💻

Intuneポータルで「デバイスをマネージドに(401)」エラー?デバイスステージングでユーザーアフィニティなしデバイスでアプリを配布する

に公開
iOS
Intune
tech

Intuneポータルサイトからアプリをインストールしようとしたら『アプリをインストールする際にはデバイスをマネージドにしてください。』と表示されたり、「ユーザーアフィニティなしで登録したiOSデバイスで、ポータルサイトのセットアップ中に401エラーが出て困ってしまうことがあります。原因としては、「ユーザーアフィニティなし」で登録されたiOS/iPadOSデバイスはIntuneポータルをサポートしていないという点が挙げられます。

image

今回は、そんなケースでユーザー自身がIntuneポータルサイトからアプリを選んでインストールできるようにするための「デバイスステージング」という手法をMSの人に教えていただいたので、備忘録的に解説します。

「ユーザーアフィニティなし」デバイスでIntuneポータル使えない問題

Apple Business Manager (ABM) を使った自動デバイス登録(ADE)でiOS/iPadOSデバイスをIntuneに登録する際、運用方法に応じて「ユーザーアフィニティ」を選択します。

  • ユーザーアフィニティあり (With user affinity): デバイスが特定のユーザーに紐づけられます。そのユーザー専用のデバイスとして、ユーザーのデータや設定が関連付けられる場合に選択します。例えば、個人に貸与される業務用のiPhoneや、BYOD(私物デバイスの業務利用)のシナリオで一般的です。
  • ユーザーアフィニティなし (Without user affinity): デバイスが特定のユーザーに紐づけられません。複数のユーザーで共有して使用するデバイス(共有端末、キオスク端末)や、特定の業務に特化した専用端末などでよく選択されます。ユーザーごとの個別設定よりも、デバイス自体の機能やセキュリティを統一的に管理したい場合に適しています。

この「ユーザーアフィニティなし」でデバイスを登録した場合、そもそもIntuneポータルサイトアプリの利用がサポートされておらず、通常、Intuneポータルサイトアプリからユーザーがアプリカタログを参照して必要なアプリを自分でインストールするといった使い方ができません。具体的には、以下のような問題が発生することがあります。

  • Intuneポータルサイトアプリでアプリをインストールしようとすると、「アプリをインストールする際にはデバイスをマネージドにしてください。」というメッセージが表示され、インストールできない。
  • Intuneポータルサイトアプリの初期セットアップやサインイン時に、401エラー(認証エラー) が発生して先に進めない。

今回のシナリオをまとめると以下の通りです。

  • iOSデバイスを「ユーザーアフィニティなし」でADE登録してしまっている。
  • 普段は必須アプリを自動インストールしている。
  • ユーザーが必要に応じて、Intuneポータルサイトから手動で特定のアプリをインストールできるようにしたい。
  • iOSを初期化して、「ユーザーアフィニティあり」で再設定なんてやってらんねー

これらのエラーや制限により、ユーザーが必要な時に柔軟にアプリを導入できず、管理者が都度対応する必要が出てきてしまうのが課題です。

「アプリ構成ポリシー(デバイスステージング)」で何とかする

この課題を解決するのが、「アプリ構成ポリシー」を利用した「デバイスステージング」という機能です。デバイスステージングとは、簡単に言うと、「ユーザーアフィニティなし」で登録されたデバイスに対して、後からIntuneポータルサイトアプリ経由で特定のユーザーを紐付けることができるようにする仕組みです。

この設定を行うと、デバイスでIntuneポータルサイトアプリを起動した際に、最初にサインインしたユーザーがそのデバイスの「プライマリユーザー」としてIntuneに認識されます。これにより、あたかもユーザーアフィニティ「あり」で登録されたデバイスのように、ポータルサイトを通じてそのユーザーに割り当てられたアプリを手動でインストールできるようになります。つまり、前述した「デバイスをマネージドにしてください」エラーや401エラーを回避し、意図した運用が可能になるのです。

デバイスステージングの設定方法

ステップ1: Intuneポータルサイトアプリの確認と追加

まず、IntuneポータルサイトアプリがIntuneに登録され、デバイスに配布できる状態になっているか確認します。まだの場合は追加しましょう。

  1. Microsoft Intune管理センターにサインインします。
  2. [アプリ] > [すべてのアプリ] に移動します。
  3. 「Intuneポータルサイト」アプリがリストに存在するか確認します。
  4. もし存在しない場合は、[+ 追加] をクリックします。
  5. [アプリの種類] で [iOS ストア アプリ] を選択し、[選択] をクリックします。
  6. [アプリ情報を検索] をクリックし、「Intuneポータルサイト」を検索して選択します。
  7. 必要な情報を確認・設定し、[作成] をクリックしてアプリを追加します。
    • この時点では、アプリの割り当ては必須ではありません。後述のアプリ構成ポリシーで制御します。

ステップ2: アプリ構成ポリシーの作成

次に、デバイスステージングを有効にするためのアプリ構成ポリシーを作成します。

  1. Microsoft Intune管理センターにサインインします。
  2. [アプリ] > [アプリ構成ポリシー] に移動します。
  3. [+ 追加] をクリックし、ドロップダウンから [マネージド デバイス] を選択します。

ポリシーの基本設定

  1. 名前: ポリシーの目的がわかる名前を入力します。(例: iOS - ポータルサイト デバイスステージング設定
  2. 説明: (任意) ポリシーに関するメモなどを入力します。
  3. プラットフォーム: iOS/iPadOS を選択します。
  4. 対象アプリ: [アプリを選択] をクリックし、ステップ1で確認または追加した「Intuneポータルサイト」アプリを選択して [OK] をクリックします。
  5. [次へ] をクリックします。

image

構成設定

  1. 構成設定の形式: XML データを入力します を選択します。
  2. XML データ: 以下のXMLデータをテキストエディタにコピーし、必要に応じて編集してから貼り付けます。

image

<dict>
    <key>IntuneUDAUserlessDevice</key>
    <string>{{SIGNEDDEVICEID}}</string>
</dict>

ステップ3: ポリシーの割り当て

作成したアプリ構成ポリシーを、対象のデバイスが含まれるデバイスグループに割り当てます。
* [含めるグループ] で [+ 含めるグループを選択] をクリックし、デバイスステージングを適用したい、「ユーザーアフィニティなし」で登録されたiOS/iPadOSデバイスが含まれるデバイスグループを選択します。
* すべてを対象とするには、すべてのデバイスを対象とします。

設定後のデバイスでの動作

ポリシーがデバイスに適用されると、以下のようになります。

  1. 対象のiOS/iPadOSデバイスでIntuneポータルサイトアプリを起動します。
  2. ユーザーにMicrosoft 365などの職場または学校アカウントでのサインインを求める画面が表示されます。
  3. ユーザーが自身の資格情報でサインインします。
  4. サインインが成功すると、そのユーザーがこのデバイスのプライマリユーザーとしてIntuneに登録されます。
  5. 以降、ユーザーはIntuneポータルサイトアプリを通じて、自分(またはデバイス)に「利用可能」として割り当てられているアプリを確認し、手動でインストールできるようになります。あの「デバイスをマネージドにしてください」エラーに悩まされることはなくなるはずです。

デバイスステージング利用時の注意点

デバイスステージングは非常に便利な機能ですが、いくつか重要な注意点があります。

  • プライマリユーザーは固定: 一度デバイスステージングによってプライマリユーザーが設定されると、そのユーザーを変更することはできません。 もしプライマリユーザーを変更したい場合は、デバイスを工場出荷状態に初期化し、再度Intuneへの登録からやり直す必要があります。
  • 対象デバイス: この設定は、「ユーザーアフィニティなし」でADE登録されたiOS/iPadOSデバイスが主な対象です。
  • アプリの割り当て: ユーザーがポータルサイトからアプリをインストールできるようにするには、事前にアプリを「利用可能」として対象のユーザーグループまたはデバイスグループ(デバイスライセンスの場合)に割り当てておく必要があります。
  • ポータルサイトアプリの配布: 対象デバイスにIntuneポータルサイトアプリがインストールされるように、別途アプリの割り当て(必須インストールなど)が必要な場合があります。ただし、多くのADEシナリオでは、ポータルサイトは自動的にインストールされるか、この構成ポリシーによってインストールが促されます。

まとめ

今回は、「ユーザーアフィニティなし」で登録されたiOS/iPadOSデバイスで発生しがちな「デバイスをマネージドにしてください」エラーや401エラーへの対策として、Intuneポータルサイトからユーザー自身が必要なアプリをインストールできるようにするための「デバイスステージング」の設定方法について解説しました。「ユーザーアフィニティなし」でiOSを展開しちまった方の参考になれば幸いです。

GitHubで編集を提案

Discussion