Apple の Automated Device Enrollment を使用して iOS/iPadOS デバイスを自動登録する

重要

Apple では最近、Apple Device Enrollment Program (DEP) の使用から Apple Automated Device Enrollment (ADE) の使用に変更しました。 Microsoft Intune のユーザー インターフェイスには現在、その変更が反映されていません。 現在、Intune ポータルには引き続き Device Enrollment Program と表示されます。 DEP と示される場合は常に、Intune で Automated Device Enrollment が使用されるようになりました。

Apple の Automated Device Enrollment (ADE) を使用して購入した iOS/iPadOS デバイスを登録するように Intune を設定できます。 自動デバイス登録によって、多数のデバイスをそれに触れることなく登録できます。 iPhone、iPad、MacBook などのデバイスは、ユーザーに直接配布できます。 ユーザーがデバイスの電源をオンにすると、Apple 製品の一般的な out-of-box-experience が含まれるセットアップ アシスタントが構成済み設定で実行され、デバイスが管理対象として登録されます。

ADE を有効にするには、Intune ポータルと、Apple Business Manager (ABM) ポータルまたは Apple School Manager (ASM) ポータルを使用します。 いずれかの Apple ポータルで、管理するために Intune にデバイスを割り当てられるように、シリアル番号の一覧または発注書が必要になります。 Intune で ADE 登録プロファイルを作成します。 これらのプロファイルには、登録時にデバイスに適用される設定が含まれます。 ADE は、デバイス登録マネージャー アカウントと共に使用することはできません。

注意

ADE で設定されるデバイス構成は、エンド ユーザーが必ずしも削除できるわけではありません。 そのため、ADE を使用する前に、デバイスをワイプして既定 (新規) の状態に戻す必要があります。 詳細については、「展開ガイド: iOS デバイスと iPadOS デバイスを登録する」を参照してください。

登録プロセス時に同期の問題が発生する場合は、iOS/iPadOS デバイスの登録の問題のトラブルシューティングに関するページで解決方法を確認できます。

Automated Device Enrollment とポータル サイト

ADE 登録は、App Store バージョンのポータル サイト アプリと互換性がありません。 ADE デバイス上のポータル サイト アプリへのアクセス権をユーザーに付与することが可能です。 次のいずれかの理由で、このアクセスを提供することができます。

  • ユーザーが自分のデバイスで使用する企業アプリを選択できるようにするため
  • 先進認証を使用して登録プロセスを完了するため
  • デバイスが登録され、ユーザーがポータル サイトで認証される前にデバイス ポリシーを受信する段階的な登録を提供するため

登録中に先進認証を有効にするには、ADE プロファイル内で [VPP によるポータル サイトのインストール] (Volume Purchase Program) を使用して、アプリをデバイスにプッシュします。詳細については、「Apple の ADE を使用して iOS/iPadOS デバイスを自動的に登録する」を参照してください。

ポータル サイトが自動的に更新され、ADE で既に登録されているデバイスでポータル サイト アプリを提供できるようにするには、Intune を使用して、そのポータル サイト アプリをアプリケーション構成ポリシーが適用された必要な VPP アプリとして展開します。 この方法でポータル サイト アプリを展開すると、ユーザー アフィニティなしでのみ、デバイスのデバイス ステージングが有効になります。 デバイスのステージングを使用すると、デバイスは完全に登録され、ユーザー アフィニティを追加する前にデバイス ポリシーを受信します。 デバイス ステージングは、ユーザー アフィニティのあるデバイスにユーザー アフィニティのないデバイスを移行する目的でも利用できます。

特に、最新の認証を使用する認証方法セットアップ アシスタントの場合、対象となるアプリ構成の有無にかかわらず、ポータル サイト アプリをクライアント アプリとして個別に展開しないでください。 最新の認証を使用してセットアップ アシスタントに登録している ADE デバイスは、テナントを対象とする個別のポータル サイトから除外する必要があります。 割り当てられた登録プロファイルで認証方法として最新の認証を使用するセットアップ アシスタントが選択されると、ポータル サイトは必須アプリとして自動的に送信されます。

監視モードとは何か。

Apple では、iOS/iPadOS 5 において監視モードが導入されました。 監視モードの iOS/iPadOS デバイスにより、スクリーン キャプチャのブロックや App Store からのアプリのインストールのブロックなど、より多くの管理制御が提供されます。 そのため、企業が所有しているデバイスでは特に役立ちます。 Intune では、ADE の一部として監視モードのデバイスを構成できます。

監視されていない ADE デバイスのサポートは、iOS または iPadOS 11 で非推奨となりました。 iOS/iPadOS 11 以降では、ADE 構成済みデバイスを常に監視する必要があります。 ADE の is_supervised フラグは iOS/iPadOS 13.0 以降では無視されます。 バージョンが 13.0 以降のすべての iOS/iPadOS デバイスは、Automated Device Enrollment で登録されるときに自動的に監視されます。

前提条件

サポートされるボリューム

  • トークンあたりの登録プロファイルの最大数: 1,000。
  • デバイスの自動登録を使用するデバイスのプロファイルあたりの最大数: トークンあたりのデバイスの最大数と同じ (トークンあたり 20 万デバイス)。
  • Intune アカウントあたりの自動デバイス登録トークンの最大数: 2,000。
  • デバイスの自動登録を使用するデバイスのトークンあたりの最大数: トークンあたりのデバイス数は 20 万以下にすることをお勧めします。 そうしないと、同期の問題が発生するおそれがあります。 20 万を超えるデバイスがある場合は、そのデバイスを複数の ADE トークンに分割してください。
    • ABM/ASM から Intune に 1 分あたり約 3,000 のデバイスを同期します。すべてのデバイスが同期されるのに十分な時間が経過するまで待ってから、管理コンソールから手動で再同期することをお勧めします (1 分あたりの合計デバイス数 / 1 分あたり 3,000 デバイス)。

Apple 自動デバイス登録トークンを取得する

ADE で iOS または iPadOS デバイスを登録するには、Apple の ADE トークン (.p7m) ファイルが必要です。 このトークンにより、Intune は企業所有の ADE デバイスに関する情報を同期できるようになります。 また、Intune から Apple に登録プロファイルをアップロードして、デバイスをそれらのプロファイルに割り当てられるようになります。

Apple Business Manager (ABM) または Apple School Manager (ASM) のポータルを使用して、トークンを作成します。 また、管理のためにデバイスを Intune に割り当てる場合にも ABM または ASM ポータルを使用します。

注意

ABM ポータルまたは ASM ポータルを使用して、ADE を有効にすることができます。 この記事の残りの部分では ABM ポータルについて記述されていますが、手順は両方のポータルで同じです。

手順 1: Intune 公開キー証明書をダウンロードする

  1. Microsoft Endpoint Manager admin center で、[デバイス] > [iOS/iPadOS] > [iOS/iPadOS 登録] の順に選択します。

    Microsoft Endpoint Manager admin center を示すスクリーンショット。

  2. [Enrollment Program トークン] > [追加] の順に選択します。

  3. [基本] タブで、次の操作を行います。

    1. [同意する] を選択して、Microsoft がユーザーとデバイスの情報を Apple に送信できるようにします。

      [Enrollment Program トークンの追加] 画面を示すスクリーンショット。

    2. [トークンを作成するために必要な Intune 公開キー証明書をダウンロードする] を選択します。 この手順では、暗号化キー (.pem) ファイルをダウンロードしてローカルに保存します。 .pem ファイルは、Apple Business Manager ポータルから信頼関係証明書を要求するために使用されます。

      この .pem ファイルは、「手順 2: Apple Business Manager ポータルに移動する」(この記事) の Apple Business Manager でアップロードします。

    3. この Web ブラウザーのタブとページは開いたままにしておきます。 タブを閉じると次のようになります。

      • ダウンロードした証明書が無効になります。
      • 手順を繰り返す必要があります。
      • [確認と作成] タブでは、[作成] ボタンを使用できないため、この手順を完了することはできません。

手順 2: Apple Business Manager ポータルに移動する

Apple Business Manager ポータルを使用して、ADE トークンを作成および更新します (MDM サーバー)。 このトークンは Intune に追加され、Intune と Apple の間で通信を行います。

注意

次の手順では、Apple Business Manager で行う必要がある内容について説明します。 具体的な手順については、Apple のドキュメントを参照してください。 「Apple Business Manager ユーザガイド」 (Apple の Web サイト上にあります) が役に立つ場合があります。

Apple トークンをダウンロードする

  1. Apple Business Manager で、会社の Apple ID を使用してサインインします。

  2. このポータルで、次の手順を完了します。

    • 設定に、すべてのトークンが表示されます。MDM サーバーを追加し、公開キー証明書 (.pem ファイル) をアップロードします。これは、「手順 1: Intune 公開キー証明書をダウンロードする」(この記事) で Intune からダウンロードしたものです。

      サーバー名を使用して、モバイル デバイス管理 (MDM) サーバーを識別します。 Microsoft Intune サービスの名前や URL ではありません。

    • MDM サーバーを保存した後、それを選択してから、トークン (.p7m ファイル) をダウンロードします。 この .p7m トークンを「手順 4: トークンをアップロードして完了する」(この記事) で Intune にアップロードします。

デバイスを Apple トークンに割り当てる (MDM サーバー)

  1. Apple Business Manager > [デバイス] で、このトークンに割り当てるデバイスを選択します。 シリアル番号など、さまざまなデバイス プロパティで並べ替えることができます。 同時に複数のデバイスを選択することもできます。
  2. デバイス管理を編集し、先ほど追加した MDM サーバーを選択します。 この手順ではデバイスをトークンに割り当てます。

手順 3: Apple ID を保存する

  1. Web ブラウザーで、Intune の [Enrollment Program トークンの追加] ページに戻ります。 「手順 1: Intune 公開キー証明書をダウンロードする」(この記事) で示されている通り、このページを開いた状態に保つ必要があります。

  2. [Apple ID] に、ご自分の ID を入力します。 この手順で ID が保存されます。 今後はこの ID を使用できます。

    [基本] タブの [Apple ID] ボックスを示すスクリーンショット。

手順 4: トークンをアップロードして完了する

  1. [Apple トークン] で、.p7m 証明書ファイルを参照してから、[開く] を選択します。

    この .p7m トークンは、「手順 2: Apple Business Manager ポータルに移動する」でダウンロードしました。

  2. [次へ] を選択します。

  3. (オプション。) この ADE トークンに スコープ タグを適用する場合は、[スコープ タグを選択] をクリックしてから、既存のスコープ タグを選びます。 トークンに適用されたスコープ タグは、そのトークンに追加されたプロファイルと ADE 登録済みデバイスによって継承されます。 参照されているデバイスは、ABM/ASM から同期されたデバイスであり、デバイスの自動登録を通じて登録され、特定のトークン内に表示されます。

    スコープ タグの詳細については、「分散 IT にロールベースのアクセス制御 (RBAC) とスコープのタグを使用する」を参照してください。

    [次へ] を選択します。

  4. [レビューと作成] タブで、[作成] を選択します。

プッシュ証明書を使用すると、Intune では、登録されたモバイル デバイスにポリシーをプッシュすることによって、iOS および iPadOS デバイスを登録して管理することができます。 Intune は Apple と自動的に同期して、Enrollment Program アカウントにアクセスします。

Apple の登録プロファイルを作成する

これでトークンがインストールされました。ADE デバイスの登録プロファイルを作成することができます。 デバイス登録プロファイルで、デバイス グループに対して登録時に適用する設定を定義します。 ADE トークンあたり 1,000 個の登録プロファイルという制限があります。

注意

VPP トークンに十分なポータル サイト ライセンスがない場合、またはトークンの有効期限が切れている場合は、デバイスがブロックされます。 トークンの有効期限が近づいている場合、またはライセンスが不足している場合は、Intune でアラートが表示されます。

  1. Microsoft Endpoint Manager admin center で、[デバイス] > [iOS/iPadOS] > [iOS/iPadOS 登録] > [Enrollment Program トークン] の順に選択します。
  2. トークンを選んでから、[プロファイル] を選択します。
  3. [プロファイルの作成] > [iOS/iPadOS] の順に選択します。
  4. [基本] では、管理用にプロファイルに [名前][説明] を指定します。 ユーザーには、これらの詳細は表示されません。
  5. [次へ] を選択します。

重要

既存の登録プロファイル設定に変更を加えた場合、デバイスが出荷時の設定にリセットされて再アクティブ化されるまで、新しい変更は割り当てられたデバイスに対して有効になりません。 再アクティブ化は、リモート管理ペイロードが ADE デバイスで受信されたときに発生します。 出荷時の設定にリセットする必要がない変更は、デバイス名テンプレートの名前を変更することだけです。

  1. [ユーザー アフィニティ] 一覧で、このプロファイルに対応するデバイスを割り当て済みユーザーとともに登録する必要があるかどうかを決定するオプションを選択します。

    • ユーザー アフィニティとともに登録します。このオプションを選択して、ユーザーに属しているデバイスであって、かつアプリのインストールなどのサービスにポータル サイトを使用する必要があるデバイスの場合に選択します。

    • [ユーザー アフィニティなしで登録する]。 1 人のユーザーに関連付けられていないデバイスに対して、このオプションを選択します。 ローカルのユーザー データにアクセスしないデバイスには、このオプションを使用します。 このオプションは、通常、キオスク、販売時点管理 (POS)、または共有ユーティリティのデバイスに使用されます。

      場合によっては、ユーザー アフィニティなしで登録されたデバイスのプライマリ ユーザーを関連付ける必要があります。 このタスクを実行するには、マネージド デバイスのアプリ構成ポリシーで Intune ポータル サイト アプリに IntuneUDAUserlessDevice キーを送信します。 Intune ポータル サイト アプリに初めてサインインしたユーザーが、プライマリ ユーザーとして設定されます。 最初のユーザーがサインアウトし、2 番目のユーザーがサインインした場合、最初のユーザーは引き続きデバイスのプライマリ ユーザーになります。 詳細については、iOS および iPadOS の ADE デバイスをサポートするためのポータル サイト アプリの構成に関するページを参照してください。

  2. [ユーザー アフィニティ] フィールドで [ユーザー アフィニティとともに登録する] を選択した場合は、ユーザーの認証時に使用する認証方法を選択できるようになりました。認証方法 の場合は、次のいずれかのオプションを選択します。

    認証方法のオプションのスクリーンショット。

    • ポータル サイト: 次の場合にポータル サイト アプリで認証します。

      • 多要素認証を使用する。
      • 初めてサインインするときにユーザーにパスワードの変更を求める。
      • 登録時に有効期限が切れたパスワードのリセットをユーザーに求める。

      Apple セットアップ アシスタントを使用して認証する場合、これらの機能はサポートされません。

    • セットアップ アシスタント (レガシ): Apple 製品の代表的なすぐに利用できるエクスペリエンスをユーザーが体験できるようにする場合は、レガシのセットアップ アシスタントを使用します。 これにより、デバイスが Intune 管理に登録されるときに、標準の構成済み設定がインストールされます。 Active Directory フェデレーション サービスを使用しており、セットアップ アシスタントを使用して認証する場合は、WS-Trust 1.3 ユーザー名/混合エンドポイントが必要です。 詳細情報 を参照してください。

    • [先進認証を備えた設定アシスタント]: iOS および iPadOS 13.0 以降を実行しているデバイスでは、この方法を使用できます。このプロファイル内の古い iOS および iPadOS デバイスは、設定アシスタント (レガシ) プロセスを使用するようにフォール バックされます。

      注意

      現在、サード パーティの MFA プロバイダーを使用して登録時に MFA 画面を表示している場合、モダン認証を使用する設定アシスタントでは MFA が機能しません。 登録中は、Azure AD MFA 画面のみが機能します。 MFA のカスタム コントロールに関する最新のサポート更新プログラムについては、カスタム コントロールの今後の変更を参照してください。

      この方法はポータル サイト認証と同じセキュリティを提供しますが、ポータル サイトがインストールされるまで使用できないデバイスがエンド ユーザーの手元に残るという問題を回避します。

      次のどちらの場合にも、ユーザーの操作なしでポータル サイトがインストールされます (ユーザーに [ポータル サイトのインストール] オプションは表示されません)。

      • 下の [VPP によるポータル サイトのインストール] オプションを使用している場合 (推奨)。
      • エンド ユーザーが設定アシスタントの間に Apple ID アカウントを設定した場合。

      どちらの場合も、ポータル サイトはデバイス上で必要なアプリになります。 また、エンド ユーザーがホーム画面にアクセスすると、正しいアプリ構成ポリシーがデバイスに自動的に適用されます。

      先進認証を使用して設定アシスタントに登録した後、iOS/iPadOS デバイスのポータル サイトに別のアプリ構成ポリシーを送信しないでください。これを行うことにより、エラーが発生します。

      VPP オプションが使用されていない場合、ユーザーはポータル サイトをインストールするために Apple ID を指定する必要があります (設定アシスタントの間、または Intune によってポータル サイトのインストールが試みられたとき)。

      多要素認証 (MFA) を必要とする条件付きアクセス ポリシーが登録時またはポータル サイトへのサインイン中に適用される場合は、MFA が必要です。 ただし、ターゲットの条件付きアクセス ポリシーでの AAD 設定に基づいて、MFA は省略可能です。

      設定アシスタントのすべての画面を完了すると、エンド ユーザーはホームページに移動します (その時点でユーザー アフィニティが確立されます)。 ただし、ユーザーが Azure AD の資格情報を使用してポータル サイトにサインインし、"会社" アクセスのセットアップ画面で [開始] をタップするまで、デバイスは次の状態です。

      • Azure AD に完全には登録されていません。
      • Azure AD ポータルのユーザーのデバイス一覧に表示されません。
      • 条件付きアクセスによって保護されているリソースにアクセスすることはできません。
      • デバイスのコンプライアンスに対して評価されません。
      • ユーザーが条件付きアクセスによって保護されているマネージド アプリケーションを開こうとすると、他のアプリからポータル サイトにリダイレクトされます。
  3. 認証方法に [セットアップ アシスタント (レガシ)] を選択していても、条件付きアクセスを利用するか、デバイス上に会社のアプリを展開する場合、Azure AD の登録を完了するにはデバイス上にポータル サイトをインストールしてサインインする必要があります。 これを行うには、[ポータル サイトのインストール][はい] を選択します。 App Store への認証を行わずにユーザーがポータル サイトを受信できるようにする場合は、[VPP によるポータル サイトのインストール] で VPP トークンを選択します。 トークンの期限が切れていないことと、ポータル サイト アプリを適切に展開できるだけの十分なデバイス ライセンスを保持していることをご確認ください。

  4. [VPP によるポータル サイトのインストール] にトークンを選択した場合、セットアップ アシスタントの完了直後にシングル アプリ モードでデバイスをロックできます (具体的には、ポータル サイト アプリ)。 [Run Company Portal in Single App Mode until authentication](認証されるまでシングル アプリ モードでポータル サイトを実行する)[はい] を選択すると、このオプションが設定されます。 デバイスを使用するには、ユーザーは最初にポータル サイトでサインインして認証する必要があります。

    注意

    シングル アプリ モードでロックされている単一のデバイス上では、多要素認証はサポートされていません。 そのデバイスでは別のアプリに切り替えて認証の 2 番目の要素を完了することができないため、この制限が設けられています。 シングル アプリ モードのデバイス上で多要素認証を使用する場合は、2 番目の要素が別のデバイス上にある必要があります。

    この機能は iOS/iPadOS 11.3.1 以降でのみサポートされます。

    シングル アプリ モードでのポータル サイトの実行オプションを示すスクリーンショット。

  5. このプロファイルを使用しているデバイスを監視対象にする場合は、[監視] 一覧で [はい] を選択します。

    [監視] オプションを示すスクリーンショット。

    [監視下] デバイスでは、より多くの管理オプションを使用できるようになり、既定で [アクティベーション ロック] は無効になります。 Microsoft では、特に多数の iOS/iPadOS デバイスを展開する場合に、監視モードを有効にするメカニズムとして ADE を使用することをお勧めしています。 Apple Shared iPad for Business デバイスを監視する必要があります。

    デバイスが監視対象であることは次の 2 つの方法でユーザーに通知されます。

    • ロック画面に "この iPhone は 会社名 によって管理されています" という内容のメッセージが表示されます。
    • [設定] > [全般] > [情報] 画面に、"この iPhone は監視対象です。会社名 はインターネット トラフィックを監視し、このデバイスを見つけることができます" という内容のメッセージが表示されます。

    注意

    デバイスが監視なしで登録されており、それを監視対象に設定する場合は、Apple Configurator を使用する必要があります。 この方法でデバイスをリセットするには、USB ケーブルで Mac に接続する必要があります。 詳細については、Apple Configurator のヘルプに関するページを参照してください。

  6. [ロックされた登録] 一覧で、[はい] または [いいえ] を選択します。 [ロックされた登録] を選択すると、[設定] メニューから管理プロファイルを削除する操作を許可する iOS/iPadOS 設定が無効になります。 デバイスの登録後は、デバイスをワイプしないと、この設定を変更できません。 このオプションを使用するには、デバイスの [監視] 管理オプションが [はい] に設定されている必要があります。

    注意

    デバイスがロックされた登録で登録されている場合、ユーザーはポータル サイト アプリで [デバイスの削除][出荷時の設定にリセット] を使用できなくなります。 このオプションは、ユーザーが使用できなくなります。 また、ユーザーはポータル サイト Web サイトでデバイスを削除できなくなります。

    BYOD デバイスが Apple ADE デバイスに変換され、ロックされた登録が有効になっているプロファイルに登録された場合、ユーザーは 30 日間 [デバイスの削除][出荷時の設定にリセット] を使用できます。 30 日後、このオプションは無効または使用不可になります。 詳細については、「デバイスを手動で準備する」を参照してください。

  7. 前の手順で [ユーザー アフィニティなしで登録する][監視] を選択した場合、デバイスを Apple Shared iPad for Business デバイスに構成するかどうかを決定する必要があります。 [共有 iPad][はい] を選択すると、複数のユーザーが単一デバイスにサインインできるようになります。 ユーザーは、Managed Apple ID とフェデレーション認証アカウントを使用して、または一時的なセッション (ゲスト アカウントなど) を使用して認証されます。 このオプションを選択するには、iOS/iPadOS 13.4 以降が必要です。 Shared iPad では、アクティベーション後、すべてのセットアップ アシスタント ウィンドウが自動的にスキップされます。

    注意

    • 共有 iPad が有効になっている iOS/iPadOS の登録プロファイルが、サポートされていないデバイスに送信された場合は、デバイスのワイプが必要になります。 サポートされていないデバイスには、すべての iPhone モデルと、iPadOS/iOS 13.3 以前が実行されている iPad が含まれます。 サポートされているデバイスには、iPadOS 13.3 以降が実行されている iPad が含まれます。
    • Apple Shared iPad for Business を設定する場合は、これらの設定を構成します。
      • [ユーザー アフィニティ] 一覧で、[ユーザー アフィニティなしで登録する] を選択します。
      • [監視] 一覧で、[はい] を選択します。
      • [共有 iPad] 一覧で、[はい] を選択します。

    Apple Shared iPad for Business デバイスを設定する場合は、以下も構成します。

    • キャッシュされた最大ユーザー数: 共有 iPad を使用すると予想されるユーザー数を入力します。 32 GB または 64 GB のデバイスで最大 24 ユーザーをキャッシュできます。 小さい数を選ぶと、ユーザーのデータがサインイン後にデバイスに表示されるまで時間がかかることがあります。 大きい数を選ぶと、ユーザーに十分なディスク領域が割り当てられない場合があります。

    • 画面ロック後、パスワードが必要になるまでの最大秒数: 0 から 14,400 までの秒数を入力します。 画面ロックがこの時間を超えた場合は、デバイスのロックを解除するためにデバイスのパスワードが必要になります。 iPadOS 13.0 以降を実行している共有 iPad モードのデバイスで使用できます。

    • ユーザー セッションがログアウトするまでの非アクティブ時間の最大秒数: この設定の最小許容値は 30 です。 定義された期間後にアクティビティがない場合、ユーザー セッションは終了し、ユーザーをサインアウトします。エントリを空白のままにするか、ゼロ (0) に設定すると、非アクティブのためにセッションが終了しません。 iPadOS 14.5 以降を実行している共有 iPad モードのデバイスで使用できます。

    • 共有 iPad の一時的なセッションのみを必要とする: ユーザーがゲスト バージョンのサインイン エクスペリエンスのみを表示し、ゲストとしてサインインする必要があるデバイスを構成します。管理対象の Apple ID でサインインすることはできません。iPadOS 14.5 以降を実行している共有 iPad モードのデバイスで使用できます。

      [はい] に設定すると、一時的なセッションには適用されないため、この設定は次の共有 iPad 設定をキャンセルします。

      • キャッシュされたユーザーの最大数
      • 画面ロック後にパスワードが要求されるまでの最大秒数
      • ユーザー セッションがログアウトするまでの非アクティブ時間の最大秒数
    • 一時的なセッションがログアウトするまでの非アクティブ時間の最大秒数: この設定の最小許容値は 30 です。 定義された期間後にアクティビティがない場合、一時的なセッションは終了し、ユーザーをサインアウトします。エントリを空白のままにするか、ゼロ (0) に設定すると、非アクティブのためにセッションが終了しません。 iPadOS 14.5 以降を実行している共有 iPad モードのデバイスで使用できます。

      この設定は、[共有 iPad の一時的なセッションのみを必要とする][はい] に設定されている場合に使用できます。

    注意

    • 一時セッションが有効になっている場合、セッションからサインアウトすると、ユーザーのデータはすべて削除されます。 つまり、すべての対象となるポリシーとアプリは、サインイン時にユーザーに表示され、ユーザーがサインアウトすると削除されます。
    • 共有 iPads 構成を一時的なセッションを持たなく変更するには、デバイスを完全にリセットする必要があります。更新された構成を持つ新しい登録プロファイルを iPad に送信する必要があります。
  8. [コンピューターと同期する] 一覧で、このプロファイルを使用するデバイスのオプションを選択します。 [証明書による Apple Configurator の許可] を選択した場合は、[Apple Configurator の証明書] で証明書を選ぶ必要があります。

    注意

    [コンピューターと同期する][すべて拒否] に設定した場合、iOS および iPadOS デバイス上でポートが制限されます。 このポートは課金のみに制限されます。 iTunes または Apple Configurator 2 の使用に対してブロックされます。

    [コンピューターと同期する][証明書による Apple Configurator の許可] に設定した場合は、後で使用できる証明書のローカル コピーを必ず保持するようにしてください。 アップロードされたコピーを変更することはできません。この証明書のコピーを保持することが重要です。 macOS デバイスまたは PC から iOS/iPadOS デバイスに接続する場合は、iOS/iPadOS デバイスへの接続を行うデバイスに同じ証明書をインストールする必要があります。

  9. 前の手順で [証明書による Apple Configurator の許可] を選択した場合は、インポートする Apple Configurator の証明書を選びます。

  10. デバイスに対して登録時に自動的に適用される名前付け形式と、連続する各チェックインにおける名前付け形式を指定することができます。 名前付けテンプレートを作成するには、[デバイス名のテンプレートを適用する][はい] を選択します。 次に、[デバイス名のテンプレート] ボックスに、このプロファイルを使用する名前に使うテンプレートを入力します。 デバイスの種類とシリアル番号を含むテンプレート形式を指定できます。 この機能では iPhone、iPad、および iPod Touch がサポートされます。 デバイス名テンプレート エントリの長さは、変数を含めて最長 63 文字にする必要があります。

  11. 携帯電話データ プランをアクティブ化できます。 この設定は、iOS/iPadOS 13.0 以降を実行しているデバイスに適用されます。 このオプションを構成すると、eSIM 対応の携帯電話デバイスの携帯電話データ プランをアクティブ化するコマンドが送信されます。 このコマンドを使用してデータ プランをアクティブ化するには、通信事業者がデバイスのライセンス認証を準備する必要があります。 携帯電話データ プランをアクティブにするには、[はい] をクリックし、通信事業者のライセンス認証サーバーの URL を入力します。

  12. [次へ] を選択します。

  13. [セットアップ アシスタント] タブで、次のプロファイル設定を構成します。

    部門の設定 説明
    Department アクティブ化中にユーザーが [構成について] をタップすると表示されます。
    部署の電話番号 アクティブ化中にユーザーが [ヘルプが必要ですか] ボタンをタップすると表示されます。

    ユーザーのセットアップ時に、デバイス上でセットアップ アシスタントの画面を非表示にすることを選択できます。

    • [非表示] を選択した場合、セットアップ時に画面は表示されません。 デバイスを設定した後、ユーザーは引き続き [設定] メニューに移動して機能を設定できます。
    • [表示] を選択すると、設定時に画面が表示されますが、復元後またはソフトウェアの更新後に完了する手順がある場合に限ります。 ユーザーは、何も行わずに画面をスキップできる場合があります。 後でデバイスの [設定] メニューに移動して機能を設定することができます。
    • Shared iPad では、構成に関係なく、アクティベーション後、すべてのセットアップ アシスタント ウィンドウが自動的にスキップされます。
    セットアップ アシスタントの機能 表示された場合の動作
    パスコード パスコードを入力するようユーザーに求めます。他の方法 (デバイスを 1 つのアプリに制限するキオスク モードなど) でアクセスが制御されない限り、セキュリティで保護されていないデバイスには常にパスコードが必要です。iOS/iPadOS 7.0 以降の場合。
    位置情報サービス 位置情報をユーザーに要求します。 macOS 10.11 以降と、iOS/iPadOS 7.0 以降が対象です。
    Restore [App とデータ] 画面を表示します。 この画面では、デバイスを設定するときに iCloud Backup からデータを復元または転送するオプションがユーザーに表示されます。 macOS 10.9 以降、および iOS/iPadOS 7.0 以降の場合。
    Apple ID Apple ID を使用してサインインし、iCloud を使用するオプションをユーザーに提供します。 macOS 10.9 以降、および iOS/iPadOS 7.0 以降の場合。
    使用条件 Apple の使用条件に同意するようユーザーに要求します。 macOS 10.9 以降、および iOS/iPadOS 7.0 以降の場合。
    Touch ID と Face ID デバイスに指紋または顔認証を設定するオプションをユーザーに提供します。 macOS 10.12.4 以降、および iOS/iPadOS 8.1 以降の場合。 iOS および iPadOS 14.5 以降では、デバイスのセットアップ中に、パスコードと Touch ID のセットアップ アシスタントの画面が動作しません。 バージョン 14.5 以降を使用する場合は、パスコードまたは Touch ID のセットアップ アシスタントの画面を構成しないでください。 デバイスにパスコードが必要な場合は、デバイス構成ポリシーまたはコンプライアンス ポリシーを使用してください。 ユーザーが登録し、ポリシーを受信すると、パスコードの入力が求められます。
    Apple Pay デバイスに Apple Pay を設定するオプションをユーザーに提供します。 macOS 10.12.4 以降、および iOS/iPadOS 7.0 以降の場合。
    拡大 デバイスの設定時にディスプレイを拡大するオプションをユーザーに提供します。iOS/iPadOS 8.3 以降の場合。
    Siri Siri を設定するオプションをユーザーに提供します。 macOS 10.12 以降、および iOS/iPadOS 7.0 以降の場合。
    診断データ [診断] 画面を表示します。 この画面は、診断データを Apple に送信するオプションをユーザーに提供します。 macOS 10.9 以降、および iOS/iPadOS 7.0 以降の場合。
    画面トーン 画面トーンをオンにするオプションをユーザーに提供します。 macOS 10.13.6 以降、および iOS/iPadOS 9.3.2 以降の場合。
    プライバシー [プライバシー] 画面を表示します。macOS 10.13.4 以降、および iOS/iPadOS 11.3 以降の場合。
    Android の移行 Android デバイスからデータを移行するオプションをユーザーに提供します。iOS/iPadOS 9.0 以降の場合。
    iMessage と FaceTime iMessage と FaceTime を設定するオプションをユーザーに提供します。iOS/iPadOS 9.0 以降の場合。
    オンボーディング カバー シート、マルチタスキング、コントロール センターなど、情報を提供するオンボーディング画面をユーザーに表示します。iOS/iPadOS 11.0 以降の場合。
    スクリーン タイム [スクリーン タイム] 画面を表示します。macOS 10.15 以降、および iOS/iPadOS 12.0 以降の場合。
    SIM の設定 契約プランを追加するオプションをユーザーに提供します。 iOS/iPadOS 12.0 以降の場合。
    ソフトウェア更新プログラム 必須のソフトウェア更新プログラムの画面を表示します。 iOS/iPadOS 12.0 以降の場合。
    ウォッチの移行 ウォッチ デバイスからデータを移行するオプションをユーザーに提供します。iOS/iPadOS 11.0 以降の場合。
    外観モード [スクリーン タイム] 画面を表示します。macOS 10.14 以降、および iOS/iPadOS 13.0 以降の場合。
    デバイス間の移行 古いデバイスからこのデバイスにデータを移行するオプションをユーザーに提供します。iOS/iPadOS 13.0 以降の場合。
    復元が完了しました セットアップ アシスタント中にバックアップと復元が実行された後に、[復元が完了しました] 画面がユーザーに表示されます。
    ソフトウェア更新プログラムが完了しました セットアップ アシスタント中に発生したすべてのソフトウェア更新プログラムがユーザーに表示されます。
    はじめに [はじめに] のようこそ画面がユーザーに表示されます。
  14. [次へ] を選択します。

  15. プロファイルを保存するには、[作成] を選択します。

注意

"デバイスの自動登録" デバイスを再登録する必要がある場合は、まず Intune 管理コンソールからデバイスをワイプする必要があります。再登録するには、以下の操作を行います。

  1. Intune コンソールからデバイスをワイプします。
    • または、Intune コンソールのインベントリからデバイスを削除し、設定アプリ、Apple Configurator 2、または iTunes を使用してデバイスを出荷時設定にリセットします。
  2. デバイスを再度アクティブ化し、設定アシスタントを実行して "リモート管理プロファイル" を受信します。

Azure Active Directory の動的グループ

登録の [名前] フィールドを使用して、Azure Active Directory (Azure AD) で動的グループを作成できます。 詳細については、Azure Active Directory の動的グループに関する記事をご覧ください。

プロファイル名を使用して、この登録プロファイルに対応するデバイスを割り当てるために enrollmentProfileName パラメーターを定義できます。

ユーザー アフィニティを使用する ADE デバイスで最速のポリシー配信を行う場合は、デバイスのセットアップの前に、登録ユーザーが Azure AD ユーザー グループのメンバーであることをご確認ください。

動的グループを登録プロファイルに割り当てる場合、登録後にデバイスに対してアプリケーションとポリシーを配信するときに、遅延が発生するおそれがあります。

マネージド デバイスを同期する

デバイスを管理するアクセス許可を Intune に割り当てたので、Intune と Apple を同期して、マネージド デバイスを Azure ポータルの Intune に表示できます。

  1. Microsoft Endpoint Manager admin center で、[デバイス] > [iOS/iPadOS] > [iOS/iPadOS 登録] > [Enrollment Program トークン] の順に選択します。

  2. 一覧でトークンを選んでから、[デバイス] > [同期] の順に選択します。

    iOS および iPadOS デバイスを Enrollment Program トークンに同期する方法を示すスクリーンショット。

    許容される Enrollment Program トラフィックについての Apple の規約に準拠するために、Intune では次の制限が課せられています。

    • 完全な同期は 7 日に 1 回だけ実行できます。 完全な同期中に、Intune に接続された Apple MDM サーバーに割り当てられているシリアル番号の完全な最新の一覧を Intune がフェッチします。

      重要

      デバイスが Intune から削除されても、ASM/ABM ポータルで ADE 登録トークンに割り当てられたままの場合、次回の完全同期時に Intune に再び表示されます。デバイスを Intune に再表示しない場合は、ABM/ASM ポータルで Apple MDM サーバーからデバイスの割り当てを解除します。

    • デバイスが ABM/ASM からリリースされた場合、Intune の [デバイス] ページから自動的に削除されるまでに最大 45 日かかることがあります。 必要に応じて、Intune からリリース済みのデバイスを 1 つずつ手動で削除することができます。 リリース済みのデバイスは、30 から 45 日以内に自動的に削除されるまで、Intune の ABM/ASM から削除されたとして正確に報告されます。
    • 差分同期は 12 時間ごとに自動的に実行されます。 [同期] ボタンを選択して、差分同期をトリガーすることもできます (15 分に 1 回のみ)。 すべての同期要求は、完了までに 15 分与えられます。 同期が完了するまで、[同期] ボタンは無効になっています。 この同期により、既存のデバイスの状態が更新され、Apple MDM サーバーに割り当てられている新しいデバイスがインポートされます。 差分同期が何らかの理由で失敗した場合、問題を解決するために次の同期は完全同期になります。

登録プロファイルをデバイスに割り当てる

デバイスを登録する前に、それらに Enrollment Program プロファイルを割り当てる必要があります。

注意

[Apple Serial Numbers](Apple シリアル番号) ペインでプロファイルにシリアル番号を割り当てることもできます。

  1. Microsoft Endpoint Manager admin center で、[デバイス] > [iOS/iPadOS] > [iOS/iPadOS 登録] > [Enrollment Program トークン] の順に選択します。 一覧でトークンを選びます。
  2. [デバイス] を選択します。一覧でデバイスを選んでから、[プロファイルの割り当て] を選択します。
  3. [プロファイルの割り当て] でデバイス用のプロファイルを選んでから、[割り当て] を選択します。

既定のプロファイルを割り当てる

特定のトークンに登録するすべてのデバイスに適用される既定のプロファイルを選択することができます。

  1. Microsoft Endpoint Manager admin center で、[デバイス] > [iOS/iPadOS] > [iOS/iPadOS 登録] > [Enrollment Program トークン] の順に選択します。 一覧でトークンを選びます。
  2. [既定のプロファイルの設定] を選択し、一覧からプロファイルを選んでから、[保存] を選択します。 そのプロファイルは、トークンに登録されたすべてのデバイスに適用されます。

注意

[登録制限] の下の [デバイスの種類の制限] で、iOS および iPadOS プラットフォームをブロックするように既定の [すべてのユーザー] ポリシーを設定しないようにします。 この設定は、ユーザーの構成証明に関係なく、自動登録が失敗し、デバイスが無効なプロファイルとして表示される原因となります。 会社が管理するデバイスによる登録のみを許可するには、個人所有のデバイスだけをブロックします。この場合、会社のデバイスの登録が許可されます。 Microsoft では、会社のデバイスは Device Enrollment Program 経由で登録されたデバイス、または [業務用デバイスの ID] で手動で入力されたデバイスとして定義されています。

デバイスを配布する

Apple と Intune の間の管理と同期を有効にし、ADE デバイスを登録できるようにプロファイルを割り当てました。 これで、デバイスをユーザーに配布する準備ができました。 知っておく必要があることをいくつか以下に示します。

  • ユーザー アフィニティとともに登録されたデバイスでは、各ユーザーに Intune ライセンスを割り当てる必要があります。

  • ユーザー アフィニティなしで登録されたデバイスには、通常、関連付けられているユーザーはいません。 これらのデバイスには Intune デバイス ライセンスが必要です。 ユーザー アフィニティなしで登録されたデバイスが Intune のライセンスがあるユーザーによって使用される場合、デバイスのライセンスは必要ありません。

    まとめると、デバイスにユーザーがいる場合は、そのユーザーに Intune ライセンスが割り当てられている必要があります。 デバイスに Intune のライセンスがあるユーザーがいない場合、そのデバイスには Intune デバイス ライセンスが必要です。

    Intune ライセンスの詳細については、「Microsoft Intune のライセンス」と、Intune 計画ガイドに関するページを参照してください。

  • アクティブ化されたデバイスは、ADE を使用して適切に Intune に登録する前にワイプする必要があります。 ワイプした後、もう一度アクティブ化する前に、登録プロファイルを適用できます。 既存の iPhone、iPad、iPod touch の設定に関するページを参照してください

  • ADE とユーザー アフィニティを使用して登録する場合、セットアップ中に次のエラーが発生するおそれがあります。

    The SCEP server returned an invalid response.

    15 分以内に管理画面を再度ダウンロードすることで、このエラーを解決できます。 15 分を超えている場合、このエラーを解決するには、デバイスを出荷時設定にリセットする必要があります。 このエラーは、セキュリティに適用される、SCEP 証明書での 15 分間の制限によって発生します。

エンド ユーザー エクスペリエンスについては、ADE を使用する Intune への iOS/iPadOS デバイスの登録に関するページを参照してください。

自動デバイス登録トークンを更新する

トークンの更新が必要になる場合があります。

  • 毎年、ADE トークンを更新します。 Endpoint Manager admin center に有効期限が表示されます。
  • Apple Business Manager でトークンを設定したユーザーの Apple ID パスワードが変更された場合は、Intune および Apple Business Manager で Enrollment Program トークンを更新します。
  • Apple Business Manager でトークンを設定したユーザーが組織を離れた場合は、Intune および Apple Business Manager で Enrollment Program トークンを更新します。

トークンを更新する

  1. business.apple.com に移動し、管理者またはデバイス登録マネージャーのロールを持つアカウントでサインインします。

  2. [設定] を選択します。[MDM サーバー] で、更新するトークン ファイルに関連付けられた MDM サーバーを選択します。[トークンをダウンロード] を選択します。

    Apple Business Manager で Apple トークンを更新してダウンロードする方法を示すスクリーンショット。

  3. [Download Server Token](サーバー トークンをダウンロードする) を選択します。

    注意

    プロンプトに示されているように、トークンを更新する予定がない場合は [Download Server Token](サーバー トークンをダウンロードする) を選択しないでください。 そのようにすると、Intune (またはその他の MDM ソリューション) で使用されているトークンが無効になります。 トークンを既にダウンロードしている場合は、トークンが更新されるまで必ず次の手順を続行してください。

  4. トークンをダウンロードした後、Microsoft Endpoint Manager admin center に移動します。 [デバイス] > [iOS/iPadOS] > [iOS/iPadOS 登録] > [Enrollment Program トークン] の順に選択します。 トークンを選びます。

  5. [トークンを更新する] を選択します。 元のトークンの作成に使用した Apple ID を入力します (自動的に設定されていない場合)。

    [トークンを更新する] ページを示すスクリーンショット。

  6. 新しくダウンロードしたトークンをアップロードします。

  7. [次へ] を選択して、[スコープ タグ] ページに移動します。 必要に応じて、スコープ タグを割り当てます。

  8. [トークンを更新] を選択します。トークンが更新されたことの確認が表示されます。

    確認メッセージを示すスクリーンショット。

自動デバイス登録トークンを Intune から削除する

次の場合に限り、Intune から登録プロファイル トークンを削除できます。

  • トークンに割り当てられているデバイスがない。
  • 既定のプロファイルに割り当てられているデバイスがない。
  • そのトークンに登録プロファイルがない。

登録プロファイル トークンを削除するには:

  1. Microsoft Endpoint Manager admin center で、[デバイス] > [iOS/macOS] > [iOS/macOS 登録] > [Enrollment Program トークン] の順に選択します。 トークンを選んでから、[デバイス] を選択します。
  2. トークンに割り当てられているすべてのデバイスを削除します。
  3. [デバイス] > [iOS/macOS] > [iOS/macOS 登録] > [Enrollment Program トークン] の順に移動します。 トークンを選んでから、[プロファイル] を選択します。
  4. 既定のプロファイルまたは他の登録プロファイルがある場合は、すべてを削除する必要があります。
  5. [デバイス] > [iOS/macOS] > [iOS/macOS 登録] > [Enrollment Program トークン] の順に移動します。 トークンを選んでから、[削除] を選択します。

次の手順

iOS/iPadOS のバックアップと復元のシナリオ

iOS/iPadOS 登録の概要