😺
Microsoft Intuneについて書いてみる　No.2

2025/01/12に公開
Windows
 お約束これは2025/1時点の情報を基に記載しています。

記載内容は個人の私見に基づくものです。

正確な情報が知りたい方は公式ドキュメントを参照してください。

https://learn.microsoft.com/ja-jp/mem/intune/
!前回Intuneライセンスについてのみ書くとしましたが、さらに制限を入れておきます。Intuneはクラウド型のデバイス管理ですが、オンプレ型のデバイス管理としてMicrosoft Configuration Manager(MCM)という製品があります。IntuneはこのMCMと連携してデバイスの共同管理が可能です。ただし、本ブログではあくまでIntuneについて書くため、MCMとの連携については記載しません。ご了承ください。

 デバイス登録デバイス登録について、それぞれ書いてみます。

OS毎に登録方法がいろいろあるのもIntuneの特徴です。今回はWindowsを書きます。それ以外のiOS/iPadOS、Android等は次回に書きます。
Windowsの登録について、公式ページはこちらになります。

https://learn.microsoft.com/ja-jp/mem/intune/fundamentals/deployment-guide-enrollment-windows

 そもそもIntuneへのデバイス登録とはIntuneに管理を委ねるということです。登録した時点でIntuneから管理が可能となります。

また、デバイス管理はIntuneから対象デバイスのOSを管理するということになります。これは、OS側が管理の仕組みを提供していることで成り立ちます。基本的にIntuneへのデバイス登録は、その管理の仕組みを用いてIntuneからデバイスを管理できるようにすることを意味しています。

そのため、OS毎にいくつかの登録方法があり、また、登録方法によってどこまで管理できるかが変わってきます。

 企業デバイスと個人デバイスIntuneへ登録するデバイスは、企業から貸与された企業所有のデバイスでも、個人で購入した個人所有のデイバスでも、同じように登録が可能となっています。（もちろん管理者による登録制限は出来ます）

登録したデバイスにはOS種別に関わらず「デバイスの所有者」というステータスがあり、企業所有のデバイスの場合は基本的に「企業」となり、個人所有のデバイスの場合は「個人」となります。

「企業」と「個人」をどうやって分けているかは、Intuneへの登録方法で分けています。なお、管理者であれば、登録デバイスの「デバイスの所有者」のステータスを変更可能です。
「企業」と「個人」ではデバイスから収集されるデータ等が異なります。例えば、「企業」はインストールされているアプリ情報がすべて収集されますが、「個人」の場合は収集されないといった違いがあります。プライバシー的な配慮といえるでしょう。

詳しくは公式ドキュメントを見てください。

https://learn.microsoft.com/ja-jp/mem/intune/enrollment/corporate-identifiers-add

 デバイス登録(Windows)
 WindowsをIntuneに登録するWindows OSを搭載したデバイスの登録方法はいくつかありますが、登録方法の違い以外はどの方法でもIntuneへのデバイス登録という意味では変わりはありません。（正確には上述の「デバイスの所有者」の違いがあります）

違いが出るのは、Entra ID側の「参加の種類」という情報です。登録方法によって「参加の種類」が3パターンのいずれかに変わります。なお、「参加の種類」に違いが出るのはWindowsの場合のみです。それ以外のOSでは、すべて同じステータスになります。

Windowsの場合は、基本的にEntra ID経由でIntune登録されることになります。そのため、Entra ID経由で自動MDM登録（Intune登録）を許可するように設定しておく必要があります。（例外として、MDMのみに登録するという方法でIntune登録する手段がありますが、ここでは記載しません）
自動MDM登録の設定画面がこちらになります。「MDM ユーザー スコープ」のほうの情報を基にEntra ID経由でIntuneへデバイス登録します。

最近作ったテナントであれば、規定で「すべて」になっているはずです。
Windowsの場合、参加の種類に対してデバイスの所有者の初期値がどうなるかを図に示します。

参加の種類
デバイスの所有者

Microsoft Entra joined
企業

Microsoft Entra hybrid joined
企業

Microsoft Entra registerd
個人

!ここで内部的な話をしておきます。読み飛ばしてもOKです。

Intuneでデバイス管理を行う場合、デバイス情報はEntra IDとIntuneの2か所に記録されます。（Entra IDとIntuneとで別々にデータを管理しているということです。）

Entra IDとIntuneで管理されるデバイス情報が異なりますが、Entra ID経由で登録した場合、Entra IDのデバイス情報とIntunのデバイス情報は連携しています。この連携は基本的に自動で行われますので、管理者はあまり気にする機会はないでしょう。連携していることでEntra IDの「条件付きアクセス」というアクセス制御機能でIntuneのデバイス情報が使えるようになります。

 「Microsoft Entra joined」としてIntuneに登録するメジャーな方法として、3つの方法があります。
OOBE（工場出荷端末）から起動して、Entra IDでサインインする

最初にサインインしたユーザーには規定でローカル管理者権限が割り当てられますので、サインインしたユーザーの情報でIntuneへデバイス登録が行われます。
Autopilotを使用する

Autopilotについて語りだすとても長くなりますので、ここでは詳細は説明しません。

Windowsのゼロタッチキッティングサービスと思ってください。

下準備は大変ですが、キッティング工数の大幅削減が可能な仕組みです。

詳細は以下URLを参考にしてください。

https://learn.microsoft.com/ja-jp/autopilot/
デスクトップ画面から「設定」アプリを使用する

「設定」アプリから、[アカウント] - [職場または学校にアクセスする]のページで、「接続」をクリックします。表示された画面で「このデバイスをMicrosoft Etra IDに参加させる」をクリックして、Entra IDでサインインします。

その際、Windowsにサインインしているアカウントにはローカル管理者権限が必要となります。権限がない場合、Entra IDまでしかデバイス登録が行われず、Intuneへの自動MDM登録に失敗します。

 「Microsoft Entra hybrid joined」としてIntuneに登録するWindows Sever上に構築したActive Directory（以下AD）というサービスに登録したデバイスを対象とした登録方法です。

ADとEntra IDをEntra Connectという仕組みで接続し、ADアカウントとデバイス情報をEntra IDに同期できるようにすることで、同期したデバイスをIntuneまで登録する方法です。

ただし、Intuneまで登録する場合には、ADアカウントとEntra IDのUPNを合わせる必要があります。[1]（Entra IDへの同期だけなら、UPNを合わせなくても同期が可能です）

また、Intuneへの登録には、ADのグループポリシーで、Intune登録用のポリシーの配布も必要となります。
詳細はこのあたりから読み進めてみてください。

https://learn.microsoft.com/ja-jp/entra/identity/devices/hybrid-join-plan

 「Microsoft Entra registerd」としてIntuneに登録する最後はregisterdです。基本2パターンでの登録となります。
Officeを起動したときに出るダイアログでOKをする

Office365アプリを起動したときにSSO連携で利便性を向上させるために表示されるダイアログです。

デフォルトで「組織がデバイスを管理できるようにする」にチェックが入っているため、そのままOKしてしまうと組織にデバイスが登録されます。ただし、ユーザーがIntuneライセンスを持っている、且つ、ローカル管理者権限がある、の2つを満たしていないとIntuneへのデバイス登録が行われず、Entra IDにデバイス情報が登録されるだけです。

Entra IDにのみ登録が行われてしまうと、Intuneへ登録が必要な際にEntra IDの登録を切断する必要があります。 [設定] - [アカウント] - [職場または学校にアクセスする]に接続情報が出ますので、そこから切断してください。
今までIntuneを使用せずにTeamsやOutlookなどのOffice製品だけ使用していた組織において、Intuneの導入をしようとしたとき、この登録によりEntra IDだけにデバイス情報が登録されていることがよくあります。その場合、登録方法によっては対応を検討しなければならないので少し厄介です。
デスクトップ画面から「設定」アプリを使用する

「設定」アプリから、[アカウント] - [職場または学校にアクセスする]のページで、「接続」をクリックします。Microsoft Entra joinedと違い、表示されたダイアログのID入力欄にEntra IDを入力してサインインします。

Entra joindでも書きましたが、この画面からの登録にはWindowsにサインインしているアカウントにローカル管理者権限が必要となります。権限がない場合、Entra IDまでしかデバイス登録が行われず、Intuneへの自動MDM登録に失敗します。

 joined（参加）とregisterd（登録）の違い大きく違うのは2点。Windowsへのサインインと、Intuneでの「デバイスの所有者」ステータスです。

joinedすると、組織アカウント（Entra ID、またはADアカウント）でのサインインとなります。また、前述したように、Intuneへ登録されたデバイスの「デバイスの所有者」は「企業」になります。
registerdはサインインIDに変更がありません。ですので、AD参加していても、ローカルアカウントでサインインしていても、登録は出来ます。ただし、Intuneへ登録されたデバイスの「デバイスの所有者」は「個人」になります。
組織によっては、すでにサインインしているユーザープロファイルを変更したくない、ADとEntra IDのUPNを合わせられない等、いくつかの理由でregisterdしか選択できない場合があります。前述したように、どの方法でもIntuneへのデバイス登録という意味では変わりはありません。「デバイスの所有者」も管理者が変更できます。使い勝手は若干変わりますが、大きなデメリットはないと思っています。

このあたりの違いについては、MSサポートのブログや他の方が情報をまとめていらっしゃいますので、そちらも参考にしてみてください。

 それ以外の登録方法上記以外として、プロビジョニングパッケージやIntuneポータルサイトアプリを使用した登録方法等もあります。以前検証したことがありますが、検証記憶が残っていないため、他にも登録方法もあるという参考情報として記載しておきます。
!1/13追記

複数ユーザーでの使用を想定している共有PCや、キオスクPCの登録等があったことを思い出しましたが、このタイトルの記事では扱わないことにしました。ほかのOSでも同様となります。
次回もデバイス登録の続きを書いていきます。

脚注
理由を説明する長くなる（トークンの説明をする必要がある）ため、今はそういうものだと思っておいてください。 ↩︎