手順 5 – Microsoft Intuneにデバイスを登録する
展開の最終段階では、デバイスがMicrosoft Entra IDに登録または参加し、Microsoft Intuneに登録され、コンプライアンスがチェックされます。
登録中、Microsoft Intuneはデバイスにモバイル デバイス管理 (MDM) 証明書をインストールします。これにより、Intuneは登録プロファイル、登録制限、およびこのガイドで前に作成したポリシーとプロファイルを適用できます。
この記事の内容
- 企業所有デバイスとユーザー所有デバイスのMicrosoft Intuneでの登録を準備する方法。
- 各 OS プラットフォームの登録オプション。
- 登録後の監視、トラブルシューティング、リソース。
はじめに
Intuneを使用して登録プロファイルを初めてデプロイする場合、または新しい構成を試す場合は、小規模から開始し、段階的なアプローチを使用します。 登録プロファイルを 1 つのパイロットまたはテスト グループに割り当てます。 最初のテストの後、パイロット グループにユーザーを追加します。 すべてが正常に進む場合は、登録プロファイルをより多くのパイロット グループに割り当てます。 詳細と提案については、「 計画ガイド: 手順 5 - ロールアウト 計画を作成する」を参照してください。
Microsoft Entra IDでの登録は、Intune管理に必要な手順です。 デバイスをIntuneに登録する前に、デバイスのユーザーが組織のMicrosoft Entra IDでデバイス ID を認証して確立する必要があります。 この手順では、クラウドベースの作業アプリやその他のリソースへのシングル サインオン アクセスをユーザーに付与します。 使用できる登録方法が決定され、デバイス ユーザーのサインイン エクスペリエンスも決定されるため、使用している ID オプションを把握することが重要です。 ID オプションには、次のものが含まれます。
- Microsoft Entra登録は、個人および企業所有のモバイル デバイスで使用できるデバイス ID オプションです。 これらのデバイスのユーザーは、Microsoft Entra IDの職場アカウントを使用して、アプリや Web ブラウザーなどの仕事用リソースにサインインすることで認証されます。
- Microsoft Entra参加済みは、共同管理オプションを利用する企業所有のWindows 10/11 デバイスで使用できるデバイス ID オプションです。 これらのデバイス上のユーザーは、Microsoft Entra IDの職場アカウントを使用してデバイスにサインインすることで認証されます。
登録前の構成
登録の制限、デバイスの分類、デバイス登録マネージャーなどの登録機能を構成して、登録用のデバイスを準備します。 これらの構成は、ユーザーとデバイス ユーザーの登録エクスペリエンスの向上と簡素化に役立ち、管理センターでの整理を維持するのに役立ちます。 登録プロファイルを作成する前に構成します。
可用性の設定は、OS プラットフォームによって異なります。
既存のデバイスの登録を解除してリセットする
デバイスが現在別の MDM プロバイダーに登録されている場合は、Intuneに登録する前に、既存の MDM プロバイダーからデバイスの登録を解除します。 次の表は、Intuneに登録する前に工場出荷時の状態にリセットする必要があるデバイスを示しています。
プラットフォーム | 出荷時の設定へのリセットが必要 |
---|---|
仕事用プロファイルがある個人所有の Android Enterprise デバイス (BYOD) | いいえ |
会社所有 Android Enterprise 仕事用プロファイル (COPE) | はい |
Android Enterprise フル マネージド (COBO) | はい |
Android Enterprise 専用デバイス (COSU) | はい |
Android デバイス管理者 (DA) | いいえ |
iOS/iPadOS (BYOD) | いいえ |
iOS/iPadOS (ADE) | はい |
Linux | いいえ |
macOS (BYOD) | いいえ |
macOS (ADE) | はい |
Windows | いいえ |
リセットを必要としないデバイスは、登録するとすぐにIntuneプロファイルのインストールを開始します。 以前に構成した設定は、登録前にIntuneで変更しないと、デバイスに残ることがあります。
デバイス登録マネージャーの追加
多数のデバイスを登録して配布用に準備する必要がある場合は、デバイス登録マネージャーを利用することをお勧めします。 デバイス登録マネージャー アカウントは最大 1,000 台のデバイスを登録および管理できますが、標準の管理者以外のアカウントでは 15 台のデバイスのみを登録できます。 デバイス登録マネージャーは、管理者以外のMicrosoft Entraユーザーであり、次のことができます。
- Intuneに最大 1,000 台の企業所有デバイスを登録する
- Intune ポータル サイトにサインインして会社のアプリを入手する
- ロール固有のアプリをデバイスに展開して企業データへのアクセスを構成する
Apple の自動デバイス登録などの一部の登録方法は、デバイス登録マネージャー アカウントと互換性がないため、セットアップを開始する前に、選択した方法がサポートされていることを確認してください。
詳細と制限事項については、「 デバイス登録マネージャーの追加」を参照してください。
デバイス登録の制限を作成する
Microsoft Intune管理センターでこの機能を使用して、特定のデバイスがIntuneに登録されないように制限します。 Microsoft Intune で構成できるデバイス登録制限には、次の 2 種類があります。
- デバイス プラットフォームの制限: デバイス プラットフォーム、バージョン、製造元、または所有権の種類に基づいてデバイスを制限します。
- デバイス制限の制限: ユーザーがIntuneに登録できるデバイスの数を制限します。
Linux および一部の Windows 登録シナリオでは、登録制限を利用できません。 詳細については、「 登録制限の概要 」を参照してください。
使用条件ポリシーを作成する
Intune使用条件ポリシーを使用して、登録前に法的免責事項とコンプライアンス要件をデバイス ユーザーに開示できます。 このポリシーでは、デバイスユーザーがデバイスを登録するか、保護されたリソースにアクセスする前に、組織の使用条件に同意する必要があります。 使用条件は、Intune ポータル サイト アプリの対象ユーザーに表示されます。
用語の表示場所など、より詳細な制御を求める場合は、使用条件Microsoft Entra構成することを検討してください。 Microsoft Entra条件は、対象のアプリやリソースにサインインし、Intuneの使用条件よりも詳細な設定を提供するときにユーザーに表示されます。
詳細情報については、「ユーザー アクセスのご契約条件」を参照してください。
多要素認証が必要
登録中にユーザーに多要素認証 (MFA) による認証を要求します。 MFA が必要な場合、デバイスを登録するユーザーは、デバイスを登録する前に、2 つ目のデバイスと 2 つの形式の資格情報で認証する必要があります。 これは 1 回限りの条件付き手順であり、デバイス上のユーザーが自分の言う人であることを確認します。 この動作は、MFA ポリシーで条件付きアクセス ポリシーを使用することで、Linux を除くすべてのプラットフォームで有効にすることができます。 Microsoft Entra ID P1 または P2 が必要です。
詳細については、「Intuneデバイス登録に多要素認証を要求する」を参照してください。
デバイスをグループに分類する
看護やマーケティングなど、Intuneでデバイス カテゴリを作成すると、Intune そのカテゴリに属するすべてのデバイスがIntuneの対応するデバイス グループに自動的に追加されます。
この機能は、Linux を除くすべてのプラットフォームで使用できます。 詳細については、「 デバイスをグループに分類する」を参照してください。
Android デバイスの登録
個人所有または企業所有の Android デバイスをIntuneに登録できます。 Google Mobile Services を使用する個人所有および企業所有のデバイスには、Android Enterprise 登録ソリューションをお勧めします。 Google Mobile Services を持たない企業所有のデバイスで、Android オープン ソース プロジェクト (AOSP) から構築されている場合は、AOSP 登録方法を使用します。
前提条件
Intuneを管理対象の Google Play アカウントに接続します。 接続は、次を含むすべての Android Enterprise 管理オプションに必要です。
- 個人所有 Android Enterprise の仕事用プロファイル。
- Android Enterprise の会社所有の仕事用プロファイル
- 完全に管理されている Android Enterprise
- Android Enterprise 専用
Android の登録方法
次のタブでは、Intuneサポートされている Android および AOSP 登録オプションについて説明します。
仕事用プロファイルを持つ会社所有のデバイス: 個人の使用も承認されている会社所有のデバイスを登録します。 このメソッドは、ユーザーが個人用アプリと仕事用アプリを簡単かつ安全に切り替えることができるように、デバイス上に別の作業プロファイルを作成します。 デバイス ユーザーは、Microsoft Intune アプリを介してデバイスを登録します。 管理者は、仕事用プロファイルのアプリとデータを管理できます。 この方法は、 Android Enterprise 企業所有の仕事用プロファイル 管理ソリューションに合わせて調整されます。
フル マネージド: 個人使用ではなく、仕事専用の企業所有デバイスを登録します。 登録済みデバイスに関連付けられているユーザーが 1 人います。 デバイス全体を管理し、Android Enterprise 仕事用プロファイル メソッドでは使用できないポリシー制御を適用できます。 この方法は、 Android Enterprise のフル マネージド 管理ソリューションに合わせて調整されます。
専用デバイス: デジタルサイネージ、チケット印刷、在庫管理などに使用される企業所有、単一使用、キオスク デバイスを登録します。 この方法では、デバイスで使用できるアプリと Web リンクを制限し、ユーザーが目的のスコープ外でデバイスを使用できないようにすることができます。 この方法は、 Android Enterprise 専用デバイス 管理ソリューションに合わせて調整されます。
企業所有のユーザーレス デバイス: Android オープン ソース プロジェクト (AOSP) から構築され、Google Mobile サービスが存在しない デバイスを企業所有のユーザーレス デバイスとして登録します。 これらのデバイスにはユーザーが関連付けられていないので、ライブラリやラボなどの共有を目的としています。
企業所有のユーザー関連デバイス: AOSP から構築され、Google Mobile サービスがないデバイスを 企業所有のユーザー関連デバイスとして登録します。 これらのデバイスは、1 人のユーザーに関連付けられているので、作業目的でのみ使用することを目的としています。
ゼロタッチ登録: 一括登録にはゼロタッチ登録を使用し、リモート ワーカーの登録を簡略化することをお勧めします。 この方法では、企業所有のデバイスを事前に準備して、ユーザーがオンにしたときに自動的にフル マネージド デバイスとしてプロビジョニングおよび登録できるようにします。
重要
Microsoft Intuneは、2024 年 12 月 31 日に Google Mobile Services (GMS) にアクセスできるデバイスでの Android デバイス管理者管理のサポートを終了します。 その日以降、デバイスの登録、テクニカル サポート、バグ修正、セキュリティ修正は利用できなくなります。 現在デバイス管理者管理を使用している場合は、サポートが終了する前に、Intune で別の Android 管理オプションに切り替えることを推奨します。 詳細については、「 GMS デバイスでの Android デバイス管理者のサポートの終了」を参照してください。
Apple デバイスの登録
このセクションでは、Intuneの iOS/iPadOS および Mac デバイスで使用できる登録オプションについて説明します。
前提条件
Apple デバイスの登録プロファイルを作成する前に、次の前提条件を満たします。
- Apple MDM プッシュ証明書をIntuneにアップロードします。 詳細については、「 MDM プッシュ証明書を取得する」を参照してください。
- Apple 自動デバイス登録を使用してデバイスを登録する予定の場合は、Apple 登録プログラム トークンを取得します。 詳細については、以下を参照してください:
Apple 登録ソリューション
次の表では、iOS/iPadOS と macOS を実行しているデバイスの登録ソリューションについて説明します。
iOS/iPadOS および Mac デバイスの自動デバイス登録: Apple Business Manager または Apple School Manager から購入した新しいデバイスまたはワイプされたデバイスを、自動デバイス登録で登録します。 企業所有のデバイスに対するこの自動登録方法は、Apple Business Manager と Apple School Manager からorganizationの設定を適用し、監督モードをサポートし、デバイスをタッチする必要なく登録します。 ユーザーがデバイスの電源を入れると、Apple セットアップ アシスタントによってセットアップと登録がガイドされます。
iOS/iPadOS およびMac デバイス用の Apple Configurator: Apple Configurator を使用して、新規または既存の企業所有デバイスを手動で登録します。 このオプションは、一括登録や、Apple School Manager、Apple Business Manager、または有線ネットワーク接続が必要な場合に最適です。 Mac でデバイスに接続して構成する必要があるため、デバイスに物理的にアクセスできる必要があります。 次の 2 つの異なるパスを使用できます。
- セットアップ アシスタントの登録: この方法では、デバイスをワイプし、Apple Configurator への登録用に準備します。 ユーザーがデバイスをオンにすると、セットアップ アシスタントが開始され、デバイスがIntuneに登録されます。 管理センターに入力する必要があるため、デバイスのシリアル番号にアクセスできる必要があります。
- 直接登録: この方法を使用すると、配布前にデバイスを登録でき、デバイスはワイプされません。 この方法で登録されたデバイスはユーザーに関連付けられていないため、共有デバイスまたはキオスク デバイスにはこのオプションをお勧めします。 macOS デバイスと iOS デバイスでは手順が異なるため、デバイスの正しいハウツー ドキュメントを必ず使用してください。
Linux の登録
BYOD シナリオの従業員と学生は、個人の Linux デバイスをMicrosoft Intuneに登録できます。 登録を使用すると、Microsoft Edge の作業リソースにアクセスできます。
Intune管理者は、管理センターで Linux 登録を有効にするために何もする必要はありません。 自動的に有効になります。 ユーザーが Linux デバイスを登録すると、管理センターに表示されます。 詳細については、「Microsoft Intuneに Linux デスクトップ デバイスを登録する」を参照してください。
Windows の登録
このセクションでは、Windows 10またはWindows 11を実行している個人所有および企業所有のデバイスで使用できる登録ソリューションについて説明します。
注:
Microsoft Intune登録は、クラウド環境のデバイスでサポートされています。 Configuration Managerとの共同管理は、オンプレミス環境でサポートされています。
Windows の登録方法
次の表では、Windows 10とWindows 11を実行しているデバイスでサポートされる登録方法について説明します。
Windows の自動登録を有効にすることで、従業員と学生のIntuneへの登録を容易にします。 詳細については、「 自動登録を有効にする」を参照してください。
自動登録を使用して参加Microsoft Entra: このオプションは、ユーザーまたはデバイス ユーザーが仕事用に調達したデバイスでサポートされます。 登録は、ユーザーが職場アカウントでサインインし、Microsoft Entra IDに参加した後、または設定アプリから職場または学校アカウントを接続するときにMicrosoft Entra IDでデバイスに参加することを選択した後に行われます (「Windows デバイス登録ガイド - エンド ユーザー タスク」の説明に従います)。 このソリューションは、リモート作業環境など、デバイスにアクセスできない場合に使用します。 これらのデバイスが登録されると、デバイスの所有権が企業所有に変更され、個人所有としてマークされたデバイスでは使用できない管理機能にアクセスできます。
Windows Autopilot ユーザー主導または自己展開モード: 自動登録は、Windows Autopilot ユーザードリブン (Microsoft Entra ハイブリッド参加とMicrosoft Entra参加シナリオの両方) または自己展開 (Microsoft Entra 参加のみ) プロファイルでサポートされ、企業所有のデスクトップ、ノート PC、キオスクに使用できます。 デバイス ユーザーは、必要なソフトウェアとポリシーがインストールされた後にデスクトップ アクセスを取得します。 Microsoft Entra ID P1 または P2 ライセンスが必要です。 Microsoft Entra結合のみを使用することをお勧めします。これは、最適なユーザー エクスペリエンスを提供し、構成が簡単です。 オンプレミスの Active Directoryがまだ必要なシナリオでは、ハイブリッド参加Microsoft Entra使用できますが、Active Directory 用のIntune コネクタをインストールする必要があり、デバイスはオンプレミス ネットワークまたは VPN 接続を介してドメイン コントローラーに接続できる必要があります。
Configuration Managerとの共同管理: 共同管理は、既にConfiguration Managerを使用してデバイスを管理し、Microsoft Intuneワークロードを統合する環境に最適です。 共同管理とは、ワークロードをConfiguration ManagerからIntuneに移動し、その特定のワークロードに対して管理機関が誰であるかを Windows クライアントに伝える行為です。 たとえば、Intuneのコンプライアンス ポリシーとデバイス構成ワークロードを使用してデバイスを管理し、アプリの展開やセキュリティ ポリシーなどのその他のすべての機能にConfiguration Managerを利用できます。
グループ ポリシーを使用した登録: グループ ポリシーを使用して、ユーザーの操作を行わずに、ハイブリッド参加済みデバイスMicrosoft Entra自動登録をトリガーできます。 登録プロセスは、Microsoft Entra ID同期されたユーザーがデバイスにサインインした後、バックグラウンドで (スケジュールされたタスクを介して) 開始されます。 デバイスがハイブリッドに参加Microsoft Entra、Configuration Managerを使用して管理されていない環境では、この方法をお勧めします。
その他の Windows 登録機能
Intuneには、ユーザーと従業員のデバイス管理エクスペリエンスを向上または簡素化するために、他にも Windows 登録オプションがあります。
- 共同管理設定: 共同管理設定を有効にして、Configuration ManagerワークロードをIntuneと統合します。 共同管理を使用すると、Intune機能とConfiguration Manager機能の両方を使用してデバイスを管理できます。
- CNAME 検証: 登録要求をIntune サーバーにリダイレクトするために作成したドメイン ネーム サーバー (DNS) エイリアス (CNAME レコードの種類) を検証します。 エイリアスを使用すると、P1 または P2 がMicrosoft Entra IDされていないユーザーの登録と自動登録が簡略化されます。
- [登録の状態] ページ: [登録の状態] ページを有効にして、デバイスのセットアップを行うユーザーがインストールの進行状況を表示および追跡できるようにします。
レポートとトラブルシューティング
不完全なユーザー登録と破棄されたユーザー登録を追跡します。 このMicrosoft Intune レポートは、ポータル サイトユーザーが登録プロセスを完了できなかった場所を示します。
トラブルシューティング に関するドキュメントについては、「 デバイス登録のトラブルシューティング」を参照してください。
リソース
その他の登録ガイドは、Microsoft Intuneドキュメント全体で入手できます。 これらのガイドには、サポートされている各プラットフォームの視覚的な比較、ハウツー ステップ、ヒント、登録のベスト プラクティスが含まれます。
次の手順
- Microsoft Intune のセットアップ
- アプリの追加、構成、保護
- コンプライアンス ポリシーの計画
- デバイス構成プロファイルを作成します。
- 🡺 デバイスの登録 (お客様はこちら)