会社で配った iPhone で、商談相手との通話が本人の判断で録音されている。従業員が iPhone ミラーリングで業務メールを私物の Mac に映している。Apple Intelligence の文章生成機能に、顧客名簿の一部がそのまま渡っているかもしれない――こうした「スマホの中で何が起きているか分からない」状態は、これまで Google 管理コンソールからは手の届かない死角だった。
2026 年 6 月 4 日から、Google エンドポイント管理に iOS 向けのネイティブ設定が大量に追加され、一般提供(GA) になった。Apple 純正の MDM 制限項目――通話録音やミラーリングの可否まで含めて――が、管理コンソールから直接設定できる。「Android は細かく縛れるのに iPhone はほぼ放置」だった中小企業の情シスにとって、デバイスポリシーを見直す絶好のタイミングだ。
本記事では、何を止められるようになったのか、自社で使うための前提条件、そして現場の業務を止めずに段階適用する現実的な順序を、Google Workspace 管理者の目線で整理する。
なぜ iPhone は「管理コンソールの死角」になりやすかったのか
Google Workspace のデバイス管理は、もともと Android を起点に発展してきた。iOS は Apple の MDM 仕様の制約上、Google が制御として公開している項目が限られており、「メールとカレンダーはアカウント単位で管理対象だが、端末そのものの振る舞いはユーザー任せ」という中途半端な状態になりやすかった。
特に、通話録音、iPhone ミラーリング、EU で解禁された代替アプリマーケットプレイスからのインストール、Apple Intelligence 系の機能などは、Intune や Jamf といったサードパーティ MDM を別契約しない限り縛れなかった。Google Workspace の料金を払っているのに、iPhone の統制だけは二重投資が必要――そういう構図である。
今回の GA は、この穴を Google が自前で埋めにきた動きだ。Drive のランサムウェア検出が正式公開されたときと同様、Google は「管理者が追加コストなしで守りを固められる」方向に機能を寄せている。iPhone の端末ポリシーが、サードパーティ MDM を挟まずに管理コンソールで完結する点が今回の本質だ。
GA で増えた6カテゴリ ― 何を止められるようになったか
新しく一般提供になったのは、Apple 純正の MDM 制限を 6 つの領域に整理した設定群だ。代表的な項目と、それぞれを制御する目的を整理する。
| カテゴリ | 代表的な設定項目 | 管理者が抑えたいリスク |
|---|---|---|
| Apps and Services | Writing tools、App clips、代替マーケットプレイスからのインストール、アプリ内課金 | AI 機能経由の情報漏えい、サイドローディング、私的課金 |
| Device Features | Auto unlock、通話録音、デフォルトブラウザ変更、iPhone Mirroring、RCS メッセージ | 録音トラブル、業務データの持ち出し、私用通信 |
| Safari | 履歴の消去、プライベートブラウズ | 監査証跡の保全 |
| Backup and iCloud Sync | iCloud バックアップ・同期 | 業務データの個人 iCloud への流出 |
| Authentication | 指紋などの生体認証によるロック解除 | 端末認証ポリシーの統一 |
| Data Sharing | Managed pasteboard(管理対象クリップボード) | 管理アプリと個人アプリ間のコピー&ペースト漏えい |
項目数が多いので、中小企業で効きやすいものを 4 つに絞って掘り下げる。
Apple Intelligence の Writing tools ―「気づかないうちの AI 送信」を断つ
Writing tools は Apple Intelligence による文章の生成・要約・校正機能だ。便利な反面、社用メールの下書きや顧客情報を、ユーザーが意図しないまま AI 処理に通す経路になり得る。金融・医療・士業など、扱う情報の機微度が高い業種では、まず制御候補に挙がる項目だ。
iPhone Mirroring ― BYOD で最も怖い抜け穴
iPhone Mirroring は、iPhone の画面や通知、アプリを Mac 側に映して操作できる機能だ。業務アプリの中身が私物 Mac に表示される=データ持ち出しの抜け穴になりやすい。会社所有端末でも、BYOD(私物端末の業務利用)でも、ここは検討の優先度が高い。
Managed pasteboard ― コピペでの漏えいを OS レベルで塞ぐ
Managed pasteboard は、Gmail や Drive など管理対象アプリからコピーした内容を、個人の SNS やメモなど管理対象外アプリに貼り付けられないよう制御する。DLP(情報漏えい対策)の基本動作を、アプリ任せではなく OS レベルで効かせられるのが利点だ。
通話録音と RCS ― コンプライアンスと私用の線引き
通話録音の可否は、録音同意やコンプライアンスの観点で会社として方針を持つべき項目だ。RCS メッセージは私的な連絡経路になりやすく、業務端末でどこまで許すかを決められる。いずれも iOS 18 以降を前提とする制御が含まれる点に注意したい。
自社で使えるか ―「詳細管理」とエディションの前提
ここが中小企業にとって最大の関門だ。今回の設定は、iOS の 詳細管理(advanced mobile management)が有効な端末 に対して効く。アカウント単位の基本管理だけでは、これらの項目は適用できない。
| 基本管理 | 詳細管理 | |
|---|---|---|
| 主な管理単位 | アカウント(メール・カレンダー等) | 端末プロファイル |
| iOS の細かい制限 | 不可 | 可能(今回の新設定) |
| 必要なもの | 追加設定はほぼ不要 | Apple プッシュ証明書、対応エディション |
iOS の詳細管理には Apple プッシュ証明書(APNs 証明書)の登録が必須 で、会社所有端末を Apple Business Manager(ABM)経由で登録すると、より強い統制が効く。さらに、詳細管理が利用できるエディションは限られる。Business Plus や Enterprise 系が目安だが、エディションごとの対応範囲は更新されることがあるため、自社が対象かどうかは Google 公式のエンドポイント管理機能の比較で必ず確認してほしい。エディションそのものの違いを整理したい場合はGoogle Workspace 導入完全ガイドも参考になる。「Google エンドポイント管理を使う全ユーザーが対象」とアナウンスされてはいるが、実際に効くのは詳細管理が有効な端末に限られる、というのが実務上の読みどころだ。
現実的な適用手順 ―「全部オフ」をいきなりやらない
設定項目が一気に増えると、つい「危なそうなものを全部オフ」にしたくなる。だが業務端末でそれをやると、現場の生産性を削ってしまう。次の順序を勧めたい。
- 自社端末の管理モードを確認する。管理コンソールの「デバイス」から、対象端末が詳細管理になっているかを見る。基本管理のままなら、まずエディションと Apple プッシュ証明書の準備可否を確認する。管理コンソールの基本操作はGoogle Workspace 管理コンソール入門を参照。
- いきなり全社適用しない。組織部門(OU)でパイロット用の小さなグループを切り、まずそこに適用する。
- 情報漏えいに直結する数項目から始める。たとえば iPhone Mirroring、Managed pasteboard、Writing tools の 3 つに絞って適用し、現場の業務にどう響くかを観察する。
- 反映に時間がかかる前提で動く。今回のロールアウトは段階的展開で、設定が行き渡るまで最大 15 日かかる。運用カレンダーに織り込んでおく。
- 問題がなければ対象 OU を拡大する。職種別に濃淡をつけながら広げていく。
落とし穴 ― 締めすぎが招く「シャドー IT」と運用の盲点
最後に、運用に入る前に押さえておきたい注意点を挙げる。
締めすぎは逆効果になる。たとえば 30 人規模の不動産仲介会社で、営業に会社所有 iPhone を配布しているケースを考える。情報漏えい対策として通話録音オフ・iPhone ミラーリングオフ・Managed pasteboard 制御を入れるのは妥当だ。しかし、ここで Safari のプライベートブラウズや履歴消去まで一律禁止にすると、競合の物件情報を調べたい営業が「私物スマホでやればいい」と業務を逃がし始める。これがシャドー IT を助長する。制限は全社一律ではなく、職種別の OU で濃淡をつけるのが鉄則だ。
BYOD ではプライバシーとの線引きが要る。私物端末に深く踏み込むと、従業員の反発や法務リスクにつながる。BYOD は「業務データの保護」を中心に、会社所有端末は「端末全体の統制」を中心に、と方針を分けて設計したい。
iOS バージョン依存に注意する。通話録音や iPhone Mirroring、RCS の制御など、iOS 18 以降を前提とする項目がある。古い端末には効かないため、OS アップデート方針とセットで考える必要がある。
将来の挙動変化も見込んでおく。Apple は端末管理の仕組みを Declarative Device Management(DDM)へ移行している最中で、いま MDM コマンドで効いている制御が、将来 DDM ベースの挙動に変わる可能性がある。設定して終わりにせず、端末ポリシーは年 1 回は棚卸しするのが安全だ。
まとめ ― まず確認すべき1つのこと
今日できる最初の一歩は、「自社の iOS 端末が詳細管理になっているか」を管理コンソールで確認することだ。基本管理のままなら、今回追加された設定は 1 つも効かない。ここが出発点になる。
そのうえで、全項目を一気に縛るのではなく、情報漏えいに直結する数項目から職種別 OU で段階適用していく。これが、現場の反発を避けながら iPhone の死角を埋める現実的なやり方だ。端末設定の見直しは、Google Workspace セキュリティ設定チェックリストとあわせて、半年に一度の定期点検として運用に組み込むことをおすすめする。
よくある質問
Q. iOS の新設定はどの Google Workspace エディションで使えますか?
iOS の詳細管理が有効なエディションが前提で、Business Plus や Enterprise 系が目安です。加えて Apple プッシュ証明書(APNs)の登録が必要になります。自社が対象かは公式のエンドポイント管理機能の比較で確認してください。
Q. 基本管理のままでも新しい設定は適用できますか?
できません。今回の設定は詳細管理が有効な端末にだけ効きます。まず管理コンソールの「デバイス」で対象端末の管理モードを確認してください。
Q. 私物の iPhone(BYOD)にも適用できますか?
会社所有端末・BYOD の両方に対応します。ただし BYOD では従業員のプライバシーに配慮し、端末全体ではなく業務データの保護を中心に設計するのが安全です。
Q. 設定はいつ反映されますか?
段階的展開のため、設定がすべての端末に行き渡るまで最大 15 日かかります。
