Configuration Manager でオンプレミス MDM のデバイス登録を設定するSet up device enrollment for on-premises MDM in Configuration Manager

適用対象: Configuration Manager (現在のブランチ)Applies to: Configuration Manager (current branch)

オンプレミスモバイルデバイス管理 (MDM) を設定する最後の手順は、ユーザーが自分のデバイスを登録できるようにすることです。The final step to set up on-premises mobile device management (MDM) is to enable users to enroll their devices. Configuration Manager クライアント設定を使用して、オンプレミス MDM にデバイスを登録するためのアクセス許可をユーザーに付与します。Use Configuration Manager client settings to grant users permission to enroll devices in on-premises MDM.

登録プロファイルの作成Create an enrollment profile

ユーザーがモバイルデバイスを登録できるようにするために必要な設定をプッシュするには、既定のクライアント設定に新しい登録プロファイルを追加します。To push the settings required to allow users to enroll mobile devices, add a new enrollment profile to the default client settings. このプロファイルは、Configuration Manager サイト内のすべてのユーザーに適用されます。This profile then applies to all users in the Configuration Manager site.

注意

このプロセスでは、既定のクライアント設定を使用します。これは、すべてのデバイスとユーザーに自動的に適用されます。This process uses the Default Client Settings, which will automatically apply to all devices and users. または、カスタムクライアント設定を作成してから、任意のコレクションに展開することもできます。Alternatively, you can create custom client settings, and then deploy to collections of your choice. この代替方法には、少なくとも2つのカスタムクライアント設定が必要です。1つはデバイス設定用、もう1つはユーザー設定用です。This alternative method requires at least two custom client settings, one for device settings and one for user settings. 詳しくは、「クライアント設定を構成する方法」をご覧ください。For more information, see How to configure client settings.

  1. Configuration Manager コンソールで、 [管理] ワークスペースに移動して、 [クライアント設定] ノードを選択します。In the Configuration Manager console, go to the Administration workspace, and select the Client Settings node. [既定のクライアント設定] を開き、登録グループを選択します。Open Default Client Settings and select the Enrollment group.

  2. [デバイスの設定] で、最新のデバイスのポーリング間隔 (分) を指定します。Under Device Settings, specify the Polling interval for modern devices (minutes). 既定では、この間隔は60分です。By default this interval is 60 minutes.

  3. [ユーザー設定] で、ユーザーが最新のデバイスを登録できるようにするオプションを有効にします。Under User Settings, enable the option to Allow users to enroll modern devices.

  4. 最新のデバイス登録プロファイルの場合は、 [プロファイルの設定] を選択します。For the Modern device enrollment profile, select Set Profile. 登録プロファイル ウィンドウで、作成 を選択します。In the Enrollment Profile window, select Create.

  5. [登録プロファイルの作成] ウィンドウで、次の情報を指定します。In the Create Enrollment Profile window, specify the following information:

    • 登録プロファイルの一意でわかりやすい名前A unique and descriptive Name for the enrollment profile.

    • プロファイルに関する追加情報を提供するための説明です (省略可能)。An optional Description to provide additional information about the profile.

    • デバイス管理ポイントが含まれている管理サイトコードを選択します。Choose the Management site code that contains the device management point. [ OK] を選択して保存して閉じます。Select OK to save and close.

追加のクライアント設定を構成するConfigure additional client settings

登録後にデバイスを構成するための追加のクライアント設定があります。There are additional client settings to configure devices after they've enrolled. 一般的な情報については、「クライアント設定を構成する方法」を参照してください。For more general information, see How to configure client settings.

Configuration Manager は、オンプレミス MDM に対して次のクライアント設定をサポートしています。Configuration Manager supports the following client settings for on-premises MDM:

  • クライアントポリシー: これらの設定は、デバイスにクライアントポリシーをダウンロードする頻度を指定します。Client policy: These settings specify the frequency for downloading client policy to the device. また、ユーザーポリシーの設定を有効にすることもできます。You can also enable settings for user policy. 詳細については、「クライアントの設定について-クライアントポリシー」を参照してください。For more information, see About client settings - Client Policy.

  • ソフトウェアの展開: ソフトウェアの展開を評価する間隔を設定します。Software deployment: Set the interval for evaluating software deployments. 詳細については、「クライアント設定について-ソフトウェアの展開」を参照してください。For more information, see About client settings - Software Deployment.

    注意

    オンプレミス MDM の場合、ソフトウェア展開の設定は、既定のクライアント設定としてのみ使用できます。For on-premises MDM, software deployment settings can only be used as default client settings.

ユーザーの探索Discover users

ユーザーがオンプレミス MDM の登録プロファイルを使用してクライアント設定を受信するには、Active Directory でそのユーザーアカウントを探索します。For users to receive the client settings with the enrollment profile for on-premises MDM, the site discovers their user account in Active Directory. 必要とする全員が登録プロファイルを取得できるように、Active Directory ユーザーの探索を実行します。To make sure everyone that needs the enrollment profile gets it, run discovery for Active Directory users. 詳細については、「 Active Directory ユーザー探索」を参照してください。For more information, see Active Directory User Discovery.

信頼されたルート証明書をインストールするInstall the trusted root certificate

ドメインに参加しているデバイスは、サイトシステムの役割をホストするサーバーとの信頼された通信のための信頼されたルート証明書を取得します。Domain-joined devices get the trust root certificate for trusted communication with the servers hosting the site system roles. Active Directory 証明書サービスは、信頼されたルート証明書を自動的に配布します。Active Directory Certificate Services automatically distributes the trusted root certificate. ドメインに参加していないコンピューターとモバイルデバイスでは、登録を許可するために、この証明書を他の方法でインストールする必要があります。Non-domain joined computers and mobile devices need this certificate installed via other means to allow enrollment.

注意

Web サーバー証明書が公開証明機関によって発行されている場合、ほとんどのデバイスはこれらの Ca を既に信頼しています。If the web server certificates are issued by a public certificate authority, most devices already trusted these CAs. これらのパブリック Ca のいずれかを使用する設計がある場合は、この手順を実行する必要はありません。If your design includes use of one of these public CAs, you don't need to do this step.

信頼されたルート証明書をエクスポートしたら、それを登録する必要があるデバイスにインストールする必要があります。After you export the trusted root certificate, you need to install it on devices that will need it to enroll. たとえば、ドメインに参加していないデバイスは、Active Directory から自動的に取得することはできません。For example, devices that aren't joined to the domain and can't get it automatically from Active Directory. 使用するプロセスは、次の要因によって異なります。The process that you use will depend upon the following factors:

  • 特定のデバイスの種類と技術的な機能Specific device types and technical capabilities
  • OS のバージョンOS version
  • ビジネス、セキュリティ、およびユーザーエクスペリエンスの要件Your business, security, and user experience requirements

次の一覧に、信頼されたルート証明書をデバイスに配布してインストールする方法の例を示します。The following list includes some example methods to deliver and install the trusted root certificate on devices:

  • ファイル共有File share

  • 電子メールの添付ファイルEmail attachment

  • メモリ カードMemory card

  • テザリングされたデバイスTethered device

  • クラウドの記憶域 (OneDrive など)Cloud storage (such as OneDrive)

  • 近距離無線通信 (NFC) 接続Near field communication (NFC) connection

  • バーコード スキャナBarcode scanner

  • Out of Box Experience (OOBE) プロビジョニング パッケージOut of box experience (OOBE) provisioning package

Windows での信頼されたルート証明書の手動インストールManually install the trusted root certificate in Windows

  1. 登録するデバイスで、エクスプローラーで信頼されたルート証明書ファイル (.cer) を参照し、ファイルを開きます。On the device to be enrolled, browse in File Explorer to the trusted root certificate file (.cer), and Open it.

  2. 証明書 ウィンドウで、証明書のインストール を選択します。In the Certificate window, select Install Certificate.

  3. 証明書のインポートウィザードで、 [ローカルコンピューター] を選択し、 [次] へ を選択して管理者として続行します。In the Certificate Import Wizard, select Local Machine, and then select Next to continue as administrator.

  4. 証明書ストア ページで、証明書をすべて次のストアに配置する を選択し、参照 を選択します。On the Certificate Store page, select Place all certificates in the following store, and then select Browse.

  5. 証明書ストアの選択 ウィンドウで、信頼されたルート証明機関 を選択し、 OKを選択します。In the Select Certificate Store window, select Trusted Root Certification Authorities, and select OK.

  6. 完了とウィザード。Complete and wizard.

次の手順Next step