チュートリアル: Apple Business Manager で iOS/iPadOS デバイスの Microsoft Intune 登録を設定する
Apple Business Manager と Microsoft Intune を使用して、Apple Business Manager を通じて調達した iOS/iPadOS デバイスのデバイス登録を簡素化および自動化します。 このチュートリアルで設定する自動デバイス登録を使用すると、登録プロファイルをデバイスに無線で展開することで、ユーザーが初めてデバイスをオンにするときの安全な自動登録が可能になります。
このチュートリアルでは、次の方法について学ぶことができます。
- Apple デバイス登録トークンを取得する
- マネージド デバイスを Intune と同期する
- 登録プロファイルの作成
- 登録プロファイルをデバイスに割り当てる
このチュートリアルの最後に、デバイスを登録用に配布する準備が整います。
前提条件
- モバイル デバイス管理 (MDM) 機関を設定します。
- Apple MDM プッシュ証明書を取得します。
- Apple Business Manager から新しいデバイスまたはワイプされたデバイスを購入する。
- Apple Business Manager のデバイス管理設定に購入情報を追加します。
Intune サブスクリプションがない場合は、無料試用版アカウントにサインアップします。
手順 1: MDM サーバーを追加する
Apple Business Manager で Microsoft Intune の MDM サーバー プロファイルを作成します。 この手順でダウンロードしたトークンにより、後の手順で Microsoft Intune と Apple Business Manager の間の接続が有効になります。
Microsoft Intune 管理センターにサインインします。
[デバイス>By platform>iOS/iPadOS>Device onboarding>Enrollment に移動します。
[ 登録プログラム トークン] を選択します。
[追加] を選択します。
[ Microsoft にユーザーとデバイスの情報を Apple に送信するアクセス許可を付与することに同意する] を選択します。
[ 公開キーのダウンロード ] を選択して、サーバーの公開キー証明書 (.pem ファイル) をローカル ドライブにダウンロードします。
[ Apple Business Manager 経由でトークンを作成 する] を選択し、会社の Apple ID を使用して Apple Business Manager にサインインします。
重要
Apple Business Manager にいる間は、Microsoft Intune でブラウザー タブを閉じないでください。 後で戻ります。
TestMDMServer という MDM サーバーを追加し、Apple Business Manager でサーバー トークンをダウンロードします。 詳細と手順については、「 サードパーティの MDM サーバーへのリンク(Apple Business Manager ユーザー ガイドを開く)」を参照してください。 サーバー トークンを P7M ファイル (.p7m) としてローカルに保存します。 次に、「 手順 2: デバイスを割り当てる」に進みます。
手順 2: デバイスを割り当てる
Apple Business Manager にいる間に、デバイスを新しい MDM サーバー (TestMDMServer または任意の名前) に割り当てます。 詳細と手順については、「 Apple Business Manager でデバイスを割り当てる、再割り当てする、または割り当て解除する(Apple Business Manager ユーザー ガイドを開く)」を参照してください。 デバイスの割り当てを完了したら、 手順 3: MDM サーバー トークンのアップロードに進みます。
手順 3: MDM サーバー トークンをアップロードする
Microsoft Intune 管理センターに戻り、MDM サーバー トークンを Intune にアップロードします。 トークンをアップロードすると、Microsoft Intune は TestMDMServer に割り当てられた iOS/iPadOS デバイスを同期および登録できます。
- [Apple ID] に、トークンの作成に使用した Apple ID を入力します。
- [ Apple トークン] で、先ほど保存したサーバー トークンをアップロードします。 ファイルは P7M 形式である必要があります。
- [次へ] を選択します。
- 必要に応じて、登録トークンにスコープ タグを適用して、他の管理者がアクセスまたは変更を行うことを制限します。 スコープ タグの詳細については、「分散 IT にロールベースのアクセス制御 (RBAC) とスコープのタグを使用する」を参照してください。
- [次へ] を選択します。
- [ 確認と作成] で、[ 作成 ] を選択して Microsoft Intune と Apple Business Manager のリンクを完了します。
Microsoft Intune は Apple Business Manager と自動的に同期します。 デバイスが管理センターに表示されるまでに最大 12 時間かかることがあります。 これらのデバイスの同期を待機するか、手動で同期を開始できます。自分で同期を開始するには、管理センターの一覧からトークンを選択し、[ デバイス>Sync] を選択します。
手順 4: Apple 登録プロファイルを作成する
企業所有の iOS/iPadOS デバイスの登録プロファイルを作成します。 デバイス登録プロファイルで、デバイス グループに対して登録時に適用する設定を定義します。
管理センターでトークンを選択し、 プロファイル>プロファイルの作成>iOS/iPadOS を選択します。
[基本] ページで、[名前] に「TestProfile」、[説明] に「iOS または iPadOS デバイス用の ADE のテスト」と入力します。 ユーザーには、これらの詳細は表示されません。
[次へ] を選択します。
[管理設定] ページで、デバイスをユーザー アフィニティありで登録するか、なしで登録するかを決定します。 ユーザー アフィニティは、特定のユーザー向けのデバイス用に設計されています。 ユーザーが、アプリのインストールなどのサービスにポータル サイトを使用する場合、[ユーザー アフィニティとともに登録する] を選択します。 ユーザーがポータル サイトを必要としない場合、または多くのユーザーにデバイスをプロビジョニングする場合は、[ ユーザー アフィニティなしで登録] を選択します。
ユーザー アフィニティを使用して登録することを選択した場合は、[ユーザーが認証する必要がある場所を選択する] オプションが表示されます。 ポータル サイトまたは Apple セットアップ アシスタントのどちらを使用して認証するかを決定します。
- ポータル サイト: Multi-Factor Authentication を使用する場合、ユーザーが最初のサインイン時にパスワードを変更できるようにする、または登録中に期限切れのパスワードをリセットするようにユーザーに求める場合は、このオプションを選択します。 ポータル サイト アプリケーションをエンド ユーザーのデバイス上で自動的に更新させる場合は、Apple の Volume Purchasing Program (VPP) を使用して、そのユーザーに対してポータル サイトを必須アプリとして個別に展開します。
- セットアップ アシスタント: Apple が提供している Apple 設定アシスタントによる基本の HTTP 認証を使用する場合は、このオプションを選択します
ユーザー アフィニティを使用して登録し、ポータル サイトで認証することを選択した場合、[VPP によるポータル サイトのインストール] オプションが表示されます。 VPP トークンを使用してポータル サイトをインストールする場合、ユーザーは登録時に、App Store からポータル サイトをダウンロードするために、Apple ID とパスワードを入力する必要がありません。 [VPP によるポータル サイトのインストール] の下の [使用するトークン] を選択し、使用可能なポータル サイトの無料ライセンスがある VPP トークンを選択します。 ポータル サイトのデプロイに VPP を使用しない場合、[VPP を使用しない] を選択します。
ユーザー アフィニティを使用して登録を行い、ポータル サイトで認証を行い、VPP を使用してポータル サイトをインストールすることを選択した場合、認証までポータル サイトを単一アプリケーション モードで実行するかどうかを決定します。 この設定を使用すると、会社の登録が完了するまで、ユーザーが他のアプリにアクセスできないようにすることができます。 登録が完了するまで、ユーザーにこのフローを限定したい場合、[Run Company Portal in Single App Mode until authentication]\(認証されるまでシングル アプリ モードでポータル サイトを実行する\) の下で [はい] を選択します。
[デバイス管理の設定] で、[監視] の下の [はい] を選択します ([ユーザー アフィニティとともに登録する] を選択した場合は、自動的に [はい] に設定されます)。 監視下のデバイスでは、会社の iOS/iPadOS デバイスに対して最も多くの管理オプションを使用できます。
[ロックされた登録] で [はい] を選択して、ユーザーが企業デバイスの管理を削除できないようにします。
[コンピューターと同期する] でオプションを選択し、iOS/iPadOS デバイスでコンピューターと同期できるかどうかを決定します。
既定では、Apple はデバイスに iPad などのデバイスの種類の名前を付けます。 別の名前テンプレートを使用する場合は、[デバイス名のテンプレートを適用する] で [はい] を選択します。 デバイスに付ける名前を入力します。ここで、{{シリアル}} と {{デバイスの種類}} の文字列は、各デバイスのシリアル番号とデバイスの種類に置き換えます。 または、[デバイス名のテンプレートを適用する] の下で [いいえ] を選択します。
[次へ]を選択します。
[セットアップ アシスタント] ページで、[部署名] に「チュートリアル部門」。 この文字列は、デバイスのアクティブ化中にユーザーが [About configuration]\(構成について\) をタップすると表示される内容です。
[部署の電話番号] に電話番号を入力します。 この番号は、アクティブ化中にユーザーが [ヘルプが必要ですか] ボタンをタップすると表示されます。
デバイスのアクティブ化中に、さまざまな画面を 表示 または 非表示にすることができます 。 登録を最もスムーズに行うには、すべての画面を [非表示] に設定します。
[次へ] を選択して、[Review + Create]\(確認および作成\) ページへ移動します。 [作成] を選択します。
手順 5: 登録プロファイルを iOS/iPadOS デバイスに割り当てる
登録する前に、Enrollment Program プロファイルをデバイスに割り当てる必要があります。 これらのデバイスは、Apple から Intune に同期されて、ABM、ASM、または ADE ポータルの適切な MDM サーバー トークンに割り当てられる必要があります。
- 管理センターで、一覧からトークンを選択します。
- [ デバイス] を選択し、割り当てるデバイスを選択します。
- [ プロファイルの割り当て] を選択します。
- [プロファイルの割り当て] で、[割り当て] >デバイスのプロファイルを選択します。
注:
[登録制限] の下の [デバイスの種類の制限] で、iOS および iPadOS プラットフォームをブロックするように既定の [すべてのユーザー] ポリシーを設定しないようにします。 この設定は、ユーザーの構成証明に関係なく、自動登録が失敗し、デバイスが無効なプロファイルとして表示される原因となります。 会社が管理するデバイスによる登録のみを許可するには、個人所有のデバイスだけをブロックします。この場合、会社のデバイスの登録が許可されます。 Microsoft では、会社のデバイスは Device Enrollment Program 経由で登録されたデバイス、または [業務用デバイスの ID] で手動で入力されたデバイスとして定義されています。
手順 6: デバイスをユーザーに配布する
Apple と Intune の間の管理と同期を設定し、ADE デバイスを登録できるようにプロファイルを割り当てました。 ユーザーにデバイスを配布できるようになりました。 ユーザー アフィニティがあるデバイスでは、各ユーザーに Intune ライセンスを割り当てる必要があります。
次の手順
iOS/iPadOS デバイスの登録に使用できる他のオプションについての詳細を確認できます。