Apple Business Manager(ABM)とMicrosoft Intuneを組み合わせることで、iPhoneやiPadなどのAppleデバイスを効率的に管理し、アプリ配信やデバイス設定の管理を行うことができます。
ABMから組織で使えるアプリケーションを一括管理すると、有償アプリのライセンス管理なども簡易的になるため、活用している企業様も多いかと思います。
今回は、ABM × Intuneで管理しているiPhoneにおいて自動配布しているIntuneポータルアプリが突然消失したりまた戻ったりする現象の解決策を共有しようと思います。
Intune関連の記事はこちらもどうぞ>
Intuneでユーザー操作が必要な対話型アプリを配信する
Intuneを利用したアプリ配布方法をご紹介① – Win32アプリ編 –
Intuneを利用したアプリ配布方法をご紹介② – ストアアプリ編 –
解消した話シリーズ>
IntuneでiPhoneの「コンプライアンス」が軒並み非準拠になったのを解消した話
条件付きアクセスの「サインインの頻度」がうまく適用されないのを解消した話【Intune】
前提と事象
では、どのような環境でどのような事象が起きたのか以下に整理します。
前提条件
- Apple Business ManagerとIntuneを連携させて貸与iPhoneを管理している
- VPPトークンを構成しており、インストールできるアプリは管理者が配布している(AppStoreは使わない)
- 初期サインイン時(オンボーディング時)にIntuneポータルアプリが自動配布されるようApple自動デバイス登録(ADE)プロファイルを構成している
事象
- 配布しているIntuneポータルアプリが頻繁に画面から消失する
- アプリは消えた対象のデバイスは、Intune管理センターから見ると[インストールが保留中]のステータスになっている
- iOSのバージョンに関わらず発生する
- 一斉に発生するわけではなく、端末ごとにタイミングはまちまち
- Intune管理センターから同期をかけると再度出現する
- ポータルアプリからアプリをインストールするなど操作している最中に突然フリーズして画面から消えることもある
原因
Apple自動デバイス登録(ADE)プロファイルの「認証方法」を「ポータル サイト」 に設定していることが原因でした。
ADE管理者向けのドキュメントには「ポータルサイト」も推奨の旨が記載されていますが、「先進認証を備えたセットアップアシスタント」の選択のほうがより推奨とのことです。
Intuneカスタマーサクセスのwebではアナウンスされていますね。
> Microsoft Intune での iOS/iPadOS ADE エクスペリエンスの変革|Intuneカスタマーサクセス
解決策
そのため、ADEプロファイルを編集し認証方法を 「先進認証を備えたセットアップ アシスタント」 に変更することで解消しました。
なお、この変更を実施しても登録済みデバイスに影響は出ません。
① Intuneポータルのデバイス→ 登録 → Apple → 登録プラグラムのトークン
② 該当のトークンを選択
③ プロファイル → 該当のプロファイルを選択
④ [プロパティ]から、認証方法を変更できます。
おまけ的に、以下に現状設定可能な構成を比較表で整理してみました。
| 条件 | 設定アシスタント (レガシ) | ポータル サイト アプリ | 先進認証を備えた設定アシスタント |
|---|---|---|---|
| デバイスをワイプしたい | はい | はい | はい |
| 多要素認証 (MFA) を使用する必要がある | いいえ | はい | はい |
| 初回サインイン時に期限切れのパスワードを更新するメッセージを表示したい | いいえ | はい | はい |
| 登録時に期限切れのパスワードをリセットするメッセージを表示したい | いいえ | はい | はい |
| デバイスをMicrosoft Entra IDに登録する必要がある | いいえ | はい | はい |
| 登録時にポータル サイト アプリを自動的にインストールしたい | いいえ | はい | はい |
| VPPを使用してApple IDなしでポータル サイト アプリを自動インストールしたい | いいえ | はい | はい |
| ポータル サイト アプリがインストールされるまでデバイスをロックしたい | いいえ | はい | いいえ |
| Apple .p7m トークンを使用してユーザーを認証する | はい | いいえ | いいえ |
| デバイスをMicrosoft Entra IDに登録しない場合 | はい | いいえ | いいえ |
参考:ADE 管理者のタスク|Microsoft Learn
「ポータル サイト」と「先進認証を備えたセットアップアシスタント」の違いは、Intune ポータル サイト アプリでの認証が未完了の状態でデバイスを利用することができるか否か、が大きなポイントです。
先進認証を備えたセットアップアシスタントでは、ポータル サイトがインストールされていない場合でもデバイスの一部にアクセスできます。(もちろん、ユーザーがEntra IDでIntuneポータル サイトにサインインし[開始] を選択するまでは、条件付きアクセスで保護されているリソースにアクセスができないなどの制限がかかりますのでセキュリティ面も安心です)
参考:先進認証を使用したセットアップ アシスタント|Microsoft Learn
認証方法「ポータルサイト」における、ポータル サイトアプリがインストールされるまでデバイスをロックするという「シングルアプリアプリモード」が悪さをしていたようです。
解決までに実施したこと
本事象解決のためマイクロソフト社のサポートに問い合わせさせていただきました。その中で、以下を試しながら解決まで進めましたので共有します。
前述の前提条件に当てはまらない場合(Intuneポータルサイトアプリに限らず他のアプリが消失してしまう場合など)や、実施しても解決しない場合は以下もぜひ試してみてください。
- 構成プロファイル [非表示のアプリ] を設定していないことを確認
- アプリ配布にて [アンインストール] を設定していないことを確認
- [年齢区分の地域 (評価地域)] の [アプリ] にて [すべてのアプリを許可する]を選択する
- [Apple Books で成人指定の性的コンテンツのダウンロードをブロックする] が[はい]の場合、それを削除する
…さて、バックオフィス業務を少人数、もしくはおひとりで管理されている企業様にとって、ITだけに注力することは難しいかもしれません。
弊社ではクライアントセキュリティ強化を目指される中小規模の企業様向けに、Microsoftソリューションを用いたご支援させていただいております。
Intuneを用いての端末管理も、数台〜でもご支援が可能ですのでぜひお気軽にお問い合わせくださいね。
最後にお知らせ
弊社ではAzure / Microsoft 365 関連の最新情報を日本語で分かりやすく、月1回(緊急時は都度)ご案内するメールマガジンを配信しています。
Azure管理者様必見です!ご興味お持ちいただけましたらぜひ下記よりご登録ください。
コメント