0. はじめに
Microsoft Intune で定番で疑問に思う「プライマリ ユーザー」。
よく質問を受けることもありまして、ここでは「プライマリ ユーザー」が異なった場合や「共有デバイス」の動作について解説します。
これは一人一台の PC で運用している場合にはあまり気にすることはありません。
一方で誰かのデバイスを他の人に渡したり、共有のデバイスとして複数人で使う場合には考慮が必要となります。そんなシーンに遭遇した場合に本記事が参考となれば幸いです。😉
1.「プライマリ ユーザー」とは
「プライマリ ユーザー」に初めてお会いするのは「デバイス」のプラットフォームの一覧の列、それとも、デバイスの「概要」や「プロパティ」の中でしょうかね。
Intune の管理コンソールの「プライマリ ユーザー」
様々な項目で「プライマリ ユーザー」というのが目に入ります。
Learn の説明では「ライセンスが付与された Intune ユーザーをデバイスにマップするために使用される」 と書かれています。
「プライマリ ユーザーさん、あんた、何者だ。」
ということで、それによっておこる影響を解き明かしていきたいと思います。
2.「登録者」と「プライマリ ユーザー」の違い
ちなみに、似たような名前で「登録者」ってのもあります。なおさら分かりづらいですよね。
Intune の管理コンソールの「登録者」
軽く検索してみましたがここら辺詳しく乗ってるページがない?ようなので簡単に。
(もしどこかにあったら教えてください😉)
登録者 --- Intune にそのデバイスを登録したユーザー。Windows やモバイル デバイスを「Microsoft Entra 登録」することでライセンスがカウント[1]されます。こちらは 変更不可 です。
プライマリ ユーザー --- そのデバイスを主用で使うユーザーで、そのユーザーとデバイスを関連付けるためにシステム的に利用されます。プライマリ ユーザーの値にどのユーザーが入るかは 登録方法によって変わります。 こちらは 変更可能 です。
この記事では、あくまで「プライマリ ユーザー」について書かせていただきます。
3.「プライマリ ユーザー」と使用ユーザーが異なった場合 (チョイかり)
さて、ここからが本題です。
Intune にて「プライマリ ユーザー」として表示されているユーザーと、実際の使用ユーザー (サインインしてるユーザー) がズレた場合の動作です。
例えば、同僚が所有している PC をチョイとかりることを想像してみてください。ここでは、これを勝手に 「チョイかり」 と名付けます。
チョイかり時の動作の影響は以下のようなものとなります。
影響 1 : 「ポータル サイト」アプリの動作の一部制限
チョイかりユーザーが「ポータル サイト」アプリを開くと以下のような制限がかかります。
✕「アプリ」が使えない
✕「デバイスの状態」の [アクセスの確認] が使えない
✕「アクション」(名前の変更やリセットなど) が使えない
通常であれば、左の画面のようにアプリやデバイスの状態が表示されますが・・・
実際にチョイかりユーザーが「ポータル アプリ」を開くと以下の右画面の表示になります。
サインイン ユーザーの違いによる「ポータル アプリ」の違い 左:通常 右:チョイかり
チョイかりではデバイスの「アクション」がグレーアウトし操作できず、「デバイスの状態」が分かりません。(裏で評価はされてますけどね)
サインイン ユーザーの違いによる「ポータル アプリ」の違い 左:通常 右:チョイかり
影響 2 : コンプライアンス非対応に対するアクションの制限
組織でコンプライアンス ポリシーを使用していて、チョイかりしてる状態では以下の制限があります。
✕「コンプライアンス非対応に対するアクション」の「メールをエンドユーザーに送信する」を使用している場合はプライマリ ユーザーにしかメールが送信されない
Intune の管理コンソールの「コンプライアンス ポリシー」のアクション
影響なし : よく勘違いされてること
以前の Intune でダメだったりしたこともあり、都市伝説的に広まってることもあるので・・・あらためてチョイかりしてても動作が可能なことは以下です。
〇 サインインしたユーザーに対して展開されたポリシーやアプリは適用される
〇 コンプライアンスの準拠状態はサインイン ユーザーで評価される
〇 Microsoft Entra ID「条件付きアクセス」も動作する (準拠状況はユーザーからは分からないけど)
致命的な動作はないとしても、アプリなどは使えない程度ですのでチョイとかす・かりる程度なら良いかなと個人的には思います。
4.「共有デバイス」(プライマリー ユーザー無し) の場合
Intune ではプライマリ ユーザーが割り当てられていない場合、そのデバイスは「共有デバイス」と呼びます。
Windows OS には「共有 PC モード」というのがあって Intune で設定出来たり、さらには「Android の共有デバイスモード」や「iOS の共有デバイスモード」なんてのもあります。
この「共有」オールスターズ、名前が似ててややこしく良く混同されますが、これらはあくまで OS 側の設定・モードとなります。
繰り返しですが Intune では「プライマリ ユーザー」が無しの場合を「共有デバイス」と命名しております。この Intune の「共有デバイス」の際の動作・影響を記載します。
動作 1 : 「ポータル サイト」アプリの動作
アプリが使える分、チョイかり時の動作よりいい感じに
〇「アプリ」が使える (チョイかりより良い!)
✕「アクション」(名前の変更やリセットなど) が使えない
✕「デバイスの状態」の [アクセスの確認] が使えない
動作 2 : コンプライアンス ポリシーの動作
ここはチョイかりとあまり変わらないですが・・・
〇 コンプライアンスの準拠状態はサインインユーザーで評価される
✕ コンプライアンス準拠のメールアクションは送信されない
〇 サインインしたユーザーに対して展開されたポリシーやアプリは適用される (非推奨。デバイスへのポリシー割り当てを推奨。)
〇 Microsoft Entra ID 「条件付きアクセス」も動作する
実際にはこんな感じの画面差異となります。
右側の共有デバイスでは PC のアイコンの左上に「共有」という文字が表示されていますね!
左 : プライマリ ユーザーがサインイン 右 : 共有デバイスの場合のサインイン
プライマリ ユーザー以外がサインインしたデバイスよりは「アプリ」が使える分いい感じですね。
5. 複数人で PC を共有して使う場合のベストプラクティス
上記の動作を踏まえて & このほかの動作を考慮すると Intune で管理されている PC を複数のユーザーで使う場合には以下で設定することがおすすめです。
- プライマリ ユーザーを無し (Intune の「共有デバイス」)
- コンプライアンス ポリシーはデバイスに割り当て (ユーザーには割り当てない)
- 同様にポリシーやアプリもデバイスに割り当て (なるべくユーザーに割り当てない)
- Windows の場合、多くの人が入れ替わりで使う場合は「共有 PC モード」や「ストレージセンサー」を使ってディスク容量などの圧迫を回避する
- Microsoft 365 Apps を利用する場合は「共有コンピューターのライセンス認証」オプションを利用する
6. PC を誰かに引き継ぐ場合のベストプラクティス
上記の動作を踏まえて企業で PC を誰かに渡す、再利用する場合などのシーンでは以下をおすすめします。
- 端末を初期化して、次に利用するユーザーで再登録をする
- どうしても無理なら「プライマリ ユーザー」を次に利用するユーザーに変更する
7. まとめ
今回は色々と長く書いてしまいましたが、まとめると以下です。
- 一人一台の PC で運用する場合はあまり気にする必要はない。PC を再利用する際には初期化して再登録すれば良い
- 複数人で PC を使用する場合はプライマリ ユーザー無し (共有デバイス) で設定する
以上となります。
さて私は「チョイかり」と何回言ったでしょうか😏
みなさまの Intune の運用に参考になれば!
Special Thanks @yushinok
-
Microsoft Intune の 1 ユーザーライセンス当たり最大 15 台のうちで 1 台としてカウントされる。ちなみに Windows デバイスの「Microsoft Entra 参加」の場合はシステム的にカウントされてません。。。紳士協定となりますので違反とならない範囲でご使用を😅 ↩︎
Discussion