macOS に適用されます
この記事では、Microsoft Intuneで macOS 自動デバイス登録 (ADE) の登録プロファイルを作成する方法について説明します。 ADE の概要と前提条件のセットアップについては、「 MacOS 用 Apple 自動デバイス登録の概要」を参照してください。
注:
この記事の手順は、Apple Business Manager と Apple School Manager のどちらを使用している場合でも同じです。 簡潔にするために、説明が必要な場合を除き、この記事の手順全体を通じてのみ Apple Business Manager を参照してください。
証明書
この登録の種類は、自動証明書管理環境 (ACME) プロトコルをサポートします。 ACME は macOS 13.1 以降でサポートされています。 既に登録されているデバイスは、再登録しない限り ACME 証明書を受け取りません。 詳細については、「ADE の概要」の 「証明書 」を参照してください。
前提条件
登録プロファイルを作成する前に、次のものが必要です。
- Apple Business Manager ポータルまたは Apple School Manager ポータルへのアクセス。
- アクティブな Apple トークン (.p7m ファイル)。 手順については、「 macOS ADE トークンを設定する」を参照してください。
- Intuneの Apple MDM プッシュ証明書。
- Apple Business Manager または Apple School Manager を使用して購入した新しいデバイスまたはワイプされたデバイス。
ヒント
自動デバイス登録では、デバイス ユーザーが削除できない可能性があるデバイス構成が適用されます。 登録前にすべてのデバイスをワイプして、すぐに使用できる状態に戻します。
ポータル サイト アプリをデプロイする
ユーザー アフィニティとセットアップ アシスタントと先進認証を使用して ADE を使用して macOS デバイスを登録する場合、ユーザーはMicrosoft Entra IDでデバイスの登録を完了するために、Microsoft Entra資格情報を使用してポータル サイト アプリにサインインする必要があります。 ポータル サイト アプリを macOS デバイスに追加するには、「macOS アプリのポータル サイトを追加する」を参照してください。
登録プロファイルの作成
管理センターで自動デバイス登録プロファイルを作成します。 プロファイルは、organizationの Mac デバイスの登録エクスペリエンスを定義し、登録デバイスに登録ポリシーと設定を適用します。 プロファイルは、割り当てられたデバイスに無線でデプロイされます。
この手順の最後に、このプロファイルをデバイス グループMicrosoft Entra割り当てることができます。
管理センターで、[デバイス>登録] に移動します。
[ Apple ] タブを選択します。
[ 一括登録方法] で、[ 登録プログラム トークン] を選択します。
登録プログラム トークンを選択します。
[ プロファイル>プロファイルの作成>macOS] を選択します。
重要
デバイスがアクティブになる前に、デバイスに登録ポリシーを割り当てる必要があります。 デバイスが Apple Business Manager または Apple School Manager から同期されたら、自動デバイス登録を使用して正しく登録できるように、できるだけ早く既定の登録ポリシーを設定することをお勧めします。 Apple から同期したデバイスに登録ポリシーが割り当てられず、誰かがデバイスをオンにして設定した場合、登録は失敗します。
[ 基本] に、プロファイルの名前と説明を入力して、他の登録プロファイルと区別できるようにします。 これらの詳細は、デバイス ユーザーには表示されません。
ヒント
名前フィールドを使用して、Microsoft Entra IDで動的グループを作成し、デバイスを登録プロファイルに自動的に割り当てることができます。 プロファイル名を使用して enrollmentProfileName パラメーターを定義します。 詳細については、「動的グループのMicrosoft Entra」を参照してください。
[次へ] を選択します。
[ 管理設定] ページで、 ユーザー アフィニティを構成します。 ユーザー アフィニティは、 デバイスが割り当てられたユーザーの有無に関わらず登録するかどうかを決定します。 次のようなオプションがあります。
ユーザー アフィニティなしで登録する: 1 人のユーザーに関連付けられていないデバイスを登録します。 ローカル ユーザー データにアクセスする必要のない共有デバイスとデバイスの場合は、このオプションを選択します。 ポータル サイト アプリは、これらの種類のデバイスでは機能しません。 ユーザー アフィニティなしで登録することは、 ユーザーレスの登録とも呼ばれます。
ユーザー アフィニティを使用して登録する: 割り当てられたユーザーに関連付けられているデバイスを登録します。 ユーザーに属する作業デバイスに対してこのオプションを選択し、アプリをインストールするためにユーザーにポータル サイト アプリを要求する場合は、このオプションを選択します。 このオプションでは、多要素認証 (MFA) を使用できます。 ユーザー アフィニティを使用した登録は、 ユーザーへの登録とも呼ばれます。
オプション 2 には、より多くの構成が必要です。 ユーザーは、ID を確認するために、登録前に自分自身を認証する必要があります。 次のいずれかの認証方法を選択します。
先進認証を使用したセットアップ アシスタント (推奨): この方法では、ユーザーがリソースにアクセスする前に、すべてのセットアップ アシスタント画面を完了し、Microsoft Entra資格情報を使用してポータル サイト アプリにサインインする必要があります。 ポータル サイトにサインインした後、デバイスは次の手順を実行します。
- Microsoft Entra IDに登録します。
- Microsoft Entra IDでユーザーのデバイス レコードに追加されます。
- デバイスのコンプライアンスを評価できます。
- 条件付きアクセスによって保護されたリソースへのアクセス権を取得します。
ユーザーが登録を完了するためにポータル サイトにサインインしない場合、条件付きアクセス保護を使用してマネージド アプリを開くたびに、ポータル サイト アプリにリダイレクトされます。
macOS 10.15 以降を実行しているデバイスでは、この方法を使用できます。 古い macOS デバイスは、従来のセットアップ アシスタント メソッドを使用してフォールバックします。 ポータル サイト アプリを Mac ユーザーに取得する方法の詳細については、「macOS アプリのポータル サイトを追加する」を参照してください。
重要
ユーザー デバイス アフィニティを使用した ADE (自動デバイス登録) シナリオでは、Apple デバイスの 先進認証でセットアップ アシスタント を使用することをお勧めします。 レガシ認証の使用は引き続き使用可能ですが、使用することはお勧めしません。
- セットアップ アシスタント (レガシ) ( 推奨されなくなりました): Apple 製品の一般的な既定のエクスペリエンスをユーザーに体験させる場合は、従来のセットアップ アシスタントを使用します。 この方法では、デバイスが Intune 管理に登録されるときに、標準の構成済み設定がインストールされます。 Active Directory フェデレーション サービスを使用しており、セットアップ アシスタントを使用して認証する場合は、WS-Trust 1.3 ユーザー名/混合エンドポイントが必要です。 ADFS エンドポイントの取得の詳細については、「 Get-ADfsEndpoint」を参照してください。
最終構成を待機 すると、セットアップ アシスタントの最後にロックされたエクスペリエンスが有効になり、最も重要なデバイス構成ポリシーがデバイスに確実にインストールされます。 この設定は、セットアップ アシスタントの Apple の自動デバイス登録エクスペリエンス中に 1 回適用されます。 デバイス ユーザーが Mac を再登録しない限り、デバイス ユーザーは再びデバイスを体験しません。
次のようなオプションがあります。
はい: ホーム画面が読み込まれる直前に、セットアップ アシスタントが一時停止し、デバイスにIntune チェックできます。 エンド ユーザー エクスペリエンスは、ユーザーが最終的な構成を待機している間にロックされます。 このオプションは、新しい登録プロファイルの既定の構成です。
いいえ: ポリシーのインストール状態に関係なく、セットアップ アシスタントが終了すると、デバイスはホーム画面にリリースされます。 デバイス ユーザーは、すべてのポリシーがインストールされる前に、ホーム画面にアクセスしたり、デバイスの設定を変更したりできます。 このオプションは、既存の登録プロファイルの既定の構成です。
[待機中の最終構成] 画面でユーザーが保持される時間は異なり、デバイスに割り当てるポリシーとアプリの合計数によって異なります。 ユーザーは、待機中にセットアップ アシスタントでダウンロードされているデバイス構成プロファイルを確認できます。 ポリシーとアプリが割り当てられるほど、待機時間が長くなります。 セットアップ アシスタントとIntuneでは、セットアップのこの部分では、最小または最大時間制限は適用されません。 製品の検証中に、テストしたほとんどのデバイスがリリースされ、15 分以内にホーム画面にアクセスできました。 この機能を有効にし、デバイスのプロビジョニングに役立つ Microsoft パートナーまたは Microsoft 以外のサービスと連携している場合は、プロビジョニング時間が長くなる可能性についてお知らせします。
ロックされたエクスペリエンスは、macOS 10.11 以降を実行している Mac でサポートされています。 これは、次のシナリオ用に設定された新規または既存の登録プロファイルを対象とする Mac で動作します。
- モダン認証を使用したセットアップ アシスタントによる登録
- セットアップ アシスタントを使用した登録 (レガシ)
- ユーザー デバイス アフィニティを使用しない登録
ロックされた登録を適用して、ユーザーがデバイスの登録を解除Intuneできないようにすることができます。 [ はい ] を選択すると、[システム環境設定] と [ターミナル] の Mac 設定が無効になり、ユーザーは管理プロファイルを削除できます。 デバイスを登録した後は、デバイスをワイプせずにこの設定を変更することはできません。
[次へ] を選択します。
必要に応じて 、[アカウント設定] ページで、対象の Mac でローカル管理者とユーザー アカウントを構成できます。
サポートされている macOS デバイスが、ローカル管理者を構成する自動デバイス登録 (ADE) プロファイルを使用してIntuneに登録すると、デバイスは、Microsoft ローカル管理者パスワード ソリューション (LAPS) を使用して macOS ローカル アカウント構成に対して有効になります。 この機能により、新しく登録されたデバイスは、強力で暗号化され、ランダム化された管理者パスワード (英数字 15 文字) を持つ一意のローカル管理者アカウントを受け取ります。これは、Intuneによっても保存および暗号化されます。 登録後、Intuneは既定で 6 か月ごとに LAPS で管理される管理者パスワードを自動的にローテーションし、十分なアクセス許可を持つ管理者Intuneによる管理者パスワードの検索と手動ローテーションをサポートします。
この機能の構成と管理については、「LAPS を使用した macOS アカウント構成のセットアップ」を参照してください。
![macOS 自動デバイス登録プロファイルの新しい [アカウント設定] セクションを示す管理センターの画像。](media/setup-automated-macos/macos-account-settings-intune.png)
ローカル ユーザー アカウントの次の設定は、macOS 12 以降を実行しているデバイスでサポートされています。 このアカウントが 管理者 アカウントになるプライマリ アカウントを構成するときに注意してください。 少なくとも 1 つの管理者アカウントを持つことは、Mac のセットアップ要件です。 このプロファイルを使用してローカル管理者パスワードも構成している場合は、「LAPS を使用した macOS アカウント構成のセットアップ」の「ローカル管理者アカウント」の記事を参照し、ここに戻ります。
次のようなオプションがあります。
ローカル ユーザー アカウントを作成する: [ はい ] を選択して、対象となる Mac のローカル ユーザー アカウント設定を構成します。 [ 未構成] を選択して、すべてのアカウント設定の構成をスキップします。
アカウント情報の入力前: 既定の構成 (未構成) では、デバイス ユーザーがセットアップ アシスタントで自分のアカウント ユーザー名とフル ネームを入力する必要があります。 代わりにアカウント情報を事前入力するには、[ はい] を選択します。 次に、プライマリ アカウント名とフル ネームを入力します。
ローカル ユーザー アカウントのユーザー名:
- {{serialNumber}} - たとえば、F4KN99ZUG5V2
- {{partialupn}} - たとえば、John
- {{managedDeviceName}} - たとえば、F2AL10ZUG4W2_14_4/15/2025_12:45PM
- {{OnPremisesSamAccountName}} - 例: contoso\John
ローカル ユーザー アカウントのフル ネーム::
- {{username}} - たとえば、 John@contoso.com
- {{serialNumber}} - たとえば、F4KN99ZUG5V2
- {{OnPremisesSamAccountName}} - 例: contoso\John
編集を制限する: 既定の構成は [はい ] に設定されているため、デバイス ユーザーはアカウント名とフル ネームを編集できません。 デバイス ユーザーがアカウント名とフル ネームを編集できるようにするには、[ 未構成] を選択します。 セットアップ アシスタント (レガシ) のみを使用して macOS 10.15 以降を実行しているデバイスを登録する場合は、次のエンド ユーザー エクスペリエンスが期待できます。
- はい: セットアップ アシスタントのアカウント作成画面は表示されません。 代わりに、他の設定構成に基づいてローカル ユーザー アカウントが自動的に作成され、Microsoft Entra認証画面からパスワードが自動的に設定されます。 デバイス ユーザーは、これらのフィールドを編集できません。
- 未構成: ローカル ユーザー アカウント画面がセットアップ アシスタントのエンド ユーザーに表示され、構成済みのアカウント値と、Microsoft Entra認証画面のパスワードが入力されます。 デバイス ユーザーは、セットアップ アシスタント中にこれらのフィールドを編集できます。
アカウント設定が意図したとおりに機能するには、登録プロファイルに次の構成が必要です。
- ユーザー アフィニティ: [ ユーザー アフィニティを使用して登録] を選択します。
- 認証方法: [先進認証を使用したセットアップ アシスタント] または [セットアップ アシスタント (レガシ)] を選択します。
- [最終構成を待機する]: [ はい] を選択します。
ローカル アカウントは、作成時の await 最終構成機能によって異なります。 その結果、ローカル管理者またはユーザー アカウントの設定を構成した場合、この設定は常に有効になります。 await の最終構成設定に触れない場合でも、常にバックグラウンドで有効になり、登録プロファイルに適用されます。
[次へ] を選択します。
[ セットアップ アシスタント ] ページで、セットアップ アシスタント エクスペリエンスを構成します。
- サポートに問い合わせるユーザーをユーザーに知らせるために、部署の情報を入力します。
- 部署名: この名前は、デバイス ユーザーがアクティブ化中に [構成について ] を選択したときに表示されます。
- 部署の電話番号: デバイス ユーザーがアクティブ化中に [ヘルプが必要 ] を選択すると、この電話番号が表示されます。
- デバイスのセットアップ中に表示または非表示にするセットアップ アシスタント画面を選択します。 すべての画面の説明については、 セットアップ アシスタントの画面リファレンス (この記事の) を参照してください。 次のようなオプションがあります。
- 非表示: デバイスのセットアップ中に画面がユーザーに表示されません。 デバイスのセットアップ後、ユーザーはデバイス設定に移動して機能を設定できます。
- 表示: デバイスのセットアップ中にユーザーに画面が表示されます。 ユーザーは、即時アクションを必要としない画面をスキップできます。 デバイスのセットアップ後、ユーザーはデバイス設定に移動して機能を設定できます。
- サポートに問い合わせるユーザーをユーザーに知らせるために、部署の情報を入力します。
[次へ] を選択します。
変更の概要を確認し、[ 作成 ] を選択してプロファイルの作成を完了します。
セットアップ アシスタントの画面リファレンス
次の表では、Mac の自動デバイス登録時に表示されるセットアップ アシスタント画面について説明します。 登録中に、サポートされているデバイスでこれらの画面を表示または非表示にすることができます。 各セットアップ アシスタント画面がユーザー エクスペリエンスに与える影響の詳細については、次の Apple リソースを参照してください。
| セットアップ アシスタント画面 | 表示された場合の動作 |
|---|---|
| 位置情報サービス | 位置情報サービスのセットアップ ウィンドウが表示され、ユーザーはデバイスで位置情報サービスを有効にすることができます。 macOS 10.11 以降の場合。 |
| 復元 | アプリとデータのセットアップ ウィンドウを表示します。 この画面では、デバイスを設定しているユーザーは、iCloud Backup からデータを復元または転送できます。 macOS 10.9-15.3 の場合。 macOS 15.4 以降の場合、この画面は非表示にできず、MDM によって設定が制御されるため、登録後にユーザーは別のデバイスからデータを転送できないというアラートを受け取ります。 |
| Apple ID | [Apple ID のセットアップ] ウィンドウが表示され、Apple ID でサインインして iCloud を使用するオプションがユーザーに表示されます。 macOS 10.9 以降の場合。 |
| 使用条件 | [Apple の使用条件] ウィンドウが表示され、ユーザーは同意する必要があります。 macOS 10.9 以降の場合。 |
| Touch ID と Face ID | 生体認証のセットアップ ウィンドウを表示します。これにより、デバイスで指紋または顔識別を設定するオプションがユーザーに表示されます。 macOS 10.12.4 以降の場合。 |
| Apple Pay | Apple Pay セットアップ ウィンドウが表示されます。これにより、ユーザーはデバイスで Apple Pay を設定できます。 macOS 10.12.4 以降の場合。 |
| Siri | [Siri のセットアップ] ウィンドウをユーザーに表示します。 macOS 10.12 以降の場合。 |
| 診断データ | ユーザーが診断データを Apple に送信することをオプトインできる [診断] ウィンドウを表示します。 macOS 10.9 以降の場合。 |
| 画面トーン | 表示トーンの設定ウィンドウを表示します。 この画面では、ユーザーに真のトーン表示をオンにするオプションが表示されます。 macOS 10.13.6 以降の場合。 |
| FileVault | FileVault 2 暗号化画面をユーザーに表示します。 macOS 10.10 以降の場合。 |
| iCloud 診断 | iCloud Analytics 画面をユーザーに表示します。 macOS 10.12.4 以降の場合。 |
| 登録 | 登録画面をユーザーに表示します。 macOS 10.9 以降の場合。 |
| iCloud ストレージ | iCloud ドキュメントとデスクトップ画面をユーザーに表示します。 macOS 10.13.4 以降の場合。 |
| 外観モード | ユーザーが外観モードを選択できる外観ウィンドウを表示します。 macOS 10.14 以降の場合。 |
| スクリーン タイム | macOS の [画面時間の設定] ウィンドウが表示され、ユーザーが画面時間やアプリと Web サイトのアクティビティに関する分析情報を得ることができる機能が表示されます。 macOS 10.15 以降の場合。 |
| プライバシー | プライバシー設定ウィンドウをユーザーに表示します。 macOS 10.13.4 以降の場合。 |
| アクセシビリティ | ユーザーにアクセシビリティ設定画面を表示します。 この画面が非表示の場合、ユーザーは macOS Voice Over 機能を使用できません。 Voice Over は、次のようなデバイスでサポートされます。 - macOS 11 を実行している。 - イーサネットを使用してインターネットに接続されている。 - Apple School Manager または Apple Business Manager にシリアル番号を付ける。 |
| Apple Watch による自動ロック解除 | ユーザーが自分の Mac のロックを解除するように Apple Watch を構成できる macOS の [Apple Watch によるロック解除] ウィンドウを表示します。 macOS 12.0 以降の場合。 |
| 住所の条件 | アドレスペインの用語を表示します。これにより、システム全体で対処する方法を選択できます。女性的、男性的、または中立的です。 この Apple 機能は、一部の言語で使用できます。 詳細については、「 Mac で言語 & リージョン設定を変更する(Apple Web サイトを開く)」を参照してください。 macOS 13.0 以降の場合。 |
| 壁紙 | デバイスがソフトウェアのアップグレードを完了した後の macOS Sonoma の壁紙セットアップ ウィンドウを表示します。 この画面を非表示にすると、デバイスは既定の macOS Sonoma の壁紙を取得します。 macOS 14.1 以降の場合。 |
| ロックダウン モード | Apple ID を設定したユーザーにロックダウン モードのセットアップ ウィンドウを表示します。 macOS 14.0 以降の場合。 |
| インテリジェンス | ユーザーが Apple Intelligence 機能を構成できる Apple Intelligence のセットアップ ウィンドウが表示されます。 macOS 15.0 以降の場合。 |
| App Store | [Apple App Store] ウィンドウを表示します。 macOS 11.1 以降の場合。 |
| ソフトウェア更新プログラム | 必須のソフトウェア更新画面を表示します。 macOS 15.4 以降の場合。 |
| その他のプライバシー設定 | [プライバシー設定] ウィンドウが表示されます。 macOS 26.0 以降の場合。 |
| OS Showcase | OS ショーケース ウィンドウを表示します。 macOS 26.1 以降の場合。 |
| 更新が完了しました | [ソフトウェア更新プログラムの完了] ウィンドウが表示されます。 macOS 26.1 以降の場合。 |
| 概要 | [作業の開始] ウィンドウを表示します。 macOS 15.0 以降の場合。 |
登録プロファイルをデバイスに割り当てる
Apple デバイスに登録プロファイルを割り当てます。
- [登録プログラム トークン] に戻り、トークンを選択します。
- [デバイス] を選択します。
- 一覧からデバイスを選択し、[プロファイルの 割り当て] を選択します。
- 割り当てるプロファイルを選択し、[ 割り当て] を選択します。
必要に応じて、既定の登録プロファイルを選択できます。 既定のプロファイルは、トークンに関連付けられているすべての登録デバイスに展開されます。
- [登録プログラム トークン] に戻り、トークンを選択します。
- [ 既定のプロファイルの設定] を選択します。
- プロファイルを選択し、[保存] を選択 します。
次の手順
- デバイスの同期、ユーザーへのデバイスの配布、トークンの管理については、「 macOS ADE デバイスとトークンの管理」を参照してください。
- 登録プログラム トークンを更新または削除するには、「 macOS ADE トークンを設定する」を参照してください。
- Microsoft Intuneでリモート デバイス アクションを使用して、登録済みの Mac をリモートで管理します。