アカウント駆動型の Apple ユーザー登録を設定する

Microsoft Intuneに登録する個人用デバイスのアカウント駆動型 Apple ユーザー登録を設定します。 アカウント主導のユーザー登録では、ポータル サイトを使用したユーザー登録よりも迅速でわかりやすい登録エクスペリエンスが提供されます。 デバイス ユーザーは、設定アプリで職場アカウントにサインインして登録を開始します。 ユーザーがデバイス管理を承認すると、登録プロファイルがサイレント モードでインストールされ、Intuneポリシーが適用されます。 Intuneでは、Just-In-Time 登録と Microsoft Authenticator アプリを認証に使用して、登録中や仕事用アプリへのアクセス時にユーザーがサインインする必要がある回数を減らします。

この記事では、Microsoft Intuneでアカウント駆動型の Apple ユーザー登録を設定する方法について説明します。 次の手順を実行します。

  • JIT 登録を設定します。
  • 登録プロファイルを作成します。
  • 登録のために従業員と学生を準備します。

前提条件

Microsoft Intuneでは、iOS/iPadOS バージョン 15 以降を実行しているデバイスで、アカウント駆動型の Apple ユーザー登録がサポートされます。 iOS/iPadOS 14.9 以前を実行しているデバイス ユーザーにアカウント駆動型のユーザー登録プロファイルを割り当てると、Microsoft Intuneはポータル サイトでのユーザー登録によって自動的に登録されます。

セットアップを開始する前に、次のタスクを完了します。

また、Apple が Intune サービスに到達し、登録情報を取得できるように、サービス検出を設定する必要もあります。 これを行うには、従業員がサインインするのと同じドメインに HTTP 既知のリソース ファイルを設定して発行します。 Apple は、contoso.comの代わりにorganizationのドメインを使用して、“https://contoso.com/.well-known/com.apple.remotemanagement”への HTTP GET 要求を介してファイルを取得します。 HTTP GET 要求を処理できるドメインでファイルを発行します。

コンテンツ タイプを [ application/json] に設定して、JSON 形式でファイルを作成します。 ファイルにコピーして貼り付けることができる次の JSON サンプルが用意されています。 環境に合わせて調整するものを使用します。 ベース URL の YourAADTenantID 変数を、organizationのMicrosoft Entraテナント ID に置き換えます。

Microsoft Intune環境:

{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.com/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}

米国政府環境のMicrosoft Intune:

{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.us/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}

Microsoft Intune中国環境で 21 Vianet によって運営されています。

{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.cn/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}

JSON サンプルの残りの部分には、次のような必要なすべての情報が設定されています。

  • バージョン: サーバーのバージョンが mdm-byod
  • BaseURL: この URL は、Intune サービスが存在する場所です。

ベスト プラクティス

デバイス ユーザーの登録エクスペリエンスを向上させるために、追加の構成をお勧めします。 このセクションでは、各推奨事項について詳しく説明します。

Web アプリポータル サイトデプロイする

ユーザーがデバイスの状態、デバイスアクション、コンプライアンス情報にすばやくアクセスできるように、Intune ポータル サイト Web サイトの Web アプリ バージョンをデプロイします。 Web アプリがホーム画面に表示され、ポータル サイト Web サイトへのリンクとして機能します。 Web アプリがないと、ユーザーは引き続き ポータル サイト Web サイトにアクセスできますが、ブラウザーを開き、検索フィールドにアドレスを入力する必要があります。 Web アプリを追加する方法の詳細については、「Web アプリをMicrosoft Intuneに追加する」を参照してください。

フェデレーション認証を有効にする

Apple ユーザー登録では、管理対象の Apple ID を作成して、登録ユーザーに提供する必要があります。 Apple Business Manager とMicrosoft Entra IDのリンクで構成されるフェデレーション認証を有効にした場合、一意の Apple ID を作成して各ユーザーに提供する必要はありません。 代わりに、デバイス ユーザーは、職場アカウントに使用する資格情報と同じ資格情報でアプリにサインインできます。 詳細については、「 Apple Business Manager ユーザー ガイド」の「Apple Business Manager とのフェデレーション認証の概要 」を参照してください。

手順 1: ジャストインタイム登録を設定し、Microsoft Authenticator を割り当てる

Just-In-Time 登録を構成し、必要なアプリとして Microsoft Authenticator を割り当てます。 手順については、「Intuneで JIT 登録を設定する」を参照してください。 完了したら、この記事に戻り、次の手順に進むことができます。

手順 2: 登録プロファイルを作成する

アカウント駆動型ユーザー登録を使用して登録するデバイスの登録プロファイルを作成します。 登録プロファイルは、デバイス ユーザーの登録エクスペリエンスをトリガーし、設定アプリから登録を開始できるようにします。

  1. Microsoft Intune管理センターで、[デバイス>登録] に移動します。
  2. [ Apple ] タブを選択します。
  3. [ 登録オプション] で、[ 登録の種類] を選択します。
  4. [プロファイルの作成]>[iOS/iPadOS] の順に選択します。
  5. [ 基本 ] ページで、プロファイルの名前と説明を入力して、管理センターの他のプロファイルと区別できるようにします。 デバイス ユーザーにこれらの詳細が表示されません。
  6. [次へ] を選択します。
  7. [ 設定] ページの [ 登録の種類] で、[ アカウント 駆動型のユーザー登録] を選択します。
  8. [次へ] を選択します。
  9. [ 割り当て] ページで、プロファイルをすべてのユーザーに割り当てるか、特定のグループを選択します。 ユーザー登録にはユーザー ID が必要なため、ユーザー登録シナリオではデバイス グループはサポートされていません。
  10. [次へ] を選択します。
  11. [ 確認と作成 ] ページで、選択内容を確認し、[ 作成 ] を選択してプロファイルの作成を完了します。

手順 3: 従業員の加入を準備する

個人用デバイスでデバイスの登録を開始するには、デバイス所有者が設定アプリに移動し、職場または学校アカウントでサインインする必要があります。 職場または学校アカウントを使用してアプリにサインインしようとすると、アプリによって登録要件が通知され、続行する方法が通知されます。

このセクションでは、デバイス ユーザーの登録手順について説明します。 この情報は、organizationのデバイス オンボード ドキュメント、またはトラブルシューティングとサポートに使用することをお勧めします。

  1. デバイスで [設定] アプリを開きます。
  2. [全般] を選択します。
  3. [VPN & デバイス管理] を選択します
  4. 職場または学校アカウントでサインインするか、organizationから提供された Apple ID を使用してサインインします。
  5. [ iCloud にサインイン] を選択します
  6. 画面に表示されるユーザー名のパスワードを入力します。 [続行] を選択します。
  7. [ リモート管理を許可する] を選択します
  8. デバイスが構成され、管理プロファイルがインストールされるまで数分待ちます。
  9. デバイスが作業に使用する準備ができているかどうかを確認するには、[VPN & デバイス管理] に移動します。 職場アカウントが [マネージド アカウント] の下に一覧表示されていることを確認します。
  10. 職場のアプリにアクセスするには、Microsoft Authenticator が必要です。 Authenticator がデバイスにインストールされるまで、登録後数分待ちます。 Authenticator を使用せずに作業アプリにサインインしようとすると、エラー メッセージが表示されます。
  11. 仕事用アプリをインストールするための承認を求めるメッセージが表示される場合があります。 [ インストール] を選択してインストールを承認します。

プロファイルの優先順位

Intuneは、優先順位を付ける順序で登録プロファイルを適用します。 適用される順序を変更するには:

  1. [登録の種類] に戻るしてプロファイルを表示します。
  2. リスト内のプロファイルをドラッグ アンド ドロップして、優先順位を並べ替えます。

ユーザーに複数のプロファイルが割り当てられているために競合が発生した場合は、優先度の高いプロファイルIntune適用されます。

管理からデバイスを削除する

デバイス上の作業データを管理するために作成されたボリュームキーと暗号化キーは、デバイスがIntuneから登録を解除すると消去されます。

既知の問題

このセクションでは、アカウント主導の Apple ユーザー登録とMicrosoft Intuneに関する現在の既知の問題について説明します。

登録 SSO アプリケーションが原因で登録が失敗する

登録が開始される前に Microsoft Authenticator アプリがデバイス上にある場合、デバイス ユーザーが設定アプリで職場または学校アカウントでサインインしようとすると、登録は失敗します。 受け取るメッセージは次のとおりです。

  • タイトル: サインインに失敗しました
  • 説明: 登録 SSO アプリケーションがデバイスにインストールされています。

この問題を回避するには、デバイス ユーザーが Microsoft Authenticator アプリをアンインストールし、登録を再起動する必要があります。

次の手順