IT Hands-on Lab

小規模組織向けIT環境の構築・運用に役立つ情報を、ハンズオン形式で紹介しています。

トップ > MSIntune > 【Microsoft Intune】デバイス管理 | 私有iOS2
最終更新日

【Microsoft Intune】デバイス管理 | 私有iOS2

MSIntune インフラ

Microsoft Intune デバイス管理(私有iOS) 2

前の記事の続きになります。
Microsoft社が提供するクラウドベースのデバイス管理サービス「Microsoft Intune」における、私有iOSデバイスの管理方法の例を紹介します。
これにより、セキュリティルールに準拠しない私有iOSデバイスに組織のアプリを使用させないといった制約や、アプリの導入・アプリ内の挙動(組織アプリ外へのデータ持ち出し禁止等)を制御することができます。
  • 操作環境:
    • OS:Windows 11
    • Webブラウザー:Edge
  • 使用プラン:Microsoft 365 Business Premium(試用版)
  • 管理デバイス環境:iOS16.7.10(iPhone) ※iPadも適用可

 

 

Intune管理C アプリ保護ポリシー作成

Webブラウザーより、Microsoft Intune管理センターにアクセスし、左メニューの[アプリ]を選択し、サブメニューの[ポリシー>アプリ保護ポリシー]を選択し、[ポリシーの作成>iOS/iPadOS]を選択します。

図表7-1 Intune管理センターのアプリ保護ポリシーの設定へ

図表7-1 Intune管理センターのアプリ保護ポリシーの設定へ

 

[基本]画面でポリシーの名前を適宜入力し、[次へ]を選択します。
[アプリ]画面でポリシーの対象に[すべてのアプリ]を選択し、[次へ]を選択します。

図表7-2 アプリ保護ポリシーの設定(基本,アプリ)

図表7-2 アプリ保護ポリシーの設定(基本,アプリ)

 

前の記事の冒頭の要件に従い、[データ保護]画面で必要な項目を設定し、[次へ]を選択します。

  • データ転送>他のアプリに組織データを送信:ポリシーマネージドアプリ
  • データ転送>組織データのコピーを保存:ブロック
  • データ転送>選択したサービスにユーザーがコピーを保存することを許可:OneDrive for Business、SharePoint
  • データ転送>他のアプリとの間で切り取り、コピー、貼り付けを制限する:貼り付けを使用する、ポリシーマネージドアプリ
  • 暗号化>組織データを暗号化:必要

図表7-3 アプリ保護ポリシーの設定(データ保護)

図表7-3 アプリ保護ポリシーの設定(データ保護)

 

[アクセス要件]画面では、PIN認証を不要に変更し、[次へ]を選択します。

*PIN認証はデフォルトでは必要ですが、モバイルアプリ利用のたびに要求されると煩わしすぎるため、あえて不要にしています

[条件付き起動]画面はこの例では特に変更せず、[次へ]を選択します。

図表7-4 アプリ保護ポリシーの設定(アクセス要件,条件付き起動)

図表7-4 アプリ保護ポリシーの設定(アクセス要件,条件付き起動)

 

[割り当て]画面で[グループを追加]を選択し、組織内メンバとシステム管理者のグループを選択し、[次へ]を選択します。
設定内容を確認し、問題なければ[作成]を選択します。

図表7-5 アプリ保護ポリシーの設定(割り当て,確認と作成)

図表7-5 アプリ保護ポリシーの設定(割り当て,確認と作成)

 

ユーザー操作 私有iOSデバイス 業務利用の初期設定

ここからは私有iOSデバイス使用者(この例ではUser Aaa)による、業務利用のための初期設定を進めます。


[App Store]アプリを起動し、検索欄に[intune]と入力し、[Intune ポータルサイト]が表示されたら、ダウンロードアイコンを選択します。
ダウンロードが完了したら、[開く]を選択します。
アプリが起動したら、[サインイン]を選択します。

図表8-1 私有iOSユーザー初期設定(Intuneアプリ導入)

図表8-1 私有iOSユーザー初期設定(Intuneアプリ導入)

 

デバイス使用者の組織のアカウント名を入力し、[次へ]を入力します。
パスワードを入力し、[サインイン]を選択します。
設定途中で通知に関する確認メッセージが表示されたら、[許可]を選択します。

図表8-2 私有iOSユーザー初期設定(Intuneサインイン)

図表8-2 私有iOSユーザー初期設定(Intuneサインイン)

 

設定ウィザードが表示されたら、[開始]を選択します。
プライバシーの確認画面が表示されたら、[続行]を選択します。
設定ウィザードが表示されたら、[続行]を選択します。

図表8-3 私有iOSユーザー初期設定(Intuneセットアップ)

図表8-3 私有iOSユーザー初期設定(Intuneセットアップ)

 

プロファイルのダウンロードに関する確認メッセージが表示されたら、[許可]を選択します。
ダウンロードが完了したら、[閉じる]を選択します。
ホーム画面を開いて[設定]アプリを選択します。ここからダウンロードしたプロファイルをインストールします。

図表8-4 私有iOSユーザー初期設定(プロファイル入手)

図表8-4 私有iOSユーザー初期設定(プロファイル入手)

 

[一般]を選択します。
画面の下の方にある、[VPNとデバイス管理]を選択します。
[Management Profile]を選択します(これが図表8-4でダウンロードしたプロファイルです)。

図表8-5 私有iOSユーザー初期設定(プロファイル設定)

図表8-5 私有iOSユーザー初期設定(プロファイル設定)

 

[インストール]を選択します。
パスコード入力を求められたら、パスコードを入力します。
[インストール]を選択します。

図表8-6 私有iOSユーザー初期設定(プロファイル導入)

図表8-6 私有iOSユーザー初期設定(プロファイル導入)

 

[インストール]を選択します。
[信頼]を選択します。
[完了]を選択します。
これでプロファイルのインストールが完了しました。

図表8-7 私有iOSユーザー初期設定(プロファイル導入の続き)

図表8-7 私有iOSユーザー初期設定(プロファイル導入の続き)

 

ポータルサイトに戻り(戻れない場合は、ホーム画面に追加された[ポータル]という青いアイコンを選択)、[続行]を選択します。
設定ウィザードが表示されたら、[続行]を選択します。
[このデバイスには、コンプライアンスポリシーが割り当てられていません]と表示されました。

図表8-8 私有iOSユーザー初期設定(コンプライアンスポリシーに関する警告)

図表8-8 私有iOSユーザー初期設定(コンプライアンスポリシーに関する警告)

コンプライアンスポリシーを割り当てるには、Microsoft Intune管理センターかMicrosoft Entra管理センターで、私有iOSのデバイスグループに登録する必要があります(システム管理者作業)。その後、コンプライアンスポリシーのチェックで準拠済になれば組織のアプリを使用できるようになります。怪しいデバイスを組織のアプリに接続させないためにこのようにしています。

 

プロファイルのインストールが完了し、ポータルアプリに再度アクセスした時に、導入必須アプリ(この例ではMS365)のインストールを求められることがあります。コンプライアンスポリシーのチェックが未実施でも、[インストール]を進めて問題ありません。

図表8-9 私有iOSユーザー初期設定(Intune以外の必須アプリ導入)

図表8-9 私有iOSユーザー初期設定(Intune以外の必須アプリ導入)

 

Entra管理C 私有iOSデバイスグループ登録

Webブラウザーより、Microsoft Entra管理センターにアクセスし、左メニューの[デバイス>すべてのデバイス]を選択します。前の工程で初期設定した私有iOSデバイスが非準拠の状態で表示される筈です。このデバイス名を覚えておきます。

*Intune管理センターからでも作業できますが、Entra管理センターより状態の反映に若干時間がかかるようですので、後者を使用しています

図表9-1 Entra管理センターの私有iOS用デバイスグループへのメンバー登録へ

図表9-1 Entra管理センターの私有iOS用デバイスグループへのメンバー登録へ

 

左メニューの[グループ>すべてのグループ]を選択し、前の記事の工程2で作成した私有iOSデバイスグループを選択します。
サブメニューの[管理>メンバー]を選択し、[メンバーの追加]を選択します。

図表9-2 私有iOS用デバイスグループへのメンバー登録(追加)

図表9-2 私有iOS用デバイスグループへのメンバー登録(追加)

 

[デバイス]タブを選択し、図表9-1のデバイス一覧画面で確認した私有iOSデバイスを選択します。

図表9-3 私有iOS用デバイスグループへのメンバー登録(デバイス選択)

図表9-3 私有iOS用デバイスグループへのメンバー登録(デバイス選択)

 

私有iOSのデバイスグループ登録が完了しました。
15分位経ってから、再びデバイス一覧画面にアクセスすると、コンプライアンスポリシーのチェックで問題がなければ、私有iOSデバイスの状態が非準拠から準拠済に変わっている筈です。

図表9-4 メンバー登録後の確認

図表9-4 メンバー登録後の確認

 

 

 

ユーザー操作 私有iOSデバイス 組織アプリ導入、動作確認

再び私有iOSデバイス使用者(この例ではUser Aaa)による作業に戻ります。


ホーム画面に追加された[ポータル]アプリを選択します。なお、導入必須としたMS365はインストール済になっています。
下メニューの[アプリ]を選択し、[おすすめアプリ]の[すべて表示]を選択します。
[Microsoft Outlook]を選択します。

図表10-1 私有iOSユーザーアプリ導入(任意アプリ導入)

図表10-1 私有iOSユーザーアプリ導入(任意アプリ導入)

 

[インストール]を選択します。
確認メッセージが表示されたら、[インストール]を選択します。
処理が完了するまで待ち、[インストール済]と表示されたら、ホーム画面に戻ります。

図表10-2 私有iOSユーザーアプリ導入(任意アプリ導入の続き)

図表10-2 私有iOSユーザーアプリ導入(任意アプリ導入の続き)

 

ホーム画面に追加された[Outlook]を選択します。
Outlookが起動したら、[アカウントの追加]を選択します。
組織のアカウントが検出されますので、これにチェックをつけ、[アカウントの追加]を選択します。

図表10-3 私有iOSユーザーアプリ導入(任意アプリ起動,サインイン)

図表10-3 私有iOSユーザーアプリ導入(任意アプリ起動,サインイン)

 

別のアカウントの追加について尋ねられたら、[後で]を選択します。
通知の確認については、[いいえ]を選択します(どちらでも構いません)。
アプリの初回アクセス時は、確認メッセージやナビゲーターが色々出て少々煩わしいですが、適宜選択して先に進めます。
アプリの初期設定が完了したら、使用できる状態になります。
他に必要なアプリがあれば、同じ要領で導入します。

図表10-4 私有iOSユーザーアプリ導入(初期設定)

図表10-4 私有iOSユーザーアプリ導入(初期設定)

 

アプリ保護ポリシーで組織アプリ外へのデータ共有を規制する設定を行いました。参考まで、その挙動をMS365アプリを使って紹介します。


MS365アプリ上でWord文書を作成し、Word文書の三点マークから[共有]を選択します。
さらに三点マークを選択し、[その他]のアプリを選択します。

図表10-5 私有iOSユーザーアプリ導入(組織外データ共有禁止時の挙動)

図表10-5 私有iOSユーザーアプリ導入(組織外データ共有禁止時の挙動)

 

アプリが表示されますが、ファイルをローカルにコピーできる[ブック]アプリ等は表示されません
[メモ]アプリに共有した場合の挙動を確認してみます。
[保存]ボタンが表示され、一見メモアプリにファイルを保存できてしまいそうです。
ホーム画面から[メモ]アプリを起動して確認してみます。

図表10-6 私有iOSユーザーアプリ導入(組織外データ共有禁止時の挙動の続き)

図表10-6 私有iOSユーザーアプリ導入(組織外データ共有禁止時の挙動の続き)

 

[メモ]アプリに共有したファイルはWebリンクのようです。
これを選択すると、MS365アプリが起動し、ファイルを開くような挙動になりました。
ローカルへのファイルコピーはできず、組織アプリで編集・閲覧する形になっています。

図表10-7 私有iOSユーザーアプリ導入(組織外データ共有禁止時の挙動の続き)

図表10-7 私有iOSユーザーアプリ導入(組織外データ共有禁止時の挙動の続き)

 

2025/08/05更新:Apple MDMプッシュ証明書更新(参考)

前の記事の工程3で導入したApple MDMプッシュ証明書は、有効期限が最長1年であり、毎年更新作業が必要となります。その手順を紹介します。

 

更新期限の一カ月前に、前回使用したAppleIDの登録メールアドレス宛に更新通知メールが届きます。
メール中のリンクをクリックして、Appleの証明書ページにアクセスします。

図表11-1 Apple MDM プッシュ証明書更新(通知メール)

図表11-1 Apple MDM プッシュ証明書更新(通知メール)


AppleIDの登録メールアドレスとパスワードを入力し、サインインします。

図表11-2 Apple MDM プッシュ証明書更新(AppleIDサインイン)

図表11-2 Apple MDM プッシュ証明書更新(AppleIDサインイン)

 

2ファクタ認証を求められた場合は、画面の指示に従い、確認コードで認証します。

図表11-3 Apple MDM プッシュ証明書更新(2ファクタ認証)

図表11-3 Apple MDM プッシュ証明書更新(2ファクタ認証)

 

Appleプッシュ証明書ポータル画面が表示されたら、期限の迫っている証明書の行で[Renew]を選択します。

図表11-4 Apple MDM プッシュ証明書更新(Appleプッシュ証明書ポータル)

図表11-4 Apple MDM プッシュ証明書更新(Appleプッシュ証明書ポータル)

 

Webブラウザーの別タブで、Microsoft Intune管理センターにアクセスし、左メニューの[デバイス]を選択し、サブメニューの[プラットフォーム別>iOS/iPadOS]を選択します。
サブメニューの[デバイスのオンボーディング>登録]を選択し、[Apple MDM プッシュ証明書]を選択します。

図表11-5 Apple MDM プッシュ証明書更新(Intuneプッシュ証明書画面へ)

図表11-5 Apple MDM プッシュ証明書更新(Intuneプッシュ証明書画面へ)

 

[CSRのダウンロード]を選択し、csrファイルをダウンロードします。

図表11-6 Apple MDM プッシュ証明書更新(Intune csrファイルダウンロード)

図表11-6 Apple MDM プッシュ証明書更新(Intune csrファイルダウンロード)

 

Appleの画面に戻ります。
[ファイルの選択]を押し、図表11-6でダウンロードしたcsrファイルを選択し、[Upload]を選択します。

図表11-7 Apple MDM プッシュ証明書更新(Apple csrファイルアップロード)

図表11-7 Apple MDM プッシュ証明書更新(Apple csrファイルアップロード)

 

Appleの画面で証明書の更新に成功したら、[Download]を選択し、pemファイルをダウンロードします。

図表11-8 Apple MDM プッシュ証明書更新(Apple pemファイルダウンロード)

図表11-8 Apple MDM プッシュ証明書更新(Apple pemファイルダウンロード)

 

Microsoft Intuneの画面に戻ります。
項番4では、AppleIDで使用しているEmailアドレスを入力します。
項番5では、ファイル選択アイコンを選択し、図表11-8でダウンロードしたpemファイルを選択します。
[アップロード]を選択します。

図表11-9 Apple MDM プッシュ証明書更新(Intune pemファイルアップロード)

図表11-9 Apple MDM プッシュ証明書更新(Intune pemファイルアップロード)

 

画面右上に証明書が正常に作成された旨のメッセージが表示されたら、画面を再度開き直し、証明書の有効期限が一年後に更新されていることを確認します。

図表11-10 Apple MDM プッシュ証明書更新(Intune 作業後確認)

図表11-10 Apple MDM プッシュ証明書更新(Intune 作業後確認)

 

おわりに

私有デバイスの業務利用におけるユーザーの操作面に関して、Androidは個人用/仕事用のプロファイルという形で境界が明確でしたが、iOSの方は見た目上そうではありませんでした。しかし、各種ポリシーやアプリの展開に関しては、ほぼ同じ内容を設定でき、セキュリティ面に大きな差はないと考えます。

 

私有Androidデバイスもそうでしたが、ユーザー側の初期設定の手順が多く、特にユーザーに不安を抱かせるほど確認メッセージが表示されます。組織内に展開する際は、この記事のような画面付きの手順書を作成・共有しておくことを推奨します。

 

 

当ブログ内の連載記事

elmgrn.hatenablog.com

 

当ブログ内の関連記事

elmgrn.hatenablog.com

elmgrn.hatenablog.com