アカウント駆動型の Apple ユーザー登録を設定する

Microsoft Intune に登録している個人用デバイスのアカウント駆動型 Apple ユーザー登録を設定します。 アカウント駆動型のユーザー登録では、 ポータル サイトでのユーザー登録よりも迅速でわかりやすい登録エクスペリエンスが提供されます。 デバイス ユーザーは、設定アプリで職場アカウントにサインインして登録を開始します。 ユーザーがデバイス管理を承認すると、登録プロファイルがサイレント インストールされ、Intune ポリシーが適用されます。 Intune では、Just-In-Time 登録と Microsoft Authenticator アプリを認証に使用して、登録中や仕事用アプリにアクセスするときにユーザーがサインインする必要がある回数を減らします。

この記事では、Microsoft Intune でアカウント駆動型の Apple ユーザー登録を設定する方法について説明します。 次の手順を実行します。

• JIT 登録を設定します。
• 登録プロファイルを作成します。
• 登録のために従業員と学生を準備します。

前提条件

Microsoft Intune では、iOS/iPadOS バージョン 15 以降を実行しているデバイスで、アカウント駆動型の Apple ユーザー登録がサポートされています。 iOS/iPadOS 14.9 以前を実行しているデバイス ユーザーにアカウント駆動型のユーザー登録プロファイルを割り当てると、Microsoft Intune はポータル サイトへのユーザー登録によって自動的に登録します。

セットアップを開始する前に、次のタスクを完了します。

• モバイル デバイス管理 (MDM) 機関を設定する
• Apple MDM プッシュ証明書を取得する
• デバイス ユーザー向けのマネージド Apple ID を作成する (Apple サポート Web サイトを開く)

また、Apple が Intune サービスにアクセスして登録情報を取得できるように、サービス検出を設定する必要もあります。 これを行うには、従業員がサインインするのと同じドメインに HTTP 既知のリソース ファイルを設定して発行します。 Apple は、contoso.comの代わりに組織のドメインを使用して、“https://contoso.com/.well-known/com.apple.remotemanagement”への HTTP GET 要求を介してファイルを取得します。 HTTP GET 要求を処理できるドメインでファイルを発行します。

コンテンツ タイプを [ application/json] に設定して、JSON 形式でファイルを作成します。 ファイルにコピーして貼り付けることができる次の JSON サンプルが用意されています。 環境に合わせて調整するものを使用します。 ベース URL の YourAADTenantID 変数を組織の Microsoft Entra テナント ID に置き換えます。

Microsoft Intune 環境:

{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.com/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}

米国政府機関向け Microsoft Intune 環境:

{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.us/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}

Microsoft Intune は、中国環境で 21 Vianet によって運営されています。

{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.cn/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}

JSON サンプルの残りの部分には、次のような必要なすべての情報が設定されています。

• バージョン: サーバーのバージョンが mdm-byod。
• BaseURL: この URL は、Intune サービスが存在する場所です。

ベスト プラクティス

デバイス ユーザーの登録エクスペリエンスを向上させるために、追加の構成をお勧めします。 このセクションでは、各推奨事項について詳しく説明します。

ポータル サイト Web アプリを展開する

ユーザーがデバイスの状態、デバイスアクション、コンプライアンス情報にすばやくアクセスできるように、Intune ポータル サイト Web サイトの Web アプリ バージョンを展開します。 Web アプリがホーム画面に表示され、 ポータル サイト Web サイトへのリンクとして機能します。 Web アプリがないと、ユーザーはポータル サイト Web サイトに引き続きアクセスできますが、ブラウザーを開き、検索フィールドにアドレスを入力する必要があります。 Web アプリを追加する方法の詳細については、「 Microsoft Intune に Web アプリを追加する」を参照してください。

フェデレーション認証を有効にする

Apple ユーザー登録では、管理対象の Apple ID を作成して、登録ユーザーに提供する必要があります。 Apple Business Manager と Microsoft Entra ID のリンクで構成されるフェデレーション認証を有効にした場合、一意の Apple ID を作成して各ユーザーに提供する必要はありません。 代わりに、デバイス ユーザーは、職場アカウントに使用する資格情報と同じ資格情報でアプリにサインインできます。 詳細については、「 Apple Business Manager ユーザー ガイド」の「Apple Business Manager とのフェデレーション認証の概要 」を参照してください。

手順 1: ジャストインタイム登録を設定し、Microsoft Authenticator を割り当てる

重要

この機能はパブリック プレビュー段階です。 詳細については、「Microsoft Intune のパブリック プレビュー」を参照してください。

Just-In-Time 登録を構成し、必要なアプリとして Microsoft Authenticator を割り当てます。 手順については、「 Intune で JIT 登録を設定する」を参照してください。 完了したら、この記事に戻り、次の手順に進むことができます。

手順 2: 登録プロファイルを作成する

アカウント駆動型ユーザー登録を使用して登録するデバイスの登録プロファイルを作成します。 登録プロファイルは、デバイス ユーザーの登録エクスペリエンスをトリガーし、設定アプリから登録を開始できるようにします。

1. Microsoft Intune 管理センターで、[ デバイス>登録] に移動します。
2. [ Apple ] タブを選択します。
3. [ 登録オプション] で、[ 登録の種類] を選択します。
4. [プロファイルの作成]>[iOS/iPadOS] の順に選択します。
5. [ 基本 ] ページで、プロファイルの名前と説明を入力して、管理センターの他のプロファイルと区別できるようにします。 デバイス ユーザーにこれらの詳細が表示されません。
6. [次へ] を選択します。
7. [ 設定] ページの [ 登録の種類] で、[ アカウント 駆動型のユーザー登録] を選択します。
8. [次へ] を選択します。
9. [ 割り当て] ページで、プロファイルをすべてのユーザーに割り当てるか、特定のグループを選択します。 ユーザー登録にはユーザー ID が必要なため、ユーザー登録シナリオではデバイス グループはサポートされていません。
10. [次へ] を選択します。
11. [ 確認と作成 ] ページで、選択内容を確認し、[ 作成 ] を選択してプロファイルの作成を完了します。

手順 3: 従業員の加入を準備する

個人用デバイスでデバイスの登録を開始するには、デバイス所有者が設定アプリに移動し、職場または学校アカウントでサインインする必要があります。 職場または学校アカウントを使用してアプリにサインインしようとすると、アプリによって登録要件が通知され、続行する方法が通知されます。

このセクションでは、デバイス ユーザーの登録手順について説明します。 この情報は、組織のデバイス オンボード ドキュメント、またはトラブルシューティングとサポートに使用することをお勧めします。

1. デバイスで [設定] アプリを開きます。
2. [全般] を選択します。
3. [ VPN & デバイス管理] を選択します。
4. 職場または学校アカウントでサインインするか、組織から提供された Apple ID を使用してサインインします。
5. [ iCloud にサインイン] を選択します。
6. 画面に表示されるユーザー名のパスワードを入力します。 [続行] を選択します。
7. [ リモート管理を許可する] を選択します。
8. デバイスが構成され、管理プロファイルがインストールされるまで数分待ちます。
9. デバイスが作業に使用できる状態であることを確認するには、[ VPN & Device Management] に移動します。 職場アカウントが [マネージド アカウント] の下に一覧表示されていることを確認します。
10. 職場のアプリにアクセスするには、Microsoft Authenticator が必要です。 Authenticator がデバイスにインストールされるまで、登録後数分待ちます。 Authenticator を使用せずに作業アプリにサインインしようとすると、エラー メッセージが表示されます。
11. 仕事用アプリをインストールするための承認を求めるメッセージが表示される場合があります。 [ インストール] を選択してインストールを承認します。

プロファイルの優先順位

Intune では、優先順位を付ける順序で登録プロファイルが適用されます。 適用される順序を変更するには:

1. [ 登録の種類] に戻り、プロファイルを表示します。
2. リスト内のプロファイルをドラッグ アンド ドロップして、優先順位を並べ替えます。

ユーザーに複数のプロファイルが割り当てられているために競合が発生した場合、Intune は優先順位の高いプロファイルを適用します。

管理からデバイスを削除する

デバイスの作業データを管理するために作成されたボリュームキーと暗号化キーは、デバイスが Intune から登録解除されると消去されます。

既知の問題

このセクションでは、アカウント主導の Apple ユーザー登録と Microsoft Intune に関する現在の既知の問題について説明します。

登録 SSO アプリケーションが原因で登録が失敗する

登録が開始される前に Microsoft Authenticator アプリがデバイス上にある場合、デバイス ユーザーが設定アプリで職場または学校アカウントでサインインしようとすると、登録は失敗します。 受け取るメッセージは次のとおりです。

• タイトル: サインインに失敗しました
• 説明: 登録 SSO アプリケーションがデバイスにインストールされています。

この問題を回避するには、デバイス ユーザーが Microsoft Authenticator アプリをアンインストールし、登録を再起動する必要があります。

次の手順

• Microsoft Intune でサポートされている Apple ユーザー登録機能と管理アクションの概要については、「Microsoft Intune での Apple ユーザー登録の概要」を参照してください。

• Apple ユーザー登録の詳細については、Apple サポート Web サイトの 「ユーザー登録と MDM 」を参照してください。

• トラブルシューティングについては、「 Microsoft Intune での iOS/iPadOS デバイス登録エラーのトラブルシューティング」を参照してください。

• Intune デバイス構成プロファイルでサポートされている設定については、次を参照してください。

  • iOS および iPadOS デバイスの制限
  • iOS および iPadOS デバイスの機能
  • アプリごとの仮想プライベート ネットワーク (VPN) の設定