Microsoft IntuneでできるiOSスマートフォンの管理(前編)
こんにちは、エス・ワイ・シーの郷田です。
Microsoft Intune関連記事 第2回「Microsoft IntuneでできるiOSスマートフォンの管理(前編)」をお送りいたします。
今回は、Microsoft Intune 試用版を利用して検証を行いました。
試用期間が過ぎたら自動的にサブスクリプション(有償)に切り替わるのは嫌だなあ(よく忘れる)と思ってましたが、試用期間過ぎたら契約しない限り利用停止となるようです。
ですので、気になっている方は気軽に試してみればいいかと思います。
では、ざっくりインストール手順とIOS端末の設定です。
Microsoft Intuneセットアップ手順・デバイス登録方法
・Microsoft Intune 試用版をセットアップしてみよう
①Webブラウザで「https://learn.microsoft.com/ja-jp/mem/intune/fundamentals/free-trial-sign-up」にアクセスする
②Microsoft Intune の無料試用版にサインアップの「1.Intune アカウントの設定ページ」をクリックする
③サインアップページからメールアドレスを入力し、Microsoft Intuneアカウントのセットアップを行う
④サインインに必要なユーザー名、ドメイン名(例:*.onmicrosoft.comなど)、パスワードを設定する
※「世界で一つ」しか登録できないので、自社用メインで利用されたいドメイン名での登録は慎重にご判断ください。
企業用に本格利用するには、テナントに syc.co.jp など各社で正式にレジストラから購入し、所有・利用権限のあるドメイン名を利用する必要があります。
・iOS端末用(Microsoft Intune側)設定をしましょう
①Webブラウザで「Microsoft Intune 管理センター」(https://intune.microsoft.com/)にアクセスする
②[デバイス] – [iOS/iPadOS]をクリックし、必要なコンポーネントの「AppleMDMプッシュ通知証明書」をクリックする
③画面の指示に従い、Microsoft Intune のiOS端末用の設定をする
・iOS端末用(端末側)設定をしましょう
管理対象のiOS端末にて以下の設定を行います
①App Storeから「Microsoft Intuneポータルサイト」アプリをダウンロードする
②アプリの指示に従い、iOS端末側の設定をする
Webブラウザで「microsoft Microsoft Intune 管理センター」(https://intune.microsoft.com/)にアクセスし、画面左[デバイス] – [iOS/iPadOS]をクリックし、設定した端末が登録されていることを確認します。
紛失時に使えるMicrosoft Intuneの機能 (リモートワイプ機能)
Microsoft Intune環境ができたので何かやってみましょうということで、リモートワイプ機能を触ってみます。
・リモートワイプ機能とは
モバイル端末に保存されたデータをインタネット回線を通じた遠隔操作で削除できる機能です。
モバイル端末が盗難や紛失にあった際、保存された機密情報や個人情報の漏洩を防ぐことができます。
・さっそく実行
①「Microsoft Intune 管理センター」から画面左[デバイス] – [iOS/iPadOS]をクリックする
②登録済端末の端末名をクリックし、詳細画面遷移後、画面上の「ワイプ」をクリックする
【電源を切っておいたらワイプ回避できるの?】
さすがに電源が入ってなければ遠隔操作もないと思いますが。。やってみました。
状況を見るため、起動した瞬間にワイプが実行されると切り分けができなくなるのでSIMカードなし、WIFI接続無しの状態にしておきます。
iphoneの電源をオフにして、「ワイプ」をクリックすると、、
管理センター側では「ワイプが開始されました」の文字が。
やはり電源が入っていないせいか、管理センター側でも「ワイプ保留中」と表示されてますね。。
端末側はもともと電源が入ってないので、当然変化なしですね。
【電波の届かないところに持って行かれたらどうなる?】
では端末の電源をいれてみましょう。
端末の電源が入った状態でかつSIMカードなし、WIFI接続無しの状態です。
端末は、、起動してきましたね。初期化されていません。
当然と言えば当然なんですが、ネットワークが繋がってないとリモートワイプの命令が届かないんでしょうね。
管理センター側では相変わらず「ワイプ保留中」の表示です。
では、管理センターでリモートワイプを実行してからおよそ1時間。
この端末をWIFIのみ接続してみます。SIMカードはなしです。
WIFIに接続して20秒程度でしょうか。端末画面上部の時計や電波状況などのアイコンが消え、画面全体が暗転、林檎マークと進捗バーが画面中央に。
しばらくすると「こんにちは」の画面に。これ端末買ったときに見たやつですよ。。
完全に初期化されたようです。
管理センター側ではしばらく「デバイスが見つかりません」の表示でしたが、10分程度経ってみたらデバイスの登録自体がなくなってました。そこまでやってくれるんですね。。
SIMカードでなくとも、WIFIでネットワークが繋がってしまえばリモートワイプが機能することがわかりました。
また、リモートワイプを実行すると端末でワイプ命令が実行されるまで保留中になりリトライを繰り返すようですので、リモートワイプから逃れて端末でネットワークを利用することは事実上不可能なんじゃないでしょうか。
ストアアプリの配布もできます!
端末1台ずつストアアプリのインストールをお願いするのも手間だし、面倒ですよね。
新規端末を追加するごとに自動的にインストールしてくれれば楽なのに、、
そこでMicrosoft Intuneの機能を使ってアプリの配布機能を試してみました
・iOSストアアプリのインストール設定
①左メニュー[アプリ] – [iOS/iPADのアプリ]から「追加」をクリックする
②アプリの種類から「iOSストアアプリ」をクリックし「選択」をクリックする
③「アプリストアを検索します」をクリックし、配布したいアプリを検索/選択する
④アプリ情報を確認し、「次へ」をクリックする
⑤強制的にアプリを配布したい場合、「必須(Required)」欄に自動配布先グループ(すべてのデバイスが配布対象であれば、すべてのデバイスでも可)を追加する
⑥「次へ」をクリックし、内容確認後「作成」をクリックする
これだけです。
配布先グループに該当する端末でアプリインストールのメッセージが表示されます。
(設定後5~10分程度のタイムラグがありますので、表示されるまでお待ちください。)
・ユーザーに配布したアプリを勝手に消させたくないんだけど。。
「アプリの追加」画面で「削除可能としてインストール」を「いいえ」に設定することでユーザーに配布したアプリを削除させないこともできます。
・アプリをアンインストールしたい
上記アプリ配布手順①~④の後「アプリの追加」画面で「アンインストール」にグループを追加することで、インストール済みアプリのアンインストールも可能です。
※App Storeの有償版アプリを配布する場合はアプリ一括購入手続きのために、別途 Apple Business Manager / Apple School Manager が必要です。
必要ライセンス数分を一括購入し、配布割り当てします。
まとめ
思っていたよりできることが多いです。
次回はコンプライアンスポリシーやその他機能について触ってみた結果を掲載したいと思っています。
Microsoft Intuneの管理センターは割と直感的に触れる感じなので、調べてからというより、試用版を導入してみて触ったほうがわかりやすいかなと感じました。
以上、「Microsoft IntuneでできるiOSスマートフォンの管理(前編)」でした。
是非、次回記事もご覧ください。
