Intuneで自動デバイス登録を設定する

iOS/iPadOS に適用されます

Apple Business Manager または Apple School Manager を使用して購入した企業所有のデバイスは、自動デバイス登録を使用してIntuneに登録できます。 この登録オプションは、Apple Business Manager と Apple School Manager の組織の設定を適用し、デバイスに触れる必要なく登録します。 iPhone と iPad は、従業員や学生に直接出荷できます。 デバイスの電源を入れると、Apple セットアップ アシスタントによってセットアップと登録がガイドされます。

この記事では、Microsoft Intuneで自動デバイス登録を準備して設定する方法について説明します。

機能の概要

次の表は、自動デバイス登録でサポートされる機能とシナリオを示しています。

機能 この登録オプションの使用
監視モードが必要である。 ✔️

監視モードは、ソフトウェアの更新の展開、機能の制限、アプリの許可とブロックなどを行います。
デバイスが組織または学校によって所有されている。 ✔️
新しいデバイスがある。 ✔️
少数のデバイス、または多数のデバイス (一括登録) を登録する必要がある。 ✔️
デバイスが 1 人のユーザーに関連付けられている。 ✔️
デバイスにユーザーがいない (キオスクや専用デバイスなど)。 ✔️
デバイスは個人用または BYOD である。

この操作はお勧めしません。 BYOD または個人用デバイス上のアプリケーションは、 MAM または ユーザーとデバイスの登録を使用して管理できます。
デバイスは別の MDM プロバイダーによって管理されている。

Intune で完全に管理するには、ユーザーが現在の MDM プロバイダーから登録を解除してから、Intune に登録する必要があります。 または、MAM を使用して、デバイス上の特定のアプリを管理することができます。 これらのデバイスは組織によって所有されているため、Intuneに登録することをお勧めします。
デバイス登録マネージャー (DEM) を使用している。

DEM アカウントはサポートされていません。

前提条件

登録プロファイルを作成する前に、次のものが必要です。

はじめに

これらの登録要件とベスト プラクティスを読み、セットアップとデプロイを成功させるために準備します。

認証方法を選択する

登録プロファイルを作成する前に、ユーザーが自分のデバイスで認証する方法を決定します。Intune ポータル サイト アプリ、セットアップ アシスタント (レガシ)、またはモダン認証を使用したセットアップ アシスタントを使用します。 ポータル サイト アプリまたはセットアップ アシスタントを先進認証で使用することは、先進認証と見なされ、多要素認証などの機能があります。

Intuneでは、最新の認証を使用したセットアップ アシスタントの Just in Time Registration もサポートされており、Azure AD の登録とコンプライアンスのためのポータル サイト アプリの必要がなくなります。 JIT 登録を使用するには、Apple 登録プロファイルを作成し、先進認証でセットアップ アシスタントを構成する 前に 、デバイス構成ポリシーを作成する必要があります。 手順については、「 Just in Time Registration を設定する」を参照してください。

重要

JIT 登録はパブリック プレビュー段階です。 詳細については、「Microsoft Intune のパブリック プレビュー」を参照してください。

重要

JIT 登録は、GCC High テナントとクラウド テナントではサポートされていません。

最新の認証を使用したセットアップ アシスタントは、iOS/iPadOS 13.0 以降を実行しているデバイスでサポートされています。 このプロファイルを指定した古い iOS/iPadOS デバイスでは、代わりに認証にセットアップ アシスタント (レガシ) が使用されます。

認証オプションの詳細については、「 自動デバイス登録の認証方法」を参照してください。

監視モードとは何か。

監視モードでは、企業所有のデバイスに対する管理制御が向上するため、画面キャプチャのブロックや AirDrop の制限などを行うことができます。

iOS/iPadOS 11 以降を実行し、自動デバイス登録を介して登録される企業所有のデバイスは、常に監視モードである必要があります。このモードでは、登録プロファイルでオンにすることができます。 監視モードの詳細については、「 iOS/iPadOS 監視モードを有効にする」を参照してください。 Microsoft Intuneは、登録時にこれらのデバイスが自動的に監視モードになるため、iOS/iPadOS 13.0 以降を実行しているデバイスのis_supervised フラグを無視します。

ポータル サイト アプリのデプロイ

重要

ポータル サイト アプリのApp Storeバージョンを使用することはお勧めしません。これは、自動デバイス登録と互換性がなく、デプロイと同様に自動更新と可用性が提供されないためです。

Intuneを使用してIntune ポータル サイト アプリをデプロイすることは、ユーザーにアプリを提供する最善の方法であり、次の唯一の方法です。

  • 既に登録されているデバイスを含むすべての ADE デバイスがアプリを受け取っていることを確認します。
  • ADE デバイスでポータル サイトのアプリの自動更新を有効にします。

デバイス ライセンスを使用して、必要な VPP アプリとしてアプリをデプロイします。 VPP アプリを同期、割り当て、管理する方法については、「 ボリューム購入アプリの割り当て」を参照してください。

ポータル サイトのアプリの自動更新を有効にするには、管理センターでアプリ トークンの設定に移動し、[アプリの自動更新] を [はい] に変更します。 トークン設定にアクセスする手順については、「 Apple VPP または Apple Business Manager の場所トークンをアップロード する」を参照してください。 自動更新を有効にしない場合、デバイス ユーザーは手動で自分で確認する必要があります。

デバイス のステージング は、ユーザー アフィニティのないデバイスをユーザー アフィニティを持つデバイスに移行するために使用されます。 デバイスをステージングするには、このセクションで前述したように VPP デプロイを設定します。 次に、 アプリ構成ポリシーを構成してデプロイします。 ポリシーは、ユーザー アフィニティのない ADE デバイスのみを対象にしていることを確認します。

重要

初期登録時に、Intuneは、セットアップ アシスタントに登録されたデバイスのアプリ構成ポリシー設定を最新の認証で自動的にプッシュします。登録プロファイルの設定 [ポータル サイトのインストール] が [はい] に設定されている場合は、「自動デバイス登録に登録された iOS デバイスと iPadOS デバイスをサポートするようにポータル サイト アプリを構成する」で構成されます。 この構成は、初期登録中に送信された構成と競合するため、ユーザーに手動で展開しないでください。 両方が展開されている場合、Intuneは、既にインストールされている管理プロファイルをポータル サイトしてダウンロードするようにデバイス ユーザーに間違って求めます。

制限

  • トークンあたりの最大登録プロファイル数: 1,000
  • プロファイルあたりの自動デバイス登録デバイスの最大数: 200,000 (トークンあたりのデバイスの最大数と同じです)。
  • Intune アカウントあたりの自動デバイス登録トークンの最大数: 2,000
  • トークンあたりの自動デバイス登録デバイスの最大数: 200,000
    • トークンあたり 200,000 台のデバイスを超えないようにすることをお勧めします。 そうしないと、同期の問題が発生するおそれがあります。 20 万を超えるデバイスがある場合は、そのデバイスを複数の ADE トークンに分割してください。
    • Apple Business Manager と Apple School Manager は、1 分あたり約 3,000 台のデバイスをIntuneに同期します。 すべてのデバイスが同期を完了するのに十分な時間が経過するまで、管理センターからの手動同期を再度保留することをお勧めします (1 分あたりのデバイス数/3,000 デバイスの合計数)。

登録のトラブルシューティング

登録プロセス時に同期の問題が発生する場合は、iOS/iPadOS デバイスの登録の問題のトラブルシューティングに関するページで解決方法を確認できます。

Apple 自動デバイス登録トークンを取得する

iOS/iPadOS デバイスを ADE に登録するには、Apple から自動デバイス登録トークン (.p7m ファイル) が必要です。 このトークンを使用すると、組織Intune所有している ADE デバイスに関する情報を同期できます。 また、Intune から Apple に登録プロファイルをアップロードして、デバイスをそれらのプロファイルに割り当てられるようになります。

Apple Business Manager (ABM) または Apple School Manager (ASM) を使用してトークンを作成し、管理のためにデバイスをIntuneに割り当てます。

注:

ABM ポータルまたは ASM ポータルを使用して、ADE を有効にすることができます。 この記事の残りの部分では ABM ポータルについて記述されていますが、手順は両方のポータルで同じです。

手順 1: Intune 公開キー証明書をダウンロードする

  1. Microsoft Endpoint Manager admin center で、[デバイス]>[iOS/iPadOS]>[iOS/iPadOS 登録] の順に選択します。

    Microsoft Endpoint Manager admin center を示すスクリーンショット。

  2. [Enrollment Program トークン]>[追加] の順に選択します。

  3. [基本] タブで、次の操作を行います。

    1. [同意する] を選択して、Microsoft がユーザーとデバイスの情報を Apple に送信できるようにします。

      [Enrollment Program トークンの追加] 画面を示すスクリーンショット。

    2. [トークンを作成するために必要な Intune 公開キー証明書をダウンロードする] を選択します。 この手順では、暗号化キー (.pem) ファイルをダウンロードしてローカルに保存します。 .pem ファイルは、Apple Business Manager ポータルから信頼関係証明書を要求するために使用されます。

      この .pem ファイルは、「手順 2: Apple Business Manager ポータルに移動する」(この記事) の Apple Business Manager でアップロードします。

    3. この Web ブラウザーのタブとページは開いたままにしておきます。 タブを閉じると次のようになります。

      • ダウンロードした証明書が無効になります。
      • 手順を繰り返す必要があります。
      • [確認と作成] タブでは、[作成] ボタンを使用できないため、この手順を完了することはできません。

手順 2: Apple Business Manager ポータルに移動する

Apple Business Manager ポータルを使用して、ADE トークンを作成および更新します (MDM サーバー)。 このトークンは Intune に追加され、Intune と Apple の間で通信を行います。

注:

次の手順では、Apple Business Manager で行う必要がある内容について説明します。 具体的な手順については、Apple のドキュメントを参照してください。 「Apple Business Manager ユーザガイド」 (Apple の Web サイト上にあります) が役に立つ場合があります。

Apple トークンをダウンロードする

  1. Apple Business Manager で、会社の Apple ID を使用してサインインします。

  2. このポータルで、次の手順を完了します。

    • [設定] には、すべてのトークンが表示されます。 MDM サーバーを追加し、公開キー証明書 (.pem ファイル) をアップロードします。これは、「手順 1: Intune 公開キー証明書をダウンロードする」(この記事) で Intune からダウンロードしたものです。

      サーバー名を使用して、モバイル デバイス管理 (MDM) サーバーを識別します。 Microsoft Intune サービスの名前や URL ではありません。

    • MDM サーバーを保存した後、それを選択してから、トークン (.p7m ファイル) をダウンロードします。 この .p7m トークンを「手順 4: トークンをアップロードして完了する」(この記事) で Intune にアップロードします。

デバイスを Apple トークンに割り当てる (MDM サーバー)

  1. Apple Business Manager>[デバイス] で、このトークンに割り当てるデバイスを選択します。 シリアル番号など、さまざまなデバイス プロパティで並べ替えることができます。 同時に複数のデバイスを選択することもできます。
  2. デバイス管理を編集し、先ほど追加した MDM サーバーを選択します。 この手順ではデバイスをトークンに割り当てます。

手順 3: Apple ID を保存する

  1. Web ブラウザーで、Intune の [Enrollment Program トークンの追加] ページに戻ります。 「手順 1: Intune 公開キー証明書をダウンロードする」(この記事) で示されている通り、このページを開いた状態に保つ必要があります。

  2. [Apple ID] に、ご自分の ID を入力します。 この手順で ID が保存されます。 今後はこの ID を使用できます。

    [基本] タブの [Apple ID] ボックスを示すスクリーンショット。

手順 4: トークンをアップロードして完了する

  1. [Apple トークン] で、.p7m 証明書ファイルを参照してから、[開く] を選択します。

    この .p7m トークンは、「手順 2: Apple Business Manager ポータルに移動する」でダウンロードしました。

  2. [次へ] を選択します。

  3. (オプション。) この ADE トークンにスコープ タグを適用する場合は、[スコープ タグを選択] をクリックしてから、既存のスコープ タグを選びます。 トークンに適用されたスコープ タグは、そのトークンに追加されたプロファイルと ADE 登録済みデバイスによって継承されます。 参照されているデバイスは、ABM/ASM から同期されたデバイスであり、デバイスの自動登録を通じて登録され、特定のトークン内に表示されます。

    スコープ タグの詳細については、「分散 IT にロールベースのアクセス制御 (RBAC) とスコープのタグを使用する」を参照してください。

    [次へ] を選択します。

  4. [レビューと作成] タブで、[作成] を選択します。

プッシュ証明書を使用すると、Intune では、登録されたモバイル デバイスにポリシーをプッシュすることによって、iOS および iPadOS デバイスを登録して管理することができます。 Intune は Apple と自動的に同期して、Enrollment Program アカウントにアクセスします。

Apple の登録プロファイルを作成する

これでトークンがインストールされました。ADE デバイスの登録プロファイルを作成することができます。 デバイス登録プロファイルで、デバイス グループに対して登録時に適用する設定を定義します。 ADE トークンあたり 1,000 個の登録プロファイルという制限があります。

注:

VPP トークンに十分なポータル サイト ライセンスがない場合、またはトークンの有効期限が切れている場合は、デバイスがブロックされます。 トークンの有効期限が近づいている場合、またはライセンスが不足している場合は、Intune でアラートが表示されます。

  1. Microsoft Endpoint Manager admin center で、[デバイス]>[iOS/iPadOS]>[iOS/iPadOS 登録]>[Enrollment Program トークン] の順に選択します。
  2. トークンを選んでから、[プロファイル] を選択します。
  3. [プロファイルの作成]>[iOS/iPadOS] の順に選択します。
  4. [基本] では、管理用にプロファイルに [名前][説明] を指定します。 ユーザーには、これらの詳細は表示されません。
  5. [次へ] を選択します。

重要

既存の登録プロファイル設定に変更を加えた場合、デバイスが出荷時の設定にリセットされて再アクティブ化されるまで、割り当てられたデバイスに対して新しい変更は有効になりません。 再アクティブ化は、リモート管理ペイロードが ADE デバイスで受信されたときに発生します。 出荷時の設定にリセットする必要がない変更は、デバイス名テンプレートの名前を変更することだけです。

  1. [ユーザー アフィニティ] 一覧で、このプロファイルに対応するデバイスを割り当て済みユーザーとともに登録する必要があるかどうかを決定するオプションを選択します。

    • [ユーザー アフィニティとともに登録する]。 このオプションは、アプリのインストールなどのサービスにポータル サイトを使用する必要があるユーザーに属しているデバイスに対して選択します。

    • [ユーザー アフィニティなしで登録する]。 1 人のユーザーに関連付けられていないデバイスに対して、このオプションを選択します。 ローカルのユーザー データにアクセスしないデバイスには、このオプションを使用します。 このオプションは、通常、キオスク、販売時点管理 (POS)、または共有ユーティリティのデバイスに使用されます。

      場合によっては、ユーザー アフィニティなしで登録されたデバイスのプライマリ ユーザーを関連付ける必要があります。 このタスクを実行するには、マネージド デバイスのアプリ構成ポリシーで Intune ポータル サイト アプリに IntuneUDAUserlessDevice キーを送信します。 Intune ポータル サイト アプリに初めてサインインしたユーザーが、プライマリ ユーザーとして設定されます。 最初のユーザーがサインアウトし、2 番目のユーザーがサインインした場合、最初のユーザーは引き続きデバイスのプライマリ ユーザーになります。 詳細については、iOS および iPadOS の ADE デバイスをサポートするためのポータル サイト アプリの構成に関するページを参照してください。

  2. [ユーザー アフィニティ] フィールドで [ユーザー アフィニティを使用して登録] を選択した場合、従業員が使用する必要がある認証方法を選択できるようになりました。 各認証方法の詳細については、「 自動デバイス登録の認証方法」を参照してください。

    認証方法のオプションのスクリーンショット。

    次のようなオプションがあります。

    • ポータル サイト
    • セットアップ アシスタント (レガシ)
    • 先進認証を使用したセットアップ アシスタント
  3. 認証方法に [セットアップ アシスタント (レガシ)] を選択していても、条件付きアクセスを利用するか、デバイス上に会社のアプリを展開する場合、Azure AD の登録を完了するにはデバイス上にポータル サイトをインストールしてサインインする必要があります。 これを行うには、[ポータル サイトのインストール][はい] を選択します。 App Store への認証を行わずにユーザーがポータル サイトを受信できるようにする場合は、[VPP によるポータル サイトのインストール] で VPP トークンを選択します。 トークンの期限が切れていないことと、ポータル サイト アプリを適切に展開できるだけの十分なデバイス ライセンスを保持していることをご確認ください。

  4. [VPP によるポータル サイトのインストール] にトークンを選択した場合、セットアップ アシスタントの完了直後にシングル アプリ モードでデバイスをロックできます (具体的には、ポータル サイト アプリ)。 [Run Company Portal in Single App Mode until authentication]\(認証されるまでシングル アプリ モードでポータル サイトを実行する\)[はい] を選択すると、このオプションが設定されます。 デバイスを使用するには、ユーザーは最初にポータル サイトでサインインして認証する必要があります。

    注:

    シングル アプリ モードでロックされている単一のデバイス上では、多要素認証はサポートされていません。 そのデバイスでは別のアプリに切り替えて認証の 2 番目の要素を完了することができないため、この制限が設けられています。 シングル アプリ モードのデバイス上で多要素認証を使用する場合は、2 番目の要素が別のデバイス上にある必要があります。

    この機能は iOS/iPadOS 11.3.1 以降でのみサポートされます。

    シングル アプリ モードでのポータル サイトの実行オプションを示すスクリーンショット。

  5. このプロファイルを使用しているデバイスを監視対象にする場合は、[監視] 一覧で [はい] を選択します。

    [監視] オプションを示すスクリーンショット。

    [監視下] デバイスでは、より多くの管理オプションを使用できるようになり、既定で [アクティベーション ロック] は無効になります。 Microsoft では、特に多数の iOS/iPadOS デバイスを展開する場合に、監視モードを有効にするメカニズムとして ADE を使用することをお勧めしています。 Apple Shared iPad for Business デバイスを監視する必要があります。

    デバイスが監視対象であることは次の 2 つの方法でユーザーに通知されます。

    • ロック画面に "この iPhone は会社名によって管理されています" という内容のメッセージが表示されます。
    • [設定]>[全般]>[情報] 画面に、"この iPhone は監視対象です。会社名はインターネット トラフィックを監視し、このデバイスを見つけることができます" という内容のメッセージが表示されます。

    注:

    デバイスが監視なしで登録されており、それを監視対象に設定する場合は、Apple Configurator を使用する必要があります。 この方法でデバイスをリセットするには、USB ケーブルで Mac に接続する必要があります。 詳細については、Apple Configurator のヘルプに関するページを参照してください。

  6. [ロックされた登録] 一覧で、[はい] または [いいえ] を選択します。 ロックされた登録では、管理プロファイルを削除できる iOS/iPadOS 設定が無効になります。 ロックされた登録を有効にした場合、ユーザーが管理プロファイルを削除できるようにする設定アプリのボタンは非表示になり、ユーザーはデバイスの登録を解除できません。

    ロックされた登録は、最初は Apple Business Manager を使用して購入したデバイスではなく、自動デバイス登録の一部として追加されたデバイスでは、少し異なります。これらのデバイスのユーザーには、デバイスをアクティブ化した後、最初の 30 日間、[設定] アプリに [管理の削除] ボタンが表示されます。 その暫定期間が経過すると、オプションは非表示になります。 詳細については、「デバイスを 手動で準備 する(Apple Configurator ヘルプ ドキュメントを開く)」を参照してください。

    重要

    この設定は、ポータル サイト アプリの削除とリセットのオプションとは異なります。 ロックされた登録を構成する方法に関係なく、ポータル サイト アプリの [デバイスの削除] または [工場出荷時のリセット] オプションは、自動デバイス登録によって登録されたデバイスでは使用できなくなります。 ユーザーは、ポータル サイト Web サイトでデバイスを削除することもできません。 登録済みデバイスで使用できるセルフサービス アクションの詳細については、「 セルフサービス アクション」を参照してください。

  7. 前の手順で [ユーザー アフィニティなしで登録する][監視] を選択した場合、デバイスを Apple Shared iPad for Business デバイスに構成するかどうかを決定する必要があります。 [共有 iPad][はい] を選択すると、複数のユーザーが単一デバイスにサインインできるようになります。 ユーザーは、Managed Apple ID とフェデレーション認証アカウントを使用して、または一時的なセッション (ゲスト アカウントなど) を使用して認証されます。 このオプションを選択するには、iOS/iPadOS 13.4 以降が必要です。 Shared iPad では、アクティベーション後、すべてのセットアップ アシスタント ウィンドウが自動的にスキップされます。

    注:

    • 共有 iPad が有効になっている iOS/iPadOS の登録プロファイルが、サポートされていないデバイスに送信された場合は、デバイスのワイプが必要になります。 サポートされていないデバイスには、すべての iPhone モデルと、iPadOS/iOS 13.3 以前が実行されている iPad が含まれます。 サポートされているデバイスには、iPadOS 13.3 以降が実行されている iPad が含まれます。
    • Apple Shared iPad for Business を設定する場合は、これらの設定を構成します。
      • [ユーザー アフィニティ] 一覧で、[ユーザー アフィニティなしで登録する] を選択します。
      • [監視] 一覧で、[はい] を選択します。
      • [共有 iPad] 一覧で、[はい] を選択します。

    Apple Shared iPad for Business デバイスを設定する場合は、以下も構成します。

    • キャッシュされた最大ユーザー数: 共有 iPad を使用すると予想されるユーザー数を入力します。 32 GB または 64 GB のデバイスで最大 24 ユーザーをキャッシュできます。 小さい数を選ぶと、ユーザーのデータがサインイン後にデバイスに表示されるまで時間がかかることがあります。 大きい数を選ぶと、ユーザーに十分なディスク領域が割り当てられない場合があります。

    • 画面ロック後、パスワードが必要になるまでの最大秒数: 0 から 14,400 までの秒数を入力します。 画面ロックがこの時間を超えた場合は、デバイスのロックを解除するためにデバイスのパスワードが必要になります。 iPadOS 13.0 以降を実行している共有 iPad モードのデバイスで使用できます。

    • ユーザー セッションがログアウトするまでの非アクティブ時間の最大秒数: この設定の最小許容値は 30 です。 定義された期間を過ぎてもアクティビティがない場合、ユーザー セッションは終了し、ユーザーはサインアウトされます。エントリを空白のままにするか、0 (0) に設定した場合、非アクティブのためセッションは終了しません。 iPadOS 14.5 以降を実行している共有 iPad モードのデバイスで使用できます。

    • 共有 iPad の一時的なセッションのみを必要とする: ユーザーがゲスト バージョンのサインイン エクスペリエンスのみを表示し、ゲストとしてサインインする必要があるデバイスを構成します。 管理対象の Apple ID でサインインすることはできません。 iPadOS 14.5 以降を実行している共有 iPad モードのデバイスで使用できます。

      [はい] に設定すると、次の共有 iPad 設定は一時的なセッションには適用されないため、取り消されます。

      • キャッシュされたユーザーの最大数
      • 画面ロック後にパスワードが要求されるまでの最大秒数
      • ユーザー セッションがログアウトするまでの非アクティブ時間の最大秒数
    • 一時的なセッションがログアウトするまでの非アクティブ時間の最大秒数: この設定の最小許容値は 30 です。 定義された期間の後にアクティビティがない場合は、一時的なセッションが終了し、ユーザーがサインアウトします。エントリを空白のままにするか、0 (0) に設定した場合、非アクティブのためセッションは終了しません。 iPadOS 14.5 以降を実行している共有 iPad モードのデバイスで使用できます。

      この設定は、[共有 iPad の一時的なセッションのみを必要とする][はい] に設定されている場合に使用できます。

    注:

    • 一時セッションが有効になっている場合、セッションからサインアウトすると、ユーザーのデータはすべて削除されます。 つまり、すべての対象となるポリシーとアプリは、サインイン時にユーザーに表示され、ユーザーがサインアウトすると削除されます。
    • 共有 iPads 構成を一時的なセッションを持たなく変更するには、デバイスを完全にリセットする必要があります。更新された構成を持つ新しい登録プロファイルを iPad に送信する必要があります。
  8. [コンピューターと同期する] 一覧で、このプロファイルを使用するデバイスのオプションを選択します。 [証明書による Apple Configurator の許可] を選択した場合は、[Apple Configurator の証明書] で証明書を選ぶ必要があります。

    注:

    [コンピューターと同期する][すべて拒否] に設定した場合、iOS および iPadOS デバイス上でポートが制限されます。 このポートは課金のみに制限されます。 iTunes または Apple Configurator 2 の使用に対してブロックされます。

    [コンピューターと同期する][証明書による Apple Configurator の許可] に設定した場合は、後で使用できる証明書のローカル コピーを必ず保持するようにしてください。 アップロードされたコピーを変更することはできません。この証明書のコピーを保持することが重要です。 macOS デバイスまたは PC から iOS/iPadOS デバイスに接続する場合は、iOS/iPadOS デバイスへの接続を行うデバイスに同じ証明書をインストールする必要があります。

  9. 前の手順で [証明書による Apple Configurator の許可] を選択した場合は、インポートする Apple Configurator の証明書を選びます。

  10. デバイスに対して登録時に自動的に適用される名前付け形式と、連続する各チェックインにおける名前付け形式を指定することができます。 名前付けテンプレートを作成するには、[デバイス名のテンプレートを適用する][はい] を選択します。 次に、[デバイス名のテンプレート] ボックスに、このプロファイルを使用する名前に使うテンプレートを入力します。 デバイスの種類とシリアル番号を含むテンプレート形式を指定できます。 この機能では iPhone、iPad、および iPod Touch がサポートされます。 デバイス名テンプレート エントリの長さは、変数を含めて最長 63 文字にする必要があります。

  11. 携帯電話データ プランをアクティブ化できます。 この設定は、iOS/iPadOS 13.0 以降を実行しているデバイスに適用されます。 このオプションを構成すると、eSIM 対応の携帯電話デバイスの携帯電話データ プランをアクティブ化するコマンドが送信されます。 このコマンドを使用してデータ プランをアクティブ化するには、通信事業者がデバイスのライセンス認証を準備する必要があります。 携帯電話データ プランをアクティブにするには、[はい] をクリックし、通信事業者のライセンス認証サーバーの URL を入力します。

  12. [次へ] を選択します。

  13. [セットアップ アシスタント] タブで、次のプロファイル設定を構成します。

    部門の設定 説明
    Department アクティブ化中にユーザーが [構成について] をタップすると表示されます。
    部署の電話番号 アクティブ化中にユーザーが [ヘルプが必要ですか] ボタンをタップすると表示されます。

    ユーザーのセットアップ時に、デバイス上でセットアップ アシスタントの画面を非表示にすることを選択できます。

    • [非表示] を選択した場合、セットアップ時に画面は表示されません。 デバイスを設定した後、ユーザーは引き続き [設定] メニューに移動して機能を設定できます。
    • [表示] を選択すると、設定時に画面が表示されますが、復元後またはソフトウェアの更新後に完了する手順がある場合に限ります。 ユーザーは、何も行わずに画面をスキップできる場合があります。 後でデバイスの [設定] メニューに移動して機能を設定することができます。
    • Shared iPad では、構成に関係なく、アクティベーション後、すべてのセットアップ アシスタント ウィンドウが自動的にスキップされます。
    セットアップ アシスタントの機能 表示された場合の動作
    パスコード パスコードを入力するようユーザーに求めます。 デバイスがセキュリティで保護されていない場合は、他の何らかの方法でアクセスが制御されていない限り、パスコードを常に必須にします。 (デバイスを 1 つのアプリに制限するキオスク モードの構成など)。iOS/iPadOS 7.0 以降の場合。
    位置情報サービス 位置情報をユーザーに要求します。 macOS 10.11 以降と、iOS/iPadOS 7.0 以降が対象です。
    Restore [アプリ & データ] 画面を表示します。 この画面では、デバイスを設定するときに iCloud Backup からデータを復元または転送するオプションがユーザーに表示されます。 macOS 10.9 以降、および iOS/iPadOS 7.0 以降の場合。
    Apple ID Apple ID を使用してサインインし、iCloud を使用するオプションをユーザーに提供します。 macOS 10.9 以降、および iOS/iPadOS 7.0 以降の場合。
    使用条件 Apple の使用条件に同意するようユーザーに要求します。 macOS 10.9 以降、および iOS/iPadOS 7.0 以降の場合。
    Touch ID と Face ID デバイスに指紋または顔認証を設定するオプションをユーザーに提供します。 macOS 10.12.4 以降、および iOS/iPadOS 8.1 以降の場合。 iOS および iPadOS 14.5 以降では、デバイスのセットアップ中に、パスコードと Touch ID のセットアップ アシスタントの画面が動作しません。 バージョン 14.5 以降を使用する場合は、パスコードまたは Touch ID のセットアップ アシスタントの画面を構成しないでください。 デバイスにパスコードが必要な場合は、デバイス構成ポリシーまたはコンプライアンス ポリシーを使用してください。 ユーザーが登録し、ポリシーを受信すると、パスコードの入力が求められます。
    Apple Pay デバイスに Apple Pay を設定するオプションをユーザーに提供します。 macOS 10.12.4 以降、および iOS/iPadOS 7.0 以降の場合。
    拡大 ユーザーに、デバイスを設定するときに表示を拡大するオプションを表示します。 iOS/iPadOS 8.3 以降の場合。
    Siri Siri を設定するオプションをユーザーに提供します。 macOS 10.12 以降、および iOS/iPadOS 7.0 以降の場合。
    診断データ [診断] 画面を表示します。 この画面は、診断データを Apple に送信するオプションをユーザーに提供します。 macOS 10.9 以降、および iOS/iPadOS 7.0 以降の場合。
    画面トーン 画面トーンをオンにするオプションをユーザーに提供します。 macOS 10.13.6 以降、および iOS/iPadOS 9.3.2 以降の場合。
    プライバシー [プライバシー] 画面を表示します。 macOS 10.13.4 以降、および iOS/iPadOS 11.3 以降の場合。
    Android の移行 Android デバイスからデータを移行するオプションをユーザーに提供します。 iOS/iPadOS 9.0 以降の場合。
    iMessage & FaceTime iMessage と FaceTime を設定するオプションをユーザーに提供します。 iOS/iPadOS 9.0 以降の場合。
    オンボーディング 送付状やマルチタスク コントロール センターなど、ユーザー教育用のオンボード情報画面を表示します。 iOS/iPadOS 11.0 以降の場合。
    スクリーン タイム [スクリーン タイム] 画面を表示します。 macOS 10.15 以降、および iOS/iPadOS 12.0 以降の場合。
    SIM の設定 契約プランを追加するオプションをユーザーに提供します。 iOS/iPadOS 12.0 以降の場合。
    ソフトウェア更新プログラム 必須のソフトウェア更新プログラムの画面を表示します。 iOS/iPadOS 12.0 以降の場合。
    ウォッチの移行 ウォッチ デバイスからデータを移行するオプションをユーザーに提供します。 iOS/iPadOS 11.0 以降の場合。
    外観モード [外観] 画面を表示します。 macOS 10.14 以降、および iOS/iPadOS 13.0 以降の場合。
    デバイス間の移行 古いデバイスからこのデバイスへデータを移行するオプションをユーザーに示します。 この機能は、iOS 13 以降を実行している ADE デバイスでは使用できないため、この画面はそれらのデバイスには表示されません。
    復元が完了しました セットアップ アシスタント中にバックアップと復元が実行された後に、[復元が完了しました] 画面がユーザーに表示されます。
    ソフトウェア更新プログラムが完了しました セットアップ アシスタント中に発生したすべてのソフトウェア更新プログラムがユーザーに表示されます。
    はじめに [はじめに] のようこそ画面がユーザーに表示されます。
  14. [次へ] を選択します。

  15. プロファイルを保存するには、[作成] を選択します。

注:

"デバイスの自動登録" デバイスを再登録する必要がある場合は、まず Intune 管理コンソールからデバイスをワイプする必要があります。 再登録するには、次のようにします。

  1. Intune コンソールからデバイスをワイプします。
    • または、Intune コンソールのインベントリからデバイスを削除し、設定アプリ、Apple Configurator 2、または iTunes を使用してデバイスを出荷時設定にリセットします。
  2. デバイスを再度アクティブ化し、設定アシスタントを実行して "リモート管理プロファイル" を受信します。

Azure Active Directory の動的グループ

登録の [名前] フィールドを使用して、Azure Active Directory (Azure AD) で動的グループを作成できます。 詳細については、Azure Active Directory の動的グループに関する記事をご覧ください。

プロファイル名を使用して、この登録プロファイルに対応するデバイスを割り当てるために enrollmentProfileName パラメーターを定義できます。

ユーザー アフィニティを使用する ADE デバイスで最速のポリシー配信を行う場合は、デバイスのセットアップの前に、登録ユーザーが Azure AD ユーザー グループのメンバーであることをご確認ください。

動的グループを登録プロファイルに割り当てる場合、登録後にデバイスに対してアプリケーションとポリシーを配信するときに、遅延が発生するおそれがあります。

マネージド デバイスを同期する

デバイスを管理するアクセス許可を Intune に割り当てたので、Intune と Apple を同期して、マネージド デバイスを Azure ポータルの Intune に表示できます。

  1. Microsoft Endpoint Manager admin center で、[デバイス]>[iOS/iPadOS]>[iOS/iPadOS 登録]>[Enrollment Program トークン] の順に選択します。

  2. 一覧でトークンを選んでから、[デバイス]>[同期] の順に選択します。

    iOS および iPadOS デバイスを Enrollment Program トークンに同期する方法を示すスクリーンショット。

    許容される Enrollment Program トラフィックについての Apple の規約に準拠するために、Intune では次の制限が課せられています。

    • 完全な同期は 7 日に 1 回だけ実行できます。 完全な同期中に、Intune に接続された Apple MDM サーバーに割り当てられているシリアル番号の完全な最新の一覧を Intune がフェッチします。

      重要

      デバイスが Intune から削除されても、ASM/ABM ポータルで ADE 登録トークンに割り当てられたままの場合、次回の完全同期時に Intune に再び表示されます。デバイスを Intune に再表示しない場合は、ABM/ASM ポータルで Apple MDM サーバーからデバイスの割り当てを解除します。

    • デバイスが ABM/ASM からリリースされた場合、Intune の [デバイス] ページから自動的に削除されるまでに最大 45 日かかることがあります。 必要に応じて、Intune からリリース済みのデバイスを 1 つずつ手動で削除することができます。 リリースされたデバイスは、30 から 45 日以内に自動的に削除されるまで、Intuneで ABM/ASM から削除されたと正確に報告されます。
    • 差分同期は 12 時間ごとに自動的に実行されます。 [同期] ボタンを選択して、差分同期をトリガーすることもできます (15 分に 1 回のみ)。 すべての同期要求は、完了までに 15 分与えられます。 同期が完了するまで、[同期] ボタンは無効になっています。 この同期により、既存のデバイスの状態が更新され、Apple MDM サーバーに割り当てられている新しいデバイスがインポートされます。 差分同期が何らかの理由で失敗した場合、問題を解決するために次の同期は完全同期になります。

登録プロファイルをデバイスに割り当てる

デバイスを登録する前に、それらに Enrollment Program プロファイルを割り当てる必要があります。

注:

[Apple Serial Numbers]\(Apple シリアル番号\) ペインでプロファイルにシリアル番号を割り当てることもできます。

  1. Microsoft Endpoint Manager admin center で、[デバイス]>[iOS/iPadOS]>[iOS/iPadOS 登録]>[Enrollment Program トークン] の順に選択します。 一覧でトークンを選びます。
  2. [デバイス] を選択します。 一覧でデバイスを選んでから、[プロファイルの割り当て] を選択します。
  3. [プロファイルの割り当て] でデバイス用のプロファイルを選んでから、[割り当て] を選択します。

既定のプロファイルを割り当てる

特定のトークンに登録するすべてのデバイスに適用される既定のプロファイルを選択することができます。

  1. Microsoft Endpoint Manager admin center で、[デバイス]>[iOS/iPadOS]>[iOS/iPadOS 登録]>[Enrollment Program トークン] の順に選択します。 一覧でトークンを選びます。
  2. [既定のプロファイルの設定] を選択し、一覧からプロファイルを選んでから、[保存] を選択します。 そのプロファイルは、トークンに登録されたすべてのデバイスに適用されます。

注:

[登録制限] の下の [デバイスの種類の制限] で、iOS および iPadOS プラットフォームをブロックするように既定の [すべてのユーザー] ポリシーを設定しないようにします。 この設定は、ユーザーの構成証明に関係なく、自動登録が失敗し、デバイスが無効なプロファイルとして表示される原因となります。 会社が管理するデバイスによる登録のみを許可するには、個人所有のデバイスだけをブロックします。この場合、会社のデバイスの登録が許可されます。 Microsoft では、会社のデバイスは Device Enrollment Program 経由で登録されたデバイス、または [業務用デバイスの ID] で手動で入力されたデバイスとして定義されています。

デバイスを配布する

Apple と Intune の間の管理と同期を有効にし、ADE デバイスを登録できるようにプロファイルを割り当てました。 これで、デバイスをユーザーに配布する準備ができました。 知っておく必要があることをいくつか以下に示します。

  • ユーザー アフィニティとともに登録されたデバイスでは、各ユーザーに Intune ライセンスを割り当てる必要があります。

  • ユーザー アフィニティなしで登録されたデバイスには、通常、関連付けられているユーザーはいません。 これらのデバイスには Intune デバイス ライセンスが必要です。 ユーザー アフィニティなしで登録されたデバイスが Intune のライセンスがあるユーザーによって使用される場合、デバイスのライセンスは必要ありません。

    まとめると、デバイスにユーザーがいる場合は、そのユーザーに Intune ライセンスが割り当てられている必要があります。 デバイスに Intune のライセンスがあるユーザーがいない場合、そのデバイスには Intune デバイス ライセンスが必要です。

    Intune ライセンスの詳細については、「Microsoft Intune のライセンス」と、Intune 計画ガイドに関するページを参照してください。

  • アクティブ化されたデバイスは、ADE を使用して適切に Intune に登録する前にワイプする必要があります。 ワイプした後、もう一度アクティブ化する前に、登録プロファイルを適用できます。 既存の iPhone、iPad、iPod touch の設定に関するページを参照してください

  • ADE とユーザー アフィニティを使用して登録する場合、セットアップ中に次のエラーが発生するおそれがあります。

    The SCEP server returned an invalid response.

    15 分以内に管理画面を再度ダウンロードすることで、このエラーを解決できます。 15 分を超えている場合、このエラーを解決するには、デバイスを出荷時設定にリセットする必要があります。 このエラーは、セキュリティに適用される、SCEP 証明書での 15 分間の制限によって発生します。

エンド ユーザー エクスペリエンスについては、ADE を使用する Intune への iOS/iPadOS デバイスの登録に関するページを参照してください。

自動デバイス登録トークンを更新する

トークンの更新が必要になる場合があります。

  • 毎年、ADE トークンを更新します。 Endpoint Manager admin center に有効期限が表示されます。
  • Apple Business Manager でトークンを設定したユーザーの Apple ID パスワードが変更された場合は、Intune および Apple Business Manager で Enrollment Program トークンを更新します。
  • Apple Business Manager でトークンを設定したユーザーが組織を離れた場合は、Intune および Apple Business Manager で Enrollment Program トークンを更新します。
  • ADE トークンの作成に使用する Apple ID を変更した場合、その変更は現在登録されているデバイスには影響しません。

トークンを更新する

  1. business.apple.com に移動し、管理者またはデバイス登録マネージャーのロールを持つアカウントでサインインします。

  2. [設定] を選択します。 [MDM サーバー] で、更新するトークン ファイルに関連付けられた MDM サーバーを選択します。 [Download Token]\(トークンのダウンロード\) を選択します。

    Apple Business Manager で Apple トークンを更新してダウンロードする方法を示すスクリーンショット。

  3. [Download Server Token]\(サーバー トークンをダウンロードする\) を選択します。

    注:

    プロンプトに示されているように、トークンを更新する予定がない場合は [Download Server Token]\(サーバー トークンをダウンロードする\) を選択しないでください。 そのようにすると、Intune (またはその他の MDM ソリューション) で使用されているトークンが無効になります。 トークンを既にダウンロードしている場合は、トークンが更新されるまで必ず次の手順を続行してください。

  4. トークンをダウンロードした後、Microsoft Endpoint Manager admin center に移動します。 [デバイス]>[iOS/iPadOS]>[iOS/iPadOS 登録]>[Enrollment Program トークン] の順に選択します。 トークンを選びます。

  5. [トークンを更新する] を選択します。 元のトークンの作成に使用した Apple ID を入力します (自動的に設定されていない場合)。

    [トークンを更新する] ページを示すスクリーンショット。

  6. 新しくダウンロードしたトークンをアップロードします。

  7. [次へ] を選択して、[スコープ タグ] ページに移動します。 必要に応じて、スコープ タグを割り当てます。

  8. [トークンを更新する] を選択します。 トークンが更新されたことの確認が表示されます。

    確認メッセージを示すスクリーンショット。

自動デバイス登録トークンを Intune から削除する

次の場合に限り、Intune から登録プロファイル トークンを削除できます。

  • トークンに割り当てられているデバイスがない。
  • 既定のプロファイルに割り当てられているデバイスがない。
  • そのトークンに登録プロファイルがない。

登録プロファイル トークンを削除するには:

  1. Microsoft Endpoint Manager admin center で、[デバイス]>[iOS/macOS]>[iOS/macOS 登録]>[Enrollment Program トークン] の順に選択します。 トークンを選んでから、[デバイス] を選択します。
  2. トークンに割り当てられているすべてのデバイスを削除します。
  3. [デバイス]>[iOS/macOS]>[iOS/macOS 登録]>[Enrollment Program トークン] の順に移動します。 トークンを選んでから、[プロファイル] を選択します。
  4. 既定のプロファイルまたは他の登録プロファイルがある場合は、すべてを削除する必要があります。
  5. [デバイス]>[iOS/macOS]>[iOS/macOS 登録]>[Enrollment Program トークン] の順に移動します。 トークンを選んでから、[削除] を選択します。

次の手順

iOS/iPadOS のバックアップと復元のシナリオ

iOS/iPadOS 登録の概要