Configuration Managerでオンプレミス MDM を使用してデバイスを一括登録する方法
Configuration Manager (現在のブランチ) に適用
オンプレミス モバイル デバイス管理 (MDM) Configuration Manager一括登録は、デバイスを登録するための自動化された方法です。 もう 1 つの方法はユーザー登録であり、ユーザーはデバイスを登録するために資格情報を入力する必要があります。 一括登録では、登録パッケージを使用して、登録中にデバイスを認証します。 パッケージは .ppkg ファイルであり、登録をサポートする証明書とWi-Fiプロファイルを含めることもできます。
証明書プロファイルを作成する
証明書プロファイルを含め、信頼されたルート証明書をデバイスに自動的にインストールします。 このルート証明書は、デバイスとオンプレミス MDM に必要なサイト システムの役割との間の信頼された通信に必要です。
オンプレミス MDM 用にサイトを準備する場合は、信頼されたルート証明書をエクスポートします。 登録パッケージの証明書プロファイルでこの証明書を使用します。 信頼されたルート証明書を取得する方法の詳細については、「信頼されたルート証明書 をエクスポートする」を参照してください。
エクスポートされた証明書を使用して証明書プロファイルを作成します。 詳細については、「 証明書プロファイルを作成する方法」を参照してください。
Wi-Fi プロファイルを作成する
一括登録パッケージのもう 1 つのコンポーネントは、Wi-Fi プロファイルです。 このプロファイルでは、登録をサポートするネットワーク接続がデバイスに存在することを確認できます。
Configuration ManagerでWi-Fi プロファイルを作成する方法の詳細については、「Wi-Fi プロファイルを作成する方法」を参照してください。
Wi-Fi プロファイルの制限事項
オンプレミス MDM 一括登録のWi-Fi プロファイルを作成する場合は、次の制限事項を確認してください。
オンプレミス MDM のWi-Fiセキュリティ構成
Configuration Managerの現在のブランチでは、オンプレミス MDM の次のWi-Fiセキュリティ構成のみがサポートされています。
セキュリティの種類: WPA2 Enterprise または WPA2 Personal
暗号化の種類: AES または TKIP
EAP の種類: スマート カードまたはその他の証明書 または PEAP
プロキシ サーバー
Configuration Managerには、Wi-Fi プロファイルのプロキシ サーバー情報の設定がありますが、デバイスの登録時にプロキシは構成されません。 一括登録されたデバイスでプロキシ サーバーを設定する必要がある場合:
デバイスが登録されたら、構成項目を使用して設定を展開します。
Windows イメージおよび構成デザイナー (ICD) を使用して 2 つ目のパッケージを作成し、一括登録パッケージと共に展開します。
登録プロファイルの作成
登録プロファイルを使用すると、デバイス登録に必要な設定を指定できます。 これらの設定には、 証明書プロファイル と Wi-Fi プロファイルが含まれます。
Configuration Manager コンソールで、[資産とコンプライアンス] ワークスペースに移動し、[すべての企業所有デバイス] を展開し、[Windows] を展開して、[登録プロファイル] ノードを選択します。
リボンで、[ 登録プロファイルの作成] を選択します。
登録プロファイルの作成ウィザードの [ 全般 ] ページで、次の情報を指定します。
名前: プロファイルを識別する一意の名前
説明: プロファイルをさらに説明する省略可能なフィールド
管理機関: [オンプレミス] のみを選択します
[ サイトの割り当て ] ページで、デバイス管理ポイントを持つ 管理サイト コード を選択します。
[ 登録プロキシ ポイントの選択 ] ページで、[ イントラネットのみ] を選択し、1 つ以上の登録プロキシ ポイントを選択します。 デバイスはこれらのサーバーを使用して登録プロセスを開始します。
[ 信頼されたルート証明書の選択 ] ページで、信頼されたルート証明書を含む証明書プロファイルを選択します。
[ Wi-Fi プロファイル ] ページで、デバイスが接続するために必要なネットワーク設定を含むWi-Fi プロファイルを選択します。
ヒント
登録パッケージにWi-Fi プロファイルを使用していない場合は、この手順をスキップします。
ウィザードを終了します。
登録パッケージを作成する
登録パッケージ (ppkg) は、オンプレミス MDM のデバイスを一括登録するために使用するファイルです。 Configuration Managerを使用してこのファイルを作成します。 Windows ICD を使用して同様の種類のパッケージを作成できますが、Configuration Managerで作成したパッケージのみを使用して、オンプレミス MDM のデバイスを登録できます。 Windows ICD で作成するパッケージでは、登録に必要なユーザー プリンシパル名 (UPN) のみを指定できます。実際の登録プロセスを開始することはできません。
登録パッケージを作成するプロセスには、Windows 10用の Windows Assessment and Deployment Toolkit (ADK) が必要です。 Configuration Manager コンソールを実行しているコンピューターで、最新バージョンの Windows ADK をインストールします。 イメージングおよび構成デザイナー (ICD) 機能と依存関係を選択します。 (このバージョンは、Configuration Manager サイトによる OS 展開に使用されるバージョンと一致する必要はありません)。詳細については、「Windows 10用の Windows ADK をダウンロードする」を参照してください。
Configuration Manager コンソールで、[資産とコンプライアンス] ワークスペースに移動し、[すべての企業所有デバイス] を展開し、[Windows] を展開して、[登録プロファイル] ノードを選択します。
既存の登録プロファイルを選択します。 リボンで、[エクスポート] を選択 します。
[登録パッケージのエクスポート] ウィンドウで、次の情報を指定します。
有効期間 (日数): 既定では、Configuration Managerは登録パッケージの有効期限を 2 週間 (14 日間) に設定します。 有効期間の有効期限が切れた後、デバイス登録にパッケージを使用することはできません。 1 ~ 30 の整数を入力します。
パッケージ ファイル: .ppkg ファイルのローカルまたはネットワーク ファイルのパスと名前を指定します。
パッケージの暗号化: パッケージをパスワードで保護するには、このオプションを有効にします。 パッケージをエクスポートすると、生成されたパスワードConfiguration Manager表示されます。 パスワードをコピーして安全な場所に保存します。 エクスポートされた登録パッケージをパスワードなしでは使用できません。
重要
Configuration Managerはパスワードを保存せず、カスタマイズも変更もできません。 パスワードを表示するウィンドウを閉じると、パスワードを取得する方法はありません。
[エクスポート] を選択します。 Configuration Managerでは、Windows ADK を使用して登録パッケージを作成します。
Configuration Managerは、有効な登録パッケージを追跡します。 コンソールで、[ 登録プロファイル ] ノードを展開し、[ エクスポートされたパッケージ] を選択します。
ヒント
Configuration Manager コンソールから登録パッケージを削除した場合、デバイスの登録には使用できません。 一括登録に他のユーザーが使用しない登録パッケージを管理するには、この方法を使用します。
デバイスの一括登録
パッケージを使用して、デバイスのすぐに使用できるエクスペリエンス (OOBE) プロセスの前または後にデバイスを登録できます。 登録パッケージは、オリジナル機器メーカー (OEM) プロビジョニング パッケージの一部として含めることもできます。
パッケージを一括登録に使用するには、デバイスに物理的に配信する必要があります。 ニーズに応じて、次のようにさまざまな方法があります。
ファイル システムからコピーする
メールに添付する
近距離通信 (NFC) 接続を介してコピーする
メモリカードからコピーする
バーコードをスキャンする
テザリングされたデバイスからコピーする
OEM プロビジョニング パッケージに含める
一括登録パッケージを使用してデバイスを登録する
デバイスで、.ppkg ファイルを開きます。 必要に応じて管理者として実行します。
パッケージが信頼できるソースからのかどうかを確認するメッセージが表示されたら、[ はい] を選択します。
登録プロセスが開始されます。
登録の確認
デバイスでの一括登録を確認する
デバイスで、[ 設定] を開きます。
[ アカウント] を選択し、[ 職場または学校にアクセス] を選択します。 登録が成功すると、 CompanyApps の下にアカウントが表示されます。
アカウントを選択し、[同期] を選択します。このアクションは、Configuration Managerで管理を開始します。
コンソールでの登録の確認
Configuration Manager コンソールを使用して、デバイスが正常に登録されていることを確認します。 Configuration Manager コンソールで、[資産とコンプライアンス] ワークスペースに移動し、[デバイス] を選択します。 デバイスの一覧で登録済みデバイスを参照または検索します。