🔔 本の下書きプレビューをシェアできるようになりました
Zenn
🐙

Microsoft Intuneについて書いてみる No.3

2025/02/02に公開
iOS
Microsoft 365
Intune
Microsoft
MDM
tech

お約束

これは2025/1時点の情報を基に記載しています。
記載内容は個人の私見に基づくものです。
正確な情報が知りたい方は公式ドキュメントを参照してください。
https://learn.microsoft.com/ja-jp/mem/intune/

デバイス登録

今回はiOS/iPadOSのデバイス登録について書いてみます。

iOS/iPadOSの登録について、公式ページはこちらになります。
https://learn.microsoft.com/ja-jp/mem/intune/fundamentals/deployment-guide-enrollment-ios-ipados

デバイス登録(iOS/iPadOS)

前回、デバイスの管理はOS側が管理の仕組みを提供していることで成り立っていると書きました。
iOS/iPadOSの管理も同様で、Apple社がMDM製品向けに提供している仕組みを使って制御を行っています。(これはAndroid等も同様です)

Apple MDM プッシュ証明書

Apple社はApple製端末を管理・制御するために、Appleプッシュ通知サービス (APNs) を提供しています。APNsは、Appleデバイスとのセキュアな通信を維持し、MDMサーバーからの指令をデバイスに送信します。このセキュアな通信を維持にするために必要なのが、Apple MDMプッシュ証明書となります。

https://support.apple.com/ja-jp/guide/deployment/dep2de55389a/web

IntuneからAppleデバイスを管理するためには、必ずMDMプッシュ証明書が必要となります。

https://learn.microsoft.com/ja-jp/mem/intune/enrollment/apple-mdm-push-certificate-get

この証明書は、どのAppleアカウント(去年までApple IDと呼ばれていました)でも取得可能です。しかし、個人に紐づくアカウントでの取得は行わないようにしてください。公式ドキュメントには以下のように注意書きがされています。

証明書の作成に使用した Apple ID と関連付けられています。 ベスト プラクティスとしては、Apple ID に会社のメール アドレスを使用し、配布リストのように複数のユーザーによってメールボックスが監視されることを認識してください。 個人の Apple ID の使用は避けてください。

このMDMプッシュ証明書は1年期限となります。そのため、期限切れ前に更新が必要となります。以前サポートに問い合わせた際、更新期限の 30 日前、10 日前、期限前日に登録したAppleアカウント宛にメール通知があると回答がありました。
個人に紐づけてしまうと更新連絡のメール通知を見逃してしまう可能性もありますし、その人が退職するなどでアカウントが使えなくなると更新できなくなってしまいます。このような事態を避けるために、個人に紐づかない会社のメールアドレスの使用が推奨されています。

なお、証明書の更新が出来ないまま失効するか、Appleアカウントを変更した場合にはすべてのAppleデバイスとの通信が出来なくなります。結果として、全AppleデバイスをIntuneへ再登録しなければなりませんので、更新忘れがないように注意してください。(個人的には半期に一回の更新がいいのではないかと考えています)

Appleデバイスの監視モード

WindowsはIntuneへデバイス登録して管理するという意味ではどの登録方法でも変わりないと書きましたが、Appleデバイスの場合は登録時の設定によって明確に管理内容が異なります。
それが、企業や学校等がAppleデバイスを管理するために準備された監視モードという仕組みになります。
監視モードでIntuneにデバイス登録すると、Apple Storeからのアプリインストールをブロックしたり、壁紙の変更、管理者による端末の位置情報の把握等、より高度な管理が出来るようになっています。
ただし、監視モードを使用するためには、以下のどちらかの方法での登録が必要となります。

  • Apple Business Manager、Apple School Managerを使用した自動デバイス登録(旧DEP)の仕組みを使う
    Apple Business Manager(ABM)、Apple School Manager(ASM)は組織で一意に提供されているAppleのサービスです。登録したデバイスとMDMを紐づけて自動デバイス登録機能を提供する他に、管理対象Appleアカウントの提供や、組織としてアプリを購入する機能などを提供しています。Entra IDとはSSO連携も可能です。

https://support.apple.com/ja-jp/guide/apple-business-manager/welcome/web

ABM(筆者はASMを触ったことがないので、以降ASMについては触れません)で自動デバイス登録を実施するためには、ABMにデバイス情報が登録されていなければなりません。登録は、デバイス購入時に対応してくれるリセラーによって登録してもらうか、Apple Configurator2を使用して登録するかのいずれかになります。対応していないリセラーからの購入デバイスや既存デバイスを登録する場合にはApple Configurator2を使用して登録する必要があります。

  • Apple Configurator2を使う
    Apple Configurator2はMacアプリとして提供されています。Appleデバイスの初期化、MDMとの紐づけ、監視モードの設定、独自に作成した構成プロファイルの適用、ABMへのデバイス情報登録等、いくつかの機能が提供されています。

https://support.apple.com/ja-jp/apple-configurator

iOS/iPadOSをIntuneに登録する

iOS/iPadOSをIntuneに登録する方法としては以下3つとなります。

  • 自動デバイス登録(旧DEP)の仕組みを使う
  • Apple Configurator2を使う
  • 手動で登録する

企業デバイスの場合

基本的に「監視モード」でセットアップするため、自動デバイス登録、または、Apple Configurator2を使って登録を行うことになります。

自動デバイス登録(旧DEP)の仕組みを使う

自動デバイス登録(管理センターの画面では「登録プログラムのトークン」から設定を行います)は、前述したようにABMとの連携が必要です。ABMと連携することで、ABM登録済みデバイスの情報がIntune側に同期され、そのデバイスに対してIntune側で登録用プロファイルを割り当てます。
その結果、OOBEからのセットアップ時に自動的に登録処理が行われる流れとなります。

登録プロファイルは以下のような画面で設定します。

画面で分かるように、登録プロファイルで制御できるのは、OOBE(初期設定画面)からアプリ等が表示される操作画面が表示されるまでの部分となります。セットアップ時の基本的な設定のみを制御し、その後の構成等はIntune登録後に、Intuneから構成プロファイルやアプリ等を配布する流れとなります。
Windowsの自動デバイス登録機能であるWindows Autopilotも同様の仕組みとなっています。

管理センターの画面で「登録プログラムのトークン」となっているのは、トークンを基にABMと連携し、連携したデバイス情報に対して設定を行っているためです。
このトークンは、「Apple 自動デバイス登録トークン」という名前で、設定するためにはApple Business Manager ポータルから取得する暗号化キーが必要となります。

なお、Microsoft社の公式ドキュメントには以下記載があります。

自動デバイス登録を介して登録される企業所有のデバイスは、常に監視モードである必要があります。

https://learn.microsoft.com/ja-jp/mem/intune/enrollment/device-enrollment-program-enroll-ios#what-is-supervised-mode

Apple Configurator2を使う

Apple Configurator2でデバイスをセットアップするためには、MacデバイスとセットアップするiOS/iPadOSデバイスをUSB接続する必要があります。(接続できるデイバス数に上限はないのですが、端末のスペックやネットワーク負荷等を考慮して、接続数を調整する必要があります。)
接続すると、Apple Configurator2から初期化やMDM登録など、各種操作が出来るようになります。
Intune登録する場合は、事前にIntune側でデバイスのシリアル番号や登録プロファイルの設定が必要となります。
Apple Configurator2はメニューから毎回設定することも出来ますが、設定をまとめたブループリントという機能が便利です。ブループリントには、Apple Configurator2で独自に作成した構成プロファイルやアプリのインストール等を含めることが出来ます。ブループリントを使用することで、接続したデバイスに対して同じ構成を簡易に設定することが出来ます。

個人デバイスの場合

個人デバイスは手動での登録となります。公式ドキュメントに「BYOD: ユーザーとデバイスの登録」と記載されている方法です。
企業デバイスであっても、すでにApple IDでセットアップしており、初期化によるデバイス登録を行いたくない場合にもこちらの方法での登録となります。

設定箇所は以下となります。

登録方法がいくつか選択できます。

以前はApple Storeから入手できるIntuneポータルサイトアプリを使ったデバイス登録のみだったのですが、このブログを書いている時点でデバイス登録ユーザー登録が選択でき、登録方法も選択できるようになっています。
なお、プロファイルを作成していなくても、デフォルトではIntuneポータルサイトアプリからのデバイス登録が可能となっています。

手動でのデバイス登録は、デバイスの所有権が「個人」になり、監視モードのみで使用できる機能が使えない登録モードとなります。
ただし、後から管理者がデバイスの所有権を「企業」に変更することで、企業管理デバイスとすることが出来ます。(Intune管理ポータルから監視モードに変更することは出来ません)
そのため、監視モード固有の機能を必要としないのであれば、企業デバイスであってもこちらの方法で登録してもよいと考えています。

ユーザー登録は、最低限のデバイス管理と企業アプリの保護を提供する登録方法です。
元々、BYOD用の企業アプリ保護には「アプリ保護ポリシー」というものがあるのですが、デバイスを管理出来るようになる分、ユーザー登録のほうが厳密な管理になるようです。

今後の予定

次回はAndroidのIntune登録を書く予定です。MacOSについては、iOS/iPadOSとほぼ同様の考え方であることと、筆者の手元に検証に使用できるMacデバイスがないため記載を見送ります。Linux、Chrome OSも同様です。
登録を書き終わったら、コンプライアンスポリシーについて書きたいと思っています。

Discussion