Azure Active Directory と MDM の統合Azure Active Directory integration with MDM

Azure Active Directory は、世界最大のエンタープライズ クラウド ID 管理サービスです。Azure Active Directory is the world largest enterprise cloud identity management service. 何百万もの組織が、Microsoft およびサード パーティ製ソフトウェア (SaaS) ベンダーから Office 365 および数千のビジネス アプリケーションにアクセスするために使用されます。It’s used by millions of organizations to access Office 365 and thousands of business applications from Microsoft and third-party software as a service (SaaS) vendors. 組織のユーザー (ストア アクセスや OS 状態ローミングなど) の豊富な Windows 10 エクスペリエンスの多くは、基になる id インフラストラクチャとして Azure ADを使用します。Many of the rich Windows 10 experiences for organizational users (such as store access or OS state roaming) use Azure AD as the underlying identity infrastructure. Windows 10 は Azure AD との統合構成エクスペリエンスを提供し、デバイスを Azure AD に登録し、スムーズな統合フローで MDM に登録できるようにします。Windows 10 provides an integrated configuration experience with Azure AD, allowing devices to be registered in Azure AD and enrolled into MDM in a smooth integrated flow.

デバイスが MDM に登録された後、MDM は企業ポリシーへの準拠を強制したり、アプリを追加または削除したりできます。Once a device is enrolled in MDM, the MDM can enforce compliance with corporate policies, add or remove apps, and more. さらに、MDM はデバイスのコンプライアンス Azure サーバーを報告AD。Additionally, the MDM can report a device’s compliance Azure AD. これにより、Azure ADポリシーに準拠するデバイスにのみ、Azure ADセキュリティで保護された企業リソースまたはアプリケーションへのアクセスを許可できます。This enables Azure AD to allow access to corporate resources or applications secured by Azure AD only to devices that comply with policies. MDM 製品でこれらの豊富なエクスペリエンスをサポートするために、MDM ベンダーは Azure サービスと統合AD。To support these rich experiences with their MDM product, MDM vendors can integrate with Azure AD. このトピックでは、関連する手順について説明します。This topic describes the steps involved.

Azure AD への接続Connect to Azure AD

デバイスを接続するためのいくつかの方法:Several ways to connect your devices:

会社所有のデバイスの場合:For company-owned devices:

  • Windows を従来の Active Directory ドメインに参加するJoin Windows to a traditional Active Directory domain
  • Windows を Azure に参加ADJoin Windows to Azure AD

個人用デバイス (BYOD) の場合:For personal devices (BYOD):

  • Microsoft ワーク アカウントを Windows に追加するAdd a Microsoft work account to Windows

Azure AD への参加Azure AD Join

会社所有のデバイスは、従来、組織のオンプレミス Active Directory ドメインに参加しています。Company owned devices are traditionally joined to the on-premises Active Directory domain of the organization. これらのデバイスは、グループ ポリシーまたは Microsoft Endpoint Configuration Manager などのコンピューター管理ソフトウェアを使用して管理できます。These devices can be managed using Group Policy or computer management software such as Microsoft Endpoint Configuration Manager. Windows 10 では、MDM を使用してドメインに参加しているデバイスを管理することもできます。In Windows 10, it’s also possible to manage domain joined devices with an MDM.

Windows 10 では、企業所有の Windows デバイスを構成および展開する新しい方法が導入されています。Windows 10 introduces a new way to configure and deploy corporate owned Windows devices. このメカニズムは、Azure AD呼び出されます。This mechanism is called Azure AD Join. 従来のドメイン参加と同様に、Azure AD参加を使用すると、デバイスが組織によって既知になり、管理されます。Like traditional domain join, Azure AD Join allows devices to become known and managed by an organization. ただし、Azure AD Join を使用すると、Windows はドメイン コントローラー ADではなく Azure サーバーに対して認証されます。However, with Azure AD Join, Windows authenticates to Azure AD instead of authenticating to a domain controller.

Azure AD参加を使用すると、会社が所有するデバイスを MDM によって自動的に登録および管理することもできます。Azure AD Join also enables company owned devices to be automatically enrolled in, and managed by an MDM. さらに、Azure AD Join は、ストアで購入した PC (アウトオブボックス エクスペリエンス (OOBE) で実行できます。これにより、組織はデバイスの展開を合理化できます。Furthermore, Azure AD Join can be performed on a store-bought PC, in the out-of-box experience (OOBE), which helps organizations streamline their device deployment. 管理者は、1 つ以上のグループに属するユーザーが MDM を使用して管理するためにデバイスを登録する必要があります。An administrator can require that users belonging to one or more groups enroll their devices for management with an MDM. ユーザーが Azure の参加中に自動登録を必要とするように構成されているAD、この登録は Windows を構成する必須の手順になります。If a user is configured to require automatic enrollment during Azure AD Join, this enrollment becomes a mandatory step to configure Windows. MDM の登録が失敗した場合、デバイスは Azure サーバーに参加AD。If the MDM enrollment fails, then the device will not be joined to Azure AD.

重要

Azure との MDM の自動登録を有効ADすべてのユーザーに、有効な Azure Active Directory Premium ライセンスが 割り当てられている必要 があります。Every user enabled for automatic MDM enrollment with Azure AD Join must be assigned a valid Azure Active Directory Premium license.

BYOD シナリオBYOD scenario

Windows 10 では、仕事用アプリやリソースにアクセスするための個人用デバイスを構成する簡単な方法も導入されています。Windows 10 also introduces a simpler way to configure personal devices to access work apps and resources. ユーザーは、Microsoft の仕事用アカウントを Windows に追加し、組織のアプリやリソースに対して、より簡単かつ安全にアクセスできます。Users can add their Microsoft work account to Windows and enjoy simpler and safer access to the apps and resources of the organization. このプロセスの間、Azure AD組織が MDM を構成した場合に検出されます。During this process, Azure AD detects if the organization has configured an MDM. この場合、Windows はデバイスを "アカウントの追加" フローの一部として MDM に登録します。If that’s the case, Windows attempts to enroll the device in MDM as part of the “add account” flow. BYOD の場合、ユーザーは MDM 利用規約を拒否できます。その場合、デバイスは MDM に登録されていないので、企業のリソースへのアクセスは通常制限されます。It’s important to note that in the BYOD case, users can reject the MDM Terms of Use—in which case the device is not enrolled in MDM and access to corporate resources is typically restricted.

統合 MDM 登録と UXIntegrated MDM enrollment and UX

2 つの Azure AD MDM 登録シナリオ:Two Azure AD MDM enrollment scenarios:

  • 会社所有のデバイスの Azure ADに参加するJoining a device to Azure AD for company-owned devices
  • 個人用デバイスへの仕事用アカウントの追加 (BYOD)Adding a work account to a personal device (BYOD)

どちらのシナリオでも、Azure AD は、MDM 登録に使用できる検証済みの一意のデバイス識別子を提供する、ユーザーとデバイスの認証を担当します。In both scenarios, Azure AD is responsible for authenticating the user and the device, which provides a verified unique device identifier that can be used for MDM enrollment.

どちらのシナリオでも、登録フローは、MDM サービスが Web ビューを使用して独自の UI をレンダリングする機会を提供します。In both scenarios, the enrollment flow provides an opportunity for the MDM service to render its own UI, using a web view. MDM ベンダーはこれを使用して利用規約 (TOU) をレンダリングする必要があります。これは、会社所有のデバイスと BYOD デバイスで異なる場合があります。MDM vendors should use this to render the Terms of Use (TOU), which can be different for company-owned and BYOD devices. MDM ベンダーは、Web ビューを使用して、組織のビジネス プロセスの一部である場合に、1 回限り PIN を要求するなどの追加の UI 要素をレンダリングすることもできます。MDM vendors can also use the web view to render additional UI elements, such as asking for a one-time PIN, if this is part of the business process of the organization.

一般的なシナリオでは、Web ビューは 100% フルスクリーンで、MDM ベンダーはエッジからエッジへのエクスペリエンスをペイントできます。In the out-of-the-box scenario, the web view is 100% full screen, which gives the MDM vendor the ability to paint an edge-to-edge experience. 大きな力を持つには、大きな責任が伴います。With great power comes great responsibility! Azure との統合を選択した MDM ベンダーが、Windows 10 ADガイドラインを尊重することが重要です。It is important that MDM vendors who chose to integrate with Azure AD respect the Windows 10 design guidelines to the letter. これには、応答性の高い Web デザインの使用や、ナビゲーション ロジックに適切に配線された前方ボタンと戻るボタンを含む Windows アクセシビリティ ガイドラインの尊重が含まれます。This includes using a responsive web design and respecting the Windows accessibility guidelines, which includes the forward and back buttons that are properly wired to the navigation logic. 詳細については、このトピックの後半で説明します。Additional details are provided later in this topic.

Azure AD 登録が Active Directory フェデレーション サービス (AD FS) でサポートされている Azure AD アカウントで動作するには、「Azure MFA を AD FS で認証プロバイダーとして構成する」の「ソリューション #2」の説明に従って、ADFS サービス上のイントラネットのパスワード認証 を有効にする必要があります。For Azure AD enrollment to work for an Active Directory Federated Services (AD FS) backed Azure AD account, you must enable password authentication for the intranet on the ADFS service as described in solution #2 in Configure Azure MFA as authentication provider with AD FS.

ユーザーが Azure ADアカウントを Windows 10 に追加し、MDM に登録すると、登録は [設定アカウント**** の作業] アクセスを通じて > **** > 管理できますOnce a user has an Azure AD account added to Windows 10 and enrolled in MDM, the enrollment can be managed through Settings > Accounts > Work access. 企業のシナリオまたは BYOD シナリオAD参加する Azure のデバイス管理は似ています。Device management of either Azure AD Join for corporate scenarios or BYOD scenarios is similar.

注意

管理は Azure の管理者または**** 仕事用アカウントに関連付AD、ユーザーはワーク アクセス ユーザー インターフェイスを通じてデバイスの登録を削除できません。Users cannot remove the device enrollment through the Work access user interface because management is tied to the Azure AD or work account.

Azure AD統合登録に関連する MDM エンドポイントMDM endpoints involved in Azure AD–integrated enrollment

Azure AD MDM 登録は 2 段階のプロセスです。Azure AD MDM enrollment is a two-step process:

  1. 利用規約を表示し、ユーザーの同意を収集します。Display the Terms of Use and gather user consent.

    これは、ユーザーがブラウザー コントロール (Webview) で MDM の利用規約の URL にリダイレクトされるパッシブ フローです。This is a passive flow where the user is redirected in a browser control (webview) to the URL of the Terms of Use of the MDM.

  2. デバイスを登録します。Enroll the device.

    これは、Windows OMA DM エージェントが MDM サービスを呼び出してデバイスを登録するアクティブ なフローです。This is an active flow where Windows OMA DM agent calls the MDM service to enroll the device.

Azure AD登録をサポートするには、MDM ベンダーが利用規約エンドポイントと MDM 登録エンドポイントをホストして公開する必要があります。To support Azure AD enrollment, MDM vendors must host and expose a Terms of Use endpoint and an MDM enrollment endpoint.

使用条件エンドポイント このエンドポイントを使用して、デバイスを組織で制御する方法をユーザーに通知します。Terms of Use endpoint Use this endpoint to inform users of the ways in which their device can be controlled by their organization. [利用規約] ページは、実際の登録フェーズが開始される前にユーザーの同意を収集する責任を負います。The Terms of Use page is responsible for collecting user’s consent before the actual enrollment phase begins.

使用条件フローは、Windows および Azure のユーザーに対する "不透明なボックス" AD。It’s important to understand that the Terms of Use flow is an "opaque box" to Windows and Azure AD. Web ビュー全体が利用規約 URL にリダイレクトされ、ユーザーは本規約の承認 (または場合によっては拒否) 後にリダイレクトされる予定です。The whole web view is redirected to the Terms of Use URL, and the user is expected to be redirected back after approving (or in some cases rejecting) the Terms. この設計により、MDM ベンダーは、さまざまなシナリオ (BYOD と会社が所有するデバイスで異なるレベルの制御が適用されるなど) に合わせて使用条件をカスタマイズしたり、ユーザー/グループ ベースのターゲット設定を実装したりできます (たとえば、特定の地域のユーザーは、デバイス管理ポリシーの厳格化の対象になる場合があります)。This design allows the MDM vendor to customize their Terms of Use for different scenarios (e.g., different levels of control are applied on BYOD vs. company-owned devices) or implement user/group based targeting (e.g., users in certain geographies may be subject to stricter device management policies).

利用規約エンドポイントを使用すると、IT によって提供される 1 回限りの PIN の収集など、追加のビジネス ロジックを実装してデバイスの登録を制御できます。The Terms of Use endpoint can be used to implement additional business logic, such as collecting a one-time PIN provided by IT to control device enrollment. ただし、MDM ベンダーは、ユーザー資格情報を収集するために使用条件フローを使用し、ユーザー エクスペリエンスが非常に低下する可能性があります。However, MDM vendors must not use the Terms of Use flow to collect user credentials, which could lead to a highly degraded user experience. MDM 統合の一部によって、MDM サービスが Azure サービスによって発行されたトークンを理解AD。It’s not needed, since part of the MDM integration ensures that the MDM service can understand tokens issued by Azure AD.

MDM 登録エンドポイント ユーザーが利用規約に同意すると、デバイスは Azure ADに登録され、MDM の自動登録が開始されます。MDM enrollment endpoint After the users accepts the Terms of Use, the device is registered in Azure AD and the automatic MDM enrollment begins.

次の図は、実際の登録プロセスに関係する高レベルのフローを示しています。The following diagram illustrates the high-level flow involved in the actual enrollment process. デバイスは最初に Azure サーバーに登録AD。The device is first registered with Azure AD. このプロセスでは、デバイスに一意のデバイス識別子を割り当て、Azure AD (デバイス認証) でデバイスを認証できます。This process assigns a unique device identifier to the device and presents the device with the ability to authenticate itself with Azure AD (device authentication). その後、デバイスは MDM を使用して管理のために登録されます。Subsequently, the device is enrolled for management with the MDM. これは、登録エンドポイントを呼び出し、ユーザーとデバイスの登録を要求することで行われます。This is done by calling the enrollment endpoint and requesting enrollment for the user and device. この時点で、ユーザーが認証され、デバイスが Azure サーバーに登録され、認証AD。At this point, the user has been authenticated and device has been registered and authenticated with Azure AD. この情報は、登録エンドポイントで提示されたアクセス トークン内のクレームの形式で MDM で利用できます。This information is made available to the MDM in the form of claims within an access token presented at the enrollment endpoint.

azure 広告登録フロー

MDM は、Azure AD Graph API を使用してデバイスコンプライアンスを Azure ADに報告する際に、デバイス (デバイス ID) に関するこの情報 を使用ADされますThe MDM is expected to use this information about the device (Device ID) when reporting device compliance back to Azure AD using the Azure AD Graph API. レポート デバイスコンプライアンスのサンプルについては、このトピックの後半で説明します。A sample for reporting device compliance is provided later in this topic.

MDM を Azure サーバーの信頼性の高いADMake the MDM a reliable party of Azure AD

前のセクションで説明した統合登録フローに参加するには、MDM が Azure AD によって発行されたアクセス トークンを使用できる必要があります。To participate in the integrated enrollment flow outlined in the previous section, the MDM must be able to consume access tokens issued by Azure AD. Azure AD にコンプライアンスを報告するには、MDM が Azure AD に対して自身を認証し、Azure AD Graph API を呼び出すアクセス トークンの形式で承認 を取得できる必要があります。To report compliance to Azure AD, the MDM must be able to authenticate itself to Azure AD and obtain authorization in the form of an access token that allows it to invoke the Azure AD Graph API.

クラウドベースの MDM の追加Add a cloud-based MDM

クラウドベースの MDM は、クラウド内のデバイス管理機能を提供する SaaS アプリケーションです。A cloud-based MDM is a SaaS application that provides device management capabilities in the cloud. これは、マルチテナント アプリケーションです。It is a multi-tenant application. このアプリケーションは、MDM ベンダーのホーム AD Azure に登録されています。This application is registered with Azure AD in the home tenant of the MDM vendor. IT 管理者がこの MDM ソリューションを使用すると、このアプリケーションのインスタンスが顧客のテナントに表示されます。When an IT admin decides to use this MDM solution, an instance of this application is made visible in the tenant of the customer.

MDM ベンダーは、まずホーム テナントにアプリケーションを登録し、マルチテナント アプリケーションとしてマークする必要があります。The MDM vendor must first register the application in their home tenant and mark it as a multi-tenant application. ここでは、Azure AD、WepApp-WebAPI-MultiTenant-OpenIdConnect-DotNetにマルチテナント アプリケーションを追加する方法を説明する GitHub のコード サンプルを示します。Here a code sample from GitHub that explains how to add multi-tenant applications to Azure AD, WepApp-WebAPI-MultiTenant-OpenIdConnect-DotNet.

注意

MDM プロバイダーの場合、管理する Azure AD サブスクリプションを持つ既存の Azure AD テンタンがいない場合は 、「Azure AD テナントと Azure AD サブスクリプションの追加」のステップ バイ ステップ ガイドに従って、テナントをセットアップし、サブスクリプションを追加し、Azure Portal を介して管理します。For the MDM provider, if you don't have an existing Azure AD tentant with an Azure AD subscription that you manage, follow the step-by-step guide in Add an Azure AD tenant and Azure AD subscription to set up a tenant, add a subscription, and manage it via the Azure Portal.

MDM アプリケーションが Azure AD からアクセス トークンを要求するために使用するキーは、MDM ベンダーのテナント内で管理され、個々の顧客には表示されません。The keys used by the MDM application to request access tokens from Azure AD are managed within the tenant of the MDM vendor and not visible to individual customers. 管理するデバイスが属する顧客のテネトに関係なく、同じキーをマルチテナント MDM アプリケーションで使用して Azure AD で自身を認証します。The same key is used by the multi-tenant MDM application to authenticate itself with Azure AD, regardless of the customer tenent to which the device being managed belongs.

クラウド ベースの MDM アプリケーションを Azure アプリケーションに登録するには、次の手順をAD。Use the following steps to register a cloud-based MDM application with Azure AD. 現時点では、Azure AD エンジニアリング チームと作業して、Azure AD アプリ ギャラリーを通じてこのアプリケーションを公開する必要があります。At this time, you need to work with the Azure AD engineering team to expose this application through the Azure AD app gallery.

  1. ホーム テナントの管理者アカウントを使用して Azure 管理ポータルにログインします。Log in to the Azure Management Portal using an admin account in your home tenant.

  2. 左側のナビゲーションで、Active Directory を クリックしますIn the left navigation, click on the Active Directory.

  3. アプリケーションを登録するディレクトリ テナントをクリックします。Click the directory tenant where you want to register the application.

    ホーム テナントにログインしている必要があります。Ensure that you are logged into your home tenant.

  4. [アプリケーション ] タブをクリック します。Click the Applications tab.

  5. ドロワーで、[追加] を クリックしますIn the drawer, click Add.

  6. [組織で開発中のアプリケーションを追加] をクリックします。Click Add an application my organization is developing.

  7. ContosoMDM などのアプリケーションの分名を入力し、[Web アプリケーション] または [Web API] を選択し、[次へ] を クリックしますEnter a friendly name for the application, such as ContosoMDM, select Web Application and or Web API, then click Next.

  8. MDM サービスのログイン URL を入力します。Enter the login URL for your MDM service.

  9. アプリ ID に ** < 「\https://_tenant_name>/ContosoMDM」** と入力し、[OK] をクリックします。For the App ID, enter https://<your_tenant_name>/ContosoMDM, then click OK.

  10. Azure portal の実行中に、アプリケーションの [構成] タブをクリックします。While still in the Azure portal, click the Configure tab of your application.

  11. アプリケーションをマルチテナント としてマークしますMark your application as multi-tenant.

  12. クライアント ID の値を見つけてコピーします。Find the client ID value and copy it.

    これは、後でアプリケーションを構成するときに必要になります。You will need this later when configuring your application. このクライアント ID は、アクセス トークンを取得し、アプリケーションを Azure アプリ ギャラリー AD使用します。This client ID is used when obtaining access tokens and adding applications to the Azure AD app gallery.

  13. アプリケーションのキーを生成し、コピーします。Generate a key for your application and copy it.

    デバイスのコンプライアンスを報告するために Azure AD Graph API を呼び出す場合に必要です。You will need this to call the Azure AD Graph API to report device compliance. これは、以降のセクションで説明します。This is covered in the subsequent section.

サンプル アプリケーションを Azure AD に登録する方法の詳細については 、「TodoListService Web APINativeClient-DotNetに登録する手順」を参照してください。For more information about how to register a sample application with Azure AD, see the steps to register the TodoListService Web API in NativeClient-DotNet.

オンプレミス MDM の追加Add an on-premises MDM

オンプレミス MDM アプリケーションは、クラウド MDM とは本質的に異なります。An on-premises MDM application is inherently different that a cloud MDM. これは、顧客のテナント内に一意に存在する単一テナント アプリケーションです。It is a single-tenant application that is present uniquely within the tenant of the customer. したがって、ユーザーは自分のテナント内でアプリケーションを直接追加する必要があります。Therefore, customers must add the application directly within their own tenant. さらに、オンプレミス MDM アプリケーションの各インスタンスは個別に登録する必要があります。Azure MDM アプリケーションを使用した認証用に個別のキー AD。Additionally, each instance of an on-premises MDM application must be registered separately and has a separate key for authentication with Azure AD.

テナントにオンプレミス MDM アプリケーションを追加するには、Azure AD サービスの下にエントリがあります。特にモビリティ (MDMと MAM) [アプリケーションの追加] > の下にありますTo add an on-premises MDM application to the tenant, there is an entry under the Azure AD service, specifically under Mobility (MDM and MAM) > Add application. 管理者は、登録に必要な URL と利用規約を構成できます。Administrators can configure the required URLs for enrollment and Terms of Use.

オンプレミス MDM 製品では、管理者がクライアント ID、アプリ ID、および MDM アプリケーションのディレクトリで構成されたキーを提供できる構成エクスペリエンスを公開する必要があります。Your on-premises MDM product must expose a configuration experience where administrators can provide the client ID, app ID, and the key configured in their directory for that MDM application. このクライアント ID とキーを使用して、デバイスのコンプライアンスを報告するときに Azure ADトークンを要求できます。You can use this client ID and key to request tokens from Azure AD when reporting device compliance.

Azure AD にアプリケーションを登録する方法の詳細については、「Azure AD でのアプリケーションの登録の基本」を参照AD。For more information about registering applications with Azure AD, see Basics of Registering an Application in Azure AD.

主な管理とセキュリティのガイドラインKey management and security guidelines

MDM サービスで使用されるアプリケーション キーは、機密性の高いリソースです。The application keys used by your MDM service are a sensitive resource. セキュリティを強化するために、定期的に保護およびロールオーバーする必要があります。They should be protected and rolled over periodically for greater security. MDM サービスが Azure AD Graph API を呼び出すアクセス トークンはベアラー トークンであり、承認されていない開示を避けるために保護する必要があります。Access tokens obtained by your MDM service to call the Azure AD Graph API are bearer tokens and should be protected to avoid unauthorized disclosure.

セキュリティのベスト プラクティスについては 、「Windows Azure Security Essentials」を参照してくださいFor security best practices, see Windows Azure Security Essentials.

顧客とのやり取りを必要とせずに、クラウドベースの MDM サービスで使用されるアプリケーション キーをロールオーバーできます。You can rollover the application keys used by a cloud-based MDM service without requiring a customer interaction. すべての顧客テナントに対して 1 セットのキーが 1 つ作成されます。このキーは、Azure サービス ADテナント内の MDM ベンダーによって管理されます。There is a single set of keys across all customer tenants that are managed by the MDM vendor in their Azure AD tenant.

オンプレミス MDM の場合、Azure AD での認証に使用されるキーは、顧客のテナント内にあるので、顧客の管理者がロールオーバーする必要があります。For the on-premises MDM, the keys used to authenticate with Azure AD are within the tenant of the customer and must be rolled over by the customer's administrator. この場合、セキュリティを強化するためのキーのロールオーバーと保護に関するガイダンスを顧客に提供する必要があります。In this case, you should provide guidance to the customers about rolling over and protecting the keys to improved security.

IT 管理者は、Azure ADギャラリーを使用して、組織が使用する MDM を追加します。IT administrators use the Azure AD app gallery to add an MDM for their organization to use. アプリ ギャラリーは、2400 を超える SaaS アプリケーションを持つリッチ ストアで、Azure AD。The app gallery is a rich store with over 2400 SaaS applications that are integrated with Azure AD.

次の図は、MDM アプリケーションが MDM ソフトウェア専用のカテゴリの Azure アプリ ギャラリーに表示される方法を示しています。The following image illustrates how MDM applications will show up in the Azure app gallery in a category dedicated to MDM software.

azure ad add an app for mdm

注意

MDM アプリケーションがクラウドベースで、マルチテナント MDM アプリケーションとして有効にする必要がある場合は、Azure AD エンジニアリング チームと一緒に作業する必要があります。You should work with the Azure AD engineering team if your MDM application is cloud-based and needs to be enabled as a multi-tenant MDM application

次の表に、Azure アプリ ギャラリーにエントリを作成するために必要AD示します。The following table shows the required information to create an entry in the Azure AD app gallery.

項目Item 説明Description

アプリケーション IDApplication ID

テナント内で構成されている MDM アプリのクライアント ID。The client ID of your MDM app that is configured within your tenant. これは、マルチテナント アプリの一意の識別子です。This is the unique identifier for your multi-tenant app.

発行元Publisher

アプリの発行元を識別する文字列。A string that identifies the publisher of the app.

アプリケーション URLApplication URL

管理者が MDM アプリの詳細を取得し、アプリのランディング ページへのリンクを含むアプリのランディング ページへの URL。A URL to the landing page of your app where your administrators can get more information about the MDM app and contains a link to the landing page of your app. この URL は、実際の登録には使用されません。This URL is not used for the actual enrollment.

説明Description

MDM アプリの簡単な説明 (255 文字以下である必要があります)。A brief description of your MDM app, which must be under 255 characters.

アイコンIcons

MDM アプリのロゴ アイコンのセット。A set of logo icons for the MDM app. ディメンション: 45 X 45、150 X 122、214 X 215Dimensions: 45 X 45, 150 X 122, 214 X 215

アプリ ギャラリーにオンプレミス MDM を追加する特別な要件はありません。There are no special requirements for adding on-premises MDM to the app gallery. 管理者がテナントにアプリを追加する一般的なエントリがあります。There is a generic entry for administrator to add an app to their tenant.

ただし、オンプレミス MDM ではキー管理が異なります。However, key management is different for on-premises MDM. 顧客のテナント内で MDM アプリに割り当てられたクライアント ID (アプリ ID) とキーを取得する必要があります。You must obtain the client ID (app ID) and key assigned to the MDM app within the customer's tenant. これらは、Azure AD Graph API にアクセスし、デバイスのコンプライアンスを報告する認証を取得するために使用されます。These are used to obtain authorization to access the Azure AD Graph API and for reporting device compliance.

テーマThemes

統合登録プロセスの一部として MDM によってレンダリングされるページでは、Windows 10 テンプレート(Windows 10テンプレートと CSS ファイルのダウンロード) を使用する必要があります。The pages rendered by the MDM as part of the integrated enrollment process must use Windows 10 templates (Download the Windows 10 templates and CSS files). これは、すべてのページが端から端の HTML ページである OOBE での Azure AD Join エクスペリエンスの間に登録する場合に重要です。This is important for enrollment during the Azure AD Join experience in OOBE where all of the pages are edge-to-edge HTML pages. ボタンの配置を正しく取得しないので、テンプレートのコピーを試みない。Don't try to copy the templates because you'll never get the button placement right. 共有 Windows 10 テンプレートを使用すると、お客様のシームレスなエクスペリエンスが確保されます。Using the shared Windows 10 templates ensure a seamless experience for the customers.

3 つの異なるシナリオがあります。There are 3 distinct scenarios:

  1. Azure の一部としての MDM 登録AD Windows OOBE に参加します。MDM enrollment as part of Azure AD Join in Windows OOBE.
  2. 設定から Windows OOBE の後、Azure AD参加の一部として MDM 登録 を行いますMDM enrollment as part of Azure AD Join, after Windows OOBE from Settings.
  3. 個人デバイス (BYOD) に Microsoft の作業アカウントを追加する一部としての MDM 登録。MDM enrollment as part of adding a Microsoft work account on a personal device (BYOD).

シナリオ 1、2、および 3 は、Windows 10 Pro、Windows 10 Enterprise、および Windows 10 Education で使用できます。Scenarios 1, 2, and 3 are available in Windows 10 Pro, Windows 10 Enterprise, and Windows 10 Education. シナリオ 1 とシナリオ 3 は、Windows 10 Mobile で使用できます。Scenarios 1 and 3 are available in Windows 10 Mobile. シナリオ 1 のサポートは、Windows 10 Mobile バージョン 1511 で追加されました。Support for scenario 1 was added in Windows 10 Mobile, version 1511.

Microsoft が提供する CSS ファイルにはバージョン情報が含まれているので、最新バージョンを使用することをお勧めします。The CSS files provided by Microsoft contains version information and we recommend that you use the latest version. デスクトップ デバイスとモバイル デバイス、OOBE、およびポスト OOBE エクスペリエンス用の個別の CSS ファイルがあります。There are separate CSS files for desktop and mobile devices, OOBE, and post-OOBE experiences. Windows 10 テンプレートと CSS ファイルをダウンロードしますDownload the Windows 10 templates and CSS files.

テーマの使用Using themes

MDM ページは、表示されるシナリオに応じて定義済みのテーマに従う必要があります。An MDM page must adhere to a predefined theme depending on the scenario that is displayed. たとえば、CXH-HOSTHTTP ヘッダーが FRX (OOBE シナリオ) の場合、ページは、WinJS ファイル Ui-dark.css ver 4.0 および oobe-desktop.css ver 1.0.4 を使用する青い背景色の濃いテーマをサポートする必要があります。For example, if the CXH-HOSTHTTP header is FRX, which is the OOBE scenario, the page must support a dark theme with blue background color, which uses WinJS file Ui-dark.css ver 4.0 and oobe-desktop.css ver 1.0.4.

CXH-HOST (HTTP ヘッダー)CXH-HOST (HTTP HEADER) シナリオScenario 背景テーマBackground Theme WinJSWinJS シナリオ CSSScenario CSS
FRXFRX OOBEOOBE 濃いテーマ + 青の背景色Dark theme + blue background color ファイル名: Ui-dark.cssFilename: Ui-dark.css ファイル名: oobe-dekstop.cssFilename: oobe-dekstop.css
MOSETMOSET 設定/Settings/

Post OOBEPost OOBE

淡色テーマLight theme ファイル名: Ui-light.cssFilename: Ui-light.css ファイル名: settings-desktop.cssFilename: settings-desktop.css

使用条件プロトコルセマンティクスTerms of Use protocol semantics

使用条件エンドポイントは MDM サーバーによってホストされます。The Terms of Use endpoint is hosted by the MDM server. Azure AD Join プロトコル フロー中に、Windows は、このエンドポイントへのフル ページ リダイレクトを実行します。During the Azure AD Join protocol flow, Windows performs a full-page redirect to this endpoint. これにより、MDM は適用される条件を表示し、ユーザーが登録に関連する用語を承諾または拒否できるようにします。This enables the MDM to display the terms and conditions that apply and allows the user to accept or reject the terms associated with enrollment. ユーザーが条項に同意すると、MDM は登録プロセスを続行するために Windows にリダイレクトします。After the user accepts the terms, the MDM redirects back to Windows for the enrollment process to continue.

利用規約エンドポイントへのリダイレクトRedirect to the Terms of Use endpoint

これは、MDM によってホストされるユーザーの用語エンドポイントへの完全なページ リダイレクトです。This is a full page redirect to the Terms of User endpoint hosted by the MDM. URL の例を次に示します。https: //fabrikam.contosomdm.com/TermsOfUse。Here is an example URL, https://fabrikam.contosomdm.com/TermsOfUse.

クエリ文字列には、次のパラメーターが渡されます。The following parameters are passed in the query string:

項目Item 説明Description

redirect_uriredirect_uri

ユーザーが利用規約を承諾または拒否すると、ユーザーはこの URL にリダイレクトされます。After the user accepts or rejects the Terms of Use, the user is redirected to this URL.

client-request-idclient-request-id

診断およびデバッグの目的でログを関連付ける目的で使用される GUID。A GUID that is used to correlate logs for diagnostic and debugging purposes. このパラメーターを使用して、登録要求の状態をログに記録または追跡し、障害が発生した場合の根本原因の特定に役立ちます。You use this parameter to log or trace the state of the enrollment request to help find the root cause in case of failures.

api-versionapi-version

クライアントが要求するプロトコルのバージョンを指定します。Specifies the version of the protocol requested by the client. これにより、プロトコルのバージョンリビジョンをサポートするメカニズムが提供されます。This provides a mechanism to support version revisions of the protocol.

モードmode

mode=azureadjoin の場合、デバイスが企業所有のデバイスを指定します。Specifies that the device is corporate owned when mode=azureadjoin. このパラメーターは BYOD デバイスには存在しない。This parameter is not present for BYOD devices.

アクセス トークンAccess token

ベアラー アクセス トークンは Azure AD HTTP 要求の承認ヘッダーに渡されます。A bearer access token is issued by Azure AD is passed in the authorization header of the HTTP request. 一般的な形式を次に示します。Here is a typical format:

承認: ベアラー CI6MTQxmCF5xgu6yYcmV9ng6vhQfaJYw..Authorization: Bearer CI6MTQxmCF5xgu6yYcmV9ng6vhQfaJYw…

Windows から利用規約エンドポイントに渡されるアクセス トークンでは、次のクレームが必要です。The following claims are expected in the access token passed by Windows to the Terms of Use endpoint:

項目Item 説明Description

オブジェクト IDObject ID

認証されたユーザーに対応するユーザー オブジェクトの識別子。Identifier of the user object corresponding to the authenticated user.

UPNUPN

認証されたユーザーのユーザー プリンシパル名 (UPN) を含むクレーム。A claim containing the user principal name (UPN) of the authenticated user.

TIDTID

テナントのテナント ID を表すクレーム。A claim representing the tenant ID of the tenant. 上記の例では、s Fabrikam'を使用します。In the example above, it's Fabrikam.

リソースResource

MDM アプリケーションを表すサニティ化された URL。A sanitized URL representing the MDM application. 例: https: //fabrikam.contosomdm.com。Example, https://fabrikam.contosomdm.com.


注意

アクセス トークンにデバイス ID クレームはありません。この時点でデバイスがまだ登録されていない可能性があります。There is no device ID claim in the access token because the device may not yet be enrolled at this time.

ユーザーのグループ メンバーシップの一覧を取得するには、Azure AD Graph API を使用できますTo retrieve the list of group memberships for the user, you can use the Azure AD Graph API.

URL の例を次に示します。Here's an example URL.

https://fabrikam.contosomdm.com/TermsOfUse?redirect_uri=ms-appx-web://ContosoMdm/ToUResponse&client-request-id=34be581c-6ebd-49d6-a4e1-150eff4b7213&api-version=1.0
Authorization: Bearer eyJ0eXAiOi

MDM は、アクセス トークンが Azure AD によって発行されたと確認し、受信者が適切なアクセス トークンの署名を検証する必要があります。The MDM is expected to validate the signature of the access token to ensure it was issued by Azure AD and ensure that recipient is appropriate.

利用規約コンテンツTerms of Use content

MDM は、ユーザーに利用規約のコンテンツを表示する前に、必要に応じて他の追加リダイレクトを実行する場合があります。The MDM may perform other additional redirects as necessary before displaying the Terms of Use content to the user. ブラウザー コントロールでエンド ユーザーに表示できるよう、適切な利用規約コンテンツを呼び出し元 (Windows) に返す必要があります。The appropriate Terms of Use content should be returned to the caller (Windows) so it can be displayed to the end user in the browser control.

利用規約コンテンツには、次のボタンが含まれている必要があります。The Terms of Use content should contain the following buttons:

  • Accept - ユーザーは利用規約に同意し、登録を続行します。Accept - the user accepts the Terms of Use and proceeds with enrollment.
  • [拒否 ] - ユーザーは登録プロセスを拒否して停止します。Decline - the user declines and stops the enrollment process.

利用規約コンテンツは、このプロセス中にレンダリングされる他のページで使用されるテーマと一致している必要があります。The Terms of Use content must be consistent with the theme used for the other pages rendered during this process.

使用条件エンドポイント処理ロジックTerms of Use endpoint processing logic

この時点で、ユーザーは OOBE または設定エクスペリエンスで表示される [利用規約] ページに表示されます。At this point, the user is on the Terms of Use page shown during the OOBE or from the Setting experiences. ユーザーには、ページに次のオプションがあります。The user has the following options on the page:

  • ユーザーが [承諾] ボタンをクリック する - MDM は、受信要求の redirect_uri パラメーターで指定された URI にリダイレクトする必要があります。User clicks on the Accept button - The MDM must redirect to the URI specified by the redirect_uri parameter in the incoming request. 次のクエリ文字列パラメーターが必要です。The following query string parameters are expected:
    • IsAccepted - この必須のブール型 (Boolean) を true に設定する必要があります。IsAccepted - This mandatory Boolean must be set to true.
    • OPAQUEBlob - ユーザーが受け入れる場合は必須のパラメーター。OpaqueBlob - Required parameter if the user accepts. MDM はこれを使用して、登録エンドポイントで一部の情報を利用できるようにします。The MDM may use this make some information available to the enrollment endpoint. ここで保持される値は、登録エンドポイントで変更されずに使用できます。The value persisted here is made available unchanged at the enrollment endpoint. MDM は、相関の目的でこのパラメーターを使用できます。The MDM may use this parameter for correlation purposes.
    • リダイレクトの例を次に示します 。 ms-appx-web://MyApp1/ToUResponse?OpaqueBlob=value&IsAccepted=trueHere is an example redirect - ms-appx-web://MyApp1/ToUResponse?OpaqueBlob=value&IsAccepted=true
  • ユーザーが [辞退] ボタンを クリックする - MDM は、受信要求の redirect_uriで指定された URI にリダイレクトする必要があります。User clicks on the Decline button - The MDM must redirect to the URI specified in redirect_uri in the incoming request. 次のクエリ文字列パラメーターが必要です。The following query string parameters are expected:
    • IsAccepted - この必須のブール型 (Boolean) を false に設定する必要があります。IsAccepted - This mandatory Boolean must be set to false. これは、ユーザーが利用規約をスキップした場合にも適用されます。This also applies if the user skipped the Terms of Use.
    • OPAQUEBlob - このパラメーターは、登録が停止され、ユーザーにエラー メッセージが表示されたため、使用されません。OpaqueBlob - This parameter is not expected to be used because the enrollment is stopped with an error message displayed to the user.

ユーザーは、Microsoft の仕事用アカウントをデバイスに追加するときに、利用規約をスキップします。Users skip the Terms of Use when they are adding a Microsoft work account to their device. ただし、Azure の参加プロセス中にスキップADできません。However, then cannot skip it during the Azure AD Join process. Azure AD Join の管理者が構成した場合、MDM 登録をユーザーが拒否できないので、拒否ボタンを Azure AD Join プロセスに表示ADできません。The decline button must not be shown in the Azure AD Join process because MDM enrollment cannot be declined by the user if configured by the administrator for the Azure AD Join.

このリダイレクト応答の一部として、クエリ文字列にクライアント要求-id パラメーターを送信することをお勧めします。We recommend that you send the client-request-id parameters in the query string as part of this redirect response.

利用規約 エラーの処理Terms Of Use Error handling

使用条件の処理中にエラーが発生した場合、MDM はリダイレクト要求の error と error_description パラメーターの 2 つのパラメーターを Windows に返す可能性があります。If an error was encountered during the terms of use processing, the MDM can return two parameters – an error and error_description parameter in its redirect request back to Windows. URL をエンコードし、error_descriptionの内容を英語のプレーン テキストで指定する必要があります。Note that the URL should be encoded and the contents of the error_description should be in English plain text. このテキストはエンド ユーザーには表示されないので、エラー説明テキストのローカライズは問題ではありません。This text is not visible to the end-user and therefore localization of the error description text is not a concern.

URL 形式を次に示します。Here is the URL format:

HTTP/1.1 302
Location:
<redirect_uri>?error=access_denied&error_description=Access%20is%20denied%2E


Example:
HTTP/1.1 302
Location: ms-appx-web://App1/ToUResponse?error=access_denied&error_description=Access%20is%20denied%2E

次の表に、エラー コードを示します。The following table shows the error codes.

原因Cause HTTP ステータスHTTP status エラーError 説明Description

api-versionapi-version

302302

invalid_requestinvalid_request

サポートされていないバージョンunsupported version

テナントまたはユーザー データが見つからないか、デバイス登録に必要なその他の前提条件が満たされていないTenant or user data are missing or other required prerequisites for device enrollment are not met

302302

unauthorized_clientunauthorized_client

承認されていないユーザーまたはテナントunauthorized user or tenant

Azure ADトークンの検証に失敗しましたAzure AD token validation failed

302302

unauthorized_clientunauthorized_client

unauthorized_clientunauthorized_client

内部サービス エラーinternal service error

302302

server_errorserver_error

内部サービス エラーinternal service error

Azure を使用した登録ADEnrollment protocol with Azure AD

Azure 統合 MDM 登録では、検出フェーズは存在し、検出 URL は Azure からシステムに直接渡されます。With Azure integrated MDM enrollment, there is no discovery phase and the discovery URL is directly passed down to the system from Azure. 次の表に、従来の登録と Azure 登録の比較を示します。The following table shows the comparison between the traditional and Azure enrollments.

詳細Detail 従来の MDM 登録Traditional MDM enrollment Azure AD参加 (企業所有のデバイス)Azure AD Join (corporate-owned device) Azure AD作業アカウント (ユーザー所有のデバイス) を追加するAzure AD add a work account (user-owned device)

電子メール アドレスを使用して MDM 検出 URL を取得する MDM 自動検出MDM auto-discovery using email address to retrieve MDM discovery URL

登録Enrollment

該当なしNot applicable

Azure でプロビジョニングされた探索 URLDiscovery URL provisioned in Azure

MDM 検出 URL を使用するUses MDM discovery URL

登録Enrollment

登録の更新Enrollment renewal

ROBOROBO

登録Enrollment

登録の更新Enrollment renewal

ROBOROBO

登録Enrollment

登録の更新Enrollment renewal

ROBOROBO

MDM の登録が必要ですか?Is MDM enrollment required?

はいYes

はいYes

なしNo

ユーザーは拒否できます。User can decline.

認証の種類Authentication type

OnPremiseOnPremise

フェデレーションFederated

証明書Certificate

フェデレーションFederated

フェデレーションFederated

EnrollmentPolicyServiceURLEnrollmentPolicyServiceURL

オプション (すべての認証)Optional (all auth)

オプション (すべての認証)Optional (all auth)

オプション (すべての認証)Optional (all auth)

EnrollmentServiceURLEnrollmentServiceURL

必須 (すべての認証)Required (all auth)

Used (すべての認証)Used (all auth)

Used (すべての認証)Used (all auth)

EnrollmentServiceURL には、OS バージョン、OS プラットフォーム、および MDM 検出 URL によって提供されるその他の属性が含まれます。EnrollmentServiceURL includes OS Version, OS Platform, and other attributes provided by MDM discovery URL

強くお勧めしますHighly recommended

強くお勧めしますHighly recommended

強くお勧めしますHighly recommended

AuthenticationServiceURL の使用AuthenticationServiceURL used

Used (フェデレーション認証)Used (Federated auth)

スキップSkipped

スキップSkipped

BinarySecurityTokenBinarySecurityToken

MDM ごとのカスタムCustom per MDM

Azure AD発行されたトークンAzure AD issued token

Azure AD発行されたトークンAzure AD issued token

EnrollmentTypeEnrollmentType

完全Full

デバイスDevice

完全Full

登録済み証明書の種類Enrolled certificate type

ユーザー証明書User certificate

デバイス証明書Device certificate

ユーザー証明書User certificate

登録済み証明書ストアEnrolled certificate store

マイ/ユーザーMy/User

My/SystemMy/System

マイ/ユーザーMy/User

CSR サブジェクト名CSR subject name

ユーザー プリンシパル名User Principal Name

デバイス IDDevice ID

ユーザー プリンシパル名User Principal Name

EnrollmentData の使用条件バイナリ BLOB as AdditionalContext for EnrollmentServiceURLEnrollmentData Terms of Use binary blob as AdditionalContext for EnrollmentServiceURL

サポートされていませんNot supported

サポートされていますSupported

サポートされていますSupported

登録時にアクセス可能な CSPCSPs accessible during enrollment

Windows 10 のサポート:Windows 10 support:

  • DMClientDMClient
  • CertificateStoreCertificateStore
  • RootCATrustedCertificatesRootCATrustedCertificates
  • ClientCertificateInstallClientCertificateInstall
  • EnterpriseModernAppManagementEnterpriseModernAppManagement
  • PassportForWorkPassportForWork
  • ポリシーPolicy
  • w7 APPLICATIONw7 APPLICATION

従来のサポート:Legacy support:

  • EnterpriseAppManagement (Windows Phone 8.1)EnterpriseAppManagement (Windows Phone 8.1)

従来の MDM 登録と同じsame as traditional MDM enrollment

従来の MDM 登録と同じsame as traditional MDM enrollment

Azure サーバーを使用した管理ADManagement protocol with Azure AD

Azure AD との統合を利用し、Azure ADおよびデバイス ID を利用する MDM 登録の種類は 2 種類です。There are two different MDM enrollment types that take advantage of integration with Azure AD and therefore make use of Azure AD user and device identities. 登録の種類によっては、MDM サービスで 1 人のユーザーまたは複数のユーザーを管理する必要がある場合があります。Depending on the enrollment type, the MDM service may need to manage a single user or multiple users.

参加しているデバイスに対する Azure ADユーザー管理 このシナリオでは、MDM 登録は、Azure AD 参加デバイスにログオンするすべての Azure AD ユーザーに適用されます。この登録タイプをデバイス登録またはマルチユーザー登録と呼び出します。Multiple user management for Azure AD joined devices In this scenario the MDM enrollment applies to every Azure AD user who logs on to the Azure AD joined device - call this enrollment type a device enrollment or a multi-user enrollment. 管理サーバーは、ユーザー ID を決定し、このユーザーを対象とするポリシーを結論付け、対応するポリシーをデバイスに送信できます。The management server can determine the user identity, conclude what policies are targeted for this user, and send corresponding policies to the device. 管理サーバーがデバイスにログオンしている現在のユーザーを識別するために、OMA DM クライアントは Azure ユーザー トークンAD使用します。To allow management server to identify current user that is logged on to the device, the OMA DM client uses the Azure AD user tokens. 各管理セッションには、Azure ユーザー トークンを含む追加の HTTP AD含まれています。Each management session contains an additional HTTP header that contains an Azure AD user token. この情報は、管理サーバーに送信される DM パッケージで提供されます。This information is provided in the DM package sent to the management server. ただし、一部の状況では、Azure ADトークンが管理サーバーに送信されません。However, in some circumstances Azure AD user token is not sent over to the management server. このようなシナリオの 1 つは、Azure の参加プロセス中に MDM 登録が完了した直後AD発生します。One such scenario happens immediately after MDM enrollments completes during Azure AD join process. Azure AD参加プロセスが完了し、Azure AD ユーザーがコンピューターにログオンするまで、Azure AD ユーザー トークンは OMA-DM プロセスでは使用できません。Until Azure AD join process is finished and Azure AD user logs on to the machine, Azure AD user token is not available to OMA-DM process. 通常、MDM の登録は Azure ADコンピューターにログオンする前に完了し、初期管理セッションには Azure ユーザー トークンAD含まれます。Typically MDM enrollment completes before Azure AD user logs on to machine and the initial management session does not contain an Azure AD user token. 管理サーバーは、トークンが見つからないか確認し、そのような場合はデバイス ポリシーのみを送信する必要があります。The management server should check if the token is missing and only send device policies in such case. OMA-DM ペイロードに Azure ADトークンが存在していないもう 1 つの考えられる理由は、ゲスト ユーザーがデバイスにログオンしている場合です。Another possible reason for a missing Azure AD token in the OMA-DM payload is when a guest user is logged on to the device.

仕事用アカウントと MDM 登録をデバイスに追加する このシナリオでは、MDM 登録は、最初に自分の仕事用アカウントを追加し、デバイスを登録した 1 人のユーザーに適用されます。Adding a work account and MDM enrollment to a device In this scenario, the MDM enrollment applies to a single user who initially added his work account and enrolled the device. この登録の種類では、管理サーバーは、管理セッション中AD送信される可能性がある Azure トークンを無視できます。In this enrollment type the management server can ignore Azure AD tokens that may be sent over during management session. Azure ADトークンが存在するかどうかに関なく、管理サーバーはユーザー ポリシーとデバイス ポリシーの両方をデバイスに送信します。Whether Azure AD token is present or missing, the management server sends both user and device policies to the device.

Azure ユーザー トークンAD評価する Azure ADトークンは、次の形式の HTTP 承認ヘッダーに含まれています。Evaluating Azure AD user tokens The Azure AD token is in the HTTP Authorization header in the following format:

Authorization:Bearer <Azure AD User Token Inserted here>

次のような追加のクレームが Azure ADトークンに存在する場合があります。Additional claims may be present in the Azure AD token, such as:

  • ユーザー - 現在ログインしているユーザーUser - user currently logged in
  • デバイスのコンプライアンス - MDM サービスを Azure に設定する値Device compliance - value set the MDM service into Azure
  • デバイス ID - チェックイン中のデバイスを識別します。Device ID - identifies the device that is checking in
  • テナント IDTenant ID

Azure web トークンによって発行されたアクセス AD JSON Web トークン (JWT) です。Access token issued by Azure AD are JSON web tokens (JWTs). 有効な JWT トークンは、登録プロセスを開始するために MDM 登録エンドポイントで Windows によって提示されます。A valid JWT token is presented by Windows at the MDM enrollment endpoint to initiate the enrollment process. トークンを評価するには、次の 2 つのオプションがあります。There are a couple of options to evaluate the tokens:

Azure ユーザー トークン用のデバイス AD 1224Device Alert 1224 for Azure AD user token

DM セッションが開始され、ユーザーがログインしている Azure AD通知が送信されます。An alert is sent when the DM session starts and there is an Azure AD user logged in. アラートは OMA DM pkg#1。The alert is sent in OMA DM pkg#1. 以下に例を示します。Here's an example:

Alert Type: com.microsoft/MDM/AADUserToken

Alert sample:
<SyncBody>
 <Alert>
  <CmdID>1</CmdID>
  <Data>1224</Data>
  <Item>
   <Meta>
    <Type xmlns=”syncml:metinf”>com.microsoft/MDM/AADUserToken</Type>
   </Meta>
   <Data>UserToken inserted here</Data>
  </Item>
 </Alert>
 … other XML tags …
</SyncBody>

ユーザーがポーリングを通じてログインする時間を決定するDetermine when a user is logged in through polling

アラートは DM パッケージ#1 で MDM サーバーに送信されます。An alert is sent to the MDM server in DM package#1.

  • アラートの種類 - com.microsoft/MDM/LoginStatusAlert type - com.microsoft/MDM/LoginStatus
  • アラート形式 - chrAlert format - chr
  • アラート データ - 現在アクティブなログイン しているユーザーのログイン状態情報を提供します。Alert data - provide login status information for the current active logged in user.
    • Azure アカウントを持つログイン ユーザー - ADテキスト: user。Logged in user who has an Azure AD account - predefined text: user.
    • Azure アカウントを使用せずにログインしたユーザー AD定義済みのテキスト: その他。Logged in user without an Azure AD account- predefined text: others.
    • アクティブなユーザーなし - 定義済みのテキスト:なしNo active user - predefined text:none

次に例を示します。Here's an example.

<SyncBody>
 <Alert>
  <CmdID>1</CmdID>
  <Data>1224</Data>
  <Item>
   <Meta>
    <Type xmlns=”syncml:metinf”>com.microsoft/MDM/LoginStatus</Type>
   </Meta>
   <Data>user</Data>
  </Item>
 </Alert>
 … other XML tags …
</SyncBody>

デバイスのコンプライアンスを Azure サーバーに報告ADReport device compliance to Azure AD

デバイスを管理用 MDM に登録すると、IT 管理者によって構成された企業ポリシーがデバイスに適用されます。Once a device is enrolled with the MDM for management, corporate policies configured by the IT administrator are enforced on the device. 構成されたポリシーに対するデバイスコンプライアンスは MDM によって評価され、Azure AD。The device compliance with configured policies is evaluated by the MDM and then reported to Azure AD. このセクションでは、デバイスのコンプライアンス状態を Azure サーバーに報告するために使用できる Graph API 呼び出しAD。This section covers the Graph API call you can use to report a device compliance status to Azure AD.

MDM が OAuth 2.0 クライアント_credentials 許可の種類を使用してアクセス トークンを取得する方法を示すサンプルについては 、「Daemon_CertificateCredential-DotNet」を参照してください。For a sample that illustrates how an MDM can obtain an access token using OAuth 2.0 client_credentials grant type, see Daemon_CertificateCredential-DotNet.

  • クラウドベースの MDM - 製品がクラウドベースのマルチテナント MDM サービスである場合は、テナント内のサービス用に構成された 1 つのキーがあります。Cloud-based MDM - If your product is a cloud-based multi-tenant MDM service, you have a single key configured for your service within your tenant. 認証を取得するには、このキーを使用して Azure AD MDM サービスを認証します。Use this key to authenticate the MDM service with Azure AD, in order to obtain authorization.
  • オンプレミス MDM - 製品がオンプレミス MDM の場合、顧客は Azure MDM での認証に使用されるキーを使用して製品を構成するAD。On-premises MDM - If your product is an on-premises MDM, customers must configure your product with the key used to authenticate with Azure AD. これは、MDM 製品のオンプレミス インスタンスごとに、テナント固有のキーが異なっているためです。This is because each on-premises instance of your MDM product has a different tenant-specific key. このために、管理者が Azure AD での認証に使用するキーを指定できる構成エクスペリエンスを MDM 製品で公開する必要がある場合があります。For this purpose, you may need to expose a configuration experience in your MDM product that enables administrators to specify the key to be used to authenticate with Azure AD.

Azure AD Graph API を使用するUse Azure AD Graph API

次の REST API 呼び出しのサンプルは、MDM が Azure AD Graph API を使用して、現在管理されているデバイスのコンプライアンス状態を報告する方法を示しています。The following sample REST API call illustrates how an MDM can use the Azure AD Graph API to report compliance status of a device currently being managed by it.

注意

これは、Windows 10 デバイス上の承認済み MDM アプリにのみ適用されます。This is only applicable for approved MDM apps on Windows 10 devices.

Sample Graph API Request:

PATCH https://graph.windows.net/contoso.com/devices/db7ab579-3759-4492-a03f-655ca7f52ae1?api-version=beta HTTP/1.1
Authorization: Bearer eyJ0eXAiO………
Accept: application/json
Content-Type: application/json
{  "isManaged":true,
   "isCompliant":true
}

この場合Where:

  • contoso.com – これは、デバイスが参加しているディレクトリADする Azure テナントの名前です。contoso.com – This is the name of the Azure AD tenant to whose directory the device has been joined.
  • db7ab579-3759-4492-a03f-655ca7f52ae1 – これは、コンプライアンス情報が Azure AD に報告されているデバイスのデバイス識別子です。db7ab579-3759-4492-a03f-655ca7f52ae1 – This is the device identifier for the device whose compliance information is being reported to Azure AD.
  • eyJ0eXAiO......eyJ0eXAiO……… – これは、MDM が Azure AD Graph API を呼び出す権限を持つ、Azure ADによって発行されるベアラー アクセス トークンADです。– This is the bearer access token issued by Azure AD to the MDM that authorizes the MDM to call the Azure AD Graph API. アクセス トークンは、要求の HTTP 承認ヘッダーに配置されます。The access token is placed in the HTTP authorization header of the request.
  • isManaged and isCompliant - これらのブール属性は、コンプライアンスの状態を示します。isManaged and isCompliant - These Boolean attributes indicates compliance status.
  • api-version - このパラメーターを使用して、要求するグラフ API のバージョンを指定します。api-version - Use this parameter to specify which version of the graph API is being requested.

応答:Response:

  • 成功 - コンテンツがない HTTP 204。Success - HTTP 204 with No Content.
  • エラー/エラー - HTTP 404 が見つかりません。Failure/Error - HTTP 404 Not Found. 指定したデバイスまたはテナントが見つからない場合、このエラーが返される可能性があります。This error may be returned if the specified device or tenant cannot be found.

Azure Active Directory Join からの登録解除中のデータ損失Data loss during unenrollment from Azure Active Directory Join

ユーザーが Azure Active Directory Join を介して MDM に登録され、その登録を切断すると、ユーザーが Windows Information Protection (WIP) データを失うという警告はありません。When a user is enrolled into MDM through Azure Active Directory Join and then disconnects the enrollment, there is no warning that the user will lose Windows Information Protection (WIP) data. 切断メッセージは、WIP データの損失を示すメッセージではありません。The disconnection message does not indicate the loss of WIP data.

aadj unenrollment

エラー コードError codes

コードCode IDID エラー メッセージError message
0x801800010x80180001 "idErrorServerConnectivity " 、 // MENROLL_E_DEVICE_MESSAGE_FORMAT_ERROR"idErrorServerConnectivity", // MENROLL_E_DEVICE_MESSAGE_FORMAT_ERROR

サーバーとの通信中にエラーが発生しました。There was an error communicating with the server. もう一度実行するか、エラー コードをシステム管理者に問い合わせてください。 {0}You can try to do this again or contact your system administrator with the error code {0}

0x801800020x80180002 "idErrorAuthenticationFailure " 、 // MENROLL_E_DEVICE_AUTHENTICATION_ERROR"idErrorAuthenticationFailure", // MENROLL_E_DEVICE_AUTHENTICATION_ERROR

アカウントまたはデバイスの認証に問題が発生しました。There was a problem authenticating your account or device. もう一度実行するか、エラー コードをシステム管理者に問い合わせてください {0} 。You can try to do this again or contact your system administrator with the error code {0}.

0x801800030x80180003 "idErrorAuthorizationFailure " 、 // MENROLL_E_DEVICE_AUTHORIZATION_ERROR"idErrorAuthorizationFailure", // MENROLL_E_DEVICE_AUTHORIZATION_ERROR

このユーザーは登録を承認されません。This user is not authorized to enroll. もう一度実行するか、エラー コードをシステム管理者に問い合わせてください {0} 。You can try to do this again or contact your system administrator with the error code {0}.

0x801800040x80180004 "idErrorMDMCertificateError " , // MENROLL_E_DEVICE_CERTIFCATEREQUEST_ERROR"idErrorMDMCertificateError", // MENROLL_E_DEVICE_CERTIFCATEREQUEST_ERROR

証明書エラーが発生しました。There was a certificate error. もう一度実行するか、エラー コードをシステム管理者に問い合わせてください {0} 。You can try to do this again or contact your system administrator with the error code {0}.

0x801800050x80180005 "idErrorServerConnectivity " 、 // MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR"idErrorServerConnectivity", // MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR

サーバーとの通信中にエラーが発生しました。There was an error communicating with the server. もう一度実行するか、エラー コードをシステム管理者に問い合わせてください。 {0}You can try to do this again or contact your system administrator with the error code {0}

0x801800060x80180006 "idErrorServerConnectivity " 、 // MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR"idErrorServerConnectivity", // MENROLL_E_DEVICE_CONFIGMGRSERVER_ERROR

サーバーとの通信中にエラーが発生しました。There was an error communicating with the server. もう一度実行するか、エラー コードをシステム管理者に問い合わせてください。 {0}You can try to do this again or contact your system administrator with the error code {0}

0x801800070x80180007 "idErrorAuthenticationFailure " 、 // MENROLL_E_DEVICE_INVALIDSECURITY_ERROR"idErrorAuthenticationFailure", // MENROLL_E_DEVICE_INVALIDSECURITY_ERROR

アカウントまたはデバイスの認証に問題が発生しました。There was a problem authenticating your account or device. もう一度実行するか、エラー コードをシステム管理者に問い合わせてください {0} 。You can try to do this again or contact your system administrator with the error code {0}.

0x801800080x80180008 "idErrorServerConnectivity " 、 // MENROLL_E_DEVICE_UNKNOWN_ERROR"idErrorServerConnectivity", // MENROLL_E_DEVICE_UNKNOWN_ERROR

サーバーとの通信中にエラーが発生しました。There was an error communicating with the server. もう一度実行するか、エラー コードをシステム管理者に問い合わせてください。 {0}You can try to do this again or contact your system administrator with the error code {0}

0x801800090x80180009 "idErrorAlreadyInProgress " , // MENROLL_E_ENROLLMENT_IN_PROGRESS"idErrorAlreadyInProgress", // MENROLL_E_ENROLLMENT_IN_PROGRESS

別の登録が進行中です。Another enrollment is in progress. もう一度実行するか、エラー コードをシステム管理者に問い合わせてください {0} 。You can try to do this again or contact your system administrator with the error code {0}.

0x8018000A0x8018000A "idErrorMDMAlreadyEnrolled " 、 // MENROLL_E_DEVICE_ALREADY_ENROLLED"idErrorMDMAlreadyEnrolled", // MENROLL_E_DEVICE_ALREADY_ENROLLED

このデバイスは既に登録されています。This device is already enrolled. エラー コードを使用してシステム管理者に問い合わせできます {0} 。You can contact your system administrator with the error code {0}.

0x8018000D0x8018000D "idErrorMDMCertificateError " , // MENROLL_E_DISCOVERY_SEC_CERT_DATE_INVALID"idErrorMDMCertificateError", // MENROLL_E_DISCOVERY_SEC_CERT_DATE_INVALID

証明書エラーが発生しました。There was a certificate error. もう一度実行するか、エラー コードをシステム管理者に問い合わせてください {0} 。You can try to do this again or contact your system administrator with the error code {0}.

0x8018000E0x8018000E "idErrorAuthenticationFailure " 、 // MENROLL_E_PASSWORD_NEEDED"idErrorAuthenticationFailure", // MENROLL_E_PASSWORD_NEEDED

アカウントまたはデバイスの認証に問題が発生しました。There was a problem authenticating your account or device. もう一度実行するか、エラー コードをシステム管理者に問い合わせてください {0} 。You can try to do this again or contact your system administrator with the error code {0}.

0x8018000F0x8018000F "idErrorAuthenticationFailure " 、 // MENROLL_E_WAB_ERROR"idErrorAuthenticationFailure", // MENROLL_E_WAB_ERROR

アカウントまたはデバイスの認証に問題が発生しました。There was a problem authenticating your account or device. もう一度実行するか、エラー コードをシステム管理者に問い合わせてください {0} 。You can try to do this again or contact your system administrator with the error code {0}.

0x801800100x80180010 "idErrorServerConnectivity " 、 // MENROLL_E_CONNECTIVITY"idErrorServerConnectivity", // MENROLL_E_CONNECTIVITY

サーバーとの通信中にエラーが発生しました。There was an error communicating with the server. もう一度実行するか、エラー コードをシステム管理者に問い合わせてください。 {0}You can try to do this again or contact your system administrator with the error code {0}

0x801800120x80180012 "idErrorMDMCertificateError " , // MENROLL_E_INVALIDSSLCERT"idErrorMDMCertificateError", // MENROLL_E_INVALIDSSLCERT

証明書エラーが発生しました。There was a certificate error. もう一度実行するか、エラー コードをシステム管理者に問い合わせてください {0} 。You can try to do this again or contact your system administrator with the error code {0}.

0x801800130x80180013 "idErrorDeviceLimit " 、 // MENROLL_E_DEVICECAPREACHED"idErrorDeviceLimit", // MENROLL_E_DEVICECAPREACHED

このアカウントのデバイスまたはユーザーが多すぎるように見えます。Looks like there are too many devices or users for this account. エラー コードを使用してシステム管理者に問い合わせてください {0} 。Contact your system administrator with the error code {0}.

0x801800140x80180014 "idErrorMDMNotSupported " , // MENROLL_E_DEVICENOTSUPPORTED"idErrorMDMNotSupported", // MENROLL_E_DEVICENOTSUPPORTED

この機能はサポートされていません。This feature is not supported. エラー コードを使用してシステム管理者に問い合わせてください {0} 。Contact your system administrator with the error code {0}.

0x801800150x80180015 "idErrorMDMNotSupported " , // MENROLL_E_NOTSUPPORTED"idErrorMDMNotSupported", // MENROLL_E_NOTSUPPORTED

この機能はサポートされていません。This feature is not supported. エラー コードを使用してシステム管理者に問い合わせてください {0} 。Contact your system administrator with the error code {0}.

0x801800160x80180016 "idErrorMDMRenewalRejected " , // MENROLL_E_NOTELIGIBLETORENEW"idErrorMDMRenewalRejected", // MENROLL_E_NOTELIGIBLETORENEW

サーバーは要求を受け入れなかった。The server did not accept the request. もう一度実行するか、エラー コードをシステム管理者に問い合わせてください {0} 。You can try to do this again or contact your system administrator with the error code {0}.

0x801800170x80180017 "idErrorMDMAccountMaintenance " , // MENROLL_E_INMAINTENANCE"idErrorMDMAccountMaintenance", // MENROLL_E_INMAINTENANCE

サービスはメンテナンス中です。The service is in maintenance. 後でもう一度実行するか、エラー コードをシステム管理者に問い合わせてください {0} 。You can try to do this again later or contact your system administrator with the error code {0}.

0x801800180x80180018 "idErrorMDMLicenseError " 、 // MENROLL_E_USERLICENSE"idErrorMDMLicenseError", // MENROLL_E_USERLICENSE

ライセンスにエラーが発生しました。There was an error with your license. もう一度実行するか、エラー コードをシステム管理者に問い合わせてください {0} 。You can try to do this again or contact your system administrator with the error code {0}.

0x801800190x80180019 "idErrorInvalidServerConfig " 、 // MENROLL_E_ENROLLMENTDATAINVALID"idErrorInvalidServerConfig", // MENROLL_E_ENROLLMENTDATAINVALID

サーバーが正しく構成されていないように見えます。Looks like the server is not correctly configured. もう一度実行するか、エラー コードをシステム管理者に問い合わせてください {0} 。You can try to do this again or contact your system administrator with the error code {0}.

"rejectedTermsOfUse""rejectedTermsOfUse" "idErrorRejectedTermsOfUse""idErrorRejectedTermsOfUse"

組織では、利用規約に同意する必要があります。Your organization requires that you agree to the Terms of Use. 詳細については、もう一度お試しください。またはサポート担当者にお問い合わせください。Please try again or ask your support person for more information.

0x801c00010x801c0001 "idErrorServerConnectivity " 、 // DSREG_E_DEVICE_MESSAGE_FORMAT_ERROR"idErrorServerConnectivity", // DSREG_E_DEVICE_MESSAGE_FORMAT_ERROR

サーバーとの通信中にエラーが発生しました。There was an error communicating with the server. もう一度実行するか、エラー コードをシステム管理者に問い合わせてください。 {0}You can try to do this again or contact your system administrator with the error code {0}

0x801c00020x801c0002 "idErrorAuthenticationFailure " 、 // DSREG_E_DEVICE_AUTHENTICATION_ERROR"idErrorAuthenticationFailure", // DSREG_E_DEVICE_AUTHENTICATION_ERROR

アカウントまたはデバイスの認証に問題が発生しました。There was a problem authenticating your account or device. もう一度実行するか、エラー コードをシステム管理者に問い合わせてください {0} 。You can try to do this again or contact your system administrator with the error code {0}.

0x801c00030x801c0003 "idErrorAuthorizationFailure " 、 // DSREG_E_DEVICE_AUTHORIZATION_ERROR"idErrorAuthorizationFailure", // DSREG_E_DEVICE_AUTHORIZATION_ERROR

このユーザーは登録を承認されません。This user is not authorized to enroll. もう一度実行するか、エラー コードをシステム管理者に問い合わせてください {0} 。You can try to do this again or contact your system administrator with the error code {0}.

0x801c00060x801c0006 "idErrorServerConnectivity " 、 // DSREG_E_DEVICE_INTERNALSERVICE_ERROR"idErrorServerConnectivity", // DSREG_E_DEVICE_INTERNALSERVICE_ERROR

サーバーとの通信中にエラーが発生しました。There was an error communicating with the server. もう一度実行するか、エラー コードをシステム管理者に問い合わせてください。 {0}You can try to do this again or contact your system administrator with the error code {0}

0x801c000B0x801c000B "idErrorUntrustedServer " 、 // DSREG_E_DISCOVERY_REDIRECTION_NOT_TRUSTED"idErrorUntrustedServer", // DSREG_E_DISCOVERY_REDIRECTION_NOT_TRUSTED 接続されているサーバーは信頼されません。The server being contacted is not trusted. エラー コードを使用してシステム管理者に問い合わせてください {0} 。Contact your system administrator with the error code {0}.
0x801c000C0x801c000C "idErrorServerConnectivity " 、 // DSREG_E_DISCOVERY_FAILED"idErrorServerConnectivity", // DSREG_E_DISCOVERY_FAILED

サーバーとの通信中にエラーが発生しました。There was an error communicating with the server. もう一度実行するか、エラー コードをシステム管理者に問い合わせてください。 {0}You can try to do this again or contact your system administrator with the error code {0}

0x801c000E0x801c000E "idErrorDeviceLimit " 、 // DSREG_E_DEVICE_REGISTRATION_QUOTA_EXCCEEDED"idErrorDeviceLimit", // DSREG_E_DEVICE_REGISTRATION_QUOTA_EXCCEEDED

このアカウントのデバイスまたはユーザーが多すぎるように見えます。Looks like there are too many devices or users for this account. エラー コードを使用してシステム管理者に問い合わせてください {0} 。Contact your system administrator with the error code {0}.

0x801c000F0x801c000F "idErrorDeviceRequiresReboot " 、 // DSREG_E_DEVICE_REQUIRES_REBOOT"idErrorDeviceRequiresReboot", // DSREG_E_DEVICE_REQUIRES_REBOOT

デバイスの登録を完了するには、再起動が必要です。A reboot is required to complete device registration.

0x801c00100x801c0010 "idErrorInvalidCertificate " , // DSREG_E_DEVICE_AIK_VALIDATION_ERROR"idErrorInvalidCertificate", // DSREG_E_DEVICE_AIK_VALIDATION_ERROR

無効な証明書があるように見えます。Looks like you have an invalid certificate. エラー コードを使用してシステム管理者に問い合わせてください {0} 。Contact your system administrator with the error code {0}.

0x801c00110x801c0011 "idErrorAuthenticationFailure " 、 // DSREG_E_DEVICE_ATTESTATION_ERROR"idErrorAuthenticationFailure", // DSREG_E_DEVICE_ATTESTATION_ERROR

アカウントまたはデバイスの認証に問題が発生しました。There was a problem authenticating your account or device. もう一度実行するか、エラー コードをシステム管理者に問い合わせてください {0} 。You can try to do this again or contact your system administrator with the error code {0}.

0x801c00120x801c0012 "idErrorServerConnectivity " 、 // DSREG_E_DISCOVERY_BAD_MESSAGE_ERROR"idErrorServerConnectivity", // DSREG_E_DISCOVERY_BAD_MESSAGE_ERROR

サーバーとの通信中にエラーが発生しました。There was an error communicating with the server. もう一度実行するか、エラー コードをシステム管理者に問い合わせてください。 {0}You can try to do this again or contact your system administrator with the error code {0}

0x801c00130x801c0013 "idErrorAuthenticationFailure " 、 // DSREG_E_TENANTID_NOT_FOUND"idErrorAuthenticationFailure", // DSREG_E_TENANTID_NOT_FOUND

アカウントまたはデバイスの認証に問題が発生しました。There was a problem authenticating your account or device. もう一度実行するか、エラー コードをシステム管理者に問い合わせてください {0} 。You can try to do this again or contact your system administrator with the error code {0}.

0x801c00140x801c0014 "idErrorAuthenticationFailure " 、 // DSREG_E_USERSID_NOT_FOUND"idErrorAuthenticationFailure", // DSREG_E_USERSID_NOT_FOUND

アカウントまたはデバイスの認証に問題が発生しました。There was a problem authenticating your account or device. もう一度実行するか、エラー コードをシステム管理者に問い合わせてください {0} 。You can try to do this again or contact your system administrator with the error code {0}.