この記事について

Apple社デバイス管理者にとって悲願(?)のApple IDがIdP(今のところAzureADだけ？)によるログインが可能になったので検証してみました。
結論から言うと、 「まだ社内展開は早いかな...。」 という所感を持ったのでそこについて触れていきます。

ちなみに、現状、フェデレーションログインによるメリットが享受できる企業としては下記になると考えています。(詳細は後述)

「会社設立したてでこれからApple IDを管理する」といった企業。
「Apple ID用のサブドメインを用意する」といった企業。

フェデレーションログインによる「メリット」

ユーザー(社員)はAzureADによるID/PASSでログインできる。MFAもAzureADのものが使える。
AppleIDを新規作成したときに「レビュー」と呼ばれる入力が不要になる。(ID毎にクレジットカード情報入力したり、住所入力したりとしないといけないので新入社員にとっては苦痛でしかない)

なんといってもメリットは1につきると思います。
2についても、新入社員はiPhone/iPadを支給されたらAzureADでログインする"だけ"で良くなるのでとても簡単になります。
...とここまではメリットしかなくて「最高だぜ！！！ﾋｬｯﾊｰ！」なんですが、デメリットもあります。大きすぎるデメリットが。

フェデレーションログインによる「デメリット」

既存のApple IDはフェデレーションログインに移行できない。
AppStoreでアプリ購入するときに、TouchID/FaceIDが使えなくなる。
ユーザプロビジョニングが自動ではない

最大のデメリットは1ですね。
おそらく、会社展開の場合は、「会社使用のメールアドレス」にApple IDを紐付けていると思います。
そして、大多数の方はフェデレーションログインする際にメールアドレスのドメイン部でフェデレーション設定をしたいと思うはずです。
ところが...今回のフェデレーション設定をすると今回のケースのような場合、既存ユーザは別Apple ID作成を強制されます。しかも別ドメインに！

例：会社のメールアドレスがtaro@hoge-apple.comであり、AppleIDもそのメールアドレスで作成した場合。

管理者がhoge-apple.comドメインをAzureADによるフェデレーション管理下に置く。(今回のリリース内容をやる)
taro@hoge-apple.comはAppleから「60日以内にApple IDを別のものに変えなさい」とメールが届く。
別メールアドレスとして、例えばtaro+old@hoge-apple.comとして登録しようとする。
上記アドレスのドメイン部がフェデレーション管理下に置かれるので、エラーになってしまう。
泣く泣くicloud.comのIDなどにApple IDを変更せざるを得ない。
- 課金済みのAppや、電話帳、iCloudストレージなども新Apple IDに移行されてしまう！
taroは新たにtaro@hoge-apple.comとしてAzureADにログインして、"データも何もないまっさらな"Apple IDを使用する。

こんな事態になります。
つまり...

Apple IDを多量に展開済であればあるほど、フェデレーションログインへの移行は難しくなるわけです。。

じゃあ、どうしたらいいの？

現実解としては下記のようになるかなと考えます。
(ぜんぜん、現実的ではないがこれくらいしか打開策が思いつかない)

既存社員→今まで通り、ID/PASSによるApple IDを継続してもらう。
新入社員→Apple ID用の 別ドメイン を取得し、そのドメインを使用してフェデレーションログインをする。
- 例：上記例の場合、 taro@appleid.hoge-apple.com といったサブドメインを切るなどが現実的じゃないかと。

設定方法

さて、ここからが本題。
デメリットがとても大きいリリースですが、メリットもゼロじゃないのでいざ設定をしてみようと思います。

手順は公式サイトの下記を参考にやります。
support.apple.com

前提として下記が必要なので準備しておいてください。

ABM(Apple Business Manager)の登録。(詳細は割愛します)
Azure ADのグローバル管理者ユーザ
Azure ADのグローバル管理者ユーザに「姓」「名」を登録しておく。

support.apple.com

前提：

事前にフェデレーション先Azure Portalにログインしておきます。
- ※グローバル管理者権限のユーザでのログインが無難です。
ABMにログインします。
「設定」を選択します。
「アカウント」を選択します。
「Federated Authentication」から「編集」を選択し、「接続」ボタンを押します。
ポータルにサインインしろと言われ、許可設定を求められるので「承諾」します。(SAMLではなく、Directory APIを叩くんですね)
ABMの画面に戻り、管理対象のドメイン名を入力して「続ける」を選択します。
また、Azureへのサインインが求められるので対応します。
- ちなみにこの段階でAzureAD側のグローバル管理者ロールのユーザに姓名が登録されていないとエラーになります。
登録が成功すると、下記のようにユーザ名の競合のチェックが走ります。競合って？と思ったのですが「既に登録ドメインを使ったApple IDが作成されてないか」チェックするみたいです。
- ちなみに下記にも自動的に追加される模様
「アクティビティ」に登録ドメインとバッティングしているApple IDの数が出るので対処します...と言いたいとこですが どのApple IDがバッティングしているかは教えてくれません (つらい...)
というわけで、「設定」-「アカウント」-「Federated Authentication」でフェデレーションを有効化します。
すると、フェデレーション登録済のユーザが居た場合、下記のようなメール(脅迫メール)が届くようになるので60日以内にユーザ側で移行作業をしてもらいます。
- ちなみにログインするとこうなります。
以上

無理やり既存Apple IDをフェデレーションIDにマイグレーションできないかあがいてみた。

ここで、「もともと使っていたApple IDを入力したらフェデレーションユーザにマイグレーションされるんじゃ...?」と淡い期待を込めてやってみますが、 できませんでした AzureAD認証に成功しても下記ウィンドウが再び表示されループします。
ABM側から社員によるID移行前に、既存のApple IDを指定して無理やりマイグレーションできないか試みましたが、これも失敗...。
いっそのことマイグレーションしないで放置してみる(フェデレーションログインとの混在を目指す)とも考えたのですがこれもNG...。
- Apple ID移行しないとApple側が強制的にApple IDをテンポラリのものへと置き換えるそうです。
- support.apple.com
  - Apple から最初の通知が届いてから 60 日以内に Apple ID を更新しなかった場合、Apple ID は @temporary.appleid.com を含む仮のユーザ名に変更されます。たとえば、john@example.edu changes は john-example.edu@temporary.appleid.com に変わります。