手順 5 – Microsoft Intuneにデバイスを登録する

デプロイの最終フェーズでは、デバイスが Azure Active Directory (Azure AD) に登録または参加し、Microsoft Intuneに登録され、コンプライアンスがチェックされます。

登録中、Microsoft Intuneはデバイスにモバイル デバイス管理 (MDM) 証明書をインストールします。これにより、Intuneは登録プロファイル、登録制限、およびこのガイドで前に作成したポリシーとプロファイルを適用できます。

この記事の内容

• 企業所有デバイスとユーザー所有デバイスのMicrosoft Intuneでの登録を準備する方法。
• 各 OS プラットフォームの登録オプション。
• 登録後の監視、トラブルシューティング、リソース。

はじめに

Intuneを使用して登録プロファイルを初めてデプロイする場合、または新しい構成を試す場合は、小規模から開始し、段階的なアプローチを使用します。 登録プロファイルを 1 つのパイロットまたはテスト グループに割り当てます。 最初のテストの後、パイロット グループにユーザーを追加します。 すべてが正常に進む場合は、登録プロファイルをより多くのパイロット グループに割り当てます。 詳細と提案については、「 計画ガイド: 手順 5 - ロールアウト 計画を作成する」を参照してください。

Azure AD での登録は、Intune管理に必要な手順です。 デバイスをIntuneに登録するには、デバイスのユーザーが組織の Azure AD でデバイス ID を認証して確立する必要があります。 この手順では、クラウドベースの作業アプリやその他のリソースへのシングル サインオン アクセスをユーザーに付与します。 使用できる登録方法が決定され、デバイス ユーザーのサインイン エクスペリエンスも決定されるため、使用している ID オプションを把握することが重要です。 ID オプションには、次のものが含まれます。

• Azure AD 登録 は、個人所有および企業所有のモバイル デバイスで使用できるデバイス ID オプションです。 これらのデバイス上のユーザーは、自分の Azure AD 職場アカウントを使用して、アプリや Web ブラウザーなどの仕事用リソースにサインインすることで認証されます。
• Azure AD 参加済みは、共同管理オプションを利用する企業所有のWindows 10/11 デバイスで使用できるデバイス ID オプションです。 これらのデバイスのユーザーは、自分の Azure AD 職場アカウントを使用してデバイスにサインインして認証します。

登録前の構成

登録の制限、デバイスの分類、デバイス登録マネージャーなどの登録機能を構成して、登録用のデバイスを準備します。 これらの構成は、ユーザーとデバイス ユーザーの登録エクスペリエンスの向上と簡素化に役立ち、管理センターでの整理を維持するのに役立ちます。 登録プロファイルを作成する前に構成します。

可用性の設定は、OS プラットフォームによって異なります。

既存のデバイスの登録を解除してリセットする

デバイスが現在別の MDM プロバイダーに登録されている場合は、Intuneに登録する前に、既存の MDM プロバイダーからデバイスの登録を解除します。 次の表は、Intuneに登録する前に工場出荷時の状態にリセットする必要があるデバイスを示しています。

プラットフォーム	出荷時の設定へのリセットが必要
仕事用プロファイルがある個人所有の Android Enterprise デバイス (BYOD)	いいえ
会社所有 Android Enterprise 仕事用プロファイル (COPE)	はい
Android Enterprise フル マネージド (COBO)	はい
Android Enterprise 専用デバイス (COSU)	はい
Android デバイス管理者 (DA)	いいえ
iOS/iPadOS	はい
Linux	いいえ
macOS	はい
Windows	いいえ

---

リセットを必要としないデバイスは、登録するとすぐにIntuneプロファイルのインストールを開始します。 以前に構成した設定は、登録前にIntuneで変更しないと、デバイスに残ることがあります。

デバイス登録マネージャーの追加

多数のデバイスを登録して配布用に準備する必要がある場合は、デバイス登録マネージャーを利用することをお勧めします。 デバイス登録マネージャー アカウントは最大 1,000 台のデバイスを登録および管理できますが、標準の管理者以外のアカウントでは 15 台のデバイスのみを登録できます。 デバイス登録マネージャーは、管理者以外の Azure AD ユーザーであり、次のことができます。

• Intuneに最大 1,000 台の企業所有デバイスを登録する
• Intune ポータル サイトにサインインして会社のアプリを入手する
• ロール固有のアプリをデバイスに展開して企業データへのアクセスを構成する

Apple の自動デバイス登録などの一部の登録方法は、デバイス登録マネージャー アカウントと互換性がないため、セットアップを開始する前に、選択した方法がサポートされていることを確認してください。

詳細と制限事項については、「 デバイス登録マネージャーの追加」を参照してください。

デバイス登録の制限を作成する

Microsoft Intune管理センターでこの機能を使用して、特定のデバイスがIntuneに登録されないように制限します。 Microsoft Intune で構成できるデバイス登録制限には、次の 2 種類があります。

• デバイス プラットフォームの制限: デバイス プラットフォーム、バージョン、製造元、または所有権の種類に基づいてデバイスを制限します。
• デバイス制限の制限: ユーザーがIntuneに登録できるデバイスの数を制限します。

Linux および一部の Windows 登録シナリオでは、登録制限を利用できません。 Android Enterprise 個人用デバイスの制限を設定する場合は、Android セキュリティ構成フレームワークを利用することをお勧めします。 これには、基本的なセキュリティ (レベル 1) に必要なデバイス制限が含まれています。これは、個人用デバイスに対して行うことをお勧めする最小セキュリティ構成であり、高いセキュリティ (レベル 3) は、一意のリスクが高い特定のユーザーまたはグループによって使用されるデバイスに対するものです。

詳細については、以下を参照してください:

• 登録制限とは
• 推奨されるデバイス制限

使用条件ポリシーを作成する

Intune使用条件ポリシーを使用して、登録前に法的免責事項とコンプライアンス要件をデバイス ユーザーに開示します。 このポリシーでは、デバイスユーザーがデバイスを登録するか、保護されたリソースにアクセスする前に、組織の使用条件に同意する必要があります。 使用条件は、Intune ポータル サイト アプリの対象ユーザーに表示されます。

用語が表示される場所など、より詳細な制御を求める場合は、 Azure Active Directory (Azure AD) の使用条件を構成することを検討してください。 Azure AD の用語は、対象となるアプリやリソースにサインインし、Intune使用条件よりも詳細な設定を提供すると、ユーザーに表示されます。

詳細については、「 ユーザー アクセスの使用条件」を参照してください。

多要素認証が必要

登録中にユーザーに多要素認証 (MFA) による認証を要求します。 MFA が必要な場合、デバイスを登録するユーザーは、デバイスを登録する前に、2 つ目のデバイスと 2 つの形式の資格情報で認証する必要があります。 これは 1 回限りの条件付き手順であり、デバイス上のユーザーが自分の言う人であることを確認します。 MFA ポリシーを使用して条件付きアクセス ポリシーを使用することで、Linux を除くすべてのプラットフォームでこの動作を有効にすることができます。 Azure AD Premium が必要です。

詳細については、「Intuneデバイス登録に多要素認証を要求する」を参照してください。

デバイスをグループに分類する

看護やマーケティングなど、Intuneでデバイス カテゴリを作成すると、Intune そのカテゴリに属するすべてのデバイスがIntuneの対応するデバイス グループに自動的に追加されます。

この機能は、Linux を除くすべてのプラットフォームで使用できます。 詳細については、「 デバイスをグループに分類する」を参照してください。

Android デバイスの登録

個人所有または企業所有の Android デバイスをIntuneに登録できます。 Google Mobile Services を使用する個人所有および企業所有のデバイスには、Android Enterprise 登録ソリューションをお勧めします。 Google Mobile Services を持たない企業所有のデバイスで、Android オープン ソース プロジェクト (AOSP) から構築されている場合は、AOSP 登録方法を使用します。

前提条件

Intuneを管理対象の Google Play アカウントに接続します。 接続は、次を含むすべての Android Enterprise 管理オプションに必要です。

• 個人所有 Android Enterprise の仕事用プロファイル。
• Android Enterprise の会社所有の仕事用プロファイル
• 完全に管理されている Android Enterprise
• Android Enterprise 専用

Android の登録方法

次のタブでは、Intuneサポートされている Android および AOSP 登録オプションについて説明します。

企業所有

• 仕事用プロファイルを持つ会社所有のデバイス: 個人の使用も承認されている会社所有のデバイスを登録します。 このメソッドは、ユーザーが個人用アプリと仕事用アプリを簡単かつ安全に切り替えることができるように、デバイス上に別の作業プロファイルを作成します。 デバイス ユーザーは、Microsoft Intune アプリを介してデバイスを登録します。 管理者は、仕事用プロファイルのアプリとデータを管理できます。 この方法は、 Android Enterprise 企業所有の仕事用プロファイル 管理ソリューションに合わせて調整されます。

• フル マネージド: 個人使用ではなく、仕事専用の企業所有デバイスを登録します。 登録済みデバイスに関連付けられているユーザーが 1 人います。 デバイス全体を管理し、Android Enterprise 仕事用プロファイル メソッドでは使用できないポリシー制御を適用できます。 この方法は、 Android Enterprise のフル マネージド 管理ソリューションに合わせて調整されます。

• 専用デバイス: デジタルサイネージ、チケット印刷、在庫管理などに使用される企業所有、単一使用、キオスク デバイスを登録します。 この方法では、デバイスで使用できるアプリと Web リンクを制限し、ユーザーが目的のスコープ外でデバイスを使用できないようにすることができます。 この方法は、 Android Enterprise 専用デバイス 管理ソリューションに合わせて調整されます。

• 企業所有のユーザーレス デバイス: Android オープン ソース プロジェクト (AOSP) から構築され、Google Mobile サービスが存在しない デバイスを企業所有のユーザーレス デバイスとして登録します。 これらのデバイスにはユーザーが関連付けられていないので、ライブラリやラボなどの共有を目的としています。

• 企業所有のユーザー関連デバイス: AOSP から構築され、Google Mobile サービスがないデバイスを 企業所有のユーザー関連デバイスとして登録します。 これらのデバイスは、1 人のユーザーに関連付けられているので、作業目的でのみ使用することを目的としています。

• ゼロタッチ登録: 一括登録にはゼロタッチ登録を使用し、リモート ワーカーの登録を簡略化することをお勧めします。 この方法では、企業所有のデバイスを事前に準備して、ユーザーがオンにしたときに完全に管理されたデバイスとして自動的にプロビジョニングおよび登録できるようにします。

ユーザー所有

仕事用プロファイルを持つ個人所有のデバイス: BYOD シナリオでの個人用デバイスの登録をサポートします。 登録中に、ユーザーが個人用アプリと仕事用アプリを簡単かつ安全に切り替えることができるように、デバイスに別の仕事用プロファイルが作成されます。 デバイス所有者は、Intune ポータル サイト アプリを通じてデバイスを登録します。 管理者は、仕事用プロファイルのアプリとデータを管理できます。 この方法は、 個人所有のデバイス管理ソリューションの Android Enterprise 仕事用プロファイルと 一致します。

注:

Microsoft Intuneでは Android デバイス管理者の管理もサポートされていますが、2024 年 8 月 30 日に Google Mobile Services (GMS) にアクセスできるデバイスのサポートは終了します。 その日以降、デバイス登録、テクニカル サポート、バグ修正、およびセキュリティ修正プログラムは使用できなくなります。 詳細については、「 GMS デバイスでの Android デバイス管理者のサポート終了」を参照してください。

Apple デバイスの登録

このセクションでは、Intuneの iOS/iPadOS および Mac デバイスで使用できる登録オプションについて説明します。

前提条件

Apple デバイスの登録プロファイルを作成する前に、次の前提条件を満たします。

• Apple MDM プッシュ証明書をIntuneにアップロードします。 詳細については、「 MDM プッシュ証明書を取得する」を参照してください。
• Apple 自動デバイス登録を使用してデバイスを登録する予定の場合は、Apple 登録プログラム トークンを取得します。 詳細については、以下を参照してください:
  • iOS/iPadOS の Apple 登録プログラム トークンを取得する
  • macOS 用の Apple 登録プログラム トークンを取得する

Apple 登録ソリューション

次の表では、iOS/iPadOS と macOS を実行しているデバイスの登録ソリューションについて説明します。

企業所有

• iOS/iPadOS および Mac デバイスの自動デバイス登録: Apple Business Manager または Apple School Manager から購入した新しいデバイスまたはワイプされたデバイスを、自動デバイス登録で登録します。 企業所有のデバイスに対するこの自動登録方法は、Apple Business Manager と Apple School Manager からorganizationの設定を適用し、監督モードをサポートし、デバイスをタッチする必要なく登録します。 ユーザーがデバイスの電源を入れると、Apple セットアップ アシスタントによってセットアップと登録がガイドされます。

• iOS/iPadOS およびMac デバイス用の Apple Configurator: Apple Configurator を使用して、新規または既存の企業所有デバイスを手動で登録します。 このオプションは、一括登録や、Apple School Manager、Apple Business Manager、または有線ネットワーク接続が必要な場合に最適です。 Mac でデバイスに接続して構成する必要があるため、デバイスに物理的にアクセスできる必要があります。 次の 2 つの異なるパスを使用できます。

  • セットアップ アシスタントの登録: この方法では、デバイスをワイプし、Apple Configurator への登録用に準備します。 ユーザーがデバイスをオンにすると、セットアップ アシスタントが開始され、デバイスがIntuneに登録されます。 管理センターに入力する必要があるため、デバイスのシリアル番号にアクセスできる必要があります。
  • 直接登録: この方法を使用すると、配布前にデバイスを登録でき、デバイスはワイプされません。 この方法で登録されたデバイスはユーザーに関連付けられていないため、共有デバイスまたはキオスク デバイスにはこのオプションをお勧めします。 macOS デバイスと iOS デバイスでは手順が異なるため、デバイスの正しいハウツー ドキュメントを必ず使用してください。

ユーザー所有

• Mac の BYOD 登録: bring-your-own-device (BYOD) シナリオで、個人所有の Mac のIntuneでの登録を有効にします。 Intuneライセンスを持つデバイス ユーザーは、デバイス上のポータル サイト アプリにサインインして登録を初期化します。

• Apple ユーザー登録: BYOD シナリオで、個人所有の iOS/iPadOS デバイスに対して Apple ユーザー登録を有効にします。 このオプションを使用すると、デバイス所有者は、デバイス全体をセキュリティで保護したり、仕事に関連するアプリやデータだけをセキュリティで保護したり、マネージド データやアプリをユーザーの個人データとは別のボリュームに保持したりできます。 登録は、ポータル サイト アプリで行われます。

• Apple Device Enrollment: BYOD シナリオで、個人所有の iOS/iPadOS デバイスに対して Apple Device Enrollment を有効にします。 このメソッドを使用すると、ユーザー登録よりもデバイス構成設定をより詳細に制御できます。 たとえば、パスコードに対してより詳細な要件を適用できます。

Linux の登録

BYOD シナリオの従業員と学生は、個人の Linux デバイスをMicrosoft Intuneに登録できます。 登録を使用すると、Microsoft Edge の作業リソースにアクセスできます。

Intune管理者は、管理センターで Linux 登録を有効にするために何もする必要はありません。 自動的に有効になります。 ユーザーが Linux デバイスを登録すると、管理センターに表示されます。 詳細については、「Microsoft Intuneに Linux デスクトップ デバイスを登録する」を参照してください。

Windows の登録

このセクションでは、Windows 10またはWindows 11を実行している個人所有および企業所有のデバイスで使用できる登録ソリューションについて説明します。

注:

Microsoft Intune登録は、クラウド環境のデバイスでサポートされています。 Configuration Managerとの共同管理は、オンプレミス環境でサポートされています。

Windows の登録方法

次の表では、Windows 10とWindows 11を実行しているデバイスでサポートされる登録方法について説明します。

自動登録

Windows の自動登録を有効にすることで、従業員と学生のIntuneへの登録を容易にします。 詳細については、「 自動登録を有効にする」を参照してください。

• 自動登録を使用した Azure Active Directory 参加: このオプションは、ユーザーまたはデバイス ユーザーが仕事用に調達したデバイスでサポートされます。 登録は、ユーザーが自分の職場アカウントでサインインし、Azure AD に参加した後、すぐに使用できるエクスペリエンス中に行われます。 このソリューションは、リモート作業環境など、デバイスにアクセスできない場合に使用します。 これらのデバイスが登録されると、デバイスの所有権 が企業所有に変更され、個人所有としてマークされたデバイスでは使用できない管理機能にアクセスできます。

• Windows Autopilot ユーザー駆動型または自己展開モード: 自動登録は、ユーザー駆動型または自己展開型の Windows Autopilot out-of-box-experience (OOBE) でサポートされており、企業所有のデスクトップ、ノート PC、キオスクに最適です。 デバイス ユーザーは、必要なソフトウェアとポリシーがインストールされた後にデスクトップ アクセスを取得します。 Azure AD Premium ライセンスが必要です。

• ハイブリッド Azure AD 参加の Windows Autopilot: ハイブリッド Azure AD 参加済みデバイスの Windows Autopilot では、自動登録がサポートされています。 Windows Autopilot の既定のエクスペリエンスでは、Active Directory のIntune コネクタを使用すると、Active Directory ドメイン サービス内のデバイスが Azure AD に参加し、Intuneに自動的に登録できるようになります。 Active Directory 用のIntune コネクタをオンプレミス サーバーにインストールし、Windows Autopilot にデバイスを登録する必要があります。 Active Directory ドメイン サービスを使用し、現在 ID を Azure AD に移動できないオンプレミス環境には、この登録ソリューションをお勧めします。

• Configuration Managerとの共同管理: 共同管理は、既にConfiguration Managerを使用してデバイスを管理し、Microsoft Intuneワークロードを統合する環境に最適です。 共同管理とは、ワークロードをConfiguration ManagerからIntuneに移動し、その特定のワークロードに対して管理機関が誰であるかを Windows クライアントに伝える行為です。 たとえば、Intuneのコンプライアンス ポリシーとデバイス構成ワークロードを使用してデバイスを管理し、アプリの展開やセキュリティ ポリシーなどのその他のすべての機能にConfiguration Managerを利用できます。

ユーザー所有

BYOD の自動登録: 個人デバイスを登録する BYOD シナリオのユーザーは、自動登録を使用できます。 Intuneライセンスを持つ従業員と学生は、職場または学校アカウントでポータル サイト アプリにサインインすることで、登録と自動登録を初期化できます。

プロビジョニング パッケージを使用した一括登録

Workplace は、Azure AD および Intuneに多数の企業所有デバイスを参加させて登録します。再イメージ化する必要はありません。 このプロセスでは、Windows Configuration Designer アプリを使用してプロビジョニング パッケージを作成する必要があります。 デバイス OOBE 中にパッケージを適用するか、設定アプリでデバイスにアップロードできます。

その他の Windows 登録機能

Intuneには、ユーザーと従業員のデバイス管理エクスペリエンスを向上または簡素化するために、他にも Windows 登録オプションがあります。

• 共同管理設定: 共同管理設定を有効にして、Configuration ManagerワークロードをIntuneと統合します。 共同管理を使用すると、Intune機能とConfiguration Manager機能の両方を使用してデバイスを管理できます。
• CNAME 検証: 登録要求をIntune サーバーにリダイレクトするために作成したドメイン ネーム サーバー (DNS) エイリアス (CNAME レコードの種類) を検証します。 エイリアスを使用すると、Azure AD Premium と自動登録がないユーザーの登録が簡略化されます。
• [登録の状態] ページ: [登録の状態] ページを有効にして、デバイスのセットアップを行うユーザーがインストールの進行状況を表示および追跡できるようにします。

レポートとトラブルシューティング

不完全なユーザー登録と破棄されたユーザー登録を追跡します。 このMicrosoft Intune レポートは、ポータル サイトユーザーが登録プロセスを完了できなかった場所を示します。

トラブルシューティング に関するドキュメントについては、「 デバイス登録のトラブルシューティング」を参照してください。

リソース

その他の登録ガイドは、Microsoft Intuneドキュメント全体で入手できます。 これらのガイドには、サポートされている各プラットフォームの視覚的な比較、ハウツー ステップ、ヒント、登録のベスト プラクティスが含まれます。

• Android の登録ガイド
• iOS/iPadOS の登録ガイド
• Linux 登録ガイド
• macOS 登録ガイド
• Windows の登録ガイド

次の手順

1. Microsoft Intune のセットアップ
2. アプリの追加、構成、保護
3. コンプライアンス ポリシーの計画
4. デバイス構成プロファイルを作成します。
5. 🡺 デバイスの登録 (お客様はこちら)