Microsoft IntuneとApple Business Manager(ABM)を連携してiOS端末を管理する方法 

2025.08.15

こんにちは!市川です! 
iPhoneを Apple Business Manager(ABM)に登録した後、割り当てたMDMと連携を行い、組織の管理対象にします。 
そこで今回は、「Microsoft IntuneとApple Business Manager(ABM)を連携してiOS端末を管理する方法」をご紹介します。 

監視モード”の端末となり、アプリのインストール制限やWi-Fi設定の自動構成、不要な機能の無効化などが可能になります。ユーザーが自由に操作できる状態を防ぎ、企業のポリシーに沿った安全なデバイス運用が実現されます。ぜひご参考ください!  

– 会社管理端末(監視モード)のブログシリーズ – 

Part 1:iOS端末をApple Business Manager(ABM)に登録する方法
Part 2:本ブログ
Part 3:会社管理のiOS端末にアプリ自動配布・ポリシー適用する方法

目次

1.ABMでトークンをダウンロード

まずは、ABMで該当コンテンツの”トークン”をダウンロードします。 

1.Apple Business Managerを開き、左下の「設定セクション」から「環境設定」をクリックします。


2.「お支払いと請求」をクリックします。


3.コンテンツトークンより、「ダウンロード」をクリックします。


4.コンテンツトークンがダウンロードされました。

2.IntuneでVPPトークンの作成

次に、IntuneでVPPトークンを作成します。 

1.Microsoft Intune 管理センターを開き、「テナント管理」をクリックします。


2.「コネクタとトークン」をクリックします。


3.「Apple VPP トークン」をクリックし、「作成」をクリックします。


4.「トークン名」と「Apple ID」を入力します。


5.「VPP トークン ファイル」の「フォルダマーク」をクリックします。


6.目次1-4でダウンロードした、「コンテンツトークン」を開きます。


7.「次へ」をクリックします。


8.以下の項目を設定します。 
———————————————————————————–
・国/地域:日本 
・VPP アカウントの種類:ビジネス 
・アプリの自動更新:はい 
———————————————————————————–


9.「ユーザー情報とデバイス情報の両方を Apple に送信するためのアクセス許可を Microsoft に付与します。」にチェックを入れます。


10.「次へ」をクリックします。


11.「次へ」をクリックします。


12.「作成」をクリックします。


13.Apple VPP トークンが正常に作成されました。

3.登録プログラムトークンの作成

次に、IntuneとABMを使用して登録プログラムトークンを作成します。 

1.「デバイス」から「iOS/iPadOS」をクリックします。


2.「デバイスのオンボーディング」のタブより「登録」をクリックします。


3.「登録プログラムのトークン」をクリックします。


4.「作成」をクリックします。


5.「同意する」にチェックを入れ、「公開キーをダウンロードします」をクリックします。


6.公開キーがダウンロードされました。ダウンロードした公開キーを、ABMでアップロードします。


7.対象のデバイス管理サービスを選択し、「編集」をクリックします。


8.「証明書を置き換える」をクリックします。


9.手順にてダウンロードした「公開キー」を開きます。


10.アップロードされました。「保存」をクリックします。


11.「トークンをダウンロード」をクリックします。


12.「トークンをダウンロード」をクリックします。


13.トークンがダウンロードされました。


14.「Apple ID」を入力し、Apple トークンの「フォルダマーク」をクリックします。


15.手順13にてダウンロードした「トークン」を開きます。


16.「次へ」をクリックします。


17.「作成」をクリックします。


18.登録プログラムトークンが正常に作成されました。


19.更新後、再度トークンを開くと「デバイス」に「1」と表示されていました。


20.「デバイス」からも、iPhoneが表示されていることが確認できました。

4.登録プロファイルの作成

デバイスの登録プロファイルを作成します。 

1.「プロファイル」をクリックします。


2.「プロファイルの作成」をクリックし「iOS/iPadOS」を選択します。


3.プロファイル名を入力し「次へ」をクリックします。


4.以下の項目を設定します。 
————————————————————————————————-
<ユーザー アフィニティと認証方法> 
・ユーザー アフィニティ:ユーザー アフィニティに登録する 
・認証方法:ポータル サイト 
・VPP によるポータル サイトのインストール:トークン [Apple ID名] を使用します 
・認証の完了までポータル サイトをシングル アプリ モードで実行します:はい or いいえ 
————————————————————————————————-
※[はい]の場合:iPhoneの初期設定後、Intune ポータルが自動的に起動され、認証を強制する。
詳細な挙動はこちら 
※[いいえ] の場合:iPhoneの初期設定後、Intune ポータルをユーザーが開き、認証を進める。
詳細な挙動はこちら

————————————————————————————————-
<管理のオプション> 
・ロックされた登録:はい 
・コンピューターと同期する:すべて許可
————————————————————————————————-


5.任意で、デバイス名の命名規則を設定します。 
—————————————————————————————–
<デバイス名> 
・デバイス名のテンプレートを適用する(監視モードのみ):はい 
・デバイス名のテンプレート:yjk-{{DEVICETYPE}}-{{SERIAL}} 
 ※登録後のデバイス名イメージ:(yjk-iPhone-FQL6L4W4VQ) 
—————————————————————————————–


6.「次へ」をクリックします。


7.「部署」と「部署の電話番号」を入力し「次へ」をクリックします。


8.「作成」をクリックします。


9.プロファイルが正常に作成されました。


10.「デバイス」をクリックし、表示されているデバイスにチェックを入れます。


11.「プロファイルの割り当て」をクリックします。


12.「登録プロファイル」を選択し、「割り当て」をクリックします。

5.グループの作成

監視対象のiPhone 専用グループを作成します。

1.「グループ」をクリックします。


2.「新しいグループ」をクリックします。


3.「グループ名」を入力し、メンバーシップの種類のタブより「動的デバイス」を選択します。


4.「動的クエリの追加」をクリックします。


5.以下のルールを入力し、「保存」をクリックします。 
※登録プロファイルに割り当てられているメンバーを、自動的にグループに含めるルールです。 
—————————————————————————————————
・プロパティ:enrollmentProfileName 
・演算子:Equals 
・値:yjk_managed_iphone (目次4-3にて作成したプロファイル名)
—————————————————————————————————


6.「作成」をクリックします。


7.グループが正常に作成されました。

6.監視対象iPhoneの設定

Intune側の準備が完了したので、iPhoneの設定へと移ります。

1.「日本語」をタップします。


2.「日本」をタップします。


3.「続ける」をタップします。


4.「あとで ”設定” でセットアップ」をタップします。


5.Wi-Fiネットワークを選択し、「接続」をタップします。


6.「続ける」をタップします。


7.「何も転送しない」をタップします。


8.画面中央に会社名が表示されました。「このiPhoneを登録」をタップします。


9.「iPhoneを構成中」と表示されました。構成が終わるまでしばらく待ちます。


10.80秒ほど経ち、表示が切り替わりました。「あとでセットアップ」をタップします。


11.パスコードを作成します。


12.パスコードを再度入力します。


13.Apple IDとパスワードを入力し、「続ける」をタップします。


14.SMSに届く、6桁の確認コードを入力します。


15.「同意する」をタップします。


16.サインインが始まります。


17.「続ける」をタップします。


18.「今はしない」をタップします。


19.「続ける」をタップします。


20.初期設定が完了しました。上にスワイプし、使用開始します。


21.すでに、監視対象のiPhoneには「Intune ポータル」がインストールされています。


22.ロック状態の画面には、「このiPhoneはリモートで管理されています。」と表示されています。


23.Intune の「iOS/iPadOS デバイス」に、監視対象のiPhoneが新たに表示されました。


24.この時点では、「所有権:不明」となっています。所有権を「企業」にするために、監視対象のiPhoneで「Intune ポータル」の認証を行います。


25.「Intune ポータル」をタップします。 
※初期設定完了後、Intune ポータルを自動的に起動し、ユーザーに強制認証させる方法はこちら


26.Microsoft アカウントを入力し、「次へ」をタップします。


27.パスワードを入力し、「サインイン」をタップします。


28.組織のセキュリティ設定により、追加の認証を求められる場合があります。


29.サインインが完了しました。「OK」をタップします。


30.「許可」をタップします。


31.「開始」をタップします。


32.「続行」をタップします。


33.「続行」をタップします。


34.「完了」をタップします。


35.ポータルの認証が完了しました。


36.「デバイス」から、所有権の種類が「企業」と表示されていることがわかります。


37.Intuneからも、所有権が「企業」に変更されていることが確認できました。


38.Intune ポータルに認証した、Microsoft アカウントのユーザーが「プライマリ ユーザー」として反映されています。


■「会社管理のiOS端末にアプリ自動配布・ポリシー適用する方法」は以下のブログをご参考ください。
会社管理のiOS端末にアプリ自動配布・ポリシー適用する方法

7.ユーザーに認証を強制する

ユーザーが監視対象のiPhoneを初期設定した後に、「Intune ポータル」にて認証が必要となります。この認証が終わると端末は「企業所有」となり、”組織が管理できる状態”となります。 


認証までの流れには2パターンあります。 
① 初期設定完了後、Intune ポータル アプリを自分で開き、認証を進める。 
② 初期設定完了後、Intune ポータル アプリが自動的に起動され、ユーザーに認証を強制する。

ここでは、②の「ユーザーに認証を強制させる方法」をご紹介します。  


1.目次 登録プロファイルの作成時、「認証の完了までポータル サイトをシングル アプリ モードで実行します」の項目を「はい」に設定します。

 
2.プロファイルの作成を終えたら、監視対象iPhoneの初期設定を進めます。 
※プロファイル作成や初期設定の手順は、目次をご参考ください


3.iPhoneの初期設定が完了しました。上にスワイプし、使用開始します。


4.すでに、監視対象のiPhoneには「Intune ポータル」がインストールされています。


5.他のアプリ アイコンをタップしても特に反応はなく、少し経つと「Intune ポータル」が自動的に起動されました。


6.自動でサインイン画面へと切り替わります。ユーザーは、Intune ポータルの認証を進めないと、自由にiPhoneを操作できない状態となりました。






その他お困りごとも動画で解説!