドアプリとして配布)でメール本文をコピーした場合、個人の LINE アプリへの貼り付けが制限されます。業務データが個人アプリを経由して外部に漏えいするリスクを低減する点で、DLP(Data Loss Prevention、データ損失防止)の補完策として機能します。

実装前に確認しておくべき点があります。「どのアプリがマネージドアプリとして登録されているか」を整理することです。範囲が狭すぎると、業務アプリ間のコピペも意図せず制限される場合があります。展開前に情シス自身の端末でテストし、業務フローに支障がないかを確認してから全体適用します。会社支給・BYOD いずれにも有効化を検討できますが、BYOD では仕事用プロファイル外のアプリには影響しないことも合わせてユーザーに説明しておくと、問い合わせを減らせます。

会社支給とBYODで変わる判断基準

設定の要否はデバイスの管理形態によって異なります。以下の表を判断の起点として使ってください。

設定 会社支給(Supervised) BYOD
Writing Tools 無効化を推奨 仕事用プロファイルでの挙動を確認後に判断
App Clips 無効化を推奨 様子見(ユーザー体験への影響を考慮)
代替マーケットプレイス 無効化を推奨 無効化を推奨
iCloud バックアップ 組織ポリシー次第(機密データなら無効化) 有効のまま維持
マネージドペーストボード 有効化を推奨 有効化を推奨
アプリ内購入 無効化を推奨 様子見

この表はあくまで起点です。自社のセキュリティポリシー・業務要件・従業員の役割によって結論は変わります。特に BYOD は「業務アプリ内のみの制御か、デバイス全体への制御か」を事前に整理した上で設定を進めることが大切です。

組織内で役割・部門によって機密度が異なる場合は、Google グループや組織単位(OU)を使ったポリシー分割が有効です。たとえば経営層の端末には iCloud バックアップ無効化とマネージドペーストボードを適用し、現場スタッフの端末には代替マーケットプレイスの禁止だけにとどめるといった差をつける運用が現実的です。全社一律で最も厳しい設定を当てると業務フローへの影響が出やすくなるため、まずリスクの高いカテゴリで段差をつける判断が有効です。

有効化の進め方:段階的アプローチ

全設定を一度に適用するよりも、リスクと影響範囲を見極めながら段階的に進める方が安全です。以下の順序を参考として提案します。

ステップ1(即日対応)

代替マーケットプレイスの禁止です。セキュリティリスクが明確で、ユーザー体験への影響はほぼありません。情シス側の追加作業も不要なため、まずここから着手します。

ステップ2(早期適用)

マネージドペーストボードとアプリ内購入の無効化(会社支給のみ)です。業務データの漏えいリスクと不要課金を防ぐ効果がすぐ得られます。展開前に情シス自身のテスト端末で業務フローへの影響がないかを確認し、問題がなければ全体に展開します。ユーザー向けに「コピペに一部制限が入る」旨を事前告知しておくと、問い合わせを減らせます。

ステップ3(計画適用)

Writing Tools と App Clips の制御です。社内の iOS バージョン分布を確認し、組織内デバイスの過半数が iOS 18.1 以降になったタイミングを目安に適用します。iOS 18.1 より前の端末には影響しないため、急ぎすぎる必要はありません。変更の 1 週間前にユーザーへ告知メールを出し、「テキスト編集時のツールメニューが一部変わる」という内容で事前説明しておくと、現場の混乱を防げます。

ステップ4(運用設計が必要)

iCloud バックアップの制御です。ABM(Apple Business Manager)でスーパーバイズドデバイスとして管理されている端末の台数と対象範囲を確認し、端末移行手順の整備を先行させてから変更します。機種変更・修理時のフローが整備されていない状態で先行して適用すると、現場からの問い合わせが増える原因になります。

設定の反映は、管理コンソールから変更後、最大 24 時間で端末に届きます。一部の設定はスーパーバイズドデバイス限定のため、ABM との連携状況を事前に確認しておくことで、意図通りに機能するかを確かめられます。

設定適用後に確認すること

設定を展開したら、意図通りに機能しているかを以下の観点で確認します。

  • 代替マーケットプレイスの無効化:テスト端末の設定アプリから代替マーケットプレイス関連のメニューが消えているかを確認する
  • マネージドペーストボード:マネージドアプリから個人アプリへのコピペを試み、制限されているかを確認する
  • Writing Tools:iOS 18.1 以降のデバイスのテキストフィールドで Tools メニューが表示されないことを確認する
  • iCloud バックアップ:設定変更後に端末側の iCloud バックアップ設定がグレーアウト(変更不可)になっていれば正常適用

管理コンソールのデバイス管理画面では、ポリシーの適用状況をデバイスごとに確認できます。適用されていない端末が残っている場合は、端末がオフライン状態にある可能性が高いため、次回オンライン時に自動同期が走ります。急ぎ適用が必要な端末は、ユーザーに端末を一度オンラインにしてもらうよう依頼すると解決します。

今後も Google Workspace の Endpoint Management に iOS 設定カテゴリが追加されていく可能性があります。Google Workspace Updates ブログを定期的に確認し、管理設定の変更が必要な新機能を見落とさないようにすることが、情シス担当者にとっての継続的な実務です。

コーポレートITのご相談はお気軽に

この記事で書いたような業務改善・自動化の設計から実装まで、DRASENASではコーポレートITの現場に寄り添った支援を行っています。 「まず相談だけ」でも大歓迎です。DRASENAS 公式サイトからお気軽にどうぞ。

CONTACT

御社の IT 部門、ここにあります。

「ITのことはあまりわからない」── そのような状態からで、まったく問題ございません。まずはお気軽にご相談ください。

無料相談を予約する → サービス詳細を見る
一社ずつ、一から。