Intune で macOS デバイスの登録をセットアップする
Microsoft Intuneでは、個人および会社所有の Mac での登録がサポートされています。 この記事では、個人用デバイス、会社所有のデバイス、仮想マシン (VM) の登録に使用できる方法と機能について説明します。
Microsoft Intune への登録を有効にする
最初にこれらの手順を実行して、Microsoft Intune テナントへの登録を有効にします。
- デバイスが Apple デバイス登録の対象であることを確認する
- ドメインを構成する
- MDM 機関を設定する
- Apple MDM プッシュ証明書を取得する
- Microsoft 365 管理センターでユーザー ライセンスを割り当てる
- グループを作成する
- ポータル サイト アプリを構成する
デバイスを登録する
登録を有効にした後、このセクションで説明されるサポートされている方法の 1 つを使用して、ユーザー所有および会社所有のデバイスを登録します。
ユーザー所有の macOS デバイス (BYOD)
Intune では、ユーザーが自分のデバイスを自分で登録できる、自分のデバイスの持ち込み (BYOD) がサポートされています。 BYOD シナリオの登録の設定を完了するには、ライセンス認証されたユーザーに、次のいずれかのオプションを使用してデバイスを登録するように指示します。
- ポータル サイト Web サイトにサインインし、画面の指示に従ってデバイスを追加します。
- aka.ms/EnrollMyMacで Mac 用ポータル サイト アプリをインストールし、画面の指示に従ってデバイスを追加します。
会社所有の macOS デバイス
Intune では、会社所有の macOS デバイスに対して次の登録方法がサポートされています。 ハイパーリンクされたメソッドを選択して、セットアップ手順を開きます。
- Apple 自動デバイス登録: このメソッドを使用して、Apple Business Manager または Apple School Manager を介して購入したデバイスでの登録エクスペリエンスを自動化します。 自動デバイス登録では、登録プロファイルが OTA で登録されるため、デバイスに物理的にアクセスする必要はありません。
- デバイス登録マネージャー (DEM): 大規模な展開や、組織内に登録のセットアップを支援できる複数のユーザーがいる場合に、この方法を使用します。 デバイス登録マネージャー (DEM) アクセス許可を持つユーザーは、1 つのMicrosoft Entra アカウントで最大 1,000 台のデバイスを登録できます。 このメソッドは、ポータル サイトまたは Microsoft Intune を使用してデバイスを登録します。 自動デバイス登録を使用してデバイスを登録するには、DEM アカウントを使用できません。
- 直接登録: 直接登録では、ユーザーアフィニティを持つデバイスが登録されないので、この方法は、1 人のユーザーに関連付けされていないデバイスに最適です。 このメソッドでは、登録する Mac に物理的にアクセスする必要があります。
ブートストラップ トークン
Intune では、macOS 10.15 以降を実行している登録済み Mac でのブートストラップ トークンの使用がサポートされています。 ブートストラップ トークンは、ローカル ユーザーとゲスト アカウントにボリューム所有権の状態を付与するため、管理者以外のユーザーは、管理者が行う必要がある重要な操作を承認できます。 次のような操作:
ユーザーが開始したソフトウェアの更新
Apple シリコンへのカーネル拡張機能のインストール
監視対象の Mac でブートストラップ トークンを利用し、macOS 自動デバイス登録を介して登録された Mac を利用できます。
ブートストラップ トークンを取得する
ブートストラップ トークンは、次の場合に自動的に生成されます。
- 新しく登録された Mac が Intune と
- セキュリティで保護されたトークンが有効なユーザー (通常は Intune 管理者) がクリアテキスト パスワードを使用して Mac にサインインする
その後、トークンは自動的に Microsoft Intune にエスクローされます。 必要に応じて、コマンド ライン ツールを使用して、サポートされている macOS デバイスでブートストラップ トークンを手動で表示、生成、エスクローできます。 コマンドの詳細については、Apple サポートの「デプロイでセキュリティで保護されたトークン、ブートストラップ トークン、およびボリューム所有権を使用する」を参照してください。
ブートストラップ エスクローの状態を監視する
管理センターに登録されている Mac のエスクロー状態を監視できます。 [Bootstrap token escrowed] (ブートストラップ トークンがエスクローされた) ハードウェア プロパティは、ブートストラップ トークンが Intune でエスクローされたかどうかを報告します。 Intune は、トークンが正常にエスクローされたときには [はい]、トークンがエスクローされていない場合は [いいえ] と報告します。
- Microsoft Intune 管理センターにサインインします。
- [デバイス>By platform>macOS] に移動します。
- macOS デバイスの一覧からデバイスを選択します。
- [ハードウェア] を選択します。
- ハードウェアの詳細で、 条件付きアクセス>Bootstrap トークンエスクロードまで下にスクロールします。
カーネル拡張機能とソフトウェア更新プログラムの管理
重要
macOS ではカーネル拡張機能が推奨されなくなりました。 Apple では、可能な限りシステム拡張機能を使用することをお勧めします。 詳細については、「 Apple Platform Security guide - MacOS on Apple Support でカーネルを安全に拡張する 」を参照してください。
ブートストラップ トークンを使用して、Apple シリコンを使用した Mac でのカーネル拡張機能とソフトウェア更新プログラムの両方のインストールを承認できます。
ユーザーが開始したソフトウェアの更新は、macOS バージョン 11.1 を実行している Mac でブートストラップ トークンを使用して実行でき、自動デバイス登録を介して登録されます。 自動デバイス登録を介して登録されていないデバイスでユーザーが開始したソフトウェアの更新を承認するには、Mac をリカバリ モードで再起動し、セキュリティ設定をダウングレードする必要があります。 macOS 11.2 以降を実行している Mac のソフトウェア更新プログラムにブートストラップ トークンを利用することもできます。唯一の要件は、デバイスを監視する必要があることです。
カーネル拡張機能の管理は、macOS 11 以降を実行し、自動デバイス登録によって登録されている Mac で自動的に使用できます。 自動デバイス登録によって登録されていないデバイスでカーネル拡張機能のリモート管理を承認するには、回復モードで Mac を再起動し、そのセキュリティ設定をダウングレードする必要があります。 詳細については、Apple サポートの「Apple シリコン搭載 Mac のスタートアップ ディスクのセキュリティ設定を変更する」を参照してください。
macOS の登録をブロックする
既定では、Intune で macOS デバイスを登録できます。 macOS デバイスの登録をブロックするには、「 デバイス プラットフォームの制限を設定する」を参照してください。
テスト用に仮想 macOS マシンを登録する
注:
Intuneでは、テスト目的でのみ仮想 macOS マシンがサポートされます。 従業員や学生の公式デバイスとして仮想マシン (VM) を使用しないでください。
Intuneでは、次を実行している VM がサポートされます。
- Parallels Desktop
- VMware Fusion
- Apple シリコン
Intune は、VM を認識してデバイスとして登録するために、VM のハードウェア モデルとシリアル番号を認識する必要があります。 これらの詳細を指定せずに VM を登録しようとすると、登録は失敗します。 このセクションでは、登録前にこの要件を満たす方法について詳しく説明します。
Parallels Desktop
VM の構成設定を変更して、VM のシリアル番号とハードウェア モデル識別子を追加または変更します。 シリアル番号の英数字の任意の文字列を入力します。 ハードウェア モデルの場合は、VM を実行しているデバイスのモデルを使用することをお勧めします。 Mac のハードウェア モデルを見つけるには、Apple メニューを選択し、[About this Mac]>[System Report]>[Model Identifier] に移動します。
詳細については、Parallels ナレッジ ベースの次のトピックを参照してください。
VMware Fusion
VM のハードウェア モデルとシリアル番号を設定するには、.vmx ファイルに次の行を追加します。 このサンプルに示す各値は例です。
serialNumber = "ABC123456789"
hw.model = "MacBookAir10,1"
シリアル番号の英数字の任意の文字列を入力します。 ハードウェア モデルの場合は、VM を実行しているデバイスのモデルを使用することをお勧めします。 Mac のハードウェア モデルを見つけるには、Apple メニューを選択し、[About this Mac]>[System Report]>[Model Identifier] に移動します。
VMware Fusion は Intel Mac でのみサポートされています。 VMware Fusion VM の .vmx ファイルの編集の詳細については、VMware customer connect の Web サイトを参照してください。
Apple シリコン
Apple シリコン ハードウェアで実行されている VM に変更は必要ありません。 Apple Silicon を使用した Mac では Parallels Desktop がサポートされているため、このように VM を設定する場合は、ハードウェア モデル ID やシリアル番号を変更する必要はありません。
ユーザー承認済みの登録
Intune へのすべての Mac 登録は、ユーザーが承認したものと見なされます。 ユーザーが承認した登録により、Apple School Manager または Apple Business Manager の一部ではない macOS デバイスを管理できます。 自動デバイス登録または Apple Configurator を使用して登録された監視対象の macOS デバイスと同じレベルの制御を提供します。
Intune は、macOS 11 以降を実行しているユーザー承認済みデバイスの監視を自動的にオンにします。 後で macOS 11 以降に更新される登録済みデバイスに対してもこれを行います。
注:
Intune は、2020 年 6 月にユーザーが承認した登録のサポートを発表しました。 それ以前に発生した BYOD 登録は、ユーザーが承認していない可能性があります。 ユーザーが承認する Apple デバイスの詳細については、Apple サポート Web サイトの「ユーザーが承認した MDM 登録」を参照してください。
ユーザー エクスペリエンス
デバイス ユーザーは、ポータル サイト アプリにサインインして登録を開始します。 次に、ポータル サイトはデバイスのシステム環境設定を開き、管理プロファイルをインストールするようにユーザーに促します。 ポータル サイトは、ユーザーがプロファイルを見つけるのに役立つアプリ内の手順を提供します。 ユーザーは[システム環境設定>プロファイル] に移動して、管理プロファイルのインストールを承認します。 登録時に承認しないデバイス ユーザーは、後でシステム環境設定に戻って承認することができます。
デバイスがユーザー承認されているかどうかを確認する
- 管理センターで、[デバイス>すべてのデバイス] を選択します。
- macOS デバイスを選択します。
- サイド メニューから、[ハードウェア] を選択します。
- [ユーザー承認済み登録] の横の値を確認します。
Apple Migration Assistant を使用したバックアップと復元
Apple Migration Assistant を使用して、macOS デバイスのバックアップと復元を行います。 このツールを使用して Mac をバックアップし、そのアプリ データを新しいデバイスに復元できます。 次の点を理解することが重要です。
- 元の Mac の管理プロファイルはバックアップされません。 新しい Mac が再登録されると、デバイスに新しい管理プロファイルが送信されます。 これは、Apple の自動デバイス登録を通過する Mac と、自動デバイス登録を通過しない Mac で発生します。
- ポータル サイトアプリの資格情報は、移行アシスタントを通過して登録した後、新しい Mac で復元される可能性があります。 この場合は、アプリ データをクリアするために、ユーザーまたはデバイス ユーザーが次の手順を完了することをお勧めします。
- ポータル サイト アプリからサインアウトします。
- アプリまたは web サイトにサインインポータル サイト。
次の手順
デバイス ユーザー向けの詳細な登録手順を示すユーザー ヘルプ ドキュメントについては、「 Intune で macOS デバイスを登録する」を参照してください。 組織のブランド化またはカスタマイズされた登録エクスペリエンスをキャプチャする場合は、独自の手順を作成することもできます。
macOS デバイスを登録したら、macOS デバイスのカスタム設定を作成できます。