Intune では、Mac コンピューター上で実行される Apple Configurator を使用した iOS/iPadOS デバイスの登録がサポートされています。 この手順は、 Apple Configurator 登録プロセス に表示される内容とは異なります。これは、ユーザー アフィニティのないデバイスのみを登録するためです。 Apple Configurator を使用して登録するには、各 iOS/iPadOS デバイスを Mac コンピューターに USB 接続し、会社の登録を設定する必要があります。
Apple Configurator を使用して、直接登録することで、デバイスをユーザーレス デバイスとしてIntuneに登録できます。 このメソッドはデバイスをワイプせず、iOS/iPadOS 設定を使用してデバイスを登録します。 この方法は、ユーザー アフィニティなしのデバイスのみに使用できます。
この記事では、iOS/iPadOS デバイス管理を設定し、職場で使用するユーザーレス デバイスを登録する方法について説明します。
証明書
重要
現時点では ACME プロファイルのダウンロードはサポートされていないため、エラーが発生します。 この問題を解決してサポートを復元するまで、すべてのデバイスの SCEP プロファイルをダウンロードしてください。
Apple Configurator の登録では、自動証明書管理環境 (ACME) プロトコルがサポートされています。 新しいデバイスが登録されると、デバイス上の管理プロファイルは ACME 証明書を受け取ります。 ACME プロトコルは、堅牢な検証メカニズムと自動化されたプロセスを通じて、承認されていない証明書の発行に対する SCEP プロトコルよりも優れた保護を提供します。これにより、証明書管理のエラーを減らすことができます。
既に登録されているデバイスは、Microsoft Intuneに再登録しない限り、ACME 証明書を取得しません。 ACME は、次を実行しているデバイスでサポートされています。
iOS 16.0 以降
iPadOS 16.1 以降
前提条件
- iOS/iPadOS デバイスへの物理的なアクセス
- MDM 機関の設定
- Apple MDM プッシュ証明書
- デバイスのシリアル番号 (セットアップ アシスタントでの登録時のみ)
- USB 接続ケーブル
- Apple Configurator 2.0 が実行されている macOS コンピューター
デバイスの Apple Configurator プロファイルを作成する
デバイス登録プロファイルで、登録時に適用する設定を定義します。 これらの設定は、1 回だけ適用されます。 Apple Configurator を使用して iOS/iPadOS デバイスを登録するための登録プロファイルを作成するには、以下の手順に従います。
Microsoft Intune 管理センターにサインインします。
[デバイス] に移動します。
[ デバイス オンボード] を展開し、[ 登録] を選択します。
[ Apple ] タブを選択します。
[ 一括登録方法] で、[ Apple Configurator] を選択します。
[プロファイル>作成] に移動します。
[ 登録プロファイルの作成] の [ 基本 ] タブで、プロファイルの [名前] と [説明] を入力します。 ユーザーには、これらの詳細は表示されません。 名前を使用して、Microsoft Entra IDで動的グループを作成できます。 この登録プロファイルに対応するデバイスを割り当てるために enrollmentProfileName パラメーターを定義する場合はプロファイル名を使用します。 ルールを使用して動的グループを作成する方法の詳細については、「 グループ メンバーシップ ルールを作成する」を参照してください。
[ 次へ ] を選択して 、[設定] ページに移動します。
[ユーザー アフィニティ] で、このプロファイルに対応するデバイスを割り当て済みユーザーとともに登録する必要があるかどうかを選択します。
- [ユーザー アフィニティなしで登録 する] - 1 人のユーザーに関係のないデバイスに対してこのオプションを選択し、ユーザーレス デバイスとして登録します。 ローカルのユーザー データにアクセスせずにタスクを実行するデバイスで使用します。 ユーザー アフィリエーションが必要なアプリ (基幹業務アプリのインストールに使用されるポータル サイト アプリを含む) は機能しません。 直接登録の場合は必須です。
[作成] を選択してプロファイルを保存します。
デバイス グループを作成する
Intune で、割り当てられたデバイス グループまたは動的デバイス グループを作成できます。 両方のグループについて詳しくは、「ユーザーとデバイスを整理するためのグループを追加する」をご覧ください。
動的デバイス グループは、一連のルールとパラメーターに基づいてデバイスを自動的に追加および削除するように構成されます。 たとえば、登録プロファイル名でデバイスをグループ化できます。
Apple 企業所有のユーザーレス登録プロファイルに登録されているデバイスの動的なMicrosoft Entra デバイス グループを作成するには、次の手順を実行します。
管理センターで、[グループ>すべてのグループ>新しいグループ] に移動します。
次のように、必要なフィールドを入力します。
- [グループの種類]: セキュリティ
- [グループ名]: わかりやすい名前を入力します (Factory 1 デバイスなど)
- [メンバーシップの種類]: 動的デバイス
[動的クエリの追加] を選択します。
[動的メンバーシップ ルール] ブレードで、次のようにフィールドに入力します。
- [動的メンバーシップ ルールの追加]: 簡易ルール
- [追加するデバイスの場所]: enrollmentProfileName
- 中央のボックスで [等しい] を選択します。
- 最後のフィールドに、「 デバイスの Apple Configurator プロファイルを作成する」で作成した登録プロファイル名を入力します。
動的メンバーシップルールの詳細については、「Microsoft Entra IDのグループの動的メンバーシップルール」を参照してください。
[クエリの追加]>[作成] を選択します。
プロファイルを .mobileconfig として iOS/iPadOS デバイスにエクスポートする
Microsoft Intune管理センターで、[デバイス] に移動します。
[ デバイス オンボード] を展開し、[ 登録] を選択します。
[ Apple ] タブを選択します。
[ 一括登録方法] で、[ Apple Configurator] を選択します。
[プロファイル] に移動します。 エクスポートするプロファイルを選択します。
- オペレーティング システムに基づいて SCEP または ACME プロファイルを選択します。
[ プロファイルのエクスポート] を選択します。
プロファイルの URL をコピーします。 Apple Configurator にこれを追加すれば、iOS/iPadOS デバイスで使用する Intune プロファイルを定義できます。
[直接登録] で、[プロファイルのダウンロード] を選択して、ファイルを保存します。 登録プロファイルのファイルは 2 週間のみ有効で、これを過ぎると再作成が必要です。
Apple Configurator を実行している Mac コンピューターにファイルを転送し、管理プロファイルとして iOS/iPadOS デバイスに直接プッシュします。
次の手順に従って、Apple Configurator を使用してデバイスを準備します。
Mac コンピューターで Apple Configurator 2.0 を開きます。
iOS/iPadOS デバイスを USB ケーブルで Mac コンピューターに接続します。 デバイスの検出時にそのデバイス用に開かれた写真、iTunes、その他のアプリを閉じます。
Apple Configurator で、接続された iOS/iPadOS デバイスを選択し、[追加] ボタンを選択します。 デバイスに追加できるオプションがドロップダウン リストに表示されます。 [プロファイル] を選択します。
ファイル ピッカーを使用して、Intune からエクスポートした .mobileconfig ファイルを選択し、[追加] を選択します。 プロファイルがデバイスに追加されます。 デバイスが "監視対象外" の場合は、インストール時にデバイスの承認が必要です。
次の手順を使用して、iOS/iPadOS デバイスにプロファイルをインストールします。 デバイスでセットアップ アシスタントが既に完了し、使用する準備ができている必要があります。 登録のためにアプリの展開が必要な場合は、アプリの展開時に Apple ID で App Store にサインインする必要があるため、デバイスに Apple ID が設定されている必要があります。
- iOS/iPadOS デバイスのロックを解除します。
- [管理プロファイル] の [プロファイルのインストール] ダイアログ ボックスで、[インストール] を選択します。
- 必要に応じて、デバイスのパスコードまたは Apple ID を入力します。
- [警告] を受け入れ、[インストール] を選択します。
- [リモート警告] を受け入れ、[信頼] を選択します。
- [インストール完了] ボックスでプロファイルがインストール済みであることを確認したら、[完了] を選択します。
iOS/iPadOS デバイスで、[設定] を開き、[全般]>[デバイス管理]>[管理プロファイル] の順に移動します。 プロファイルのインストールが一覧表示されていることを確認し、iOS/iPadOS のポリシー制限とインストールされているアプリを確認します。 ポリシー制限とアプリがデバイスに表示されるまでに、最大 10 分かかることがあります。
デバイスを配布します。 これで、iOS/iPadOS デバイスが Intune に登録され、管理対象になりました。
登録した後
アプリの更新
Microsoft Intune アプリは、それ自体、Authenticator、およびポータル サイトで利用可能なアプリの更新プログラムを自動的にインストールします。 更新プログラムが利用可能になると、Intune アプリは閉じて更新プログラムをインストールします。 更新プログラムをインストールするには、アプリは完全に閉じられている必要があります。
デバイスをリモートで管理する
Apple デバイスでは、次のリモート アクションを使用できます。
- 破棄
- ワイプ
- Delete
- リモート ロック
- 同期
- パスコードを削除する
- ライセンスの取り消し
一度に 1 つのデバイスでアクションを実行できます。 Intune でリモート アクションを検索する場所の詳細については、「ワイプ、廃止、または手動での登録解除を使用してデバイスを削除する」 を参照してください。
トラブルシューティングとサポート
Microsoft Intune管理センターの [トラブルシューティングとサポート] に移動して、次の手順を実行します。
- ユーザーが登録した iOS/iPadOS デバイスの一覧を表示します。
- Apple デバイスのトラブルシューティングは、他のユーザー デバイスのトラブルシューティングと同じ方法で有効にします。
既知の制限
正しいオペレーティング システムであっても、ACME プロファイルが iOS/iPadOS 16 以降にインストールできない場合があります。 その場合は、代わりに SCEP プロファイルを使用します。 「プロファイルを .mobileconfig として iOS/iPadOS デバイスにエクスポートする」の手順に従って、SCEP プロファイルをデバイスにインストールします。 1 回インストールできない場合は、インストールが成功するまで再試行してください。
次の手順
- 特定のユーザーを持つデバイスの設定を制限する iOS/iPadOS MDM アプリ構成ポリシーを作成します。
- Apple Configurator を使用した直接登録で macOS デバイスを登録する方法については、「macOS デバイスに直接登録を使用する」を参照してください。