Microsoft Intuneでの Apple デバイス登録の概要
Apple デバイス登録 を使用すると、従業員と学生が職場または学校用の新規および既存の個人用デバイスを登録できます。 Microsoft Intune管理センターでは、iOS/iPadOS の重要な管理機能がロック解除され、従業員や学生の個人データも保護されます。 この記事では、Microsoft Intuneでサポートされている Apple デバイス登録機能の概要について説明します。
アプリまたは Web ベースの登録
デバイス登録では、アプリ ベースの登録エクスペリエンスと Web ベースの登録エクスペリエンスがサポートされます。 管理センターでは、デバイス登録オプションは次のとおりです。
- ポータル サイトを使用したデバイス登録
- Web ベースのデバイス登録
管理センターで登録プロファイルを作成して、登録の種類を選択して構成します。 [デバイス>By platform>iOS/iPadOS>Device onboarding>Enrollment に移動し、[登録の種類] を選択します。
ヒント
iOS/iPadOS 15 以降を実行しているデバイスでは、従業員や学生が ポータル サイト アプリをインストールする必要がないため、Web ベースの登録を有効にすることをお勧めします。 登録後の機能は、アプリベースの登録と同じままです。
Web ベースの登録では、Apple シングル サインオン (SSO) 拡張機能への Just-In Time (JIT) 登録を利用して、従業員の仕事用アプリ内のMicrosoft Entra登録を容易にし、認証する必要がある回数を減らします。 登録で JIT 登録を有効にするには、 SSO アプリ拡張機能ポリシーを使用してデバイス構成プロファイルを作成します。 Web ベースの登録で JIT 登録を使用する必要はありませんが、従業員と学生の登録エクスペリエンスを迅速かつ簡単にするために使用することをお勧めします。
次の表に、アプリと Web ベースの登録の詳細を示します。
| 仕様 | アプリベースの登録 | Web ベースの登録 |
|---|---|---|
| サポートされているバージョン | iOS/iPadOS 14 以降 | iOS/iPadOS 15 以降 |
| BYOD および個人用デバイス | ✔️ | ✔️ |
| 1 人のユーザーに関連付けられているデバイス | ✔️ | ✔️ |
| デバイスのリセットが必要 | ❌ | ❌ |
| デバイス ユーザーによって開始された登録 | ✔️ | ✔️ |
| 監督 | ❌ | ❌ |
| Just-In-Time 登録 | ✔️ | ✔️ |
| 必要なアプリ | iOS 用アプリをIntune ポータル サイトする Microsoft Authenticator アプリ |
Microsoft Authenticator アプリ |
| 登録場所 | アプリベースの登録は、ポータル サイト アプリ、Safari、デバイス設定アプリで行われます。 | Web ベースの登録は、Safari とデバイス設定アプリで行われます。 |
サポートされている設定
Microsoft Intuneは、Apple デバイス登録を介して登録されたデバイスのデバイス管理オプションのサブセットをサポートします。 既存の構成プロファイルがデバイスに適用されている場合、Apple デバイス登録でサポートされている設定のみが有効になります。
ユーザー エクスペリエンス
従業員と学生は、Intune ポータル サイト アプリまたはポータル サイト Web サイトで個人用デバイスの管理オプションにアクセスできます。 サポートされるアクションは次のとおりです。
- 名前の変更
- 削除
- リモート ロック
- 状態を確認する
注:
デバイス ユーザーが使用できる名前変更アクションは、ポータル サイトの表示名を変更します。 Microsoft Intune管理センターのデバイスの名前は変更されません。
従業員と学生が Web バージョンでこれらのアクションにアクセスする方法の詳細については、「Intune ポータル サイト Web サイトの使用」を参照してください。
証明書
この登録の種類は、自動証明書管理環境 (ACME) プロトコルをサポートします。 新しいデバイスが登録されると、Intuneからの管理プロファイルは ACME 証明書を受け取ります。 ACME プロトコルは、堅牢な検証メカニズムと自動化されたプロセスを通じて、承認されていない証明書の発行に対する SCEP プロトコルよりも優れた保護を提供します。これにより、証明書管理のエラーを減らすことができます。
既に登録されているデバイスは、Microsoft Intuneに再登録しない限り、ACME 証明書を取得しません。 ACME は、次を実行しているデバイスでサポートされています。
iOS 16.0 以降
iPadOS 16.1 以降
既知の問題と制限事項
Apple デバイス登録Intune登録には、次の既知の問題と制限があります。
Apple の制限により、Web ベースのデバイス登録を通過するデバイス ユーザーは、Safari で管理プロファイルをダウンロードする必要があります。
ポータル サイト登録と同様に、管理プロファイルがダウンロードされると、ユーザーは設定アプリに移動してプロファイルをインストールする時間が限られます。 待ち時間が長すぎる場合は、管理プロファイルをもう一度ダウンロードして続行する必要があります。
Microsoft Authenticator がまだ展開しようとしている間に、新しく登録されたデバイスでサインインしようとすると、デバイス ユーザーが仕事用アプリにアクセスできない可能性があります。 Authenticator がIntune サービスに追いついている間、ユーザーは数分待ってから、作業アプリに再度サインインする必要があります。
Web ベースのデバイス登録は、JIT 登録なしで使用できます。 iOS がデバイスにアプリを展開するには、ポータル サイトではなく、Web バージョンの ポータル サイト を使用することをお勧めします。 アプリの展開にポータル サイト アプリを使用する予定の場合は、MS Authenticator と SSO 拡張機能ポリシーを Web 登録後にデバイスに送信する必要があります。
Web ベースの登録と JIT 登録に関する既知の問題があり、ポータル サイト アプリが登録済みデバイスを認識できません。 ユーザーが SSO 拡張機能ポリシーを持たないデバイスで iOS のポータル サイトにサインインしようとすると、ポータル サイトデバイスが登録されていることを確認できません。 この問題の解決に積極的に取り組んでいます。 この問題を回避するには、SSO 拡張機能ポリシーをデバイスの登録にデプロイすることをお勧めします。 または、一時的な回避策として、「Web 登録のベスト プラクティス」で説明されているように、web バージョンのポータル サイト用の Web クリップをデプロイすることもできます。
次の手順
デバイスの登録に使用するユーザー登録方法を選択し、登録プロファイルを作成します。 Microsoft Intune管理センターで Web ベースの登録を有効にする方法の詳細については、「Web ベースの登録を設定する」を参照してください。
Apple デバイス登録の機能の詳細については、Apple サポート Web サイトの 「デバイス登録と MDM 」を参照してください。