search
LoginSignup
2

More than 1 year has passed since last update.

posted at

updated at

コードを書けない行政マンが実践でApple School ManagerとMicrosoft Endpoint Manager admin center(旧Intune)を連携させてみただけの話

みなさんGIGA足りてますか

もし、こちらをご覧になっている方が、検索で本ページにたどり着かれた場合、だいぶGIGAが足りているのかもしれませんね(2020年7月27日現在)
いわゆるGIGAスクール構想などでiPadを導入しつつ、MDMをMicrosoft Endpoint Manager admin center(旧Intune)でやられる場合、かつ、それを自分たちでやろうとすると割と悩みどころがあるかもしれません。
僕の備忘録としても、連携方法を書き記しておきたいと思います。
なお、これを設定しておくと、Apple社のDevice Enrollment Program(いわゆるDEP)の設定もあとわずかというところまでいけます。

前提条件

なお、本ページでは、以下に掲げるページをなんとなくわかりやすくっぽい感じでまとめただけなので、詳しくはちゃんとみてくださいね()

まず初めにApple MDMプッシュ証明書を取得していきます

ここは特に難しいことはありません。
掲載されている画像のとおりクリックしていけばなんとなくできます。
ただ、一つだけ注意が必要なのが、Intuneが「Microsoft Endpoint Manager admin center」という名前に変わったのが最近なので、他のWEBサイトなんかで調べると戸惑います()

先にMicrosoft Endpoint Manager admin centerでやること

1
Microsoft Endpoint Manager admin centerにログインし、デバイス→iOS/ipadOSの登録→Apple MDM プッシュ証明書の順にクリックしましょう。
スライド3.jpeg

2
Apple MDM プッシュ証明書をクリックすると画面が変わるので...

スライド4.jpeg

ステップ1「同意する」にチェックを入れた後「CSRのダウンロード」を行い、「MDMプッシュ証明書を作成する」をクリックします。
するとApple社のWEBサイトへ移動します。(別タブなどで開くと思います)

Apple Push Certificates portal

3
真っ先にログイン画面が出てきます。
ここではApple School Managerで利用したApple IDを利用するのが順当だと思います。
きっといろんな方法があるのかもしれませんが、Apple School Managerで利用したApple IDを利用するのが順当だと思います。(大事なので二回いいました。)

スライド5.jpeg

4
ログイン後は悩むところはありません。
順番に進んでいき、先ほどダウンロードしたCSRを選択しアップロードします。
最後に完成した証明書をダウンロードしてここでの作業は終わりです。

スライド6.jpeg

再びMicrosoft Endpoint Manager admin centerへ

5
Apple Push Certificates portalへ移動する前の画面に戻ります。(多分タブで残ってるはず)
途中になっていたと思いますので、改めてチェックを確認した後、先ほどログインしたApple IDを入力、また、ダウンロードした証明書を選択しアップロードします。

スライド7.jpeg

これで、前準備は完了です。

引き続きApple School ManagerでのiOS/iPadOSデバイス登録の設定の前準備を行います

あれ、MSさんの資料みながらやっていくとなんとなく面倒な感じしてたんですが、こうやって説明書いていくと簡単ですね。これ書く必要あるのかな...
いや、きっと「ありがとう!」と言ってくれる人がいる(はず)

みたびMicrosoft Endpoint Manager admin centerへ

6
あらためて、Microsoft Endpoint Manager admin centerのトップメニューにいることを確認し、デバイス→iOS/ipadOSの登録の順にクリックし、つぎは「Endpoint program トークン」をクリックしましょう。

スライド8.jpeg

7
追加をクリックします。

スライド9.jpeg

8
同意にチェックし、「公開キー」のダウンロードをします。
ダウンロードしたら次はapple school managerに移動です。
ぜひ、別タブなどで開いてください。
スライド10.jpeg

Apple School Managerへ

9
Apple School Managerにログインしたら、画面左下にある「設定」をクリック、「デバイス管理の設定」をクリック、そして表示された画面にある「MDMサーバを追加」をクリックします。
※Appleはユーザ側はとってもUI簡単だけど管理者側になるとちょっと「おっ?」と思うところがあるので、注意が必要です。と言ってもMic(ry
スライド11.jpeg

10
好きなMDMサーバ名(わかりやすいもの)を入力、その下のチェックをいれ、先ほどダウンロードした「公開キー」をアップロードします。結構何度もダウンロードアップロードを繰り返すので、わからなくならないように注意してくださいね!
スライド12.jpeg

11
正常に保存できると画面上でサーバトークンがダウンロードできるようになっています。
ダウンロードしましょう。
これで、Apple School Managerでの作業は終わりです。
スライド13.jpeg

最後です。Microsoft Endpoint Manager admin centerへ

12
いよいよ完了間近です。
Apple School Managerに移動する前のMicrosoft Endpoint Manager admin centerで入力されていなかった、Apple ID(Apple School Managerのログインで利用したもの)を入力し、先ほどダウンロードしたサーバートークンをアップロードします。
※なお、MSさんの説明ページでは「証明書 (.pem)」 となっていますが、ダウンロードされるのは「.p7m」となります。
スライド14.jpeg

13
これで完了です。
スライド15.jpeg

想像以上に大変じゃねえか

ここからは2020年9/3に追記。
もう、満身創痍。トライアンドエラーしまくりで、なんとか少しづつ進めております。
致命的に僕の弱点は 英語が読めない ことです。このためなまら時間がかかります。
なんで英語?
エンタープライズ向けのマニュアルって日本語が少ないのです。さらに新しい感じのものは特に。
これからICTの技術者を目指す方は第二言語としての英語は必須ですよね(昭和生まれ)

では続きをやっていきましょう!

今回は前回最後に少し書いた端末をDevice Enrollment Program(以下DEP)の登録方法からスタートです。
DEPは、端末購入時に、購入した端末を自動的にモバイルデバイス管理 (MDM) へ登録してしまい、ちゃんと設定さえしておけば、電源入れるとあら不思議、意図した形の設定に自動的にあれこれしてくれる強い味方です。

DEP

スライド1.jpeg
まずは下準備で、Apple School Manager(以下ASM)にログインし、デバイスの割り当て→注文番号を選択すると、販売業者が登録した注文情報がでてくるのでそれを選択。MDMサーバに割り当てます。
実はDEPの設定というかデバイスの割り当てはこれで終わりです。
もっというならば、端末購入時に「DEPで管理しまーす」と一言いうことで、「では、この番号を教えてください」とか「ここをこうしてください」という依頼がきますので、それに答えるだけでいいです。
そうすると、自身で上記設定を施すこともなく、ある日急に所有端末***台!!みたいな感じになるはずです。

じゃ、つぎはアプリの設定

IntuneなどMDMでiPadのアプリを管理するには、Volume Purchase Program(VPP)が必要です。この、VPPはアプリのライセンスなんかを管理するものになります。ASMで利用したいアプリを必要ライセンス購入(ゼロ円のものも)し、割り振りをするイメージです。
これを設定するために、

スライド2.jpeg
設定からAppとブックへ移動し、利用を開始します。ここでサーバートークンをダウンロードしておきます。これは後々必要にあるトークンです。
しかし、行き当たりばったりなので次はユーザ同期をちゃんとやるための設定も一緒にやっちゃいます。

アカウントに注目

スライド3.jpeg
同じく設定のアカウントへアクセスします。
よくみると、AzureAD認証情報を使用したサインインが許可されていませんね。
Federated Authenticationの編集→接続を行います。これでAzureADとの連携を行います。

スライド4.jpeg
特に難しいことはなく、連携が完了すると「接続済み」に表示が変わるはずです。

うっかりさん注目だよ!!

そしてここで「もしやっていない人がいたら」なのですが、実は僕は、ASM登録時にドメインの認証をちゃんと終わらせていませんでした。これで、うまく連携ができず右往左往していましたので、おんなじ方がいらしたらと思い作ってみました。

スライド5.jpeg
このアカウントのドメインのところですが、オレンジ色になっている方はいらっしゃいませんか?これがオレンジ色だと、ちゃんとドメインの連携ができていない証拠です。なので、編集を押します。
「このドメインは確認されていません」と出ていますので、確認を押すとTXTレコードが出てきます。これを管理するドメインのDNSに登録し「今すぐ確認」をします。
なお、「TXTレコード認証?確認?なにそれ」な場合は、「dns txtレコード追加」などで検索してみてください。
無事確認されると「所有権の確認済み」に表示が変わりますので、変わり次第「連携する」をクリックしてください。

スライド6.jpeg
「所有権の確認済み」表示の右に「連携が有効になっていません」のスイッチがあるので、ONにします。他のApple IDが連携予定のドメインを使っていないかどうかのチェックに最大1時間程度かかる表示が出ますが、割とすぐに確認され、「連携を有効化済み」の表示にかわりました。
これで下準備は完了です。Intune for Education(以下IfE)に移動します。
うっかりやってなかったところも設定したので、APPのVPP設定(覚えてました?)に移ります。

IfEでの設定

スライド7.jpeg
IfEの左メニューで全て表示を選択し、管理者設定→テナント設定→iOSデバイス管理の概要へ移動します。そこに表示されている「VPPトークンの構成」へ移動します。
ステップ1については、先ほどすでにトークンのダウンロードが終わっています。
ステップ2にASMへログインしているIDを入力
ステップ3に先ほどダウンロードしたトークンをアップロードし、リージョンを選択
ステップ4はiOSアプリの最新化チェックなので、特に事情がなければチェックをいれても良いかと。
最後にアクセス権のチェックをし、保存します。

これでAppも含めて、ASMとIntuneの連携が完了です。

おわりに

ここで、すこし「グチ」ですが、MDMについてMicrosoftさんはIntuneをMicrosoft Endpoint Manager(以下MEM)という名称に変え、若干の操作も変わったような感じがします。ポジティブにいえば、使いやすくなったのですが、これによりIfEの優位性が全くなくなりましたが、設定方法だけが微妙に錯綜し、「どちらか一方だけで完結」が難しい状況になっています。どちらかにまとめて欲しいものです。(公式マニュアル含む)

また、実はこの後もいろいろ設定しなければならないところも多いのです。
ざっくりいうと、Appの購入・WiFiなどのプロファイル設定・独自Appストアの立ち上げ・ユーザの管理方法などなど。
しかしそこは、実践でやっていくしかありませんので、まじ、頑張ってみんな()
もし、どうしてもってところがあれば、自治体限定にはなりますが、総務省地域情報化アドバイザーという制度がありますので、若干ではありますがアイデアなどの支援は可能です。ご利用ください。

地域情報化アドバイザー派遣制度(ICT人材派遣制度)

今回の説明のようなケース(かつこれを職員や先生がやるケース)は少ないのかもしれませんが、誰かの役に立てばいいなあ。

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
What you can do with signing up
2