Intune デバイス・マネージャーの追加

Microsoft™ Intune をデバイスマネージャーとして設定します。

始める前に

注: デバイス・マネージャーの mtlsidaas グローバル・テナントは非推奨になり、2024 年 3 月以降に削除されます。バニティドメインをリクエストするには、バニティホスト名の取得に進んでください。詳細については、「デバイスマネージャーの追加」を参照してください。

このタスクを完了するには管理者権限が必要です。
管理者として IBM Verify 管理コンソールにログインします。

このタスクについて

サポートされているオペレーティング・システム

Windows 8.1 以降
MacOS 10.13 以降

注: MacOS Safari を使用している場合、Intune デバイス・マネージャーによって発行されたクライアント証明書の入力を求めるプロンプトが出されないという問題が発生することがあります。この問題を解決するには、MacOS キーチェーン ID 設定を構成する必要があります。

Mac システムで、「キーチェーンアクセス」に移動します。
クライアント証明書の ID 設定を追加します。
ID 設定の場所をテナント認証 URL + (スペース) + (com.apple.Safari)に設定します。例えば、https://{mtls_enabled_tenant_name}/uscです。

識別情報の優先順位は現在、キーチェーンアクセス＞ログイン＞すべての項目に表示され、証明書のプロンプトは正常に機能します。

手順

認証 > デバイスマネージャーを選択します。
「デバイス・マネージャーの追加」を選択します。
セットアップするデバイス・マネージャーの「タイプ」を選択します。
「次へ」を選択します。
「一般設定」ページで、以下の情報を指定します。
- 表示されたフィールドにデバイス・マネージャー名を入力します。
- メニューから「ID プロバイダー」を選択します。
- メニューからトラスト・タイプを選択する。デバイスの信頼を選択する場合、ユーザーは設定された第一要素認証メカニズムでログインする必要があります。デバイスの信頼は、認証が管理対象デバイスから行われたかどうかだけを確認する。
  注：デバイス信頼機能 CI-114829 は、リクエストに応じて有効にすることができます。この機能をご希望の場合は、 IBM 営業担当者または IBM までご連絡ください。許可があれば、サポートチケットを作成してください。 IBM Verify トライアルサブスクリプションはサポートチケットを作成できません。
- ユーザー・アカウントに対してジャストインタイム・プロビジョニングを有効にするかどうかを選択します。
  注意: ユーザーアカウントの JIT (Just-in-Time) プロビジョニングは、ユーザーおよびデバイスの信頼を選択した場合にのみ適用されます。
- クライアント証明書の有効期間を選択します。デフォルトでは3年となっている。
- デバイスごとに証明書の最大数を指定します。
- ユーザーおよびデバイスの情報を保持する分数を指定します。
「次へ」を選択します。
「API 資格情報」ページで、 Azure Active Directory内のアプリケーションの API 詳細を入力します。
- 既にアプリケーションがある場合は、「フォームのみ」を選択します。
  1. アプリケーション ID、シークレット、およびテナント名を指定します。
  2. 属性の事前定義リストから Unique user identifier を選択するか、「カスタム・ルール」を選択して属性マッピングを指定します。カスタム・ルールを使用することを選択した場合は、カスタム属性とルールを追加できます。属性値を計算するためのルールを入力します。例えば、以下のとおりです。
```
requestContext.email[0].split('@')[0]
```
    注意: カスタムルールの選択は、デバイスの信頼には適用されません。しかし、提供されたフィールドに適切な属性を入力することができます。
  3. 「資格情報のテスト」を選択して資格情報を検証します。
  4. 「次へ」を選択します。
- アプリケーションを作成する場合は、「ステップを表示」を選択し、その手順に従います。
  1. Azure ポータルで、 Azure Active Directory > アプリの登録に移動し、新規登録を選択します。
  2. アプリケーションの登録ページで、以下の詳細を指定します。
    
    名前
    
    意味のあるアプリ名を入力してください。 IBM Verify.
    
    サポートされているアカウントの種類
    
    任意の組織ディレクトリーの「アカウント」を選択します。
    
    リダイレクト URI
    
    デフォルト選択の「Web」のままにし、サード・パーティー SCEP サーバーのサインオン URL を指定します。
  3. 「レジスター」を選択します。
  4. アプリの概要ページで、アプリケーション (クライアント) ID 値をコピーし、「アプリ ID の入力」フィールドに貼り付けます。
  5. アプリのナビゲーション・ページの「管理」で、「証明書」&「シークレット」を選択し、「新規クライアント・シークレット」を選択します。
  6. 説明を入力し、「有効期限」でオプションを選択して「追加」をクリックします。
  7. クライアント・シークレットを「アプリ秘密鍵の入力」フィールドに貼り付けます。
  8. テナント ID (アカウントの @ 記号の後のドメイン・テキスト) をコピーし、「テナント名」フィールドに貼り付けます。
  9. 固有のユーザー ID 属性を選択または入力してください。
  10. アプリケーションのナビゲーション・ページの「管理」で、「API 許可」を選択し、「許可の追加」を選択します。
  11. 「Intune」を選択してから、「アプリケーション権限」を選択します。 scep_challenge-provider のチェック・ボックスを選択します。
  12. 「許可の追加」を選択します。
  13. アプリケーションのナビゲーション・ペインの「管理」で、「API 許可」を選択し、「許可の追加」を選択します。
  14. 「Microsoft Graph」を選択し、アプリケーション権限を選択します。
  15. DeviceManagementManageDevices.Read.All、User.Read.All、Application.Read.Allのチェックボックスを選択します。
  16. 「許可の追加」を選択します。
  17. 「Microsoft に管理者の同意を与えます」を選択し、「はい」を選択します。
  18. 「資格情報のテスト」を選択して資格情報を検証します。
  19. 「次へ」を選択します。
ユーザーのプロパティページ(ユーザーとデバイスの信頼関係を選択した場合に開きます)、またはデバイスのプロパティ(デバイスの信頼関係を選択した場合に開きます)で、デバイスマネージャの属性をIBM Verify属性にマッピングします

注: 属性名は大/小文字を区別せず、重複する属性は許可されません。
1. デバイス・マネージャー属性を選択します。
2. オプション： メニューから変換を選択してください。
3. 必須: マッピングする属性 Verify を選択してください。
4. ユーザーのプロファイルに属性を保管する方法を選択します。
オプション: [属性を追加 ] をクリックします。
カスタム・ルールを使用することを選択した場合は、一度に 1 つのカスタム属性と 1 つのルールを追加できます。属性値を計算するためのルールを入力します。例えば、以下のとおりです。
```
idsuser.email[0].split('@')[0]
```
「テストの実行」をクリックして、ルールが機能することを確認します。
「保存して続行」を選択します。
デバイス・マネージャーが保存されます。
ルート証明書プロファイルを作成します。
表示された指示に従ってください。
1. 提供されている以下のルート証明書およびプロファイル証明書の .zip ファイルをダウンロードします。
2. Microsoft Endpoint Manager にサインインし、 [デバイス] > [構成プロファイル] を開きます。
3. ルート証明書プロファイルを作成するには、「プロファイルの作成 (Create profile)」を選択し、以下の設定を選択します。
  
  プラットフォーム
  
  適切なプラットフォームを選択します。
  
  プロファイル
  
  トラステッド証明書。
4. 「作成」を選択します。
5. ルート証明書プロファイルに名前を指定し (例: WIN10_RootCA_Cert)、「次へ」を選択します。
6. ステップ 1 でダウンロードしたルート証明書プロファイルをアップロードし、宛先ストアを「コンピューター証明書ストア-ルート」に設定し、「次へ」を選択します。
7. テストに使用するユーザーまたはグループに対して「割り当て」を設定し、「次へ」を選択します。
8. 「作成」を選択します。
9. 中間証明書についてもステップ 2 から 8 を繰り返します。
「次へ」を選択します。
「SCEP 証明書プロファイル」ページで、 Azure Active Directory内のアプリケーションの API 詳細を入力します。
- SCEP 証明書プロファイルが既にある場合は、「値のみ」を選択します。
  1. サブジェクトと SCEP URL を指定します。
  2. 「次へ」を選択します。
- SCEP 証明書プロファイルを作成する場合は、「ステップを表示」を選択し、その手順に従います。
  1. SCEP 証明書プロファイルを作成するには、「プロファイルの作成」を選択して、以下の設定を選択します。
    
    プラットフォーム
    
    適切なプラットフォームを選択します。
    
    プロファイル
    
    TrustedSCEP 証明書。
  2. 「作成」を選択します。
  3. ルート証明書プロファイルの名前 (例えば WIN10_RootCA_Cert) を指定し、「次へ」を選択します。
  4. 以下の構成設定を使用します。
    
    証明書タイプ
    
    ユーザー。
    
    サブジェクト名の形式
    
    カスタム。
    
    カスタム
    
    自動的に生成された CN。
    
    サブジェクトの別名
    
    ユーザーのプリンシパル名 (UPN)。
    
    証明書の有効期間
    
    1 年。
    
    キー格納プロバイダー (KSP)
    
    使用可能な場合は、トラステッド・プラットフォーム・モジュール (TPM) KSP に登録し、それ以外の場合は、ソフトウェア KSP に登録します。
    
    キー使用法
    
    キーの暗号化、デジタル署名。
    
    キー・サイズ (ビット)
    
    2048。
    
    ハッシュ・アルゴリズム
    
    SHA-2.
    
    ルート証明書
    
    ステップ 11で作成して名前を付けたルート証明書プロファイルを選択します。
    
    拡張鍵使用法
    
    「事前定義値」メニューから「クライアント認証」を選択します。
    
    更新しきい値
    
    20.
    
    SCEP サーバー URL
    
    自動的に生成された URL。
  5. 「次へ」を選択し、接続のテスト対象のユーザーまたはグループを割り当てます。
  6. 「作成」を選択します。
  7. 「次へ」を選択します。
MDM スコープを設定します。
指示に従います。
1. Microsoft Endpoint Manager 管理センターで、 [すべてのサービス ] > [ Active DirectoryAzureM365 >] > [モビリティ ( AzureActive Directory MDM および MAM)] を選択します。
2. Intune を構成するには、「Microsoft Intune」を選択します。
3. MDMユーザースコープから「一部を選択」を選択し、MDM自動登録を使用して従業員のWindows™デバイス上の企業データを管理します。
  MDM 自動登録は、AAD 結合デバイスおよび Bring Your Own Device シナリオ用に構成されます。
4. [グループの選択] > [選択したグループ/ユーザー] > [割り当てられたグループとして選択] を選択します。
5. ワークフォースのデバイス上のデータを管理するには、MAM ユーザーの範囲から「一部 (Some)」を選択します。
6. [グループの選択] > [グループ/ユーザーの選択] > [割り当てられたグループとして選択] を選択します。
7. これ以外の構成値には、デフォルト値を使用します。
8. 「保存」を選択します。
「次へ」を選択します。
構成をテストします。
指示に従います。
「セットアップの完了」を選択します。
1. 設定を確認します。
2. 「変更の保存」を選択します。