登録ガイド: Microsoft Intune で macOS デバイスを登録する
個人および組織所有のデバイスは、Intune に登録できます。 macOS デバイスでは、ポータル サイト アプリまたは Apple 設定アシスタントがユーザーを認証し、登録を開始します。 登録されると、作成したポリシーを受け取ります。
macOS デバイスを登録するときは、次のオプションがあります。
この記事の内容:
- 各登録方法のポータル サイト アプリのオプションについて説明します。
- サポートされているデバイス管理シナリオの登録に関する推奨事項を提供します。
- 登録の種類ごとの管理者とユーザーのタスクの概要について説明します。
プラットフォームごとに異なる登録オプションの視覚的なガイドもあります:
PDF バージョンをダウンロードする | Visioバージョンをダウンロードする
ヒント
このガイドは生き物です。 そのため、役に立つヒントやガイダンスを追加したり、既存のものを更新してください。
開始する前に
登録のためにテナントを準備するために必要なすべての Intune 固有の前提条件と構成については、「 登録ガイド: Microsoft Intune 登録」を参照してください。
BYOD: デバイスの登録
個人用または BYOD (Bring Your Own Device) に使用します。 この登録オプションは、 ユーザーが承認した登録とも呼ばれます。
機能 | この登録オプションの使用 |
---|---|
デバイスは個人用または BYOD である。 | ✅ |
少数のデバイス、または多数のデバイス (一括登録) を登録する必要がある。 | ✅ |
新規または既存のデバイスがある。 | ✅ |
デバイスが 1 人のユーザーに関連付けられている。 | ✅ |
デバイス登録マネージャー (DEM) を使用している。 | ✅ DEM アカウントを使用する影響と制限事項に注意してください。 |
デバイスは別の MDM プロバイダーによって管理されている。 | ❌ デバイスを登録すると、MDM プロバイダーが証明書とその他のファイルをインストールします。 これらのファイルは削除する必要があります。 最も簡単な方法は、登録を解除するか、デバイスを工場出荷時の状態にリセットすることです。 出荷時の設定にリセットしない場合は、MDM プロバイダーに問い合わせてガイダンスを確認してください。 |
デバイスが組織または学校によって所有されている。 | ❌ 組織所有のデバイスには推奨されません。 組織所有のデバイスは、自動デバイス登録 (この記事内) または Apple Configurator を使用して登録する必要があります。 会社のデバイス識別子に MacBook シリアル番号を追加して、デバイスを会社用としてマークすることができます。 ただし、既定では、デバイスは個人用としてマークされます。 |
デバイスにユーザーがいない (キオスク、専用、または共有など)。 | ❌ これらのデバイスは組織によって所有されています。 ユーザーがいないデバイスは、自動デバイス登録 (この記事内) または Apple Configurator を使用して登録する必要があります。 |
デバイス登録管理タスク
このタスク一覧では概要を説明します。
ご使用のデバイスがサポートされていることを確認してください。
Apple MDM プッシュ証明書が Intune に追加され、アクティブであることを確認します。 この証明書は、macOS デバイスを登録するために必要です。 詳細については、「 Apple MDM プッシュ証明書を取得する」を参照してください。
Apple App Store、または VPP を利用した macOS デバイス用のポータル サイト アプリはありません。 ユーザーはポータル サイト アプリのインストーラー パッケージを手動でダウンロードして実行する必要があります。 組織のアカウント (
user@contoso.com
) でサインインして、登録をステップ実行します。 登録したら、登録ポリシーを承認する必要があります。承認すると、デバイスが組織の Microsoft Entra ID に追加されます。 その後、Intune でポリシーを受け取ります。
この情報は、必ずユーザーに伝えてください。
デバイス登録のエンド ユーザーのタスク
ユーザーは、次の手順を実行する必要があります。 エンド ユーザーの手順の詳細については、「 ポータル サイト アプリを使用して macOS デバイスを登録する」を参照してください。
- ポータル サイト アプリのインストーラー パッケージをダウンロードして実行します。
- ポータル サイト アプリを開き、組織のアカウント (
user@contoso.com
) を使用してサインインします。 サインインしたら、登録ポリシー (システム環境設定) を承認する必要があります。 ユーザーが承認すると、デバイスが登録され、管理対象と見なされます。 承認しない場合、それらは登録されず、ポリシーを受け取りません。
ポータル サイト アプリは、管理プロファイルのインストールを検出し、ユーザーが手動で閉じていなければ、デバイスを自動的に登録します。 ユーザーは、デバイスの登録を完了するためにアプリをもう一度開く必要があります。 デバイスの登録に依存する動的グループを使用している場合は、ユーザーがアプリに戻って登録することが重要です。 エンド ユーザーにこれらの手順を伝える計画を立てます。 条件付きアクセス (CA) ポリシーを使用している場合、CA で保護されたアプリ ユーザーがサインインしようとすると、デバイスの登録を完了するためにポータル サイトに戻るように求めるメッセージが表示されるため、アクションは必要ありません。
通常、ユーザーは自分自身を登録することを好みません。また、ポータル サイト アプリに慣れていない可能性があります。 入力する情報などについて、必ずガイダンスを提供してください。 ユーザーとのコミュニケーションに関するガイダンスについては、「計画ガイド: 手順 5 - ロールアウト 計画を作成する」を参照してください。
デバイスの自動登録 (ADE) (監視)
以前は Apple Device Enrollment Program (DEP) と呼ばれていました。 組織が所有するデバイスで使用します。 このオプションでは、Apple Business Manager (ABM) または Apple School Manager (ASM) を使用して設定を構成します。 これにより、デバイスに触れることなく、多数のデバイスを登録します。 これらのデバイスは Apple から購入され、構成済みの設定があり、ユーザーまたは学校に直接配布できます。 Intune 管理センターで登録プロファイルを作成し、このポリシーをデバイスにプッシュします。
この登録の種類の詳細については、「 MacOS デバイスを Apple Business Manager または Apple School Manager に自動的に登録する」を参照してください。
機能 | この登録オプションの使用 |
---|---|
デバイスが組織または学校によって所有されている。 | ✅ |
新しいデバイスがある。 | ✅ |
既存のデバイスがある。 | ✅ 既存のデバイスを登録するには、[ セットアップ アシスタントの後に Mac を登録 する] に移動します (別の Microsoft 記事が開きます)。 |
少数のデバイス、または多数のデバイス (一括登録) を登録する必要がある。 | ✅ |
デバイスが 1 人のユーザーに関連付けられている。 | ✅ |
デバイスにユーザーがいない (キオスクや専用デバイスなど)。 | ✅ |
デバイスは個人用または BYOD である。 | ❌ この操作はお勧めしません。 BYOD または個人のデバイスは、デバイスの登録 (この記事内) を使用して登録する必要があります。 |
デバイスは別の MDM プロバイダーによって管理されている。 | ❌ Intune で完全に管理するには、ユーザーが現在の MDM プロバイダーから登録を解除してから、Intune に登録する必要があります。 または、 デバイス登録 を使用して、デバイス上の特定のアプリを管理することもできます。 これらのデバイスは組織所有であるため、Intune に登録することをお勧めします。 |
デバイス登録マネージャー (DEM) を使用している。 | ❌ DEM アカウントはサポートされていません。 |
ADE 管理タスク
このタスク一覧では概要を説明します。 詳細については、「 MacOS デバイスを Apple Business Manager または Apple School Manager に自動的に登録する」を参照してください。
ご使用のデバイスがサポートされていることを確認してください。
Apple Business Manager (ABM) ポータルまたは Apple School Manager (ASM) ポータルにアクセスする必要があります。
Apple トークン (
.p7m
) がアクティブであることを確認します。 詳細については、 登録プログラム トークンの作成に関するページを参照してください。Apple MDM プッシュ証明書が Intune に追加され、アクティブであることを確認します。 この証明書は、macOS デバイスを登録するために必要です。 詳細については、「 Apple MDM プッシュ証明書を取得する」を参照してください。
ユーザーが自分のデバイスで認証する方法を決定します: 設定アシスタント (レガシ) または先進認証を備えた設定アシスタント。 登録ポリシーを作成する前に、この決定を行います。 先進認証を備えた設定アシスタントの使用は、先進認証と見なされます。 Microsoft では、先進認証を備えた設定アシスタントの使用をお勧めします。
組織が所有するすべての macOS デバイスでは、Intune に "セットアップ アシスタント" テキストが表示されない場合でも、 セットアップ アシスタント (レガシ) は常に自動的に使用されます。 設定アシスタント (レガシ) は、ユーザーを認証し、デバイスを登録します。
次の場合は、[設定アシスタント (レガシ)] を選択してください。
デバイスをワイプしたい。
MFA などの先進認証機能を使用する必要がない。
Microsoft Entra ID でデバイスを登録する必要はありません。 設定アシスタント (レガシ) は、Apple
.p7m
トークンを使用してユーザーを認証します。 Microsoft Entra ID にデバイスを登録しないことが許容される場合は、ポータル サイト アプリをインストールする必要はありません。 設定アシスタント (レガシ) の使用を続けてください。セットアップ アシスタントを使用する代わりにポータル サイト アプリを認証に使用する場合、またはデバイスを Microsoft Entra ID に登録する場合は、次のようにします。
- ポータル サイト アプリをデバイスにインストールするには、 ポータル サイト アプリの追加に移動します。 ポータル サイト アプリを必須のアプリとして設定します。
- デバイスが登録されたら、ポータル サイト アプリをインストールします。
- インストール後、ユーザーはポータル サイト アプリを開き、組織の Microsoft Entra アカウント (
user@contoso.com
) でサインインします。 サインインすると、認証され、ポリシーを受け取る準備が整います。
次の場合は、[先進認証を備えた設定アシスタント] を選択します。
- デバイスをワイプしたい。
- 多要素認証 (MFA) を使用する必要があります。
- ユーザーが初めてサインインするときに、期限切れのパスワードを更新するように求めるメッセージを表示したい。
- 登録時に期限切れのパスワードをリセットするようにユーザーに求めるメッセージを表示したい。
- Microsoft Entra ID にデバイスを登録する必要があります。 登録されている場合は、条件付きアクセスなど、Microsoft Entra ID で使用できる機能を使用できます。
注:
セットアップ アシスタント中に、ユーザーは組織の Microsoft Entra 資格情報 (
user@contoso.com
) を入力する必要があります。 資格情報を入力すると、登録が開始されます。 必要に応じて、ユーザーは Apple ID を入力して、Apple Pay などの Apple 固有の機能にアクセスすることもできます。設定アシスタントが完了すると、ユーザーはデバイスを使用できるようになります。 ホーム画面が表示されたら、登録が完了し、ユーザー アフィニティが確立されます。 デバイスは Microsoft Entra ID に完全に登録されておらず、Microsoft Entra ID のユーザーのデバイス リストには表示されません。
ユーザーが条件付きアクセスによって保護されたリソースにアクセスする必要がある場合、または Microsoft Entra ID に完全に登録する必要がある場合は、 ポータル サイト アプリをインストールします。 インストール後、ユーザーはポータル サイト アプリを開き、組織の Microsoft Entra アカウント (
user@contoso.com
) でサインインします。 この 2 回目のログイン中に、条件付きアクセス ポリシーが評価され、Microsoft Entra の登録が完了します。 ユーザーは、組織のリソース (LOB アプリを含む) をインストールして使用することができます。
Intune 管理センターで、Apple Configurator 登録に移動し、登録プロファイルを作成します。 [ユーザー アフィニティとともに登録する] (デバイスにユーザーを関連付ける)、または [ユーザー アフィニティなしで登録する] (ユーザーのいないデバイスまたは共有デバイス) を選択します。
ユーザー アフィニティとともに登録する: 設定アシスタントは、ユーザーを認証し、Intune にデバイスを登録します。 また、ユーザーが管理プロファイルを削除できる (ロックされた登録と呼ばれています) かどうかも選択します。
ユーザー アフィニティなしで登録する: 設定アシスタントは、ユーザーを認証し、Intune にユーザーを登録します。 また、ユーザーが管理プロファイルを削除できる (ロックされた登録と呼ばれています) かどうかも選択します。 ポータル サイト アプリは、ユーザー アフィニティなしの登録では、使用されないか、必要ではないか、サポートされません。
ADE エンド ユーザーのタスク
これらのタスクは、管理者がポータル サイト アプリをインストールするようにユーザーに指示する方法によって異なります。 通常、エンド ユーザーが登録するための手順が少ないほど、登録を希望する可能性が高くなります。
エンド ユーザーの手順の詳細については、「 ポータル サイト アプリを使用して macOS デバイスを登録する」を参照してください。
ユーザー アフィニティとともに登録する + 設定アシスタント (レガシ):
デバイスの電源をオンにすると、Apple 設定アシスタントが実行されます。 ユーザーが Apple ID (
user@iCloud.com
またはuser@gmail.com
) を入力します。設定アシスタントによって、ユーザーに情報の入力を求めるプロンプトが表示され、Intune にデバイスが登録されます。 デバイスは Microsoft Entra ID に登録されていません。
認証に設定アシスタントを使用する場合は、ここで停止します。
オプション。 (設定アシスタントではなく) 認証にポータル サイト アプリを使用する場合、ポータル サイト アプリは、構成したオプションを使用してインストールされます。
ユーザーがポータル サイト アプリを開いて、組織の資格情報 (
user@contoso.com
) を使用してサインインします。 ユーザーは、サインインすると認証され、組織のリソースにアクセスできるようになります。ポータル サイト アプリのインストールはオプションであることに注意してください。 ユーザーがポータル サイト アプリを使用して認証されるようにするには、設定アシスタントを使用するのではなく、ポータル サイト アプリを追加します。
ユーザー アフィニティとともに登録する + 先進認証を備えた設定アシスタント:
デバイスの電源をオンにすると、Apple 設定アシスタントが実行されます。 ユーザーは、Apple ID (
user@iCloud.com
またはuser@gmail.com
) と組織の Microsoft Entra 資格情報 (user@contoso.com
) を入力します。ユーザーが Microsoft Entra 資格情報を入力すると、登録が開始されます。
セットアップ アシスタントは、ユーザーに追加情報の入力を求めることができます。 完了すると、ユーザーはデバイスを使用できるようになります。 ホーム画面が表示されたら、登録が完了し、ユーザー デバイス アフィニティが確立されます。 ユーザーのデバイスにアプリとポリシーが表示されます。
インストールしたポータル サイト アプリをユーザーが開き、組織の資格情報 (
user@contoso.com
) を使用して再度サインインします。
ユーザー アフィニティなしで登録する: アクションはありません。 必ず、ユーザーがポータル サイト アプリをインストールしないようにしてください。
通常、ユーザーは自分自身を登録することを好みません。また、ポータル サイト アプリに慣れていない可能性があります。 入力する情報などについて、必ずガイダンスを提供してください。 ユーザーとのコミュニケーションに関するガイダンスについては、「計画ガイド: 手順 5 - ロールアウト 計画を作成する」を参照してください。
直接登録
ユーザー デバイス アフィニティを必要としない、組織が所有するデバイスで使用します。
これらのデバイスは組織が所有し、Apple Configurator を使用します。 キオスク スタイルのデバイスとしてのみ使用されます。 1 人のユーザーまたは特定のユーザーには関連付けられていません。 これらのデバイスは、一般に、項目のスキャン、チケットの印刷、デジタル署名の取得、インベントリの管理などに使用されます。
この登録の種類の詳細については、「 macOS デバイスに直接登録を使用する」を参照してください。
機能 | この登録オプションの使用 |
---|---|
ワイヤード接続が必要であるか、またはネットワークの問題が発生している。 | ✅ |
組織では、管理者が ABM または ASM ポータルを使用することを必要としていない、またはすべての要件を設定することを必要としていない。 | ✅ ABM または ASM ポータルを使用しないことの目的は、管理者による制御を減らすことです。 |
国/地域では、Apple Business Manager (ABM) または Apple School Manager (ASM) はサポートされていません。 | ✅ お使いの国/地域で ABS または ASM がサポートされている場合は、 自動デバイス登録 (この記事の) を使用してデバイスを登録する必要があります。 |
デバイスが組織または学校によって所有されている。 | ✅ |
新規または既存のデバイスがある。 | ✅ |
少数のデバイス、または多数のデバイス (一括登録) を登録する必要がある。 | ✅ デバイスの数が多い場合、この方法には時間がかかります。 |
デバイスが 1 人のユーザーに関連付けられている。 | ❌ この操作はお勧めしません。 ユーザー アフィニティを必要とするデバイスは、自動デバイス登録 (ADE) を使用して登録する必要があります。 |
デバイスにユーザーがいない (キオスクや専用デバイスなど)。 | ✅ |
デバイスは個人用または BYOD である。 | ❌ この操作はお勧めしません。 BYOD または個人用デバイスは 、MAM (別の Microsoft 記事を開く) または BYOD: デバイス登録 (この記事では) を使用して登録する必要があります。 |
デバイスは別の MDM プロバイダーによって管理されている。 | ❌ Intune で完全に管理するには、ユーザーが現在の MDM プロバイダーから登録を解除してから、Intune に登録する必要があります。 または、MAM を使用して、デバイス上の特定のアプリを管理することができます。 これらのデバイスは組織によって所有されているため、Intune に登録することをお勧めします。 |
デバイス登録マネージャー (DEM) を使用している。 | ❌ DEM アカウントはサポートされていません。 |
直接登録管理タスク
このタスク一覧では概要を説明します。 詳細については、「 macOS Direct Enrollment」を参照してください。
ご使用のデバイスがサポートされていることを確認してください。
Apple MDM プッシュ証明書が Intune に追加され、アクティブであることを確認します。 この証明書は、macOS デバイスを登録するために必要です。 詳細については、「 Apple MDM プッシュ証明書を取得する」を参照してください。
Intune 管理センターで、登録プロファイルを作成します。 [ユーザー アフィニティなしで登録する] (ユーザーレス デバイスまたは共有デバイス) を選択します。 ユーザーレス デバイスの場合:
- ユーザーは、ポータル サイト アプリを含め、ユーザーを必要とするアプリを使用できません。 ポータル サイト アプリは、ユーザー アフィニティなしの登録では、使用されないか、必要ではないか、サポートされません。 必ず、ユーザーがポータル サイト アプリを Apple App Store からインストールしないようにしてください。
- ユーザー アフィニティを使用した登録 は UI で使用できますが、機能しません。 このオプションを選択しないでください。 ユーザー アフィニティが必要な場合は、自動デバイス登録 (この記事内) を使用します。
登録プロファイルの準備ができたら、ポリシーをエクスポートし、ファイルを macOS デバイスにコピーします。 ファイルをダブルクリックして、登録ポリシーをインストールします。
この登録オプションとその前提条件の詳細については、「 macOS Direct Enrollment」を参照してください。
直接登録のエンド ユーザー タスク
ユーザー アフィニティなしで登録する: アクションはありません。 必ず、ユーザーがポータル サイト アプリを Apple App Store からインストールしないようにしてください。