Windows デバイスの登録をセットアップするSet up enrollment for Windows devices

この記事は、IT 管理者がそのユーザーの Windows の登録を簡略化する場合に役立ちます。This article helps IT administrators simplify Windows enrollment for their users. Intune が設定されたら、ユーザーは職場または学校のアカウントでサインインし、Windows デバイスを登録します。Once you've set up Intune, users enroll Windows devices by signing in with their work or school account.

Intune 管理者は次の方法で登録を簡略化できます。As an Intune admin, you can simplify enrollment in the following ways:

Windows デバイスの登録を簡単にする方法は次の 2 つの要素で決まります。Two factors determine how you can simplify Windows device enrollment:

  • Azure Active Directory Premium を使用していますか?Do you use Azure Active Directory Premium?
    Azure AD Premium は、Enterprise Mobility + Security およびその他のライセンス プランに付属します。Azure AD Premium is included with Enterprise Mobility + Security and other licensing plans.
  • ユーザーはどのバージョンの Windows クライアントを登録しますか?What versions of Windows clients will users enroll?
    Windows 10 デバイスは、職場または学校のアカウントを追加すると自動的に登録できます。Windows 10 devices can automatically enroll by adding a work or school account. 以前のバージョンでは、会社ポータル アプリを使用して登録する必要があります。Earlier versions must enroll using the Company Portal app.
Azure AD PremiumAzure AD Premium その他の ADOther AD
Windows 10Windows 10 自動登録Automatic enrollment ユーザー登録User enrollment
以前の Windows バージョンEarlier Windows versions ユーザー登録User enrollment ユーザー登録User enrollment

自動登録を利用できる組織は、Windows 構成デザイナー アプリを利用し、デバイスの一括登録を構成することもできます。Organizations that can use automatic enrollment can also configure bulk enroll devices by using the Windows Configuration Designer app.

デバイス登録の前提条件Device enrollment prerequisites

管理者がデバイスを Intune に登録して管理する前に、管理者のアカウントにライセンスが既に割り当てられている必要があります。Before an administrator can enroll devices to Intune for management, licenses should have already been assigned to the administrator's account. デバイスを登録するためのライセンス割り当ての詳細Read about assigning licenses for device enrollment

マルチ ユーザー サポートMulti-user support

Intune では、次の両方のデバイスで、複数のユーザーがサポートされます。Intune supports multiple users on devices that both:

  • Windows 10 Creator の更新プログラムを実行するrun the Windows 10 Creator's update
  • Azure Active Directory ドメインに参加しているare Azure Active Directory domain-joined.

標準ユーザーが自分の Azure AD 資格情報でサインインするとき、自分のユーザー名に割り当てられているアプリとポリシーが与えられます。When standard users sign in with their Azure AD credentials, they receive apps and policies assigned to their user name. デバイスのプライマリ ユーザーだけが、アプリのインストールやデバイス操作 (削除、リセット) の実行などのセルフサービス シナリオのためにポータル サイトを使用できます。Only the device's Primary user can use the Company Portal for self-service scenarios like installing apps and performing device actions (Remove, Reset). プライマリ ユーザーが割り当てられていない共有 Windows 10 デバイスでも、ポータル サイトを使用して、使用可能なアプリをインストールできます。For shared Windows 10 devices that do not have a primary user assigned, the Company Portal can still be used to install Available apps.

Windows 10 の自動登録を有効にするEnable Windows 10 automatic enrollment

自動登録により、Intune に Windows 10 デバイスを登録できます。Automatic enrollment lets users enroll their Windows 10 devices in Intune. 登録するには、ユーザーが職場アカウントを個人所有のデバイスに追加するか、会社所有のデバイスを Azure Active Directory に参加させます。To enroll, users add their work account to their personally owned devices or join corporate-owned devices to Azure Active Directory. バック グラウンドでデバイスが登録され、Azure Active Directory に参加します。In the background, the device registers and joins Azure Active Directory. 登録されると、デバイスは Intune で管理されます。Once registered, the device is managed with Intune.

必要条件Prerequisites

自動 MDM 登録の構成Configure automatic MDM enrollment

  1. Azure Portal にサインインして、 [Azure Active Directory] を選択します。Sign in to the Azure portal, and select Azure Active Directory.

    Azure ポータルのスクリーンショット

  2. [モビリティ (MDM および MAM)] を選択します。Select Mobility (MDM and MAM).

    Azure ポータルのスクリーンショット

  3. [Microsoft Intune] を選択します。Select Microsoft Intune.

    Azure ポータルのスクリーンショット

  4. [MDM ユーザー スコープ] を構成します。Configure MDM User scope. Microsoft Intune で管理するユーザーのデバイスを指定します。Specify which users' devices should be managed by Microsoft Intune. これらの Windows 10 デバイスは、Microsoft Intune の管理対象として自動的に登録されます。These Windows 10 devices can automatically enroll for management with Microsoft Intune.

    • [なし] - MDM の自動登録が無効になりますNone - MDM automatic enrollment disabled

    • [Some](一部) - [グループ] を選びます。そのグループの Windows 10 デバイスを自動的に登録できますSome - Select the Groups that can automatically enroll their Windows 10 devices

    • [すべて] - すべてのユーザーが自分の Windows 10 デバイスを自動的に登録できますAll - All users can automatically enroll their Windows 10 devices

      重要

      Windows BYOD デバイスでは、MAM ユーザー スコープと MDM ユーザー スコープ (MDM の自動登録) の両方がすべてのユーザー (またはユーザーの同じグループ) に対して有効にされている場合、MAM ユーザー スコープが優先されます。For Windows BYOD devices, the MAM user scope takes precedence if both the MAM user scope and the MDM user scope (automatic MDM enrollment) are enabled for all users (or the same groups of users). このデバイスでは、MDM が登録されるのではなく、構成している場合は、Windows Information Protection (WIP) ポリシーが適用されます。The device will not be MDM enrolled, and Windows Information Protection (WIP) Policies will be applied if you have configured them.

      MDM に対して Windows BYOD デバイスの自動登録を有効にしようとしている場合、MDM ユーザースコープを [すべて] に設定し (または [一部] で、グループを指定)、MAM ユーザー スコープを [なし] に設定します (または [一部] で、グループを指定します。ユーザーが MDM ユーザー スコープと MAM ユーザー スコープの両方から対象とされているグループのメンバーではないことを確実にします)。If your intent is to enable automatic enrollment for Windows BYOD devices to an MDM: configure the MDM user scope to All (or Some, and specify a group) and configure the MAM user scope to None (or Some, and specify a group – ensuring that users are not members of a group targeted by both MDM and MAM user scopes).

      会社のデバイスでは、MDM ユーザー スコープと MAM ユーザー スコープの両方が有効にされている場合、MDM ユーザー スコープが優先されます。For corporate devices, the MDM user scope takes precedence if both MDM and MAM user scopes are enabled. デバイスは、構成された MDM に自動的に登録されます。The device will get automatically enrolled in the configured MDM.

    注意

    MDM ユーザー スコープは、ユーザー オブジェクトを含む Azure AD グループに設定する必要があります。MDM user scope must be set to an Azure AD group that contains user objects.

    Azure ポータルのスクリーンショット

  5. 次の URL の既定値を使用します。Use the default values for the following URLs:

    • MDM 使用条件 URLMDM Terms of use URL
    • MDM 探索 URLMDM Discovery URL
    • MDM 準拠 URLMDM Compliance URL
  6. [保存] を選択します。Select Save.

既定では、サービスの 2 要素認証は有効になっていません。By default, two-factor authentication is not enabled for the service. ただし、デバイスを登録するときには 2 要素認証をお勧めします。However, two-factor authentication is recommended when registering a device. 2 要素認証を有効にするには、Azure AD で 2 要素認証プロバイダーを構成し、多要素認証用にユーザー アカウントを構成します。To enable two-factor authentication, configure a two-factor authentication provider in Azure AD and configure your user accounts for multi-factor authentication. クラウドでの Azure Multi-Factor Authentication Server の概要」を参照してください。See Getting started with the Azure Multi-Factor Authentication Server.

Azure AD Premium なしで Windows 登録を簡略化するSimplify Windows enrollment without Azure AD Premium

Intune サーバーに登録要求をリダイレクトする、ドメイン ネーム サーバー (DNS) エイリアス (CNAME レコード タイプ) を作成することで、登録を簡略化できます。To simplify enrollment, create a domain name server (DNS) alias (CNAME record type) that redirects enrollment requests to Intune servers. それ以外の場合、Intune に接続を試行するユーザーは、登録時に Intune のサーバー名を入力する必要があります。Otherwise, users trying to connect to Intune must enter the Intune server name during enrollment.

手順 1:CNAME を作成する (省略可能)Step 1: Create CNAME (optional)
会社のドメインの CNAME DNS リソース レコードを作成します。Create CNAME DNS resource records for your company's domain. たとえば、会社の Web サイトが contoso.com の場合、EnterpriseEnrollment.contoso.com を enterpriseenrollment-s.manage.microsoft.com にリダイレクトする CNAME を DNS に作成します。For example, if your company's website is contoso.com, you would create a CNAME in DNS that redirects EnterpriseEnrollment.contoso.com to enterpriseenrollment-s.manage.microsoft.com.

CNAME DNS エントリの作成は省略可能ですが、CNAME レコードにより、ユーザーによる登録が簡単になります。Although creating CNAME DNS entries is optional, CNAME records make enrollment easier for users. CNAME レコードの登録が見つからない場合、ユーザーは手動で MDM サーバー名 enrollment.manage.microsoft.com を入力するように求められます。If no enrollment CNAME record is found, users are prompted to manually enter the MDM server name, enrollment.manage.microsoft.com.

TypeType ホスト名Host name 指定先Points to TTLTTL
CNAMECNAME EnterpriseEnrollment.company_domain.comEnterpriseEnrollment.company_domain.com EnterpriseEnrollment-s.manage.microsoft.comEnterpriseEnrollment-s.manage.microsoft.com 1 時間1 hour
CNAMECNAME EnterpriseRegistration.company_domain.comEnterpriseRegistration.company_domain.com EnterpriseRegistration.windows.netEnterpriseRegistration.windows.net 1 時間1 hour

企業に複数の UPN サフィックスがある場合は、ドメイン名ごとに 1 つ CNAME を作成し、それぞれで EnterpriseEnrollment-s.manage.microsoft.com をポイントする必要があります。If the company uses more than one UPN suffix, you need to create one CNAME for each domain name and point each one to EnterpriseEnrollment-s.manage.microsoft.com. たとえば、Contoso のユーザーは電子メール/UPN として、次の形式を使用します。For example, users at Contoso use the following formats as their email/UPN:

  • name@contoso.com
  • name@us.contoso.com
  • name@eu.contoso.com

Contoso DNS の管理者は、次の CNAME を作成する必要があります。The Contoso DNS admin should create the following CNAMEs:

TypeType ホスト名Host name 指定先Points to TTLTTL
CNAMECNAME EnterpriseEnrollment.contoso.comEnterpriseEnrollment.contoso.com EnterpriseEnrollment-s.manage.microsoft.comEnterpriseEnrollment-s.manage.microsoft.com 1 時間1 hour
CNAMECNAME EnterpriseEnrollment.us.contoso.comEnterpriseEnrollment.us.contoso.com EnterpriseEnrollment-s.manage.microsoft.comEnterpriseEnrollment-s.manage.microsoft.com 1 時間1 hour
CNAMECNAME EnterpriseEnrollment.eu.contoso.comEnterpriseEnrollment.eu.contoso.com EnterpriseEnrollment-s.manage.microsoft.comEnterpriseEnrollment-s.manage.microsoft.com 1 時間1 hour

EnterpriseEnrollment-s.manage.microsoft.com – Intune サービスへのリダイレクトとメールのドメイン名によるドメイン認識がサポートされます。EnterpriseEnrollment-s.manage.microsoft.com – Supports a redirect to the Intune service with domain recognition from the email's domain name

DNS レコードの変更が反映されるまでには、最大で 72 時間かかります。Changes to DNS records might take up to 72 hours to propagate. DNS レコードの変更が反映されるまで、Intune で DNS の変更を確認することはできません。You can't verify the DNS change in Intune until the DNS record propagates.

追加のエンドポイントが使用されているが、サポートされなくなったAdditional endpoints are used but no longer supported

EnterpriseEnrollment-s.manage.microsoft.com が、登録において推奨される完全修飾ドメイン名です。EnterpriseEnrollment-s.manage.microsoft.com is the preferred FQDN for enrollment. 過去にお客様が使用していて、引き続き機能するその他のエンドポイントが 2 つありますが、サポートされなくなりました。There are two other endpoints that have been used by customers in the past and still work, but they are no longer supported. EnterpriseEnrollment.manage.microsoft.com (-s がない) と manage.microsoft.com は、両方とも自動検出サーバーのターゲットとして使用できますが、ユーザーは確認メッセージで [OK] をタッチする必要があります。EnterpriseEnrollment.manage.microsoft.com (without the -s) and manage.microsoft.com both work as the target for the auto-discovery server, but the user will have to touch OK on a confirmation message. EnterpriseEnrollment-s.manage.microsoft.com をポイントすると、ユーザーが追加の確認ステップを実行する必要がないため、これは推奨される構成です。If you point to EnterpriseEnrollment-s.manage.microsoft.com, the user won't have to do the additional confirmation step, so this is the recommended configuration

リダイレクトの別の方法はサポートされていないAlternate Methods of Redirection Are Not Supported

CNAME の構成以外の方法を使用することは、サポートされていません。Using a method other than the CNAME configuration is not supported. たとえば、プロキシ サーバーを使用して enterpriseenrollment.contoso.com/EnrollmentServer/Discovery.svc を enterpriseenrollment-s.manage.microsoft.com/EnrollmentServer/Discovery.svc または manage.microsoft.com/EnrollmentServer/Discovery.svc のいずれかにリダイレクトすることは、サポートされていません。For example, using a proxy server to redirect enterpriseenrollment.contoso.com/EnrollmentServer/Discovery.svc to either enterpriseenrollment-s.manage.microsoft.com/EnrollmentServer/Discovery.svc or manage.microsoft.com/EnrollmentServer/Discovery.svc is not supported.

手順 2: CNAME を確認する (省略可能)Step 2: Verify CNAME (optional)

  1. Microsoft Endpoint Manager admin center で、 [デバイス] > [Windows] > [Windows の登録] > [CNAME 検証] を選択します。In the Microsoft Endpoint Manager admin center, choose Devices > Windows > Windows enrollment > CNAME Validation .
  2. [ドメイン] ボックスに、企業の Web サイトを入力し、 [テスト] を選択します。In the Domain box, enter the company website and then choose Test .

Windows デバイスの登録方法をユーザーに通知するTell users how to enroll Windows devices

ユーザーに、Windows デバイスを登録する方法とデバイスが管理されるとどうなるかを伝えます。Tell your users how to enroll their Windows devices and what to expect after they're brought into management.

注意

特定のバージョンの Windows で割り当てられた Windows アプリを表示するためには、エンド ユーザーは Microsoft Edge を介してポータル サイト Web サイトにアクセスする必要があります。End users must access the Company Portal website through Microsoft Edge to view Windows apps that you've assigned for specific versions of Windows. Google Chrome、Mozilla Firefox、Internet Explorer などの他のブラウザーでは、この種のフィルタリングはサポートされていません。Other browsers, including Google Chrome, Mozilla Firefox, and Internet Explorer do not support this type of filtering.

エンドユーザーの登録手順については、Windows 10 デバイスの登録Windows 8.1 または Windows RT 8.1 デバイスの登録に関するページを参照してください。For end-user enrollment instructions, see Enroll Windows 10 device and Enroll Windows 8.1 or Windows RT 8.1 device. また、ユーザーには、IT 管理者がユーザーのデバイスに関して確認できる情報に関するページも案内してください。You can also tell users to review What can my IT admin see on my device.

重要

MDM 自動登録を有効にしていなくても、Azure AD に参加している Windows 10 デバイスを持っている場合は、登録後に Intune コンソールに 2 つのレコードが表示されます。If you do not have Auto-MDM enrollment enabled, but you have Windows 10 devices that have been joined to Azure AD, two records will be visible in the Intune console after enrollment. これを停止するには、Azure AD に参加しているデバイスを持っているユーザーが、 [アカウント] > [職場または学校にアクセスする] に移動し、同じアカウントを使用して 接続 するようにします。You can stop this by making sure that users with Azure AD joined devices go to Accounts > Access work or school and Connect using the same account.

エンドユーザー タスクの詳細については、「Microsoft Intune を使用したエンドユーザー エクスペリエンスに関するリソース」を参照してください。For more information about end-user tasks, see Resources about the end-user experience with Microsoft Intune.

登録の CNAMERegistration and Enrollment CNAMEs

Azure Active Directory には、iOS/iPadOS、Android、および Windows デバイスのデバイス登録用に使用される、異なった CNAME があります。Azure Active Directory has a different CNAME that it uses for device registration for iOS/iPadOS, Android, and Windows devices. Intune の条件付きアクセスを使用するためには、デバイスを登録する ("ワークプレースに参加させる" とも呼ばれます) 必要があります。Intune conditional access requires devices to be registered, also called "workplace joined". 条件付きアクセスを使用する予定の場合は、使用する会社名ごとに EnterpriseRegistration CNAME を構成する必要もあります。If you plan to use conditional access, you should also configure the EnterpriseRegistration CNAME for each company name you have.

TypeType ホスト名Host name 指定先Points to TTLTTL
CNAMECNAME EnterpriseRegistration。EnterpriseRegistration. company_domain.comcompany_domain.com EnterpriseRegistration.windows.netEnterpriseRegistration.windows.net 1 時間1 hour

デバイス登録の詳細については、「Azure portal を使用してデバイス ID を管理する」をご覧くださいFor more information about device registration, see Manage device identities using the Azure portal

Windows 10 の自動登録とデバイス登録Windows 10 auto enrollment and device registration

このセクションは、米国政府機関向けクラウドのお客様に適用されます。This section applies to US government cloud customers.

CNAME DNS エントリの作成は省略可能ですが、CNAME レコードにより、ユーザーによる登録が簡単になります。Although creating CNAME DNS entries is optional, CNAME records make enrollment easier for users. CNAME レコードの登録が見つからない場合、ユーザーは手動で MDM サーバー名 enrollment.manage.microsoft.us を入力するように求められます。If no enrollment CNAME record is found, users are prompted to manually enter the MDM server name, enrollment.manage.microsoft.us.

TypeType ホスト名Host name 指定先Points to TTLTTL
CNAMECNAME EnterpriseEnrollment.company_domain.comEnterpriseEnrollment.company_domain.com EnterpriseEnrollment-s.manage.microsoft.usEnterpriseEnrollment-s.manage.microsoft.us 1 時間1 hour
CNAMECNAME EnterpriseRegistration.company_domain.comEnterpriseRegistration.company_domain.com EnterpriseRegistration.windows.netEnterpriseRegistration.windows.net 1 時間1 hour

次のステップNext steps