みなさま、こんにちは!山田です。
今回は、iOS/iPadOS 26およびmacOS 26から利用可能なMDM(Mobile Device Management)移行機能を活用し、デバイスの初期化を行わずに、既存MDMから新規MDMへスムーズに移行する方法をご紹介します。
本検証では、Jamf Proを既存MDM、Microsoft Intune(以下、Intune)を新規MDMとして移行を実施し、実際の移行手順とそのポイントをまとめました。
また、2025年8月の Microsoft 公開情報からセキュリティ関連の情報もピックアップしましたので、併せてご紹介いたします。
- ※当ブログにて記載しております Microsoft 社の Web サイトの URL については、Microsoft 社側のリダイレクトの仕組みにより、お客様の閲覧環境に沿ったページに自動的にリダイレクトされることがございます。
原文を参照される場合は、リダイレクトされた URL の ja-jp などの文字列を en-us に変更することで閲覧いただけます。
初期化不要のMDM移行機能を使用してみた
MDM移行機能の概要
iOS/iPadOS 26およびmacOS 26以降では、デバイスを初期化せずにMDMを移行できる新機能がABM(Apple Business Manager)に追加されました。
従来、MDMを変更する際にはデバイスの初期化が必要でしたが、この新機能により、ユーザーデータを保持したままスムーズな移行が可能になります。ABMを活用して対象デバイスを新規MDMに再割り当てを行い、ユーザーは設定アプリから簡単な移行操作を実行するだけで移行が完了します。管理者は移行期限を設定でき、通知をデバイスに送信してユーザーに移行を促すことができます。
なお、既存MDMで配布されていたアプリや構成プロファイルを引き続き利用するには、新規MDM側で再配布の設定が必要となります。
前提条件
本機能を利用するために、以下環境が必要です。
- iOS 26, iPadOS 26, macOS 26以降を搭載したデバイス
- ABMを用いてMDMで管理されているデバイス
- 既存MDMと新規MDMが連携されたABM
MDM移行設定手順
事前に既存MDMと新規MDMをABMへ連携しておく必要があります。
また、Intune などの新規MDM製品上で登録プロファイルを作成しておく必要があります。
ポイント:
Intune の登録プロファイルでは、設定アシスタントの非表示や監視モードの設定などが可能ですが、これらの設定は基本的に初期設定時のみ適用されます。
一方で、ユーザーアフィニティの登録に必要な認証方法については、Intune でデバイスを管理する上で必要な情報となるため、移行のタイミングでポータルアプリが配布されたり、Entra ID へのサインインが求められることがあると、Microsoft 社から確認が取れています。
本検証では、Jamf Proで管理している監視モードのiPhoneを Intune へ移行することを想定しています。
1.ABMの [デバイス] より、iOS 26, iPadOS 26, macOS 26以降を搭載したデバイスを選択して [・・・] をクリックします。
2.[デバイス管理サービスを割り当てる] をクリックします。
3. デバイス管理サービスを割り当てる画面が出てくるので、[期限を追加] をクリックします。
※iOS 26より古いデバイスの場合、以下の表示となり登録期限の設定ができず、初期化不要のMDM移行機能を利用することができません。
4. 以下を設定し、[続ける] をクリックします。
- デバイス管理サービス:新規MDMサービスを設定する。
- 登録期限:いつまでに移行させたいかを設定する。登録期限を設定しない場合、初期化が必要な従来のMDM移行手順が必要です。
5.割り当てを変更する旨が表示されるため、[確認] をクリックします。
6.割り当て変更が完了した旨が表示されるため、[完了] をクリックします。
7. ABM上で該当のデバイスを確認すると、デバイス管理サービスが割り当てられた旨が表示され、デバイス管理サービスが Intune に変わっていることが確認できます。
手順は以上です。
MDM移行時のデバイス上での動作
1. ABMにてMDM移行を設定すると、デバイスへ通知が表示されます。
ABMで設定した期限前であれば [今はしない] を選択でき、ユーザーの都合のいいタイミングで移行が可能です。
2.[今はしない] を選択しても、設定画面の [登録が必要です] から任意のタイミングで登録を開始することができます。
3.[登録を開始] をクリックします。
4. [再起動] をクリックして、デバイスを再起動します。
再起動にかかる時間は通常の再起動と同程度の時間でした。
登録期限までにMDM移行が完了しなかった場合、以下のような通知が自動で表示されます。移行期限前のように「今はしない」の選択肢は選べなくなり、再起動およびMDMの移行を強制されます。
5.再起動後、[このiPhoneを登録]をクリックします。
6.読み込み中の画面から、[登録完了] の画面になれば移行完了です。
[終了] をクリックするとホーム画面に遷移します。
7. 今回は Intune で設定した 登録プロファイルの認証方法に [ポータルサイト] を選んだため、ホーム画面にインストールされるポータルサイトアプを開き、Entra ID でサインインします。
MDM移行前後でのデバイスの変化
本検証では、以下パターンの検証を実施しました。
これらのポリシーはADE(Automated Device Enrollment)の登録プロファイル名に基づいてデバイスグループに割り当てています。また、ユーザーに割り当てた場合、MDM移行時にインストールされるポータルアプリにてサインインすることで、デバイスにユーザーが割り当てられます。
その後、Entraでサインインしたタイミングで、アプリやポリシーが適用される動作となります。
①構成プロファイルの配布
- パターン1:Jamf Proのみでポリシーを配布し、Intune 移行時に削除されるのかを確認
- パターン2:Jamf Proと Intune で同じポリシーを配布し、ポリシーの判定が認識されるかを確認
- パターン3:Intune のみでポリシーを配布し、Intune 移行時に適用されるのかを確認
左右にスクロールしてご覧ください。
| パターン | 配布方法 | ポリシー内容 | 移行後の結果 |
|---|---|---|---|
| パターン1 | Jamf Proのみ | Siriのブロック | ✓ 解除された |
| パターン2-1 | Jamf Pro & Intune | Safariのブロック | ✓ ブロックされたまま |
| パターン2-2 | Jamf Pro & Intune | パスワード文字数を6→8 | ✓ 8文字以上で登録要求 |
| パターン3 | Intune のみ | AirDropのブロック | ✓ 禁止された |
②アプリの配布
- パターン1:Jamf Proのみでアプリを配布し、Intune 移行時に削除されるのかを確認
- パターン2:Jamf Proと Intune で同じアプリを配布し、アプリが再インストールとなるのかそのまま引き継がれるのかを確認し、アプリの判定が認識されるかを確認
- パターン3:Intune のみでアプリを配布し、Intune 移行時にインストールされるのかを確認
左右にスクロールしてご覧ください。
| パターン | 配布方法 | 移行後の結果 |
|---|---|---|
| パターン1 | Jamf Proのみ | ✓ アプリは削除された |
| パターン2 | Jamf Pro & Intune | ✓ データは保持され、新規MDMでもインストール済みと判定される |
| パターン3 | Intune のみ | ✓ 新たに配布された |
③コンプライアンスポリシー
Jamf Proには Intune のコンプライアンスポリシーに該当する機能はないため、1パターンのみ検証を実施します。
- パターン1:Intune のみでコンプライアンスポリシーを配布し、Intune 移行時に適用されることを確認
左右にスクロールしてご覧ください。
| パターン | 配布方法 | ポリシー内容 | 移行後の結果 |
|---|---|---|---|
| パターン1 | Intune のみ | 脱獄されたデバイス | ✓ 新たに配布された |
メリット・デメリット
本機能の検証を通じて感じたメリット・デメリットは以下の通りです。
左右にスクロールしてご覧ください。
| メリット | デメリット |
|---|---|
|
|
まとめ
従来、監視モードのデバイスのMDMの移行には端末の初期化が必要であり、既存データの消失やデータの退避が必要という大きな課題がありました。しかし、本機能の登場により、初期化に伴うデータの待避作業が不要となり、よりスムーズな移行が可能になります。
さらに、複雑なマニュアル作成や手順の整備といった作業も不要となるため、移行にかかる負荷が大幅に軽減され、企業や組織は自社のニーズに合ったMDM製品へ柔軟に乗り換えることができるようになります。
なお、移行後も端末内のデータは保持されますが、既存のMDMで配信されていたポリシーは引き継がれません。したがって、同様のポリシーやアプリを継続して利用したい場合は、新規MDMで再度配信設定を行う必要があります。この点には十分ご注意ください。
引き続き、8 月度の Microsoft 公開情報をご確認ください!
Microsoft 公開情報
Microsoft Blog の更新からセキュリティに関する気になる項目をピックアップしてご紹介します。
クラウド更新プログラムが一般提供開始
Cloud Update Reaches General Availability: Transforming Microsoft 365 Apps Management
- Microsoft は、Microsoft 365 Apps の更新管理を革新する 「クラウド更新プログラム」 機能の一般提供(GA)を開始しました。これは、IT管理者が Microsoft 365 Apps の高い更新率を維持し、セキュリティと機能の一貫性を確保するための新しい機能です。Cloud Updateは、更新の自動化と柔軟な管理機能を提供し、少数から数万台のデバイスまで対応可能です。
- 主な機能には、更新の一時停止、ロールバック、除外ウィンドウ、段階的なロールアウトなどがあり、業務への影響を最小限に抑えながら安全な更新を実現します管理者はダッシュボードで進捗や問題を可視化でき、Microsoft Purview との統合により監査も強化されています。
- 今後は、グループ別ロールバックやビルド指定ロールバック、チャネル変更の完全なサポートなどの機能が追加予定で、クラウド更新プログラムは Microsoft 365 Apps の更新管理の推奨ソリューションとして進化を続けます。
2025年8月の Microsoft Intune 新機能
What’s New in Microsoft Intune: August 2025
- 2025年8月の Microsoft Intune のアップデートでは、IT管理者の業務効率とセキュリティ向上を目的とした4つの主要機能が追加されました。
- アプリケーション制御の強化
- 「App Control for Business」が一般提供され、特定グループに対してアプリケーションの実行制御が可能になりました。Windows Defender アプリケーション制御(WDAC)との連携で信頼性の高いアプリのみが承認されるように構成できます。
- Windows Autopilot による初期セットアップ時のパッチ適用
- 新しいデバイスは初期設定中に自動でセキュリティ更新を受けるようになり、ユーザーが利用開始する時点で最新のパッチが適用された状態になります。管理者はこの機能の有効・無効を選択可能です。
- Appleデバイスのアップデート可視化
- 宣言型デバイス管理(DDM)に基づく新しいレポート機能により、アップデートの進行状況や失敗の詳細がリアルタイムで確認可能になり、手動でチェックインした時刻に依存せずアップデートの状況を確認できます。
- 複数管理者による承認機能
- Intune のRBACロールや重要なデバイス操作(削除・初期化など)に対して、二重承認が可能となり、誤操作や不正変更のリスクを軽減します。
- アプリケーション制御の強化
これらの機能追加により、IT管理者はより安全かつスムーズなデバイス管理を実現できます。
さいごに
以上です。
最後までお読みいただきありがとうございました。
