くらめその情シス:MacをIntuneに登録する(初期プロファイルの設定)

くらめその情シス:MacをIntuneに登録する(初期プロファイルの設定)

Clock Icon2020.07.29

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

はじめに

こんにちは、情シスの畠山です。

すでに、MacもIntuneで管理をできることは他の記事でもご紹介していますが、今回は、その際に必要な初期セットアップ時の動作に関する設定方法をご紹介します。

IntuneのAutomated Device Enrollment(ADE)を使用するには、プロファイルの作成とその動作設定が必須となっています。

初期プロファイルとは、全く新しいMacを初めて起動した時に、通常であれば初期設定ウィザードの形式で、いろいろな設定に関してユーザーに入力を求めながら初期設定を行いますが、これらの設定を自動で行ってユーザー入力を省くことができます。

会社用のMacのセットアップ作業では、かなり煩わしい部分が多い部分ですが、これらの設定によってかなりの省力化が期待できるでしょう。

Microsoft公式の解説ページも参考にしてください。

【この記事の目的】

  • IntuneでMacのセットアップ時に必要な初期プロファイルを設定する
  • Macの初期セットアップの時間短縮と省力化を行う

では、さっそく設定手順をご紹介していきます。

【ご注意ください】

このシリーズでは以下の条件を満たしAzureを既に利用できていることが前提になっています。

  • Office365などでAzureでライセンス管理が利用可能であること
  • AzureADにユーザー、グループ情報があること(AzureAD Connector連携含む)
  • Azureのグローバル管理者アカウントの権限を持っていること
  • MacをIntuneに登録するのに必要な環境が揃っていること

IntuneのApple登録情報に初期プロファイルを設定する

Microsoft Endpoint Manager admin centerにアクセスします。

「デバイス」→「デバイスの登録|Apple登録」と開きます。

「Enrollment Program トークン」を選択します。

Enrollment Program トークンは、すでにApple Business Managerとの連携設定のために作成されているものとして、ここではご紹介しません。 詳細は、こちらを参照してください。

くらめその情シス:MacをIntuneに登録する(Automated Device Enrollmentの設定)

その作成済みのトークンを選択して、「プロファイル」を選択します。

「+プロファイルの作成」をクリックします。

プラットフォームの選択が出ますので、「macOS」を選択します。

プロファイルの設定(基本)

プロファイルに名前をつけます。

なお、割り当てるプロファイルはプラットフォームあたり1つのみです。 複数作成することは可能ですが、「既定のプロファイルの設定」でデフォルトで割り当てるプロファイルを切り替えることが可能です。

説明欄には、どのようなプロファイルなのかを記述しておくと、メンテナンス時に便利です。

プロファイルの設定(管理の設定)

「アフィニティと認証方法」を設定します。

ここでいうユーザーアフィニティとは、デバイスと使用するユーザーを紐づけて管理するかという設定になります。 この設定に関して、以下記事の「グループの割り当て」のところでTipsを紹介していますので、ご参考にしてください。

くらめその情シス:Intuneで業務用アプリを自動インストール(MacOS編)

弊社では、「ユーザーアフィニティに登録する」を選択しています。

次に「管理の方法」ですが、ユーザーがシステム設定やターミナルを使用して、このプロファイルを削除できないようにロックした上で登録することを選びます。

これも、弊社では「はい」を選択します。

プロファイルの設定(管理の設定)

セットアップの初期設定ウィザードに表示してユーザーに入力を促す表示をするかしないかを設定できます。


設定内容は、基本的に表示するか非表示にするかの2択ですので、企業のポリシーに合わせて設定してよろしいと思います。

プロファイルの設定(確認および作成)

設定内容を確認して「作成」ボタンを押します。

一覧画面に戻って、作成したプロファイルが表示されていると思います。

「既定のプロファイルの設定」を押して、既定のプロファイル(1つ)をプラットフォームごとに設定します。

さいごに

このプロファイル設定は、Macの自動登録(Automated Device Enrollment(ADE))をIntuneで制御するためには必ず必要な設定で、少しわかりにくい部分もありますが、設定内容の違いでセキュリティレベルやMacの監視レベルにも影響が出る重要な設定ですので、非常に重要な設定のひとつと言えるでしょう。

今後も、AzureAD+Intuneに関する記事をどんどん公開していきますので、お楽しみに。

AzureAD&Intuneに関するまとめ記事

AzureAD&Intuneに関して、以下リンクから参照できます。

くらめその情シス:AzureADとIntuneを使ってPC管理を効率化してみた

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.