展開ガイド: Microsoft Intune で iOS/iPadOS デバイスを管理する
Intune では、iPad および iPhone のモバイル デバイス管理 (MDM) がサポートされており、仕事用のメール、データ、アプリへのセキュリティで保護されたアクセス権がユーザーに付与されます。 このガイドでは、登録を設定し、アプリとポリシーをユーザーとデバイスに展開する際に役立つ iOS 固有のガイダンスを提供します。
前提条件
開始する前に、前提となる以下の手順を完了して、iOS/iPadOS デバイス管理を Intune で有効にします。 Intune の設定とオンボードの方法、また Intune に移行する方法の詳細については、Intune の設定に関する展開ガイドを参照してください。
ロールとアクセス許可Microsoft Intune詳細については、「Microsoft Intuneを使用した RBAC」を参照してください。 Microsoft Entraグローバル管理者ロールとIntune管理者ロールは、Microsoft Intune内で完全な権限を持ちます。 グローバル管理者には、Microsoft Intuneの多くのデバイス管理タスクに必要な以上のアクセス許可があります。 タスクを完了するために必要な最小限の特権ロールを使用することをお勧めします。 たとえば、デバイス登録タスクを完了できる最小限の特権ロールは、組み込みのIntune ロールである Policy と Profile Manager です。
展開を計画する
Microsoft Intune 計画ガイドでは、目標、ユースケース シナリオ、要件を決定するために役立つガイダンスとアドバイスを提供しています。 ロールアウト、コミュニケーション、サポート、テスト、検証の計画を作成する方法についても説明しています。
コンプライアンス ルールの作成
コンプライアンス ポリシーを使用して、保護されたリソースにアクセスするためにユーザーとデバイスが満たす必要があるルールと条件を定義します。 条件付きアクセスを使用する場合、条件付きアクセス ポリシーはデバイスのコンプライアンス結果を使用して、準拠していないデバイスからのリソースへのアクセスをブロックできます。 コンプライアンス ポリシーに関する詳しい説明と最初の手順については、「コンプライアンス ポリシーを使用して、Intune で管理するデバイスのルールを設定する」を参照してください。
タスク | 詳細 |
---|---|
コンプライアンス ポリシーの作成 | コンプライアンス ポリシーを作成してユーザーとデバイスのグループに割り当てる方法のステップ形式のガイダンス。 |
コンプライアンス違反に対するアクションを追加する | デバイスがコンプライアンス ポリシーの条件を満たさなくなったときの処理を選択します。 デバイス コンプライアンス ポリシーを構成するとき、または後でポリシーを編集することによって、非準拠のアクションを追加できます。 |
デバイスベースまたはアプリベースの条件付きアクセス ポリシーを作成する | 保護するアプリまたはサービスを指定し、アクセスの条件を定義します。 |
先進認証を使用していないアプリへのアクセスをブロックする | アプリベースの条件付きアクセス ポリシーを作成して、OAuth2 以外の認証方法を使用するアプリ (基本認証やフォームベース認証を使用するアプリなど) をブロックします。 ただし、アクセスをブロックする前に、Microsoft Entra IDにサインインし、認証方法のアクティビティ レポートを確認して、ユーザーが基本認証を使用して、忘れた重要な情報にアクセスしているか、または認識しないものにアクセスしているかどうかを確認します。 たとえば、会議室のカレンダー キオスクなどは、基本認証を使用します。 |
エンドポイント セキュリティを構成する
Intune のエンドポイント セキュリティ機能を使用して、デバイスのセキュリティを構成したり、リスクにさらされたデバイスに対するセキュリティ タスクを管理したりします。
タスク | 詳細 |
---|---|
エンドポイント セキュリティ機能を使用してデバイスを管理する | Intune のエンドポイント セキュリティ設定を使用して、デバイスのセキュリティを効果的に管理し、デバイスの問題を修復します。 |
未登録デバイスに対してモバイル脅威防御 (MTD) コネクタを有効にする | Intune で MTD 接続を有効にして、MTD パートナー アプリが Intune やポリシーと連携できるようにします。 Microsoft Defender for Endpoint を使用していない場合は、別のモバイル脅威防御ソリューションを使用できるように、コネクタを有効にすることを検討してください。 |
MTD アプリ保護ポリシーを作成する | リスクを評価し、脅威レベルに基づいてデバイスの業務用アクセスを制限する Intune アプリ保護ポリシーを作成します。 |
未登録デバイスへの MTD アプリの追加 | 組織内のユーザーが MTD アプリを利用できるようにし、iOS/iPadOS 用に Microsoft Authenticator を構成します。 |
条件付きアクセスを使用して Microsoft Tunnel へのアクセスを制限する | 条件付きアクセス ポリシーを使用して、Microsoft Tunnel VPN ゲートウェイへのデバイス アクセスを制御します。 |
デバイス設定を構成する
Microsoft Intune を使用して、iOS/iPadOS デバイス上の設定および機能を有効または無効にします。 これらの設定を構成して適用するには、デバイス構成プロファイルを作成してから、そのプロファイルを組織内のグループに割り当てます。 デバイスは、登録されるとプロファイルを受け取ります。
タスク | 詳細 |
---|---|
Microsoft Intune でのデバイス プロファイルの作成 | 組織のために作成できるさまざまな種類のデバイス プロファイルについて理解します。 |
デバイス機能を構成する | 職場または学校の状況に合わせて、iOS/iPadOS の一般的な機能を構成します。 この領域の設定についての説明は、デバイス機能リファレンスを参照してください。 |
Wi-Fi プロファイルを構成する | このプロファイルにより、ユーザーは組織の Wi-Fi ネットワークを検索して接続できます。 この領域の設定についての説明は、Wi-Fi 設定リファレンスを参照してください。 |
VPN プロファイルを構成する | 組織のネットワークに接続するユーザーのために、Microsoft Tunnel などのセキュリティで保護された VPN オプションを設定します。 アプリごとの VPN ポリシーを作成して、VPN 接続を介して特定のアプリにサインインすることをユーザーに要求することもできます。 この領域の設定についての説明は、VPN 設定リファレンスを参照してください。 |
メール プロファイルを構成する | ユーザーがメール サーバーに接続して職場または学校のメールにアクセスできるよう、メール設定を構成します。 この領域の設定についての説明は、メール設定リファレンスを参照してください。 |
デバイスの機能を制限する | 職場または学校で使用できるデバイス機能を制限することによって、未認可のアクセスや注意散漫からユーザーを保護します。 この領域の設定についての説明は、デバイス制限リファレンスを参照してください。 |
カスタム プロファイルを構成する | Intune に組み込まれていないデバイスの設定や機能を追加して割り当てます。 |
ブランド化と登録のエクスペリエンスをカスタマイズする | 組織独自の用語、ブランド、画面設定、連絡先情報を使用して、Intune ポータル サイトや Microsoft Intune アプリのエクスペリエンスをカスタマイズします。 |
ソフトウェア更新ポリシーを構成する | 監視対象の iOS/iPadOS デバイスの自動 OS 更新およびインストールをスケジュールします。 |
セキュリティで保護された認証方法を設定する
Intune で認証方法を設定して、認可されたユーザーのみが内部リソースにアクセスできるようにします。 Intune では、多要素認証、証明書、派生資格情報をサポートしています。 証明書は、S/MIME を使用したメールの署名と暗号化にも使用できます。
タスク | 詳細 |
---|---|
多要素認証 (MFA) を要求する | 登録時に 2 つの形式の資格情報を提供することをユーザーに要求します。 |
信頼済み証明書プロファイルを作成する | SCEP、PKCS、または PKCS のインポートされた証明書プロファイルを作成する前に、信頼された証明書プロファイルを作成して展開します。 信頼された証明書プロファイルにより、SCEP、PKCS、PKCS でインポートされた証明書を使用して、デバイスとユーザーに信頼されたルート証明書が展開されます。 |
Intune で SCEP 証明書を使用する | Intune で SCEP 証明書を使用して必要なインフラストラクチャを構成するために必要な事柄について理解します。 その後、SCEP 証明書プロファイルを作成するか、SCEP を使用してサード パーティの証明機関を設定することができます。 |
Intune で PKCS 証明書を使用する | (オンプレミスの証明書コネクタなどの) 必要なインフラストラクチャを構成し、PKCS 証明書をエクスポートし、Intune デバイス構成プロファイルに証明書を追加します。 |
インポートした PKCS 証明書を Intune で使用する | インポートした PKCS 証明書を設定します。これにより、S/MIME を設定および使用してメールを暗号化することが可能になります。 |
派生資格情報の発行者を設定する | ユーザー スマート カードから派生した証明書を使用して iOS/iPadOS デバイスをプロビジョニングします。 |
アプリを展開する
アプリおよびアプリ ポリシーを設定する際は、自分の組織の要件を検討してください。たとえば、サポートする予定のプラットフォーム、従業員に課せられている課題、それらの課題を完了するのに必要なアプリの種類、そして最後には、それらのアプリを必要とするグループなどです。 Intune を使用し、デバイス全体 (アプリを含む) を管理することも、Intune を使用してアプリのみを管理することもできます。
タスク | 詳細 |
---|---|
ストア アプリを追加する | iOS/iPadOS アプリを App Store から Intune に追加し、グループに割り当てます。 |
Web アプリを追加する | Web アプリを Intune に追加し、グループに割り当てます。 |
組み込みアプリを追加する | 組み込みアプリを Intune に追加し、グループに割り当てます。 |
基幹業務アプリを追加する | iOS/iPadOS の基幹業務 (LOB) アプリを Intune に追加し、グループに割り当てます。 |
アプリをグループに割り当てる | ユーザーとデバイスにアプリを割り当てます。 |
アプリ割り当ての組み込みと除外 | 選択したグループを割り当てに含めたり、割り当てから除外したりして、アプリへのアクセスと可用性を制御します。 |
Apple Business Manager 経由で購入した iOS/iPadOS アプリを管理する | Apple Business Manager 経由で購入したアプリの同期、管理、割り当てを行います。 |
Apple Business Manager 経由で購入した iOS/iPadOS の eBook を管理する | Apple Business Manager 経由で購入した本の同期、管理、割り当てを行います。 |
iOS/iPadOS のアプリ保護ポリシーを作成する | Outlook や Word などのマネージド アプリ内に含まれる組織のデータを保持します。 各設定の詳細については、「iOS アプリ保護ポリシー設定」を参照してください。 |
アプリ プロビジョニング プロファイルを作成する | 有効期限が近いアプリがあるデバイスに新しいプロビジョニング プロファイルを事前に割り当てて、アプリの証明書が期限切れになるのを防ぎます。 |
アプリ構成ポリシーを作成する | 登録されたデバイス上の iOS/iPadOS アプリにカスタムの構成設定を適用します。 これらのポリシーは、デバイス登録なしでマネージド アプリに適用することもできます。 |
Microsoft Edge を構成する | iOS/iPadOS 用の Edge で Intune アプリ保護および構成ポリシーを使用して、企業の Web サイトが確実に保護機能付きでアクセスされるようにすることができます。 |
Microsoft Office アプリの構成 | Office アプリで Intune アプリ保護および構成ポリシーを使用して、企業のファイルが確実に保護機能付きでアクセスされるようにすることができます。 |
Microsoft Teams を構成する | Teams で Intune アプリ保護および構成ポリシーを使用して、共同作業のチーム エクスペリエンスが確実に保護機能付きでアクセスされるようにすることができます。 |
Microsoft Outlook の構成 | Outlook で Intune アプリ保護および構成ポリシーを使用して、企業のメールやカレンダーが確実に保護機能付きでアクセスされるようにすることができます。 |
デバイスを登録する
デバイスを登録すると、作成したポリシーを受信できるため、Microsoft Entraユーザー グループとデバイス グループを準備できます。
それぞれの登録方法や、組織に適した方法の選び方については、Microsoft Intune での iOS/iPadOS デバイスの登録に関するガイドを参照してください。
タスク | 詳細 |
---|---|
Intune で Apple Automated Device Enrollment (ADE) を設定する | Apple School Manager または Apple Business Manager 経由で購入した企業所有デバイス向けのすぐに使用できる登録エクスペリエンスを設定します。 このプロセスの詳細なチュートリアルについては、「チュートリアル: Apple Business Manager (ABM) にある Apple の Corporate Device Enrollment 機能を使用して、iOS/iPadOS デバイスを Intune に登録する」を参照してください。 |
Intune で Apple School Manager を設定する | Apple School Manager プログラムで購入したデバイスを登録するよう Intune を設定します。 |
Apple Configurator を使用してデバイス登録を設定する | Apple Configurator プロファイルを作成して、(ユーザー アフィニティのない) 企業所有デバイスを直接登録によって登録するか、設定アシスタントを使用して (ユーザー アフィニティのある) ワイプされたデバイスまたは新規デバイスを登録します。 Intune から Apple Configurator プロファイルをエクスポートする必要があります。これには、Apple Configurator を実行している Mac コンピューターへの USB 接続が必要です。 |
デバイスの企業所有としての識別 | 企業所有のステータスをデバイスに割り当てて、より多くの管理および識別機能を Intune で有効にします。 企業所有のステータスは、Apple Business Manager 経由で登録したデバイスには割り当てることができません。 |
Apple ユーザー登録を設定する | ユーザー登録プロファイルを作成して、管理対象の Apple ID を使用して Apple ユーザー登録エクスペリエンスをデバイスにデプロイします。 |
共有 iPad デバイスを設定する | 複数のユーザーが使用できるようにデバイスを構成します (図書館や教育環境で見られるタイプの設定)。 |
デバイスをバックアップおよび復元する | Automated Device Enrollment の設定中などに、Intune での登録または移行に備えてデバイスをバックアップおよび復元します。 |
デバイス所有権を変更する | デバイスが登録された後に、Intune でその所有権ラベルを企業所有または個人所有に変更できます。 この調整によって、デバイスを管理できる方法が変わります。 |
登録に関する問題のトラブルシューティング | 登録中に発生する問題のトラブルシューティングを行い、解決方法を見つけます。 |
リモート操作を実行する
デバイスの設定後、Intune のリモート操作を使用して、遠隔地からデバイスを管理およびトラブルシューティングできます。 何を使用できるかは、デバイスのプラットフォームによって異なります。 ある操作が、ポータルにない場合や、無効になっている場合、その操作はそのデバイスでサポートされていません。
タスク | 詳細 |
---|---|
デバイスでリモート操作を実行する | Intune で個々のデバイスにドリルダウンし、リモートから管理とトラブルシューティングを行う方法を理解します。 この記事では、Intune で使用できるすべてのリモート操作と、それらの手順へのリンクを一覧にして示しています。 |
TeamViewer を使用して Intune デバイスをリモート管理する | Intune 内で TeamViewer を構成します。また、リモートでデバイスを管理する方法を理解します。 |
Microsoft Defender for Endpoint で検出された脆弱性を修復する | Intune を Microsoft Defender for Endpoint と統合して、Defender for Endpoint の脅威と脆弱性の管理を利用します。また、Defender の脆弱性管理機能によって特定されたエンドポイントの脆弱性を Intune を使って修復します。 |
次の手順
Intune の主なタスクの実行方法を理解するには、以下の登録チュートリアルを参照してください。 チュートリアルは、Intune または特定のシナリオの初心者のための 100 ~ 200 レベルのコンテンツです。
- 管理センター Intune手順
- Apple Business Manager (ABM) の Apple 業務用デバイス登録機能を使用して iOS/iPadOS デバイスを Intune に登録する
- マネージド デバイスで Exchange Online メールを保護する
- アンマネージド デバイス上で Exchange Online の電子メールを保護する
- EMM とアプリ構成に Intune を使用するように Slack を構成する
このガイドの Android バージョンについては、デプロイ ガイド: Microsoft Intune での Android デバイスの管理に関するページを参照してください。