💻

Device Enrollment Manager (DEM)を利用して、共有・ストックPC(Windows)運用を考えてみる

2023/02/19に公開

はじめに 〜DEMを使うまでの経緯〜

IntuneAzureADJoinを利用した、自動キッティングを始めて早1年。
1台、1台、手間暇込めて。
職人の如く手動キッティングしていた時代と比べ

  • キッティング時間の大幅短縮(手作業ポイントは極僅か)
  • 数台同時キッティング
  • 常に最新のアプリがインストール
  • 作業ミス、漏れがほぼ0に

・・・と諸々のクオリティがアップ。移行して本当に良かった。


手作業時間は1h程減った

隙間時間に別作業も出来るし、
スプレッドシートにポチポチ入力していた資産情報もAPIで自動更新されるし、これぞDX?

ヨシ!

・・・とはならなかった。

「来週5名パートナー入るから。PCある?」
「イベント用のPC、3台くらい用意して」

突発的なPC需要、これである。

キッティングをほぼ自動化しているといっても、諸々の制限があったりする。

  • AzureADJoinは、ライセンス付きAzureADアカウントが必須。つまり受注生産型。
  • WindowsUpdateも含めると1Hくらい掛かる。
  • 個人端末化するので、共有利用に向いていない。(ローカルIDは、Intuneの機能で作れるが・・・)
  • 端末流用の際はリストア必須。


速さが足りない

そして場所も問題。
弊社、基本リモートワークなので同時キッティングは3台が限界。
つまりキッティングのために出社必須

うーん、無理

人事と協力すれば、社員はある程度のコントロール出来るとして、問題はパートナー。

突発的なPC需要に対応出来て( ≒ ストックPCや共有端末的な扱い)、
かつ社員と同レベルのセキュリティを持つ端末を用意したい。
要件としてはこう。

  • AzureADJoin形式で自動キッティング(社員とPC環境を同じにする)
  • WindowsUpdate実施済み
  • 共有ローカルID+PWではなく、個人のAzureADアカウントでPCへサインイン出来る
  • 標準ユーザとしてのログイン(ローカルAdministrator権限は貸与しない)

色々調べた結果、DEMで実現可能という事が分かりました。
上記の要件に合致するストックPCを作りたいなら、是非使ってみてください。

Device Enrollment Manager (DEM)を利用したキッティング

DEMとは

ざっくり、共有端末を作成出来るアカウントです。

通常のAzureADアカウント(Microsoft 365 Business Premiumライセンス貸与)では、
Officeをインストール出来るのは5台まで、Intune登録出来る台数は15台まで、
といった制限があるのですが、DEMだと1000台までIntuneへ登録出来ます。

https://learn.microsoft.com/ja-jp/microsoft-365/commerce/licenses/subscriptions-and-licenses?view=o365-worldwide

一部抜粋
DEM アカウントにサインインしているユーザーは、最大 1,000 台のデバイスを登録および管理できますが、標準の非管理者アカウントは 15 台しか登録できません。

サポートされている登録方法Azure AD Join を介して DEM によって開始される

更に、AzureADJoin形式でIntune登録出来る、とありますので
自動キッティングが可能。
※当然ながら、DEMアカウントにも Microsoft 365 Business Premiumライセンス の付与必須。

DEMアカウントを作る

DEMアカウントは、ライセンス付きAzureADアカウントをIntuneの
デバイス登録マネージャー に追加するだけで作成出来ます。

  1. AzureADアカウントを作る & Microsoft 365 Business Premiumライセンスを貸与
  2. Microsoft エンドポイント マネージャー管理センター > デバイス > デバイスを登録
  3. デバイス登録マネージャーにて追加を選択
  4. 1で作成したアカウントを追加する

これだけです。

詳細情報は以下のドキュメントを確認ください。
https://learn.microsoft.com/ja-jp/mem/intune/enrollment/device-enrollment-manager-enroll

DEMキッティング(AzureADJoin)前の注意点

後は作成したDEMアカウントを使ってAzureADJoinを行うだけなのですが、記事が終わってしまうので構築する上で引っかかった部分を記載しておこうと思います。

デバイス最大数に制限が掛かっていないか、確認

DEMは1000台まで登録出来るものの、AzureAD内で制限を掛けている場合、
DEMアカウントも影響を受けてしまいます。
まずはこちらの最大数を”無制限”へ変更しておきましょう。


設定箇所:AzureAd管理センター>デバイス>すべてのデバイス>ユーザごとのデバイスの最大数

強制的に標準ユーザでのサインインとなる

AADJしたDEMアカウントでキッティングしたPCへのサインインは
デバイスのサインイン画面 > 左下の [他のユーザー] からサインイン
から行いますので、標準ユーザとなります。

標準ユーザについてのドキュメントはこちら
https://learn.microsoft.com/ja-jp/windows/security/identity-protection/user-account-control/how-user-account-control-works

ローカルAdministratorsグループ (管理権限)を利用する場合

Admin権限を使いたいシーンが発生した時はIntuneを利用して、管理者資格情報を付与する事が出来ます。
cloudnative様の記事が非常に良く纏まっていますので、こちらをご参考にどうぞ。
https://blog.cloudnative.co.jp/11940/

因みに弊社では、過去

  1. リモートワイプを実行したが、ワイプが動いていなかった
  2. 気づかずAzureADアカウントを削除してしまった & 30日経過
  3. ログイン出来ず。デバイス管理者ロールでも消せず

という事案が発生したため、一部端末(返却必須のレンタル、リースPC)については
ローカルID(Administratorグループ)を構成プロファイルから作っています。

◾ローカルAdminの作り方

  1. Microsoft エンドポイント マネージャー管理センター > デバイス > 構成プロファイル
  2. プラットフォーム:Windows10以降  プロファイルの種類:テンプレート、カスタム
  3. 構成設定画面にて、以下の2つを登録
    名前:任意
    OMA-URI:./Device/Vendor/MSFT/Accounts/Users/アカウントID/Password
    データ型:文字列
    値:任意のPWを入力
    ~
    名前:任意
    OMA-URI:./Device/Vendor/MSFT/Accounts/Users/アカウントID/LocalUserGroup
    データ型:数値
    値:2
  4. 割り当て、適用性ルールを設定。

PC貸与前の注意点

さてキッティングが終了したら、後は保管して貸与を待つのみです。
ただし、社員同様のセキュリティポリシーを担保する場合は、以下を確認しておいてください。

Intuneの「プライマリユーザ」属性値の変更が、必須であることを理解しておく

AzureADJoin型でキッティングした端末は、「プライマリー ユーザ」と「登録者」に
サインインしたAzureADアカウント情報が登録されます。登録者は変更不可ですが、
プライマリーユーザについては変更可能です。

プロパティから変更する
https://learn.microsoft.com/ja-jp/mem/intune/remote-actions/find-primary-user#change-a-devices-primary-user

そして、DEMには

という特徴があります。

よって、

プライマリユーザを利用者のAzureAD(Microsoft 365 Business Premiumライセンス付与)へ変更してから貸与しましょう。


対処しなかった場合の、DEM端末にて想定されるリスク

最後に、DEMアカウント運用で気をつけていること

共有アカウントである
DEMは性質上、社内の共有アカウントという立場になりがちです。
WindowsHelloが使えない事から、弊社は以下の運用でPW管理を行っています。

・パスワードは貸与しない、サインインには一時アクセスパスを使う

https://learn.microsoft.com/ja-jp/azure/active-directory/authentication/howto-authentication-temporary-access-pass

・チームでログインする時は、PW+MFA(SMS)にてログイン
ITチームで利用する時(キッティングなど)は、誰が使ったか分かる様にするため、
一時アクセスパスは発行せずPW+MFA(SMS) サインインをしています。
Authenticatorアプリは利用出来ないので、

  1. MFAにSMSを選択
  2. ITチーム専用のスマートデバイス(SIM付き)に認証コードを飛ばす
  3. アプリにてSlackチャンネルへ転送
  4. Slackチャンネルにて、ログインした人が絵文字を付与

という運用をしています。

以上、ご参考程度に。

それでは、また何処かで。

Discussion