Intuneのデバイスライセンスでの条件付きアクセスについて
背景
- Intuneにはデバイスのみのライセンスが存在し、その場合のライセンス制限事項として、MS公式ドキュメントに条件付きアクセスはサポートされない旨が明言されている。
- 実際にそうなのかをサポートに問い合わせて確認した内容を記載。
結論
- A3等のユーザーライセンスを持ったユーザーがサインインする場合は条件付きアクセスは適用される。
- デバイスライセンスは自動消費され、どのライセンスが使われたのかは確認するすべはない。ユーザー自身がデバイスライセンスの総量を把握しておき、ライセンス違反にならないようにしておく必要がある。
問題の記載箇所は下記
デバイスのみのライセンスの制限事項
デバイス ライセンスを使用してデバイスを登録する場合、次の Intune 関数はサポートされません。Intune のアプリ保護ポリシー
条件付きアクセス
電子メールや予定表などのユーザー ベースの管理機能
デバイスライセンスとユーザーライセンス
共有端末にデバイスライセンス、そこにユーザーライセンスをもったユーザーがサインインする場合
この場合、条件付きアクセスは適用される。 条件付きアクセスはユーザーポリシーであり、Microsoft 365 A3ライセンスが付与されたユーザーがサインインした場合、そのユーザーアカウントのプロファイルに対して条件付きアクセスやユーザーグループへのポリシー適用が通常通り行われる。ただし、条件付きアクセスにはMicrosoft Entra ID P1ライセンスが別途必要となる。
この具体的なケースとして下記。
<想定のケース>
共有端末に「デバイスのみのライセンス」を適用する。その端末にMicrosoft 365 A3ライセンス(Intuneユーザーライセンスを含む)が付与されたユーザーがサインインしてM365サービス(SharePoint Online等)を利用する場合、ユーザーに割り当てられた条件付きアクセスポリシーは適用される。
<補足>
デバイスライセンスは、ユーザーに付与できず、キオスクや特定ユーザーがいない専用デバイスを管理する目的のライセンスである。そのため、電子メールや予定表などのユーザーベースの管理機能、条件付きアクセス、アプリ保護ポリシーなど、ユーザーに割り当てて利用する機能は非対応となる。共有端末を利用するユーザーにこれらの機能を適用したい場合は、そのユーザーに別途ユーザーライセンス(M365 A3など)を割り当てる必要がある。
デバイスライセンスの考え方
自動消費について
Windowsデバイスの登録フローでは、ユーザーアフィニティなし(プライマリユーザーなし)の登録(一括プロビジョニングなど)の際に、自動的にデバイスライセンスが消費される。一括プロビジョニング(プロビジョニングパッケージ)による登録もこれに該当する。
ライセンスの確認と管理:
「デバイスのみのライセンス」はデバイス登録時に自動で消費されるライセンスであり、利用している数や割り当て対象のデバイスを管理センター上で確認することはできない。どのライセンスを消費してIntune登録を行ったかを確認する方法は無い。ライセンス違反にならないよう、ユーザー自身で管理数が超過しないようにユーザーライセンスまたはデバイスライセンスのどちらかを必ず割り当て、適切に管理する必要がある。
具体的なケース
例えば個人利用端末100台と共有端末10台に対して必要なライセンス数(M365 A3 100個、デバイスライセンス10個)を保有しているのであれば、どの端末にデバイスライセンスが消費されたか確認できなくてもライセンス違反には抵触せず問題ない。
参考 デバイスライセンス
- デバイス ライセンスの例
ライセンス名 : Microsoft Intune Device (Microsoft Intune Plan 1 Device) - Intune デバイス ライセンスは、Intune へデバイス登録されるタイミングで自動的に消費される。
- Windows デバイスの登録フローでは、ユーザーアフィニティなし (プライマリ ユーザーなし) の登録 (Autopilot 自己展開モード、一括プロビジョニング) の際に、自動的にデバイスライセンスが消費されるらしい。
Discussion