Azure AD Join & Intune 環境のキッティングとライセンスの考え方メモ

この記事は

• Azure AD Join & Intune な環境で Windows 10 をキッティングする時のセオリーとかライセンスの扱いが分からなくて調べたことのメモです
• そもそも Intune や Autopilot、Azure AD Join が何かについては割愛しています
• 間違っている部分などあればご指摘やコメントいただけると嬉しいです🙏

Azure AD Join デバイスは誰がどうキッティングする前提なのか

基本的にエンドユーザーがやる or Autopilot でやるものらしい

• Microsoft ウェビナー資料 Azure AD の新しいデバイス管理パターンを理解しよう より引用
  

• つまり IT 管理者がユーザーに代わって事前にサインインしてポチポチキッティングするものでは無いということ

• Microsoft 的には IT 管理者がキッティングするなら Autopilot (Intune) を使おうねという思想である

Intune のライセンスの考え方

Intune による管理を実行するためのコンソールである Microsoft Endpoint Manager 上のデバイスページには プライマリ ユーザー と 登録者 という属性値がある。Intune のライセンス管理を理解する上でまずこれが何なのかを調べる必要があった。

• プライマリ ユーザー とは

  • Microsoft Intune デバイスのプライマリ ユーザーを確認する。 | Microsoft Docs

    プライマリ ユーザーは、"ユーザーとデバイスのアフィニティ" とも呼ばれ、各 Intune デバイスのプロパティです。 Intune デバイスには、0 人または 1 人のプライマリ ユーザーを割り当てることができます。 プライマリ ユーザーが割り当てられていない場合、そのデバイスは "共有デバイス" と呼ばれます。

    プライマリ ユーザー プロパティは、ライセンスが付与された Intune ユーザーをデバイスにマップするために以下で使用されます。
    ポータル サイト アプリ
    エンドユーザー Web サイト
    Azure portal のトラブルシューティング ページなどの IT プロフェッショナルのエクスペリエンス。 これらのページでは、プライマリ ユーザーを使用してユーザー アカウントをデバイスにマップします。

  • つまりプライマリ ユーザーが割当てられてなければ

    • Intune のライセンスは適用されない（デバイスライセンスを持っていればそちらが適用されるし持って無ければたぶんライセンス違反になる）
    • 条件付きアクセスが使えなかったり、ユーザーベースのポリシーが当たらない

  • なおプライマリ ユーザーは後から変更できる
    

• 登録者 とは

  • Intune のライセンス上、デバイスの登録は最大でも 15 台までしかできないという制約があるが、それのカウントをするための存在っぽい（他で使われているような説明が見当たらない）
  • Microsoft Intune ライセンスを割り当てる | Microsoft Docs より引用

    ユーザー ソフトウェア ライセンスが割り当てられた各 ユーザー は、オンライン サービスと関連するソフトウェア (System Center ソフトウェアを含む) にアクセスしてそれらを使用し、複数のアプリケーションと最大 15 台の MDM デバイスを管理できます。

  • Microsoft Endpoint Manager の画面で デバイス -> 登録制限 -> ではデフォルト 5 台までとなっており、新たにポリシーを作ろうとしても 15 までしか選べない
  • ちなみに登録者はプライマリ ユーザーと違って後から変更できない

なので IT 管理者が自分のアカウントを使ってユーザーの代わりに Azure AD Join とかしてるとすぐに 15 台の制限にひっかかってしまう。

とすると、

大量の PC を事前キッティングしたい IT 管理者はどうするべきなのか？

• デバイス登録マネージャー (DEM) アカウントを使用するのが正しいっぽい
  • デバイス登録マネージャー アカウントを使用してデバイスを登録する - Microsoft Intune | Microsoft Docs

    デバイス登録マネージャー (DEM) アカウントを使用することで、1 つの Azure Active Directory アカウントで最大 1,000 台のモバイル デバイスを登録できます。 DEM は、Azure AD ユーザー アカウントに適用できる Intune アクセス許可で、ユーザーは最大 1,000 台のデバイスを登録できます。 DEM アカウントは、デバイスのユーザーに渡される前にデバイスの登録と準備を行うシナリオで役立ちます。 設計上、Microsoft Intune では、デバイス登録マネージャー (DEM) アカウントは 150 個までに制限されています。

• 既存ユーザー（IT管理者など）を DEM アカウントに設定することもできるけど退職時のことを考えると Intune のライセンスを一人ぶん消費してでも DEM 専用のアカウントを作成したほうが良いと思われる

Intune のデバイスライセンス

• 通常の Intune はユーザーライセンスだが、デバイスライセンスも存在する
• Microsoft 365 管理センターで普通に買える（220円/デバイス)
• デバイスライセンスを適用する場合はユーザーアフィニティがあってはいけないので、Autopilot の自己展開モードか DEM アカウントを利用する必要がある（プライマリユーザーが空白の状態が正しい）
  • このあたりに詳しく書いてある -> Microsoft Intune でデバイス ライセンスを購入する - Intune | Microsoft Docs
• 特にライセンスを割り当てるという行為がないので購入したライセンスの使用数も変わらないがそれで正しいらしい
  • ここは本当にそれで良いか不安だったのでサポートにも確認して裏をとった
• デバイスライセンスだと条件付きアクセスやユーザーベースのポリシーが利用できないので注意

何らかの事情で Autopilot を使えない組織はどうするべきか

• IT 管理者が事前にキッティングしたい場合の正攻法としてはデバイス登録マネージャー (DEM) アカウントを使ってサインイン・キッティングするやり方が正しい
  • その際、キッティング後に Intune 上でプライマリユーザーを実際の利用者に変更するのを忘れないように
  • 加えて利用者には初回サインイン画面で「他のユーザーでサインイン」を選択して自分の ID / パスワードを入力してもらうようアナウンスが必要
  • また Azure AD Join したユーザーしかローカル Administrators グループには追加されないので注意
    • 実際の利用者をローカル Administrators に追加したい場合はコマンドプロンプトか PowerShell で net localgroup administrators /add "AzureAD\hoge@yourdomain.example" を実行する
• 上記をやるのが面倒で「IT 管理者がユーザーに代わってサインインしてキッティングじゃだめなの？」という組織も多いと思う
  • その際、新規ユーザー（入社時）はそれでやるとしても既存ユーザー（PC 入替時）はどうするのか
  • 今なら一時アクセスパスで本人に代わってサインインするというのはできる（良いか悪いかは別として）