iPhoneをMicrosoft Intuneに登録する3つの方法

みなさんこんにちは。

今回はMicrosoft IntuneにiPhone / iPadを登録する方法について解説します。

デバイス管理のためのIntune登録

MDMサービスのIntuneですが、デバイス管理のためにはIntuneにデバイス情報を登録する必要があります。これをIntune登録と呼びます。
一般的にどのMDMもデバイス登録プロセスがあります。

登録方法はOSにより異なりますが、iOS/iPadOSの場合は大きく分けて
①ポータルサイトからの登録（BYOD）
②ADE
③Apple Configurator経由の登録
の3パターンのシナリオがあります。

それぞれ登録方法や制御範囲が異なります。
基本的にBYODシナリオでは制御・情報収集の範囲が制限されます。

細かいことを言い出すと他にも色々バリエーションがありますが、今回はとりあえず押さえておくべき3つのシナリオをご紹介します。

BYODシナリオ：Intuneポータルサイトを利用した登録

BYODをIntune登録する場合、ポータルサイトアプリを利用します。

‎Intune ポータル サイト

このアプリがIntuneとの通信し、ポリシーの適用やデバイス情報の収集などを行います。

アプリを起動するとサインイン画面となりますので、仕事用のAzureADアカウントでサインインします。

サインイン後に構成プロファイルやアプリの配信が行われ、デバイス情報がIntuneに登録されます。
以降Intuneによる遠隔操作や、インベントリ収集が可能になります。

EndpointManagerでデバイス情報を確認すると、デバイスの所有権が”個人”として登録されています。

BYODシナリオではデバイスを監視モードにはできないため、制御範囲はペイロード中の監視対象：いいえの項目に限られます。

MDMでのiPhoneおよびiPadデバイスの制限

なお、初期状態ではIntuneライセンス付与済みのユーザーであれば、どの端末からでもポータルサイト経由でIntune登録できてしまいます。
これについては、登録を会社所有端末に限定したり、登録台数の上限を狭める設定も可能です。

このようにBYODでもIntune登録してデバイス管理できるのですが、私個人としてはBYODのMDM管理には否定的です。

理由はいくつかありますが、1番はワイプが出来てしまう点です。
驚いたことに、iOS/iPadOSでは個人端末でも強制的に初期化できてしまうのです。
端末を紛失した時の最後の手段がワイプになるわけですが、個人の端末においてその判断を組織に委ねるというのはかなり思い切った話なのではないかと思います。

そのため、BYODでは条件付きアクセスでアクセス範囲を限定したり、アプリ保護ポリシー（MAM）によるアプリレベルでの保護を推奨します。
そもそもの話、セキュリティを懸念するのであればBYODを許可しなければいいわけで、中途半端に個人所有端末を組織が管理するのはどうなのかなぁと思います。

それでもBYODをIntune登録して管理したいのであれば、事前にどのような情報が収集され、有事の際にどうなる可能性があるか、きちんと理解させた上で実施すべきです。

なおAndroidはまた仕組みが異なっており、BYODの場合は内部で個人領域と会社領域に分かれて情報管理されます。
ワイプも会社領域のみ消去することが可能です。

会社所有シナリオ①：AppleBusinessManager経由のADE

AppleBusinessManager（ABM）が利用できる環境であれば、社給端末を自動的にIntune登録させるプロセスを利用できます。
また、より強力なデバイス制御が可能な「監視モード」にすることができます。

ABMについては以前ご紹介しています。

まずIntune（Endpoint Manager）でADE登録用のプロファイルを作成します。
ABMからトークンを払い出し、Intuneに登録してデバイス情報を連携します。

デバイスのIntune登録方法は3パターンから選択できますが、現時点では先進認証セットアップアシスタントがベターです。
（ポータルサイト認証は廃止予定、レガシ認証は基本認証のため）

準備が整った状態でABM管理デバイスを初期設定すると、途中でAzureADへのサインイン画面が現れます。

設定アシスタントの途中

サインインするとIntune登録が行われ、構成プロファイルやアプリがインストールされます。

ADEを利用して登録すると、デバイスの所有権が”企業”になっています。

なお、AzureAD登録もあわせて行いたい場合はポータルサイトにもサインインする必要があります。
AzureAD登録するとデバイスベースの条件付きアクセスが利用できます。

会社所有シナリオ②：AppleConfiguratorを使用した登録

企業利用の場合はABMを利用する方が圧倒的にメリットがあるのですが、何らかの事情で利用できないときはAppleConfiguratorを利用して監視モードにすることができます。

‎Apple Configurator

この場合Macを用意する必要があります。
またデバイスの構成を1台ずつ有線接続して行わなければなりません。
数百台規模で管理する場合はADEに比べてかなりコストがかかりますので、まずはADEの構成を検討された方がいいでしょう。

事前準備として、IntuneでAppleConfigurator用のプロファイルを作成します。

こちらは現状では先進認証セットアップアシスタントに対応していません。
ポータルサイトと基本認証の設定アシスタントどちらがいいかは状況によりますので、こちらの公開情報を元に検討するのが良いと思います。

Microsoft Intune の iOS および iPadOS デバイスの登録ガイド

プロファイルを作成したら、管理するデバイスのシリアル番号を収集し、csvファイルを作成します。
作成したcsvをインポートして登録プロファイルに割り当てます。
この作業もADEと比べて一手間かかる工程になります。

準備が終わったら、登録プロファイルのプロファイルURLをコピーします。

AppleConfiguratorの操作に移ります。

デバイスをIntune登録させるために先ほどのプロファイルURLをMDMサーバーとして登録します。

あわせて監視モードで使用する”組織”の情報も登録しておきます。

工場出荷状態のiPhone/iPadを接続し、「準備」でアクティベーションを行います。

MDMサーバーの選択画面で登録したIntuneの情報を選択します。

アクティベーションが完了しても見た目に変化はありませんが、ちゃんと設定は入っています。
初期設定を進めると監視モードになります。

認証方法をポータルサイトにした例では、設定アシスタント完了後にポータルサイトが自動的にインストールされます。（アプリダウンロードが可能なAppleIDを登録しておく必要あり）

ポータルサイトからサインインするとIntune登録が完了し、構成プロファイルや他のアプリがインストールされます。

こちらの登録方法でも、デバイスの所有権は”企業”になります。

まとめ

ここまでiPhone/iPadをIntune登録する3つのシナリオについてご紹介しました。

IntuneはMicrosoftの公開情報が中心でマニュアル等が無いので、こうした俯瞰的な理解が難しい面があります。

流れを説明するために細かい部分を端折ってはいますが、Intune導入の際にご参考となれば幸いです。