🍎

IntuneでiOSの自動デバイス登録を設定するときに接続できるApple Configuratorを制限する

2025/03/09に公開

iOS

 はじめにABM（Apple Business Manager）・ASM（Apple School Manager）とMDMを連携させることで、iOS/iPad OSのデバイスで初めて電源を入れたときから、監視対象モードの有効化・構成プロファイルのインストールを行えるADE（Automated Device Enrollment）を使用できます。
Microsoft Intuneでは、ADEのプロファイル設定でApple Configfuratorの証明書を登録（Allow Apple Configurator via Certificate）することで、デバイスに接続できるApple Configuratorを制限可能です。
IntuneでApple Configuratorを制限する手順は、公式ドキュメント含め見つからなかったため、本記事ではその方法を紹介します。

 なぜ接続できるApple Configuratorを制限する必要がある？一番の理由は、Apple Configuratorでデバイスの初期化が可能になるためです。構成プロファイルで、デバイスの設定からの初期化を防いでいても、端末のパスコードが分かっていればApple Configurator経由でリセットが可能になります。

そのため、通常はApple Configuratorからの接続を一切禁止するか、特定のApple Configuratorのみ接続できるようにします。
ただし、Apple Configuratorの使用を完全に禁止にすると、MDM経由でのみデバイスのリセット・構成プロファイルの削除（リタイア）ができるため、オフラインで前述の作業を行える術を残すためにApple Configuratorでのリセットを可能にしておく必要が（運用ケースにもよりますが）あります。


 必要な環境Microsoft Intune
ABM（Apple Business Manager）・ASM（Apple School Manager）のアカウント
Macデバイス（MacBookやMac miniなど）
Apple Configuratorがインストールされている必要があります。本記事ではバージョン2.17を用います。


 手順
 1. ABM・ASMが管理している監視識別情報をダウンロードIntuneでは、ABM・ASMが管理している監視識別情報の公開鍵を登録する必要があります。そのため、前述の監視識別情報をダウンロードする必要があります。
ダウンロードはApple Configuratorにおいて組織を作成することで行うことができます。

作成は設定→組織→+で実施可能です。

作成の際に、ABM・ASMへのサインインを求められますが、このときにサインインを行うことで、ABM・ASMで管理されている監視識別情報をダウンロードできます。
!Apple Configurator上で作成した組織に紐づく監視識別情報をIntuneに登録しても、正しく動作しません[1]

 2. 監視識別情報から公開鍵を抽出設定→組織の画面で、ABM・ASMから設定した組織を選択してください。選択すると、画面下の・・・を押下できるようになるため、押下して監視識別情報を書き出すを選択してください。保存時のフォーマットは非暗号化DERを選択してください。
この時点で監視識別情報の公開鍵・秘密鍵が書き出されます。今回秘密鍵は使用しませんので、削除してください。秘密鍵のファイル名は[組織名].cerです。

（公開鍵は[組織名].crtとなります）
!監視識別情報の秘密鍵は通常持ち出すものではなく、厳重な管理が必要です。持ち出すのは、別のMac端末でもApple Configuratorの使用を許可したいときのみです。

 3. Intuneに登録Intuneでは、拡張子が.cerで終わる証明書のみアップロードを受け付けます。そのため、2.で作成した[組織名].crtを[組織名].crt.cerなどにリネームしてください。
その後、Intuneのデバイス→iOS/iPadOS→登録→登録プログラムのトークン→（トークン名）→プロファイルで管理しているプロファイルを開き、管理の設定を以下のように変更してください。
コンピューターと同期する: 証明書によるApple Configuratorの許可
Apple Configurator の証明書: （先ほど作成した[組織名].crt.cerを選択）

 4. テスト!テスト時は、万が一Apple Configurator経由でアクセスできなくなった場合に備えて、デバイス上で初期化操作できるように、構成プロファイルを変更しておくことをお勧めします
3.で設定したプロファイルによって自動デバイス登録（ADE）を行ってください。その後、Apple Configuratorでデバイスの接続ができることを確認してください。
また、Apple Configuratorを動かすMac端末上で、「組織」を削除することでApple Configuratorによるデバイス接続はできなくなります。

 Q&A
 許可しているApple Configuratorからアクセスできず、iOS端末上でリセットもできなくなった場合は？パスコードを忘れた場合と同様の扱いで、デバイスをリセット（復元）する必要があります[2]。

 Apple Configuratorを制限している端末でバックアップ・復元を行うと？復元先が別端末の場合
復元時はApple Configuratorの制限が無くなる同時に、監視対象モードから外れます。自動デバイス登録で構成プロファイルをダウンロードする際に、再びApple Configuratorの制限が復活します。

復元先が同端末の場合
筆者が検証したところ、Apple Configuratorの許可デバイス情報が削除され、どのApple Configuratorからも接続できなくなり、MDM以外からの端末操作（リセット含む）ができなくなるようです。


 別のMac端末でもApple Configuratorの使用を許可するには？監視識別情報の公開鍵に紐づく秘密鍵をもつMac端末であれば、どの端末でもApple ConfiguratorでiOS/iPadOS端末に接続できます。

そのため、「組織」をバックアップ・復元すれば複数端末で使用できます[3]。

 自動デバイス登録（ADE）を使用しなくても制限できる？Apple Configuratorの準備ダイアログで、デバイスにほかのコンピュータとのペアリングを許可のチェックを外すことで制限できます。

脚注
筆者が試したところ、Apple Configuratorがエラーにより落ちました。バグであれば今後修正されるかもしれません。 ↩︎
https://support.apple.com/ja-jp/118430, https://support.apple.com/ja-jp/119858 ↩︎
https://support.apple.com/ja-jp/101974 ↩︎