次の方法で共有


macOS 用の自動デバイス登録 (ADE) を設定する

Apple Business Manager や Apple School Manager などの Apple 登録プログラムを通じて購入した新規またはワイプされた Mac 用に、Intuneで自動デバイス登録を設定します。 この方法では、デバイスを構成する必要はありません。 Intune自動的に Apple と同期し、登録プログラム アカウントからデバイス情報を取得し、構成済みの登録プロファイルを Mac にオンプレミスでデプロイします。 準備されたデバイスは、従業員または学生に直接出荷できます。 セットアップ アシスタントとデバイス登録は、他のユーザーが Mac をオンにすると開始されます。

この記事では、会社所有の Mac 用の自動デバイス登録プロファイルを設定する方法について説明します。

注:

この記事の手順は、Apple Business Manager と Apple School Manager のどちらを使用している場合でも同じです。 簡潔にするために、説明が必要な場合を除き、この記事の手順全体を通じてのみ Apple Business Manager を参照してください。

証明書

この登録の種類は、自動証明書管理環境 (ACME) プロトコルをサポートします。 新しいデバイスが登録されると、Intuneからの管理プロファイルは ACME 証明書を受け取ります。 ACME プロトコルは、堅牢な検証メカニズムと自動化されたプロセスを通じて、承認されていない証明書の発行に対する SCEP プロトコルよりも優れた保護を提供します。これにより、証明書管理のエラーを減らすことができます。

既に登録されているデバイスは、Microsoft Intuneに再登録しない限り、ACME 証明書を取得しません。 ACME は、macOS 13.1 以降を実行しているデバイスでサポートされています。

制限事項

Apple Business Manager と Apple School Manager を使用した自動 デバイス登録は、デバイス登録マネージャー アカウントではサポートされていません。

前提条件

Apple School Manager または Apple Business Manager へのアクセスが必要です。 Apple を通じて購入したデバイスのデバイスシリアル番号または注文番号の一覧も必要です。

開始する前に、次のタスクが完了していることを確認します。

登録プログラム トークンを作成する

このセクションでは、Intuneで登録プログラム トークンを作成する方法について説明します。 登録プログラム トークン (自動デバイス登録トークンとも呼ばれます) は、自動デバイス登録に必要なコンポーネントです。 これにより、Intuneと選択した Apple 登録プログラムの間の通信とデバイス管理機能が有効になります。 これにより、Intuneは Apple Business Manager または Apple School Manager アカウントの情報を同期し、プロファイルをデバイスに適用できます。

手順 1: Intune 公開キー証明書をダウンロードする

公開キー証明書は、Apple Business Manager に信頼関係証明書を要求するために必要です。

  1. Microsoft Intune管理センターで、[デバイス>登録] に移動します。
  2. [ Apple ] タブを選択します。
  3. [ 一括登録方法] で、[ 登録プログラム トークン] を選択します。
  4. [追加] を選択します。
  5. [ Microsoft にユーザーとデバイスの情報を Apple に送信するアクセス許可を付与することに同意する] を選択します。
  6. [ 公開キーのダウンロード] を 選択し、キーを PEM ファイルとしてローカルに保存します。 キーは、次の手順で MDM サーバー トークンを取得するために使用されます。

手順 2: MDM サーバーを追加し、サーバー トークンをダウンロードする

Intune用のモバイル デバイス管理 (MDM) サーバーを Apple Business Manager に追加し、そのサーバー トークンをダウンロードします。

  1. 管理センターで、使用する Apple ポータルに対応するリンクを選択します。 次のようなオプションがあります。

    • Apple Business Manager を使用してトークンを作成する
    • Apple School Manager を使用してトークンを作成する

    選択したポータルが新しいブラウザー タブで開きます。新しいタブに安全に切り替えることができますが、後でタブMicrosoft Intune開いたままにしておきます。

  2. 会社の Apple ID を使用して Apple ポータルにサインインします。 この ID は Apple ID であり、組織は今後トークンを更新および管理するために使用する必要があるため、個人 ID を使用しないでください。

  3. アカウント プロファイル >Preferences に移動します。

  4. MDM サーバーの割り当てに移動します。

  5. MDM サーバーを追加するオプションを選択します。

  6. MDM サーバーに名前を付けます。 名前は、Apple Business Manager 内でのみ識別を目的としており、Microsoft Intune サーバーの実際の名前または URL である必要はありません。

  7. 公開キー ファイルをアップロードし、変更を保存します。

  8. サーバー トークン (.p7m ファイル) をダウンロードします。

手順 3: MDM サーバーにデバイスを割り当てる

必要に応じて、Apple Business Manager で MDM サーバーを作成した後、デバイスの割り当てを開始できます。 Apple Business Manager を既に使用しているため、今すぐ割り当てることをお勧めしますが、準備ができていない場合は後で戻ることができます。 フィルター一括割り当てなどの使用可能な機能を使用して、割り当ての選択を簡略化できます。 詳細と手順については、「 Apple Business Manager でデバイスを割り当て、再割り当て、または割り当て解除する(Apple Business Manager ユーザー ガイドを開く)」を参照してください。

手順 4: Apple ID を保存する

管理センターに戻り、サーバー トークンのダウンロードに使用する Apple ID を入力します。 この ID は、トークンを毎年更新するために使用する必要がある Apple ID です。 organizationのままにしてトークン管理を移行する必要がある場合に備えて、今後Intune管理者が使用する Apple ID を認識していることを確認します。

[登録プログラム トークンの追加] ウィンドウの [Apple ID] フィールドが強調表示されているスクリーンショット。

手順 5: サーバー トークンをアップロードして完了する

Intuneにサーバー トークン ファイルをアップロードして、登録プログラム トークンの作成を完了します。

  1. 管理センターの [ >Apple トークン ] フィールドに戻ります。 デバイス上のサーバー トークン (.p7m ファイル) を参照します。
  2. [ 開く] を選択し、[ 作成] を選択します。

Intuneは、Apple Business Manager と自動的に接続して、登録プログラム アカウントからデバイス情報を同期します。 トークンを手動で同期する方法の詳細については、「 マネージド デバイスの同期 (この記事)」を参照してください。

Apple の登録プロファイルを作成する

管理センターで自動デバイス登録プロファイルを作成します。 プロファイルは、organizationの Mac デバイスの登録エクスペリエンスを定義し、登録デバイスに登録ポリシーと設定を適用します。 プロファイルは、割り当てられたデバイスに無線でデプロイされます。

この手順の最後に、このプロファイルをデバイス グループMicrosoft Entra割り当てることができます。

重要

プロファイルを作成するには、Intuneに登録プログラム トークンのセットアップが必要です。 まだ作成していない場合は、この記事の冒頭にある 「登録プログラム トークンを作成 する」を参照してください。

  1. 管理センターで、[デバイス>登録] に移動します。

  2. [ Apple ] タブを選択します。

  3. [ 一括登録方法] で、[ 登録プログラム トークン] を選択します。

  4. 登録プログラム トークンを選択します。

  5. [ プロファイル>プロファイルの作成>macOS] を選択します。

    プロファイルの作成のスクリーンショット。

    重要

    デバイスがアクティブになる前に、デバイスに登録ポリシーを割り当てる必要があります。 デバイスが Apple Business Manager または Apple School Manager から同期されたら、自動デバイス登録を使用して正しく登録できるように、できるだけ早く既定の登録ポリシーを設定することをお勧めします。 Apple から同期したデバイスに登録ポリシーが割り当てられず、誰かがデバイスをオンにして設定した場合、登録は失敗します。

  6. [ 基本] に、プロファイルの名前と説明を入力して、他の登録プロファイルと区別できるようにします。 これらの詳細は、デバイス ユーザーには表示されません。

    ヒント

    名前フィールドを使用して、Microsoft Entra IDで動的グループを作成し、デバイスを登録プロファイルに自動的に割り当てることができます。 プロファイル名を使用して enrollmentProfileName パラメーターを定義します。 詳細については、「動的グループのMicrosoft Entra」を参照してください。

  7. [次へ] を選択します。

  8. [ 管理設定] ページで、 ユーザー アフィニティを構成します。 ユーザー アフィニティは、 デバイスが割り当てられたユーザーの有無に関わらず登録するかどうかを決定します。 次のようなオプションがあります。

    • ユーザー アフィニティなしで登録する: 1 人のユーザーに関連付けられていないデバイスを登録します。 ローカル ユーザー データにアクセスする必要のない共有デバイスとデバイスの場合は、このオプションを選択します。 ポータル サイト アプリは、これらの種類のデバイスでは機能しません。

    • ユーザー アフィニティを使用して登録する: 割り当てられたユーザーに関連付けられているデバイスを登録します。 ユーザーに属する作業デバイスに対してこのオプションを選択し、アプリをインストールするためにユーザーにポータル サイト アプリを要求する場合は、このオプションを選択します。 このオプションでは、多要素認証 (MFA) を使用できます。

      オプション 2 には、より多くの構成が必要です。 ユーザーは、ID を確認するために、登録前に自分自身を認証する必要があります。 次のいずれかの認証方法を選択します。

      • 先進認証を使用したセットアップ アシスタント: この方法では、ユーザーがリソースにアクセスする前に、すべてのセットアップ アシスタント画面を完了し、Microsoft Entra資格情報を使用してポータル サイト アプリにサインインする必要があります。 ポータル サイトにサインインした後、デバイスは次の手順を実行します。

        • Microsoft Entra IDに登録します。
        • Microsoft Entra IDでユーザーのデバイス レコードに追加されます。
        • デバイスのコンプライアンスを評価できます。
        • 条件付きアクセスによって保護されたリソースへのアクセス権を取得します。

        ユーザーが登録を完了するためにポータル サイトにサインインしない場合、条件付きアクセス保護を使用してマネージド アプリを開くたびに、ポータル サイト アプリにリダイレクトされます。

        macOS 10.15 以降を実行しているデバイスでは、この方法を使用できます。 古い macOS デバイスは、従来のセットアップ アシスタント メソッドを使用してフォールバックします。 ポータル サイト アプリを Mac ユーザーに取得する方法の詳細については、「macOS アプリのポータル サイトを追加する」を参照してください。

      • セットアップ アシスタント (レガシ): Apple 製品の一般的な既定のエクスペリエンスをユーザーに体験させる場合は、従来のセットアップ アシスタントを使用します。 この方法では、デバイスが Intune 管理に登録されるときに、標準の構成済み設定がインストールされます。 Active Directory フェデレーション サービスを使用しており、セットアップ アシスタントを使用して認証する場合は、WS-Trust 1.3 ユーザー名/混合エンドポイントが必要です。 ADFS エンドポイントの取得の詳細については、「Get-ADfsEndpoint」(/powershell/module/adfs/get-adfsendpoint?view=win10-ps&preserve-view=true) を参照してください。

  9. 最終構成を待機 すると、セットアップ アシスタントの最後にロックされたエクスペリエンスが有効になり、最も重要なデバイス構成ポリシーがデバイスに確実にインストールされます。 この設定は、セットアップ アシスタントの Apple の自動デバイス登録エクスペリエンス中に 1 回適用されます。 デバイス ユーザーが Mac を再登録しない限り、デバイス ユーザーは再びデバイスを体験しません。

    次のようなオプションがあります。

    • はい: ホーム画面が読み込まれる直前に、セットアップ アシスタントが一時停止し、デバイスにIntune チェックできます。 エンド ユーザー エクスペリエンスは、ユーザーが最終的な構成を待機している間にロックされます。 このオプションは、新しい登録プロファイルの既定の構成です。

    • いいえ: ポリシーのインストール状態に関係なく、セットアップ アシスタントが終了すると、デバイスはホーム画面にリリースされます。 デバイス ユーザーは、すべてのポリシーがインストールされる前に、ホーム画面にアクセスしたり、デバイスの設定を変更したりできます。 このオプションは、既存の登録プロファイルの既定の構成です。

    [待機中の最終構成] 画面でユーザーが保持される時間は異なり、デバイスに割り当てるポリシーとアプリの合計数によって異なります。 ユーザーは、待機中にセットアップ アシスタントでダウンロードされているデバイス構成プロファイルを確認できます。 ポリシーとアプリが割り当てられるほど、待機時間が長くなります。 セットアップ アシスタントとIntuneでは、セットアップのこの部分では、最小または最大時間制限は適用されません。 製品の検証中に、テストしたほとんどのデバイスがリリースされ、15 分以内にホーム画面にアクセスできました。 この機能を有効にし、デバイスのプロビジョニングに役立つ Microsoft パートナーまたは Microsoft 以外のサービスと連携している場合は、プロビジョニング時間が長くなる可能性についてお知らせします。

    ロックされたエクスペリエンスは、macOS 10.11 以降を実行している Mac でサポートされています。 これは、次のシナリオ用に設定された新規または既存の登録プロファイルを対象とする Mac で動作します。

    • モダン認証を使用したセットアップ アシスタントによる登録
    • セットアップ アシスタントを使用した登録 (レガシ)
    • ユーザー デバイス アフィニティを使用しない登録
  10. ロックされた登録を適用して、ユーザーがデバイスの登録を解除Intuneできないようにすることができます。 [ はい ] を選択すると、[システム環境設定] と [ターミナル] の Mac 設定が無効になり、ユーザーは管理プロファイルを削除できます。 デバイスを登録した後は、デバイスをワイプせずにこの設定を変更することはできません。

  11. [次へ] を選択します。

  12. 必要に応じて 、[アカウント設定] ページで、対象の Mac でローカル プライマリ アカウントを構成できます。

    macOS 自動デバイス登録プロファイルの新しい [アカウント設定] セクションを示す管理センターの画像。

    これらの設定は、macOS 10.11 以降を実行しているデバイスでサポートされています。 このアカウントが 管理者 アカウントになるプライマリ アカウントを構成するときに注意してください。 少なくとも 1 つの管理者アカウントを持つことは、Mac のセットアップ要件です。

    次のようなオプションがあります。

    • ローカル プライマリ アカウントを作成する: [ はい ] を選択して、対象となる Mac のローカル プライマリ アカウント設定を構成します。 [ 未構成] を選択して、すべてのアカウント設定の構成をスキップします。
    • アカウント情報の入力前: 既定の構成 (未構成) では、デバイス ユーザーがセットアップ アシスタントで自分のアカウント ユーザー名とフル ネームを入力する必要があります。 代わりにアカウント情報を事前入力するには、[ はい] を選択します。 次に、プライマリ アカウント名とフル ネームを入力します。
      • プライマリ アカウント名: アカウントのユーザー名を入力します。 {{partialupn}} は、 アカウント名でサポートされているトークン変数です。
      • プライマリ アカウントのフル ネーム: アカウントの完全な名前を入力します。 {{username}} は、 フル ネームでサポートされているトークン変数です。
    • 編集を制限する: 既定の構成は [はい ] に設定されているため、デバイス ユーザーはアカウント名とフル ネームを編集できません。 デバイス ユーザーがアカウント名とフル ネームを編集できるようにするには、[ 未構成] を選択します。 セットアップ アシスタント (レガシ) のみを使用して macOS 10.15 以降を実行しているデバイスを登録する場合は、次のエンド ユーザー エクスペリエンスが期待できます。
      • はい: セットアップ アシスタントのアカウント作成画面は表示されません。 代わりに、他の設定構成に基づいてローカル プライマリ アカウントが自動的に作成され、Microsoft Entra認証画面からパスワードが自動的に設定されます。 デバイス ユーザーは、これらのフィールドを編集できません。
      • 未構成: ローカル プライマリ アカウント画面がセットアップ アシスタントのエンド ユーザーに表示され、構成済みのアカウント値と、Microsoft Entra認証画面のパスワードが設定されます。 デバイス ユーザーは、セットアップ アシスタント中にこれらのフィールドを編集できます。

    アカウント設定が意図したとおりに機能するには、登録プロファイルに次の構成が必要です。

    • ユーザー アフィニティ: [ ユーザー アフィニティを使用して登録] を選択します。
    • 認証方法: [先進認証を使用したセットアップ アシスタント] または [セットアップ アシスタント (レガシ)] を選択します。
    • [最終構成を待機する]: [ はい] を選択します。

    ローカル アカウントは、作成時の await 最終構成 機能によって異なります。 その結果、ローカル プライマリ アカウント設定を構成した場合、この設定は常に有効になります。 await の最終構成設定に触れない場合でも、バックグラウンドで有効になり、登録プロファイルに適用されます。

  13. [次へ] を選択します。

  14. [ セットアップ アシスタント ] ページで、セットアップ アシスタント エクスペリエンスを構成します。

    1. サポートに問い合わせるユーザーをユーザーに知らせるために、部署の情報を入力します。
      • 部署名: この名前は、デバイス ユーザーがアクティブ化中に [構成について ] を選択したときに表示されます。
      • 部署の電話番号: デバイス ユーザーがアクティブ化中に [ヘルプが必要 ] を選択すると、この電話番号が表示されます。
    2. デバイスのセットアップ中に表示または非表示にするセットアップ アシスタント画面を選択します。 すべての画面の説明については、 セットアップ アシスタントの画面リファレンス (この記事の) を参照してください。 次のようなオプションがあります。
      • 非表示: デバイスのセットアップ中に画面がユーザーに表示されません。 デバイスのセットアップ後、ユーザーはデバイス設定に移動して機能を設定できます。
      • 表示: デバイスのセットアップ中にユーザーに画面が表示されます。 ユーザーは、即時アクションを必要としない画面をスキップできます。 デバイスのセットアップ後、ユーザーはデバイス設定に移動して機能を設定できます。
  15. [次へ] を選択します。

  16. 変更の概要を確認し、[ 作成 ] を選択してプロファイルの作成を完了します。

セットアップ アシスタントの画面リファレンス

次の表では、Mac の自動デバイス登録時に表示されるセットアップ アシスタント画面について説明します。 登録中に、サポートされているデバイスでこれらの画面を表示または非表示にすることができます。 各セットアップ アシスタント画面がユーザー エクスペリエンスに与える影響の詳細については、次の Apple リソースを参照してください。

セットアップ アシスタント画面 表示された場合の動作
位置情報サービス 位置情報サービスのセットアップ ウィンドウが表示され、ユーザーはデバイスで位置情報サービスを有効にすることができます。 macOS 10.11 以降の場合。
復元 アプリとデータのセットアップ ウィンドウを表示します。 この画面では、デバイスを設定しているユーザーは、iCloud Backup からデータを復元または転送できます。 macOS 10.9 以降の場合。
Apple ID [Apple ID のセットアップ] ウィンドウが表示され、Apple ID でサインインして iCloud を使用するオプションがユーザーに表示されます。 macOS 10.9 以降の場合。
使用条件 [Apple の使用条件] ウィンドウが表示され、ユーザーは同意する必要があります。 macOS 10.9 以降の場合。
Touch ID と Face ID 生体認証のセットアップ ウィンドウを表示します。これにより、デバイスで指紋または顔識別を設定するオプションがユーザーに表示されます。 macOS 10.12.4 以降の場合。
Apple Pay Apple Pay セットアップ ウィンドウが表示されます。これにより、ユーザーはデバイスで Apple Pay を設定できます。 macOS 10.12.4 以降の場合。
Siri [Siri のセットアップ] ウィンドウをユーザーに表示します。 macOS 10.12 以降の場合。
診断データ ユーザーが診断データを Apple に送信することをオプトインできる [診断] ウィンドウを表示します。 macOS 10.9 以降の場合。
画面トーン 表示トーンの設定ウィンドウを表示します。 この画面では、ユーザーに真のトーン表示をオンにするオプションが表示されます。 macOS 10.13.6 以降の場合。
FileVault FileVault 2 暗号化画面をユーザーに表示します。 macOS 10.10 以降の場合。
iCloud 診断 iCloud Analytics 画面をユーザーに表示します。 macOS 10.12.4 以降の場合。
登録 登録画面をユーザーに表示します。 macOS 10.9 以降の場合。
iCloud ストレージ iCloud ドキュメントとデスクトップ画面をユーザーに表示します。 macOS 10.13.4 以降の場合。
外観モード ユーザーが外観モードを選択できる外観ウィンドウを表示します。 macOS 10.14 以降の場合。
スクリーン タイム macOS の [画面時間の設定] ウィンドウが表示され、ユーザーが画面時間やアプリと Web サイトのアクティビティに関する分析情報を得ることができる機能が表示されます。 macOS 10.15 以降の場合。
プライバシー プライバシー設定ウィンドウをユーザーに表示します。 macOS 10.13.4 以降の場合。
アクセシビリティ ユーザーにアクセシビリティ設定画面を表示します。 この画面が非表示の場合、ユーザーは macOS Voice Over 機能を使用できません。 Voice Over は、次のようなデバイスでサポートされます。
- macOS 11 を実行している。
- イーサネットを使用してインターネットに接続されている。
- Apple School Manager または Apple Business Manager にシリアル番号を付ける。
Apple Watch による自動ロック解除 ユーザーが自分の Mac のロックを解除するように Apple Watch を構成できる macOS の [Apple Watch によるロック解除] ウィンドウを表示します。 macOS 12.0 以降の場合。
住所の条件 アドレスペインの用語を表示します。これにより、システム全体で対処する方法を選択できます。女性的、男性的、または中立的です。 この Apple 機能は、一部の言語で使用できます。 詳細については、「 Mac で言語 & リージョン設定を変更する(Apple Web サイトを開く)」を参照してください。 macOS 13.0 以降の場合。
壁紙 デバイスがソフトウェアのアップグレードを完了した後の macOS Sonoma の壁紙セットアップ ウィンドウを表示します。 この画面を非表示にすると、デバイスは既定の macOS Sonoma の壁紙を取得します。 macOS 14.1 以降の場合。
ロックダウン モード Apple ID を設定したユーザーにロックダウン モードのセットアップ ウィンドウを表示します。 macOS 14.0 以降の場合。
インテリジェンス ユーザーが Apple Intelligence 機能を構成できる Apple Intelligence のセットアップ ウィンドウが表示されます。 macOS 15.0 以降の場合。

マネージド デバイスを同期する

同期すると、既存のデバイスの状態が更新され、Apple MDM サーバーに割り当てられた新しいデバイスがインポートされます。 関連付けられているすべての Apple デバイスとデバイス情報を表示するには、管理センターで登録プログラム トークンを同期します。

  1. 登録プログラム トークンに戻り、登録プログラム トークンを選択します。

  2. [デバイス>Sync] を選択します

    管理センターの [登録プログラム トークン] 領域のスクリーンショット。トークンの例、

同期の制限

許容される登録プログラム トラフィックに関する Apple の条件に準拠するために、Microsoft Intuneでは次の制限が適用されます。

  • 完全同期は、7 日に 1 回まで実行できます。 完全同期中に、Intuneは、接続されている Apple MDM サーバーに割り当てられた最新の更新されたシリアル番号の一覧をフェッチします。 Apple Business Manager または Apple School Manager の MDM サーバーから割り当てを解除せずに、Intuneからデバイスを削除した場合、完全同期が実行されるまでIntuneに再インポートされません。
  • いずれかの Apple 登録プログラムからデバイスがリリースされた場合、デバイスがIntuneの [デバイス] ページから自動的に削除されるまでに最大 45 日かかることがあります。 必要に応じて、Intune 1 つずつリリースされたデバイスを手動で削除できます。 Intuneリリースされたデバイスは、自動的に削除されるまで Apple Business Manager または Apple School Manager から削除されたと報告されます。これは 30 から 45 日以内に発生します。
  • 同期は 24 時間ごとに自動的に実行されます。 同期は 15 分ごとに 1 回だけ開始できます。 すべての同期要求は、完了までに 15 分与えられます。 [同期] ボタンは、同期が完了するまで非アクティブになります。

登録プロファイルをデバイスに割り当てる

Apple デバイスに登録プロファイルを割り当てます。

  1. [登録プログラム トークン] に戻り、トークンを選択します。
  2. [デバイス] を選択します。
  3. 一覧からデバイスを選択し、[プロファイルの 割り当て] を選択します。
  4. 割り当てるプロファイルを選択し、[ 割り当て] を選択します。

必要に応じて、既定の登録プロファイルを選択できます。 既定のプロファイルは、トークンに関連付けられているすべての登録デバイスに展開されます。

  1. [登録プログラム トークン] に戻り、トークンを選択します。
  2. [ 既定のプロファイルの設定] を選択します
  3. プロファイルを選択し、[保存] を選択 します

デバイスを配布する

重要

ユーザー アフィニティを持つデバイスに関連付けられているユーザーには、Intune ライセンスを割り当てる必要があります。 ユーザー アフィニティがないデバイスでは、デバイスのライセンスが必要です。

準備したデバイスをorganization全体に分散します。

  • 新規またはワイプされた Mac: Apple Business Manager または Apple School Manager で構成された新規またはワイプされた Mac は、デバイスの電源がオンになると、セットアップ アシスタント中に自動的にMicrosoft Intuneに登録されます。 ユーザー アフィニティを使用して macOS 登録プロファイルにデバイスを割り当てた場合、デバイス ユーザーは、セットアップ アシスタントが完了した後にポータル サイトにサインインして、Microsoft Entra登録と条件付きアクセスの要件を完了する必要があります。

  • 既存の Mac: セットアップ アシスタントを既に使用しているデバイスを登録できます。 macOS 10.13 以降を実行している企業所有の Mac を登録するには、次の手順を実行します。

    1. 次のことを確認します。

      • デバイスは、Apple Business Manager または Apple School Manager にインポートされます。
      • デバイスには、管理センターで macOS 登録プロファイルが割り当てられます。
    2. ローカル管理者アカウントを使用してデバイスにサインインします。

    3. 登録をトリガーするには、[ ホーム ] ページで [ターミナル] を開き、次のコマンドを実行します。

      sudo profiles renew -type enrollment

    4. ローカル管理者アカウントのデバイス パスワードを入力します。

    5. [ デバイスの登録] で、[詳細] を選択 します

    6. [ システム環境設定] で、[ プロファイル] を選択します。

    7. 画面の指示に従って、Microsoft Intune管理プロファイル、証明書、ポリシーをダウンロードします。

      ヒント

      システム環境設定>Profiles に戻ることで、デバイス上のプロファイルをいつでも確認できます。

    8. ユーザー アフィニティを使用して macOS 登録プロファイルにデバイスを割り当てた場合は、ポータル サイト アプリにサインインして、Microsoft Entra登録と条件付きアクセスの要件を完了し、登録を完了します。

登録プログラム トークンを更新する

有効期限が近いサーバー トークンを更新するには、次の手順を実行します。 この手順により、Intuneに関連付けられている登録プログラム トークンがアクティブなままになります。

  1. Apple Business Manager または Apple School Manager にサインインし、次の手順に従って新しい MDM サーバー トークンをダウンロードします。
  2. 管理センターで、[デバイス>登録] に移動します。
  3. [ Apple ] タブを選択します。
  4. [ 一括登録方法] で、[ 登録プログラム トークン] を選択します。
  5. 更新する登録プログラム トークンを選択します。
  6. [ トークンの更新] を選択し、元のトークンの作成に使用する Apple ID を入力します。
  7. 新しいトークンをアップロードします。
  8. [次へ] を選択します。 必要に応じて、この時点でスコープ タグを更新できます。 それ以外の場合は、[ 確認と作成] に進みます。
  9. [ 作成] を 選択して変更を保存します。

次の手順

Microsoft Intuneリモート アクションを使用して、登録済みの Mac をリモートで管理します。