iOS/iPadOS 用の自動デバイス登録 (ADE) を設定する
iOS/iPadOS に適用されます
Apple Business Manager または Apple School Manager を使用して購入した企業所有のデバイスは、自動デバイス登録を使用してIntuneに登録できます。 この登録オプションは、Apple Business Manager と Apple School Manager のorganizationの設定を適用し、デバイスに触れる必要なく登録します。 iPhone と iPad は、従業員や学生に直接出荷できます。 デバイスの電源を入れると、Apple セットアップ アシスタントによってセットアップと登録がガイドされます。
この記事では、Microsoft Intuneで自動デバイス登録を準備して設定する方法について説明します。
機能の概要
次の表は、自動デバイス登録でサポートされる機能とシナリオを示しています。
機能 | この登録オプションの使用 |
---|---|
監視モードが必要である。 | ✔️ 監視モードは、ソフトウェアの更新の展開、機能の制限、アプリの許可とブロックなどを行います。 |
デバイスが組織または学校によって所有されている。 | ✔️ |
新しいデバイスがある。 | ✔️ |
少数のデバイス、または多数のデバイス (一括登録) を登録する必要がある。 | ✔️ |
デバイスが 1 人のユーザーに関連付けられている。 | ✔️ |
デバイスにユーザーがいない (キオスクや専用デバイスなど)。 | ✔️ |
デバイスは共有デバイス モードです。 | ✔️ |
デバイスは個人用または持ち込み (BYOD) です。 | ❌ この操作はお勧めしません。 BYOD または個人用デバイス上のアプリケーションは、 MAM または ユーザーとデバイスの登録を使用して管理できます。 |
デバイスは別の MDM プロバイダーによって管理されている。 | ❌ Intuneでデバイスを完全に管理する場合、ユーザーは現在の MDM プロバイダーから登録を解除してから、Intuneに登録する必要があります。 または、MAM を使用して、デバイス上の特定のアプリを管理することができます。 これらのデバイスはorganizationによって所有されているため、Intuneに登録することをお勧めします。 |
デバイス登録マネージャー (DEM) を使用している。 | ❌ DEM アカウントはサポートされていません。 |
証明書
この登録の種類は、自動証明書管理環境 (ACME) プロトコルをサポートします。 新しいデバイスが登録されると、Intuneからの管理プロファイルは ACME 証明書を受け取ります。 ACME プロトコルは、堅牢な検証メカニズムと自動化されたプロセスを通じて、承認されていない証明書の発行に対する SCEP プロトコルよりも優れた保護を提供します。これにより、証明書管理のエラーを減らすことができます。
既に登録されているデバイスは、Microsoft Intuneに再登録しない限り、ACME 証明書を取得しません。 ACME は、次を実行しているデバイスでサポートされています。
iOS 16.0 以降
iPadOS 16.1 以降
前提条件
登録プロファイルを作成する前に、次のものが必要です。
- Apple Business Manager ポータルまたは Apple School Manager ポータルへのアクセス。
- アクティブな Apple トークン (.p7m ファイル)。
- 手順については、 Apple 自動デバイス登録トークンの取得 に関するページを参照してください (この記事で)。
- Intuneの Apple MDM プッシュ証明書。
- Apple Business Manager または Apple School Manager から購入した新しいデバイスまたはワイプされたデバイス。
ヒント
自動デバイス登録では、デバイス ユーザーが削除できない可能性があるデバイス構成が適用されます。 登録前にすべてのデバイスをワイプして、すぐに使用できる状態に戻します。
開始する前に
これらの登録要件とベスト プラクティスを読み、セットアップとデプロイを成功させるために準備します。
認証方法を選択する
登録プロファイルを作成する前に、ユーザーが自分のデバイスで認証する方法を決定します。Intune ポータル サイト アプリ、セットアップ アシスタント (レガシ)、またはモダン認証を使用したセットアップ アシスタントを使用します。 ポータル サイト アプリまたはセットアップ アシスタントを先進認証で使用することは、先進認証と見なされ、多要素認証などの機能があります。
Intuneでは、最新の認証を使用したセットアップ アシスタントの Just-In-Time 登録 (JIT 登録) もサポートされるため、Microsoft Entra登録とコンプライアンスのためのポータル サイト アプリが不要になります。 JIT 登録を使用するには、Apple 登録プロファイルを作成し、モダン認証でセットアップ アシスタントを構成する 前に 、デバイス構成ポリシーを作成する必要があります。
最新の認証を使用したセットアップ アシスタントは、iOS/iPadOS 13.0 以降を実行しているデバイスでサポートされています。 このプロファイルを指定した古い iOS/iPadOS デバイスでは、代わりに認証にセットアップ アシスタント (レガシ) が使用されます。
認証オプションの詳細については、「 自動デバイス登録の認証方法」を参照してください。
監視モードとは何か。
監視モードでは、企業所有のデバイスに対する管理制御が向上するため、画面キャプチャのブロックや AirDrop の制限などを行うことができます。
iOS/iPadOS 11 以降を実行し、自動デバイス登録を介して登録される企業所有のデバイスは、常に監視モードである必要があります。このモードでは、登録プロファイルでオンにすることができます。 監視モードの詳細については、「 iOS/iPadOS 監視モードを有効にする」を参照してください。 Microsoft Intuneは、登録時にこれらのデバイスが自動的に監視モードになるため、iOS/iPadOS 13.0 以降を実行しているデバイスのis_supervised フラグを無視します。
共有デバイス モードでのデバイスの登録
共有デバイス モードでデバイスの自動デバイス登録を設定できます。 共有デバイス モードは、Microsoft Entra IDの機能であり、現場担当者は 1 日を通して 1 つのデバイスを共有し、必要に応じてサインインおよびサインアウトできます。 共有デバイス モードでデバイスの登録を有効にする方法Microsoft Entra詳細については、「共有デバイス モードの自動デバイス登録」を参照してください。
ポータル サイト アプリのデプロイ
重要
ポータル サイト アプリのApp Storeバージョンを使用することはお勧めしません。これは、自動デバイス登録と互換性がなく、デプロイと同様に自動更新と可用性が提供されないためです。
Intuneを使用してIntune ポータル サイト アプリをデプロイすることは、ユーザーにアプリを提供する最善の方法であり、次の唯一の方法です。
- 既に登録されているデバイスを含むすべての ADE デバイスがアプリを受け取っていることを確認します。
- ADE デバイスでポータル サイトのアプリの自動更新を有効にします。
デバイス ライセンスを使用して、アプリを必要な VPP アプリとしてデプロイします。 VPP アプリを同期、割り当て、管理する方法については、「 ボリューム購入アプリの割り当て」を参照してください。
ポータル サイトのアプリの自動更新を有効にするには、管理センターでアプリ トークンの設定に移動し、[アプリの自動更新] を [はい] に変更します。 トークン設定にアクセスする手順については、「 Apple VPP または Apple Business Manager の場所トークンをアップロード する」を参照してください。 自動更新を有効にしない場合、デバイス ユーザーは自分で手動でチェックする必要があります。
デバイス のステージング は、ユーザー アフィニティのないデバイスをユーザー アフィニティを持つデバイスに移行するために使用されます。 デバイスをステージングするには、このセクションで前述したように VPP デプロイを設定します。 次に、 アプリ構成ポリシーを構成してデプロイします。 ポリシーは、ユーザー アフィニティのない ADE デバイスのみを対象にしていることを確認します。
重要
初期登録時に、Intuneは、セットアップ アシスタントに登録されているデバイスのアプリ構成ポリシー設定を最新の認証で自動的にプッシュします。登録プロファイル設定 [Install ポータル サイト] が [はい] に設定されている場合、[自動デバイス登録に登録された iOS デバイスと iPadOS デバイスをサポートするようにポータル サイト アプリを構成する] で構成されます。 この構成は、初期登録中に送信された構成と競合するため、ユーザーに手動で展開しないでください。 両方が展開されている場合、Intuneは、デバイス ユーザーにポータル サイトにサインインし、既にインストールされている管理プロファイルをダウンロードするように求めるメッセージが誤って表示されます。
制限
- トークンあたりの最大登録プロファイル数: 1,000
- プロファイルあたりの自動デバイス登録デバイスの最大数: 200,000 (トークンあたりのデバイスの最大数と同じです)。
- Intune アカウントあたりの自動デバイス登録トークンの最大数: 2,000
- トークンあたりの自動デバイス登録デバイスの最大数: 200,000
- トークンあたり 200,000 台のデバイスを超えないようにすることをお勧めします。 そうしないと、同期の問題が発生する可能性があります。 20 万を超えるデバイスがある場合は、そのデバイスを複数の ADE トークンに分割してください。
- Apple Business Manager と Apple School Manager は、1 分あたり約 3,000 台のデバイスをIntuneに同期します。 すべてのデバイスが同期を完了するのに十分な時間が経過するまで、管理センターからの手動同期を再度保留することをお勧めします (1 分あたりのデバイス数/3,000 デバイスの合計数)。
登録のトラブルシューティング
登録プロセス時に同期の問題が発生する場合は、iOS/iPadOS デバイスの登録の問題のトラブルシューティングに関するページで解決方法を確認できます。
Apple 自動デバイス登録トークンを取得する
iOS/iPadOS デバイスを ADE に登録するには、Apple から自動デバイス登録トークン (.p7m ファイル) が必要です。 このトークンを使用すると、organizationが所有する ADE デバイスに関する情報をIntune同期できます。 また、Intune から Apple に登録プロファイルをアップロードして、デバイスをそれらのプロファイルに割り当てられるようになります。
Apple Business Manager (ABM) または Apple School Manager (ASM) を使用してトークンを作成し、管理のためにデバイスをIntuneに割り当てます。
注:
いずれかの Apple ポータルを使用して ADE を有効にすることができます。 この記事の残りの部分は Apple Business Manager を参照していますが、手順は Apple School Manager でも同じです。
手順 1: Intune 公開キー証明書をダウンロードする
Microsoft Intune管理センターで、[デバイス>登録] に移動します。
[ Apple ] タブを選択します。
[Enrollment Program トークン]>[追加] の順に選択します。
[基本] タブで、次の操作を行います。
[ Microsoft にユーザーとデバイスの情報を Apple に送信するアクセス許可を付与することに同意する] を選択します。
[トークンを作成するために必要な Intune 公開キー証明書をダウンロードする] を選択します。 この手順では、暗号化キー (.pem) ファイルをダウンロードしてローカルに保存します。 .pem ファイルは、Apple Business Manager ポータルから信頼関係証明書を要求するために使用されます。
その後、 手順 2: Apple Business Manager ポータルに移動し、Apple Business Manager でこの .pem ファイルをアップロードします。
この Web ブラウザーのタブとページは開いたままにしておきます。 タブを閉じると次のようになります。
- ダウンロードした証明書が無効になります。
- 手順を繰り返す必要があります。
- [確認と作成] タブでは、[作成] ボタンを使用できないため、この手順を完了することはできません。
手順 2: Apple Business Manager ポータルに移動する
Apple Business Manager ポータルを使用して、ADE トークンを作成および更新します (MDM サーバー)。 このトークンは Intune に追加され、Intune と Apple の間で通信を行います。
注:
次の手順では、Apple Business Manager で行う必要がある内容について説明します。 具体的な手順については、Apple のドキュメントを参照してください。 Apple Business Manager ユーザー ガイド (Apple の Web サイト) が役立つ場合があります。
Apple トークンをダウンロードする
Apple Business Manager で、会社の Apple ID を使用してサインインします。
このポータルで、次の手順を実行します。
[設定] には、すべてのトークンが表示されます。 MDM サーバーを追加し、公開キー証明書 (.pem ファイル) をアップロードします。これは、「手順 1: Intune 公開キー証明書をダウンロードする」(この記事) で Intune からダウンロードしたものです。
サーバー名を使用して、モバイル デバイス管理 (MDM) サーバーを識別します。 Microsoft Intune サービスの名前や URL ではありません。
MDM サーバーを保存した後、それを選択してから、トークン (.p7m ファイル) をダウンロードします。 その後、「手順 4: トークンをアップロードして完了する」で、Intuneで .p7m トークンをアップロードします。
デバイスを Apple トークンに割り当てる (MDM サーバー)
- Apple Business Manager>[デバイス] で、このトークンに割り当てるデバイスを選択します。 シリアル番号など、さまざまなデバイス プロパティで並べ替えることができます。 同時に複数のデバイスを選択することもできます。
- デバイス管理を編集し、先ほど追加した MDM サーバーを選択します。 この手順ではデバイスをトークンに割り当てます。
手順 3: Apple ID を保存する
Web ブラウザーで、[登録プログラム トークンの追加] ページMicrosoft Intuneタブに戻り、「手順 1: Intune公開キー証明書をダウンロードする」で開始しました。
[Apple ID] に、ご自分の ID を入力します。 この手順で ID が保存されます。 今後はこの ID を使用できます。
手順 4: トークンをアップロードして完了する
[Apple トークン] で、.p7m 証明書ファイルを参照してから、[開く] を選択します。
ヒント
「手順 2: Apple Business Manager ポータルに移動する」でトークンをダウンロードしました。
[次へ] を選択します。
[レビューと作成] タブで、[作成] を選択します。
プッシュ証明書を使用すると、Intune では、登録されたモバイル デバイスにポリシーをプッシュすることによって、iOS および iPadOS デバイスを登録して管理することができます。 Intune は Apple と自動的に同期して、Enrollment Program アカウントにアクセスします。
Apple の登録プロファイルを作成する
トークンをインストールしたので、自動デバイス登録用の登録プロファイルを作成できます。 デバイス登録プロファイルで、デバイス グループに対して登録時に適用する設定を定義します。 登録トークンごとに 1,000 個の登録プロファイルの制限があります。
注:
VPP トークンに十分なポータル サイト ライセンスがない場合、またはトークンの有効期限が切れた場合、デバイスの登録はブロックされます。 トークンの有効期限が近づいている場合、またはライセンスが不足している場合は、Intune でアラートが表示されます。
Microsoft Intune管理センターで、[デバイス>登録] に移動します。
[ Apple ] タブを選択します。
[ 登録プログラム トークン] を選択します。
トークンを選択し、[プロファイル] を選択 します。
[プロファイルの作成]>[iOS/iPadOS] の順に選択します。
[基本] では、管理用にプロファイルに [名前] と [説明] を指定します。 ユーザーには、これらの詳細は表示されません。
[次へ] を選択します。
重要
デバイスがアクティブになる前に、デバイスに登録ポリシーを割り当てる必要があります。 デバイスが Apple Business Manager または Apple School Manager から同期されたら、自動デバイス登録を使用して正しく登録できるように、できるだけ早く既定の登録ポリシーを設定することをお勧めします。 Apple から同期したデバイスに登録ポリシーが割り当てられず、誰かがデバイスをオンにして設定した場合、登録は失敗します。
重要
既存の登録プロファイルに変更を加えた場合、デバイスが出荷時の設定にリセットされて再アクティブ化されるまで、割り当てられたデバイスに対して新しい設定は有効になりません。 デバイス名テンプレートの設定は、工場出荷時のリセットを有効にする必要のない、変更できる唯一の設定です。 名前付けテンプレートの変更は、次のチェックで有効になります。
[ユーザー アフィニティ] 一覧で、このプロファイルに対応するデバイスを割り当て済みユーザーとともに登録する必要があるかどうかを決定するオプションを選択します。
ユーザー アフィニティを使用して登録する: アプリのインストールなどのサービスにポータル サイトを使用するユーザーに属するデバイスの場合は、このオプションを選択します。
ユーザー アフィニティなしで登録する: 1 人のユーザーと提携していないデバイスの場合は、このオプションを選択します。 ローカルのユーザー データにアクセスしないデバイスには、このオプションを使用します。 このオプションは、通常、キオスク、販売時点管理 (POS)、または共有ユーティリティのデバイスに使用されます。
場合によっては、プライマリ ユーザーをユーザー アフィニティなしで登録されたデバイスに関連付ける必要があります。 このタスクを実行するには、マネージド デバイスのアプリ構成ポリシーで Intune ポータル サイト アプリに
IntuneUDAUserlessDevice
キーを送信します。 Intune ポータル サイト アプリに初めてサインインしたユーザーが、プライマリ ユーザーとして設定されます。 最初のユーザーがサインアウトし、2 番目のユーザーがサインインした場合、最初のユーザーは引き続きデバイスのプライマリ ユーザーになります。 詳細については、iOS および iPadOS の ADE デバイスをサポートするためのポータル サイト アプリの構成に関するページを参照してください。[Microsoft Entra ID共有モードで登録する]: 共有モードのデバイスを登録するには、このオプションを選択します。
[ユーザー アフィニティ] フィールドで [ユーザー アフィニティを使用して登録] を選択した場合は、従業員が使用する必要がある認証方法を選択できます。 各認証方法の詳細については、「 自動デバイス登録の認証方法」を参照してください。
次のようなオプションがあります。
- ポータル サイト
- セットアップ アシスタント (レガシ)
- 先進認証を使用したセットアップ アシスタント
認証方法にセットアップ アシスタント (レガシ) を選択したが、条件付きアクセスを使用するか、デバイスに会社のアプリを展開する場合は、デバイスにポータル サイトをインストールし、サインインしてMicrosoft Entra登録を完了する必要があります。 これを行うには、[ポータル サイトのインストール] で [はい] を選択します。 ユーザーがApp Storeに対して認証を行わずにポータル サイトを受け取る場合は、[VPP を使用したポータル サイトのインストール] で VPP トークンを選択します。 トークンの期限が切れていないことと、ポータル サイト アプリを適切に展開できるだけの十分なデバイス ライセンスを保持していることをご確認ください。
[VPP によるポータル サイトのインストール] にトークンを選択した場合、セットアップ アシスタントの完了直後にシングル アプリ モードでデバイスをロックできます (具体的には、ポータル サイト アプリ)。 [Run Company Portal in Single App Mode until authentication]\(認証されるまでシングル アプリ モードでポータル サイトを実行する\) で [はい] を選択すると、このオプションが設定されます。 デバイスを使用するには、ユーザーが最初にポータル サイトにサインインして認証する必要があります。
注:
シングル アプリ モードでロックされている単一のデバイス上では、多要素認証はサポートされていません。 そのデバイスでは別のアプリに切り替えて認証の 2 番目の要素を完了することができないため、この制限が設けられています。 シングル アプリ モードのデバイス上で多要素認証を使用する場合は、2 番目の要素が別のデバイス上にある必要があります。
この機能は iOS/iPadOS 11.3.1 以降でのみサポートされます。
このプロファイルを使用するデバイスを監視する場合は、[監視対象] の一覧で [はい] を選択します。
[監視下] デバイスでは、より多くの管理オプションを使用できるようになり、既定で [アクティベーション ロック] は無効になります。 Microsoft では、特に多数の iOS/iPadOS デバイスを展開する場合に、監視モードを有効にするメカニズムとして ADE を使用することをお勧めしています。 Apple Shared iPad for Business デバイスを監視する必要があります。
ユーザーは 、デバイスが設定 アプリで監視されていることを通知されます。 画面の上部にあるアプリで、静的なメッセージが表示され、この iPhone は
<your organization>
によって監視および管理されます。注:
デバイスが監視なしで登録されており、それを監視対象に設定する場合は、Apple Configurator を使用する必要があります。 この方法でデバイスをリセットするには、USB ケーブルで Mac に接続する必要があります。 詳細については、Apple Configurator のヘルプに関するページを参照してください。
[ロックされた登録] 一覧で、[はい] または [いいえ] を選択します。 ロックされた登録では、管理プロファイルを削除できる iOS/iPadOS 設定が無効になります。 ロックされた登録を有効にした場合、ユーザーが管理プロファイルを削除できるようにする設定アプリのボタンは非表示になり、ユーザーはデバイスの登録を解除できません。 共有モードでデバイスMicrosoft Entra ID設定する場合は、[はい] を選択します。
ロックされた登録は、最初は Apple Business Manager を使用して購入したデバイスではなく、自動デバイス登録の一部として追加されたデバイスでは、少し異なります。これらのデバイスのユーザーは、デバイスをアクティブ化した後の最初の 30 日間、設定アプリの [管理の削除] ボタンを表示できます。 その暫定期間が経過すると、このオプションは非表示になります。 詳細については、「デバイスを 手動で準備 する(Apple Configurator ヘルプ ドキュメントを開く)」を参照してください。
重要
この設定は、ポータル サイト アプリの削除とリセットのオプションとは異なります。 ロックされた登録を構成する方法に関係なく、ポータル サイト アプリの [デバイスの削除] または [工場出荷時のリセット] オプションは、自動デバイス登録によって登録されたデバイスでは使用できなくなります。 ユーザーは、ポータル サイト Web サイトでデバイスを削除することもできません。 登録済みデバイスで使用できるセルフサービス アクションの詳細については、「 セルフサービス アクション」を参照してください。
前の手順で [ユーザー アフィニティなしで登録する] と [監視] を選択した場合、デバイスを Apple Shared iPad for Business デバイスに構成するかどうかを決定する必要があります。 [共有 iPad] に [はい] を選択すると、複数のユーザーが単一デバイスにサインインできるようになります。 ユーザーは、マネージド Apple ID とフェデレーション認証アカウントを使用するか、一時的なセッション (ゲスト アカウントなど) を使用して認証します。 このオプションを選択するには、iOS/iPadOS 13.4 以降が必要です。 Shared iPad では、アクティベーション後、すべてのセットアップ アシスタント ウィンドウが自動的にスキップされます。
注:
- 共有 iPad が有効になっている iOS/iPadOS の登録プロファイルが、サポートされていないデバイスに送信された場合は、デバイスのワイプが必要になります。 サポートされていないデバイスには、すべての iPhone モデルと、iPadOS/iOS 13.3 以前が実行されている iPad が含まれます。 サポートされているデバイスには、iPadOS 13.3 以降が実行されている iPad が含まれます。
- Apple Shared iPad for Business を設定する場合は、これらの設定を構成します。
- [ユーザー アフィニティ] 一覧で、[ユーザー アフィニティなしで登録する] を選択します。
- [監視] 一覧で、[はい] を選択します。
- [共有 iPad] 一覧で、[はい] を選択します。
Apple Shared iPad for Business デバイスを設定する場合は、以下も構成します。
キャッシュされた最大ユーザー数: 共有 iPad を使用すると予想されるユーザー数を入力します。 32 GB または 64 GB のデバイスで最大 24 ユーザーをキャッシュできます。 小さい数を選ぶと、ユーザーのデータがサインイン後にデバイスに表示されるまで時間がかかることがあります。 大きい数を選ぶと、ユーザーに十分なディスク領域が割り当てられない場合があります。
パスワードが必要になるまでの画面ロック後の最大秒数: 時間を秒単位で入力します。 使用できる値は、0、60、300、900、3600、14400 です。 画面ロックがこの時間を超えた場合は、デバイスのロックを解除するためにデバイスのパスワードが必要になります。 iPadOS 13.0 以降を実行している共有 iPad モードのデバイスで使用できます。
ユーザー セッションがログアウトするまでの非アクティブ時間の最大秒数: この設定の最小許容値は 30 です。 定義された期間を過ぎてもアクティビティがない場合、ユーザー セッションは終了し、ユーザーはサインアウトされます。エントリを空白のままにするか、ゼロ (0) に設定した場合、セッションは非アクティブのため終了しません。 iPadOS 14.5 以降を実行している共有 iPad モードのデバイスで使用できます。
共有 iPad の一時的なセッションのみを必要とする: ユーザーがゲスト バージョンのサインイン エクスペリエンスのみを表示し、ゲストとしてサインインする必要があるデバイスを構成します。 管理対象の Apple ID でサインインすることはできません。 iPadOS 14.5 以降を実行している共有 iPad モードのデバイスで使用できます。
[はい] に設定すると、次の共有 iPad 設定は一時的なセッションには適用されないため、取り消されます。
- キャッシュされたユーザーの最大数
- 画面ロック後にパスワードが要求されるまでの最大秒数
- ユーザー セッションがログアウトするまでの非アクティブ時間の最大秒数
一時的なセッションがログアウトするまでの非アクティブ時間の最大秒数: この設定の最小許容値は 30 です。 定義された期間の後にアクティビティがない場合は、一時的なセッションが終了し、ユーザーがサインアウトします。エントリを空白のままにするか、ゼロ (0) に設定した場合、セッションは非アクティブのため終了しません。 iPadOS 14.5 以降を実行している共有 iPad モードのデバイスで使用できます。
この設定は、[共有 iPad の一時的なセッションのみを必要とする] が [はい] に設定されている場合に使用できます。
注:
- 一時セッションが有効になっている場合、セッションからサインアウトすると、ユーザーのデータはすべて削除されます。 つまり、すべての対象となるポリシーとアプリは、サインイン時にユーザーに表示され、ユーザーがサインアウトすると削除されます。
- 共有 iPads 構成を一時的なセッションを持たなく変更するには、デバイスを完全にリセットする必要があります。更新された構成を持つ新しい登録プロファイルを iPad に送信する必要があります。
[コンピューターと同期する] 一覧で、このプロファイルを使用するデバイスのオプションを選択します。 [証明書による Apple Configurator の許可] を選択した場合は、[Apple Configurator の証明書] で証明書を選ぶ必要があります。
注:
[コンピューターと同期する] を [すべて拒否] に設定した場合、iOS および iPadOS デバイス上でポートが制限されます。 このポートは課金のみに制限されます。 iTunes または Apple Configurator 2 の使用に対してブロックされます。
[コンピューターと同期する] を [証明書による Apple Configurator の許可] に設定した場合は、後で使用できる証明書のローカル コピーを必ず保持するようにしてください。 アップロードされたコピーを変更することはできません。この証明書のコピーを保持することが重要です。 Mac デバイスから iOS/iPadOS デバイスに接続する場合は、iOS/iPadOS デバイスへの接続を行うデバイスに同じ証明書をインストールする必要があります。
前の手順で [証明書による Apple Configurator の許可] を選択した場合は、インポートする Apple Configurator の証明書を選びます。 制限は 10 個の証明書です。
Await 最終構成の場合、オプションは次のとおりです。
はい: セットアップ アシスタントの最後でロックされたエクスペリエンスを有効にして、最も重要なデバイス構成ポリシーがデバイスにインストールされていることを確認します。 ホーム画面が読み込まれる直前に、セットアップ アシスタントが一時停止し、デバイスでIntune チェックできます。 エンド ユーザー エクスペリエンスは、ユーザーが最終的な構成を待機している間にロックされます。
[待機中の最終構成] 画面でユーザーが保持される時間は異なり、デバイスに適用するポリシーとアプリの合計数によって異なります。 デバイスに割り当てられたポリシーとアプリが多いほど、待機時間が長くなります。 セットアップ アシスタントとMicrosoft Intuneでは、セットアップのこの部分では、最小または最大時間制限は適用されません。 製品の検証中に、テストしたほとんどのデバイスがリリースされ、15 分以内にホーム画面にアクセスできました。 この機能を有効にし、Microsoft 以外のユーザーを使用してデバイスのプロビジョニングを支援する場合は、プロビジョニング時間が長くなる可能性について伝えてください。
注:
待機中の最終構成画面でデバイス構成ポリシーのみがインストールを開始し、アプリケーションはこれに含まれません。
ロックされたエクスペリエンスは、新規および既存の登録プロファイルを対象とするデバイスで機能します。 サポートされているデバイスには以下が含まれます。
- 最新の認証を使用してセットアップ アシスタントに登録する iOS/iPadOS 13 以降のデバイス
- ユーザー アフィニティなしで登録されている iOS/iPadOS 13 以降のデバイス
- Microsoft Entra ID共有モードで登録されている iOS/iPadOS 13 以降のデバイス
この設定は、セットアップ アシスタントのすぐに使用できる自動デバイス登録エクスペリエンス中に 1 回適用されます。 デバイス ユーザーがデバイスを再登録しない限り、デバイス ユーザーは再びデバイスを体験しません。 [はい ] は、新しい登録プロファイルの既定の設定です。
いいえ: ポリシーのインストール状態に関係なく、セットアップ アシスタントが終了すると、デバイスはホーム画面にリリースされます。 デバイス ユーザーは、すべてのポリシーがインストールされる前に、ホーム画面にアクセスしたり、デバイスの設定を変更したりできます。 既存の登録プロファイルの既定の設定は [いいえ] です。
await 構成設定は、次の構成の組み合わせのプロファイルでは使用できません。
- ユーザー アフィニティ: ユーザー アフィニティなしで登録する (このセクションの手順 6)
- 共有 iPad: はい (このセクションの手順 12)
必要に応じて、管理センターでこのプロファイルが割り当てられているデバイスをすばやく識別するデバイス名テンプレートを作成します。 Intuneでは、テンプレートを使用してデバイス名を作成および書式設定します。 これらの名前は、登録時と、連続する各チェック時にデバイスに付与されます。 テンプレートを作成するには:
[ デバイス名テンプレートの適用] で、[ はい ] を選択します。
[ デバイス名テンプレート ] ボックスに、デバイス名の構築に使用するテンプレートを入力します。 テンプレートには、デバイスの種類とシリアル番号を含めることができます。 変数を含めて、63 文字を超えることはできません。 例:
{{DEVICETYPE}}-{{SERIAL}}
携帯電話データ プランをアクティブ化できます。 この設定は、iOS/iPadOS 13.0 以降を実行しているデバイスに適用されます。 このオプションを構成すると、eSim 対応携帯ネットワーク デバイスの携帯データネットワーク プランをアクティブ化するコマンドが送信されます。 このコマンドを使用してデータ プランをアクティブ化するには、通信事業者がデバイスのライセンス認証を準備する必要があります。 携帯データネットワーク プランをアクティブ化するには、[ はい] を選択し、通信事業者のアクティブ化サーバー URL を入力します。
[次へ] を選択します。
[セットアップ アシスタント] タブで、次のプロファイル設定を構成します。
部門の設定 説明 Department アクティブ化中にユーザーが [構成について] をタップすると表示されます。 部署の電話番号 アクティブ化中にユーザーが [ヘルプが必要ですか] ボタンをタップすると表示されます。 ユーザーのセットアップ中に、デバイスのセットアップ アシスタント画面を非表示にすることができます。 すべての画面の説明については、 セットアップ アシスタントの画面リファレンス (この記事の) を参照してください。
- [非表示] を選択した場合、セットアップ中に画面は表示されません。 デバイスを設定した後、ユーザーは引き続き [設定] メニューに移動して機能を設定できます。
- [表示] を選択すると、セットアップ中に画面が表示されますが、復元後またはソフトウェア更新後に完了する手順がある場合にのみ表示されます。 ユーザーは、何も行わずに画面をスキップできる場合があります。 後でデバイスの [設定] メニューに移動して機能を設定することができます。
- Shared iPad では、構成に関係なく、アクティベーション後、すべてのセットアップ アシスタント ウィンドウが自動的にスキップされます。
[次へ] を選択します。
プロファイルを保存するには、[作成] を選択します。
Microsoft Entra IDの動的グループ
[登録名] フィールドを使用して、Microsoft Entra IDで動的グループを作成できます。 詳細については、「動的グループのMicrosoft Entra」を参照してください。
プロファイル名を使用して、この登録プロファイルに対応するデバイスを割り当てるために enrollmentProfileName パラメーターを定義できます。
デバイスをセットアップする前に、ユーザー アフィニティを持つデバイスへの迅速な配信を確保するには、登録しているユーザーがMicrosoft Entra ユーザー グループのメンバーであることを確認します。
動的グループを登録プロファイルに割り当てる場合、登録後にデバイスに対してアプリケーションとポリシーを配信するときに、遅延が発生するおそれがあります。
セットアップ アシスタントの画面リファレンス
次の表では、iOS/iPadOS の自動デバイス登録中に表示されるセットアップ アシスタント画面について説明します。 登録中に、サポートされているデバイスでこれらの画面を表示または非表示にすることができます。 各セットアップ アシスタント画面がユーザー エクスペリエンスに与える影響の詳細については、次の Apple リソースを参照してください。
セットアップ アシスタント画面 | 表示された場合の動作 |
---|---|
パスコード | パスコードとパスワード ロック ウィンドウをユーザーに表示し、ユーザーにパスコードの入力を求めます。 アクセスが何らかの方法で制御されない限り、セキュリティで保護されていないデバイスのパスコードを常に必要とします (デバイスを 1 つのアプリに制限するキオスク モード構成など)。 この画面は、iOS/iPadOS 7.0 以降で使用できます。一部の制限があります。 詳細については、この記事 の「制限事項 」を参照してください。 |
位置情報サービス | 位置情報サービスのセットアップ ウィンドウが表示され、ユーザーはデバイスで位置情報サービスを有効にすることができます。 iOS/iPadOS 7.0 以降の場合。 |
復元 | アプリとデータのセットアップ ウィンドウを表示します。 この画面では、デバイスを設定しているユーザーは、iCloud Backup からデータを復元または転送できます。 iOS/iPadOS 7.0 以降の場合。 |
Apple ID | [Apple ID のセットアップ] ウィンドウが表示され、Apple ID でサインインして iCloud を使用するオプションがユーザーに表示されます。 iOS/iPadOS 7.0 以降の場合。 |
使用条件 | [Apple の使用条件] ウィンドウが表示され、ユーザーは同意する必要があります。 iOS/iPadOS 7.0 以降の場合。 |
Touch ID と Face ID | 生体認証のセットアップ ウィンドウを表示します。これにより、デバイスで指紋または顔識別を設定するオプションがユーザーに表示されます。 iOS/iPadOS 8.1 以降の場合は、いくつかの制限があります。 詳細については、この記事 の「制限事項 」を参照してください。 |
Apple Pay | Apple Pay セットアップ ウィンドウが表示されます。これにより、ユーザーはデバイスで Apple Pay を設定できます。 iOS/iPadOS 7.0 以降の場合。 |
拡大 | ズーム設定ウィンドウを表示します。これにより、ユーザーはズーム設定を構成できます。 iOS/iPadOS 8.3 以降の場合、iOS/iPadOS 17 では非推奨になりました。 |
Siri | [Siri のセットアップ] ウィンドウをユーザーに表示します。 iOS/iPadOS 7.0 以降の場合。 |
診断データ | ユーザーが診断データを Apple に送信することをオプトインできる [診断] ウィンドウを表示します。 iOS/iPadOS 7.0 以降の場合。 |
画面トーン | ユーザーがディスプレイのホワイト バランス設定を構成できる表示トーン設定ウィンドウを表示します。 iOS/iPadOS 9.3.2 以降の場合は、iOS/iPadOS 15 では非推奨になりました。 |
プライバシー | プライバシー設定ウィンドウをユーザーに表示します。 iOS/iPadOS 11.3 以降の場合。 |
Android の移行 | 以前の Android ユーザー向けのセットアップ ウィンドウを表示します。 この画面では、ユーザーは Android デバイスからデータを移行できます。 iOS/iPadOS 9.0 以降の場合。 |
iMessage と FaceTime | iMessage と FaceTime のセットアップ ウィンドウを表示します。 iOS/iPadOS 9.0 以降の場合。 |
オンボーディング | カバー シートやマルチタスク、コントロール センターなど、ユーザー教育用のオンボード情報画面を表示します。 iOS/iPadOS 11.0 以降の場合。 |
スクリーン タイム | [画面時間] 画面を表示します。 iOS/iPadOS 12.0 以降の場合。 |
SIM の設定 | [携帯ネットワークのセットアップ] ウィンドウが表示され、ユーザーは携帯ネットワーク プランを追加できます。 iOS/iPadOS 12.0 以降の場合。 |
ソフトウェア更新プログラム | 必須のソフトウェア更新プログラムの画面を表示します。 iOS/iPadOS 12.0 以降の場合。 |
ウォッチの移行 | Apple Watch の移行ウィンドウが表示され、ユーザーは Apple Watch からデータを移行できます。 iOS/iPadOS 11.0 以降の場合。 |
外観モード | 外観設定ウィンドウを表示します。 iOS/iPadOS 13.0 以降の場合。 |
デバイス間の移行 | [デバイスからデバイスへの移行] ウィンドウが表示されます。 この画面では、ユーザーは古いデバイスから現在のデバイスにデータを転送できます。 デバイスから直接データを転送するオプションは、iOS 13 以降を実行しているデバイスでは使用できません。 |
復元が完了しました | セットアップ アシスタント中にバックアップと復元が実行された後に、[復元が完了しました] 画面がユーザーに表示されます。 |
ソフトウェア更新プログラムが完了しました | セットアップ アシスタント中に発生したすべてのソフトウェア更新プログラムをユーザーに表示します。 |
はじめに | [はじめに] のようこそ画面がユーザーに表示されます。 |
住所の条件 | アドレスペインの用語を表示します。これにより、システム全体で対処する方法を選択できます。女性的、男性的、または中立的です。 この Apple 機能は、一部の言語で使用できます。 詳細については、「 主な機能と機能強化(Apple Web サイトを開く)」を参照してください。 iOS/iPadOS 16.0 以降の場合。 |
緊急 SOS | [安全性の設定] ウィンドウが表示されます。 iOS/iPadOS 16.0 以降の場合。 |
[アクション] ボタン | アクション ボタンの構成ウィンドウを表示します。 iOS/iPadOS 17.0 以降の場合。 |
インテリジェンス | ユーザーが Apple Intelligence 機能を構成できる Apple Intelligence のセットアップ ウィンドウが表示されます。 iOS/iPadOS 18.0 以降の場合。 |
マネージド デバイスを同期する
デバイスを管理するアクセス許可を Intune に割り当てたので、Intune と Apple を同期して、マネージド デバイスを Azure ポータルの Intune に表示できます。
Microsoft Intune管理センターで、[デバイス>登録] に移動します。
[ Apple ] タブを選択します。
[ 登録プログラム トークン] を選択します。
一覧でトークンを選択し、[ デバイス>Sync] を選択します。
許容される Enrollment Program トラフィックについての Apple の規約に準拠するために、Intune では次の制限が課せられています。
- 完全な同期は 7 日に 1 回だけ実行できます。 完全な同期中に、Intune に接続された Apple MDM サーバーに割り当てられているシリアル番号の完全な最新の一覧を Intune がフェッチします。
重要
デバイスが Intune から削除されても、ASM/ABM ポータルで ADE 登録トークンに割り当てられたままの場合、次回の完全同期時に Intune に再び表示されます。デバイスを Intune に再表示しない場合は、ABM/ASM ポータルで Apple MDM サーバーからデバイスの割り当てを解除します。
- デバイスが ABM/ASM からリリースされた場合、Intune の [デバイス] ページから自動的に削除されるまでに最大 45 日かかることがあります。 必要に応じて、Intune からリリース済みのデバイスを 1 つずつ手動で削除することができます。 リリースされたデバイスは、30 から 45 日以内に自動的に削除されるまで、Intuneで ABM/ASM から削除されたと正確に報告されます。
- 差分同期は 12 時間ごとに自動的に実行されます。 [同期] ボタンを選択して、差分同期をトリガーすることもできます (15 分に 1 回のみ)。 すべての同期要求の完了時間は 15 分です。 [同期] ボタンは、同期が完了するまで非アクティブになります。 同期すると、既存のデバイスの状態が更新され、Apple MDM サーバーに割り当てられた新しいデバイスがインポートされます。 何らかの理由で差分同期が失敗した場合、次の同期は完全同期であり、問題が解決される可能性があります。
- 完全な同期は 7 日に 1 回だけ実行できます。 完全な同期中に、Intune に接続された Apple MDM サーバーに割り当てられているシリアル番号の完全な最新の一覧を Intune がフェッチします。
登録プロファイルをデバイスに割り当てる
デバイスを登録する前に、登録プロファイルを割り当てる必要があります。
注:
[Apple Serial Numbers]\(Apple シリアル番号\) ペインでプロファイルにシリアル番号を割り当てることもできます。
- Microsoft Intune管理センターで、[デバイス>登録] に移動します。
- [ Apple ] タブを選択します。
- [ 登録プログラム トークン] を選択します。
- 登録トークンを選択します。
- [デバイス] を選択します。
- 割り当てるすべてのデバイスを選択し、[ プロファイルの割り当て] を選択します。
- [ プロファイルの割り当て] で、デバイス用に作成した自動デバイス登録プロファイルを選択し、[ 割り当て] を選択します。
既定のプロファイルを割り当てる
特定のトークンに登録するすべてのデバイスに適用される既定のプロファイルを選択することができます。
- 管理センターで、[ 登録プログラム トークン] に戻ります。
- 登録トークンを選択します。
- [ 既定のプロファイルの設定] を選択します。
- 一覧でプロファイルを選択し、[保存] を選択 します。 ここから、Intuneは、選択した登録トークンを使用して登録するすべてのデバイスにプロファイルを適用します。
注:
[登録制限] の下の [デバイスの種類の制限] で、iOS および iPadOS プラットフォームをブロックするように既定の [すべてのユーザー] ポリシーを設定しないようにします。 この設定は、ユーザーの構成証明に関係なく、自動登録が失敗し、デバイスが無効なプロファイルとして表示される原因となります。 会社が管理するデバイスによる登録のみを許可するには、個人所有のデバイスだけをブロックします。この場合、会社のデバイスの登録が許可されます。 Microsoft では、会社のデバイスは Device Enrollment Program 経由で登録されたデバイス、または [業務用デバイスの ID] で手動で入力されたデバイスとして定義されています。
デバイスを配布する
Apple と Intune の間の管理と同期を有効にし、ADE デバイスを登録できるようにプロファイルを割り当てました。 これで、デバイスをユーザーに配布する準備ができました。 知っておく必要があることをいくつか以下に示します。
ユーザー アフィニティで登録されたデバイスを使用するには、ユーザーにIntune ライセンスが割り当てられている必要があります。
ユーザー アフィニティなしで登録されたデバイスには、通常、関連付けられているユーザーはいません。 これらのデバイスには Intune デバイス ライセンスが必要です。 Intuneライセンスを持つユーザーがユーザー アフィニティを持たないデバイスを使用する場合、デバイス ライセンスは必要ありません。
まとめると、デバイスにユーザーがいる場合は、そのユーザーに Intune ライセンスが割り当てられている必要があります。 デバイスに Intune のライセンスがあるユーザーがいない場合、そのデバイスには Intune デバイス ライセンスが必要です。
Intune ライセンスの詳細については、「Microsoft Intune のライセンス」と、Intune 計画ガイドに関するページを参照してください。
既にアクティブ化されているデバイスは、自動デバイス登録で適切に登録する前にワイプする必要があります。 ワイプした後、もう一度アクティブ化する前に、登録プロファイルを適用できます。 既存の iPhone、iPad、iPod touch の設定に関するページを参照してください
ADE とユーザー アフィニティを使用して登録する場合、セットアップ中に次のエラーが発生するおそれがあります。
The SCEP server returned an invalid response.
15 分以内に管理画面を再度ダウンロードすることで、このエラーを解決できます。 15 分後、デバイスを工場出荷時の状態にリセットしてエラーを解決する必要があります。 このエラーは、セキュリティのために適用される SCEP 証明書に 15 分の制限があるために発生します。
エンド ユーザー エクスペリエンスについては、ADE を使用する Intune への iOS/iPadOS デバイスの登録に関するページを参照してください。
デバイスを再登録する
自動デバイス登録を既に行ったデバイスを再登録するには、次の手順を実行します。
- デバイスをリセットするには、次の 2 つのオプションがあります。
- Microsoft Intune管理センターでデバイスをワイプします。
- 管理センターでデバイスを廃止し、設定アプリ、Apple Configurator 2、または iTunes を使用してデバイスを出荷時の設定にリセットします。
- デバイスの電源を入れ、セットアップ アシスタントの画面の手順に従ってリモート管理プロファイルを取得します。
自動デバイス登録トークンを更新する
登録プログラム トークンを毎年更新することが重要です。 Intune管理センターに有効期限が表示されます。
- Apple Business Manager でトークンを設定したユーザーの Apple ID パスワードが変更された場合は、Intune および Apple Business Manager で Enrollment Program トークンを更新します。
- Apple Business Manager でトークンを設定したユーザーが組織を離れた場合は、Intune および Apple Business Manager で Enrollment Program トークンを更新します。
- ADE トークンの作成に使用する Apple ID を変更しても、その変更は、再登録されるまで、そのトークンを使用して現在登録されているデバイスには影響しません。 この動作は、テナントに使用される Apple Push Notification Service (APNS) 証明書とは異なります。 APNS 証明書は、Apple サポートのヘルプを使用して変更できます。 それ以外の場合は、変更を加えるには、すべてのデバイスを再登録する必要があります。
トークンを更新する
business.apple.com に移動し、管理者またはデバイス登録マネージャーのロールを持つアカウントでサインインします。
[設定] を選択します。 [MDM サーバー] で、更新するトークン ファイルに関連付けられた MDM サーバーを選択します。 [ トークンのダウンロード] を選択します。
[Download Server Token]\(サーバー トークンをダウンロードする\) を選択します。
注:
プロンプトに示されているように、トークンを更新する予定がない場合は [Download Server Token]\(サーバー トークンをダウンロードする\) を選択しないでください。 そのようにすると、Intune (またはその他の MDM ソリューション) で使用されているトークンが無効になります。 トークンを既にダウンロードしている場合は、トークンが更新されるまで必ず次の手順を続行してください。
トークンをダウンロードしたら、管理センター Microsoft Intune移動します。
[ デバイス>登録] を選択します。
[ 登録プログラム トークン] を選択します。
トークンを選びます。
[トークンを更新する] を選択します。 元のトークンの作成に使用する Apple ID を 入力します (まだ入力されていない場合)。
新しくダウンロードしたトークンをアップロードします。
[次へ] を選択して、[スコープ タグ] ページに移動します。 必要に応じて、スコープ タグを割り当てます。
[トークンを更新する] を選択します。 トークンの更新が完了したことを確認するまで待ちます。
自動デバイス登録トークンを Intune から削除する
次の場合に限り、Intune から登録プロファイル トークンを削除できます。
- トークンに割り当てられているデバイスがない。
- 既定のプロファイルに割り当てられているデバイスがない。
- そのトークンに登録プロファイルがない。
登録プロファイル トークンを削除するには:
- Microsoft Intune管理センターで、[デバイス>登録] に移動します。
- [ Apple ] タブを選択します。
- [登録プログラム トークン] を選択する
- トークンを選んでから、[デバイス] を選択します。
- トークンに割り当てられているすべてのデバイスを削除します。
- 登録プログラム トークンに戻ります。 トークンを選んでから、[プロファイル] を選択します。
- 既定のプロファイルまたは他の登録プロファイルがある場合は、すべてを削除する必要があります。
- 登録プログラム トークンに戻ります。 トークンを選んでから、[削除] を選択します。
制限事項
これらのセットアップ アシスタント画面は、iOS/iPadOS 14.5 以降を実行しているデバイスでは正しく動作しません。
- パスコード
- Touch ID と Face ID
iOS/iPadOS 14.5 以降を実行しているデバイスでは、両方の画面を非表示にします。 これらのデバイスでパスコードを要求する場合は、パスコード要件を持つデバイス構成ポリシーまたはコンプライアンス ポリシーを作成します。 ユーザーがポリシーを登録して受け取ると、パスコードの要件が開始されます。
次の手順
デバイス ユーザーの要件の概要については、「 ADE エンド ユーザー タスク」を参照してください。