Apple Business Manager または Apple School Manager を使用して macOS デバイスを自動登録する

  • [アーティクル]

重要

Apple は、Apple Device Enrollment Program (DEP) の使用から Apple の自動デバイス登録 (ADE) に最近変更しました。 Intune では、それを反映するために Intune のユーザー インターフェイスを更新しています。 このような変更が完了するまで、Intune ポータルでは [Device Enrollment Program] が引き続き表示されます。 表示される場所では、自動デバイス登録が使用されるようになっています。

Apple の Apple Business Manager または Apple School Manager で購入した macOS デバイス用に Intune の登録を設定できます。 これらの登録方法を使用すると、デバイスに触れることなく、多数のデバイスを登録できます。 ユーザーに直接 macOS デバイスを出荷できます。 ユーザーがデバイスの電源をオンにすると、セットアップ アシスタントが構成済み設定で実行され、デバイスが Intune の管理として登録されます。

登録を設定するには、Intune ポータルと Apple ポータルの両方を使います。 登録時にデバイスに適用された設定を含む登録プロファイルを作成します。

Apple Business Manager 登録と Apple School Manager はどちらも、デバイス登録マネージャーでは動作しません。

前提条件

Apple ADE トークンの取得

ADE または Apple School Manager に macOS デバイスを登録するには、Apple のトークン (.p7m) ファイルが必要です。 このトークンにより、Intune は組織所有のデバイスに関する情報を同期できるようになります。 また、これにより、Intune で Apple に登録プロファイルをアップロードし、デバイスにそれらのプロファイルを割り当てることができるようになります。

トークンを作成するには、Apple ポータルを使用します。 また、管理のためにデバイスを Intune に割り当てる場合にも Apple ポータルを使用します。

手順 1. トークンを作成するために必要な Intune 公開キー証明書をダウンロードする

  1. Microsoft Endpoint Manager admin center で、[デバイス] > [macOS] > [macOS enrollment](macOS の登録) > [Enrollment Program トークン] > [追加] を選択します。

    Enrollment Program トークンを取得します。

  2. [同意する] を選択して、Microsoft がユーザーとデバイスの情報を Apple に送信できるようにします。

    公開キーをダウンロードするための [Apple 証明書] ワークスペースの [Enrollment Program トークン] のスクリーンショット。

  3. [公開キーをダウンロードします] を選択し、暗号化キー (.pem) ファイルをダウンロードしてローカルに保存します。 PEM ファイルは、Apple portal からの信頼関係証明書を要求するために使用されます。

手順 2. キーを使用して Apple からトークンをダウンロードする

  1. [Apple Business Manager を使用してトークンを作成する] を選択するか、[Apple School Manager を使用してトークンを作成する] を選択して、組織で使用されている Apple ポータルを開きます。
  2. 会社の Apple ID を使用してポータルにサインインします。 この Apple ID を使って、トークンを更新できます。
  3. アカウント名を選択してポータル メニューを開き、[ユーザー設定] を選択します。
  4. MDM サーバーの割り当てに移動します。
  5. MDM サーバーを追加するオプションを選択します。
  6. [MDM サーバー名] を入力します。 サーバー名の目的は、ポータルでモバイル デバイス管理 (MDM) サーバーを識別するのに役立ちます。 Microsoft Intune サーバーの実際の名前または URL である必要はありません。
  7. 公開キー ファイルをアップロードし、変更を保存します。 その後、サーバー トークンをダウンロードできます。

ベスト プラクティス

Apple Portal にいる間は、デバイス フィルターを適用し、MDM サーバーにデバイスを割り当てることもできます。

  • フィルターを適用する: MDM サーバーに割り当てる前にデバイスをフィルター処理するには、[デバイス > フィルター] に移動します。 デバイスは、次の方法でフィルター処理できます:

    • デバイス管理
    • ソース
    • 注文番号
    • デバイスのタイプ
    • 記憶領域サイズ

  • デバイス一括割り当て: すべての対象デバイスを新しい MDM サーバーに同時に割り当てることができます。

    1. [デバイス] > [すべてのデバイス] に移動するか、割り当てるデバイスを選択します。
    2. [MDM サーバーの編集] を選択します。
    3. 使用する MDM サーバーを選択します。
    4. [続行] を選択します。
    5. メッセージが表示されたら、変更を確認します。 デバイスが新しい MDM サーバーに割り当てられていることを確認する通知が表示されます。

Apple ポータルでは、アクティビティと変更が追跡されます。 [アクティビティ] を選択して、割り当ての結果を表示し、ログをダウンロードします。

手順 3. このトークンの作成に使用した Apple ID を保存する

[Microsoft エンドポイント マネージャー管理センター] に戻り、Apple ID を入力して、それを今後参照できるように記録します。

Enrollment Program トークンの作成に使った Apple ID の指定と、Enrollment Program トークンの参照のスクリーンショット。

手順 4: トークンをアップロードする

[Apple トークン] ボックスで、証明書 (.pem) ファイルを参照し、[開く] を選択して、[作成] を選択します。 このプッシュ証明書を使用して、Intune はデバイスを登録し、登録したデバイスにポリシーを適用して macOS デバイスを管理できます。 Intune は、Apple と自動的に同期して、Enrollment Program アカウントを表示します。

Apple の登録プロファイルを作成する

これでトークンがインストールされました。デバイスの登録プロファイルを作成することができます。 デバイス登録プロファイルで、デバイス グループに対して登録時に適用する設定を定義します。

  1. Microsoft Endpoint Manager admin center で、[デバイス] > [macOS] > [macOS enrollment](macOS の登録) > [Enrollment Program トークン] を選択します。

  2. トークンを選択し、[プロファイル] を選択した後、[プロファイルの作成] > [macOS] を選択します。

    プロファイルの作成のスクリーンショット。

  3. [基本] ページ上で、管理用にプロファイルの [名前][説明] を入力します。 ユーザーにはこれらの詳細は表示されません。 この [名前] フィールドを使用して、Azure Active Directory で動的グループを作成できます。 この登録プロファイルに対応するデバイスを割り当てるために enrollmentProfileName パラメーターを定義する場合はプロファイル名を使用します。 Azure Active Directory の動的グループの詳細についてはこちらを参照してください。

    プロファイル名と説明。

  4. [プラットフォーム][macOS] を選びます。

  5. [次へ] を選択して、[管理の設定] ページに移動します。

  6. [ユーザー アフィニティ] で、このプロファイルに対応するデバイスを割り当て済みユーザーとともに登録する必要があるかどうかを選択します。

    • [ユーザー アフィニティとともに登録する] - このオプションは、ユーザーに属しているデバイスであって、かつアプリのインストールなどのサービスにポータル サイトのアプリを使用する必要があるデバイスの場合に選択します。 ADFS を使用している場合、ユーザー アフィニティには WS-Trust 1.3 Username/Mixed エンドポイントが必要です。 詳細情報 を参照してください。 多要素認証 (MFA) が必要な場合は、このオプションを選択します。

    • [ユーザー アフィニティなしで登録する] - このオプションは、1 人のユーザーに関連付けられていないデバイスの場合に選択します。 ローカルのユーザー データにアクセスせずにタスクを実行するデバイスで使用します。 ポータル サイト アプリなどのアプリは動作しません。

  7. [ユーザー アフィニティ] フィールドで [ユーザー アフィニティとともに登録する] を選択した場合は、ユーザーの認証時に使用する認証方法を選択できるようになりました。認証方法 の場合は、次のいずれかのオプションを選択します。

    • セットアップ アシスタント (レガシ): Apple 製品の代表的なすぐに利用できるエクスペリエンスをユーザーが体験できるようにする場合は、レガシのセットアップ アシスタントを使用します。 これにより、デバイスが Intune 管理に登録されるときに、標準の構成済み設定がインストールされます。 Active Directory フェデレーション サービスを使用しており、セットアップ アシスタントを使用して認証する場合は、WS-Trust 1.3 ユーザー名/混合エンドポイントが必要です。 詳細情報 を参照してください。

    • [先進認証を備えた設定アシスタント]: macOS 10.15 以降を実行しているデバイスでは、この方法を使用できます (このプロファイル内の古い macOS デバイスは、設定アシスタント (レガシ) プロセスを使用するように切り替えられます)。

      多要素認証 (MFA) を必要とする条件付きアクセス ポリシーが登録時または登録時とポータル サイトへのサインイン中に適用される場合は、MFA が必要です。 ただし、ターゲットの条件付きアクセス ポリシーでの Azure AD 設定に基づいて、MFA は省略可能です。

      設定アシスタントのすべての画面を完了すると、エンド ユーザーはホームページに移動します (その時点でユーザー アフィニティが確立されます)。 ただし、ユーザーが Azure AD の資格情報を使用してポータル サイトにサインインするまで、デバイスは次のようになります。

      • Azure AD に完全には登録されていません。
      • Azure AD ポータルのユーザーのデバイス一覧に表示されません。
      • 条件付きアクセスによって保護されているリソースにアクセスすることはできません。
      • デバイスのコンプライアンスに対して評価されません。
      • ユーザーが条件付きアクセスによって保護されているマネージド アプリケーションを開こうとすると、他のアプリからポータル サイトにリダイレクトされます。

      ユーザーのデバイスで macOS ポータル サイトにアクセスする方法については、macOS のポータル サイト アプリの追加に関するページを参照してください。

  8. [ロックされた登録] の場合、このプロファイルを使用するデバイスの登録をロックする必要があるかどうかを選択します。 [はい] にすると、[システム環境設定] メニューから、または [ターミナル] を通じて管理プロファイルの削除を許可する macOS 設定が、無効になります。 デバイスの登録後は、デバイスをワイプしないと、この設定を変更することができません。

  9. [次へ] を選択して、[設定アシスタント] ページに移動します。

  10. [設定アシスタント] ページで、次のプロファイル設定を構成します。

    部門の設定 説明
    部門名 アクティブ化中にユーザーが [構成について] をタップすると表示されます。
    部署の電話番号 アクティブ化中にユーザーが [ヘルプが必要ですか] ボタンをクリックすると表示されます。

    ユーザーがデバイスを設定するときに使用するセットアップ アシスタントのさまざまな画面の表示または非表示を選択できます。

    • [非表示] を選択した場合、セットアップ時に画面は表示されません。 その場合でも、デバイスを設定した後、ユーザーは [設定] メニューから機能を設定できます。
    • [表示] を選択した場合、セットアップ時に画面が表示されます。 ユーザーは、何も行わずに画面をスキップできる場合があります。 しかし、後でデバイスの [設定] メニューから機能を設定できます。
    設定アシスタントの画面設定 [表示] を選択した場合の、セットアップ時のデバイスの動作...
    位置情報サービス 位置情報をユーザーに要求します。 macOS 10.11 以降および iOS/iPadOS 7.0 以降の場合。
    復元 [App とデータ] 画面を表示します。 この画面では、ユーザーはデバイスを設定するときに iCloud Backup からデータを復元または転送できます。 macOS 10.9 以降、および iOS/iPadOS 7.0 以降の場合。
    Apple ID Apple ID を使用してサインインし、iCloud を使用するオプションをユーザーに提供します。 macOS 10.9 以降、および iOS/iPadOS 7.0 以降の場合。
    使用条件 Apple の使用条件に同意するようユーザーに要求します。 macOS 10.9 以降、および iOS/iPadOS 7.0 以降の場合。
    Touch ID と Face ID デバイスに指紋認証を設定するオプションをユーザーに提供します。 macOS 10.12.4 以降、および iOS/iPadOS 8.1 以降の場合。
    Apple Pay デバイスに Apple Pay を設定するオプションをユーザーに提供します。 macOS 10.12.4 以降、および iOS/iPadOS 7.0 以降の場合。
    Siri Siri を設定するオプションをユーザーに提供します。 macOS 10.12 以降、および iOS/iPadOS 7.0 以降の場合。
    診断データ ユーザーに [診断] 画面を表示します。 この画面は、診断データを Apple に送信するオプションをユーザーに提供します。 macOS 10.9 以降、および iOS/iPadOS 7.0 以降の場合。
    画面トーン 画面トーンをオンにするオプションをユーザーに提供します。 macOS 10.13.6 以降、および iOS/iPadOS 9.3.2 以降の場合。
    FileVault FileVault 2 の暗号化画面をユーザーに表示します。 macOS 10.10 以降の場合。
    iCloud 診断 [iCloud 解析] 画面をユーザーに表示します。 macOS 10.12.4 以降の場合。
    登録 登録画面を表示します。 macOS 10.9 以降の場合。
    iCloud ストレージ iCloud のドキュメントとデスクトップ画面をユーザーに表示します。 macOS 10.13.4 以降の場合。
    外観モード [外観モード] 画面をユーザーに表示します。 macOS 10.14 以降、および iOS/iPadOS 13.0 以降の場合。
    スクリーン タイム [スクリーン タイム] 画面を表示します。macOS 10.15 以降、および iOS/iPadOS 12.0 以降の場合。
    プライバシー ユーザーにプライバシー画面を表示します。 macOS 10.13.4 以降、および iOS/iPadOS 11.3 以降の場合。
    アクセシビリティ [アクセシビリティ] 画面をユーザーに表示します。 この画面が非表示の場合、ユーザーは Voice Over 機能を使用できません。 Voice Over は、次のようなデバイスでサポートされます。
    - macOS 11 を実行している。
    - イーサネットを使用してインターネットに接続されている。
    - シリアル番号が Apple School Manager または Apple Business Manager に表示される。
    Apple Watch による自動ロック解除 Apple Watch を使用して Mac のロックを解除するオプションをユーザーに付与します。 macOS 12.0 以降の場合。

  11. [次へ] を選択して、[確認と作成] ページへ移動します。

  12. プロファイルを保存するには、[作成] を選択します。

マネージド デバイスを同期する

デバイスを管理するアクセス許可を Intune に割り当てたので、Intune と Apple を同期して、マネージド デバイスを Azure ポータルの Intune に表示できます。

  1. Microsoft Endpoint Manager admin center で、[デバイス] > [macOS] > [macOS enrollment](macOS の登録) > [Enrollment Program トークン] を選択します。

  2. リストでトークンを選択し、[デバイス] > [同期] の順に移動します。[Enrollment Program デバイス] ノードと [同期] リンクが選ばれているスクリーンショット

    Enrollment Program に許容されるトラフィックに関する Apple 社の規約に準拠するよう、Intune には次の制限が課せられます。

    • 完全な同期は 7 日に 1 回だけ実行できます。 完全な同期中に、Intune に接続された Apple MDM サーバーに割り当てられているシリアル番号の完全な最新の一覧を Intune がフェッチします。 Apple ポータルで Apple MDM サーバーからの割り当てを解除せずに Intune ポータルから Enrollment Program デバイスが削除されると、完全同期が実行されるまで Intune に再インポートされません。
    • デバイスが ABM/ASM からリリースされた場合、Intune の [デバイス] ページから自動的に削除されるまでに最大 45 日かかることがあります。 必要に応じて、Intune からリリース済みのデバイスを 1 つずつ手動で削除することができます。 リリース済みのデバイスは、30 から 45 日以内に自動的に削除されるまで、Intune の ABM/ASM から削除されたとして正確に報告されます。
    • 同期は 24 時間ごとに自動的に実行されます。 [同期] ボタンをクリックして同期することもできます (15 分以内に 2 回以上は同期できません)。 すべての同期要求は、完了までに 15 分与えられます。 同期が完了するまで、[同期] ボタンは無効になっています。 この同期により、既存のデバイスの状態が更新され、Apple MDM サーバーに割り当てられている新しいデバイスがインポートされます。

登録プロファイルをデバイスに割り当てる

登録する前に、Enrollment Program プロファイルをデバイスに割り当てる必要があります。

  1. Microsoft Endpoint Manager admin center で、[デバイス] > [macOS] > [macOS enrollment](macOS の登録) > [Enrollment Program トークン] を選択し、一覧からトークンを選択します。
  2. [デバイス] を選択し、リスト内でデバイスを選択し、[プロファイルの割り当て] を選択します。
  3. [プロファイルの割り当て] の下でデバイス用のプロファイルを選択し、[割り当て] を選択します。

既定のプロファイルを割り当てる

特定のトークンを使用して登録するすべてのデバイスに適用される、macOS と iOS/iPadOS の既定のプロファイルを選択することができます。

  1. Microsoft Endpoint Manager admin center で、[デバイス] > [macOS] > [macOS enrollment](macOS の登録) > [Enrollment Program トークン] を選択し、一覧からトークンを選択します。
  2. [既定のプロファイルの設定] を選択し、ドロップダウン リストでプロファイルを選択し、[保存] を選択します。 このプロファイルは、トークンに登録されたすべてのデバイスに適用されます。

デバイスを配布する

Apple と Intune の間の同期と管理を有効にし、デバイスを登録できるようにプロファイルを割り当てました。 ユーザーにデバイスを配布できるようになりました。 ユーザー アフィニティがあるデバイスでは、各ユーザーに Intune ライセンスを割り当てる必要があります。 ユーザー アフィニティがないデバイスでは、デバイスのライセンスが必要です。

ABM または ASM に登録され、Intune でプロファイルが割り当てられているデバイスは、次の場合に登録できます。

  • 新しいデバイスまたはワイプしたデバイスのセットアップ アシスタント中。
  • プロファイル コマンドを使用したセットアップ アシスタントの後。

セットアップ アシスタント中にデバイスの自動登録を使用して ABM または ASM に登録された macOS デバイスを登録する

ABM または ASM で構成されたデバイスは、セットアップ アシスタント中にリモート管理プロンプトを使用して、Intune によって管理に自動的に登録されます。

注意

デバイスがユーザー アフィニティを持つ macOS 登録プロファイルに割り当てられていた場合は、Azure AD の登録と条件付きアクセスのためにポータル サイトにサインインする必要があります。

設定アシスタントの後にデバイスの自動登録を使用して ABM/ASM に登録された macOS デバイスを登録する

macOS 10.13 以降のデバイスの場合は、次の手順に従って登録できます。

  1. Apple Business Manager または Apple School Manager のポータルで、デバイスをインポートします。
  2. Microsoft Endpoint Manager admin center で、デバイスにユーザー アフィニティがあるかどうかにかかわらず macOS 登録プロファイルが割り当てられていることを確認します。
  3. ローカルの管理者アカウントでデバイスにログインします。
  4. 登録をトリガーするには、[ホーム] ページで [ターミナル] を開き、次のコマンドを実行します: sudo profiles renew -type enrollment
  5. ローカル管理者アカウント用のデバイス パスワードを入力します。
  6. [デバイス登録] ウィンドウで、[詳細] を選択します。
  7. [システム環境設定] ウィンドウで、[プロファイル] を選択します。
  8. プロンプトに従って管理プロファイル、証明書、ポリシーを Intune からダウンロードします。 デバイスのプロファイルは、[システム環境設定] > [プロファイル] にアクセスすればいつでも表示できます。
  9. デバイスがユーザー アフィニティを持つ macOS 登録プロファイルに割り当てられていた場合は、Azure AD の登録と条件付きアクセスのためにポータル サイトにサインインする必要があります。

ADE トークンの更新

  1. business.apple.com にアクセスし、管理者またはデバイス登録マネージャーのロールを持つアカウントでサインインします。

  2. [設定] を選択し、[MDM サーバー] で更新するトークン ファイルに関連付けられた MDM サーバーを選択し、[Download Token](トークンのダウンロード) を選択します。

    [Download Token](トークンのダウンロード) のスクリーンショット。

  3. [Download Server Token](サーバー トークンをダウンロードする) を選択します。

  4. Microsoft Endpoint Manager admin center で、[デバイスの登録] > [Apple の登録] > [Enrollment Program トークン] を選択し、トークンを選択します。 Enrollment Program トークンのスクリーンショット。

  5. [トークンを更新する] を選択し、元のトークンの作成に使用した Apple ID を入力します。
    生成された新しいトークンのスクリーンショット。

  6. 新しくダウンロードしたトークンをアップロードします。

  7. [トークンを更新する] を選択します。 トークンが更新されたことの確認が表示されます。 確認のスクリーンショット。

次の手順

macOS デバイスを登録したら、それらの管理を開始できます。