Microsoft 365 に含まれるモバイルデバイス管理ソリューション Intune を利用して組織のデバイスを管理しようとしたとき、組織のセキュリティレベルによっては個人所有デバイスを登録させたくないケースがあると思います。
簡単に設定できる方法としては、ユーザーにデバイスを登録させなくすることです。しかし、事前に全てのデバイスを管理者が登録しておくのは非常に手間ですし、入れ替えや増強のたびに作業が増えるのは歓迎できません。
そこで、今回はユーザー自身がデバイス登録できる状態にしつつ、組織が管理するデバイス以外の登録を禁止する方法を紹介します。
事前準備
- 有効な Intune サブスクリプション
デバイス登録制限
今回はデバイスの登録の「登録制限」機能を使って個人所有のデバイスを禁止していきます。
Microsoft Endpoint Manager admin center にサインインします。
[デバイス]>[デバイスの登録]をクリックします。メニューから[登録制限]をクリックします。
上部の[作成の制限]から[デバイスの種類の制限]をクリックします。制限の種類でプラットフォームごとに、登録自体の許可、バージョン、個人所有デバイスのブロックを設定できます。個人所有をブロックした定義を作成し、ユーザーに割り当てておきます。
禁止される登録
この状態では、Windows デバイスでは次のようなデバイス登録が禁止されます。
Windows
- 自動 MDM 登録と Windows セットアップ中の Azure AD 参加
- 自動 MDM 登録と Windows 設定からの Azure AD 参加
- 自動 MDM 登録と Windows 設定からの Azure AD 登録
許可される登録
登録を許可するにはプラットフォームごとに次のような登録のしかたが必要です。特に Windows は Autopilot の構成が必要になることがあるので、事前に確認しておく必要があります。
Windows
- デバイス登録マネージャーアカウントを使用した登録
- Windows Autopilot を利用した登録
- Windows Autopilot に登録済みのデバイス
- IMEI を登録済みのデバイス
- 一括プロビジョニングパッケージでの登録
- GPO または共同管理用の Configuration Manager からの自動登録
iOS/iPadOS/Android/MacOS
デバイスのシリアル番号か IMEI を事前に登録しておく必要があります。
許可するデバイスの登録
iOS デバイスの場合はシリアル番号を登録しておきます。[デバイスの登録]から[業務用デバイスの ID]をクリックし、上部の[追加]をクリックします。
登録方法は手動で入力するか、フォーマットを合わせて CSV ファイルをアップロードする方法があります。
手動で入力する場合は、IMEI かシリアル番号を選択し、どのデバイスか識別できるようなコメントを拭きしておきます。
登録が完了するとリストに表示されます。
この状態であれば、Intune にデバイス登録することができます。シリアル番号を登録していない場合は、エラーで弾かれます。
Windows の場合、登録していないデバイスを設定から Azure AD 参加させようとすると次のようなエラーが発生します。
コメント