くらめその情シス:MacをIntuneに登録する(Automated Device Enrollmentの設定)

2020.07.28

はじめに

こんにちは、くらめそ情シスの畠山です。

今回は、MacをIntuneに登録して自動化を行うために必要な手順をご紹介します。

WindowsPCの場合は、AutoPilotという機能になりますが、Macの場合はAutomated Device Enrollment (ADE)という機能名になっています。

Apple社では、ビジネス向けの法人窓口が各社専用のAppleStoreサイトを提供しています。

それに合わせて、Apple Business Managerの利用契約を締結すると、MDMと連携するためのサイトが提供されるようになります。

このサイトでは、自社専用のAppleStoreサイトで購入したハードウェア(Mac、iPhone、iPad等)の管理や、VPP(Volume Purchase Program)によるアプリの一括購入もできます。

VPPで購入したアプリは、通常のAppStoreで購入できるライセンスと異なり、デバイスライセンスとなるためユーザーとなる社員が個別にAppleIDを設定することなく、アプリのインストールを行うことができます。 また、所有ライセンス数や使用済み数の管理もできるだけでなく、ライセンスを違うデバイスに移動することも可能ですので、買替が不要になりコスト削減にもつながります。

【この記事の目的】

  • Apple Business ManagerとIntuneを連携させる
  • Macを自動セットアップできる環境を設定する

では、さっそく登録手順をご紹介していきます。

【ご注意ください】

このシリーズでは以下の条件を満たしAzureを既に利用できていることが前提になっています。

  • Office365などでAzureでライセンス管理が利用可能であること
  • AzureADにユーザー、グループ情報があること(AzureAD Connector連携含む)
  • Azureのグローバル管理者アカウントの権限を持っていること
  • Apple社と法人契約が締結されていること
  • 旧DEP、VPPの契約がある場合、Apple Business Managerへのアップグレードを実行済みであること

※ Apple Business Managerの契約に関しまして、詳しくはAppleの法人窓口までご相談ください。

Apple Business Manager(以後、ABMと表記)とIntuneの連携設定

Intune側の設定準備

Microsoft Endpoint Manager admin centerにアクセスします。

「デバイス」→「デバイスの登録」→「Appleの登録」と進みます。

「Apple MDM プッシュ証明書を構成」を選択します。

AppleIDの登録等、必要情報を登録して同ページに記載の通りの手順で、CSRをダウンロードしてください。

この画面のステップを順に進めてください。 詳細情報のマニュアルへのリンクもありますので、参考にしながら進めてください。

ABM側の設定

ABM契約時に登録したAppleIDを使用して、Apple Business Managerにログインします。

ログインできたら、左下の「設定」を選択すると、右ペインの「組織の設定」の中に「デバイス管理の設定」がありますので、クリックしてください。

真ん中あたりに、「MDMサーバを追加」というアイコンがありますので、クリックします。

Intuneにてダウンロードした、CSRを登録します。

登録ができると、MDM証明書が生成され、ダウンロードできるようになります。

IntuneにABMと連携するためのトークンを設定する

再び、Intuneに戻って「デバイス」→「デバイスの登録|Appleの登録」→「Enrollment Program トークン」を開きます。 「+追加」をクリックします。

「Enrollment Program トークンの追加」画面にて、上から順に進めていってください。

ここで、ABMにアクセスしたAppleIDや、ABMからダウンロードしたMDM証明書をアップロードします。

ABMにデフォルトで送信するMDMサーバを登録する

なお、自動的にIntuneにデバイス情報を送信するためには、ABMの「デバイス管理の設定」画面の「デフォルトのデバイスの割り当て」の「編集」ボタンを押して、各デバイスごとに連携するMDMサーバを設定することで、購入したデバイス情報が自動的にMDMサーバ(今回はIntune)に送信されるようになります。

この登録で、ABMから送られてきたデバイスの情報を受け付けるための環境ができました。

IntuneにMacの登録情報が連携されたか確認する

ここまで、連携できたら既存のMacのシリアルナンバーをABMの「デバイスの割り当て」画面で検索して、連携先MDMサーバを指定すればIntune側にデータが送信されます。

※ABM契約前に、法人窓口を通して購入したデバイスの情報がすでに登録されている場合もありますが、「デフォルトのデバイス割り当て」はあくまで新規にABMに登録されたデバイスを対象に動作しますので、過去に購入したデバイスは、以下のように手動でシリアルナンバーを検索してMDMサーバへ情報送信を行う必要がありますので、ご注意ください。

Intuneの「Enrollment Program トークン」(ここではIntuneという名前)にABMからの情報が送信されると、デバイスの一覧にシリアルナンバーがリストアップされてきます。

これで、Intuneに対象のMacのシリアルナンバーが登録されたことが確認できれば成功です。

この状態で、Macを起動すると、起動時に通常では出てこない「リモートマネージメント」という画面が表示され、Intuneの初期プロファイルで指定した各種設定等がインストールされるようになります。

詳しいインストール手順については、また、別の記事で公開していきます。

さいごに

MacもIntuneを使用すれば、結構いろいろなことが自動化できそうです。

これからも、Intuneに関する記事をどんどん公開していきますので、お楽しみに。

AzureAD&Intuneに関するまとめ記事

AzureAD&Intuneに関して、以下リンクから参照できます。

くらめその情シス:AzureADとIntuneを使ってPC管理を効率化してみた