📵

Microsoft 365 - デバイスの登録制限 - 基本編 -

タクヤオータ

2024/07/11に公開

本記事の 3 行まとめ

長いので簡単に😅

Microsoft 365 へのデバイス登録先としては、Microsoft Entra と Microsoft Intune がある
Entra と Intune それぞれでデバイスの登録制限がかけられる。ただしザックリ。
詳細な制御、例えば「企業デバイスのみに登録を制限したい」のような場合は Intune による制御が必要 ⇒ 別記事でとあるパターンを紹介

あらすじ

Microsoft 365 を使用すると Microsoft Entra や Microsoft Intune でデバイスを管理するという選択肢が出てきます。デバイスを登録する (システムからデバイス ID を割り当てる) ことにより、そのデバイスに関連するイベント情報を監視したり、さらに Microsoft Intune を使うことで、デバイスの状態によるアクセス制御などができます。

既定ではすべてのユーザーがどのデバイスでも登録できるようになっています。
しかしながら企業では「私物のデバイスなどを使わせたくない」など、特定のデバイス・条件下においては登録をブロックしたいというケースが出てくるシーンもあるかと思います。

ここでは Microsoft Entra や Microsoft Intune のデバイス登録制限の 「基本編」 ということで、登録の制限を行う基本的な方法について整理します。

Microsoft 365 におけるデバイスの登録

まず「デバイスの登録」というと Microsoft 365 の世界では 2 つあります。

1. Microsoft Entra へのデバイス登録
2. Microsoft Intune へのデバイス登録

デバイスを登録することにより、システム的にはそのデバイスの「デバイス ID」を生成し管理することが可能になります。

実際の Microsoft Entra のデバイス管理管理画面はこちら。

Microsoft Entra での登録デバイス一覧 (https://entra.microsoft.com/)

Microsoft Entra でのデバイス ID (https://entra.microsoft.com/)

実際の Microsoft Intune のデバイス管理画面はこちら。

Microsoft Intune での登録デバイス一覧 (https://intune.microsoft.com/)

Microsoft Intune でのデバイス ID (https://intune.microsoft.com/)

Microsoft Entra のみ使っている場合には、Microsoft Entra のみ気にすれば良いですが、Microsoft Intune を使用している場合には、Intune への登録もしなければなりません。
しかしながら Micorosoft Intune を使ってる環境の場合は「自動登録」という機能を使用して、Entra と Intune に同時登録をするのが一般的となりますので、一度設定すれば両方に自動登録されることになります。

また、Microsoft Intune に登録することで、Microsoft Entra のみの場合にくらべてさらに細かい制御ができますので、デバイス登録を詳細に制御したい場合には Microsoft Intune が必要ととなります。

Microsoft Entra へのデバイス登録の種類

Microsoft Entra にデバイスを登録し ID を取得する方法は 3 種類あります

Microsoft Entra 登録 (Microsoft Entra registerd)
Microsoft Entra 参加 (Microsoft Entra joined)
Microsoft Entra ハイブリッド参加 (Microsoft Entra Hybrid joined)

「1. Microsoft Entra 登録」は Windows 10/11 の他、iOS, Android, macOS, Ubuntu が対応、「2. Microsoft Entra 参加」や「3. Microsoft Entra ハイブリッド参加」は Windows 10/11 のみの機能となります。
詳細が必要な場合は公式ドキュメントも参考にしてください。

これから説明していく機能は、これらの登録や参加を制限する方法になります。

Microsoft Entra への登録制限

Microsoft Entra 自体への登録を制限するには以下の 4 パターンの設定があります。

1. ユーザーごとの Entra 登録および Entra 参加の台数を制限
2. すべてもしくは特定のユーザーに Entra 参加を制限する
3. Entra 登録または Entra 参加には多要素認証が必要
4. すべてのユーザーに Entra 登録を制限する

これらは Microsoft Entra の管理コンソールの以下より設定が可能です。
Microsoft Entra 管理センター (https://entra.microsoft.com/) にアクセスし、[すべてのデバイス] - [デバイスの設定] 配下に設定項目があります。

Microsoft Entra 管理センター (https://entra.microsoft.com/)

公式ドキュメントにも詳細が記載されてますので参考にしてください

また、1.の台数を制限するパターンなどは、場合によっては一部制限にならないパターンも存在しますが、基本的には大雑把な制御になってしまいます。
特定のパターンやデバイスなど細かい制御等が必要な場合には Intune も使う必要があります。

Microsoft Intune を使用した登録制限

Microsoft Intune を利用すると、上記に加え以下のパターンで制限が可能です。

1. デバイス制限 (台数)
2. デバイスのプラットフォーム
3. OS のバージョン
4. デバイスの製造元
5. デバイスの所有権 (個人 or 企業)

これらは設定行うことが可能です。

Microsoft Intune 管理センター(https://intune.microsoft.com/)

デバイスの制限 (台数)

バージョンや所有権による制限

制限の項目の詳細については公式ドキュメントを参考にしてください。

ここで「所有権による制限」は Intune が識別する「企業所有」か「個人所有」かで登録の制限がかけられます。ザックリ説明してしまうと以下。

「企業所有」 - Windows Autopilot や「デバイス登録マネージャー」というか管理アカウントで登録、グループポリシーなどで自動登録した場合など
「個人所有」 はユーザーが [設定] や Intune のアプリを通じて「手動」で登録した場合など

結局、ユーザーが自分で登録したものは会社支給のデバイスだろうが、私物のデバイスだろうが「個人所有」と認識されてしまうので制限が難しいのですが、これを突破する方法こちらの記事で記載しますので、本記事はここまでで。

実際のデバイス登録制限の設定

ここでは登録制限のパターンのうちの以下のパターンを試します

- 「個人所有」の Windows デバイスをブロック (つまり手動での登録をブロック)

つまり、Microsoft Intune で制限を行うパターンとなります。

Microsoft Intune 管理センター(https://intune.microsoft.com/) にアクセスし [デバイス] - [登録] - [デバイスプラットフォームの制限] の順にクリックします
Windows の制限のまま [制限を作成] をクリックします
「基本」の項目より任意の名前を付けて [次へ] をクリック
「個人所有のデバイス」を [ブロック] に変更して [次へ] をクリック
「スコープタグ」ではそのまま [次へ] をクリック
「割り当て」にて制限をかけたいユーザーが含まれるグループを選択し [次へ] をクリック
「確認及び作成」で内容を確認し [作成] をクリック

設定は以上です。

デバイスでの動作確認

それではデバイスの方で動作を見てみましょう

Windows の [設定] を開きます
[アカウント] - [職場または学校にアクセスする] をクリックします
[接続] をクリックし、登録するユーザーのアカウントを入力します。
「Entra 登録」の場合は「電子メールアドレス」の欄に入力
「Entra 参加」の場合は「このデバイスを Microsoft Entra ID に参加させる」をクリックして入力します。
その後 [次へ] をクリックします