これにより、セキュリティルールに準拠しない私有iOSデバイスに組織のアプリを使用させないといった制約や、アプリの導入・アプリ内の挙動(組織アプリ外へのデータ持ち出し禁止等)を制御することができます。
- 操作環境:
- OS:Windows 11
- Webブラウザー:Edge
- 使用プラン:Microsoft 365 Business Premium(試用版)
- 管理デバイス環境:iOS16.7.10(iPhone) ※iPadも適用可
- 私有iOS デバイス管理の要件整理
- Intune管理C デバイスグループ作成
- Intune管理C Apple MDMプッシュ証明書設定
- Intune管理C コンプライアンスポリシー作成
- Intune管理C 条件付きアクセスポリシー作成
- Intune管理C アプリ展開設定
私有iOS デバイス管理の要件整理
この例では、以下のような要件でデバイス管理の設定を行います(前の記事で紹介した私有Androidデバイスの管理とほぼ同じです)。
この要件が一般的な組織のベストプラクティスという訳ではありません。
- デバイス登録:
私有iOSデバイスにCompany Portalを導入してMS365にサインインし、システム管理者がデバイスグループに登録することで業務利用可能とする - コンプライアンスポリシー:
脱獄デバイス禁止、ロックパスワード必須、OS Version16.7以上 - 条件付きアクセスポリシー:
項番2の準拠済デバイスに対し、組織のアプリ(MS365,Google)にアクセスを許可(非準拠デバイスは組織アプリにアクセスさせない) - アプリ展開:
Google関連(Chrome, ドライブ), Microsoft関連(Edge, 365(Office), OneDrive, Outlook, Teams)*MS365(Office)アプリのみ導入必須とし、他は任意とする*認証アプリMicrosoft Authenticatorは組織貸与WindowsPCのMS365サインイン時に導入済の前提のため、アプリ展開の対象にしない - アプリ保護ポリシー:組織データの送信禁止(OneDrive&SharePoint除く), 組織アプリ以外へのコピペ禁止、データ暗号化必須、組織データアクセス時PIN不要
Intune管理C デバイスグループ作成
WebブラウザーよりMicrosoft Intune管理センターにアクセスし、左メニューの[グループ]を選択し、サブメニューの[すべてのグループ]を選択し、[新しいグループ]を選択します。
以下の通り設定します。
- グループの種類:セキュリティ
- グループ名:(私有iOSデバイスであることがわかるような名前)
- メンバーシップの種類:割り当て済み
- 所有者:システム管理者
- メンバー:(未選択)
一覧画面に戻り、少し時間が経つと、作成したグループが表示されます。
Intune管理C Apple MDMプッシュ証明書設定
IntuneでiOSデバイスの管理を行う場合、Apple IDを使用してApple MDMプッシュ証明書の導入を行う必要があります。Apple IDは設定者個人のアカウントでも問題ありませんが、可能であれば組織用に用意することをお奨めします(Apple IDの作成手順はここでは割愛します)。
また、Apple MDMプッシュ証明書の有効期限は最長1年であり、毎年更新作業が必要となります。
Microsoft Intune管理センターにアクセスし、左メニューの[デバイス]を選択し、サブメニューの[プラットフォーム別>iOS/iPadOS]を選択します。
サブメニューの[デバイスのオンボーディング>登録]を選択し、[Apple MDM プッシュ証明書]を選択します。
[同意する]にチェックをつけ、[CSRのダウンロード]を選択し、CSRファイルをダウンロードしておきます。
[MDMプッシュ証明書を作成する]を選択します。
Appleプッシュ証明書のポータル画面が開き、Apple IDの認証を求められますので、画面指示に従い進めます。
なお、Apple IDがない場合は、こちらから新規作成できます。
[Create a Certificate]を選択します。
[I have read and agree to these terms and conditions.]にチェックをつけ、[Accept]を選択します。
[ファイルの選択]を押し、図表3-3でダウンロードしたCSRファイルを選択し、[Upload]を選択します。
[Download]を選択し、pemファイルをダウンロードしておきます。
Microsoftの画面に戻り、図表3-4のAppleの画面で使用したApple IDを入力し、ダウンロードしたpemファイルを選択し、[アップロード]を選択します。
同じ画面の上の方の[状態]が[アクティブ]になれば問題ありません。
Intune管理C コンプライアンスポリシー作成
Microsoft Intune管理センターの左メニューの[デバイス]を選択し、サブメニューの[プラッフォーム別>iOS/iPadOS]を選択します。
同じサブメニューの[デバイスの管理>コンプライアンス]を選択し、[ポリシーの作成]を選択します。
[作成]を選択します。
ポリシーの名前を適宜入力し、[次へ]を選択します。
冒頭の要件に従い、[コンプライアンス設定]画面で必要な項目を設定します。
- デバイスの正常性>脱獄されたデバイス:ブロック
- デバイスの正常性>デバイスは、デバイス脅威レベル以下であることが必要:中
- デバイスのプロパティ>最小OSバージョン:16.7
- システムセキュリティ>モバイルデバイスのロックを解除するときにパスワードを要求する:必要
[コンプライアンス非対応に対するアクション]画面は、この例ではデフォルト設定(非準拠のマークをつける:即時)のままとします。
[割り当て]画面で[グループを追加]を選択し、工程2で作成したデバイスグループを選択し、[次へ]を選択します。
[確認および作成]画面で設定内容を確認し、問題なければ[作成]を選択します。
Microsoft Intune管理センターの左メニューの[デバイス]を選択し、サブメニューの[デバイスの管理>コンプライアンス]を選択します。
[コンプライアンス設定]を選択し、[コンプライアンスポリシーが割り当てられていないデバイスをマークする]で[準拠していません]を選択し、[保存]を選択します。
これにより、コンプライアンスポリシーのチェックを受けていないデバイスを非準拠扱いにすることができます(不明なデバイスを接続させない対策)。
なお、コンプライアンスポリシーのチェック状況の確認方法は、以前の記事のWindowsPCのデバイス管理で紹介した手順と同じですので、よろしければ参考にしてください。
Intune管理C 条件付きアクセスポリシー作成
前の記事の私有Androidのデバイス管理でiOSを含めた一つのポリシーとして作成しましたので、ここでは割愛します。
Intune管理C アプリ展開設定
Microsoft Intune管理センターの左メニューの[アプリ]を選択し、サブメニューの[プラットフォーム別>iOS/iPadOS]を選択します。
[追加]を選択し、アプリの種類で[iOSストアアプリ]を選択し、画面下の[選択]を押します。
[アプリストアを検索します]を選択します。
まずは[Google Chrome]を追加してみます。検索欄に[Google]と入力し、[Google Chrome]が表示されたらこれを選択し、画面下の[選択]を押します。
[カテゴリ]を適宜選択し、[ポータルサイトでおすすめのアプリとして表示する]で[はい]を選択し、[次へ]を選択します。
[割り当て]画面では、アプリ導入(必須・登録済任意・任意)と削除の対象ユーザーまたはデバイスを設定できます。
この例では、MS365は[必須]カテゴリ、他アプリは[登録済みデバイスで使用]カテゴリを使用し、[すべてのユーザーを追加する]を選択します。
設定できたら[次へ]を選択します。
設定内容を確認し、問題なければ[作成]を選択します。
アプリの概要画面に遷移しますので、左上の[iOS/iPadOS| iOS/iPadOSのアプリ]を選択して一覧画面に戻ります。
一覧画面に戻りましたら、[Google Chrome]と同じ要領で、以下アプリの追加を行います。
- Googleドライブ
- Microsoft 365(Office)
- Microsoft Edge
- Microsoft OneDrive
- Microsoft Outlook
- Microsoft Teams
なお、アプリの展開状況の確認方法は、以前の記事のWindowsPCのデバイス管理で紹介した手順と同じですので、よろしければ参考にしてください。
次の記事に続きます。
当ブログ内の連載記事
当ブログ内の関連記事
