Microsoft IntuneとApple Business Manager（ABM）を連携してiOS端末を管理する方法

こんにちは！市川です！
iPhoneを Apple Business Manager（ABM）に登録した後、割り当てたMDMと連携を行い、組織の管理対象にします。
そこで今回は、「Microsoft IntuneとApple Business Manager（ABM）を連携してiOS端末を管理する方法」をご紹介します。

“監視モード”の端末となり、アプリのインストール制限やWi-Fi設定の自動構成、不要な機能の無効化などが可能になります。ユーザーが自由に操作できる状態を防ぎ、企業のポリシーに沿った安全なデバイス運用が実現されます。ぜひご参考ください！

– 会社管理端末（監視モード）のブログシリーズ –

Part 1：iOS端末をApple Business Manager（ABM）に登録する方法
Part 2：本ブログ
Part 3：会社管理のiOS端末にアプリ自動配布・ポリシー適用する方法

1．ABMでトークンをダウンロード

まずは、ABMで該当コンテンツの”トークン”をダウンロードします。

1．Apple Business Managerを開き、左下の「設定セクション」から「環境設定」をクリックします。

2．「お支払いと請求」をクリックします。

3．コンテンツトークンより、「ダウンロード」をクリックします。

4．コンテンツトークンがダウンロードされました。

2．IntuneでVPPトークンの作成

次に、IntuneでVPPトークンを作成します。

1．Microsoft Intune 管理センターを開き、「テナント管理」をクリックします。

2．「コネクタとトークン」をクリックします。

3．「Apple VPP トークン」をクリックし、「作成」をクリックします。

4．「トークン名」と「Apple ID」を入力します。

5．「VPP トークンファイル」の「フォルダマーク」をクリックします。

6．目次１-４でダウンロードした、「コンテンツトークン」を開きます。

7．「次へ」をクリックします。

8．以下の項目を設定します。
———————————————————————————–
・国/地域：日本
・VPP アカウントの種類：ビジネス
・アプリの自動更新：はい
———————————————————————————–

9．「ユーザー情報とデバイス情報の両方を Apple に送信するためのアクセス許可を Microsoft に付与します。」にチェックを入れます。

10．「次へ」をクリックします。

11．「次へ」をクリックします。

12．「作成」をクリックします。

13．Apple VPP トークンが正常に作成されました。

3．登録プログラムトークンの作成

次に、IntuneとABMを使用して登録プログラムトークンを作成します。

1．「デバイス」から「iOS/iPadOS」をクリックします。

2．「デバイスのオンボーディング」のタブより「登録」をクリックします。

3．「登録プログラムのトークン」をクリックします。

4．「作成」をクリックします。

5．「同意する」にチェックを入れ、「公開キーをダウンロードします」をクリックします。

6．公開キーがダウンロードされました。ダウンロードした公開キーを、ABMでアップロードします。

7．対象のデバイス管理サービスを選択し、「編集」をクリックします。

8．「証明書を置き換える」をクリックします。

9．手順６にてダウンロードした「公開キー」を開きます。

10．アップロードされました。「保存」をクリックします。

11．「トークンをダウンロード」をクリックします。

12．「トークンをダウンロード」をクリックします。

13．トークンがダウンロードされました。

14．「Apple ID」を入力し、Apple トークンの「フォルダマーク」をクリックします。

15．手順１３にてダウンロードした「トークン」を開きます。

16．「次へ」をクリックします。

17．「作成」をクリックします。

18．登録プログラムトークンが正常に作成されました。

19．更新後、再度トークンを開くと「デバイス」に「１」と表示されていました。

20．「デバイス」からも、iPhoneが表示されていることが確認できました。

4．登録プロファイルの作成

デバイスの登録プロファイルを作成します。

1．「プロファイル」をクリックします。

2．「プロファイルの作成」をクリックし「iOS/iPadOS」を選択します。

3．プロファイル名を入力し「次へ」をクリックします。

4．以下の項目を設定します。
————————————————————————————————-
＜ユーザーアフィニティと認証方法＞
・ユーザーアフィニティ：ユーザーアフィニティに登録する
・認証方法：ポータルサイト
・VPP によるポータルサイトのインストール：トークン [Apple ID名] を使用します
・認証の完了までポータルサイトをシングルアプリモードで実行します：はい or いいえ
————————————————————————————————-
※[はい]の場合：iPhoneの初期設定後、Intune ポータルが自動的に起動され、認証を強制する。
詳細な挙動はこちら
※[いいえ] の場合：iPhoneの初期設定後、Intune ポータルをユーザーが開き、認証を進める。
詳細な挙動はこちら

————————————————————————————————-
＜管理のオプション＞
・ロックされた登録：はい
・コンピューターと同期する：すべて許可
————————————————————————————————-

5．任意で、デバイス名の命名規則を設定します。
—————————————————————————————–
＜デバイス名＞
・デバイス名のテンプレートを適用する（監視モードのみ）：はい
・デバイス名のテンプレート：yjk-{{DEVICETYPE}}-{{SERIAL}}
　※登録後のデバイス名イメージ：（yjk-iPhone-FQL6L4W4VQ）
—————————————————————————————–

6．「次へ」をクリックします。

7．「部署」と「部署の電話番号」を入力し「次へ」をクリックします。

8．「作成」をクリックします。

9．プロファイルが正常に作成されました。

10．「デバイス」をクリックし、表示されているデバイスにチェックを入れます。

11．「プロファイルの割り当て」をクリックします。

12．「登録プロファイル」を選択し、「割り当て」をクリックします。

5．グループの作成

監視対象のiPhone 専用グループを作成します。

1．「グループ」をクリックします。

2．「新しいグループ」をクリックします。

3．「グループ名」を入力し、メンバーシップの種類のタブより「動的デバイス」を選択します。

4．「動的クエリの追加」をクリックします。

5．以下のルールを入力し、「保存」をクリックします。
※登録プロファイルに割り当てられているメンバーを、自動的にグループに含めるルールです。
—————————————————————————————————
・プロパティ：enrollmentProfileName
・演算子：Equals
・値：yjk_managed_iphone （目次４-３にて作成したプロファイル名）
—————————————————————————————————