Windows デバイスの自動登録を設定する
適用対象
- Windows 10
- Windows 11
Microsoft Intuneで自動登録を有効にすることで、ユーザーとデバイス ユーザーの Windows 登録を簡略化します。 この登録方法を使用すると、デバイスは Azure Active Directory に参加または登録するときに自動的に登録できます。
自動登録は、次のデバイス管理とプロビジョニングのシナリオで使用できます。
- Bring-your-own-device (BYOD)、個人用デバイス
- 一括登録
- グループ ポリシー
- Windows Autopilot (ユーザー駆動型および自己展開型)
- Configuration Managerとの共同管理
この記事では、個人所有デバイスと企業所有デバイスの MDM 自動登録を有効にする方法について説明します。
前提条件
- MDM の自動登録とカスタム企業ブランド化に Azure AD Premium または Premium 試用版サブスクリプション が必要
- Microsoft Intune サブスクリプション
- グローバル管理者のアクセス許可
自動登録Windows有効にする
MDM の自動登録を有効にした場合、Intuneへの登録は次の場合に行われます。
- Azure AD ユーザーは、職場または学校アカウントを個人用デバイスに追加します。
- 企業所有のデバイスが Azure AD に参加します。
Azure portal にサインインし、[Azure Active Directory]>[モビリティ (MDM および MAM)]>[Microsoft Intune] を選択します。
[MDM ユーザー スコープ] を構成します。 Microsoft Intune で管理するユーザーのデバイスを指定します。 これらの Windows 10 デバイスは、Microsoft Intune の管理対象として自動的に登録されます。
[なし] - MDM の自動登録が無効になります
[Some]\(一部\) - [グループ] を選びます。そのグループの Windows 10 デバイスを自動的に登録できます
[すべて] - すべてのユーザーが自分の Windows 10 デバイスを自動的に登録できます
重要
Windows BYOD デバイスでは、MAM ユーザー スコープと MDM ユーザー スコープ (MDM の自動登録) の両方がすべてのユーザー (またはユーザーの同じグループ) に対して有効にされている場合、MAM ユーザー スコープが優先されます。 このデバイスでは、MDM が登録されるのではなく、構成している場合は、Windows Information Protection (WIP) ポリシーが適用されます。
MDM に対して Windows BYOD デバイスの自動登録を有効にしようとしている場合、MDM ユーザースコープを [すべて] に設定し (または [一部] で、グループを指定)、MAM ユーザー スコープを [なし] に設定します (または [一部] で、グループを指定します。ユーザーが MDM ユーザー スコープと MAM ユーザー スコープの両方から対象とされているグループのメンバーではないことを確実にします)。
会社のデバイスでは、MDM ユーザー スコープと MAM ユーザー スコープの両方が有効にされている場合、MDM ユーザー スコープが優先されます。 デバイスは、構成された MDM に自動的に登録されます。
注:
MDM ユーザー スコープは、ユーザー オブジェクトを含む Azure AD グループに設定する必要があります。
次の URL の既定値を使用します。
- MDM 使用条件 URL
- MDM 探索 URL
- MDM 準拠 URL
[保存] を選択します。
多要素認証
2 要素認証は、既定では自動登録では有効になっていません。 デバイスの登録中に多要素認証を要求することをお勧めします。 詳しくは、Azure Active Directory Multi-Factor Authentication Server の概要に関するページを参照してください。
デバイス ユーザーのサポート
Microsoft Intuneユーザー ヘルプ ドキュメントには、従業員と学生が仕事用にデバイスを設定するための概念情報、チュートリアル、ハウツー ガイドが用意されています。 ユーザーを直接Intuneドキュメントに向けるか、独自のデバイス管理ドキュメントを開発および更新する際のガイダンスとしてこれらの記事を使用できます。
Windows 11またはWindows 10を実行している個人デバイスのユーザーは、自分のデバイスに職場または学校アカウントを追加するか、Intune ポータル サイト アプリを使用して自動的に登録できます。 以前のバージョンの Windows を実行しているデバイスは、Intune ポータル サイト アプリを使用して登録する必要があります。 詳細については、「Windows 10/11 デバイスの登録」を参照してください。
また、ライセンスのない管理者がIntune管理センターにサインインして、トラブルシューティングとサポートに役立てることもできます。 詳細については、「ライセンス未付与の管理者」を参照してください。
ベスト プラクティスとトラブルシューティング
デバイス ユーザーは、特定のバージョンの Windows に割り当てられている Windows アプリを表示するために、Microsoft Edge を介してポータル サイト Web サイトにアクセスする必要があります。 Google Chrome、Mozilla Firefox、Internet Explorer などの他のブラウザーでは、この種のフィルタリングはサポートされていません。
自動 MDM 登録を有効にしていないが、Azure AD に参加している Windows 10/11 デバイスがある場合、登録後に 2 つのレコードがMicrosoft Intune管理センターに表示されます。 これを停止するには、Azure AD に参加しているデバイスを持っているユーザーが、[アカウント]>[職場または学校にアクセスする] に移動し、同じアカウントを使用して接続するようにします。
次のステップ
デバイスのプロビジョニング時に自動登録を統合して使用する方法については、次を参照してください。
- Windows Autopilot シナリオ
- グループ ポリシーを使用して Windows クライアント デバイスを自動的に登録する
- Configuration Manager での共同管理を有効にする
登録またはプロビジョニング ソリューションの一部として自動登録を使用していない場合は、登録要求を Intune サーバーにリダイレクトするドメイン ネーム サーバー (DNS) エイリアス (CNAME レコードの種類と呼ばれます) を作成することをお勧めします。 詳細については、「Intune登録サーバーの自動検出を有効にする」を参照してください。