共有 iPad を設定する
iPadOS 13.4 以降に適用されます
デバイスを共有 iPad としてプロビジョニングすると、複数の従業員または学生間で共有できるように設定されます。 自動デバイス登録を使用して Intune に登録され、ユーザー アフィニティなしで登録された iPad は、共有 iPad としてプロビジョニングできます。
共有 iPad は、デバイス上に定義済みの数の ユーザー パーティション を作成します。 ユーザー パーティションを使用すると、各ユーザーのアプリ、データ、および基本設定が iPad に個別に格納されます。 許可した場合、これらのパーティションを iCloud にバックアップして、組織内の他の共有 iPad 間でシームレスに切り替えることができます。
Apple Business または School Manager で組織の Microsoft Entra インスタンスをフェデレーションすると、デバイス ユーザーは Microsoft Entra のユーザー名とパスワードを使用して Shared iPad にサインインできます。 これにより、共有 iPad に初めてサインインするときに、Microsoft Entra ユーザー名と一致するユーザーのマネージド Apple ID が自動的に作成されます。 また、共有 iPad への最初のサインイン時に、ユーザーは自分のユーザー パーティションに英数字のパスコードを設定します。そのデバイスに割り当てられるアプリは、そのユーザー パーティションにインストールされます。 ユーザーが次に Shared iPad にアクセスする場合は、マネージド Apple ID (Microsoft Entra ユーザー名と同じ) と英数字のパスコードのみを指定する必要があります。
共有 iPad を構成する
環境内で共有 iPad を設定するには、次の手順に従います。
重要
共有 iPad は、iPadOS 13.3 以降を実行している監視対象の iPad でサポートされています。 Shared iPad で有効になっている登録プロファイルが、Shared iPad をサポートしていないデバイスに送信される場合は、デバイスワイプが必要です。 共有 iPad は、iPhone、または iOS/iPadOS バージョン 13.3 以前を実行している iPad ではサポートされていません。
- Microsoft Entra インスタンスを Apple Business Manager または Apple School Manager とフェデレーションします。 詳細については、「Apple Business Manager の Federated Authentication について」を参照してください。
- 登録プロファイルを作成します。
- Microsoft Intune 管理センターにサインインします。
- [デバイス>By platform>iOS/iPadOS>Device onboarding>Enrollment に移動します。
- [ 一括登録方法] で、[ 登録プログラム トークン] を選択します。
- トークンを選択し、[プロファイル] を選択 します。
- [プロファイルの作成]>[iOS/iPadOS] の順に選択します。
- 登録プロファイルで次の設定を構成します。
- [管理設定] に移動し、[共有 iPad] を有効にします。
- [ユーザー アフィニティ] を [ユーザー アフィニティなしで登録] に設定します。
- [監視対象] を [はい] に設定します。
- [ 共有 iPad] を [はい] に設定します。
- 残りのプロファイルの構成が完了したら、[ 保存] を選択します 。
- Apple Business Manager から同期されたデバイスを割り当てます。
- 新しい登録プロファイルを選択します。
- [デバイスの割り当て>デバイスの追加] を選択します。
- ルール パラメーターに含まれるデバイスにこのプロファイルを自動的に割り当てる動的デバイス グループを作成します。
- [ グループ>新しいグループ] に移動します。
- [ メンバーシップの種類] で、[ 動的デバイス] を選択します。
- [動的クエリの追加] を選択します。
- [ プロパティ ] 列で、 enrollmentProfileName を選択します。
- [ 値 ] 列に、登録プロファイルの名前を入力します。
- 必要なすべてのアプリと構成プロファイルを動的デバイス グループに割り当てます。
- 新しいデバイスと既存のデバイスをデプロイ用に準備します。
- 新しいデバイスをオンにし、画面の指示に従って Shared iPad を設定します。
- 既存のデバイスを出荷時の設定にリセットし、画面の指示に従って Shared iPad を設定します。
共有 iPad の設定を構成する
デバイスとユーザーの両方のコンテキストに対して、デバイス構成プロファイルで共有 iPad 設定を構成できます。 一般に、以下のことが行われます。
- デバイスに適用できる設定は、共有 iPad デバイス上のアクティブなユーザーに適用されます。
- ユーザーが任意の共有 iPad デバイスでアクティブな場合、ユーザーが適用できる設定が適用されます。
次の表では、共有 iPad 設定の適用規則について説明します。
プロファイルの種類 | 設定名 | デバイス グループの割り当てでの適用可能性 | ユーザー グループの割り当てでの適用可能性 |
---|---|---|---|
デバイスの機能 | ホーム画面のレイアウト | Device | User |
デバイスの機能 | アプリの通知 | Device | User |
デバイスの機能 | シングル サインオン アプリの拡張機能 | Device | User |
デバイスの機能 | AirPrint の設定 | Device | 該当なし |
デバイスの機能 | ロック画面のメッセージ | Device | 該当なし |
デバイスの機能 | Web コンテンツ フィルター | Device | 該当なし |
デバイスの制限 | 共有 iPad の一時セッションをブロックする | Device | 該当なし |
デバイスの制限 | ソフトウェア更新プログラムを延期する | Device | 該当なし |
デバイスの制限 | 日付と時刻の自動設定を強制する | Device | 該当なし |
デバイスの制限 | 構成プロファイルを使用している Wi-Fi ネットワークのみに参加することを必須にする | Device | 該当なし |
デバイスの制限 | 自動ロックをブロックする | Device | 該当なし |
デバイスの制限 | Allow users to boot devices into recovery mode with unpaired devices (ユーザーがペアリングされていないデバイスを回復モードで起動できるようにする) | Device | 該当なし |
デバイスの制限 | ディクテーションのために Siri をブロックする | Device | 該当なし |
デバイスの制限 | デバイス制限のその他のすべての設定 | Device | User |
メール | すべての設定 | Device | User |
VPN、Wi-Fi、証明書 | すべての設定 | Device | 該当なし |
知っておくべきこと
Shared iPads のデバイス構成プロファイルを作成するときは、次の点に注意してください。
- ユーザー グループ ポリシーの割り当てを成功させるには、Microsoft Entra インスタンスを Apple Business Manager でフェデレーションする必要があります。
- デバイス構成プロファイルのすべての設定は、共有 iPad の一時セッションでデバイスに適用可能です。
- ユーザー割り当てポリシーは、ユーザーがフェデレーション Microsoft Entra 資格情報を使用してサインインするときに、共有 iPad に適用されます。 Microsoft Entra インスタンスと Apple Business Manager のフェデレーションの詳細については、 Apple Business Manager ガイド を参照してください (Apple サポート Web サイトが開きます)。
- デバイス割り当てポリシーは、管理センターからデバイス同期を開始したとき、または Intune が Intune サービスでチェックインするようにデバイスに通知した場合に、共有 iPad に適用されます。 デバイス チェックインの頻度の詳細については、「 ポリシーの更新間隔」を参照してください。
一時的なセッションを構成する
iPadOS 13.4 以降では、ユーザーはデバイスのサインイン画面で [ゲスト ] をタップして一時的なセッションを開始できます。 一時的なセッションを使用すると、ユーザーはゲストとしてデバイスにサインインでき、マネージド Apple ID またはパスワードを入力する必要はありません。 閲覧履歴を含むすべてのユーザー データは、ユーザーがセッションからサインアウトすると削除されます。 Shared iPad では、一時的なセッションが既定で許可されます。 詳細については、「 Shared iPad の概要 (Apple のドキュメントを開く)」を参照してください。
管理センターの iOS デバイス制限プロファイルで一時的なセッションを構成できます。 詳細については、「 共有 iPad - 自動デバイス登録 (監視対象)」を参照してください。
アプリを追加する
ボリューム購入 (VPP)、アプリ、カスタム アプリ、基幹業務アプリ、または Web アプリを共有 iPad デバイスに展開できます。
- 管理センターに VPP またはカスタム アプリを追加するには、Apple Business Manager または Apple School Manager にアプリを追加し、VPP トークンを Intune と同期します。 Intune の Microsoft Entra デバイス グループにデバイス ライセンスとして VPP またはカスタム アプリを割り当てます。 詳細については、「 VPP トークンの同期」を参照してください。
- 管理センターに基幹業務アプリを追加し、Microsoft Entra デバイス グループに割り当てます。 詳細については、「Microsoft Intune への iOS/iPadOS 基幹業務アプリの追加」を参照してください。
- 管理センターに Web クリップとも呼ばれる Web アプリを追加し、Microsoft Entra ユーザー グループに割り当てます。 詳細については、「Web アプリを Intune に追加する」を参照してください。
次の表は、各 iOS アプリの種類を示し、共有 iPad でサポートされる割り当ての種類を示しています。
アプリの種類 | デバイス グループの割り当てでの適用可能性 | ユーザー グループの割り当てでの適用可能性 |
---|---|---|
基幹業務アプリ | Device | 該当なし |
デバイス ライセンスのボリューム購入またはカスタム アプリ (VPP) | Device | 該当なし |
ユーザー ライセンスのボリューム購入またはカスタム アプリ (VPP) | 該当なし | 該当なし |
Web アプリケーション | 非サポート | User |
App Store アプリ | 該当なし | 該当なし |
デバイス構成プロファイルでホーム画面レイアウト設定を構成して、ホーム画面とドック上のアプリ レイアウトとフォルダーを整理します。 Microsoft Entra ユーザー グループにプロファイルを割り当てます。 詳細については、「 ホーム画面のレイアウト」を参照してください。
共有 iPad に推奨されるポリシーとアプリの割り当て
次の表では、さまざまなデプロイ シナリオと構成に関する推奨事項について説明します。 環境内で共有 iPad の展開と構成を計画する場合は、表を参照として使用します。
シナリオ | 管理者の構成 | 共有 iPad のエクスペリエンス | 例 |
---|---|---|---|
共有 iPad のすべてのユーザーが同じロールに含まれます。 Shared iPad のすべてのユーザーが一時的なセッションを使用しています。 |
共有 iPad を含む Microsoft Entra デバイス グループにすべてのアプリとプロファイルを割り当てます。 | すべてのアプリとプロファイルは、Shared iPad または Shared iPad の一時セッションでアクティブなユーザーに適用されます。 | 共有 iPad を含む Microsoft Entra デバイス グループに、Wi-Fi プロファイル、デバイス制限、VPP アプリ、ホーム画面レイアウトを割り当てます。 これらのプロファイルは、Shared iPad でサインインするすべてのユーザーに適用されます。 |
共有 iPad のユーザーのロールは異なります。 |
|
ユーザーが Shared iPad にサインインすると、デバイスを対象とするプロファイルとユーザーを対象とするプロファイルの組み合わせによって、アクティブ ユーザーのカスタマイズされたエクスペリエンスが作成されます。 共有 iPad の一時セッションには、デバイスに割り当てられたアプリとプロファイルのみが適用されます。 |
共有 iPad を含むデバイス グループに、共通の Wi-Fi プロファイルとすべての VPP アプリを割り当てます。 次に、Microsoft Entra ユーザー グループを使用して、さまざまなホーム画面レイアウトをさまざまなロールに割り当てます。 これにより、各ロールのユーザーの共有 iPad エクスペリエンスがカスタマイズされます。 |
共有 iPad 上の異なるユーザーに異なるデバイス制限を適用します。 |
|
ユーザーが Shared iPad にサインインすると、デバイスを対象とする制限とユーザーを対象とする制限の組み合わせによって、アクティブ ユーザーのカスタマイズされたエクスペリエンスが作成されます。 共有 iPad の一時セッションには、デバイス グループに割り当てられたデバイス制限のみが適用されます。 |
すべての共有 iPad ユーザーが AirDrop を使用できないようにする必要があります。 ただし、共有 iPad で Wi-Fi をオフにできるのはマネージャーだけです。 AirDrop をブロックするデバイス構成プロファイルを、共有 iPad を含むデバイス グループに割り当てます。 次に、Wi-Fi を常にオンにする必要があるデバイス構成プロファイルを、マネージャー以外の従業員を含むユーザー グループに割り当てます。 |
共有 iPad で異なるユーザーに異なるアプリを表示/非表示にします。 |
|
ユーザーが Shared iPad にサインインすると、ユーザー割り当てホーム画面レイアウトが、Microsoft Intune で構成されているアプリの表示/非表示に適用されます。 デバイスに割り当てられているすべてのアプリは、共有 iPad の一時セッションに表示されます。 |
共有 iPad を含むデバイス グループに Microsoft Outlook、Microsoft Teams、Safari を割り当てます。 次に、共有 iPad を使用するときに Teams のみを必要とするユーザーを含むユーザー グループに Teams のみを表示するホーム画面レイアウトを割り当てます。 共有 iPad を使用するときに 3 つすべてのアプリにアクセスする必要があるマネージャーを含むユーザー グループに、Outlook、Teams、Safari を表示する別のホーム画面レイアウトを割り当てます。 |
共有 iPad で不要なシステム アプリを非表示にします。 | 目的のシステム アプリとマネージド アプリを含むホーム画面レイアウトを作成します。 共有 iPad を含む Microsoft Entra デバイス グループにホーム画面レイアウトを割り当てます。 | 同じホーム画面レイアウトは、Shared iPad でサインインするすべてのユーザーと共有 iPad の一時セッションに適用されます。 | ホーム画面レイアウトを作成して、設定、App Store、Clock などの不要なシステム アプリを除外し、共有 iPad を含むデバイス グループにレイアウトを割り当てます。 |
共有 iPad の設定は 1 回だけ構成することをお勧めします。 共有 iPad の設定の複数の値を構成しないでください。 設定の複数の値が構成されている場合、適用される設定を事前に決定することはできません。 Intune で競合が検出された場合は、デバイスに割り当てられた最初の設定が適用されます。 デバイスが適用され、ユーザーが適用できる設定が Microsoft Entra デバイス グループと Microsoft Entra ユーザー グループに割り当てられている場合、設定の適用された値はオペレーティング システムによって選択されます。
既知の制限
共有 iPad の Intune には、次の制限事項があります。
- 無効な設定とシステム アプリ: 共有 iPad では、制限された数の設定とシステム アプリを使用できます。 使用できない設定とアプリの詳細については、「 Managed Apple ID で共有 iPad を使用する」を参照してください。
- App Store のインストールが無効: App Store は Shared iPad で既定で使用できますが、アプリのインストールは無効になっているため、ユーザーは App Store からアプリをインストールできません。 ユーザーとの混乱を避けるために、Intune 構成プロファイルで App Store を無効にすることをお勧めします。
- ポータル サイトと使用可能なアプリはサポートされていません:Intune ポータル サイト アプリと Intune ポータル サイト Web サイトは、Shared iPad ではサポートされていません。
- アプリの割り当て要件: 必要 に応じてデバイス グループにアプリを割り当てる必要があります。 Shared iPad では、使用可能なアプリはサポートされていません。
- 共有 iPad ではパスコードの複雑さを管理できません:共有 iPad のパスコードには 8 文字の英数字が必要で、Apple Business Manager では変更できません。 Intune デバイス構成プロファイルで使用できるパスコードの複雑さと長さの設定は、Shared iPad には適用されません。 MDM 管理者は、ユーザーがパスコードなしで iPad のロックを解除する必要がある分数を指定する猶予期間を設定できます。
- 一部のポリシーはサポートされていません:これらの Intune ポリシーは、アプリベースとデバイスベースの条件付きアクセス ポリシー、アプリ保護ポリシー、コンプライアンス ポリシーなど、Shared iPad ではサポートされていません。
- メール プロファイルはサポートされていません: 共有 iPad ではメール プロファイルはサポートされていません。 共有 iPad デバイスに電子メール プロファイルを割り当てると、エラーが発生します。
- ユーザー割り当てポリシーがレポートに表示されない: Intune は、Microsoft Entra ユーザー グループに割り当てられた共有 iPad アプリとプロファイルのレポートでデバイスの状態やユーザーの状態を報告しません。
- Microsoft Entra フェデレーション要件が適用されていません: Microsoft Entra フェデレーション要件は適用されません。 Managed Apple ID が Microsoft Entra UPN と一致し、Microsoft Entra ユーザーにユーザーが適用できるデバイス構成プロファイルが割り当てられている場合、そのプロファイルは、マネージド Apple ID を使用して共有 iPad にサインインするときにユーザーに適用されます。