こんにちは
皆さんの会社ではテレワークは活発化してますでしょうか??
意外と出社・・・・なんて声もちらほら聞きます。苦笑
テレワークを進めている会社ではテレワークを推進するために色々な管理をしたいって話をよく聞きます。
今回はMicrosoft Intuneを利用した「モバイルデバイス管理(MDM)」や「モバイルアプリケーション管理(MAM)」という箇所について記載していきたいと思います。
上記の違いについては今回割愛しますが、MAMを利用すると企業指定アプリケーションと個人の利用アプリケーションの間でデータのやり取りを禁止したりできます。
こ~んなイメージです。
※イメージね笑
この記事ではIntuneを利用してMDM,MAMを実施するための「デバイス登録」の箇所について記載していきます。
Intuneに登録可能なOSは以下に記載があります。
Microsoft Intune でサポートされているオペレーティング システムとブラウザー | Microsoft Docs
現時点ではざっくりと、
ですね!!
僕の手元にあるのがiOSとWindows10なのでこの内容を記載します。
また、Windows10については以前に記載しているのでそちらを参照ください。
※AzureADJoinでのIntune登録については記載していないです。。。すみません。
なので!!
Apple系をIntuneに登録する箇所について記載します!笑
そもそもApple系製品には以下のように企業がApple製品を管理するための仕組みがあります。
上記に登録したものをIntuneに登録するパターンとIntuneに直接登録するものと2パターンあることを覚えておいてください。
こんなイメージですね!
IntuneのみとApple Business Manager(ABM)併用での違いは大きくは以下です。
- デバイス登録
①Intuneのみ
・ユーザー自身が登録可能
・再セットアップ不要
②ABM併用
・端末購入元にABMへの登録を依頼
・Intune側でABMの情報を取得するよう設定
・再セットアップ要
- 登録後の挙動
①Intuneのみ
・監査モードが必要な設定は不可 ←ここ重要
Intuneにて設定箇所はあっても適用されないものがあります。
②ABM併用
・細かな設定まで実施可能
OSの強制アップデートやアプリの強制インストール等
※ABMやApple Configuratorを併用することで「監査モード」という状態にできます。
Intune以外のMDM製品でも設定には「監査モード」が必要です。と書いてあったりしますが、これが該当します。
- 設定手順(デバイス登録準備)
ここではABMを利用しない形でApple製品の登録準備をしていきます。
Microsoft365管理センターにログオンし、エンドポイントマネージャーをクリック
デバイスをクリック
デバイスの登録をクリック
「Apple登録」ー「Apple MDMプッシュ通知証明書」をクリック
1にチェックを入れ、2の「CSRのダウンロード」をクリック
csrファイルをダウンロード
3の「MDMプッシュ証明書を作成する」をクリック
表示された画面にて証明書発行に利用するAppleIDを入力します。
※証明書更新時にも使うのでお忘れなきよう!!
現在は2ファクター認証となっていたのでAppleIDに紐づいた番号にSMSが送付されてきましたのでその番号を入力します。
Create a Certificateをクリック
チェックを入れてAcceptをクリック
「ファイルの選択」をクリックして先ほどのダウンロードしたcsrファイルを選択します。
アップロードをクリック
Downloadをクリック
.pemファイルがダウンロードされたことを確認
上記手順での証明書発行に利用したAppleIDを4に入力し、5のボタンをクリック
先ほどダウンロードした.pemファイルを選択
アップロードをクリック
アクティブになっていることを確認
- 設定手順(デバイス登録)
AppStoreで「Intuneポータル」を検索し、デバイスにインストールし、ポータルをタップ
サインインをタップ
デバイスを利用するユーザーのアカウントを入力
※アカウントにIntuneのライセンス付与されてないとNGだよ!
入力したアカウントのパスワードを入力
開始をタップ
続行をタップ
許可をタップ
閉じるをタップ
iPhoneの「設定」を起動し、「プロファイルがダウンロード済み」をタップ
インストールをタップ
デバイスのパスワードを入力
インストールをタップ
インストールをタップ
信頼をタップ
完了をタップ
Intuneポータルに戻り、「今すぐ続行します。」をクリック
完了をタップ
ポータルにログオンはいれたことを確認
- 設定手順(管理ポータルでの確認)
管理ポータルにて「デバイス」-「iOS/iPadOSのデバイス」をクリックするとデバイスが登録されていることが確認できます。
設定は以上です。
- まとめ
Intuneへの登録は色々と準備が必要でした。
このほかにも実際に利用する際の以下も設定しておく必要があります。
・コンプライアンスポリシー
・プロファイル
・アプリ
上記のあたりは次回に書くことにします!
もう一点!!
この手順から分かる通り、ユーザー自身がIntuneへデバイス登録できます!
Intuneへ登録できるデバイスを制限するかどうかも検討するポイントになるのでご注意を!
- 最後に!
Twitterでも情報発信したいと思いますので、興味があったらフォローしてください!