1. はじめに
今回検証を通じて得られた「Microsoft Intune」についての知識をベースに、モバイル端末の企業登録とはどのようなものか、そしてどのような手順が必要なのかをまとめました。
2. Microsoft Intune とは
Microsoftが提供するMDM製品となります。MDMとは「Mobile Device Management」の略で、PCやモバイル端末に企業で定めたポリシーを適用し、組織のリソースにアクセスさせる端末に対して一定のセキュリティを担保させることのできるサービスを指します。また、ゼロトラストを実現するうえでも重要なサービスとなります。
3. モバイル端末とその種別について
前提として本記事では「モバイル端末」という表現を使用しますが、これはiPhone端末・iPad端末、もしくはAndroid端末を指した総称という意味合いで使用します。
モバイル端末の種別
モバイル端末を業務で使用する場合、大きく分けると以下の2パターンが考えられます。
- 個人が所有する端末を業務でも使用する (BYOD : Bring Your Own Device の略)
- 企業が購入・管理した端末を配布し、業務で使用する
それぞれのメリット・デメリット
| 項目 | メリット | デメリット |
|---|---|---|
| 個人の端末 | 企業側が新たに端末を調達する必要がない | デバイスが多岐にわたるため、セキュリティの設計・運用観点での考慮事項が増える |
| 企業管理の端末 | セキュリティの設計・運用を画一的に可能 | 企業側の端末調達が別途必要。ユーザー目線で複数台の端末管理が必要 |
モバイル端末について以上の分類があるということを踏まえたうえで、本記事のテーマである「企業登録」とは何かを見ていきます。
4. Microsoft Intune における企業登録とは
Microsoft Intune によって管理された端末を「Microsoft Intuneに登録された端末」といった表現をします。この「Microsoft Intuneへの登録」について、Microsoft Intune では「企業登録」と「個人登録」の2種類が存在します。
どうすると企業登録になるのか
「企業管理の端末をIntuneに登録した場合」に「企業登録」となります。ただこの文章は正確な表現ではありません。なぜかというと、Microsoft Intune 側から見たとき、個人で利用している端末と、単に企業が購入しただけの端末に特段差異がないため、そのままではどの端末が企業で管理されているのかを区別することができません。そのため、Microsoft Intune 側にその端末が企業で管理されていると示す必要があります。具体的には以下の方法でモバイル端末をMicrosoft Intune に登録した場合、その端末は「企業登録」となります。
| 項目 | iPhone・iPad | Android |
|---|---|---|
| 企業登録の方法 | ・該当のモバイル端末のシリアル番号を事前にMicrosoft Intuneに登録する。 ・ABMを利用し、ADE端末としてモバイル端末を購入する |
Android Enterpriseを利用し、「仕事用プロファイルを使用する個人所有デバイス」もしくは「フルマネージドデバイス」として登録する |
iPhone・iPadのABM(Apple Business Manager)、ADE(Automated Device Enrollment)、およびAndroidの「仕事用プロファイルを使用する個人所有デバイス」についての説明は本記事では割愛します。詳しくは参考リンクをご参照下さい。
企業登録することで何が起こるのか
個人登録、企業登録のどちらであっても行えるポリシー制御観点に差異はありません[1]。ただ企業登録の場合モバイル端末から収集できる情報が増えるメリットがあるのと、Microsoft Intune側で「個人登録の許可・拒否」を設定できるため、要件に応じてどちらの登録方法も許可させるのか、企業登録だけとするのかを制御することが可能です。
5. 実際に企業登録をやってみた
モバイル端末をIntuneに登録するにあたり、以下の事前準備が必要です。
iPhone・iPadの事前準備
- Intune Plan1以上のライセンスの調達 および 利用ユーザーへの割り当て
- 各種設定に利用するEntraグループの作成 および 利用ユーザーのグループへの追加
- MDMプッシュ証明書の作成
- Intune登録端末台数の上限の設定 (必要に応じて)
Androidの事前準備
- Intune Plan1以上のライセンスの調達 および 利用ユーザーへの割り当て
- 各種設定に利用するEntraグループの作成 および 利用ユーザーのグループへの追加
- Managed Google Play との連携設定
- Intune登録端末台数の上限の設定 (必要に応じて)
以下の手順は、上記の事前準備が完了した状態での内容となります。
iPhone・iPadの企業登録
1.デバイスプラットフォーム制限での個人登録禁止設定
1-1. デバイスプラットフォーム制限にてiOSの個人登録を禁止します。 (個人登録を禁止にしないと企業登録できないわけではないですが、ここでは検証結果をわかりやすくするため、個人登録を禁止にしています)
2.対象モバイル端末のシリアル番号登録
2-1. 「デバイス」→「登録」→「企業向けデバイスの識別子」で「追加」→「手動で入力する」の順にクリックします。なおシリアル番号の登録は手動、CSVインポートの2種類の方法があります。
2-2. 「IDの種類」で「シリアル番号」を選択します。
2-3. 「識別子」で企業登録させるiPhone(またはiPad)のシリアル番号を入力し、「追加」をクリックします。
2-4. シリアル番号が登録されたことを確認します。
3.「Intune ポータルサイト」アプリのダウンロード
3-1. ここからはモバイル端末側の作業となります。App Storeにて「Intune」と検索し、表示された「Intune ポータルサイト」をダウンロードします。
3-2. 表示された「Intune ポータルサイト」を起動します。
3-3. 「サインイン」をタップします。
4.Entra ID へのサインイン
4-1. 用意したアカウント情報を入力し「次へ」をタップします。
4-2. パスワードを入力し「サインイン」をタップします。
5.Intune登録 (一部手順の画像省略)
5-1. Intuneに登録するための手順が表示されます。「開始」をタップします。
5-2. 途中まで進めるとプロファイルのインストールとなります。「インストール」をタップします。
5-3.「信頼」をタップします。
5-4.「完了」をタップします。
5-5.プロファイルが追加されたことを確認します。
5-6. 全ての設定が完了したことを確認し、「完了」をタップします。
5-7. アプリ下のメニューから「デバイス」をタップすると、利用しているアカウントに紐づく端末一覧が表示されます。今回Intune登録したiPhoneをタップすると、「会社のリソースにアクセスできます」との表示を確認できます。
5-8. 更に下にスクロールすると「所有権の種類」が「企業」と表示されていることを確認できます。
6.Intune管理センターでの登録確認
6-1.Intune管理センターにて「デバイス」→「すべてのデバイス」にて先程Intune登録した端末を検索します。該当のレコードにて「所有権」に「企業」と表示されていることを確認できます。以上がiPhone・iPadの企業登録となります。
ちなみに、この状態で個人登録(シリアル番号を登録していないモバイル端末のIntune登録)をしようとすると、5-2のプロファイルのインストール時に以下のようなエラーとなります。
Androidの企業登録
1.Android Enterpriseのプロファイル作成
1-1. 「デバイス」→「登録」→「Android」→「会社が所有する完全に管理されたユーザーデバイス」の順にクリックします。
1-2. 「ポリシーの作成」をクリックします。
1-3. 必要事項を入力して「次へ」をクリックします。※「トークンの種類」にはフルマネージド(セットアップ中にIntune登録のための認証が発生)とステージング(ホーム画面までセットアップ後、任意のタイミングで認証を行ってIntune登録させる)方法の2種類があります。今回はフルマネージドを選択しています。
1-4. 内容を確認して「作成」をクリックします。
1-5. プロファイルが作成されたことを確認します。
1-6. 作成されたプロファイルをクリックし、「トークン」をクリックするとトークンおよびそのQRコードが表示されます。このトークンを次のステップで利用します。
2.端末の初期化とQRコードリーダー起動
2-1. ここからはモバイル端末側の作業となります。Android Enterprise のフルマネージドデバイスとして登録するため、端末を初期化し、セットアップ画面でプロビジョニングモードを起動します。画面のボタンのない箇所を7回連続でタップすると、QRコードリーダーが起動します。
3.Intune登録 (一部手順の画像省略)
3-1. 起動したQRコードリーダーで1-6で表示されたQRコードを読み取ります。
3-2. 接続するWi-fiを選択します。※Android Enterpriseの場合、2025年8月時点でセットアップフローではキャリア通信ではなく、Wi-Fi接続が必要になります。
3-3. 「次へ」をクリックします。
3-4. 用意したアカウント情報を入力し「次へ」をタップします。
3-5. パスワードを入力し「サインイン」をタップします。
3-6. デバイスのセットアップが開始されます。
3-7. 「インストール」をタップします。
3-8. 仕事用アプリとして「Microsoft Authenticator」、「Microsoft Intune」が自動でインストールされます。※この設定はIntune側でのアプリ配布設定によらず、強制的に配布されます
3-9. 「サインイン」をタップします。
3-10. 「登録」をタップします。
3-11. 「完了」をタップします。
4.Intune管理センターで確認すると、該当の端末が企業登録となっていることが分かります。
4-1. Intune管理センターにて「デバイス」→「すべてのデバイス」にて先程Intune登録した端末を検索します。該当のレコードにて「所有権」に「企業」と表示されていることを確認できます。以上がiPhone・iPadの企業登録となります。
6. 注意点
- iPhone・iPadはシリアル番号で企業登録させる場合、シリアル番号の収集が課題となります。ADE端末とする場合はABMの管理も合わせて必要となります。
- Androidはフルマネージドデバイスとする場合、端末の初期化が必ず必要となります。新たにモバイル端末を購入する場合は問題となることはありませんが、現在利用しているAndroidをフルマネージドデバイスとして管理していく場合は初期化に伴う各種データの移行方法を検討する必要があります。
7. この記事のまとめ
Microsoft Intune での企業登録
- 企業登録を用いることによって、企業で管理された端末のみをIntuneに登録させることができる
- iPhone・iPadの場合はシリアル番号、もしくはADE端末として調達することで企業登録ができる
- Androidの場合はAndroid Enterpriseを利用することで企業登録ができる
参考リンク
- Microsoft Intune 登録ガイド
- Microsoft Intune にADEを設定する
- Android Enterprise 仕事用プロファイル管理
- 自動デバイス登録(ADE)を利用する Appleサポート
-
iPhone、iPadの場合ADE端末かどうかによって、Microsoft Intune で制御できる内容が大幅に変わります。そのため、iPhone・iPadの場合は個人登録か、シリアル番号を利用した企業登録か、ADE端末で調達したことによる企業登録か、どれに該当するのかを確認する必要があります。簡単に違いを説明すると、個人端末として企業の管理配下にするか、企業端末として企業の管理配下にするかの違いがあり、企業端末であればより強力な制限をすることができます。(App Store や AirDrop の利用制限、パスコードポリシーの強制、MDMプロファイルの削除不可など。) ↩︎
株式会社プログデンス/BtoB向けのITソリューションを提供する企業です。 技術スタック: SASE / Prisma Access / Zscaler / Netskope / Cato Networks / Tanium / M365 / Cisco / Automation / Ansible