Apple School Manager で iOS/iPadOS デバイスの登録を設定する
Apple School Manager プログラムで購入した iOS/iPadOS デバイスを登録するよう Intune を設定できます。 Apple School Manager と共に Intune を使用して、デバイスに触れることなく、大量の iOS/iPadOS デバイスを登録できます。 学生や教師がデバイスの電源をオンにすると、セットアップ アシスタントが構成済み設定で実行され、デバイスが管理対象として登録されます。
Apple School Manager 登録を有効にするには、Intune と Apple School Manager ポータルの両方を使用します。 管理するために Intune にデバイスを割り当てられるように、シリアル番号のリストまたは注文番号が必要になります。 登録時にデバイスに適用された設定を含む自動デバイス登録 (ADE) の登録プロファイルを作成します。
Apple School Manager の登録は、 デバイス登録マネージャーでは使用できません。
前提条件
- Apple モバイル デバイス管理 (MDM) プッシュ証明書
- MDM 機関
- ADFS を使用している場合、ユーザー アフィニティには WS-Trust 1.3 Username/Mixed エンドポイントが必要です。 詳細情報 を参照してください。
- Apple School Management プログラムで購入されたデバイス
Apple トークンを取得し、デバイスを割り当てる
Apple School Manager で企業所有の iOS/iPadOS デバイスを登録するには、Apple のトークン (.p7m) ファイルが必要です。 このトークンにより、Intune は Apple School Manager 参加デバイスに関する情報を同期できるようになります。 また、Intune は Apple への登録プロファイルのアップロードを実行して、デバイスをそれらのプロファイルに割り当てられるようになります。 Apple ポータルでは、管理するデバイスのシリアル番号も割り当てることができます。
手順 1: Apple トークンを作成するために必要なIntune公開キー証明書をダウンロードする
- Microsoft Intune管理センターで、[デバイス>登録] に移動します。
- [ Apple ] タブを選択します。
- [ 登録プログラム トークン] を選択します。
- [追加] を選択します。
- [ 公開キーのダウンロード ] を選択して、暗号化キー (.pem) ファイルをローカルにダウンロードして保存します。 .pem ファイルは、Apple School Manager ポータルから信頼関係証明書を要求するために使用します。
手順 2: トークンをダウンロードしてデバイスを割り当てる
- [Apple School Manager を使用してトークンを作成します] を選択し、会社の Apple ID で Apple School にサインインします。 この Apple ID を使用して、Apple School Manager トークンを更新することができます。
- Apple School Manager ポータルで、[MDM Servers]\(MDM サーバー\) に移動し、[Add MDM Server]\(MDM サーバーの追加\) (右上) を選択します。
- MDM サーバー名を入力します。 サーバー名は、自分がモバイル デバイス管理 (MDM) サーバーを識別できるようにするための名前です。 Microsoft Intune サーバーの名前または URL ではありません。
- Apple ポータルで [ファイルのアップロード...] を選択し、.pem ファイルを参照して、[MDM サーバーの保存] (右下) を選択します。
- [トークンの取得] を選択し、サーバー トークン (.p7m) ファイルをコンピューターにダウンロードします。
- [デバイスの割り当て] に移動します。 シリアル番号または注文番号を手動で入力して、デバイスを選択します。
- [サーバーに割り当てる] を選択し、作成した MDM サーバーを選択します。
- デバイスの選択方法を指定してから、デバイス情報と詳細を提供します。
- [サーバーに割り当てる] を選択し、Microsoft Intune に指定した <ServerName> を選択して、[OK] を選択します。
手順 3: このトークンの作成に使用する Apple ID を保存する
管理センターに戻り、Apple ID を入力します。
手順 4: トークンをアップロードする
[Apple トークン] ボックスで、証明書 (.pem) ファイルを参照し、[開く] を選択して、[作成] を選択します。 このプッシュ証明書を使用して、Intune はモバイル デバイスを登録し、登録したモバイル デバイスにポリシーを適用して iOS/iPadOS デバイスを管理できます。 Intune は、Apple の Apple School Manager デバイスを自動的に同期します。
Apple の登録プロファイルを作成する
これでトークンがインストールされました。Apple School デバイスの登録プロファイルを作成することができます。 デバイス登録プロファイルで、デバイス グループに対して登録時に適用する設定を定義します。
Microsoft Intune管理センターで、[デバイス>登録] に移動します。
[ Apple ] タブを選択します。
[ 一括登録方法] で、[ 登録プログラム トークン] を選択します。
トークンを選択します。
[ プロファイル>プロファイルの作成>iOS/iPadOS) を選択します。
[プロファイルの作成] で、管理用にプロファイルの [名前] と [説明] を入力します。 ユーザーには、これらの詳細は表示されません。 この [名前] フィールドを使用して、Microsoft Entra IDで動的グループを作成できます。 この登録プロファイルに対応するデバイスを割り当てるために enrollmentProfileName パラメーターを定義する場合はプロファイル名を使用します。 動的グループのMicrosoft Entraの詳細については、こちらをご覧ください。
[ユーザー アフィニティ] で、このプロファイルに対応するデバイスを割り当て済みユーザーとともに登録する必要があるかどうかを選択します。
[ユーザー アフィニティとともに登録する] - このオプションは、ユーザーに属しているデバイスであって、かつアプリのインストールなどのサービスにポータル サイトを使用する必要があるデバイスの場合に選択します。 このオプションにより、ユーザーは会社ポータルを使用して自分のデバイスを認証することもできます。 ADFS を使用している場合、ユーザー アフィニティには WS-Trust 1.3 Username/Mixed エンドポイントが必要です。 詳細情報 を参照してください。 Apple School Manager の [共有 iPad] モードでは、ユーザーはユーザー アフィニティなしで登録する必要があります。
[ユーザー アフィニティなしで登録する] - このオプションは、共有デバイスなど、1 人のユーザーに関連付けられていないデバイスの場合に選択します。 このオプションは、ローカルのユーザー データにアクセスせずにタスクを実行するデバイスで使用します。 ポータル サイト アプリなどのアプリは動作しません。
[ユーザー アフィニティを使用して登録] を選択した場合は、ユーザーがポータル サイト、セットアップ アシスタント (レガシ)、およびセットアップ アシスタントで先進認証で認証できるようになります。 オプションを選択します。 認証方法の詳細については、「Intuneでの自動デバイス登録の認証方法」を参照してください。
注:
次のいずれかを実行する場合は、[Apple セットアップ アシスタントの代わりにポータル サイトで認証します] を [はい] に設定します。
- 多要素認証の使用
- 最初のサインイン時にパスワードの変更が必要なユーザーにプロンプトを表示する
- 登録の間に有効期限が切れたパスワードのリセットをユーザーに求める
Apple セットアップ アシスタントによって認証している場合は、これらはサポートされません。
[デバイス管理の設定] を選択し、このプロファイルを使用するデバイスを監視するかどうかを選択します。 [監視下] デバイスでは、より多くの管理オプションを使用できるようになり、既定で [アクティベーション ロック] は無効になります。 Microsoft では、特に多数の iOS または iPadOS デバイスをデプロイする組織に対して、Intune の監視モードを有効にするメカニズムとして ADE の利用をお勧めしています。
デバイスが監視対象であることは次の 2 つの方法でユーザーに通知されます。
ロック画面に "この iPhone は Contoso によって管理されています" という内容のメッセージが表示されます。
[設定]>[全般]>[情報] 画面に、"この iPhone は監視されています" という内容のメッセージが表示されます。 Contoso はインターネット トラフィックを監視し、このデバイスの位置を特定できます。" と、
注:
監視なしで登録されているデバイスは、Apple Configurator でのみ監視対象にリセットすることができます。 この方法でデバイスをリセットするには、USB ケーブルを使用して iOS/iPadOS デバイスを Mac に接続する必要があります。 詳細については、Apple Configurator ドキュメントを参照してください。
このプロファイルを使用するデバイスの登録をロックするかどうかを選択します。 [ロックされた登録] を選択すると、[設定] メニューから管理プロファイルを削除する操作を許可する iOS/iPadOS 設定が無効になります。 デバイスの登録後は、デバイスをワイプしないと、この設定を変更できません。 そのようなデバイスについては、[監視下] 管理モードを [はい] に設定する必要があります。
管理された Apple ID を使用して、複数のユーザーが登録済みの iPad にサインオンすることを許可できます。 これを行うには、[共有 iPad] で [はい] を選択します (このオプションを使用するには、[ユーザー アフィニティなしで登録する] と [監視下] モードで [はい] が設定されている必要があります。)管理された Apple ID は、Apple School Manager ポータルで作成されます。 共有 iPad と Apple の共有 iPad の要件についての詳細をご覧ください。
このプロファイルを使用するデバイスをコンピューターと同期できるようにするかどうかを選択します。 [すべて拒否] を選択すると、このプロファイルを使用しているすべてのデバイスでは、どのコンピューターのどのデータとも同期できなくなります。 [証明書による Apple Configurator の許可] を選択した場合は、[Apple Configurator の証明書] で証明書を選択する必要があります。
前の手順で [証明書による Apple Configurator の許可] を選択した場合は、インポートする Apple Configurator の証明書を選択します。
デバイスに対して登録時に自動的に適用される名前付け形式を指定することができます。 これを行うには、[デバイス名のテンプレートを適用する] で [はい] を選択します。 次に、[デバイス名のテンプレート] ボックスに、このプロファイルを使用する名前に使うテンプレートを入力します。 デバイスの種類とシリアル番号を含むテンプレート形式を指定できます。
その後で、[OK] を選択します。
[ セットアップ アシスタントの設定] を 選択して、次のプロファイル設定を構成します。
設定 説明 部門名 アクティブ化中にユーザーが [構成について] をタップすると表示されます。 部署の電話番号 アクティブ化中にユーザーが [ヘルプが必要ですか] ボタンをクリックすると表示されます。 セットアップ アシスタントのオプション 次の省略可能な設定は、後で iOS/iPadOS の [設定] メニューで設定できます。 パスコード アクティブ化時にパスコードの入力を求めます。 その他の方法 (デバイスを 1 つのアプリに制限するキオスク モードなど) でアクセスが制御されている場合を除き、保護されていないデバイスに対しては必ずパスコードを要求します。 位置情報サービス 有効にすると、アクティブ化時に、セットアップ アシスタントによってこのサービスがプロンプトされます。 Restore 有効にすると、アクティブ化時に、セットアップ アシスタントによって iCloud バックアップがプロンプトされます。 iCloud と Apple ID 有効にすると、セットアップ アシスタントによって Apple ID でサインインするように求められ、[アプリとデータ] 画面で iCloud バックアップからデバイスを復元できるようになります。 使用条件 有効にすると、アクティブ化時に、セットアップ アシスタントによって Apple の使用条件に同意するように求められます。 Touch ID 有効にすると、アクティブ化時に、セットアップ アシスタントによってこのサービスがプロンプトされます。 Apple Pay 有効にすると、アクティブ化時に、セットアップ アシスタントによってこのサービスがプロンプトされます。 Zoom 有効にすると、アクティブ化時に、セットアップ アシスタントによってこのサービスがプロンプトされます。 Siri 有効にすると、アクティブ化時に、セットアップ アシスタントによってこのサービスがプロンプトされます。 診断データ 有効にすると、アクティブ化時に、セットアップ アシスタントによってこのサービスがプロンプトされます。 その後で、[OK] を選択します。
プロファイルを保存するには、[作成] を選択します。
マネージド デバイスを同期する
Intune に Apple School Manager デバイスを管理するためのアクセス許可を割り当てたら、Intune と Apple サービスを同期して、Intune でマネージド デバイスを表示させます。
- 登録プログラム トークンに戻ります。
- 一覧でトークンを選びます。
- [デバイス>Sync] を選択します。
許容される Enrollment Program トラフィックについての Apple の規約に準拠するために、Intune では次の制限が課せられています。
- 完全な同期は 7 日に 1 回だけ実行できます。 Intune は、完全な同期中に、Intune に割り当てられているすべての Apple シリアル番号を更新します。 前回の完全同期の 7 日以内に完全同期が試みられると、Intune では、Intune にまだ一覧表示されていないシリアル番号のみが更新されます。
- すべての同期要求は、完了までに 15 分与えられます。 この時間中または要求が成功するまで、[同期] ボタンは無効にされます。
- Intune は、24 時間ごとに新規のデバイスと削除されたデバイスを Apple と同期します。
注:
[Enrollment Program デバイス] ブレードで、Apple School Manager のシリアル番号をプロファイルに割り当てることもできます。
デバイスにプロファイルを割り当てる
Intune によって管理される Apple School Manager デバイスを登録する前に、デバイスに登録プロファイルを割り当てる必要があります。
- 登録プログラム トークンに戻ります。
- 一覧でトークンを選びます。
- [ デバイス] を選択し、デバイスを選択します。
- [ プロファイルの割り当て] を選択します。 次に、デバイスのプロファイルを選択します。
- [割り当て] を選択します。
デバイスのユーザーへの配布
Apple と Intune の間で管理と同期を有効にし、Apple School デバイスを登録できるようにプロファイルを割り当てました。 ユーザーにデバイスを配布できるようになりました。 iOS/iPadOS Apple School Manager デバイスの電源をオンにすると、それが Intune の管理対象として登録されます。 現在使用中のアクティブ化されたデバイスでは、そのデバイスがワイプされるまで、プロファイルを適用することはできません。
学校データ同期の接続
Microsoft Education は、強化された機能を備えた新しい School Data Sync (SDS) エクスペリエンスに移行しています。北半球では 2024 年 8 月から、南半球では 2025 年 1 月から開始されます。 現在の Apple School Manager のサポートは、2024 年 12 月 31 日までに廃止されます。 この新しいエクスペリエンスでは、分離されたデータ インジェスト、より少ないエラーによる同期の高速化、大規模な組織のサポート、最新のユーザー インターフェイスなど、SDS (クラシック) に対するさまざまな機能強化が提供されます。 さらに質問がある場合は、新しい School Data Sync エクスペリエンスへの移行に関する質問を Microsoft Education サポートにお問い合わせください。