展開ガイド: Microsoft Intune で macOS デバイスを管理する
macOS デバイス上の仕事用のメール、データ、アプリへのアクセスをセキュリティで保護します。 この記事では、macOS の Intune モバイル デバイス管理の有効化、ポリシーの構成、およびアプリの展開に役立つ macOS 固有のタスクについて説明します。
前提条件
Intune で macOS デバイスの管理を有効にするには、次の前提条件を満たします。
ロールとアクセス許可Microsoft Intune詳細については、「Microsoft Intuneを使用した RBAC」を参照してください。 Microsoft Entraグローバル管理者ロールとIntune管理者ロールは、Microsoft Intune内で完全な権限を持ちます。 グローバル管理者には、Microsoft Intuneの多くのデバイス管理タスクに必要な以上のアクセス許可があります。 タスクを完了するために必要な最小限の特権ロールを使用することをお勧めします。 たとえば、デバイス登録タスクを完了できる最小限の特権ロールは、組み込みのIntune ロールである Policy と Profile Manager です。
初期セットアップ、オンボード、または Microsoft Intune への移行を実行する方法の詳細については、Intune セットアップ展開ガイドを参照してください。
展開を計画する
Microsoft Intune 計画ガイドを使用して、デバイス管理の目標、ユースケース シナリオ、および要件を定義します。 これは、ロールアウト、通信、サポート、テスト、および検証の計画にも役立ちます。 たとえば、macOS 用のポータル サイト アプリは App Store で入手できないため、エンド ユーザーがポータル サイトをインストールしてデバイスを登録する方法を把握できるように通信の計画を設定することをお勧めします。
デバイスを登録する
会社所有および個人の macOS デバイスの登録方法とエクスペリエンスを構成します。 この手順により、デバイスでは、その登録後に Intune のポリシーと構成を受け取れるようになります。 Intune では、Bring Your Own Device (BYOD) 登録、Apple Automated Device Enrollment、および企業デバイスの直接登録がサポートされています。 それぞれの登録方法や、組織に適した方法の選び方については、Microsoft Intune での macOS デバイスの登録に関するガイドを参照してください。
| タスク | 詳細 |
|---|---|
| ユーザー所有 (BYOD) デバイスの登録を設定する | この記事の前提条件を満たして、ユーザー所有デバイスの登録を有効にします。 また、デバイス ユーザーと共有する登録リソースとリンクもあり、登録エクスペリエンス全体でサポートされます。 この登録方法は、Bring Your Own Device (BYOD) ポリシーを持つ組織向けです。 BYOD を利用すれば、仕事関連の作業で個人のデバイスを使用できるようになります。 |
| Apple Automated Device Enrollment (ADE) を設定する | Apple School Manager または Apple Business Manager 経由で購入した企業所有デバイスでの登録を自動化する、すぐに使用できる登録エクスペリエンスを設定します。 この方法は、登録するデバイスの数が多い組織に最適です。これにより、各デバイスを個別に操作して構成する必要がなくなるためです。 |
| 企業デバイスの直接登録を設定する | 共有スペースや小売設定で使用されるデバイスなど、1 人のユーザーに関連付けられていない企業所有デバイス向けの登録エクスペリエンスを設定します。 直接登録ではデバイスがワイプされません。そのため、デバイスからローカル ユーザー データにアクセスする必要がない場合に使用するのが理想的です。 登録プロファイルを Mac に直接転送する必要があります。これには、Apple Configurator を実行している Mac コンピューターへの USB 接続が必要です。 |
| デバイス登録マネージャーの追加 | デバイス登録マネージャー (DEM) として指定されたユーザーは、一度に最大 1,000 台の企業所有モバイル デバイスを登録できます。 DEM アカウントは、デバイスをユーザーに渡す前に登録および準備する組織で役立ちます。 |
| デバイスの企業所有としての識別 | 企業所有のステータスをデバイスに割り当てて、より多くの管理および識別機能を Intune で有効にすることができます。 企業所有のステータスは、Apple Business Manager 経由で登録したデバイスには割り当てることができません。 |
| デバイス所有権を変更する | デバイスが登録された後に、Intune でその所有権ラベルを企業所有または個人所有に変更できます。 この調整によって、デバイスを管理できる方法が変わります。 |
| 登録に関する問題のトラブルシューティング | 登録中に発生する問題のトラブルシューティングを行い、解決方法を見つけます。 |
コンプライアンス ルールの作成
コンプライアンス ポリシーを作成して、保護されたリソースにアクセスするためにユーザーとデバイスが満たす必要があるルールと条件を定義します。 これは、データにアクセスするデバイスで確実に標準が満たされるようにする方法です。 Intuneは、要件に適合しないデバイスを非準拠としてマークし、構成に従ってアクション (ユーザーに通知の送信、アクセスの制限、デバイスのワイプなど) を実行します。
条件付きアクセス ポリシーを作成する場合、デバイスのコンプライアンス結果と併用して、準拠していないデバイスからのリソースへのアクセスをブロックできます。 コンプライアンス ポリシーに関する詳しい説明と最初の手順については、「コンプライアンス ポリシーを使用して、Intune で管理するデバイスのルールを設定する」を参照してください。
| タスク | 詳細 |
|---|---|
| コンプライアンス ポリシーの作成 | コンプライアンス ポリシーを作成してユーザーとデバイスのグループに割り当てる方法のステップ形式のガイダンス。 |
| コンプライアンス違反に対するアクションを追加する | デバイスがコンプライアンス ポリシーの条件を満たさなくなったときの処理を選択します。 デバイス コンプライアンス ポリシーを構成するとき、または後でポリシーを編集することによって、非準拠のアクションを追加できます。 |
| デバイスベースまたはアプリベースの条件付きアクセス ポリシーを作成する | 保護するアプリまたはサービスを指定し、アクセスの条件を定義します。 |
| 先進認証を使用していないアプリへのアクセスをブロックする | アプリベースの条件付きアクセス ポリシーを作成して、OAuth2 以外の認証方法を使用するアプリ (基本認証やフォームベース認証を使用するアプリなど) をブロックします。 ただし、アクセスをブロックする前に、Microsoft Entra IDにサインインし、認証方法のアクティビティ レポートを確認して、ユーザーが基本認証を使用して、忘れた重要な情報にアクセスしているか、または認識しないものにアクセスしているかどうかを確認します。 たとえば、会議室のカレンダー キオスクなどは、基本認証を使用します。 |
デバイス設定を構成する
Microsoft Intune を使用して、仕事で使われる macOS デバイスの設定および機能を有効または無効にします。 これらの設定を構成して適用するには、デバイス構成プロファイルを作成してから、そのプロファイルを組織内のグループに割り当てます。
| タスク | 詳細 |
|---|---|
| Microsoft Intune でのデバイス プロファイルの作成 | 組織のために作成できるさまざまな種類のデバイス プロファイルについて理解します。 |
| デバイス機能を構成する | 一般的な macOS の機能を構成します。 この領域の設定についての説明は、デバイス機能リファレンスを参照してください。 |
| Wi-Fi プロファイルを構成する | このプロファイルにより、ユーザーは組織の Wi-Fi ネットワークを検索して接続できます。 この領域の設定についての説明は、Wi-Fi 設定リファレンスを参照してください。 |
| ワイヤード (有線) ネットワーク プロファイルを構成する | このプロファイルを使用すると、デスクトップ コンピューター上のユーザーが組織のワイヤード (有線) ネットワークに接続できます。 この領域の設定の説明については、ワイヤード (有線) ネットワーク リファレンスを参照してください。 |
| VPN プロファイルを構成する | 組織のネットワークに接続するユーザーのために、Microsoft Tunnel などのセキュリティで保護された VPN オプションを設定します。 この領域の設定についての説明は、VPN 設定リファレンスを参照してください。 |
| デバイスの機能を制限する | 職場または学校で使用できるデバイス機能を制限することによって、未認可のアクセスや注意散漫からユーザーを保護します。 この領域の設定についての説明は、デバイス制限リファレンスを参照してください。 |
| カスタム プロファイルを構成する | Intune に組み込まれていないデバイスの設定や機能を追加して割り当てます。 |
| macOS 拡張機能を追加および管理する | カーネル拡張機能とシステム拡張機能を追加します。これにより、ユーザーは、オペレーティング システムのネイティブ機能を拡張するアプリ拡張機能をインストールできるようになります。 この領域の設定の説明については、macOS 拡張機能リファレンスを参照してください。 |
| ブランド化と登録のエクスペリエンスをカスタマイズする | 組織独自の用語、ブランド、画面設定、連絡先情報を使用して、Intune ポータル サイトや Microsoft Intune アプリのエクスペリエンスをカスタマイズします。 |
エンドポイント セキュリティを構成する
Intune のエンドポイント セキュリティ機能を使用して、デバイスのセキュリティを構成したり、リスクにさらされたデバイスに対するセキュリティ タスクを管理したりします。
| タスク | 詳細 |
|---|---|
| エンドポイント セキュリティ機能を使用してデバイスを管理する | Intune のエンドポイント セキュリティ設定を使用して、デバイスのセキュリティを効果的に管理し、デバイスの問題を修復します。 |
| 条件付きアクセスを使用して Microsoft Tunnel へのアクセスを制限する | 条件付きアクセス ポリシーを使用して、Microsoft Tunnel VPN ゲートウェイへのデバイス アクセスを制御します。 |
| エンドポイント保護設定を追加する | ファイアウォール、Gatekeeper、FileVault など、一般的なエンドポイント保護セキュリティ機能を構成します。 この領域の設定の説明については、エンドポイント保護設定リファレンスを参照してください。 |
セキュリティで保護された認証方法を設定する
Intune で認証方法を設定して、認可されたユーザーのみが内部リソースにアクセスできるようにします。 Intune では、多要素認証、証明書、派生資格情報をサポートしています。 証明書は、S/MIME を使用したメールの署名と暗号化にも使用できます。
| タスク | 詳細 |
|---|---|
| 多要素認証 (MFA) を要求する | 登録時に 2 つの形式の資格情報を提供することをユーザーに要求します。 |
| 信頼済み証明書プロファイルを作成する | SCEP、PKCS、または PKCS のインポートされた証明書プロファイルを作成する前に、信頼された証明書プロファイルを作成して展開します。 信頼された証明書プロファイルにより、SCEP、PKCS、PKCS でインポートされた証明書を使用して、デバイスとユーザーに信頼されたルート証明書が展開されます。 |
| Intune で SCEP 証明書を使用する | Intune で SCEP 証明書を使用して必要なインフラストラクチャを構成するために必要な事柄について理解します。 その後、SCEP 証明書プロファイルを作成するか、SCEP を使用してサード パーティの証明機関を設定することができます。 |
| Intune で PKCS 証明書を使用する | (オンプレミスの証明書コネクタなどの) 必要なインフラストラクチャを構成し、PKCS 証明書をエクスポートし、Intune デバイス構成プロファイルに証明書を追加します。 |
| インポートした PKCS 証明書を Intune で使用する | インポートした PKCS 証明書を設定します。これにより、S/MIME を設定および使用してメールを暗号化することが可能になります。 |
アプリを展開する
アプリおよびアプリ ポリシーを設定する際は、組織の要件について検討してください。たとえば、サポートする予定のプラットフォーム、ユーザーが実行するタスク、それらのタスクを完了するためにユーザーが必要とするアプリの種類、それらを必要とするユーザーなどです。 Intune を使用してデバイス全体 (アプリを含む) を管理することも、Intune を使用してアプリのみを管理することもできます。
| タスク | 詳細 |
|---|---|
| Intune ポータル サイト アプリを追加する | デバイスでポータル サイトを取得する方法や、ユーザーにこの作業を自分で行う方法を指示する方法について学習します。 |
| Microsoft Edge を追加する | Intune で Microsoft Edge を追加して割り当てます。 |
| Microsoft 365 を追加する | Intune で Microsoft 365 を追加して割り当てます。 |
| 基幹業務アプリを追加する | Intune で macOS 基幹業務 (LOB) アプリを追加して割り当てます。 |
| アプリをグループに割り当てる | アプリを Intune に追加したら、それらをユーザーとデバイスに割り当てます。 |
| アプリ割り当ての組み込みと除外 | 選択したグループを割り当てに含めたり、割り当てから除外したりして、アプリへのアクセスと可用性を制御します。 |
| macOS デバイスでシェル スクリプトを使用する | macOS オペレーティング システムでサポートされている範囲を超え、Intune でデバイス管理機能を拡張するには、シェル スクリプトを使用します。 |
リモート操作を実行する
デバイスの設定後、Intune のリモート操作を使用して、遠隔地から macOS デバイスを管理およびトラブルシューティングできます。 Intune のリモート操作については、以下の記事で説明しています。 ある操作が、ポータルに存在しない場合や、無効になっている場合、その操作は macOS でサポートされていません。
| タスク | 詳細 |
|---|---|
| デバイスでリモート操作を実行する | Intune で個々のデバイスにドリルダウンし、リモートから管理とトラブルシューティングを行う方法を理解します。 この記事では、Intune で使用できるすべてのリモート操作と、それらの手順へのリンクを一覧にして示しています。 |
| TeamViewer を使用して Intune デバイスをリモート管理する | Intune 内で TeamViewer を構成します。また、リモートでデバイスを管理する方法を理解します。 |
| セキュリティ タスクを使用して脅威と脆弱性を確認する | Intune を Microsoft Defender for Endpoint と統合して、Defender for Endpoint の脅威と脆弱性の管理を利用します。また、Defender の脆弱性管理機能によって特定されたエンドポイントの脆弱性を Intune を使って修復します。 |
次の手順
Intuneを移動して使用する方法に関するチュートリアルについては、「管理センター Intuneチュートリアル」を参照してください。 チュートリアルは、Intune または特定のシナリオの初心者のための 100 ~ 200 レベルのコンテンツです。
アプリの展開に関するチュートリアルについては、Intune サポート チームによって作成された次の Microsoft Tech Community のブログを参照してください。
このガイドの他のバージョンについては、以下を参照してください。