Intune での自動デバイス登録の認証方法

iOS/iPadOS に適用されます

この記事では、自動デバイス登録を使用して Intune に登録された iOS/iPadOS デバイスで使用できる認証方法について説明します。 使用可能な認証方法は次のとおりです。

• Intune ポータル サイト アプリ
• 先進認証を使用したセットアップ アシスタント
• 先進認証を使用したセットアップ アシスタントの Just In Time (JIT) 登録
• セットアップ アシスタント (レガシ)

すべての方法は、ユーザーアフィニティを持つ企業所有のデバイスで使用でき、Apple Business Manager または Apple School Manager を通じて購入できます。

オプション 1: アプリIntune ポータル サイト

次の場合は、認証方法として Intune ポータル サイト アプリを使用します。

• 多要素認証 (MFA) を使用します。
• 初めてサインインするときにユーザーにパスワードの変更を求める。
• 登録時に有効期限が切れたパスワードのリセットをユーザーに求める。
• デバイスをMicrosoft Entra IDに登録し、条件付きアクセスなどのMicrosoft Entra IDで使用できる機能を使用します。
• 登録中にポータル サイト アプリを自動的にインストールします。 会社で Volume Purchase Program (VPP) を使用している場合は、ユーザーの Apple ID なしで、登録時にポータル サイト アプリを自動的にインストールできます。
• ポータル サイト アプリがインストールされるまで、デバイスをロックしたい。

注意

デバイス ユーザーが アカウント駆動型の Apple ユーザー登録プロファイルの種類を対象としている場合、Intune はこの認証方法を使用する登録をブロックします。 この動作は仕様です。 ユーザーは、自分のアカウントがポータル サイト アプリを介した登録をサポートしていないというエラー メッセージを受け取り、ポータル サイト Web サイトを介して登録する必要があることを示します。 自動デバイス登録を使用して登録を成功させるには、アカウント駆動型の Apple ユーザー登録プロファイルの種類を操作するときに、認証方法として オプション 2: モダン認証 を使用したセットアップ アシスタントを使用します。

オプション 2: 先進認証を使用したセットアップ アシスタント

このオプションは、Intune ポータル サイト認証と同じセキュリティを提供しますが、ポータル サイトがインストールされていない場合でもデバイス ユーザーがデバイスの一部にアクセスできるため、異なります。 次の操作を行う場合は、認証にこのオプションを使用します。

• デバイスをワイプします。
• 多要素認証 (MFA) を使用します。
• 初めてサインインするときにユーザーにパスワードの変更を求める。
• 登録時に有効期限が切れたパスワードのリセットをユーザーに求める。
• デバイスをMicrosoft Entra IDに登録し、条件付きアクセスなどのMicrosoft Entra IDで使用できる機能を使用します。
• 登録中にポータル サイト アプリを自動的にインストールします。 会社で Volume Purchase Program (VPP) を使用している場合は、ユーザーの Apple ID なしで、登録時にポータル サイト アプリを自動的にインストールできます。
• ポータル サイト アプリがインストールされていない場合でも、ユーザーがデバイスを使用できるようにします。

最新の認証を使用したセットアップ アシスタントは、iOS/iPadOS 13.0 以降を実行しているデバイスでサポートされています。 この種類のプロファイルが割り当てられている古い iOS/iPadOS デバイスは、 セットアップ アシスタント (レガシ) 認証にフォールバックします。

ポータル サイト アプリを自動的にインストールする

会社で Volume Purchase Program (VPP) を使用している場合は、ユーザーの Apple ID なしで、登録時にポータル サイト アプリを自動的にインストールできます。 登録プロファイルで自動インストールを有効にするには、[VPP でポータル サイトをインストールする] で [はい] を選択します。 このオプションを使用することをお勧めします。

VPP オプションを使用しない場合、デバイス ユーザーはセットアップ アシスタント中、または Intune がポータル サイトのインストールを試みるときに Apple ID を入力する必要があります。

どちらのシナリオでも、ポータル サイトインストール オプションはデバイス ユーザーに表示されず、ポータル サイトはデバイスで必要なアプリになります。 ユーザーがホーム画面に到達すると、Intune によってデバイスに正しいアプリ構成ポリシーが自動的に適用されます。

注意

先進認証を使用して設定アシスタントに登録した後、iOS/iPadOS デバイスのポータル サイトに別のアプリ構成ポリシーを送信しないでください。 そうすると、エラーが発生します。

多要素認証

多要素認証 (MFA) は、登録時またはサインイン時に適用される条件付きアクセス ポリシーの場合ポータル サイト必要です。 ただし、MFA は、対象となる条件付きアクセス ポリシーのMicrosoft Entra設定に基づいて省略可能です。

現在、サード パーティの MFA プロバイダーを使用して登録時に MFA 画面を表示している場合、モダン認証を使用する設定アシスタントでは MFA が機能しません。 登録中は、Microsoft Entra多要素認証画面のみが機能します。

ポータル サイトアクションが必要です

セットアップ アシスタント画面が表示された後、デバイス ユーザーはホーム ページに移動します。 この時点で、ユーザー アフィニティが確立されます。 ただし、ユーザーがMicrosoft Entra資格情報を使用してポータル サイトにサインインし、[開始] を選択するまで、デバイスは次のようになります。

• Microsoft Entra IDに完全に登録されません。
• Microsoft Entra IDのユーザーのデバイス一覧には表示されません。
• 条件付きアクセスによって保護されているリソースにアクセスすることはできません。
• デバイスのコンプライアンスに対して評価されません。
• ユーザーが条件付きアクセスによって保護されているマネージド アプリケーションを開こうとすると、他のアプリからポータル サイトにリダイレクトされます。

オプション 3: 先進認証を使用したセットアップ アシスタントの Just In Time Registration

このオプションは、先進認証を使用したセットアップ アシスタントと同じですが、Microsoft Entra登録またはコンプライアンスにポータル サイトは必要ありません。 代わりに、Microsoft Entra登録とコンプライアンスチェックは、Apple シングル サインオン (SSO) アプリ拡張機能で構成されている指定された Microsoft または Microsoft 以外のアプリに完全に統合されます。 この拡張機能は、認証プロンプトを減らし、デバイス全体で SSO を確立します。 JIT 登録では、次の 2 回の認証をユーザーに求めます。

• 1 つの認証では、登録とユーザーとデバイスのアフィニティが処理され、デバイス ユーザーがデバイスをオンにしてセットアップ アシスタントにサインインしたときに発生します。
• 別の認証では、Microsoft Entra登録が処理され、ユーザーが指定されたアプリにサインインしたときに発生します。 コンプライアンスチェックは、このアプリでも行われます。

注:

organizationがMicrosoft Defender for Endpointを使用している場合は、JIT 登録とコンプライアンスの修復を想定どおりに機能させるには、Microsoft Defender for Endpoint アプリが最初に開かないようにします。

デバイス ユーザーは、ホーム画面に到達したら、SSO 拡張機能で構成されている職場または学校アプリにサインインして、Microsoft Entra登録とコンプライアンスチェックを完了できます。 SSO は、SSO 拡張機能ポリシーの一部であるすべてのアプリにユーザーをサインインさせます。 その時点で、SSO 拡張機能を使用するように構成されていないアプリに手動でサインインすることもできます。

自動デバイス登録を使用して JIT 登録を設定するには:

1. デバイス構成ポリシーを作成し、[ シングル サインオン アプリ拡張機能 ] カテゴリの設定を構成します。 手順については、「 ジャストインタイム登録を設定する」を参照してください。

2. Apple 登録プロファイルを作成 し、認証方法として [先進認証を使用したセットアップ アシスタント ] を選択します。 この手順を完了するには、Apple Business Manager または Apple School Manager からのアクティブな自動デバイス登録トークンが Intune に存在する必要があります。

3. 登録プロファイルの [割り当て] ページにアクセスしたら、Apple Business Manager と Apple School Manager から同期されたデバイスにプロファイルを割り当てます。 プロファイルを割り当てると、従業員と学生はデバイスのセットアップと認証を完了できます。

   注:

   ポータル サイトは、Microsoft Entra登録またはコンプライアンスに必要ない場合でも、必要なアプリとしてデバイスに送信されます。 デバイス ユーザーは、ポータル サイト アプリを使用して、アプリで問題が発生した場合にログを収集してアップロードできます。

成功した認証の例

次の一連のイベントでは、先進認証を使用したセットアップ アシスタントの JIT 登録で認証が成功した例について説明します。 自動デバイス登録の構成によっては、organizationのエクスペリエンスが異なる場合があります。

1. デバイス ユーザーがデバイスをオンにします。

2. セットアップ アシスタントが開始されます。 デバイス ユーザーは、セットアップ アシスタントでMicrosoft Entra資格情報を使用して認証します。

3. 条件付きアクセス ポリシーで必要な場合、デバイス ユーザーは多要素認証を完了します。

4. デバイスが Intune への登録を完了すると、ユーザーとデバイスのアフィニティが確立されます。

5. デバイス ユーザーはホーム画面に移動し、Microsoft Teams または別の Office アプリを開き、自分の職場アカウントでサインインします。 デバイスがすべてのコンプライアンス要件を満たしている場合、デバイス ユーザーはすぐにメッセージと予定表にアクセスできます。

   注:

   Microsoft Entra登録中に、Intune がコンプライアンス チェックを完了している間に、デバイス ユーザーに短いスピナーが表示される場合があります。 この動作は仕様です。

6. SSO 拡張機能は、他のすべての対象アプリとすべての Microsoft アプリでシングル サインオンを確立します。

7. デバイスはMicrosoft Entra IDに登録され、準拠しています。 管理センターとMicrosoft Entra IDでデバイスの状態を表示できます。 デバイス ユーザーは、Intune ポータル サイトで状態を表示し、コンプライアンス、アプリ インベントリ、デバイス同期、およびログ共有にポータル サイトを使用できます。

8. デバイス ユーザーが Teams を開き、自動的にサインインします。

オプション 4: セットアップ アシスタント (レガシ)

Apple 製品の一般的なすぐに使用できるエクスペリエンスをユーザーに提供する場合は、従来のセットアップ アシスタントを使用します。 このオプションは、デバイスが Intune に登録されるときに、標準の構成済み設定をインストールします。 認証には、次の場合にこのオプションを使用します。

• デバイスをワイプする場合。
• 多要素認証などの最新の認証機能は必要ありません。
• Microsoft Entra IDにデバイスを登録する必要はありません。 セットアップ アシスタント (レガシ) は、Apple .p7m トークンを使用してユーザーを認証します。

Active Directory フェデレーション サービスを使用しており、セットアップ アシスタントを使用して認証する場合は、WS-Trust 1.3 ユーザー名/混合エンドポイントが必要です。 詳細については、Windows PowerShell リファレンス ガイドの Get-AdfsEndpoint に関するページを参照してください。

次の手順

使用している認証方法がわかったら、 Apple 登録プロファイルを作成 し、メッセージが表示されたら認証方法を選択します。 この手順を完了するには、Apple Business Manager または Apple School Manager からのアクティブな自動デバイス登録トークンが Intune に存在する必要があります。