Microsoft 365徹底解説

第4回

Microsoft 365の「リモート削除」はiPhoneも、さまざまな業務利用端末を管理可能

 Microsoft 365に組み込まれている「Microsoft Intune」では、前回解説したWindows 10だけでなく、AndroidやiOS/iPadOSの管理も可能だ。

 この仕組みを利用すれば、スマートフォンの各種情報を取得できるほか、パスワードやPINの要件の設定、アプリの配布、スマートフォンのロックやデータ消去(ワイプ)といった操作をリモートから実行することができる。ここでは、Microsoft IntuneでiPhoneを管理するための基本的な手順を見ていこう。

「Microsoft Intune」でiOS/iPadOSを管理する

 Microsoft IntuneによるiPhoneの管理では、Appleが提供する「APNs」(Apple Push Notification Service)を利用する。APNsはiPhoneやiPadに対してプッシュ通知を行うための仕組みで、Microsoft Intuneはこれを介してiPhoneやiPadに接続し、リモートで端末を制御するというかたちである。

 このAPNsを利用するには、MDMプッシュ証明書を構成する必要がある。Microsoft 365の管理センターから「Endpoint Management」を選んで「Microsoft Endpoint Manager admin center」を開き、左側のメニューから「デバイス」-「iOS」を選択。次の画面で「iOS登録」をクリックすると、「Apple MDMプッシュ通知証明書」の項目が表示される。なお、MDMプッシュ通知証明書の作成には、Apple IDが必要になる。

「Microsoft Intune」でiOS/iPadOSを管理するには、まず「Microsoft Endpoint Manager admin center」でAPNsを使うのに必要なMDMプッシュ証明書を取得する
MDMプッシュ証明書を取得するための画面。ここでCSRをダウンロードした後、「MDMプッシュ証明書を作成する」をクリックし、Appleのウェブサイトに移動する
移動先のAppleのAPNsのウェブサイトで、先ほどダウンロードしたCSRを選択してアップロードする
「Download」をクリックしてMDMプッシュ通知証明書をローカルに保存し、Microsoft Endpoint Manager admin centerの画面でアップロードする
「Intuneポータルサイト」アプリをApp Storeからインストールして起動すると、Microsoft 365へのサインインを求められる。これにより、インストールしたデバイスをIntuneで管理することが可能になる

 デバイスの登録には2種類の方法がある。すでにセットアップ済みのiPhoneでユーザー自身が「Intuneポータルサイト」アプリをApp Storeからインストールして登録する方法と、会社支給のデバイスを一括して登録する方法だ。

 一括登録する場合は、「Apple Device Enrollment Program」を利用する。これはAppleが提供する企業および教育機関向けのプログラムで、デバイスのアクティベーションといったキッティング作業の負担を軽減するものだ。これを利用すれば、Microsoft Intuneへの登録を自動化できる。

 一方、Intuneポータルサイトを利用する場合は、ユーザー自身でアプリをインストールした後、Microsoft 365アカウントでサインインし、Intuneの管理プロファイルのダウンロードとインストールを行う必要がある。

Microsoft Intuneでのリモート削除とリモートロック

 Intuneに登録されたデバイスは、Microsoft Endpoint Manager admin centerの「デバイス」から確認できる。「すべてのデバイス」、あるいは「プラットフォーム別」の「iOS」を選択し、リストからいずれかのiPhoneをクリックすると、デバイスの概要を確認できる。

 ここで表示されるのは、デバイス名やシリアル番号、電話番号、デバイスモデルなど。また、この画面からリモートワイプやリモートロックも可能だ。

デバイスの概要画面。デバイス名やシリアル番号、端末の電話番号などを確認することができる
「モニター」の「ハードウェア」を選ぶと、OSのバージョンやストレージの合計容量と空き容量、IMEI番号などが表示される
デバイスの「概要」で「リタイヤ」を選択すると、Intuneで管理されている会社のデータだけを削除することができる

 なお、リモートワイプには、会社のデータのみを削除する「リタイヤ」と、工場出荷時の設定へリセットする「ワイプ」の2種類がある。後者では、会社と個人の両方のデータが削除されてしまうため、注意が必要だ。特に個人所有のデバイスを業務にも使うBYOD(Bring Your Own Device)の場合、デバイスを盗難、または紛失した場合にどうするかについて事前にポリシーを定め、デバイスの所有者と確認をしておくべきだろう。

 このようにIntuneでは、登録したデバイスに対してアプリを配布したり、その利用を制御するための仕組みも備えている。これらについては次回解説したい。

「Windows 7サポート終了! 「どうしたらいい?」を解決!」記事一覧

川添 貴生