展開ガイド: Microsoft Intune で iOS および iPadOS デバイスを登録する

個人および組織所有のデバイスは、Intune に登録できます。 登録されると、作成したポリシーとプロファイルを受け取ります。 iOS/iPadOS デバイスを登録するときは、次のオプションがあります。

この記事では、使用する iOS/iPadOS の登録方法に関する推奨事項について説明します。 また、登録の種類ごとの管理者とユーザーのタスクの概要についても説明します。 より具体的な情報については、macOS デバイスの登録に関するページを参照してください。

ヒント

このガイドは生き物です。 そのため、役に立つヒントやガイダンスを追加したり、既存のものを更新してください。

はじめに

Intune 固有の前提条件を含む概要については、「展開ガイダンス: Microsoft Intune にデバイスを登録する」を参照してください。

デバイスの自動登録 (ADE) (監視)

以前は Apple Device Enrollment Program (DEP) と呼ばれていました。 組織が所有するデバイスで使用します。 このオプションでは、Apple Business Manager (ABM) または Apple School Manager (ASM) を使用して設定を構成します。 これにより、デバイスに触れることなく、多数のデバイスを登録します。 これらのデバイスは Apple から購入され、構成済みの設定があり、ユーザーまたは学校に直接配布できます。 エンドポイント マネージャー管理センターで登録プロファイルを作成し、このプロファイルをデバイスにプッシュします。

この登録の種類の詳細については、以下を参照してください。


機能 この登録オプションの使用
監視モードが必要である。 ✔️

監視モードは、ソフトウェアの更新の展開、機能の制限、アプリの許可とブロックなどを行います。
デバイスが組織または学校によって所有されている。 ✔️
新しいデバイスがある。 ✔️
少数のデバイス、または多数のデバイス (一括登録) を登録する必要がある。 ✔️
デバイスが 1 人のユーザーに関連付けられている。 ✔️
デバイスにユーザーがいない (キオスクや専用デバイスなど)。 ✔️
デバイスは個人用または BYOD である。

この操作はお勧めしません。 BYOD または個人用デバイスは、MAM-WE (別の Microsoft 記事が開きます)、または「ユーザーとデバイスの登録」(この記事内) を使用して登録する必要があります。
既存のデバイスがある。

既存のデバイスは Apple Configurator (この記事内) を使用して登録する必要があります。
デバイスは別の MDM プロバイダーによって管理されている。

Intune で完全に管理するには、ユーザーが現在の MDM プロバイダーから登録を解除してから、Intune に登録する必要があります。 または、MAM を使用して、デバイス上の特定のアプリを管理することができます。 これらのデバイスは組織によって所有されているため、Intune に登録することをお勧めします。
デバイス登録マネージャー (DEM) を使用している。

DEM アカウントはサポートされていません。

ADE 管理者のタスク

このタスク一覧では概要を説明します。 より具体的な情報については、Apple Business Manager 登録または Apple School Manager 登録に関するページを参照してください。

  • ご使用のデバイスがサポートされていることを確認してください。

  • Apple Business Manager (ABM) のポータルまたは Apple School Manager (ASM) のポータルにアクセスする必要があります。

  • Apple トークン (.p7m) がアクティブであることを確認してください。 より具体的な情報については、Apple ADE トークンの取得に関するページを参照してください。

  • Apple MDM プッシュ通知証明書 がエンドポイント マネージャーに追加されていて、アクティブであることを確認してください。 この証明書は、iOS/iPadOS デバイスを登録するために必要です。 詳細については、「Apple MDM プッシュ証明書を取得する」を参照してください。

  • ユーザーが自分のデバイスで認証する方法を決定します: ポータル サイト アプリ、設定アシスタント (レガシ)、または 先進認証を備えた設定アシスタント。 これは登録プロファイルを作成する前に決定してください。 ポータル サイト アプリまたは 先進認証を備えた設定アシスタント の使用は、先進認証と見なされます。

    • 次の場合は、ポータル サイト アプリを選択してください。

      • デバイスをワイプしたい。
      • 多要素認証 (MFA) を使用したい。
      • ユーザーが初めてサインインするときに、期限切れのパスワードを更新するように求めるメッセージを表示したい。
      • 登録時に期限切れのパスワードをリセットするようにユーザーに求めるメッセージを表示したい。
      • デバイスを Azure AD に登録する必要がある。 登録されている場合、条件付きアクセスなどの Azure AD で使用できる機能を使用できます。
      • 登録時に ポータル サイト アプリを自動的にインストールしたい。 会社で Volume Purchase Program (VPP) を使用している場合は、ユーザーの Apple ID なしで、登録時に ポータル サイト アプリを自動的にインストールできます。
      • ポータル サイト アプリがインストールされるまで、デバイスをロックしたい。 インストール後、ユーザーは組織の Azure AD アカウントを使用してポータル サイト アプリにサインインします。 その後、デバイスのロックが解除され、ユーザーが使用できるようになります。
    • 次の場合は、[設定アシスタント (レガシ)] を選択してください。

      • デバイスをワイプしたい。

      • MFA などの先進認証機能を使用する必要がない。

      • Azure AD にデバイスを登録する必要がない。 設定アシスタント (レガシ) は、Apple .p7m トークンを使用してユーザーを認証します。 Azure AD にデバイスを登録しないことを容認できる場合は、ポータル サイト アプリをインストールする必要はありません。 設定アシスタント (レガシ) の使用を続けてください。

        デバイスを Azure AD に登録したい場合は、ポータル サイト アプリをインストールしてください。 登録プロファイルを作成して [設定アシスタント (レガシ)] を選択すると、ポータル サイト アプリをインストールできます。 登録時に ポータル サイト アプリをインストールすることをお勧めします。

    • 次の場合は、[先進認証を備えた設定アシスタント] を選択します。

      • デバイスをワイプしたい。
      • 多要素認証 (MFA) を使用したい。
      • ユーザーが初めてサインインするときに、期限切れのパスワードを更新するように求めるメッセージを表示したい。
      • 登録時に期限切れのパスワードをリセットするようにユーザーに求めるメッセージを表示したい。
      • デバイスを Azure AD に登録する必要がある。 登録されている場合、条件付きアクセスなどの Azure AD で使用できる機能を使用できます。
      • 登録時に ポータル サイト アプリを自動的にインストールしたい。 会社で Volume Purchase Program (VPP) を使用している場合は、ユーザーの Apple ID なしで、登録時に ポータル サイト アプリを自動的にインストールできます。
      • ポータル サイト アプリがインストールされていない場合でも、ユーザーがデバイスを使用するようにしたい。

    注意

    ユーザーを認証するには、ポータル サイト アプリまたは [先進認証を備えた設定アシスタント] を使用することをお勧めします。

    どのオプションを使用する必要がありますか? 日常的にファイルの共有と共同作業を行う場合は、SharePoint Online チーム サイトにファイルを保存します。

    • ポータル サイト アプリがインストールされる前にデバイスを使用する場合は、[先進認証を備えた設定アシスタント] を使用します。

      設定アシスタントで、ユーザーは組織の Azure AD 資格情報 (user@contoso.com) を入力する必要があります。 資格情報が入力されると、登録が開始され、ポータル サイト アプリがインストールされます。 必要に応じて、ユーザーは Apple ID を入力して、Apple Pay などの Apple 固有の機能にアクセスすることもできます。

      設定アシスタントが完了すると、ユーザーはデバイスを使用できるようになります。 ホーム画面が表示されたら、登録が完了し、ユーザー アフィニティが確立されます。 デバイスは Azure AD に完全に登録されておらず、Azure AD でユーザーのデバイス一覧に表示されません。

      しばらくしてポータル サイト アプリがインストールされた後、ユーザーはポータル サイト アプリを開き、組織の Azure AD アカウント (user@contoso.com) を使用してサインインします。 この 2 回目のログイン中に、条件付きアクセス ポリシーが評価され、Azure AD 登録が完了します。 ユーザーは、組織のリソース (LOB アプリを含む) をインストールして使用することができます。

    • ポータル サイト アプリがインストールされる前にデバイスを使用したくない場合は、ポータル サイト アプリ オプションを使用します。 ポータル サイト アプリ オプションにより、ポータルサイト アプリがインストールされるまでデバイスはロックされます。 インストールが完了すると、ポータル サイト アプリが自動的に開きます。 ユーザーは組織の Azure AD アカウント (user@contoso.com) を使用してサインインし、デバイスを使用できます。

  • ポータル サイト アプリを使用する場合は、デバイスへのポータル サイト アプリのインストール方法を決定します。 これは登録プロファイルを作成する前に決定してください。

    注意

    ポータル サイト アプリを使用して認証する場合は、Volume Purchase Program (VPP) の使用が推奨されます。 これにより、エンド ユーザー エクスペリエンスが向上します。

    ADE 登録済みデバイスでは、ポータル サイト アプリを App Store から直接インストールしないでください。 代わりに、次のオプションを使用してポータル サイト アプリをインストールしてください。

    • VPP トークン + 新しいデバイスの登録: Volume Purchase Program (VPP) を使用していて、新しいデバイスを登録する場合は、ポータル サイト アプリが含まれています。 エンドポイント マネージャー管理センターで登録プロファイルを作成する場合は、[VPP によるポータル サイトのインストール] を選択します。 その他の手順は不要です。

      このオプション:

      • 適切なバージョンのポータル サイト アプリが含まれています。
      • ポータル サイト アプリをデバイスに展開するために、別のポリシーを作成する必要はありません。
      • ポータル サイト アプリは、管理者またはユーザーが手動で更新する必要があります。
    • VPP トークンなし + 新しいデバイスの登録: 管理者タスクなし。 ユーザーが設定アシスタントで Apple ID を入力していることを確認してください。

      設定アシスタントが完了すると、ポータル サイト アプリが自動的にインストールを試みます。 ユーザーが Apple ID (user@iCloud.com または user@gmail.com) を入力していない場合、ユーザーは Apple ID を入力するように継続的に求められます。 デバイスでポータル サイト アプリを取得するには、ユーザーが Apple ID を入力する必要があります。 ポータル サイト アプリがインストールされたら、ユーザーがそれを開いて、組織の資格情報 (user@contoso.com) を入力します。 認証されたら、ユーザーは、組織で使用するアプリ (LOB アプリを含む) をインストールして使用することができます。

    • 既に登録されているデバイス: デバイスが既に登録されている場合は、VPP があるかどうかに関わらず、アプリ構成ポリシーを使用します。

      1. エンドポイント マネージャー管理センターで、必要なアプリとして、およびデバイスでライセンスされているアプリとしてポータル サイト アプリを追加します。
      2. デバイスでライセンスされているアプリとしてポータル サイト アプリが含まれているアプリ構成ポリシーを作成します。 より具体的な情報については、「iOS と iPadOS の DEP デバイスをサポートするようにポータル サイト アプリを構成する」を参照してください。
      3. アプリ構成ポリシーを登録プロファイルと同じデバイス グループに展開します。
      4. デバイスが Intune サービスにチェックインすると、プロファイルを受け取り、ポータル サイト アプリがインストールされます。

      このオプション:

      • 適切なバージョンのポータル サイト アプリが含まれています。
      • 登録プロファイルを作成し、アプリ構成ポリシーを作成するために必要です。 アプリ構成ポリシーで、これを必須のアプリにして、アプリがすべてのデバイスに展開されることを確認できるようにします。
      • ポータル サイト アプリは、既存のアプリ構成ポリシーを変更することで自動的に更新できます。
  • エンドポイント マネージャー管理センターで、登録プロファイルを作成します。

    • [ユーザー アフィニティとともに登録する] (デバイスにユーザーを関連付ける)、または [ユーザー アフィニティなしで登録する] (ユーザーのいないデバイスまたは共有デバイス) を選択します。
    • ユーザーが認証を行う場所を選択します: ポータル サイト アプリ、設定アシスタント (レガシ)、または 先進認証を備えた設定アシスタント です。

    より具体的な情報と推奨事項については、Apple の自動デバイス登録に関するページを参照してください。

ADE エンド ユーザーのタスク

エンドポイント マネージャー管理センターで登録プロファイルを作成する場合は、ユーザーをデバイスに関連付けるか ([ユーザー アフィニティとともに登録する]) か、共有デバイスを使用するか ([ユーザー アフィニティなしで登録する]) を選択します。 具体的な手順は、登録プロファイルの構成方法によって異なります。 Shared iPad では、アクティベーション後、すべてのセットアップ アシスタント ウィンドウが自動的にスキップされます。

  • ユーザー アフィニティとともに登録する + ポータル サイト アプリ:

    1. デバイスの電源をオンにすると、Apple 設定アシスタントが実行されます。 ユーザーが Apple ID (user@iCloud.com または user@gmail.com) を入力します。 入力すると、登録プロファイルからポータル サイト アプリが自動的にインストールされます。 ポータル サイト アプリが自動インストールされるまでに時間がかかることがあります。
    2. ユーザーがポータル サイト アプリを開いて、組織の資格情報 (user@contoso.com) を使用してサインインします。 サインインすると、登録が開始されます。 登録が完了すると、ユーザーは、組織が使用するアプリ (LOB アプリを含む) をインストールして使用できるようになります。

    ユーザーは追加情報を入力しなければならない場合があります。 エンド ユーザーのより具体的な手順については、組織から提供された iOS デバイスの登録に関するページを参照してください。

  • ユーザー アフィニティとともに登録する + 設定アシスタント (レガシ) + ポータル サイト アプリ:

    1. デバイスの電源をオンにすると、Apple 設定アシスタントが実行されます。 ユーザーが Apple ID (user@iCloud.com または user@gmail.com) を入力します。

    2. 設定アシスタントによって、ユーザーに情報の入力を求めるプロンプトが表示されます。

    3. ポータル サイト アプリが自動的に開きます。また、キオスク スタイルのモードでデバイスをロックする必要があります。 ポータル サイト アプリが開くまでに時間がかかることがあります。 ユーザーが組織の資格情報 (user@contoso.com) を使用してサインインし、デバイスが Intune で登録されます。

      この手順では、Azure AD にデバイスを登録します。 ユーザーは、組織が使用するアプリ (LOB アプリを含む) をインストールして使用することができます。

  • ユーザー アフィニティとともに登録する + 設定アシスタント (レガシ) - ポータル サイト アプリ:

    1. デバイスの電源をオンにすると、Apple 設定アシスタントが実行されます。 ユーザーが Apple ID (user@iCloud.com または user@gmail.com) を入力します。
    2. 設定アシスタントによって、ユーザーに情報の入力を求めるプロンプトが表示され、Intune にデバイスが登録されます。 デバイスは Azure AD には登録されません。
  • ユーザー アフィニティとともに登録する + 先進認証を備えた設定アシスタント + ポータル サイト アプリ:

    1. デバイスの電源をオンにすると、Apple 設定アシスタントが実行されます。 ユーザーは、Apple ID (user@iCloud.com または user@gmail.com) と組織の Azure AD 資格情報 (user@contoso.com) を入力します。

      ユーザーが Azure AD 資格情報を入力すると、登録が開始されます。

    2. 設定アシスタントによって、ユーザーに追加情報の入力を求めるプロンプトが表示されます。 ホーム画面が表示されたら、セットアップが完了し、デバイスが完全に登録され、ユーザー アフィニティが確立されます。 ユーザーはデバイスを使用して、デバイスでアプリとポリシーを確認できます。 ただし、この時点では、デバイスはまだ Azure AD に完全に登録されていません。

    3. ポータル サイト アプリが自動的にインストールされます。 ユーザーはポータル サイトを開き、職場または学校アカウント (user@contoso.com) で再度サインインします。

    4. ユーザーはポータル サイトへの登録を完了します。これにより、デバイスを Azure AD に完全に登録します。 その後、ユーザーは、条件付きアクセス ポリシーによって保護されている企業リソースにアクセスできます。

  • ユーザー アフィニティとともに登録する + 先進認証を備えた設定アシスタント - ポータル サイト アプリ:

    1. デバイスの電源をオンにすると、Apple 設定アシスタントが実行されます。 ユーザーは、Apple ID (user@iCloud.com または user@gmail.com) と組織の Azure AD 資格情報を入力します。

      ユーザーが Azure AD 資格情報を入力すると、登録が開始されます。

    2. 設定アシスタントによって、ユーザーに追加情報の入力を求めるプロンプトが表示されます。 完了すると、ユーザーはデバイスを使用できるようになります。 ホーム画面が表示されたら、登録は完了です。 ユーザーのデバイスにアプリとポリシーが表示されます。

    3. ポータル サイト アプリが自動的にインストールされます。 ユーザーはポータル サイト アプリを開く必要がなく、アプリにサインインする必要もありません。 サインインしていない場合、デバイスは Azure AD に登録されておらず、Azure AD でユーザーのデバイス一覧に表示されません。 条件付きアクセスに依存するリソースは使用できません。

  • ユーザー アフィニティなしで登録する: アクションはありません。 必ず、ユーザーがポータル サイト アプリを Apple App Store からインストールしないようにしてください。

通常、ユーザーは自分自身を登録することを好みません。また、ポータル サイト アプリに慣れていない可能性があります。 入力する情報などについて、必ずガイダンスを提供してください。 ユーザーとのコミュニケーションに関するガイダンスについては、「計画ガイド: タスク 5: ロールアウト計画を作成する」を参照してください。

Apple Configurator の登録

組織が所有するデバイスで使用し、直接登録を含みます。 このオプションでは、USB ポートを使用して macOS デバイスを Mac コンピューターに物理的に接続する必要があります。

この登録の種類のより具体的な情報については、Apple Configurator の登録に関するページを参照してください。


機能 この登録オプションの使用
ワイヤード接続が必要であるか、またはネットワークの問題が発生している。 ✔️
組織では、管理者が ABM または ASM ポータルを使用することを必要としていない、またはすべての要件を設定することを必要としていない。 ✔️

ABM または ASM ポータルを使用 しない ことの目的は、管理者による制御を減らすことです。
国で Apple Business Manager (ABM) または Apple School Manager (ASM) がサポートされていない。 ✔️

お住まいの国で ABS または ASM がサポートされている場合は、自動デバイス登録を使用してデバイスを登録する必要があります。
デバイスが組織または学校によって所有されている。 ✔️
新規または既存のデバイスがある。 ✔️
少数のデバイス、または多数のデバイス (一括登録) を登録する必要がある。 ✔️

多数のデバイスがある場合、この方法には少し時間がかかります。
デバイスが 1 人のユーザーに関連付けられている。 ✔️
デバイスにユーザーがいない (キオスクや専用デバイスなど)。 ✔️
デバイスは個人用または BYOD である。

この操作はお勧めしません。 BYOD または個人用デバイスは、MAM-WE (別の Microsoft 記事が開きます)、または「ユーザーとデバイスの登録」(この記事内) を使用して登録する必要があります。
デバイスは別の MDM プロバイダーによって管理されている。

Intune で完全に管理するには、ユーザーが現在の MDM プロバイダーから登録を解除してから、Intune に登録する必要があります。 または、MAM を使用して、デバイス上の特定のアプリを管理することができます。 これらのデバイスは組織によって所有されているため、Intune に登録することをお勧めします。
デバイス登録マネージャー (DEM) を使用している。

DEM アカウントはサポートされていません。

Apple Configurator の管理者のタスク

このタスク一覧では概要を説明します。 より具体的な情報については、Apple Configurator の登録に関するページを参照してください。

  • USB ポートを使用して Mac コンピューターにアクセスする必要があります。

  • ご使用のデバイスがサポートされていることを確認してください。

  • Apple MDM プッシュ通知証明書 がエンドポイント マネージャーに追加されていて、アクティブであることを確認してください。 この証明書は、iOS/iPadOS デバイスを登録するために必要です。 詳細については、「Apple MDM プッシュ証明書を取得する」を参照してください。

  • ユーザーが各自のデバイスで認証を受ける方法 (ポータル サイト アプリ、または 設定アシスタント) を決定します。 これは登録プロファイルを作成する前に決定してください。 ポータル サイト アプリの使用は先進認証と見なされます。 ポータル サイト アプリを使用することをお勧めします。

    • 次の場合は、ポータル サイト アプリを選択してください。

      • 多要素認証 (MFA) を使用したい。
      • ユーザーが初めてサインインするときに、期限切れのパスワードを更新するように求めるメッセージを表示したい。
      • 登録時に期限切れのパスワードをリセットするようにユーザーに求めるメッセージを表示したい。
      • デバイスを Azure AD に登録する必要がある。 登録されている場合、条件付きアクセスなどの Azure AD で使用できる機能を使用できます。
      • 登録時に ポータル サイト アプリを自動的にインストールしたい。 会社で Volume Purchase Program (VPP) を使用している場合は、登録時に ポータル サイト アプリを自動的にインストールできます。
    • 次の場合は、設定アシスタント を選択してください。

      • MFA などの先進認証機能を使用する必要がない。

      • デバイスをワイプしたい。

      • シリアル番号をインポートしたい。

      • Azure AD にデバイスを登録する必要がない。 設定アシスタントは、デバイスにコピーするエクスポートされた登録プロファイルを使用してユーザーを認証します。 Azure AD にデバイスを登録しないことを容認できる場合は、ポータル サイト アプリをインストールする必要はありません。 設定アシスタントの使用を続けてください。

        デバイスを Azure AD に登録したい場合は、ポータル サイト アプリをインストールしてください。 登録プロファイルを作成して [設定アシスタント] を選択すると、ポータル サイト アプリをインストールできます。 登録時に ポータル サイト アプリをインストールすることをお勧めします。

  • ポータル サイト アプリを使用する場合は、アプリ構成ポリシーを使用してポータル サイト アプリをデバイスにインストールする必要があります。 登録プロファイルを作成する前に、このポリシーを作成することをお勧めします。

    Apple Configurator 登録済みデバイスでは、アプリ ストアからポータル サイト アプリを直接インストールしないでください。 代わりに、次のオプションを使用してポータル サイト アプリをインストールしてください。

    • 新しいデバイスを登録する: 管理者タスクはありません。 ユーザーが設定アシスタントで Apple ID を入力していることを確認してください。

      設定アシスタントが完了すると、ポータル サイト アプリが自動的にインストールを試みます。 ユーザーが Apple ID (user@iCloud.com または user@gmail.com) を入力していない場合、ユーザーは Apple ID を入力するように継続的に求められます。 デバイスでポータル サイト アプリを取得するには、ユーザーが Apple ID を入力する必要があります。 ポータル サイト アプリがインストールされたら、ユーザーがそれを開いて、組織の資格情報 (user@contoso.com) を入力します。 認証されたら、ユーザーは、組織で使用するアプリ (LOB アプリを含む) をインストールして使用することができます。

    • 既に登録されているデバイス: デバイスが既に登録されている場合は、アプリ構成ポリシーを使用します。

      1. エンドポイント マネージャー管理センターで、必要なアプリとして、およびデバイスでライセンスされているアプリとしてポータル サイト アプリを追加します。
      2. デバイスでライセンスされているアプリとしてポータル サイト アプリが含まれているアプリ構成ポリシーを作成します。 より具体的な情報については、「iOS と iPadOS の DEP デバイスをサポートするようにポータル サイト アプリを構成する」を参照してください。
      3. アプリ構成ポリシーを登録プロファイルと同じデバイス グループに展開します。
      4. デバイスが Intune サービスにチェックインすると、プロファイルを受け取り、ポータル サイト アプリがインストールされます。

      このオプション:

      • 適切なバージョンのポータル サイト アプリが含まれています。
      • 登録プロファイルを作成し、アプリ構成ポリシーを作成するために必要です。 アプリ構成ポリシーで、これを必須のアプリにして、アプリがすべてのデバイスに展開されることを確認できるようにします。
      • ポータル サイト アプリは、既存のアプリ構成ポリシーを変更することで自動的に更新できます。
  • エンドポイント マネージャー管理センターで、登録プロファイルを作成します。

    • [ユーザー アフィニティとともに登録する] (デバイスにユーザーを関連付ける)、または [ユーザー アフィニティなしで登録する] (ユーザーのいないデバイスまたは共有デバイス) を選択します。

    • [ユーザー アフィニティなしで登録する] を選択した場合は、自動的に 直接登録 が使用されます。 次の点に注意してください。

      • 既存の macOS 登録プロファイルの設定を使用します。
      • ユーザーは、ポータル サイト アプリを含め、ユーザーを必要とするアプリを使用できません。 ポータル サイト アプリは、ユーザー アフィニティなしの登録では、使用されないか、必要ではないか、サポートされません。 必ず、ユーザーがポータル サイト アプリを Apple App Store からインストールしないようにしてください。
  • 登録プロファイルの準備ができたら、USB でデバイスを Mac に接続し、Apple Configurator アプリを開きます。 アプリが開くと、USB 接続のデバイスが検出され、作成した Intune 登録プロファイルが展開されます。

この登録オプションとその前提条件の詳細については、Apple Configurator の登録に関するページを参照してください。

Apple Configurator のエンド ユーザーのタスク

このタスクは、登録プロファイルで構成したオプションによって異なります。

  • ユーザー アフィニティとともに登録する + ポータル サイト アプリ:

    1. デバイスの電源をオンにすると、Apple 設定アシスタントが実行されます。 ユーザーが Apple ID (user@iCloud.com または user@gmail.com) を入力します。 入力すると、ポータル サイト アプリが App Store から自動的にインストールされます。 ポータル サイト アプリが自動インストールされるまでに時間がかかることがあります。
    2. ポータル サイト アプリを開き、組織の資格情報 (user@contoso.com) を使用してサインインします。 ユーザーがサインインすると、登録が開始されます。 登録が完了すると、ユーザーは、組織が使用するアプリ (LOB アプリを含む) をインストールして使用できるようになります。

    ユーザーは追加情報を入力しなければならない場合があります。 より具体的な手順については、組織から提供された iOS デバイスの登録に関するページを参照してください。

  • ユーザー アフィニティとともに登録する + 設定アシスタント + ポータル サイト アプリ:

    1. デバイスの電源をオンにすると、Apple 設定アシスタントが実行されます。 ユーザーが組織の資格情報 (user@contoso.com) を入力します。 この手順により、デバイスが Intune に登録されます。
    2. 設定アシスタントによって、ユーザーに、Apple ID (user@iCloud.com または user@gmail.com) などの情報を入力するように求めるプロンプトが表示されます。
    3. ポータル サイト アプリが App Store から自動的にインストールされます。 ユーザーがポータル サイト アプリを開いて、組織の資格情報 (user@contoso.com) を使用してサインインします。 この手順では、Azure AD にデバイスを登録します。 ユーザーは、組織が使用するアプリ (LOB アプリを含む) をインストールして使用することができます。
  • ユーザー アフィニティとともに登録する + 設定アシスタント - ポータル サイト アプリ:

    1. デバイスの電源をオンにすると、Apple 設定アシスタントが実行されます。 ユーザーが組織の資格情報 (user@contoso.com) を入力します。 この手順により、デバイスが Intune に登録されます。
    2. 設定アシスタントによって、ユーザーに、Apple ID (user@iCloud.com または user@gmail.com) などの情報を入力するように求めるプロンプトが表示されます。 この手順では、Intune 管理プロファイルをデバイスにプッシュします。
    3. ユーザーが管理プロファイルをインストールします。 プロファイルが Intune サービスでチェックインして、デバイスを登録します。 デバイスは Azure AD には登録されません。
  • ユーザー アフィニティなしで登録する: 直接登録を使用しています。 アクションはありません。 必ず、ユーザーがポータル サイト アプリを Apple App Store からインストールしないようにしてください。

通常、ユーザーは自分自身を登録することを好みません。また、ポータル サイト アプリに慣れていない可能性があります。 入力する情報などについて、必ずガイダンスを提供してください。 ユーザーとのコミュニケーションに関するガイダンスについては、「計画ガイド: タスク 5: ロールアウト計画を作成する」を参照してください。

BYOD: ユーザーとデバイスの登録

これらの iOS/iPadOS デバイスは、組織の電子メール、アプリ、およびその他のデータにアクセスできる個人または BYOD (Bring Your Own Device) のデバイスです。 iOS 13 以降では、この登録オプションはユーザーまたはデバイスを対象とします。 デバイスをリセットする必要はありません。

登録プロファイルを作成するときに、[ユーザーの登録][デバイスの登録]、または [ユーザーの選択に基づいて決定] を選択するよう求められます。

具体的な登録手順とその前提条件については、iOS/iPadOS のユーザーまたはデバイスの登録の設定に関するページを参照してください。


機能 この登録オプションの使用
デバイスは個人用または BYOD である。 ✔️
デバイス上の特定の機能 (アプリごとの VPN など) を保護できるようにしたい。 ✔️
新規または既存のデバイスがある。 ✔️
少数のデバイス、または多数のデバイス (一括登録) を登録する必要がある。 ✔️
デバイスが 1 人のユーザーに関連付けられている。 ✔️
デバイスは別の MDM プロバイダーによって管理されている。

デバイスを登録すると、MDM プロバイダーが証明書とその他のファイルをインストールします。 これらのファイルは削除する必要があります。 最も簡単な方法は、デバイスの登録を解除するか、デバイスを出荷時の設定にリセットすることです。 出荷時の設定にリセットしたくない場合は、MDM プロバイダーに連絡してください。
デバイス登録マネージャー (DEM) を使用している。 ✔️
デバイスが組織または学校によって所有されている。

この操作はお勧めしません。 組織所有のデバイスは、自動デバイス登録 (この記事内) または Apple Configurator (この記事内) を使用して登録する必要があります。
デバイスにユーザーがいない (キオスクや専用デバイスなど)。

通常、ユーザーのいないデバイスや共有デバイスは組織が所有しています。 これらのデバイスは、自動デバイス登録 (この記事内) または Apple Configurator (この記事内) を使用して登録する必要があります。

ユーザーとデバイスの登録の管理者のタスク

このタスク一覧では概要を説明します。 より具体的な情報については、iOS/iPadOS と iPadOS のユーザー登録の設定に関するページを参照してください。

  • ご使用のデバイスがサポートされていることを確認してください。

  • Apple MDM プッシュ通知証明書 がエンドポイント マネージャーに追加されていて、アクティブであることを確認してください。 この証明書は、iOS/iPadOS デバイスを登録するために必要です。 詳細については、「Apple MDM プッシュ証明書を取得する」を参照してください。

  • エンドポイント マネージャー管理センターで、登録プロファイルを作成します。 登録プロファイルを作成する際には、次のオプションがあります。

    • デバイスの登録: このオプションは、個人のデバイスの一般的な登録です。 デバイスは、特定のアプリや機能だけでなく、管理されています。 このオプションを使用する場合は、次の情報を考慮してください。

      • デバイス全体に適用される証明書を展開することができます。
      • ユーザーは更新プログラムをインストールする必要があります。 MDM ポリシーまたはプロファイルを使用して更新プログラムを受信できるのは、自動デバイス登録 (ADE) を使用して登録されたデバイスのみです。
      • ユーザーをデバイスに関連付ける必要があります。 このユーザーは、デバイス登録マネージャー (DEM) アカウントにすることができます。
    • ユーザーの選択に基づいて決定する: エンド ユーザーが登録するときに選択できます。 選択内容に応じて、[ユーザーの登録] または [デバイスの登録] が使用されます。

    • ユーザー登録: iOS デバイス 13 以降。 このオプションでは、パスワード、アプリごとの VPN、Wi-Fi、Siri など、特定の機能と組織のアプリのセットが構成されます。 ユーザーの登録を使用する場合に、アプリとそのデータを保護できるようにするには、アプリ保護ポリシーを使用することもお勧めします。

      実行できる操作と実行できない操作の完全な一覧については、「Apple ユーザー登録でサポートされている Intune のアクションとオプション」を参照してください。 具体的なユーザーの登録手順については、iOS/iPadOS のユーザー登録の設定に関するページを参照してください。

      注意

      BYOD は組織所有のデバイスになることができます。 これらのデバイスを企業用にするには、「デバイスの企業所有としての識別」を参照してください。

      ユーザーの登録はエンド ユーザーにとっては使いやすいと見なされますが、管理者が必要とする機能セットとセキュリティ機能が提供されない場合があります。 一部のシナリオでは、ユーザーの登録が最適なオプションではないことがあります。 次のようなシナリオを考えてみましょう。

      • ユーザーの登録により、デバイスに作業パーティションが作成されます。 ユーザー登録プロファイルで構成する機能とセキュリティは、作業パーティションにのみ存在します。 ユーザー パーティションには存在しません。 ユーザーが作業パーティションを出荷時の設定に戻すことはできません。 管理者にはできます。 ユーザーは、個人用パーティションを出荷時の設定に戻すことができます。 管理者にはできません。

      • ユーザーが主に Microsoft アプリを使用している場合、または Intune App SDK で作成されたアプリを使用している場合、ユーザーは Apple App Store からこれらのアプリをダウンロードする必要があります。 その後、アプリ保護ポリシーを使用して、これらのアプリを保護します。 このシナリオでは、ユーザー登録は必要ありません。

      • 基幹業務 (LOB) アプリの場合、ユーザー登録はこれらのアプリを作業パーティションに展開するため、オプションとなる場合があります。 アプリケーション管理 (MAM) は、LOB アプリをサポートしていません。 そのため、LOB アプリが必要な場合は、ユーザー登録を使用してください。

      • デバイスがユーザー登録を使用して登録されている場合、デバイスの登録に切り替えることはできません。 ユーザー登録では、アプリを非管理対象から管理対象に移行することはできません。 ユーザーは、ユーザー登録から登録を解除してから、デバイスの登録に再登録する必要があります。

      • ユーザー登録プロファイルが適用される前にアプリをインストールする場合、これらのアプリはユーザー登録プロファイルによって保護または管理されません。

        たとえば、ユーザーが Apple App Store から Outlook アプリをダウンロードしたとします。 アプリは、デバイスのユーザー パーティションに自動的にインストールされます。 ユーザーは Outlook を個人の電子メール用に構成します。 組織の電子メールを構成すると、条件付きアクセスによってブロックされ、登録するように求められます。 登録すると、ユーザー登録プロファイルが展開されます。

        ユーザー登録プロファイルの前に Outlook アプリがインストールされたため、ユーザー登録プロファイルは失敗します。 Outlook アプリは、作業パーティションではなくユーザー パーティションにインストールされ構成されているため、管理できません。 ユーザーは Outlook アプリを手動でアンインストールする必要があります。

        アンインストールが完了した後は、ユーザーがデバイスを手動で同期し、場合によってはユーザー登録プロファイルを再適用できます。 または、アプリ構成ポリシーを作成して Outlook を展開し、必須のアプリにすることが必要になる場合があります。 その後、アプリ保護ポリシーを展開して、アプリとそのデータをセキュリティで保護します。

  • ユーザー グループに登録プロファイルを割り当てます。 デバイス グループには割り当てないでください。

ユーザーとデバイスの登録のエンド ユーザーのタスク

ユーザーは、次の手順を実行する必要があります。 特定のユーザー エクスペリエンスについては、デバイスの登録に関するページを参照してください。

  1. Apple App Store にアクセスして、Intune ポータル サイト アプリをインストールします。

  2. ポータル サイト アプリを開き、組織の資格情報 (user@contoso.com) を使用してサインインします。 サインインすると、登録プロファイルがデバイスに適用されます。

    ユーザーは追加情報を入力しなければならない場合があります。 具体的な手順については、デバイスの登録に関するページを参照してください。

通常、ユーザーは自分自身を登録することを好みません。また、ポータル サイト アプリに慣れていない可能性があります。 入力する情報などについて、必ずガイダンスを提供してください。 ユーザーとのコミュニケーションに関するガイダンスについては、「計画ガイド: タスク 5: ロールアウト計画を作成する」を参照してください。

ヒント

ユーザーが Intune にデバイスを登録する際に役立つ、短いステップ バイ ステップのビデオがあります。

iOS/iPadOS デバイスを登録する

次の手順