Zenn
🐑

Intune管理iPadでのJIT(Just-In-Time)登録は有用

に公開
iPad
Intune
Microsoft Intune
tech

はじめに

iPadをIntuneで運用管理(監視モード)しているのですが、以前から改善したいことがありました
セットアップ時のユーザ作業における問題解消ができないかなと

  • EntraIDへのデバイス登録を行うには、ユーザにIntuneポータルアプリで認証設定を行う必要があります
  • しかし、ユーザは設定が完了し「iPadが使える状態」になればIntuneポータルアプリでの登録作業を忘れてしまいがちです
  • 登録作業をしないとEntraIDで設定している条件付きアクセスが効かないとか不便なんです(情シスのお守り工数が増えてしまいます)

よさげな機能がありました
Just-In-Time(JIT)登録の機能が使えそうです
ただ、マイクロソフトの公式ドキュメントの記載が少々難解です

JIT 登録を使用する場合、Intune ポータル サイトは必要ありません。 代わりに、JIT 登録では、Apple シングル サインオン (SSO) 拡張機能を使用して、Microsoft Entra登録とコンプライアンスチェックを完了します。

https://learn.microsoft.com/ja-jp/intune/intune-service/enrollment/set-up-just-in-time-registration

実際に試してみました

実現をねらいたい仕様

ユーザのTeamsへのサインイン時にEntraID登録が自動発火する仕様をねらってみます

  • ユーザは業務上の必要性から必ずTeamsへのサインインをします
  • したがって、Intuneポータルでの登録作業をせずとも、JIT登録機能により(裏で)EntraIDへのデバイス登録が実行されるはずです

Intune設定

構成プロファイルにてJIT登録設定を行います

①新しいポリシを作成します

  • プロファイルの種類:テンプレート
  • プロファイル名:デバイスの機能

②構成設定作成します
構成設定がJIT登録設定のキモになります

  • SSOアプリ機能拡張の種類:EntraID
  • アプリバンドルID
    • 今回はTeamsから着火させるので記載不要(マイクロソフト以外のアプリの場合に設定)
  • 追加の構成
    • キー:device_registration
      • 種類::文字列
      • 値: {{DEVICEREGISTRATION}}
    • キー:browser_sso_interaction_enabled
      • 種類:整数
      • 値:1

iPadセットアップ時にアプリが配信される設定をします

以下があればだいじょうぶと思います

  • Intuneポータル
  • Microsoft Authenticator
  • Mictrosoft Teams

実際にうまくいくか試してみます

①セットアップ開始
ABM(Apple Business Manager)のMDMをIntuneに設定しており監視モードでの設定を行います

  • リモートマネジメント
  • EntraIDユーザアカウントでサインイン

②いきなり最初にTeamsにサインインしてみます

 EntraIDユーザアカウントでサインインします

 するとEntraIDへのデバイス登録処理が進行します

 Teamsサインイン完了すればEntraIDへの登録も完了しているはずです

②Intuneポータルで確認してみます
 Intuneポータルを起動します
 EntraIDユーザアカウントが表示されるようになっていますので、それを選択します

 いきなりこの画面になりEntraIDデバイス登録が完了していることが分かります

  • パスワード入力もMFAも走りません
  • デバイス登録のワークフローもが走りません

③EntraIDのデバイス画面でも確認してみます
 「準拠している」になっています

いい感じになりました

これでユーザが知らないうちにiPadのEntraIDデバイス登録を完了することができそうです

Discussion