次の方法で共有


登録ガイド: iOS デバイスと iPadOS デバイスをMicrosoft Intuneに登録する

個人および組織所有のデバイスは、Intune に登録できます。 登録されると、作成したポリシーとプロファイルを受け取ります。 iOS/iPadOS デバイスを登録するときは、次のオプションがあります。

この記事では、登録に関する推奨事項を示し、各 iOS/iPadOS オプションの管理者タスクとユーザー タスクの概要について説明します。

プラットフォームごとに異なる登録オプションの視覚的なガイドもあります:

プラットフォーム別の Intune 登録オプションの視覚的表現
PDF バージョンをダウンロードする | Visioバージョンをダウンロードする

ヒント

このガイドは生き物です。 そのため、役に立つヒントやガイダンスを追加したり、既存のものを更新してください。

開始する前に

登録のためにテナントを準備するために必要なすべてのIntune固有の前提条件と構成については、「登録ガイド: Microsoft Intune登録」を参照してください。

デバイスの自動登録 (ADE) (監視)

以前は Apple Device Enrollment Program (DEP) と呼ばれていました。 組織が所有するデバイスで使用します。 このオプションでは、Apple Business Manager (ABM) または Apple School Manager (ASM) を使用して設定を構成します。 これにより、デバイスに触れることなく、多数のデバイスを登録します。 これらのデバイスは Apple から購入され、構成済みの設定があり、ユーザーまたは学校に直接配布できます。 Intune管理センターに登録プロファイルを作成し、このプロファイルをデバイスにプッシュします。

この登録の種類の詳細については、次のページを参照してください。


機能 この登録オプションの使用
監視モードが必要である。

監視モードは、ソフトウェアの更新の展開、機能の制限、アプリの許可とブロックなどを行います。
デバイスが組織または学校によって所有されている。
新しいデバイスがある。
少数のデバイス、または多数のデバイス (一括登録) を登録する必要がある。
デバイスが 1 人のユーザーに関連付けられている。
デバイスにユーザーがいない (キオスクや専用デバイスなど)。
デバイスは個人用または BYOD である。

この操作はお勧めしません。 BYOD または個人用デバイス上のアプリケーションは、 MAM (別の Microsoft 記事を開く) または ユーザーとデバイスの登録 (この記事では) を使用して管理できます。
既存のデバイスがある。

既存のデバイスは Apple Configurator (この記事内) を使用して登録する必要があります。
デバイスは別の MDM プロバイダーによって管理されている。

Intune で完全に管理するには、ユーザーが現在の MDM プロバイダーから登録を解除してから、Intune に登録する必要があります。 または、MAM を使用して、デバイス上の特定のアプリを管理することができます。 これらのデバイスは組織によって所有されているため、Intune に登録することをお勧めします。
デバイス登録マネージャー (DEM) を使用している。

DEM アカウントはサポートされていません。

ADE 管理者のタスク

このタスク一覧では概要を説明します。 詳細については、 Apple Business Manager の登録または Apple School Manager の登録 に関するページを参照 してください

  • ご使用のデバイスがサポートされていることを確認してください。

  • Apple Business Manager (ABM) のポータルまたは Apple School Manager (ASM) のポータルにアクセスする必要があります。

  • Apple トークン (.p7m) がアクティブであることを確認してください。 詳細については、「 Apple ADE トークンを取得する」を参照してください。

  • Apple MDM プッシュ証明書が Intune に追加され、アクティブであることを確認します。 この証明書は、iOS/iPadOS デバイスを登録するために必要です。 詳細については、「 Apple MDM プッシュ証明書を取得する」を参照してください。

  • ユーザーが自分のデバイスで認証する方法を決定します: ポータル サイト アプリ、設定アシスタント (レガシ)、または先進認証を備えた設定アシスタント。 これは登録プロファイルを作成する前に決定してください。 ポータル サイト アプリまたは先進認証を備えた設定アシスタントの使用は、先進認証と見なされます。

    • 次の場合は、ポータル サイト アプリを選択してください。

      • デバイスをワイプしたい。
      • 多要素認証 (MFA) を使用する必要があります。
      • ユーザーが初めてサインインするときに、期限切れのパスワードを更新するように求めるメッセージを表示したい。
      • 登録時に期限切れのパスワードをリセットするようにユーザーに求めるメッセージを表示したい。
      • デバイスをMicrosoft Entra IDに登録する必要があります。 登録すると、条件付きアクセスなどのMicrosoft Entra IDで使用できる機能を使用できます。
      • 登録時にポータル サイト アプリを自動的にインストールしたい。 会社で Volume Purchase Program (VPP) を使用している場合は、ユーザーの Apple ID なしで、登録時にポータル サイト アプリを自動的にインストールできます。
      • ポータル サイト アプリがインストールされるまで、デバイスをロックしたい。 インストール後、ユーザーは自分のorganization Microsoft Entra アカウントを使用してポータル サイト アプリにサインインします。 その後、デバイスのロックが解除され、ユーザーが使用できるようになります。
    • 次の場合は、[設定アシスタント (レガシ)] を選択してください。

      • デバイスをワイプしたい。

      • MFA などの最新の認証機能を使用する必要はありません。

      • Microsoft Entra IDにデバイスを登録する必要はありません。 設定アシスタント (レガシ) は、Apple .p7m トークンを使用してユーザーを認証します。 Microsoft Entra IDにデバイスを登録しないことが許容される場合は、ポータル サイト アプリをインストールする必要はありません。 設定アシスタント (レガシ) の使用を続けてください。

        デバイスをMicrosoft Entra IDに登録する場合は、ポータル サイト アプリをインストールします。 登録プロファイルを作成して [設定アシスタント (レガシ)] を選択すると、ポータル サイト アプリをインストールできます。 登録時にポータル サイト アプリをインストールすることをお勧めします。

    • 次の場合は、[先進認証を備えた設定アシスタント] を選択します。

      • デバイスをワイプしたい。
      • 多要素認証 (MFA) を使用する必要があります。
      • ユーザーが初めてサインインするときに、期限切れのパスワードを更新するように求めるメッセージを表示したい。
      • 登録時に期限切れのパスワードをリセットするようにユーザーに求めるメッセージを表示したい。
      • デバイスをMicrosoft Entra IDに登録する必要があります。 登録すると、条件付きアクセスなどのMicrosoft Entra IDで使用できる機能を使用できます。
      • 登録時にポータル サイト アプリを自動的にインストールしたい。 会社で Volume Purchase Program (VPP) を使用している場合は、ユーザーの Apple ID なしで、登録時にポータル サイト アプリを自動的にインストールできます。
      • ポータル サイト アプリがインストールされていない場合でも、ユーザーがデバイスを使用するようにしたい。

    注:

    ユーザーを認証するには、ポータル サイト アプリまたは [先進認証を備えた設定アシスタント] を使用することをお勧めします。

    どのオプションを使用する必要がありますか? 日常的にファイルの共有と共同作業を行う場合は、SharePoint Online チーム サイトにファイルを保存します。

    • ポータル サイト アプリがインストールされる前にデバイスを使用する場合は、[先進認証を備えた設定アシスタント] を使用します。

      セットアップ アシスタント中に、ユーザーはorganization Microsoft Entra資格情報 (user@contoso.com) を入力する必要があります。 資格情報が入力されると、登録が開始され、ポータル サイト アプリがインストールされます。 必要に応じて、ユーザーは Apple ID を入力して、Apple Pay などの Apple 固有の機能にアクセスすることもできます。

      設定アシスタントが完了すると、ユーザーはデバイスを使用できるようになります。 ホーム画面が表示されたら、登録が完了し、ユーザー アフィニティが確立されます。 デバイスはMicrosoft Entra IDに完全に登録されておらず、Microsoft Entra IDのユーザーのデバイス 一覧に非準拠として表示されます。 デバイスは、Microsoft Intune管理センターで準拠と表示されます。

      ポータル サイト アプリのインストールが完了すると、ユーザーはポータル サイト アプリを開き、organization Microsoft Entra アカウント (user@contoso.com) で再度サインインします。 この 2 回目のログイン中に、条件付きアクセス ポリシーが評価され、Microsoft Entra登録が完了します。 ユーザーは、組織のリソース (LOB アプリを含む) をインストールして使用することができます。 デバイスは、Microsoft Entra IDで準拠と表示されます。

    • ポータル サイト アプリがインストールされる前にデバイスを使用したくない場合は、ポータル サイト アプリ オプションを使用します。 ポータル サイト アプリ オプションにより、ポータルサイト アプリがインストールされるまでデバイスはロックされます。 インストールが完了すると、ポータル サイト アプリが自動的に開きます。 ユーザーは自分のMicrosoft Entra organization アカウント (user@contoso.com) でサインインし、デバイスを使用できます。

  • ポータル サイト アプリを使用する場合は、デバイスにポータル サイト アプリをインストールする方法を決定します。 これは登録プロファイルを作成する前に決定してください。

    注:

    ポータル サイト アプリを使用して認証する場合は、Volume Purchase Program (VPP) の使用が推奨されます。 これにより、エンド ユーザー エクスペリエンスが向上します。

    ADE 登録済みデバイスでは、ポータル サイト アプリを App Store から直接インストールしないでください。 代わりに、次のオプションを使用してポータル サイト アプリをインストールしてください。

    • VPP トークン + 新しいデバイスの登録: Volume Purchase Program (VPP) を使用していて、新しいデバイスを登録する場合は、ポータル サイト アプリが含まれています。 Intune管理センターで登録プロファイルを作成する場合は、[VPP でポータル サイトをインストールする] を選択し、必要なアプリにして、アプリの自動更新を有効にします。

      このオプション:

      • 適切なバージョンのポータル サイト アプリが含まれています。
      • ポータル サイト アプリの 1 回限りのインストールです。
      • アプリの自動更新機能を使用して、Intuneアプリの更新プログラムをプッシュできるようにします。 詳細については、「ポータル サイト アプリのデプロイ - ADE」を参照してください。
    • VPP トークンなし + 新しいデバイスの登録: 管理者タスクなし。 ユーザーが設定アシスタントで Apple ID を入力していることを確認してください。

      設定アシスタントが完了すると、ポータル サイト アプリが自動的にインストールを試みます。 ユーザーが Apple ID (user@iCloud.com または user@gmail.com) を入力していない場合、ユーザーは Apple ID を入力するように継続的に求められます。 デバイスでポータル サイト アプリを取得するには、ユーザーが Apple ID を入力する必要があります。 ポータル サイト アプリがインストールされたら、ユーザーがそれを開いて、組織の資格情報 (user@contoso.com) を入力します。 認証されたら、ユーザーは、組織で使用するアプリ (LOB アプリを含む) をインストールして使用することができます。

    • 既に登録されているデバイス: デバイスが既に登録されている場合は、VPP があるかどうかに関わらず、アプリ構成ポリシーを使用します。

      1. Intune管理センターで、ポータル サイト アプリを必要なアプリとして追加し、デバイス ライセンスアプリとして追加します。
      2. デバイスでライセンスされているアプリとしてポータル サイト アプリが含まれているアプリ構成ポリシーを作成します。 詳細については、「iOS および iPadOS DEP デバイスをサポートするようにポータル サイト アプリを構成する」を参照してください。
      3. アプリ構成ポリシーを登録プロファイルと同じデバイス グループに展開します。
      4. デバイスが Intune サービスにチェックインすると、プロファイルを受け取り、ポータル サイト アプリがインストールされます。

      このオプション:

      • 適切なバージョンのポータル サイト アプリが含まれています。
      • 登録プロファイルを作成し、アプリ構成ポリシーを作成するために必要です。 アプリ構成ポリシーで、これを必須のアプリにして、アプリがすべてのデバイスに展開されることを確認できるようにします。
      • ポータル サイト アプリは、既存のアプリ構成ポリシーを変更することで自動的に更新できます。
  • Intune管理センターで、登録プロファイルを作成します。

    • [ユーザー アフィニティとともに登録する] (デバイスにユーザーを関連付ける)、または [ユーザー アフィニティなしで登録する] (ユーザーのいないデバイスまたは共有デバイス) を選択します。
    • ユーザーが認証を行う場所を選択します: ポータル サイト アプリ、設定アシスタント (レガシ)、または先進認証を備えた設定アシスタントです。

    詳細な情報と提案については、 Apple の自動デバイス登録に関するページを参照してください。

ADE エンド ユーザーのタスク

Intune管理センターで登録プロファイルを作成する場合は、ユーザーをデバイスに関連付けるか (ユーザー アフィニティを使用して登録する)、共有デバイス (ユーザー アフィニティなしで登録) するかを選択します。 具体的な手順は、登録プロファイルの構成方法によって異なります。 Shared iPad では、アクティベーション後、すべてのセットアップ アシスタント ウィンドウが自動的にスキップされます。

  • ユーザー アフィニティとともに登録する + ポータル サイト アプリ:

    Intune管理センターとMicrosoft Intuneで、自動デバイス登録 (ADE) を使用して iOS/iPadOS デバイスを登録します。[ユーザー アフィニティで登録する] を選択し、認証にポータル サイト アプリを使用します。

    1. デバイスの電源をオンにすると、Apple 設定アシスタントが実行されます。 ユーザーが Apple ID (user@iCloud.com または user@gmail.com) を入力します。 入力すると、登録プロファイルからポータル サイト アプリが自動的にインストールされます。 ポータル サイト アプリが自動インストールされるまでに時間がかかることがあります。
    2. ユーザーがポータル サイト アプリを開いて、組織の資格情報 (user@contoso.com) を使用してサインインします。 サインインすると、登録が開始されます。 登録が完了すると、ユーザーは、組織が使用するアプリ (LOB アプリを含む) をインストールして使用できるようになります。

    ユーザーが詳細情報を入力する必要がある場合があります。 より具体的なエンド ユーザーの手順については、organization提供の iOS デバイスの登録に関するページを参照してください。

  • ユーザー アフィニティとともに登録する + 設定アシスタント (レガシ) + ポータル サイト アプリ:

    Intune管理センターとMicrosoft Intuneで、自動デバイス登録 (ADE) を使用して iOS/iPadOS デバイスを登録します。[ユーザー アフィニティで登録する] を選択し、認証にセットアップ アシスタントを使用して、ポータル サイト アプリをインストールします。

    1. デバイスの電源をオンにすると、Apple 設定アシスタントが実行されます。 ユーザーが Apple ID (user@iCloud.com または user@gmail.com) を入力します。

    2. 設定アシスタントによって、ユーザーに情報の入力を求めるプロンプトが表示されます。

    3. ポータル サイト アプリが自動的に開きます。また、キオスク スタイルのモードでデバイスをロックする必要があります。 ポータル サイト アプリが開くまでに時間がかかることがあります。 ユーザーが組織の資格情報 (user@contoso.com) を使用してサインインし、デバイスが Intune で登録されます。

      この手順では、デバイスをMicrosoft Entra IDに登録します。 ユーザーは、組織が使用するアプリ (LOB アプリを含む) をインストールして使用することができます。

  • ユーザー アフィニティとともに登録する + 設定アシスタント (レガシ) - ポータル サイト アプリ:

    Intune管理センターとMicrosoft Intuneで、自動デバイス登録 (ADE) を使用して iOS/iPadOS デバイスを登録します。[ユーザー アフィニティを使用して登録する] を選択し、認証にセットアップ アシスタントを使用し、ポータル サイト アプリをインストールしません。

    1. デバイスの電源をオンにすると、Apple 設定アシスタントが実行されます。 ユーザーが Apple ID (user@iCloud.com または user@gmail.com) を入力します。
    2. 設定アシスタントによって、ユーザーに情報の入力を求めるプロンプトが表示され、Intune にデバイスが登録されます。 デバイスはMicrosoft Entra IDに登録されていません。
  • ユーザー アフィニティとともに登録する + 先進認証を備えた設定アシスタント:

    Intune管理センターとMicrosoft Intuneで、自動デバイス登録 (ADE) を使用して iOS/iPadOS デバイスを登録します。[ユーザー アフィニティを使用して登録する] を選択し、認証にセットアップ アシスタントを使用します。ポータル サイト アプリが自動的にインストールされます。

    1. デバイスの電源をオンにすると、Apple 設定アシスタントが実行されます。 ユーザーは、Apple ID (user@iCloud.comまたはuser@gmail.com) とorganization Microsoft Entra資格情報 (user@contoso.com) を入力します。

      ユーザーがMicrosoft Entra資格情報を入力すると、登録が開始されます。

    2. 設定アシスタントによって、ユーザーに追加情報の入力を求めるプロンプトが表示されます。 ホーム画面が表示されたら、セットアップが完了します。 デバイスは完全に登録され、ユーザー アフィニティが確立されます。 ユーザーはデバイスを使用して、デバイスでアプリとポリシーを確認できます。

      この時点で、デバイスはMicrosoft Entra IDに完全に登録されておらず、Microsoft Entra IDでは非準拠として表示されます。 デバイスは、Microsoft Intune管理センターで準拠していることがわかります。

    3. ポータル サイト アプリを VPP でインストール (推奨) すると、ポータル サイト アプリが自動的にインストールされます。 ユーザーはポータル サイト アプリを開き、職場または学校アカウント (user@contoso.com) で再びサインインします。 ポータル サイト アプリでMicrosoft Entra登録を完了し、デバイスをMicrosoft Entra IDに完全に登録します。 その後、ユーザーは条件付きアクセス ポリシーによって保護された企業リソースにアクセスでき、デバイスはMicrosoft Entra IDに準拠しているとして表示されます。

    4. VPP で ポータル サイト アプリをインストールせず、ポータル サイト アプリを使用する場合は、次のようにします:

      1. ユーザーは、Apple ID (user@iCloud.com または user@gmail.com) を使用して Apple App Storeにサインインします。 サインインすると、ポータル サイト アプリが自動的にインストールされます。

        この追加のサインイン手順では、特にユーザーがすぐにサインインしない場合、登録が遅くなります。

        App Store にサインインしない場合、ポータル サイト アプリはインストールされません。 アプリがインストールされていない場合、ユーザーはデバイスをMicrosoft Entra IDに登録できません。 デバイスは登録を完了していないため、デバイスはMicrosoft Entra IDで非準拠として表示されます。 条件付きアクセスに応じたリソースは使用できません。

      2. ユーザーはポータル サイト アプリを開き、職場または学校アカウント (user@contoso.com) で再びサインインします。 ポータル サイト アプリでMicrosoft Entra登録を完了し、デバイスをMicrosoft Entra IDに完全に登録します。 次のチェックでは、ユーザーは条件付きアクセス ポリシーによって保護された企業リソースにアクセスできます。

  • ユーザー アフィニティなしで登録する: アクションはありません。 Apple App Storeからポータル サイト アプリがインストールされていないことを確認します。

    Intune管理センターとMicrosoft Intuneで、自動デバイス登録 (ADE) を使用して iOS/iPadOS デバイスを登録します。[ユーザー アフィニティなしで登録] を選択します。

通常、ユーザーは自分自身を登録することを好みません。また、ポータル サイト アプリに慣れていない可能性があります。 入力する情報などについて、必ずガイダンスを提供してください。 ユーザーとのコミュニケーションに関するガイダンスについては、「計画ガイド: 手順 5 - ロールアウト 計画を作成する」を参照してください。

Apple Configurator の登録

組織が所有するデバイスで使用し、直接登録を含みます。 このオプションでは、USB ポートを使用して iOS/iPadOS デバイスを Mac コンピューターに物理的に接続する必要があります。

この登録の種類の詳細については、「 Apple Configurator の登録」を参照してください。


機能 この登録オプションの使用
ワイヤード接続が必要であるか、またはネットワークの問題が発生している。
組織では、管理者が ABM または ASM ポータルを使用することを必要としていない、またはすべての要件を設定することを必要としていない。

ABM または ASM ポータルを使用しないことの目的は、管理者による制御を減らすことです。
国/地域では、Apple Business Manager (ABM) または Apple School Manager (ASM) はサポートされていません。

お使いの国/地域で ABS または ASM がサポートされている場合は、 自動デバイス登録 (この記事の) を使用してデバイスを登録する必要があります。
デバイスが組織または学校によって所有されている。
新規または既存のデバイスがある。
少数のデバイス、または多数のデバイス (一括登録) を登録する必要がある。

デバイスの数が多い場合、この方法には時間がかかります。
デバイスが 1 人のユーザーに関連付けられている。
デバイスにユーザーがいない (キオスクや専用デバイスなど)。
デバイスは個人用または BYOD である。

この操作はお勧めしません。 BYOD または個人用デバイス上のアプリケーションは、 MAM (別の Microsoft 記事を開く) または ユーザーとデバイスの登録 (この記事では) を使用して管理できます。
デバイスは別の MDM プロバイダーによって管理されている。

Intune で完全に管理するには、ユーザーが現在の MDM プロバイダーから登録を解除してから、Intune に登録する必要があります。 または、MAM を使用して、デバイス上の特定のアプリを管理することができます。 これらのデバイスは組織によって所有されているため、Intune に登録することをお勧めします。
デバイス登録マネージャー (DEM) を使用している。

DEM アカウントはサポートされていません。

Apple Configurator の管理者のタスク

このタスク一覧では概要を説明します。 詳細については、「 Apple Configurator の登録」を参照してください。

  • USB ポートを使用して Mac コンピューターにアクセスする必要があります。

  • ご使用のデバイスがサポートされていることを確認してください。

  • Apple MDM プッシュ証明書が Intune に追加され、アクティブであることを確認します。 この証明書は、iOS/iPadOS デバイスを登録するために必要です。 詳細については、「 Apple MDM プッシュ証明書を取得する」を参照してください。

  • ユーザーが各自のデバイスで認証を受ける方法 (ポータル サイト アプリ、または設定アシスタント) を決定します。 これは登録プロファイルを作成する前に決定してください。 ポータル サイト アプリの使用は先進認証と見なされます。 ポータル サイト アプリを使用することをお勧めします。

    • 次の場合は、ポータル サイト アプリを選択してください。

      • 多要素認証 (MFA) を使用する必要があります。
      • ユーザーが初めてサインインするときに、期限切れのパスワードを更新するように求めるメッセージを表示したい。
      • 登録時に期限切れのパスワードをリセットするようにユーザーに求めるメッセージを表示したい。
      • デバイスをMicrosoft Entra IDに登録する必要があります。 登録すると、条件付きアクセスなどのMicrosoft Entra IDで使用できる機能を使用できます。
      • 登録時にポータル サイト アプリを自動的にインストールしたい。 会社で Volume Purchase Program (VPP) を使用している場合は、登録時にポータル サイト アプリを自動的にインストールできます。
    • 次の場合は、設定アシスタントを選択してください。

      • MFA などの最新の認証機能を使用する必要はありません。

      • デバイスをワイプしたい。

      • シリアル番号をインポートしたい。

      • Microsoft Entra IDにデバイスを登録する必要はありません。 設定アシスタントは、デバイスにコピーするエクスポートされた登録プロファイルを使用してユーザーを認証します。 Microsoft Entra IDにデバイスを登録しないことが許容される場合は、ポータル サイト アプリをインストールする必要はありません。 設定アシスタントの使用を続けてください。

        デバイスをMicrosoft Entra IDに登録する場合は、ポータル サイト アプリをインストールします。 登録プロファイルを作成して [設定アシスタント] を選択すると、ポータル サイト アプリをインストールできます。 登録時にポータル サイト アプリをインストールすることをお勧めします。

  • ポータル サイト アプリを使用する場合は、アプリ構成ポリシーを使用してポータル サイト アプリをデバイスにインストールする必要があります。 登録プロファイルを作成する前に、このポリシーを作成することをお勧めします。

    Apple Configurator 登録済みデバイスでは、アプリ ストアからポータル サイト アプリを直接インストールしないでください。 代わりに、次のオプションを使用してポータル サイト アプリをインストールしてください。

    • 新しいデバイスを登録する: 管理者タスクはありません。 ユーザーが設定アシスタントで Apple ID を入力していることを確認してください。

      設定アシスタントが完了すると、ポータル サイト アプリが自動的にインストールを試みます。 ユーザーが Apple ID (user@iCloud.com または user@gmail.com) を入力していない場合、ユーザーは Apple ID を入力するように継続的に求められます。 デバイスでポータル サイト アプリを取得するには、ユーザーが Apple ID を入力する必要があります。 ポータル サイト アプリがインストールされたら、ユーザーがそれを開いて、組織の資格情報 (user@contoso.com) を入力します。 認証されたら、ユーザーは、組織で使用するアプリ (LOB アプリを含む) をインストールして使用することができます。

    • 既に登録されているデバイス: デバイスが既に登録されている場合は、アプリ構成ポリシーを使用します。

      1. Intune管理センターで、ポータル サイト アプリを必要なアプリとして追加し、デバイス ライセンスアプリとして追加します。
      2. デバイスでライセンスされているアプリとしてポータル サイト アプリが含まれているアプリ構成ポリシーを作成します。 詳細については、「iOS および iPadOS DEP デバイスをサポートするようにポータル サイト アプリを構成する」を参照してください。
      3. アプリ構成ポリシーを登録プロファイルと同じデバイス グループに展開します。
      4. デバイスが Intune サービスにチェックインすると、プロファイルを受け取り、ポータル サイト アプリがインストールされます。

      このオプション:

      • 適切なバージョンのポータル サイト アプリが含まれています。
      • 登録プロファイルを作成し、アプリ構成ポリシーを作成するために必要です。 アプリ構成ポリシーで、これを必須のアプリにして、アプリがすべてのデバイスに展開されることを確認できるようにします。
      • ポータル サイト アプリは、既存のアプリ構成ポリシーを変更することで自動的に更新できます。
  • Intune管理センターで、登録プロファイルを作成します。

    • [ユーザー アフィニティとともに登録する] (デバイスにユーザーを関連付ける)、または [ユーザー アフィニティなしで登録する] (ユーザーのいないデバイスまたは共有デバイス) を選択します。

    • [ユーザー アフィニティなしで登録する] を選択した場合は、自動的に直接登録が使用されます。 次の点に注意してください。

      • 既存の macOS 登録プロファイルの設定を使用します。
      • ユーザーは、ポータル サイト アプリを含め、ユーザーを必要とするアプリを使用できません。 ポータル サイト アプリは、ユーザー アフィニティなしの登録では、使用されないか、必要ではないか、サポートされません。 ユーザーが Apple App Storeからポータル サイト アプリをインストールしていないことを確認します。
  • 登録プロファイルの準備ができたら、USB でデバイスを Mac に接続し、Apple Configurator アプリを開きます。 アプリが開くと、USB 接続のデバイスが検出され、作成した Intune 登録プロファイルが展開されます。

この登録オプションとその前提条件の詳細については、「 Apple Configurator の登録」を参照してください。

Apple Configurator のエンド ユーザーのタスク

このタスクは、登録プロファイルで構成したオプションによって異なります。

  • ユーザー アフィニティとともに登録する + ポータル サイト アプリ:

    Intune管理センターとMicrosoft Intuneで、Apple Configurator を使用して iOS/iPadOS デバイスを登録します。[ユーザー アフィニティで登録する] を選択し、認証にポータル サイト アプリを使用します。

    1. デバイスの電源をオンにすると、Apple 設定アシスタントが実行されます。 ユーザーが Apple ID (user@iCloud.com または user@gmail.com) を入力します。 入力すると、ポータル サイト アプリが App Store から自動的にインストールされます。 ポータル サイト アプリが自動インストールされるまでに時間がかかることがあります。
    2. ポータル サイト アプリを開き、組織の資格情報 (user@contoso.com) を使用してサインインします。 ユーザーがサインインすると、登録が開始されます。 登録が完了すると、ユーザーは、組織が使用するアプリ (LOB アプリを含む) をインストールして使用できるようになります。

    ユーザーが詳細情報を入力する必要がある場合があります。 具体的な手順については、「organization提供の iOS デバイスを登録する」を参照してください。

  • ユーザー アフィニティとともに登録する + 設定アシスタント + ポータル サイト アプリ:

    Intune管理センターとMicrosoft Intuneで、Apple Configurator を使用して iOS/iPadOS デバイスを登録します。[ユーザー アフィニティを使用して登録する] を選択し、認証にセットアップ アシスタントを使用して、ポータル サイト アプリをインストールします。

    1. デバイスの電源をオンにすると、Apple 設定アシスタントが実行されます。 ユーザーが組織の資格情報 (user@contoso.com) を入力します。 この手順により、デバイスが Intune に登録されます。
    2. 設定アシスタントによって、ユーザーに、Apple ID (user@iCloud.com または user@gmail.com) などの情報を入力するように求めるプロンプトが表示されます。
    3. ポータル サイト アプリが App Store から自動的にインストールされます。 ユーザーがポータル サイト アプリを開いて、組織の資格情報 (user@contoso.com) を使用してサインインします。 この手順では、デバイスをMicrosoft Entra IDに登録します。 ユーザーは、組織が使用するアプリ (LOB アプリを含む) をインストールして使用することができます。
  • ユーザー アフィニティとともに登録する + 設定アシスタント - ポータル サイト アプリ:

    Intune管理センターとMicrosoft Intuneで、Apple Configurator を使用して iOS/iPadOS デバイスを登録します。[ユーザー アフィニティを使用して登録する] を選択し、認証にセットアップ アシスタントを使用し、ポータル サイト アプリをインストールしません。

    1. デバイスの電源をオンにすると、Apple 設定アシスタントが実行されます。 ユーザーが組織の資格情報 (user@contoso.com) を入力します。 この手順により、デバイスが Intune に登録されます。
    2. 設定アシスタントによって、ユーザーに、Apple ID (user@iCloud.com または user@gmail.com) などの情報を入力するように求めるプロンプトが表示されます。 この手順では、Intune 管理プロファイルをデバイスにプッシュします。
    3. ユーザーが管理プロファイルをインストールします。 プロファイルは、Intune サービスでチェックインし、デバイスを登録します。 デバイスはMicrosoft Entra IDに登録されていません。
  • ユーザー アフィニティなしで登録する: 直接登録を使用しています。 アクションはありません。 Apple App Storeからポータル サイト アプリがインストールされていないことを確認します。

    Intune管理センターとMicrosoft Intuneで、Apple Configurator を使用して iOS/iPadOS デバイスを登録します。[ユーザー アフィニティなしで登録] を選択します。

通常、ユーザーは自分自身を登録することを好みません。また、ポータル サイト アプリに慣れていない可能性があります。 入力する情報などについて、必ずガイダンスを提供してください。 ユーザーとのコミュニケーションに関するガイダンスについては、「計画ガイド: 手順 5 - ロールアウト 計画を作成する」を参照してください。

BYOD: ユーザーとデバイスの登録

これらの iOS/iPadOS デバイスは、組織の電子メール、アプリ、およびその他のデータにアクセスできる個人または BYOD (Bring Your Own Device) のデバイスです。 iOS 13 以降では、この登録オプションはユーザーまたはデバイスを対象とします。 デバイスをリセットする必要はありません。

登録プロファイルを作成すると、ポータル サイト、アカウント主導のユーザー登録、またはユーザーの選択に基づいて決定するデバイス登録を選択するように求められます。

特定の登録手順とその前提条件については、「 アカウント駆動型のユーザー登録を設定 する」と「 iOS/iPadOS デバイス登録を設定する」を参照してください。


機能 この登録オプションの使用
デバイスは個人用または BYOD である。
デバイス上の特定の機能 (アプリごとの VPN など) を保護できるようにしたい。
新規または既存のデバイスがある。
少数のデバイス、または多数のデバイス (一括登録) を登録する必要がある。
デバイスが 1 人のユーザーに関連付けられている。
デバイスは別の MDM プロバイダーによって管理されている。

デバイスを登録すると、MDM プロバイダーが証明書とその他のファイルをインストールします。 これらのファイルは削除する必要があります。 最も簡単な方法は、登録を解除するか、デバイスを工場出荷時の状態にリセットすることです。 出荷時の設定にリセットしたくない場合は、MDM プロバイダーに連絡してください。
デバイス登録マネージャー (DEM) を使用している。
デバイスが組織または学校によって所有されている。

この操作はお勧めしません。 組織所有のデバイスは、自動デバイス登録 (この記事内) または Apple Configurator (この記事内) を使用して登録する必要があります。
デバイスにユーザーがいない (キオスクや専用デバイスなど)。

通常、ユーザーのいないデバイスや共有デバイスは組織が所有しています。 これらのデバイスは、自動デバイス登録 (この記事内) または Apple Configurator (この記事内) を使用して登録する必要があります。

ユーザーとデバイスの登録の管理者のタスク

この一覧では、管理者に必要なタスクの概要を示します。

  • ご使用のデバイスがサポートされていることを確認してください。

  • Apple MDM プッシュ証明書が Intune に追加され、アクティブであることを確認します。 この証明書は、iOS/iPadOS デバイスを登録するために必要です。 詳細については、「 Apple MDM プッシュ証明書を取得する」を参照してください。

  • Intune管理センターで、登録プロファイルを作成します。 登録プロファイルを作成する際には、次のオプションがあります。

    • ポータル サイトを使用したデバイス登録: このオプションは、個人用デバイスのポータル サイト アプリでの一般的な登録です。 デバイスは、特定のアプリや機能だけでなく、管理されています。 このオプションを使用する場合は、次の情報を考慮してください。

      • デバイス全体に適用される証明書を展開することができます。
      • ユーザーは更新プログラムをインストールする必要があります。 MDM ポリシーまたはプロファイルを使用して更新プログラムを受信できるのは、自動デバイス登録 (ADE) を使用して登録されたデバイスのみです。
      • ユーザーをデバイスに関連付ける必要があります。 このユーザーは、デバイス登録マネージャー (DEM) アカウントにすることができます。
    • Web ベースのデバイス登録: iOS 15 以降以降。 このオプションは、ポータル サイトを使用したデバイス登録と同じですが、登録は web バージョンのIntune ポータル サイトで行われ、アプリの必要がなくなります。 さらに、このオプションを使用すると、管理対象の Apple ID を持たない従業員と学生がデバイスを登録し、ボリューム購入アプリにアクセスできます。

    • ユーザーの選択に基づいて決定する: エンド ユーザーが登録するときに選択できます。 選択内容に応じて、 アカウントドリブン ユーザー登録 または デバイス登録 が使用されます。

    • アカウント駆動型ユーザー登録: iOS 13 以降以降。 このオプションは、パスワード、アプリごとの VPN、Wi-Fi、Siri など、特定の機能セットとorganization アプリを構成します。 この方法を使用し、アプリとそのデータをセキュリティで保護する場合は、アプリ保護ポリシーも使用することをお勧めします。

      実行できる操作と実行できない操作の完全な一覧については、Microsoft Intuneの Apple ユーザー登録の概要に関するページを参照してください。

      注:

      BYOD は組織所有のデバイスになることができます。 これらのデバイスを法人化するには、 会社所有のデバイスを識別するに関するページを参照してください。

      アカウント駆動型のユーザー登録は、エンド ユーザーに対してより親しみやすいと見なされます。 ただし、管理者が必要とする機能セットとセキュリティ機能が提供されない場合があります。 一部のシナリオでは、アカウント主導のユーザー登録が最適なオプションではない可能性があります。 次のようなシナリオを考えてみましょう。

      • アカウント駆動型ユーザー登録では、デバイス上に作業パーティションが作成されます。 ユーザー登録プロファイルで構成する機能とセキュリティは、作業パーティションにのみ存在します。 ユーザー パーティションには存在しません。 ユーザーは、作業パーティションを工場出荷時の状態にリセットできません。管理者は、次のことができます。 ユーザーは個人用パーティションを工場出荷時の状態にリセットできます。管理者は実行できません。

      • ユーザーが主に Microsoft アプリを使用している場合、または Intune App SDK で作成されたアプリを使用する場合、ユーザーは Apple App Storeからこれらのアプリをダウンロードする必要があります。 その後、アプリ保護ポリシーを使用して、これらのアプリを保護します。 このシナリオでは、アカウント駆動型のユーザー登録は必要ありません。

      • 基幹業務 (LOB) アプリの場合、アカウント駆動型のユーザー登録は、これらのアプリを作業パーティションにデプロイするため、オプションになる場合があります。 アプリケーション管理 (MAM) は、LOB アプリをサポートしていません。 そのため、LOB アプリが必要な場合は、アカウント駆動型のユーザー登録を使用します。

      • アカウント駆動型のユーザー登録を使用してデバイスが登録されている場合、デバイス登録に切り替えることはできません。 アカウント主導のユーザー登録では、アプリをアンマネージドからマネージドに移動することはできません。 ユーザーは、ユーザー登録から登録を解除してから、デバイスの登録に再登録する必要があります。

      • ユーザー登録プロファイルが適用される前にアプリをインストールする場合、これらのアプリはユーザー登録プロファイルによって保護または管理されません。

        たとえば、ユーザーは Apple App Storeから Outlook アプリをダウンロードします。 アプリは、デバイスのユーザー パーティションに自動的にインストールされます。 ユーザーは Outlook を個人の電子メール用に構成します。 ユーザーがorganizationメールを構成すると、条件付きアクセスによってブロックされ、登録するように求められます。 登録すると、ユーザー登録プロファイルが展開されます。

        ユーザー登録プロファイルの前に Outlook アプリがインストールされたため、ユーザー登録プロファイルは失敗します。 Outlook アプリは、作業パーティションではなくユーザー パーティションにインストールされ構成されているため、管理できません。 ユーザーは Outlook アプリを手動でアンインストールする必要があります。

        アンインストールが完了した後は、ユーザーがデバイスを手動で同期し、場合によってはユーザー登録プロファイルを再適用できます。 または、Outlook を展開し、必要なアプリにするアプリ構成ポリシーを作成する必要がある場合があります。 その後、アプリ保護ポリシーを展開して、アプリとそのデータをセキュリティで保護します。

  • ユーザー グループに登録プロファイルを割り当てます。 デバイス グループには割り当てないでください。

デバイス登録のエンド ユーザーのタスク

ユーザーは、次の手順を実行する必要があります。

  1. Apple App Storeに移動し、Intune ポータル サイト アプリをインストールします

  2. ポータル サイト アプリを開き、職場または学校アカウント (user@contoso.com) でサインインします。 サインインすると、登録プロファイルがデバイスに適用されます。

    ユーザーが詳細情報を入力する必要がある場合があります。 さらに具体的な手順については、デバイスの登録を参照してください。

有効なアプリ通知を持つユーザーは、必要なデバイスの登録を完了するためにポータル サイト アプリに戻るプロンプトを受け取ります。 無効なアプリ通知を持つユーザーは、この要件に対して警告されません。 デバイス登録を機能させるために依存する動的グループを利用している場合は、ユーザーがデバイス登録を完了することが重要です。 エンド ユーザーにこれらの手順を伝える計画を立てます。 条件付きアクセス (CA) ポリシーを使用している場合、CA で保護されたアプリユーザーがサインインしようとすると、デバイスの登録を完了するためにポータル サイトに戻るように求められるため、アクションは必要ありません。

登録が完了すると、Intuneはデバイスにプロファイル署名証明書を自動的にインストールします。 この証明書は 1 年間有効です。 証明書の有効期限が切れている年末に、Intuneは証明書を更新します。 更新が失敗した場合、デバイスの VPN & デバイス管理>管理プロファイル設定に [未確認] 状態が表示されます。 この状態では、エンド ユーザーは影響を受けず、デバイスは引き続きIntuneと共にチェックし、ポリシーの更新プログラムを受け取ります。

通常、ユーザーは自分自身を登録することを好みません。また、ポータル サイト アプリに慣れていない可能性があります。 入力する情報などについて、必ずガイダンスを提供してください。 ユーザーとのコミュニケーションに関するガイダンスについては、「計画ガイド: 手順 5 - ロールアウト 計画を作成する」を参照してください。

ヒント

ユーザーが Intune にデバイスを登録する際に役立つ、短いステップ バイ ステップのビデオがあります。

iOS/iPadOS デバイスを登録する

ユーザー登録のエンド ユーザー タスク

ユーザーは、アカウント駆動型ユーザー登録中に次の手順を完了する必要があります。

  1. [設定] アプリを開き、[全般>VPN & デバイス管理] に移動します。
  2. 職場または学校アカウントにサインインします。
  3. 画面の指示に従い、リモート管理を許可します。
  4. リモート管理を設定するデバイス パスコードを入力します。

登録が完了すると、Intuneはデバイスにプロファイル署名証明書を自動的にインストールします。 この証明書は 1 年間有効です。 証明書の有効期限が切れている年末に、Intuneは証明書を更新します。 更新が失敗した場合、デバイスの VPN & デバイス管理>管理プロファイル設定に [未確認] 状態が表示されます。 この状態では、エンド ユーザーは影響を受けず、デバイスは引き続きIntuneでチェックされ、ポリシーの更新プログラムを受け取ります。

ユーザー エクスペリエンスの詳細については、「 登録のために従業員を準備する」を参照してください。