Intune での自動デバイス登録の認証方法
iOS/iPadOS に適用されます
この記事では、自動デバイス登録を使用して Intune に登録された iOS/iPadOS デバイスで使用できる認証方法について説明します。 使用可能な認証方法は次のとおりです。
- Intune ポータル サイト アプリ
- 先進認証を使用したセットアップ アシスタント
- 先進認証を使用したセットアップ アシスタントの Just In Time (JIT) 登録
- セットアップ アシスタント (レガシ)
すべての方法は、ユーザーアフィニティを持つ企業所有のデバイスで使用でき、Apple Business Manager または Apple School Manager を通じて購入できます。
オプション 1: Intune ポータル サイト アプリ
次の場合は、認証方法として Intune ポータル サイト アプリを使用します。
- 多要素認証 (MFA) を使用します。
- 初めてサインインするときにユーザーにパスワードの変更を求める。
- 登録時に有効期限が切れたパスワードのリセットをユーザーに求める。
- Microsoft Entra ID にデバイスを登録し、条件付きアクセスなどの Microsoft Entra ID で使用できる機能を使用します。
- 登録時にポータル サイト アプリを自動的にインストールします。 会社で Volume Purchase Program (VPP) を使用している場合は、ユーザーの Apple ID なしで、登録時にポータル サイト アプリを自動的にインストールできます。
- ポータル サイト アプリがインストールされるまで、デバイスをロックしたい。
注意
デバイス ユーザーが アカウント駆動型の Apple ユーザー登録プロファイルの種類を対象としている場合、Intune はこの認証方法を使用する登録をブロックします。 この動作は仕様です。 ユーザーは、自分のアカウントがポータル サイト アプリを使用した登録をサポートしていないため、ポータル サイト Web サイトを通じて登録する必要があることを示すエラー メッセージを受け取ります。 自動デバイス登録を使用して登録を成功させるには、アカウント駆動型の Apple ユーザー登録プロファイルの種類を操作するときに、認証方法として オプション 2: モダン認証 を使用したセットアップ アシスタントを使用します。
オプション 2: 先進認証を使用したセットアップ アシスタント
このオプションは Intune ポータル サイト認証と同じセキュリティを提供しますが、ポータル サイトがインストールされていない場合でもデバイス ユーザーがデバイスの一部にアクセスできるため、異なります。 次の操作を行う場合は、認証にこのオプションを使用します。
- デバイスをワイプします。
- 多要素認証 (MFA) を使用します。
- 初めてサインインするときにユーザーにパスワードの変更を求める。
- 登録時に有効期限が切れたパスワードのリセットをユーザーに求める。
- Microsoft Entra ID にデバイスを登録し、条件付きアクセスなどの Microsoft Entra ID で使用できる機能を使用します。
- 登録時にポータル サイト アプリを自動的にインストールします。 会社で Volume Purchase Program (VPP) を使用している場合は、ユーザーの Apple ID なしで、登録時にポータル サイト アプリを自動的にインストールできます。
- ポータル サイト アプリがインストールされていない場合でも、ユーザーがデバイスを使用できるようにします。
最新の認証を使用したセットアップ アシスタントは、iOS/iPadOS 13.0 以降を実行しているデバイスでサポートされています。 この種類のプロファイルが割り当てられている古い iOS/iPadOS デバイスは、 セットアップ アシスタント (レガシ) 認証にフォールバックします。
ポータル サイト アプリを自動的にインストールする
会社で Volume Purchase Program (VPP) を使用している場合は、ユーザーの Apple ID なしで、登録時にポータル サイト アプリを自動的にインストールできます。 登録プロファイルで自動インストールを有効にするには、[VPP を使用したポータル サイトのインストール] で [はい] を選択します。 このオプションを使用することをお勧めします。
VPP オプションを使用しない場合、デバイス ユーザーはセットアップ アシスタント中、または Intune がポータル サイトのインストールを試みるときに、Apple ID を入力する必要があります。
どちらのシナリオでも、ポータル サイトのインストール オプションはデバイス ユーザーに表示されず、ポータル サイトはデバイスで必要なアプリになります。 ユーザーがホーム画面に到達すると、Intune によってデバイスに正しいアプリ構成ポリシーが自動的に適用されます。
注意
先進認証を使用して設定アシスタントに登録した後、iOS/iPadOS デバイスのポータル サイトに別のアプリ構成ポリシーを送信しないでください。 そうすると、エラーが発生します。
多要素認証
多要素認証 (MFA) は、登録時またはポータル サイトのサインイン時 に適用される条件付きアクセス ポリシー の場合に必要になります。 ただし、MFA は、対象となる条件付きアクセス ポリシーの Microsoft Entra 設定に基づいて省略可能です。
外部認証方法は Microsoft Entra ID でサポートされています。つまり、デバイス登録中に MFA を容易にするために、優先 MFA ソリューションを使用できます。 サードパーティの MFA プロバイダーを使用する場合は、登録プロファイルをすべてのデバイスに展開する前に、テスト実行を行って、登録中に Microsoft Entra MFA 画面と MFA の両方が機能することを確認します。 外部認証方法の詳細とサポートの詳細については、「 パブリック プレビュー: Microsoft Entra ID の外部認証方法」を参照してください。
ポータル サイトのアクションが必要
セットアップ アシスタント画面が表示された後、デバイス ユーザーはホーム ページに移動します。 この時点で、ユーザー アフィニティが確立されます。 ただし、ユーザーが Microsoft Entra 資格情報を使用してポータル サイトにサインインし、[ 開始] を選択するまで、デバイスは次のようになります。
- Microsoft Entra ID に完全には登録されません。
- Microsoft Entra ID のユーザーのデバイス一覧には表示されません。
- 条件付きアクセスによって保護されているリソースにアクセスすることはできません。
- デバイスのコンプライアンスに対して評価されません。
- ユーザーが条件付きアクセスによって保護されているマネージド アプリケーションを開こうとすると、他のアプリからポータル サイトにリダイレクトされます。
オプション 3: 先進認証を使用したセットアップ アシスタントの Just In Time Registration
このオプションは、先進認証を使用したセットアップ アシスタントと同じですが、Microsoft Entra の登録またはコンプライアンスにポータル サイトは必要ありません。 代わりに、Microsoft Entra の登録とコンプライアンスチェックは、Apple シングル サインオン (SSO) アプリ拡張機能で構成されている指定された Microsoft または Microsoft 以外のアプリに完全に統合されます。 この拡張機能は、認証プロンプトを減らし、デバイス全体で SSO を確立します。 JIT 登録では、次の 2 回の認証をユーザーに求めます。
- 1 つの認証では、登録とユーザーとデバイスのアフィニティが処理され、デバイス ユーザーがデバイスをオンにしてセットアップ アシスタントにサインインしたときに発生します。
- 別の認証は Microsoft Entra 登録を処理し、ユーザーが指定されたアプリにサインインしたときに発生します。 コンプライアンスチェックは、このアプリでも行われます。
注:
組織で Microsoft Defender for Endpoint を使用している場合は、JIT 登録とコンプライアンスの修復を想定どおりに機能させるには、Microsoft Defender for Endpoint アプリが最初に開 くアプリではないこと を確認します。
デバイス ユーザーは、ホーム画面に到達したら、SSO 拡張機能で構成されている職場または学校アプリにサインインして、Microsoft Entra の登録とコンプライアンスチェックを完了できます。 SSO は、SSO 拡張機能ポリシーの一部であるすべてのアプリにユーザーをサインインさせます。 その時点で、SSO 拡張機能を使用するように構成されていないアプリに手動でサインインすることもできます。
自動デバイス登録を使用して JIT 登録を設定するには:
デバイス構成ポリシーを作成し、[ シングル サインオン アプリ拡張機能 ] カテゴリの設定を構成します。 手順については、「 ジャストインタイム登録を設定する」を参照してください。
Apple 登録プロファイルを作成 し、認証方法として [先進認証を使用したセットアップ アシスタント ] を選択します。 この手順を完了するには、Apple Business Manager または Apple School Manager からのアクティブな自動デバイス登録トークンが Intune に存在する必要があります。
登録プロファイルの [割り当て] ページにアクセスしたら、Apple Business Manager と Apple School Manager から同期されたデバイスにプロファイルを割り当てます。 プロファイルを割り当てると、従業員と学生はデバイスのセットアップと認証を完了できます。
注:
ポータル サイトは、Microsoft Entra の登録やコンプライアンスに必要ない場合でも、必要なアプリとしてデバイスに送信されます。 デバイス ユーザーは、ポータル サイト アプリを使用して、アプリで問題が発生した場合に ログを収集してアップロード できます。
成功した認証の例
次の一連のイベントでは、先進認証を使用したセットアップ アシスタントの JIT 登録で認証が成功した例について説明します。 組織のエクスペリエンスは、自動デバイス登録構成によって異なる場合があります。
デバイス ユーザーがデバイスをオンにします。
セットアップ アシスタントが開始されます。 デバイス ユーザーは、セットアップ アシスタントで Microsoft Entra 資格情報を使用して認証します。
条件付きアクセス ポリシーで必要な場合、デバイス ユーザーは多要素認証を完了します。
デバイスが Intune への登録を完了すると、ユーザーとデバイスのアフィニティが確立されます。
デバイス ユーザーはホーム画面に移動し、Microsoft Teamsまたは別の Office アプリを開き、自分の職場アカウントでサインインします。 デバイスがすべてのコンプライアンス要件を満たしている場合、デバイス ユーザーはすぐにメッセージと予定表にアクセスできます。
注:
Microsoft Entra の登録中に、Intune がコンプライアンス チェックを完了している間に、デバイス ユーザーに短いスピナーが表示される場合があります。 この動作は仕様です。
SSO 拡張機能は、他のすべての対象アプリとすべての Microsoft アプリでシングル サインオンを確立します。
デバイスは Microsoft Entra ID に登録され、準拠しています。 管理センターと Microsoft Entra ID でデバイスの状態を表示できます。 デバイス ユーザーは Intune ポータル サイトで状態を表示し、コンプライアンス、アプリ インベントリ、デバイス同期、ログ共有にポータル サイトを使用できます。
デバイス ユーザーが Teams を開き、自動的にサインインします。
オプション 4: セットアップ アシスタント (レガシ)
Apple 製品の一般的なすぐに使用できるエクスペリエンスをユーザーに提供する場合は、従来のセットアップ アシスタントを使用します。 このオプションは、デバイスが Intune に登録されるときに、標準の構成済み設定をインストールします。 認証には、次の場合にこのオプションを使用します。
- デバイスをワイプする場合。
- 多要素認証などの最新の認証機能は必要ありません。
- Microsoft Entra ID でデバイスを登録する必要はありません。 セットアップ アシスタント (レガシ) は、Apple .p7m トークンを使用してユーザーを認証します。
Active Directory フェデレーション サービスを使用しており、セットアップ アシスタントを使用して認証する場合は、WS-Trust 1.3 ユーザー名/混合エンドポイントが必要です。 詳細については、Windows PowerShell リファレンス ガイド の Get-AdfsEndpoint に関するページを参照してください。
次の手順
使用している認証方法がわかったら、 Apple 登録プロファイルを作成 し、メッセージが表示されたら認証方法を選択します。 この手順を完了するには、Apple Business Manager または Apple School Manager からのアクティブな自動デバイス登録トークンが Intune に存在する必要があります。