Windows デバイスの登録をセットアップする

適用対象

  • Windows 10
  • Windows 11

この記事は、IT 管理者がそのユーザーの Windows の登録を簡略化する場合に役立ちます。 Intune が設定されたら、ユーザーは職場または学校のアカウントでサインインし、Windows デバイスを登録します。

Intune 管理者は次の方法で登録を簡略化できます。

Windows デバイスの登録を簡単にする方法は次の 2 つの要素で決まります。

  • Azure Active Directory Premium を使用していますか? Azure AD Premium は、Enterprise Mobility + Security およびその他のライセンス プランに付属します。
  • ユーザーはどのバージョンの Windows クライアントを登録しますか? Windows 11 または Windows 10 を実行しているデバイスは、職場または学校のアカウントを追加することで自動的に登録できます。 以前のバージョンを実行しているデバイスは、ポータル サイト アプリを使用して登録する必要があります。
Azure AD Premium その他の AD
Windows 10/11 自動登録 ユーザー登録
以前の Windows バージョン ユーザー登録 ユーザー登録

自動登録を利用できる組織は、Windows 構成デザイナー アプリを利用し、デバイスの一括登録を構成することもできます。

デバイス登録の前提条件

管理者がデバイスを Intune に登録して管理する前に、管理者のアカウントにライセンスが既に割り当てられている必要があります。 デバイスを登録するためのライセンス割り当てに関するページを参照してください。

ライセンス付与されていない管理者に MEM へのサインインを許可することもできます。 詳細については、「ライセンス未付与の管理者」を参照してください。

マルチ ユーザー サポート

Intune では、次の両方のデバイスで、複数のユーザーがサポートされます。

  • Windows 11 または Window s10 Creator のアップデートを実行する
  • Azure Active Directory はドメインに参加していますか

標準ユーザーが自分の Azure AD 資格情報でサインインするとき、自分のユーザー名に割り当てられているアプリとポリシーが与えられます。 デバイスのプライマリ ユーザーだけが、アプリのインストールやデバイス操作 (削除やリセットなど) のようなセルフサービス シナリオのためにポータル サイトを使用できます。 プライマリ ユーザーが割り当てられていない共有 Windows 10/11 デバイスの場合でも、ポータル サイトを使用して利用可能なアプリをインストールできます。

自動登録Windows有効にする

自動登録を使用すると、ユーザーは Intune Windowsデバイスを登録できます。 登録は、ユーザーが自分の職場アカウントを個人所有デバイスに追加するか、企業所有デバイスを Azure Active Directory に参加させることにより行います。 デバイスはバックグラウンドで登録され、Azure Active Directory に参加します。 登録されると、デバイスは Intune で管理されます。

前提条件

自動 MDM 登録の構成

  1. Azure portal にサインインし、[Azure Active Directory] > [モビリティ (MDM および MAM)] > [Microsoft Intune] を選択します。

    スクリーンショットに Azure portal の選択項目が示されています。

  2. [MDM ユーザー スコープ] を構成します。 Microsoft Intune で管理するユーザーのデバイスを指定します。 これらの Windows 10 デバイスは、Microsoft Intune の管理対象として自動的に登録されます。

    • [なし] - MDM の自動登録が無効になります

    • [Some](一部) - [グループ] を選びます。そのグループの Windows 10 デバイスを自動的に登録できます

    • [すべて] - すべてのユーザーが自分の Windows 10 デバイスを自動的に登録できます

      重要

      Windows BYOD デバイスでは、MAM ユーザー スコープと MDM ユーザー スコープ (MDM の自動登録) の両方がすべてのユーザー (またはユーザーの同じグループ) に対して有効にされている場合、MAM ユーザー スコープが優先されます。 このデバイスでは、MDM が登録されるのではなく、構成している場合は、Windows Information Protection (WIP) ポリシーが適用されます。

      MDM に対して Windows BYOD デバイスの自動登録を有効にしようとしている場合、MDM ユーザースコープを [すべて] に設定し (または [一部] で、グループを指定)、MAM ユーザー スコープを [なし] に設定します (または [一部] で、グループを指定します。ユーザーが MDM ユーザー スコープと MAM ユーザー スコープの両方から対象とされているグループのメンバーではないことを確実にします)。

      会社のデバイスでは、MDM ユーザー スコープと MAM ユーザー スコープの両方が有効にされている場合、MDM ユーザー スコープが優先されます。 デバイスは、構成された MDM に自動的に登録されます。

    注意

    MDM ユーザー スコープは、ユーザー オブジェクトを含む Azure AD グループに設定する必要があります。

    スクリーンショットでは、MDM ユーザー スコープを構成できる Azure portal が示されています。

  3. 次の URL の既定値を使用します。

    • MDM 使用条件 URL
    • MDM 探索 URL
    • MDM 準拠 URL
  4. [保存] を選択します。

既定では、サービスの 2 要素認証は有効になっていません。 ただし、デバイスを登録するときには 2 要素認証をお勧めします。 2 要素認証を有効にするには、Azure AD で 2 要素認証プロバイダーを構成し、多要素認証用にユーザー アカウントを構成します。 Azure Active Directory Multi-Factor Authentication Server の概要に関するページを参照してください。

Azure AD Premium なしで Windows 登録を簡略化する

Intune サーバーに登録要求をリダイレクトする、ドメイン ネーム サーバー (DNS) エイリアス (CNAME レコード タイプ) を作成することで、登録を簡略化できます。 それ以外の場合、Intune に接続を試行するユーザーは、登録時に Intune のサーバー名を入力する必要があります。

手順 1: CNAME を作成する (オプション)

会社のドメインの CNAME DNS リソース レコードを作成します。 たとえば、会社の Web サイトが contoso.com の場合、EnterpriseEnrollment.contoso.com を enterpriseenrollment-s.manage.microsoft.com にリダイレクトする CNAME を DNS に作成します。

CNAME DNS エントリの作成は省略可能ですが、CNAME レコードにより、ユーザーによる登録が簡単になります。 CNAME レコードの登録が見つからない場合、ユーザーは手動で MDM サーバー名 enrollment.manage.microsoft.com を入力するように求められます。

種類 ホスト名 Points to TTL
CNAME EnterpriseEnrollment.company_domain.com EnterpriseEnrollment-s.manage.microsoft.com 1 時間
CNAME EnterpriseRegistration.company_domain.com EnterpriseRegistration.windows.net 1 時間

企業に複数の UPN サフィックスがある場合は、ドメイン名ごとに 1 つ CNAME を作成し、それぞれで EnterpriseEnrollment-s.manage.microsoft.com をポイントする必要があります。 たとえば、Contoso のユーザーは電子メール/UPN として、次の形式を使用します。

  • name@contoso.com
  • name@us.contoso.com
  • name@eu.contoso.com

Contoso DNS の管理者は、次の CNAME を作成する必要があります。

種類 ホスト名 Points to TTL
CNAME EnterpriseEnrollment.contoso.com EnterpriseEnrollment-s.manage.microsoft.com 1 時間
CNAME EnterpriseEnrollment.us.contoso.com EnterpriseEnrollment-s.manage.microsoft.com 1 時間
CNAME EnterpriseEnrollment.eu.contoso.com EnterpriseEnrollment-s.manage.microsoft.com 1 時間

EnterpriseEnrollment-s.manage.microsoft.com – Intune サービスへのリダイレクトとメールのドメイン名によるドメイン認識がサポートされます。

DNS レコードの変更が反映されるまでには、最大で 72 時間かかります。 DNS レコードの変更が反映されるまで、Intune で DNS の変更を確認することはできません。

手順 2: CNAME を確認する (オプション)

  1. Microsoft Endpoint Manager admin center で、[デバイス] > [Windows] > [Windows の登録] > [CNAME 検証] を選択します。
  2. [ドメイン] ボックスに、企業の Web サイトを入力し、[テスト] を選択します。

サポートされていない追加のエンドポイント

EnterpriseEnrollment-s.manage.microsoft.com が、登録において推奨される完全修飾ドメイン名です。 以前に使用されていて、引き続き機能するその他のエンドポイントが 2 つあります。 ただし、サポートされなくなりました。 EnterpriseEnrollment.manage.microsoft.com (-s がない) と manage.microsoft.com は、両方とも自動検出サーバーのターゲットとして使用できますが、ユーザーは確認メッセージで [OK] をタッチする必要があります。 EnterpriseEnrollment-s.manage.microsoft.com をポイントすると、ユーザーが別の確認ステップを実行する必要がないため、これは推奨される構成です

リダイレクトの別の方法はサポートされていない

CNAME の構成以外の方法を使用することは、サポートされていません。 たとえば、プロキシ サーバーを使用して enterpriseenrollment.contoso.com/EnrollmentServer/Discovery.svc を enterpriseenrollment-s.manage.microsoft.com/EnrollmentServer/Discovery.svc または manage.microsoft.com/EnrollmentServer/Discovery.svc のいずれかにリダイレクトすることは、サポートされていません。

Windows デバイスの登録方法をユーザーに通知する

ユーザーに、Windows デバイスを登録する方法とデバイスが管理されるとどうなるかを伝えます。

注意

特定のバージョンの Windows で割り当てられた Windows アプリを表示するためには、エンド ユーザーは Microsoft Edge を介してポータル サイト Web サイトにアクセスする必要があります。 Google Chrome、Mozilla Firefox、Internet Explorer などの他のブラウザーでは、この種のフィルタリングはサポートされていません。

エンド ユーザー登録の手順については、「Windows 10/11デバイスの登録」および「Windows 8.1または8.1デバイスWindows RTを参照してください。 また、ユーザーには、IT 管理者がユーザーのデバイスに関して確認できる情報に関するページも案内してください。

重要

自動 MDM 登録を有効にしていないが、Azure AD に参加している Windows 10/11 デバイスがある場合、登録後に 2 つのレコードが Intune コンソールに表示されます。 これを停止するには、Azure AD に参加しているデバイスを持っているユーザーが、[アカウント] > [職場または学校にアクセスする] に移動し、同じアカウントを使用して 接続 するようにします。

エンドユーザー タスクの詳細については、「Microsoft Intune を使用したエンドユーザー エクスペリエンスに関するリソース」を参照してください。

登録の CNAME

Azure Active Directory には、iOS/iPadOS、Android、および Windows デバイスのデバイス登録用に使用される、異なった CNAME があります。 Intune の条件付きアクセスを使用するためには、デバイスを登録する ("ワークプレースに参加させる" とも呼ばれます) 必要があります。 条件付きアクセスを使用する予定の場合は、使用する会社名ごとに EnterpriseRegistration CNAME を構成する必要もあります。

種類 ホスト名 Points to TTL
CNAME EnterpriseRegistration.company_domain.com EnterpriseRegistration.windows.net 1 時間

デバイス登録の詳細については、「Azure portal を使用してデバイス ID を管理する」をご覧ください

Windows の自動登録とデバイス登録

このセクションは、Windows 10 または Windows 11 を実行しているデバイスを使用している米国政府のクラウドのお客様に適用されます。

CNAME DNS エントリの作成は省略可能ですが、CNAME レコードにより、ユーザーによる登録が簡単になります。 CNAME レコードの登録が見つからない場合、ユーザーは手動で MDM サーバー名 enrollment.manage.microsoft.us を入力するように求められます。

種類 ホスト名 Points to TTL
CNAME EnterpriseEnrollment.company_domain.com EnterpriseEnrollment-s.manage.microsoft.us 1 時間
CNAME EnterpriseRegistration.company_domain.com EnterpriseRegistration.windows.net 1 時間

次の手順