iOS 用の Web ベースのデバイス登録を設定する
iOS/iPadOS に適用されます
iOS/iPadOS 個人用デバイスのMicrosoft Intuneで Web ベースのデバイス登録を設定します。 これは、Microsoft Intuneでサポートされている 2 つの Apple デバイス登録方法のうちの 1 つで、もう 1 つは ポータル サイト アプリでのデバイス登録です。 どちらの方法でも、デバイスの管理設定とデバイス持ち込み (BYOD) シナリオの適切なセットにアクセスできるため、デバイス ユーザーの個人データやアプリに影響を与えずに作業データを保護できます。
Web ベースのデバイス登録を使用すると、より迅速で使いやすい登録エクスペリエンスが提供されます。 従業員と学生が Safari とデバイス設定ですべてを行うため、ポータル サイト アプリは必要ありません。 さらに、Web ベースのデバイス登録は JIT 登録と連携します。 有効になっている場合、Intuneは、デバイスの登録とシングル サインオン (SSO) のために Microsoft Authenticator アプリへの JIT 登録を使用して、登録時や作業アプリへのアクセス時にユーザーがサインインする回数を減らします。
この記事では、Microsoft Intuneで Web ベースのデバイス登録を設定する方法について説明します。 次の手順を実行します。
- JIT 登録を設定します。
- 登録プロファイルを作成します。
- 登録のために従業員と学生を準備します。
前提条件
Microsoft Intuneでは、iOS/iPadOS バージョン 15 以降を実行しているデバイスでの Web ベースのデバイス登録がサポートされています。 iOS/iPadOS 14.9 以前を実行しているデバイス ユーザーに Web ベースの登録プロファイルを割り当てると、Microsoft Intuneはアプリベースのデバイス登録を介して自動的に登録されます。 アプリ ベースのデバイス登録には、iOS/iPadOS 用のポータル サイト アプリが必要です。
開始する前に、次のタスクを完了します。
ベスト プラクティス
デバイス ユーザーがデバイスの状態、デバイスアクション、コンプライアンス情報にすばやくアクセスできるように、Web アプリバージョンのIntune ポータル サイトをデプロイします。 Web アプリがホーム画面に表示され、ポータル サイト Web サイトへのリンクとして機能します。 Web アプリを追加する方法の詳細については、「Web アプリをMicrosoft Intuneに追加する」を参照してください。 Web アプリがないと、ユーザーは引き続き ポータル サイト Web サイトにアクセスできますが、ブラウザーを開いて Web サイトのリンクを入力する必要があります。
職場または学校へのアクセスには、Microsoft Authenticator アプリが必要です。 デバイスの登録を開始する前に、従業員と学生に Microsoft Authenticator のインストールを指示することをお勧めします。
手順 1: ジャスト イン タイム登録を設定する
Just-In-Time (JIT) 登録を有効にするデバイス構成のシングル サインオン アプリ拡張機能ポリシーを作成します。 手順については、「Intuneで JIT 登録を設定する」を参照してください。 完了したら、この記事に戻り、次の手順に進むことができます。
手順 2: 登録プロファイルを作成する
Web ベースのデバイス登録を使用して登録するデバイスの登録プロファイルを作成します。 登録プロファイルは、デバイス ユーザーの登録エクスペリエンスをトリガーし、Safari で登録を開始できるようにします。
- Microsoft Intune管理センターで、[デバイス>登録] に移動します。
- [ Apple ] タブを選択します。
- [ 登録オプション] で、[ 登録の種類] を選択します。
- [プロファイルの作成]>[iOS/iPadOS] の順に選択します。
- [ 基本 ] ページで、プロファイルの名前と説明を入力して、管理センターの他のプロファイルと区別できるようにします。 デバイス ユーザーにこれらの詳細が表示されません。
- [次へ] を選択します。
- [ 設定] ページの [ 登録の種類] で、[ Web ベースのデバイス登録] を選択します。
- [次へ] を選択します。
- [ 割り当て] ページで、プロファイルをすべてのユーザーまたはユーザーのグループに割り当てます。
- [次へ] を選択します。
- [ 確認と作成 ] ページで、選択内容を確認し、[ 作成 ] を選択してプロファイルの作成を完了します。
[登録の種類] に戻り、登録プロファイルの一覧を表示します。 Intuneは、優先順位を付ける順序で登録プロファイルを適用します。 ユーザーに複数のプロファイルが割り当てられているために競合が発生した場合は、優先度の高いプロファイルIntune適用されます。 リスト内のプロファイルをドラッグ アンド ドロップして再配置し、適用する順序を変更します。
手順 3: 従業員の加入を準備する
従業員が個人のデバイスで仕事用アプリにサインインしようとすると、アプリによって登録要件が通知され、登録のためにポータル サイト Web サイトにリダイレクトされます。
または、従業員と学生に、ポータル サイト Web サイトを開く URL を提供することもできます。 条件付きアクセスを利用していない場合は、登録を開始する方法を理解できるように、登録リンクをデバイス ユーザーと共有することが重要です。 共有するリンクは次のとおりです。
https://portal.manage.microsoft.com/enrollment/webenrollment/ios
このセクションでは、デバイス ユーザーの登録手順の概要について説明します。 この情報は、organizationのデバイス オンボード ドキュメント、またはトラブルシューティングとサポートに使用することをお勧めします。
重要
Safari ブラウザーは、この種類の登録でサポートされている唯一のブラウザーであり、管理プロファイルをダウンロードして登録を完了するために必要です。 ユーザーの既定のブラウザーが Safari 以外の場合は、登録リンクをコピーして Safari ブラウザーに貼り付けて登録を開始する必要があります。 登録が完了すると、ユーザーは希望のブラウザーに戻ることができます。
- Safari を開き、[ https://portal.manage.microsoft.com/enrollment/webenrollment/ios] に移動します。 職場または学校のアカウントを使用してサインインします。
- を求められたら、管理プロファイルをダウンロードします。 管理プロファイルをダウンロードポータル サイト Safari で待機します。
- デバイス設定アプリに移動して、管理プロファイルを表示してインストールします。
- Microsoft Authenticator がデバイスにインストールされるまで待ってから、職場または学校のアプリにサインインします。 Authenticator がデバイス上に存在するまで、デバイスは作業の準備ができていないため、数分かかることがあります。 Authenticator がインストールされていることを確認するには、デバイスの設定を開き、[プロファイル>管理プロファイル>シングル サインオン拡張機能] に移動します。 認証子は SSO 拡張機能として一覧表示する必要があります。
- 職場アカウントを使用して、Microsoft Teamsなどの作業アプリにサインインします。
- アプリが必要な設定の更新を識別するまで待ちます。 たとえば、アプリを使用する前に、デバイスのオペレーティング システムを更新する必要がある場合があります。 サインインしているアプリで保留中のアクション 項目を確認します。 変更が完了したら、[再確認] を選択 します。
コンプライアンス チェックが完了すると、ユーザーは、もう一度サインインしなくても、セッションの残りの部分の SSO アプリ拡張機能ポリシーで構成されたアプリにアクセスできます。
管理からデバイスを削除する
デバイス上の作業データを管理するために作成されたボリュームキーと暗号化キーは、デバイスがIntuneから登録を解除すると消去されます。
オンボード ドキュメント リソース
エンド ユーザーのヘルプとハウツー ガイドについては、ユーザー ヘルプ ドキュメントMicrosoft Intune参照してください。organizationのオンボード リソースのテンプレートとして、そのドキュメント セットの記事を自由に使用してください。
Apple デバイス登録の機能の詳細については、Apple サポート Web サイトの 「デバイス登録と MDM 」を参照してください。
トラブルシューティング
Microsoft Intuneでのデバイス登録に関する問題のトラブルシューティング方法については、「デバイス登録のトラブルシューティング」を参照してください。