Intune での iOS、iPadOS、または macOS デバイスの機能設定の追加
Intune には、管理者が iOS、iPadOS、macOS デバイスを制御するために役立つ多くの機能と設定が含まれています。 たとえば、管理者には次の機能があります。
- ネットワーク内の AirPrint プリンターへのアクセスをユーザーに許可する
- 新しいページの追加を含め、アプリとフォルダーをホーム画面に追加する
- アプリの通知を表示する場合と方法を選択する
- 特に共有デバイスに対して、メッセージまたは資産タグを表示するようにロック画面を構成する
- アプリ間で資格情報を共有するためのセキュリティで保護されたシングル サインオン エクスペリエンスをユーザーに提供する
- 成人向けの言葉を使用している Web サイトをフィルター処理し、特定の Web サイトを許可またはブロックする
Intune では、"構成プロファイル" を使用して、お客様の組織のニーズに合わせてこのような設定を作成およびカスタマイズします。 これらの機能をプロファイルに追加した後は、そのプロファイルをお客様の組織内の iOS/iPadOS および macOS デバイスにプッシュまたは展開します。
この機能は、以下に適用されます。
- iOS/iPadOS
- macOS
この記事では、構成できるさまざまな機能について説明し、デバイス構成プロファイルを作成する方法を示します。 また、iOS/iPadOS および macOS デバイスで使用できるすべての設定を確認することもできます。
プロファイルを作成する
Microsoft Intune 管理センターにサインインします。
[デバイス構成の作成] を>選択します>。
次のプロパティを入力します。
プラットフォーム: プラットフォームを選択します。
- iOS/iPadOS
- macOS
プロファイルの種類: [ デバイス機能] を選択します。 または、[テンプレート]>[デバイスの機能] を選択します。
[作成] を選択します。
[Basics]\(基本\) で次のプロパティを入力します。
- 名前: ポリシーのわかりやすい名前を入力します。 後で簡単に識別できるよう、ポリシーに名前を付けます。 たとえば、適切なポリシー名は、macOS: Configures login screen です。
- 説明: プロファイルの説明を入力します。 この設定は省略可能ですが、推奨されます。
[次へ] を選択します。
[構成設定] では、選択したプラットフォームによって構成できる設定が変わります。 詳細な設定については、お使いのプラットフォームを選択してください。
[次へ] を選択します。
スコープ タグ (オプション) で、
US-NC IT Team
やJohnGlenn_ITDepartment
など、特定の IT グループにプロファイルをフィルター処理するためのタグを割り当てます。 スコープ タグの詳細については、「 分散 IT に RBAC とスコープ タグを使用する」を参照してください。[次へ] を選択します。
[割り当て] で、プロファイルを受け取るユーザーまたはグループを選択します。 プロファイルの割り当ての詳細については、「 ユーザー プロファイルとデバイス プロファイルの割り当て」を参照してください。
[次へ] を選択します。
[確認と作成] で、設定を確認します。 [作成] を選択すると、変更内容が保存され、プロファイルが割り当てられます。 また、ポリシーがプロファイル リストに表示されます。
AirPrint
AirPrint は、デバイスからワイヤレス ネットワーク経由でファイルを印刷できるようにする Apple の機能です。 Intune では、AirPrint の情報をデバイスに追加できます。
Intune で構成できる設定の一覧については、 iOS/iPadOS の AirPrint と macOS の AirPrint に関するページを参照してください。
AirPrint の詳細については、Apple の Web サイトの 「AirPrint について 」を参照してください。
適用対象:
- iOS 7.0 以降
- iPadOS 13.0 以降
- macOS 10.10 以降
アプリの通知
iOS および iPadOS デバイス上のアプリで通知を受け取る方法を選択します。 たとえば、アプリの通知を送信して、それらを通知センターに表示したり、ロック画面上に表示したり、音を鳴らしたりすることができます。
Intune で構成できる設定の一覧については、 iOS/iPadOS でのアプリ通知に関するページを参照してください。
この機能の詳細については、Apple の Web サイトの 通知 に関するページを参照してください。
適用対象:
- iOS 9.3 以降
- iPadOS 13.0 以降
関連付けられたドメイン
関連付けられたドメインを使用すると、お使いのドメイン (contoso.com
など) と自分のアプリの間にリレーションシップを作成できます。 この機能では次のことができます。
アプリと組織の Web サイトの間で、データやサインインの資格情報を共有します。
シングル サインオン アプリ拡張機能、ユニバーサル リンク、パスワード オートコンプリートなど、Web サイトに基づくアプリの機能を使用します。
たとえば、関連付けられたドメインを作成し、アプリに関連付けられている Web サイトで、パスワードをオートコンプリートして、パスワードなどの資格情報を推奨できるようにします。
Intune で構成できる設定の一覧については、「 macOS の関連ドメイン」を参照してください。
この機能の詳細については、「Apple の Web サイトで アプリの関連ドメインを設定する 」を参照してください。
適用対象:
- macOS 10.15 以降
ホーム画面のレイアウト
これらの設定により、ホーム画面とドッキング上のアプリのレイアウトとフォルダーが構成されます。 また、ほとんどのアプリとそのアイコンがどのように見えるかをリアルタイムで確認できます。 特に次のような場合です。
- [ホーム画面] 設定を使用して、デバイスのホーム画面にアプリとフォルダーを追加します。
- [ドッキング] の設定を使用して、アプリまたはフォルダーを画面のドッキングに追加します。 たとえば、デバイスのドックに Safari や Mail アプリを表示します。
Intune で構成できる設定の一覧については、 iOS/iPadOS の [ホーム] 画面レイアウトに移動します。
適用対象:
- iOS 9.3 以降
- iPadOS 13.0 以降
ロック画面のメッセージ
これらの設定を使用して、サインイン ウィンドウとロック画面にカスタム メッセージまたはテキストを表示します。 たとえば、"忘れ物として見つけた場合の返却先" メッセージを入力したり、資産タグ情報を表示したりできます。
Intune で構成できる設定の一覧については、「 iOS/iPadOS の画面メッセージ設定をロックする」を参照してください。
ロック画面メッセージの詳細については、Apple の Web サイトの LockScreenMessage に関するページを参照してください。
適用対象:
- iOS 9.3 以降
- iPadOS 13.0 以降
ログイン項目
この機能は、ユーザーがデバイスにサインインしたときに開くアプリ、カスタム アプリ、ファイル、フォルダーを選択するために使用します。
Intune で構成できる設定の一覧については、「 macOS のログイン項目」を参照してください。
適用対象:
- macOS 10.13 以降
ログイン ウィンドウ
サインイン画面の外観と、ユーザーがサインインする前に使用できる関数を制御します。 たとえば、カスタム メッセージを含むバナーを追加したり、スリープ ボタンを表示するかどうかを選択したりします。
Intune で構成できる設定の一覧については、 macOS の [ログイン] ウィンドウに移動します。
適用対象:
- macOS 10.7 以降
シングル サインオン
ほとんどの基幹業務 (LOB) アプリでは、セキュリティに対応するために、何らかのレベルのユーザー認証が必要です。 多くの場合、ユーザーは認証のために同じ資格情報を繰り返し入力する必要があります。 ユーザーの操作環境を改善するため、開発者はシングル サインオン (SSO) を使うアプリを作成できます。 シングル サインオンを使用すると、ユーザーが資格情報を入力する必要のある回数が減ります。
シングル サインオン プロファイルは Kerberos に基づいています。 Kerberos とは、秘密鍵による暗号化を使用してクライアントとサーバー間でアプリケーションを認証するネットワーク認証プロトコルです。 Intune 設定では、サーバーまたは指定されたアプリにアクセスするときの Kerberos アカウント情報を定義したり、Web ページとネイティブ アプリへの Kerberos チャレンジを処理したりします。 Apple では、SSO 設定ではなく、(この記事の) Kerberos SSO アプリ拡張機能設定の使用が推奨されています。
シングル サインオンを使用するには、次の条件を満たしている必要があります。
- デバイス上のシングル サインオンでユーザー資格情報ストアを探すようにアプリがコーディングされていること。
- iOS/iPadOS デバイスのシングル サインオン用に Intune が構成されていること。
Intune で構成できる設定の一覧については、 iOS/iPadOS でのシングル サインオンに関するページを参照してください。
適用対象:
- iOS 7.0 以降
- iPadOS 13.0 以降
シングル サインオン アプリの拡張機能
これらの設定では、iOS、iPadOS、macOS デバイスでのシングル サインオン (SSO) を有効にするアプリ拡張機能を構成します。 ほとんどの基幹業務 (LOB) アプリおよび組織の Web サイトでは、何らかのレベルのセキュリティで保護されたユーザー認証が必要です。 多くの場合、ユーザーは認証のために同じ資格情報を繰り返し入力する必要があります。 SSO を使用すると、ユーザーは資格情報を 1 回入力した後でアプリや Web サイトにアクセスできます。 また、SSO によってユーザーの認証エクスペリエンスが向上し、資格情報のプロンプトが繰り返し表示される回数が減ります。
Intune では、これらの設定を使用して、組織、ID プロバイダー、Microsoft、または Apple によって作成された SSO アプリ拡張機能を構成します。 SSO アプリ拡張機能では、ユーザーの認証が処理されます。 これらの設定により、リダイレクトの種類と資格情報の種類の SSO アプリ拡張機能が構成されます。
リダイレクトの種類は、OpenID Connect、OAuth、および SAML2 などの最新の認証プロトコル向けに設計されています。 Microsoft Entra SSO 拡張機能 (Microsoft Enterprise SSO プラグイン) と汎用リダイレクト拡張機能のどちらかを選択できます。
資格情報の種類は、チャレンジと応答の認証フロー向けに設計されています。 Apple で提供される Kerberos 固有の資格情報拡張機能と汎用の資格情報拡張機能から選択できます。
Microsoft Entra macOS SSO アプリ拡張機能は、任意のサード パーティまたはパートナー MDM と連携する必要があります。 この拡張機能は、kerberos SSO 拡張機能として展開するか、必要なすべてのプロパティが構成されたカスタム構成プロファイルとして展開する必要があります。
Intune で構成できる設定の一覧については、 iOS/iPadOS SSO アプリ拡張機能 と macOS SSO アプリ拡張機能に関するページを参照してください。
SSO アプリ拡張機能の開発の詳細については、Apple の Web サイトの「Extensible Enterprise SSO」を参照してください。 Apple の機能の説明を読むには、 シングル サインオン拡張機能のペイロード設定に関するページを参照してください。
注:
シングル サインオン アプリの拡張機能の機能は、シングル サインオン機能とは異なります。
シングル サインオン アプリの拡張機能設定は、iPadOS 13.0 以降、iOS 13.0 以降、および macOS 10.15 以降に適用されます。 シングル サインオン設定は、iPadOS 13.0 (およびそれ以降) および iOS 7.0 以降に適用されます。
シングル サインオン アプリの拡張機能設定では、ID プロバイダーまたは組織がシームレスなエンタープライズ サインオン エクスペリエンスを提供するために使用する、拡張機能を定義します。 シングル サインオン設定では、ユーザーがサーバーまたはアプリにアクセスするときの Kerberos アカウント情報を定義します。
シングル サインオン アプリ拡張機能では、Apple オペレーティング システムを使用して認証が行われます。 そのため、シングル サインオンよりも優れたエンドユーザー エクスペリエンスが提供される可能性があります。
開発の観点から説明すると、シングル サインオン アプリの拡張機能を使用すると、任意の種類のリダイレクト SSO または資格情報 SSO 認証を使用できます。 シングル サインオンでは、Kerberos SSO 認証のみを使用できます。
Kerberos シングル サインオン アプリの拡張機能は、Apple によって開発され、iOS/iPadOS 13.0 以降と macOS 10.15 以降のプラットフォームに組み込まれています。 組み込みの Kerberos 拡張機能を使用すると、Kerberos 認証をサポートするネイティブ アプリや Web サイトにユーザーをログインさせることができます。 シングル サインオンは、Apple による Kerberos の実装ではありません。
組み込みの Kerberos シングル サインオン アプリの拡張機能では、Web ページとアプリへの Kerberos チャレンジがシングル サインオンと同じように処理されます。 ただし、組み込みの Kerberos 拡張機能では、パスワードの変更がサポートされ、エンタープライズ ネットワークでの動作が優れています。 Kerberos シングル サインオン アプリの拡張機能とシングル サインオンのどちらにするかを決定するときは、パフォーマンスと機能がより優れている拡張機能を使用することをお勧めします。
適用対象:
- iOS 13.0 以降
- iPadOS 13.0 以降
- macOS 10.15 以降
壁紙
監視対象の iOS/iPadOS デバイスにカスタムの .png、.jpg、または .jpeg 画像を追加します。 たとえば、Intune を使用して、デバイスのロック画面に会社のロゴを追加します。
Intune で構成できる設定の一覧については、 iOS/iPadOS の壁紙に関するページを参照してください。
適用対象:
- iOS
- iPadOS 13.0 以降
Web コンテンツ フィルター
これらの設定では、Apple の組み込みの AutoFilter アルゴリズムを使用して Web ページを評価し、成人向けのコンテンツと成人向けの言葉をブロックします。 また、許可されている Web リンクと制限された Web リンクの一覧を作成することもできます。 たとえば、contoso
の Web サイトのみを開くことを許可できます。
Intune で構成できる設定の一覧については、 iOS/iPadOS の Web コンテンツ フィルターに関するページを参照してください。
適用対象:
- iOS 7.0 以降
- iPadOS 13.0 以降
次の手順
プロファイルは作成されますが、まだ何も行っていない可能性があります。 必ずプロファイルを割り当て、その状態を監視してください。
iOS/iPadOS および macOS デバイスのすべてのデバイス機能設定を表示します。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示