登録ガイド: Microsoft Intune 登録
Microsoft Intune は、Microsoft Entra ID と共に、内部リソースへのアクセスを必要とするデバイスを登録および登録するための安全で合理化されたプロセスを容易にします。 ユーザーとデバイスが Microsoft Entra ID ( テナントとも呼ばれます) 内に登録されたら、Intune をエンドポイント管理機能に利用できます。 デバイスのデバイス管理を有効にするプロセスは、 デバイス登録と呼ばれます。
登録中に、Intune は登録デバイスにモバイル デバイス管理 (MDM) 証明書をインストールします。 MDM 証明書は Intune サービスと通信し、Intune で次のような組織のポリシーの適用を開始できます。
- 登録できるデバイスの数または種類を制限する登録ポリシー。
- ユーザーとデバイスがルールを満たすのに役立つコンプライアンス ポリシー。
- デバイスで作業に適した機能と設定を構成する構成プロファイル。
通常、ポリシーは登録中にデプロイされます。 一部のグループは、組織内のロールに応じて、他のグループよりも厳しいポリシーを必要とする場合があります。 多くの組織では、まず、ユーザーとデバイスに必要なポリシーのベースラインを作成します。 次に、さまざまなグループとユース ケースに必要に応じて、このベースラインにを追加します。
次のプラットフォームで実行されているデバイスを登録できます。 サポートされているバージョンの一覧については、 サポートされているオペレーティング システムに関するページを参照してください。
- Android
- iOS/iPadOS
- Linux
- macOS
- Windows
登録はすべてのプラットフォームで既定で有効になっていますが、Intune 登録制限ポリシーを使用して、特定のプラットフォームの登録を制限できます。
この記事では、サポートされているデバイスシナリオと登録の前提条件について説明し、他の MDM プロバイダーの使用に関する情報を持ち、プラットフォーム固有の登録ガイダンスへのリンクを含めます。
ヒント
このガイドは生き物です。 そのため、役に立つヒントやガイダンスを追加したり、既存のものを更新してください。
サポートされているデバイスのシナリオ
Microsoft Intune により、次のモバイル デバイス管理が可能になります:
- 個人所有の電話、タブレット、PC を含む個人用デバイス。
- 組織が所有し、職場または学校で使用するために従業員や学生に配布されている電話、タブレット、PC など、会社所有のデバイス。
個人のデバイス
Bring-your-own-device (BYOD) シナリオのデバイスは、Intune に MDM 登録できます。 サポートされている登録方法を使用すると、従業員と学生は、職場または学校のタスクに個人用デバイスを使用できます。
管理者は、Microsoft Intune 管理センターにデバイス ユーザーを追加し、登録エクスペリエンスを構成し、Intune ポリシーを設定します。 Intune ポータル サイト アプリでは、デバイス ユーザーが登録を開始して完了します。
Intune に個人用デバイスを登録することが組織に適しているかどうかを判断するには、「 Intune 計画ガイド: 個人用デバイスと組織所有のデバイス」を参照してください。
注:
Intune は、 Microsoft Entra が個人所有のデバイスとして登録されているデバイスをマークします。
企業所有のデバイス。
Microsoft Intune では、 企業所有 または組織所有として分類されたデバイスに対して、より詳細な設定とポリシー が提供されます。 企業所有のデバイスで使用できるパスワード設定が増えています。 そのため、より厳格なパスワード要件を適用できます。
Microsoft Intune は、特定の条件を満たすデバイスを企業所有として自動的にマークします。 詳細については、「 会社所有のデバイスを識別する」を参照してください。
前提条件
Intune がセットアップされ、ユーザーとデバイスを登録する準備が整っている。 次のことを確認してください。
- Intune + Configuration Manager と共同管理を使用している場合でも、MDM 機関が Intune に設定されている。
- Intune のライセンスが割り当てられている。
詳細については、 Intune セットアップ展開ガイドに関するページを参照してください。
ご使用のデバイスがサポートされている。 この要件には、共同管理されているデバイス、または Microsoft Entra ハイブリッド参加済みデバイスが含まれます。
ポリシーとプロファイル マネージャーの組み込み Intune ロールのメンバーとしてサインインします。 このロールのアクセス許可の詳細については、「 Microsoft Intune の組み込みロールのアクセス許可 - ポリシーとプロファイル マネージャー」を参照してください。
Intune 試用版サブスクリプションを作成した場合、サブスクリプションを作成したアカウントはグローバル管理者です。
グローバル管理者には、登録ポリシーを作成するために必要な以上のアクセス許可があります。 このタスクを完了するには、最小限の特権ロール ( ポリシーとプロファイル マネージャー の組み込みの Intune ロール) を使用することをお勧めします。
一部の登録プラットフォームでは、 Intune 管理者 の組み込みロールのように、より特権のある Microsoft Entra ロールが必要になる場合があります。 このロールの詳細については、「 Microsoft Entra 組み込みロール - Intune 管理者」を参照してください。
異なるプラットフォームには、他の要件があります。 たとえば、iOS/iPadOS および macOS デバイスでは、Apple からの MDM プッシュ通知証明書が必要です。 その他のプラットフォーム要件がある場合は一覧表示されます。
プラットフォーム その他の要件 Android none Android エンタープライズ none iOS/iPadOS MDM プッシュ通知証明書
Apple IDLinux none macOS MDM プッシュ通知証明書 Windows none ユーザー グループとデバイス グループが登録ポリシーを受け取るよう準備する。 グループ構造を確認または作成していない場合、いくつかのガイダンスが必要な場合は、「 計画ガイド: 手順 4 - 既存のポリシーとインフラストラクチャを確認する」に進んでください。
デバイスを一括登録する場合は、デバイス登録マネージャー (DEM) アカウントを作成することを検討してください。 DEM アカウントは、最大で 1,000 台のモバイル デバイスを登録できます。 このアカウントは、デバイスをユーザーに提供する前に登録して構成するために使用します。 DEM アカウントは、Microsoft Entra ユーザー アカウントに適用される Intune アクセス許可です。 この種類のアカウントは、Apple の自動デバイス登録など、すべての登録方法と互換性がありません。
詳細については、「 DEM アカウントを使用してデバイスを登録する」を参照してください。
既存の MDM からの登録解除と出荷時の設定へのリセット
現在デバイスが別の MDM プロバイダーに登録されている場合は、既存の MDM プロバイダーからデバイスの登録を解除します。 通常は、登録を解除しても、構成した既存の機能や設定は削除されません。 ほとんどの MDM プロバイダーには、デバイスから組織固有のデータを削除するリモート アクションがあります。 Intune に登録する前に、これらのデバイスから組織固有のデータを削除することができます。 ただし、必須ではありません。
プラットフォームによっては、Intune に登録する前にファクトリ リセットが必要になる場合があります。
| プラットフォーム | 出荷時の設定へのリセットが必要 |
|---|---|
| 仕事用プロファイルがある個人所有の Android Enterprise デバイス (BYOD) | いいえ |
| 会社所有 Android Enterprise 仕事用プロファイル (COPE) | はい |
| Android Enterprise フル マネージド (COBO) | はい |
| Android Enterprise 専用デバイス (COSU) | はい |
| Android デバイス管理者 (DA) | いいえ |
| iOS/iPadOS | はい |
| Linux | いいえ |
| macOS | はい |
| Windows | いいえ |
工場出荷時のリセットを必要としないプラットフォームでは、これらのデバイスが Intune に登録されると、Intune ポリシーの受信が開始されます。 Intune で設定を構成しない場合、Intune ではその設定は変更または更新されません。 そのため、以前に構成した設定がデバイスで構成されたままになる可能性があります。
プラットフォームの登録ガイドを選択する
プラットフォームごとに登録ガイドがあります。 シナリオを選択して始めてください。
ビジュアル登録ガイドをダウンロードする
プラットフォームごとに異なる登録オプションの視覚的なガイドもあります:
PDF バージョンをダウンロードする | Visioバージョンをダウンロードする
パイロット グループ
プロファイルを割り当てるときは、小さいものから始めて、段階的なアプローチを使用します。 登録プロファイルを 1 つのパイロットまたはテスト グループに割り当てます。 最初のテストの後、パイロット グループにユーザーを追加します。 その後、登録プロファイルをその他のパイロット グループに割り当てます。
詳細と提案については、「 計画ガイド: 手順 5 - ロールアウト 計画を作成する」を参照してください。
モバイル デバイス レコードのクリーンアップ
登録されたデバイスが Microsoft Intune サービスと通信している限り、MDM 証明書は自動的に更新されます。 ワイプされたデバイス、または Microsoft Intune との長時間の同期に失敗したデバイスについては、MDM 証明書は更新されません。 Microsoft Intune は、MDM 証明書の有効期限が切れてから 180 日後に、アイドル状態のデバイスをレコードから削除します。
レポートとトラブルシューティング
次の手順
- Microsoft Intune のセットアップ
- アプリの追加、構成、保護
- コンプライアンス ポリシーの計画
- デバイス機能を構成する
- 🡺 デバイスの登録 (お客様はこちら)
プラットフォーム固有の登録ガイダンスについては、次のページを参照してください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示