本記事の 3 行まとめ

• Intune の新機能で特定の Windows デバイスをシリアル番号等で登録制限がかけられる
• 実際に試してみたところ「Entra 参加」のパターンでは想定通りの動作に
• 一方で「Entra 登録」の場合は動作がおかしい・・・？今後のアップデートに期待

なおデバイス登録制限の「基本編」については以下の記事で触れています。
https://zenn.dev/microsoft/articles/f62a676b997098

とうとう待望の新機能が！

2024/6/24 の週ですが、非常に望まれてた待望の新機能が実装されました！
これにて、Windows でも「シリアル番号による Entra / Intune へのデバイス登録制限」が可能に！！！🎉🎉🎉

Windows の会社のデバイス識別子を追加する
Microsoft Intune では、Windows 11 バージョン 22H2 以降を実行しているデバイスの企業デバイス識別子がサポートされるようになりました。そのため、登録の前に会社のマシンを識別できるようになりました。 モデル、製造元、シリアル番号の条件に一致するデバイスが登録されると、Microsoft Intune によって会社のデバイスとしてマークされ、適切な管理機能が有効になります。 詳細については、「 企業識別子の追加」を参照してください。

https://learn.microsoft.com/ja-jp/mem/intune/fundamentals/whats-new#week-of-june-24-2024

シリアル番号でのデバイス登録制限

ハードウェアの「シリアル番号」による登録制限は過去に色々ありました・・・そこはとりあえず置いておいて現状を整理します。

• Windows : 今回のアップデート ⇒ Windows 11 22H2 からサポート
• iOS / iPadOS : 元々サポート
• macOS : 元々サポート
• Android Enterprise : Android 11 までサポート、12 以降非サポート (Google の仕様変更による)

https://learn.microsoft.com/ja-jp/mem/intune/enrollment/corporate-identifiers-add#support-by-platform

実際の設定の流れ

基本的なシナリオとしては「会社が所有してるデバイス以外のデバイス (私物など) を勝手に登録されたら困る！」というパターンです。
Intune の登録制限的には「勝手にデバイス登録 (手動で登録) はブロックするけど、事前にシリアル番号登録されてるものは除外する」という形で設定します。
おおまかな流れは以下です。

1. ユーザー手動での登録 (個人所有での登録) をブロックする
2. シリアル番号が登録されたデバイスのみ「企業所有」と識別させる
3. 企業所有と識別させたデバイスを登録する

それでは Windows のシリアル番号による制限を実際設定していきます。

1. ユーザー手動での登録 (個人所有での登録) をブロックする

ここらは Microsoft Intune 管理センター (https://intune.microsoft.com/) にアクセスして設定していきます。

実際のデバイス登録制限の設定

ここでは登録制限のパターンのうちの以下のパターンを試します

- 「個人所有」の Windows デバイスをブロック (つまり手動での登録をブロック)

つまり、Microsoft Intune で制限を行うパターンとなります。

1. Microsoft Intune 管理センター(https://intune.microsoft.com/) にアクセスし [デバイス] - [登録] - [デバイスプラットフォームの制限] の順にクリックします
   

2. Windows の制限のまま [制限を作成] をクリックします
   

3. 「基本」の項目より任意の名前を付けて [次へ] をクリック
   

4. 「個人所有のデバイス」を [ブロック] に変更して [次へ] をクリック
   

5. 「スコープ タグ」ではそのまま [次へ] をクリック
   

6. 「割り当て」にて制限をかけたいユーザーが含まれるグループを選択し [次へ] をクリック
   

7. 「確認及び作成」で内容を確認し [作成] をクリック
   

設定は以上です。

デバイスでの動作確認

それではデバイスの方で動作を見てみましょう

1. Windows の [設定] を開きます
   

2. [アカウント] - [職場または学校にアクセスする] をクリックします
   

3. [接続] をクリックし、登録するユーザーのアカウントを入力します。
   「Entra 登録」の場合は「電子メール アドレス」の欄に入力
   「Entra 参加」の場合は「このデバイスを Microsoft Entra ID に参加させる」をクリックして入力します。
   その後 [次へ] をクリックします
   

そのままデバイスの登録が始まりますが・・・

エラーとなりました！こちらは「Entra 登録」をした場合です。
手動での登録 (個人所有) をブロックしてるのが効いてますね。

こちらは「Entra 参加」をした場合です。同様にエラーとなります。

以上手動での登録「個人所有での登録」がブロックされてることが確認できました！
これで「デバイスを勝手に登録される」ということはできません。

2. シリアル番号が登録されたデバイスのみ「企業所有」と識別させる

1. まずは登録するデバイスの製造元、モデル、シリアル番号を確認します。
   (今回は以前に一回登録した情報から確認しちゃいました。)
   

こんな形でメモを取って、CSV 形式で 保存します。

Microsoft Corporation,Surface Laptop Go,007222110866

※ Learn のサンプルでは製造元が「Microsoft」でしたがうまくいかず、Intune で表示されている「Microsoft Corpration」で登録したら正常に動作しました・・・
※ これは私のテスト用デバイスの本当のシリアル番号なんで悪用しないでね(笑)

2. Microsoft Intune 管理センター (https://intune.microsoft.com/) にアクセスして [デバイス] - [登録] - [業務用デバイスの識別子] の順にクリックします
   

3. [追加] から [CSV ファイルのアップロード] をクリックします
   

4. 「ID の種類を選びます」にて 「製造元、モデル、シリアル番号 (Windows のみ)」 を選択し、「ID のインポート」にて上記 1. で作った CSV ファイルを選択、その後 [追加]
   

その後しばらく待つと成功しました！

ステータスは「未アクセス」のままです

3. 企業所有と識別させたデバイスを登録する

いままでブロックされていたものが、除外されて登録できるか確認していきましょう

1. ブロックしていたデバイスに戻り、Entra 参加を実施します。
   

2. デバイスを設定中となり・・・
   

3. いままでブロックされていたものが・・・登録が完了しました！
   企業所有と認識されて登録できるようになりました。😉
   

4. ステータスは「登録済み」になりました
   

5. デバイスの所有権も「企業」になっています
   

以上です！
いつか気になる点があったので以下に記載しておきます

現時点で確認できた問題的なモノ

注意点 1 : CSV ファイルの「製造元」の記載方法

Learn のサンプルでは製造元「Microsoft」となっていますが、実際には Intune で表示されている「Microsoft Corpration」で登録をしないと動作しませんでした・・・

登録する CSV のサンプル (以下公式 Learn での表記)

「Microsoft」になってますね。ですが、実際の Intune での製造元表記は「Microsoft Corpration」になっています。

私の環境では「Microsoft Corpration」にしたら動作しましたので、ご注意ください。
こちらは、フィードバックしておきます、、、

注意点 2 :「Entra 登録」での動作

「Entra 参加」では問題ないですが、「Entra 登録」を試したところ、ブロックは解除できるものの企業デバイスが「個人」で登録されてしまいます。(個人はブロックしてるのに・・)

また管理コンソール側でも「未アクセス」のままで、企業識別子が認識されていないようなおかしな動作となっています。

ステータス以外はきちんと動作しているように見受けられるんですが、、、こちらはフィードバックをしておきます。。。

以上になります！