Intuneで自動デバイス登録を設定する

  • [アーティクル]

iOS/iPadOS に適用されます

Apple Business Manager または Apple School Manager を使用して購入した企業所有のデバイスは、自動デバイス登録を使用してIntuneに登録できます。 この登録オプションは、Apple Business Manager と Apple School Manager のorganizationの設定を適用し、デバイスに触れる必要なく登録します。 iPhone と iPad は、従業員や学生に直接出荷できます。 デバイスの電源を入れると、Apple セットアップ アシスタントによってセットアップと登録がガイドされます。

この記事では、Microsoft Intuneで自動デバイス登録を準備して設定する方法について説明します。

機能の概要

次の表は、自動デバイス登録でサポートされる機能とシナリオを示しています。

機能 この登録オプションの使用
監視モードが必要である。 ✔️

監視モードは、ソフトウェアの更新の展開、機能の制限、アプリの許可とブロックなどを行います。
デバイスが組織または学校によって所有されている。 ✔️
新しいデバイスがある。 ✔️
少数のデバイス、または多数のデバイス (一括登録) を登録する必要がある。 ✔️
デバイスが 1 人のユーザーに関連付けられている。 ✔️
デバイスにユーザーがいない (キオスクや専用デバイスなど)。 ✔️
デバイスは共有デバイス モードです。 ✔️
デバイスは個人用または BYOD である。

この操作はお勧めしません。 BYOD または個人用デバイス上のアプリケーションは、 MAM または ユーザーとデバイスの登録を使用して管理できます。
デバイスは別の MDM プロバイダーによって管理されている。

Intune で完全に管理するには、ユーザーが現在の MDM プロバイダーから登録を解除してから、Intune に登録する必要があります。 または、MAM を使用して、デバイス上の特定のアプリを管理することができます。 これらのデバイスはorganizationによって所有されているため、Intuneに登録することをお勧めします。
デバイス登録マネージャー (DEM) を使用している。

DEM アカウントはサポートされていません。

前提条件

登録プロファイルを作成する前に、次のものが必要です。

開始する前に

これらの登録要件とベスト プラクティスを読み、セットアップとデプロイを成功させるために準備します。

認証方法を選択する

登録プロファイルを作成する前に、ユーザーが自分のデバイスで認証する方法を決定します。Intune ポータル サイト アプリ、セットアップ アシスタント (レガシ)、またはモダン認証を使用したセットアップ アシスタントを使用します。 ポータル サイト アプリまたはセットアップ アシスタントを先進認証で使用することは、先進認証と見なされ、多要素認証などの機能があります。

Intuneでは、先進認証を使用したセットアップ アシスタントの Just in Time Registration もサポートされており、Microsoft Entra登録とコンプライアンスのためのポータル サイト アプリの必要がなくなります。 JIT 登録を使用するには、Apple 登録プロファイルを作成し、先進認証でセットアップ アシスタントを構成する 前に 、デバイス構成ポリシーを作成する必要があります。

最新の認証を使用したセットアップ アシスタントは、iOS/iPadOS 13.0 以降を実行しているデバイスでサポートされています。 このプロファイルを指定した古い iOS/iPadOS デバイスでは、代わりに認証にセットアップ アシスタント (レガシ) が使用されます。

認証オプションの詳細については、「 自動デバイス登録の認証方法」を参照してください。

監視モードとは何か。

監視モードでは、企業所有のデバイスに対する管理制御が向上するため、画面キャプチャのブロックや AirDrop の制限などを行うことができます。

iOS/iPadOS 11 以降を実行し、自動デバイス登録を介して登録される企業所有のデバイスは、常に監視モードである必要があります。このモードでは、登録プロファイルでオンにすることができます。 監視モードの詳細については、「 iOS/iPadOS 監視モードを有効にする」を参照してください。 Microsoft Intuneは、登録時にこれらのデバイスが自動的に監視モードになるため、iOS/iPadOS 13.0 以降を実行しているデバイスのis_supervised フラグを無視します。

共有デバイス モードでのデバイスの登録

共有デバイス モードでデバイスの自動デバイス登録を設定できます。 共有デバイス モードは、Microsoft Entra IDの機能であり、現場担当者は 1 日を通して 1 つのデバイスを共有し、必要に応じてサインインおよびサインアウトできます。 共有デバイス モードでデバイスの登録を有効にする方法Microsoft Entra詳細については、「共有デバイス モードの自動デバイス登録」を参照してください。

ポータル サイト アプリのデプロイ

重要

ポータル サイト アプリのApp Storeバージョンを使用することはお勧めしません。これは、自動デバイス登録と互換性がなく、デプロイと同様に自動更新と可用性が提供されないためです。

Intuneを使用してIntune ポータル サイト アプリをデプロイすることは、ユーザーにアプリを提供する最善の方法であり、次の唯一の方法です。

  • 既に登録されているデバイスを含むすべての ADE デバイスがアプリを受け取っていることを確認します。
  • ADE デバイスでポータル サイトのアプリの自動更新を有効にします。

デバイス ライセンスを使用して、必要な VPP アプリとしてアプリをデプロイします。 VPP アプリを同期、割り当て、管理する方法については、「 ボリューム購入アプリの割り当て」を参照してください。

ポータル サイトのアプリの自動更新を有効にするには、管理センターでアプリ トークンの設定に移動し、[アプリの自動更新] を [はい] に変更します。 トークン設定にアクセスする手順については、「 Apple VPP または Apple Business Manager の場所トークンをアップロード する」を参照してください。 自動更新を有効にしない場合、デバイス ユーザーは手動で自分でチェックする必要があります。

デバイス のステージング は、ユーザー アフィニティのないデバイスをユーザー アフィニティを持つデバイスに移行するために使用されます。 デバイスをステージングするには、このセクションで前述したように VPP デプロイを設定します。 次に、 アプリ構成ポリシーを構成してデプロイします。 ポリシーは、ユーザー アフィニティのない ADE デバイスのみを対象にしていることを確認します。

重要

初期登録時に、Intuneは、セットアップ アシスタントに登録されたデバイスのアプリ構成ポリシー設定を最新の認証で自動的にプッシュします。登録プロファイルの設定 [ポータル サイトのインストール] が [はい] に設定されている場合は、「自動デバイス登録に登録された iOS デバイスと iPadOS デバイスをサポートするようにポータル サイト アプリを構成する」で構成されます。 この構成は、初期登録中に送信された構成と競合するため、ユーザーに手動で展開しないでください。 両方が展開されている場合、Intuneは、既にインストールされている管理プロファイルをポータル サイトしてダウンロードするようにデバイス ユーザーに間違って求めます。

制限

  • トークンあたりの最大登録プロファイル数: 1,000
  • プロファイルあたりの自動デバイス登録デバイスの最大数: 200,000 (トークンあたりのデバイスの最大数と同じです)。
  • Intune アカウントあたりの自動デバイス登録トークンの最大数: 2,000
  • トークンあたりの自動デバイス登録デバイスの最大数: 200,000
    • トークンあたり 200,000 台のデバイスを超えないようにすることをお勧めします。 そうしないと、同期の問題が発生するおそれがあります。 20 万を超えるデバイスがある場合は、そのデバイスを複数の ADE トークンに分割してください。
    • Apple Business Manager と Apple School Manager は、1 分あたり約 3,000 台のデバイスをIntuneに同期します。 すべてのデバイスが同期を完了するのに十分な時間が経過するまで、管理センターからの手動同期を再度保留することをお勧めします (1 分あたりのデバイス数/3,000 デバイスの合計数)。

登録のトラブルシューティング

登録プロセス時に同期の問題が発生する場合は、iOS/iPadOS デバイスの登録の問題のトラブルシューティングに関するページで解決方法を確認できます。

Apple 自動デバイス登録トークンを取得する

iOS/iPadOS デバイスを ADE に登録するには、Apple から自動デバイス登録トークン (.p7m ファイル) が必要です。 このトークンを使用すると、organizationが所有する ADE デバイスに関する情報をIntune同期できます。 また、Intune から Apple に登録プロファイルをアップロードして、デバイスをそれらのプロファイルに割り当てられるようになります。

Apple Business Manager (ABM) または Apple School Manager (ASM) を使用してトークンを作成し、管理のためにデバイスをIntuneに割り当てます。

注:

ABM ポータルまたは ASM ポータルを使用して、ADE を有効にすることができます。 この記事の残りの部分では ABM ポータルについて記述されていますが、手順は両方のポータルで同じです。

手順 1: Intune 公開キー証明書をダウンロードする

  1. Microsoft Intune管理センターで、[デバイス>の登録] に移動します

  2. [ Apple ] タブを選択します。

  3. [Enrollment Program トークン]>[追加] の順に選択します。

  4. [基本] タブで、次の操作を行います。

    1. [同意する] を選択して、Microsoft がユーザーとデバイスの情報を Apple に送信できるようにします。

      [Enrollment Program トークンの追加] 画面を示すスクリーンショット。

    2. [トークンを作成するために必要な Intune 公開キー証明書をダウンロードする] を選択します。 この手順では、暗号化キー (.pem) ファイルをダウンロードしてローカルに保存します。 .pem ファイルは、Apple Business Manager ポータルから信頼関係証明書を要求するために使用されます。

      この .pem ファイルは、「手順 2: Apple Business Manager ポータルに移動する」(この記事) の Apple Business Manager でアップロードします。

    3. この Web ブラウザーのタブとページは開いたままにしておきます。 タブを閉じると次のようになります。

      • ダウンロードした証明書が無効になります。
      • 手順を繰り返す必要があります。
      • [確認と作成] タブでは、[作成] ボタンを使用できないため、この手順を完了することはできません。

手順 2: Apple Business Manager ポータルに移動する

Apple Business Manager ポータルを使用して、ADE トークンを作成および更新します (MDM サーバー)。 このトークンは Intune に追加され、Intune と Apple の間で通信を行います。

注:

次の手順では、Apple Business Manager で行う必要がある内容について説明します。 具体的な手順については、Apple のドキュメントを参照してください。 「Apple Business Manager ユーザガイド」 (Apple の Web サイト上にあります) が役に立つ場合があります。

Apple トークンをダウンロードする

  1. Apple Business Manager で、会社の Apple ID を使用してサインインします。

  2. このポータルで、次の手順を完了します。

    • [設定] には、すべてのトークンが表示されます。 MDM サーバーを追加し、公開キー証明書 (.pem ファイル) をアップロードします。これは、「手順 1: Intune 公開キー証明書をダウンロードする」(この記事) で Intune からダウンロードしたものです。

      サーバー名を使用して、モバイル デバイス管理 (MDM) サーバーを識別します。 Microsoft Intune サービスの名前や URL ではありません。

    • MDM サーバーを保存した後、それを選択してから、トークン (.p7m ファイル) をダウンロードします。 この .p7m トークンを「手順 4: トークンをアップロードして完了する」(この記事) で Intune にアップロードします。

デバイスを Apple トークンに割り当てる (MDM サーバー)

  1. Apple Business Manager>[デバイス] で、このトークンに割り当てるデバイスを選択します。 シリアル番号など、さまざまなデバイス プロパティで並べ替えることができます。 同時に複数のデバイスを選択することもできます。
  2. デバイス管理を編集し、先ほど追加した MDM サーバーを選択します。 この手順ではデバイスをトークンに割り当てます。

手順 3: Apple ID を保存する

  1. Web ブラウザーで、Intune の [Enrollment Program トークンの追加] ページに戻ります。 「手順 1: Intune 公開キー証明書をダウンロードする」(この記事) で示されている通り、このページを開いた状態に保つ必要があります。

  2. [Apple ID] に、ご自分の ID を入力します。 この手順で ID が保存されます。 今後はこの ID を使用できます。

    [基本] タブの [Apple ID] ボックスを示すスクリーンショット。

手順 4: トークンをアップロードして完了する

  1. [Apple トークン] で、.p7m 証明書ファイルを参照してから、[開く] を選択します。

    この .p7m トークンは、「手順 2: Apple Business Manager ポータルに移動する」でダウンロードしました。

  2. [次へ] を選択します。

  3. [レビューと作成] タブで、[作成] を選択します。

プッシュ証明書を使用すると、Intune では、登録されたモバイル デバイスにポリシーをプッシュすることによって、iOS および iPadOS デバイスを登録して管理することができます。 Intune は Apple と自動的に同期して、Enrollment Program アカウントにアクセスします。

Apple の登録プロファイルを作成する

トークンをインストールしたので、自動デバイス登録用の登録プロファイルを作成できます。 デバイス登録プロファイルで、デバイス グループに対して登録時に適用する設定を定義します。 登録トークンごとに 1,000 個の登録プロファイルの制限があります。

注:

VPP トークンに十分なポータル サイト ライセンスがない場合、またはトークンの有効期限が切れた場合、デバイスの登録はブロックされます。 トークンの有効期限が近づいている場合、またはライセンスが不足している場合は、Intune でアラートが表示されます。

  1. 管理センター Microsoft Intuneで、[デバイス>の登録] に移動します

  2. [ Apple ] タブを選択します。

  3. [ 登録プログラム トークン] を選択します

  4. トークンを選択し、[プロファイル] を選択 します

  5. [プロファイルの作成]>[iOS/iPadOS] の順に選択します。

  6. [基本] では、管理用にプロファイルに [名前][説明] を指定します。 ユーザーには、これらの詳細は表示されません。

  7. [次へ] を選択します。

    重要

    既存の登録プロファイルに変更を加えた場合、デバイスが出荷時の設定にリセットされて再アクティブ化されるまで、割り当てられたデバイスに対して新しい設定は有効になりません。 デバイス名テンプレートの設定は、工場出荷時のリセットを有効にする必要のない、変更できる唯一の設定です。 名前付けテンプレートの変更は、次のチェックで有効になります。

  8. [ユーザー アフィニティ] 一覧で、このプロファイルに対応するデバイスを割り当て済みユーザーとともに登録する必要があるかどうかを決定するオプションを選択します。

    • ユーザー アフィニティを使用して登録する: アプリのインストールなどのサービスにポータル サイトを使用するユーザーに属するデバイスの場合は、このオプションを選択します。

    • ユーザー アフィニティなしで登録する: 1 人のユーザーと提携していないデバイスの場合は、このオプションを選択します。 ローカルのユーザー データにアクセスしないデバイスには、このオプションを使用します。 このオプションは、通常、キオスク、販売時点管理 (POS)、または共有ユーティリティのデバイスに使用されます。

      場合によっては、ユーザー アフィニティなしで登録されたデバイスのプライマリ ユーザーを関連付ける必要があります。 このタスクを実行するには、マネージド デバイスのアプリ構成ポリシーで Intune ポータル サイト アプリに IntuneUDAUserlessDevice キーを送信します。 Intune ポータル サイト アプリに初めてサインインしたユーザーが、プライマリ ユーザーとして設定されます。 最初のユーザーがサインアウトし、2 番目のユーザーがサインインした場合、最初のユーザーは引き続きデバイスのプライマリ ユーザーになります。 詳細については、iOS および iPadOS の ADE デバイスをサポートするためのポータル サイト アプリの構成に関するページを参照してください。

    • [Microsoft Entra ID共有モードで登録する]: 共有モードのデバイスを登録するには、このオプションを選択します。

  9. [ユーザー アフィニティ] フィールドで [ユーザー アフィニティを使用して登録] を選択した場合は、従業員が使用する必要がある認証方法を選択できます。 各認証方法の詳細については、「 自動デバイス登録の認証方法」を参照してください。

    認証方法のオプションのスクリーンショット。

    次のようなオプションがあります。

    • ポータル サイト
    • セットアップ アシスタント (レガシ)
    • 先進認証を使用したセットアップ アシスタント

  10. 認証方法にセットアップ アシスタント (レガシ) を選択したが、条件付きアクセスを使用するか、デバイスに会社のアプリを展開する場合は、デバイスにポータル サイトをインストールし、サインインしてMicrosoft Entra登録を完了する必要があります。 これを行うには、[ポータル サイトのインストール][はい] を選択します。 App Store への認証を行わずにユーザーがポータル サイトを受信できるようにする場合は、[VPP によるポータル サイトのインストール] で VPP トークンを選択します。 トークンの期限が切れていないことと、ポータル サイト アプリを適切に展開できるだけの十分なデバイス ライセンスを保持していることをご確認ください。

  11. [VPP によるポータル サイトのインストール] にトークンを選択した場合、セットアップ アシスタントの完了直後にシングル アプリ モードでデバイスをロックできます (具体的には、ポータル サイト アプリ)。 [Run Company Portal in Single App Mode until authentication]\(認証されるまでシングル アプリ モードでポータル サイトを実行する\)[はい] を選択すると、このオプションが設定されます。 デバイスを使用するには、ユーザーは最初にポータル サイトでサインインして認証する必要があります。

    注:

    シングル アプリ モードでロックされている単一のデバイス上では、多要素認証はサポートされていません。 そのデバイスでは別のアプリに切り替えて認証の 2 番目の要素を完了することができないため、この制限が設けられています。 シングル アプリ モードのデバイス上で多要素認証を使用する場合は、2 番目の要素が別のデバイス上にある必要があります。

    この機能は iOS/iPadOS 11.3.1 以降でのみサポートされます。

    シングル アプリ モードでのポータル サイトの実行オプションを示すスクリーンショット。

  12. このプロファイルを使用しているデバイスを監視対象にする場合は、[監視] 一覧で [はい] を選択します。

    [監視] オプションを示すスクリーンショット。

    [監視下] デバイスでは、より多くの管理オプションを使用できるようになり、既定で [アクティベーション ロック] は無効になります。 Microsoft では、特に多数の iOS/iPadOS デバイスを展開する場合に、監視モードを有効にするメカニズムとして ADE を使用することをお勧めしています。 Apple Shared iPad for Business デバイスを監視する必要があります。

    ユーザーは 、デバイスが設定 アプリで監視されていることを通知されます。 画面の上部にあるアプリで、静的なメッセージが表示され、この iPhone は によって監視および管理<your organization>されます

    注:

    デバイスが監視なしで登録されており、それを監視対象に設定する場合は、Apple Configurator を使用する必要があります。 この方法でデバイスをリセットするには、USB ケーブルで Mac に接続する必要があります。 詳細については、Apple Configurator のヘルプに関するページを参照してください。

  13. [ロックされた登録] 一覧で、[はい] または [いいえ] を選択します。 ロックされた登録では、管理プロファイルを削除できる iOS/iPadOS 設定が無効になります。 ロックされた登録を有効にした場合、ユーザーが管理プロファイルを削除できるようにする設定アプリのボタンは非表示になり、ユーザーはデバイスの登録を解除できません。 共有モードでデバイスMicrosoft Entra ID設定する場合は、[はい] を選択します。

    ロックされた登録は、最初は Apple Business Manager を使用して購入したデバイスではなく、自動デバイス登録の一部として追加されたデバイスでは、少し異なります。これらのデバイスのユーザーには、デバイスをアクティブ化した後の最初の 30 日間、設定アプリに [管理の削除] ボタンが表示されます。 その暫定期間が経過すると、オプションは非表示になります。 詳細については、「デバイスを 手動で準備 する(Apple Configurator ヘルプ ドキュメントを開く)」を参照してください。

    重要

    この設定は、ポータル サイト アプリの削除とリセットのオプションとは異なります。 ロックされた登録を構成する方法に関係なく、ポータル サイト アプリの [デバイスの削除] または [工場出荷時のリセット] オプションは、自動デバイス登録によって登録されたデバイスでは使用できなくなります。 ユーザーは、ポータル サイト Web サイトでデバイスを削除することもできません。 登録済みデバイスで使用できるセルフサービス アクションの詳細については、「 セルフサービス アクション」を参照してください。

  14. 前の手順で [ユーザー アフィニティなしで登録する][監視] を選択した場合、デバイスを Apple Shared iPad for Business デバイスに構成するかどうかを決定する必要があります。 [共有 iPad][はい] を選択すると、複数のユーザーが単一デバイスにサインインできるようになります。 ユーザーは、Managed Apple ID とフェデレーション認証アカウントを使用して、または一時的なセッション (ゲスト アカウントなど) を使用して認証されます。 このオプションを選択するには、iOS/iPadOS 13.4 以降が必要です。 Shared iPad では、アクティベーション後、すべてのセットアップ アシスタント ウィンドウが自動的にスキップされます。

    注:

    • 共有 iPad が有効になっている iOS/iPadOS の登録プロファイルが、サポートされていないデバイスに送信された場合は、デバイスのワイプが必要になります。 サポートされていないデバイスには、すべての iPhone モデルと、iPadOS/iOS 13.3 以前が実行されている iPad が含まれます。 サポートされているデバイスには、iPadOS 13.3 以降が実行されている iPad が含まれます。
    • Apple Shared iPad for Business を設定する場合は、これらの設定を構成します。
      • [ユーザー アフィニティ] 一覧で、[ユーザー アフィニティなしで登録する] を選択します。
      • [監視] 一覧で、[はい] を選択します。
      • [共有 iPad] 一覧で、[はい] を選択します。

    Apple Shared iPad for Business デバイスを設定する場合は、以下も構成します。

    • キャッシュされた最大ユーザー数: 共有 iPad を使用すると予想されるユーザー数を入力します。 32 GB または 64 GB のデバイスで最大 24 ユーザーをキャッシュできます。 小さい数を選ぶと、ユーザーのデータがサインイン後にデバイスに表示されるまで時間がかかることがあります。 大きい数を選ぶと、ユーザーに十分なディスク領域が割り当てられない場合があります。

    • パスワードが必要になるまでの画面ロック後の最大秒数: 時間を秒単位で入力します。 使用できる値は、0、60、300、900、3600、14400 です。 画面ロックがこの時間を超えた場合は、デバイスのロックを解除するためにデバイスのパスワードが必要になります。 iPadOS 13.0 以降を実行している共有 iPad モードのデバイスで使用できます。

    • ユーザー セッションがログアウトするまでの非アクティブ時間の最大秒数: この設定の最小許容値は 30 です。 定義された期間を過ぎてもアクティビティがない場合、ユーザー セッションは終了し、ユーザーはサインアウトされます。エントリを空白のままにするか、0 (0) に設定した場合、非アクティブのためセッションは終了しません。 iPadOS 14.5 以降を実行している共有 iPad モードのデバイスで使用できます。

    • 共有 iPad の一時的なセッションのみを必要とする: ユーザーがゲスト バージョンのサインイン エクスペリエンスのみを表示し、ゲストとしてサインインする必要があるデバイスを構成します。 管理対象の Apple ID でサインインすることはできません。 iPadOS 14.5 以降を実行している共有 iPad モードのデバイスで使用できます。

      [はい] に設定すると、次の共有 iPad 設定は一時的なセッションには適用されないため、取り消されます。

      • キャッシュされたユーザーの最大数
      • 画面ロック後にパスワードが要求されるまでの最大秒数
      • ユーザー セッションがログアウトするまでの非アクティブ時間の最大秒数

    • 一時的なセッションがログアウトするまでの非アクティブ時間の最大秒数: この設定の最小許容値は 30 です。 定義された期間の後にアクティビティがない場合は、一時的なセッションが終了し、ユーザーがサインアウトします。エントリを空白のままにするか、0 (0) に設定した場合、非アクティブのためセッションは終了しません。 iPadOS 14.5 以降を実行している共有 iPad モードのデバイスで使用できます。

      この設定は、[共有 iPad の一時的なセッションのみを必要とする][はい] に設定されている場合に使用できます。

    注:

    • 一時セッションが有効になっている場合、セッションからサインアウトすると、ユーザーのデータはすべて削除されます。 つまり、すべての対象となるポリシーとアプリは、サインイン時にユーザーに表示され、ユーザーがサインアウトすると削除されます。
    • 共有 iPads 構成を一時的なセッションを持たなく変更するには、デバイスを完全にリセットする必要があります。更新された構成を持つ新しい登録プロファイルを iPad に送信する必要があります。

  15. [コンピューターと同期する] 一覧で、このプロファイルを使用するデバイスのオプションを選択します。 [証明書による Apple Configurator の許可] を選択した場合は、[Apple Configurator の証明書] で証明書を選ぶ必要があります。

    注:

    [コンピューターと同期する][すべて拒否] に設定した場合、iOS および iPadOS デバイス上でポートが制限されます。 このポートは課金のみに制限されます。 iTunes または Apple Configurator 2 の使用に対してブロックされます。

    [コンピューターと同期する][証明書による Apple Configurator の許可] に設定した場合は、後で使用できる証明書のローカル コピーを必ず保持するようにしてください。 アップロードされたコピーを変更することはできません。この証明書のコピーを保持することが重要です。 Mac デバイスから iOS/iPadOS デバイスに接続する場合は、iOS/iPadOS デバイスへの接続を行うデバイスに同じ証明書をインストールする必要があります。

  16. 前の手順で [証明書による Apple Configurator の許可] を選択した場合は、インポートする Apple Configurator の証明書を選びます。

  17. Await 最終構成の場合、オプションは次のとおりです。

    • はい: セットアップ アシスタントの最後でロックされたエクスペリエンスを有効にして、最も重要なデバイス構成ポリシーがデバイスにインストールされていることを確認します。 ホーム画面が読み込まれる直前に、セットアップ アシスタントが一時停止し、デバイスでIntune チェックできます。 エンド ユーザー エクスペリエンスは、ユーザーが最終的な構成を待機している間にロックされます。

      [待機中の最終構成] 画面でユーザーが保持される時間は異なり、デバイスに適用するポリシーとアプリの合計数によって異なります。 デバイスに割り当てられたポリシーとアプリが多いほど、待機時間が長くなります。 セットアップ アシスタントもIntuneも、セットアップのこの部分では最小または最大時間制限を適用しません。 製品の検証中に、テストしたデバイスの大部分がリリースされ、15 分以内にホーム画面にアクセスできました。 この機能を有効にし、サード パーティを使用してデバイスのプロビジョニングを支援する場合は、プロビジョニング時間が長くなる可能性について説明します。

      ロックされたエクスペリエンスは、新規および既存の登録プロファイルを対象とするデバイスで機能します。 サポートされているデバイスには以下が含まれます。

      • 最新の認証を使用してセットアップ アシスタントに登録する iOS/iPadOS 13 以降のデバイス
      • ユーザー アフィニティなしで登録されている iOS/iPadOS 13 以降のデバイス
      • Microsoft Entra ID共有モードで登録されている iOS/iPadOS 13 以降のデバイス

      この設定は、セットアップ アシスタントのすぐに使用できる自動デバイス登録エクスペリエンス中に 1 回適用されます。 デバイス ユーザーがデバイスを再登録しない限り、デバイス ユーザーは再びデバイスを体験しません。 [はい ] は、新しい登録プロファイルの既定の設定です。

    • いいえ: ポリシーのインストール状態に関係なく、セットアップ アシスタントが終了すると、デバイスはホーム画面にリリースされます。 デバイス ユーザーは、すべてのポリシーがインストールされる前に、ホーム画面にアクセスしたり、デバイスの設定を変更したりできます。 既存の登録プロファイルの既定の設定は [いいえ] です。

    await 構成設定は、次の構成の組み合わせのプロファイルでは使用できません。

    • ユーザー アフィニティ: ユーザー アフィニティなしで登録する (このセクションの手順 6)
    • 共有 iPad: はい (このセクションの手順 12)

  18. 必要に応じて、管理センターでこのプロファイルが割り当てられているデバイスをすばやく識別するデバイス名テンプレートを作成します。 Intuneでは、テンプレートを使用してデバイス名を作成および書式設定します。 これらの名前は、登録時と、連続する各チェック時にデバイスに付与されます。 テンプレートを作成するには:

  19. [ デバイス名テンプレートの適用] で、[ はい ] を選択します。

  20. [ デバイス名テンプレート ] ボックスに、デバイス名の構築に使用するテンプレートを入力します。 テンプレートには、デバイスの種類とシリアル番号を含めることができます。 変数を含めて、63 文字を超えることはできません。 例: {{DEVICETYPE}}-{{SERIAL}}

  21. 携帯電話データ プランをアクティブ化できます。 この設定は、iOS/iPadOS 13.0 以降を実行しているデバイスに適用されます。 このオプションを構成すると、eSIM 対応の携帯電話デバイスの携帯電話データ プランをアクティブ化するコマンドが送信されます。 このコマンドを使用してデータ プランをアクティブ化するには、通信事業者がデバイスのライセンス認証を準備する必要があります。 携帯電話データ プランをアクティブにするには、[はい] をクリックし、通信事業者のライセンス認証サーバーの URL を入力します。

  22. [次へ] を選択します。

  23. [セットアップ アシスタント] タブで、次のプロファイル設定を構成します。

    部門の設定 説明
    Department アクティブ化中にユーザーが [構成について] をタップすると表示されます。
    部署の電話番号 アクティブ化中にユーザーが [ヘルプが必要ですか] ボタンをタップすると表示されます。

    ユーザーのセットアップ中に、デバイスのセットアップ アシスタント画面を非表示にすることができます。 すべての画面の説明については、 セットアップ アシスタントの画面リファレンス (この記事の) を参照してください。

    • [非表示] を選択した場合、セットアップ時に画面は表示されません。 デバイスを設定した後、ユーザーは引き続き [設定] メニューに移動して機能を設定できます。
    • [表示] を選択すると、設定時に画面が表示されますが、復元後またはソフトウェアの更新後に完了する手順がある場合に限ります。 ユーザーは、何も行わずに画面をスキップできる場合があります。 後でデバイスの [設定] メニューに移動して機能を設定することができます。
    • Shared iPad では、構成に関係なく、アクティベーション後、すべてのセットアップ アシスタント ウィンドウが自動的にスキップされます。

  24. [次へ] を選択します。

  25. プロファイルを保存するには、[作成] を選択します。

Microsoft Entra IDの動的グループ

[登録名] フィールドを使用して、Microsoft Entra IDで動的グループを作成できます。 詳細については、「動的グループのMicrosoft Entra」を参照してください。

プロファイル名を使用して、この登録プロファイルに対応するデバイスを割り当てるために enrollmentProfileName パラメーターを定義できます。

デバイスのセットアップの前に、ユーザー アフィニティを持つデバイスへの迅速な配信を確保するには、登録しているユーザーがMicrosoft Entra ユーザー グループのメンバーであることを確認します。

動的グループを登録プロファイルに割り当てる場合、登録後にデバイスに対してアプリケーションとポリシーを配信するときに、遅延が発生するおそれがあります。

セットアップ アシスタントの画面リファレンス

次の表では、iOS/iPadOS の自動デバイス登録中に表示されるセットアップ アシスタント画面について説明します。 登録中に、サポートされているデバイスでこれらの画面を表示または非表示にすることができます。

セットアップ アシスタント画面 表示された場合の動作
パスコード パスコードを入力するようユーザーに求めます。 デバイスがセキュリティで保護されていない場合は、他の何らかの方法でアクセスが制御されていない限り、パスコードを常に必須にします。 (デバイスを 1 つのアプリに制限するキオスク モードの構成など)。iOS/iPadOS 7.0 以降の場合。
位置情報サービス 位置情報をユーザーに要求します。 macOS 10.11 以降と、iOS/iPadOS 7.0 以降が対象です。
Restore [App とデータ] 画面を表示します。 この画面では、デバイスを設定するときに iCloud Backup からデータを復元または転送するオプションがユーザーに表示されます。 macOS 10.9 以降、および iOS/iPadOS 7.0 以降の場合。
Apple ID Apple ID を使用してサインインし、iCloud を使用するオプションをユーザーに提供します。 macOS 10.9 以降、および iOS/iPadOS 7.0 以降の場合。
使用条件 Apple の使用条件に同意するようユーザーに要求します。 macOS 10.9 以降、および iOS/iPadOS 7.0 以降の場合。
Touch ID と Face ID デバイスに指紋または顔認証を設定するオプションをユーザーに提供します。 macOS 10.12.4 以降、および iOS/iPadOS 8.1 以降の場合。 iOS および iPadOS 14.5 以降では、デバイスのセットアップ中に、パスコードと Touch ID のセットアップ アシスタントの画面が動作しません。 バージョン 14.5 以降を使用する場合は、パスコードまたは Touch ID のセットアップ アシスタントの画面を構成しないでください。 デバイスにパスコードが必要な場合は、デバイス構成ポリシーまたはコンプライアンス ポリシーを使用してください。 ユーザーが登録し、ポリシーを受信すると、パスコードの入力が求められます。
Apple Pay デバイスに Apple Pay を設定するオプションをユーザーに提供します。 macOS 10.12.4 以降、および iOS/iPadOS 7.0 以降の場合。
拡大 ユーザーに、デバイスを設定するときに表示を拡大するオプションを表示します。 iOS/iPadOS 8.3 以降の場合。
Siri Siri を設定するオプションをユーザーに提供します。 macOS 10.12 以降、および iOS/iPadOS 7.0 以降の場合。
診断データ [診断] 画面を表示します。 この画面は、診断データを Apple に送信するオプションをユーザーに提供します。 macOS 10.9 以降、および iOS/iPadOS 7.0 以降の場合。
画面トーン 画面トーンをオンにするオプションをユーザーに提供します。 macOS 10.13.6 以降、および iOS/iPadOS 9.3.2 以降の場合。
プライバシー [プライバシー] 画面を表示します。 macOS 10.13.4 以降、および iOS/iPadOS 11.3 以降の場合。
Android の移行 Android デバイスからデータを移行するオプションをユーザーに提供します。 iOS/iPadOS 9.0 以降の場合。
iMessage と FaceTime iMessage と FaceTime を設定するオプションをユーザーに提供します。 iOS/iPadOS 9.0 以降の場合。
オンボーディング 送付状やマルチタスク コントロール センターなど、ユーザー教育用のオンボード情報画面を表示します。 iOS/iPadOS 11.0 以降の場合。
スクリーン タイム [スクリーン タイム] 画面を表示します。 macOS 10.15 以降、および iOS/iPadOS 12.0 以降の場合。
SIM の設定 契約プランを追加するオプションをユーザーに提供します。 iOS/iPadOS 12.0 以降の場合。
ソフトウェア更新プログラム 必須のソフトウェア更新プログラムの画面を表示します。 iOS/iPadOS 12.0 以降の場合。
ウォッチの移行 ウォッチ デバイスからデータを移行するオプションをユーザーに提供します。 iOS/iPadOS 11.0 以降の場合。
外観モード [外観] 画面を表示します。 macOS 10.14 以降、および iOS/iPadOS 13.0 以降の場合。
デバイス間の移行 ユーザーに、古いデバイスからこのデバイスにデータを転送するオプションを指定します。 デバイスから直接データを転送するオプションは、iOS 13 以降を実行している ADE デバイスでは使用できません。
復元が完了しました セットアップ アシスタント中にバックアップと復元が実行された後に、[復元が完了しました] 画面がユーザーに表示されます。
ソフトウェア更新プログラムが完了しました セットアップ アシスタント中に発生したすべてのソフトウェア更新プログラムがユーザーに表示されます。
はじめに [はじめに] のようこそ画面がユーザーに表示されます。
住所の条件 女性的、男性的、または中立的なシステム全体で対処する方法を選択するオプションをユーザーに提供します。 この Apple 機能は、一部の言語で使用できます。 詳細については、「 主な機能と機能強化(Apple Web サイトを開く)」を参照してください。 iOS/iPadOS 16.0 以降の場合。

マネージド デバイスを同期する

デバイスを管理するアクセス許可を Intune に割り当てたので、Intune と Apple を同期して、マネージド デバイスを Azure ポータルの Intune に表示できます。

  1. 管理センター Microsoft Intuneで、[デバイス>の登録] に移動します

  2. [ Apple ] タブを選択します。

  3. [ 登録プログラム トークン] を選択します

  4. 一覧でトークンを選んでから、[デバイス]>[同期] の順に選択します。

    iOS および iPadOS デバイスを Enrollment Program トークンに同期する方法を示すスクリーンショット。

    許容される Enrollment Program トラフィックについての Apple の規約に準拠するために、Intune では次の制限が課せられています。

    • 完全な同期は 7 日に 1 回だけ実行できます。 完全な同期中に、Intune に接続された Apple MDM サーバーに割り当てられているシリアル番号の完全な最新の一覧を Intune がフェッチします。

      重要

      デバイスが Intune から削除されても、ASM/ABM ポータルで ADE 登録トークンに割り当てられたままの場合、次回の完全同期時に Intune に再び表示されます。デバイスを Intune に再表示しない場合は、ABM/ASM ポータルで Apple MDM サーバーからデバイスの割り当てを解除します。

    • デバイスが ABM/ASM からリリースされた場合、Intune の [デバイス] ページから自動的に削除されるまでに最大 45 日かかることがあります。 必要に応じて、Intune からリリース済みのデバイスを 1 つずつ手動で削除することができます。 リリースされたデバイスは、30 から 45 日以内に自動的に削除されるまで、Intuneで ABM/ASM から削除されたと正確に報告されます。
    • 差分同期は 12 時間ごとに自動的に実行されます。 [同期] ボタンを選択して、差分同期をトリガーすることもできます (15 分に 1 回のみ)。 すべての同期要求は、完了までに 15 分与えられます。 同期が完了するまで、[同期] ボタンは無効になっています。 この同期により、既存のデバイスの状態が更新され、Apple MDM サーバーに割り当てられている新しいデバイスがインポートされます。 差分同期が何らかの理由で失敗した場合、問題を解決するために次の同期は完全同期になります。

登録プロファイルをデバイスに割り当てる

デバイスを登録する前に、登録プロファイルを割り当てる必要があります。

注:

[Apple Serial Numbers]\(Apple シリアル番号\) ペインでプロファイルにシリアル番号を割り当てることもできます。

  1. 管理センター Microsoft Intuneで、[デバイス>の登録] に移動します
  2. [ Apple ] タブを選択します。
  3. [ 登録プログラム トークン] を選択します。
  4. 登録トークンを選択します。
  5. [デバイス] を選択します。
  6. 割り当てるすべてのデバイスを選択し、[ プロファイルの割り当て] を選択します。
  7. [ プロファイルの割り当て] で、デバイス用に作成した自動デバイス登録プロファイルを選択し、[ 割り当て] を選択します。

既定のプロファイルを割り当てる

特定のトークンに登録するすべてのデバイスに適用される既定のプロファイルを選択することができます。

  1. 管理センターで、[ 登録プログラム トークン] に戻ります。
  2. 登録トークンを選択します。
  3. [ 既定のプロファイルの設定] を選択します
  4. 一覧でプロファイルを選択し、[保存] を選択 します。 プロファイルは、選択した登録トークンを使用して登録するすべてのデバイスに適用されます。

注:

[登録制限] の下の [デバイスの種類の制限] で、iOS および iPadOS プラットフォームをブロックするように既定の [すべてのユーザー] ポリシーを設定しないようにします。 この設定は、ユーザーの構成証明に関係なく、自動登録が失敗し、デバイスが無効なプロファイルとして表示される原因となります。 会社が管理するデバイスによる登録のみを許可するには、個人所有のデバイスだけをブロックします。この場合、会社のデバイスの登録が許可されます。 Microsoft では、会社のデバイスは Device Enrollment Program 経由で登録されたデバイス、または [業務用デバイスの ID] で手動で入力されたデバイスとして定義されています。

デバイスを配布する

Apple と Intune の間の管理と同期を有効にし、ADE デバイスを登録できるようにプロファイルを割り当てました。 これで、デバイスをユーザーに配布する準備ができました。 知っておく必要があることをいくつか以下に示します。

  • ユーザー アフィニティとともに登録されたデバイスでは、各ユーザーに Intune ライセンスを割り当てる必要があります。

  • ユーザー アフィニティなしで登録されたデバイスには、通常、関連付けられているユーザーはいません。 これらのデバイスには Intune デバイス ライセンスが必要です。 ユーザー アフィニティなしで登録されたデバイスが Intune のライセンスがあるユーザーによって使用される場合、デバイスのライセンスは必要ありません。

    まとめると、デバイスにユーザーがいる場合は、そのユーザーに Intune ライセンスが割り当てられている必要があります。 デバイスに Intune のライセンスがあるユーザーがいない場合、そのデバイスには Intune デバイス ライセンスが必要です。

    Intune ライセンスの詳細については、「Microsoft Intune のライセンス」と、Intune 計画ガイドに関するページを参照してください。

  • アクティブ化されたデバイスは、ADE を使用して適切に Intune に登録する前にワイプする必要があります。 ワイプした後、もう一度アクティブ化する前に、登録プロファイルを適用できます。 既存の iPhone、iPad、iPod touch の設定に関するページを参照してください

  • ADE とユーザー アフィニティを使用して登録する場合、セットアップ中に次のエラーが発生するおそれがあります。

    The SCEP server returned an invalid response.

    15 分以内に管理画面を再度ダウンロードすることで、このエラーを解決できます。 15 分を超えている場合、このエラーを解決するには、デバイスを出荷時設定にリセットする必要があります。 このエラーは、セキュリティに適用される、SCEP 証明書での 15 分間の制限によって発生します。

エンド ユーザー エクスペリエンスについては、ADE を使用する Intune への iOS/iPadOS デバイスの登録に関するページを参照してください。

デバイスを再登録する

自動デバイス登録を既に行ったデバイスを再登録するには、次の手順を実行します。

  1. デバイスをリセットするには、次の 2 つのオプションがあります。
    • Microsoft Intune管理センターでデバイスをワイプします。
    • 管理センターでデバイスを廃止し、設定アプリ、Apple Configurator 2、または iTunes を使用してデバイスを出荷時の設定にリセットします。
  2. デバイスの電源を入れ、セットアップ アシスタントの画面の手順に従ってリモート管理プロファイルを取得します。

自動デバイス登録トークンを更新する

トークンの更新が必要になる場合があります。

  • 毎年、ADE トークンを更新します。 Intune管理センターに有効期限が表示されます。
  • Apple Business Manager でトークンを設定したユーザーの Apple ID パスワードが変更された場合は、Intune および Apple Business Manager で Enrollment Program トークンを更新します。
  • Apple Business Manager でトークンを設定したユーザーが組織を離れた場合は、Intune および Apple Business Manager で Enrollment Program トークンを更新します。
  • ADE トークンの作成に使用する Apple ID を変更した場合、その変更は、再登録されるまで、そのトークンを使用して現在登録されているデバイスには影響しません。 これは、バックエンドで変更を実行するために Apple サポートに連絡しない限り、すべてのデバイスを再登録する必要がなければ変更できない、テナントに使用される Apple プッシュ通知サービス (APNS) 証明書とは異なります。

トークンを更新する

  1. business.apple.com に移動し、管理者またはデバイス登録マネージャーのロールを持つアカウントでサインインします。

  2. [設定] を選択します。 [MDM サーバー] で、更新するトークン ファイルに関連付けられた MDM サーバーを選択します。 [Download Token]\(トークンのダウンロード\) を選択します。

    Apple Business Manager で Apple トークンを更新してダウンロードする方法を示すスクリーンショット。

  3. [Download Server Token]\(サーバー トークンをダウンロードする\) を選択します。

    注:

    プロンプトに示されているように、トークンを更新する予定がない場合は [Download Server Token]\(サーバー トークンをダウンロードする\) を選択しないでください。 そのようにすると、Intune (またはその他の MDM ソリューション) で使用されているトークンが無効になります。 トークンを既にダウンロードしている場合は、トークンが更新されるまで必ず次の手順を続行してください。

  4. トークンをダウンロードしたら、管理センター Microsoft Intune移動します

  5. [デバイスの登録] を選択します>。

  6. [ 登録プログラム トークン] を選択します。

  7. トークンを選びます。

  8. [トークンを更新する] を選択します。 元のトークンの作成に使用した Apple ID を入力します (自動的に設定されていない場合)。

    [トークンを更新する] ページを示すスクリーンショット。

  9. 新しくダウンロードしたトークンをアップロードします。

  10. [次へ] を選択して、[スコープ タグ] ページに移動します。 必要に応じて、スコープ タグを割り当てます。

  11. [トークンを更新する] を選択します。 トークンが更新されたことの確認が表示されます。

    確認メッセージを示すスクリーンショット。

自動デバイス登録トークンを Intune から削除する

次の場合に限り、Intune から登録プロファイル トークンを削除できます。

  • トークンに割り当てられているデバイスがない。
  • 既定のプロファイルに割り当てられているデバイスがない。
  • そのトークンに登録プロファイルがない。

登録プロファイル トークンを削除するには:

  1. 管理センター Microsoft Intuneで、[デバイス>の登録] に移動します
  2. [ Apple ] タブを選択します。
  3. [登録プログラム トークン] を選択する
  4. トークンを選んでから、[デバイス] を選択します。
  5. トークンに割り当てられているすべてのデバイスを削除します。
  6. 登録プログラム トークンに戻ります。 トークンを選んでから、[プロファイル] を選択します。
  7. 既定のプロファイルまたは他の登録プロファイルがある場合は、すべてを削除する必要があります。
  8. 登録プログラム トークンに戻ります。 トークンを選んでから、[削除] を選択します。

次の手順

デバイス ユーザーに必要な内容の概要については、「 ADE エンド ユーザー タスク」を参照してください。