スキップしてメイン コンテンツに移動

Microsoft365導入企業がiPhoneを管理する方法 ~Microsoft+ABM連携準備編

 

はじめに

会社でiPhoneを管理する一つの方法として、Microsoft Intuneを利用する方法があります。

参考:Microsoft Intune とは

Microsoft365を導入している組織であれば、(プランにもよるので、各自ご確認ください)Microsoft Intuneのライセンスを取得すれば利用できます。

Microsoft IntuneではWindows、iPhone、androidなど様々なデバイスを管理することが出来る非常に機能が多いサービスですが、出来ることが多すぎてなかなかとっつきにくいといった特徴があります。

今回は、iPhoneを管理するための概要や設定の備忘録とします。

準備するもの

・Microsoft Intuneのライセンス

・Apple Business Manager(以下ABM)

様々な方法がありますが、今回紹介する方式をざっくり言うと、

AppleのテナントとMicrosoftのテナントで紐づけして、MicrosoftのサービスでiPhoneを管理する

といった感じです。なので、AppleIDではなくMicrosoftアカウントで運用します。

参考:https://docs.microsoft.com/ja-jp/mem/intune/enrollment/device-enrollment-program-enroll-ios

参考:https://support.apple.com/ja-jp/HT204142

作業

組織のABMを作るためにDUNSナンバーが必要になります。
1.ABMに組織を登録します
2.組織のドメインの所有を証明します。

ここから、具体的な連携について解説します。

Microsoft365管理センターから、Microsoft Endpoint Managera dmin center
デバイス > iOS/iPadOS 登録 > Apple MDM プッシュ通知証明書


CRSのダウンロード

MDMプッシュ証明書を作成する

Create a Certificate

Accept

※もし、更新する場合は、Renewから証明書をアップロードします。



ファイルの選択 から先ほどダウンロードしたCSRファイルをアップロード

Manage Certificates から証明書をダウンロード

Endpoint Managerにもどって AppleIDを入力 > Apple MDM プッシュ通知証明書をアップロード


続いて Enrollment Program トークン > 追加

同意する にチェック > 公開キーをダウンロードします からファイルをダウンロード



ABM に移動し、左下のアカウント > MDMサーバー

MDMサーバー名(任意) > ファイルを選択 から先ほどダウンロードしたキーをアップロード > 保存
トークンをダウンロード

サーバートークンをダウンロード
Endpoint Manager に戻って、AppleID > Appleトークン をアップロード(先ほどABMからダウンロードしたトークン) > 次へ


作成

ABMに戻って、お支払いと請求 > サーバートークン をダウンロード


EndpointManager に移ってテナント管理 > コネクタとトークン


Apple VPP トークン

作成

トークン名 > AppleID > VPPトークンファイル(アップロード) > 次へ

別のMDMからトークンを制御します いいえ > 国/地域 日本 > VPP アカウントの種類 ビジネス > アプリの自動更新 はい > 次へ

次へ

作成


以上で連携の設定は完了です。
お疲れさまでした。

年に一回更新作業が発生するため、備忘録として残します。


ラベル:

コメント

コメントを投稿

このブログの人気の投稿

GoogleアカウントだけでWEBアプリを作る方法。〜作成代行してもらったAppSheetを受け取る編

 はじめに Googleアカウントを持っていれば、Googleスプレッドシートをデータベースとしてアプリを作ることができるAppSheet。しかも、グーグルストアやアップルストアに登録する必要がなく、スマホ、タブレット、パソコンなど、色々なデバイスで利用可能な自分だけのアプリが作成可能です。 簡単にアプリを作ることが出来る ので手軽に始めることができるAppSheet。 ところが、このAppSheet。作りこみ次第ではデータからPDFを自動で作成し、指定のメールアドレスに一斉配信など、会社の 基幹システムレベルの構築が可能 であり、かなり奥の深いサービスだったりします。 作りこみを委託するケースも今後増えるんじゃないか?と思ったので、今回は 作成を代行してもらう方法 を紹介したいと思います。 手順 代行者側 Googleスプレッドシートでデータ作成 AppSheetでデータソースを紐付ける AppSheetの共同編集者に依頼者を設定する AppSheetのUsersからUser emailsに依頼者のGoogleアカウントを入力し、 私はロボットではありません をチェックします。 登録したユーザーの設定をします。 Can edit definition 、 Role:Admin、App version: Defaultにします。 Linksタブから、 アプリのURLをコピー して依頼者に共有します。 念の為、SAVEを忘れずしておきましょう。 URL共有時のメール例文 --- ○○さま お世話になっております。 アプリを作成したのでURLを送付いたします。 設定させていただいたGoogleアカウントによりアクセス可能です。 ご確認よろしくお願いいたします。 AppSheet https://www.appsheet.com/template/Apps アプリインストール用URL https://www.appsheet.com/newshortcut/○○○ ブラウザ利用におけるURL https://www.appsheet.com/start/○○○ 参考 GoogleアカウントだけでWEBアプリを作る方法。〜作成代行してもらったAppSheetを受け取る編 (goog-life.blogspot.com) --- 依頼者側 メールが届いたら、AppSheet
コメントを投稿
続きを読む

Google Workspaceのアカウントを個人スマホに追加して使おうとしたらアプリが使えないときの対処方法

はじめに 個人デバイスで仕事で利用しているGoogleWorkspaceを利用する場合、Androidスマホだとユーザーを別途用意してスマホにサインインするように運用したほうがセキュリティ上安全な場合があります。 ユーザー追加が終わり、アプリを利用しようとしたときにデータがスマホに同期されない原因の一つに、管理コンソール上の設定があります。 仕事用プロファイルを追加できません。 このデバイスには仕事用プロファイルを追加できません。ご不明な点がある場合は、IT管理者にお問い合わせください。 というメッセージが表示され、Gメールなどのアプリに情報が同期されず利用できないときの対処法を紹介します。 前提条件として、デバイスで仕事用プロファイルの設定が求められるといったケースです。 原因 管理コンソール上の端末管理設定が「詳細」になっているから。 解決策 モバイル管理の設定を「詳細」から「標準」に変更する。 「詳細」が選択されている場合は、Google Workspace のアカウントを利用時に仕事用プロファイルの設定が必須であり、より細かな制御が可能となります。 「標準」の設定であれば、細かな制御はできなくなってしまいますが、仕事用プロファイルの設定なくアカウント追加が可能になります。 手順 1.管理者アカウントで Google Admin にアクセス 2.デバイス>モバイルとエンドポイント>設定>一般設定>全般 3.全般>モバイル管理>標準(エージェント不要)に変更 ダウングレードの文字が出る場合があるが、OKで設定が適用されます。24時間反映にかかる場合があるみたいです。 4.既に個人のスマートフォンの [ 設定 ] > [ アカウント ] の欄に該当アカウントが存在している場合は、一度ログアウトさせてから再追加 まとめ BYODなどで、個人デバイスを業務利用するシーンが増えてきていると思います。 管理者に確認し、適切なセキュリティ運用を心がけてください。
コメントを投稿
続きを読む

Microsoft365アカウントでchromeBookを使う方法。~古いPCにchromeOS Flexをセットアップしてシングルサインオンしてみた

  出典:https://www.photo-ac.com/ はじめに 小規模な会社では、リモートワーク用のパソコンを調達するにもまとまった 予算を確保できない 問題があったりします。最初は補助金を活用できても、リプレース予算が捻出できなければ継続可能な運用が出来ないため、悩ましいですよね。 そんな場合、古いパソコンにchromeOS Flexをパソコンにインストールして、 ChromeBook化してリモートワークをする 方法があります。 この方法は、そもそも会社が普段利用しているグループウェアがGoogleWorkspaceだと最適なのですが、 Microsoft365を利用している会社 の場合、WindowsPCを利用したリモートワークが一般的かと思います。 そこで、高いニーズとして出てくるのが、 「MicrosoftからChromeBookライクなデバイスが提供されないのか?」といったお話なのですが、現在純正でそのようなデバイスはありません。 代替手段として、Intune(MDM)を利用してWindows端末に利用制限をかけてChromeBookライクな使い方をしている会社もありますが(むしろ一般的)、元はWindowsPCなのでChromeBookに比べて高額だったり設定が複雑だったりします。 ここでは、 Chrome OSをMicrosoft365ユーザーアカウントで利用 するといった方法を紹介したいと思います。この運用が正解だ!というつもりは無く、あくまでも一つの手段として何かの参考にしていただけると嬉しく思います。 まずは、AzureADでGoogleWorkspaceへのシングルサインインの設定が済んでいる必要があります。別の記事で紹介していますので、未だの方は参考に設定してみてください。 AzureADからGoogleWorkspaceへのシングルサインオンを実装 https://www.cd-l.net/2022/08/microsoft365google.html#toc_headline_5 公式のインストールガイドを参照ください。 chromeOS Flex インストール ガイド https://support.google.com/chromeosflex/answer/11552529?hl=ja 基本的には公式ガイドでインストールでき
コメントを投稿
続きを読む