Zenn
💻

いつの間にかデバイスがAzureAD登録されちゃってた

2022/07/03に公開
Microsoft 365
Intune
Azure AD
tech

はじめに

Microsoft365を利用中の企業であるあるではないでしょうか?

今回はAzureAD登録状態のデバイスをIntune登録する際に、どんな影響があるのか検証しました。

そもそもなぜ登録されていた?

パターン1

Officeアプリ認証時、意図せず登録してしまった

WindowsでのOfficeアプリのアカウント認証時、次のような画面が出現します。
altテキスト

このときに選択した項目によって以下のような登録処理が発生します。

項目 処理
[組織がデバイスを管理できるようにする]にチェックをいれて[はい] AzureAD登録 + Intune登録
[組織がデバイスを管理できるようにする]のチェックを外し[はい] AzureAD登録のみ
[組織がデバイスを管理できるようにする]にチェックをいれて[いいえこのアプリのみにサインインします] 登録処理なし
[組織がデバイスを管理できるようにする]のチェックを外し[いいえこのアプリのみにサインインします] 登録処理なし

9割以上のデバイスがこのパターンで登録されてしまったのだと思います。

今回はこの項目の検証は行っていないので、詳細はJapan Azure Identity Support Blogをご覧ください。
https://jpazureid.github.io/blog/azure-active-directory/WorkPlaceJoin/

設定に関係しそうなAzureADでの設定項目を載せておきます。
altテキスト
※今回の検証ではAzureAD登録時にMFA要求をするように設定しています。
altテキスト

パターン2

Microsoft Authenticatorやmyaccount.microsoft.comで意図的にAzureAD登録を実施した。

この方法ではWindows以外のデバイスもAzureAD登録できます。
例えば、Android端末をAzureAD登録することでモバイルアプリにSSOできる仕組みを知っている人が意図的にやっていた、などが考えられます。
(そんな従業員がいればぜひ情シスにきてほしいですね)

AzureAD登録されたデバイスをAzureAD登録+Intune登録してみた

Windows11 Home、iPad、Androidで検証しました。
まずは各デバイスをAzureAD登録します。

altテキスト

それではプラットフォームごとに検証していきます。

Windows11

設定 > アカウント > 職場または学校にアクセスする でMicrosoftのアイコンがあることを確認します(AzureAD登録状態)
altテキスト
※[情報]という項目がないのでIntune登録されていないことも確認

それでは接続!と思ったらこんなエラーが
altテキスト
エラーの内容を調べてみると、Intuneに登録するにはデバイスのローカル管理者権限が必要みたいです。
https://docs.microsoft.com/ja-jp/troubleshoot/mem/intune/no-permission-to-enroll-windows-devices

気を取り直してローカル管理者権限のアカウントで実施します。

Intune登録できました。しかしアイコンが2個できちゃっています。
altテキスト

※AzureAD登録されていない状態でAzureAD登録+Intune登録をすると、下記キャプチャのようにアイコンは1つにまとめられます
altテキスト

しかし、今回のような状態で登録したデバイスでも、条件付きアクセスのデバイスフィルターでAzureAD登録済みのデバイス除外設定・Intune準拠条件など問題なく利用できました。

AzureAD登録の際にMFA要求設定をしていましたが、今回の登録ではMFA要求されませんでした。
AzureADのデバイス一覧を見てみると、同一端末としてIntuneにのみ登録されているのでAzureAD登録のプロセスが生じていないからですね。
altテキスト
このキャプチャだけでネタバレしてますね

ちなみにAzureAD登録はされているけどMDMは未準拠状態でIntune登録を実施すると、クライアントの状況でMFA要求される場合とされない場合がありました。

  • AzureAD登録のアイコンが表示されている
    ⇒MFA要求されない
  • AzureAD登録のアイコンが表示されていない
    ⇒MFA要求される

正直どうでもいいですが参考までに。。
めちゃくちゃ細かくフローを作成しないといけない場合のみ考慮してください。

iPad

事前にMicrosoft AuthenticatorでAzureAD登録を実施したiPadで、Intuneポータルサイトアプリを使用してIntune登録を実施しました。
altテキスト

Windows11と同じ結果でした。
MFAも要求されていません。

Android

事前にMicrosoft AuthenticatorでAzureAD登録を実施したAndroidで、Intuneポータルサイトアプリを使用してIntune登録を実施しました。
altテキスト

個人用プロファイルとは別に仕事用プロファイルが新規登録されています。

プロファイル OS MDM
個人用プロファイル Android なし
仕事用プロファイル AndroidForWork Microsoft Intune

なにも登録されていないデバイスでIntune登録をすると、仕事用プロファイルのみ登録されるのでこれは新たな発見でした。

条件付きアクセスのデバイスフィルターでAzureAD登録済みデバイスを除外することで、個人用プロファイルからでもMicrosoft365にアクセスできました。

また、今回の登録時にはMFA要求を実施されました。
新しく仕事用プロファイルをAzureAD登録しているからです。

AzureAD登録されたデバイスをAzureAD登録以外でデバイス参加させるとどうなる?

AzureAD登録されたWindows端末で、AzureAD参加とHybridAzureAD参加をやってみようというお話です。
結論から申し上げますと、検証できませんでした。。

今回使用しているWindows端末はHomeエディションなので、AzureAD参加とHybridAzureAD参加をそもそもできません。
(Homeはドメイン参加できません)

ただ、AzureAD参加とHybridAzureAD参加を構成する際は、クライアント側でAzureAD登録を切断をしておくことが推奨されています。
管理者側でデバイスを削除すると、トークン周りでエラーが発生することがあるようです。

詳細はMicrosoft Docsをご覧ください。
https://docs.microsoft.com/ja-jp/azure/active-directory/devices/faq

おわりに

AzureAD登録済みのデバイスをAzureAD登録+Intune登録する際、深刻なエラーは発生しないようです。
ただ、新環境構築時にAzureADにデバイスが存在しているのは気がかりなので、余裕があればクライアントPCでポチポチ切断するのが安全だと思われます。

Discussion