Intune に登録できるデバイスの種類を制限する

Intune を展開するにあたり初期状態では Windows 10 デバイスに限らず、MacOS 、iOS 、Android など様々なデバイスが登録が行えます。会社の都合でBYODの利用を認められない管理者の立場からすると、非常に困ったことが起こる可能性があります。Intune では ユーザーのMDMデバイスとして指定した種類しか許可しないということが可能です。  1. Microsoft Endpoint Manager admin center を開き、「デバイス」を確認します。 2. 「デバイスの登録」カテゴリから、「デバイスの登録」 を選択します。 3. 「デバイスの登録」画面から、「登録制限」 を選択します。 4. 「登録制限」画面から、「作成の制限」 を選択します。 5. 「作成の制限」ウィザードの、「基本」タブ の「名前」と「説明」を入力します。 6. 入力後、「基本」タブ の「次へ」を選択します。 7. 「作成の制限」ウィザードの、「プラットフォームの設定」タブ から制限する条件を選択します。 8. 「プラットフォームの設定」を選択後、「次へ」を選択します。 9. 「作成の制限」ウィザードの、「割り当て」タブ にて、対象とする「グループ」を選択します。 10. 「作成の制限」ウィザードの、「確認および作成」タブ にて、「作成」を選択します。 11. 「デバイスの種類の資源」に規定よりも優先されるデバイスの種類の制限ルールが作成されたことを確認します。 以上が、デバイスの種類の制限の設定手順になります。

Intune に登録できるデバイス数の上限を限定する

Intune は ユーザーライセンスのため、一人のユーザーに対し複数のデバイスを登録することができます。デフォルトでは、1アカウントあたりのMDMデバイス登録数の上限は15デバイス(最大値)となっています。1名1台であれば、必要な時以外は制限してしまうことで余計な登録を防ぐことができるかもしれません。 1. Microsoft Endpoint Manager admin center を開き、「デバイス」を確認します。 2. 「デバイスの登録」カテゴリから、「デバイスの登録」 を選択します。 3. 「デバイスの登録」画面から、「登録制限」 を選択します。 4. 「登録制限」画面から、「作成の制限」 を選択します。 5. 「作成の制限」ウィザードの、「基本」タブ の「名前」と「説明」を入力します。 6. 入力後、「基本」タブ の「次へ」を選択します。 7. 「作成の制限」ウィザードの、「デバイスの制限」タブ から「デバイスの制限」に上限とするデバイス数を選択します。 8. 「デバイスの制限」を選択後、「次へ」を選択します。 9. 「作成の制限」ウィザードの、「割り当て」タブ にえ、対象とする「グループ」を選択します。 10. 「作成の制限」ウィザードの、「確認および作成」タブ にて、「作成」を選択します。 11. 「登録制限」に規定よりも優先されるデバイスの上限数の制限ルールが作成されたことを確認します。 以上が、デバイスの登録上限の設定手順になります。

Intune 登録 デバイスのクリーンアップ ルール

デバイスを管理していく上で、PCの故障や買い替えなどで廃棄を行っていくシーンは必ずあります。Intune に デバイス登録されたままデバイスオブジェクトが残存してしまうケースが発生してしまいます。Intune には、 非アクティブ、古い、無応答のいずれかと思われる Intune MDM 登録デバイスを削除するルールが用意されています。ルールを有効にすると、Intune は数時間ごとにバックグラウンドで、該当するすべてのデバイスを Intune ポータルから削除し、デバイスリストに表示されなくなります。このデバイスの削除は Intune ポータルにのみ適用され、Azure AD の登録 からは削除されません。そのため、Azure AD テナント管理者は、Azure AD ポータルでデバイス クリーンアップ タスクを実行して、古いレコードを完全に削除する必要がある点に注意してください。 1. Microsoft Endpoint Manager admin center を開き、「デバイス」を確認します。 2. 「その他」カテゴリから、「デバイスのクリーンアップ ルール」 を選択します。 3.「最終チェックイン日付に基づいてデバイスを削除する」を 「はい」に変更します。 4. 「次の多くの日数にわたってチェックインしていないデバイスを削除する 」 に非アクセスとなる想定の日数を入力します。 4. 「デバイスのクリーンアップ ルール」の「保存」を選択し、確認メッセージの「はい」を選択します。 「問題のデバイスを表示します」を選択することで影響を受けるデバイスリストが確認できます。 以上で、非アクティブなIntune登録デバイスを削除の自動化手順となります。

Intune の 構成プロファイルのヘルプの記載について

Windows 暗号化 の 構成プロファイルを展開する際、各設定項目のヘルプを見ながら設定を行うと勘違いしてしまう箇所があります。それは、BitLocker OSドライブの設定 の ヘルプの文章です。以下のように書かれています。 「これらの設定は、オペレーティング システム データ ドライブにのみ当てはまります。これらの設定が適用されるのは、Windows 10 の Enterprise、Education、Mobile の各バージョンのみです。」 ヘルプに書かれている通りに解釈をすると、Windows 10 Pro が含まれていないのです。しかし、Windows 10 Pro でも該当の設定は動作します。おそらく、BitLocker が かつて、Enterprise や Education でのみ利用できたから? と考えましたが、答えも Docs にありそうです。 BitLocker 構成サービスプロバイダー (CSP) は、Pc とデバイスの暗号化を管理するために、企業によって使用されます。 この CSP は、Windows 10 バージョン1703で追加されました。 Windows 10 バージョン1809以降では、Windows 10 Pro でもサポートされています。 https://docs.microsoft.com/ja-jp/windows/client-management/mdm/enterpriseappvmanagement-csp Windows 10 1803 までは、CSPによる BitLocker制御は、Windows 10 Pro がサポートされていなかったようです。 […]

Intune の 構成プロファイル による Windows 暗号化 の展開 -BitLocker自動化編-

Intune を利用することで、Windows 10デバイスに対し、BitLockerを強制的に有効化することができます。これは多くのシステム管理者にとって非常に魅力のある機能です。ユーザーが自発的に暗号化するのではなく、管理者の意図した形で暗号化をするための設定を紹介します。なお、今回は、Azure AD Join における設定となる点に注意ください。 前提条件・セキュアブートが有効となっていること・TPM が 搭載されており、利用可能であること 1. Microsoft Endpoint Manager admin center を開き、「デバイス」を確認します。 2. 「ポリシー」カテゴリから、「構成プロファイル」 を選択します。 3. 「構成プロファイル」画面から、「プロファイルの追加」 を選択します。 4. 「プロファイルの作成」ブレードの、「名前」を入力します。 5. 「プロファイルの作成」ブレードの、「プラットフォーム」 から「Windows 10 以降」を選択します。 6.「プロファイルの種類」から「Endpoint Protection」を選択します。 7. 「Endpoint Protection」ブレードの、「Windows 暗号化」を選択します。 8.「Windows 暗号化」ブレードの「Windows の設定」カテゴリを設定します。 デバイスの暗号化 を 「必要」に変更します。 9.「Windows 暗号化」ブレードの「BitLocker の基本設定」カテゴリを設定します。 「他のディスクの暗号化に対する警告」を 「ブロック」に変更します。 「Azure AD 参加中の暗号化の有効化を標準ユーザーに許可する」を「許可」に変更します。 この設定は、管理者権限を持たないユーザー権限(Azure AD Join)であってもBitLockerを有効化を行うために必要です。 10.「Windows 暗号化」ブレードの「BitLocker OS ドライブの設定」カテゴリを設定します。 […]

Intune による 改ざん防止機能の有効化

Windows 10 1903 において、 改ざん防止機能(Tamper Protection)というセキュリティ機能が搭載されました。 改ざん防止機能は、悪意のあるプログラムがレジストリを操作することで Windows Defender ウイルス対策の設定を変更しようとする動作をブロックするという機能であり、システムファイルの改ざん検知ではない点に注意してください。また、改ざん防止機能は GPO や MECM などからは設定を展開できず、Intune でのみ展開をサポートされています。 1. Microsoft Endpoint Manager admin center を開き、「デバイス」を確認します。 2. 「ポリシー」カテゴリから、「構成プロファイル」 を選択します。 3. 「構成プロファイル」画面から、「プロファイルの追加」 を選択します。 4. 「プロファイルの作成」ブレードの、「名前」を入力します。 5. 「プロファイルの作成」ブレードの、「プラットフォーム」 から「Windows 10 以降」を選択し、「プロファイルの種類」から「EndPoint Protection」を選択します。 6. 「構成」を選択し、「Endpoint Protection」ブレードの、「Microsoft Defender セキュリティ センター」を選択します。 7. 「Microsoft Defender セキュリティ センター」ブレードの、「改ざん保護」を選択します。 8. 「改ざん保護」の設定を「有効」に設定し、「OK」を選択します。 9. 「EndPoint Protection」ブレードの「OK」を選択します。 10. 「プロファイルの作成」ブレードの「作成」を選択します。 11. […]

Intune の 上位ユーザーボイス (2020年02月)を紹介

Microsoft 社は様々なユーザーからの機能改修や機能追加に関するアンケートを公開しています。Intune においても同様で、ユーザーは改善してほしい機能や、追加してほしい機能に投票することができます。1メールアドレスで投票できる上限のチケットが決まっており、1つの機能につき最大3票登録することができます。機能の組み込みが受け入れられると、投票していた投票権は帰ってくる仕組みとなっています。 1位 企業所有デバイスの登録所有者を変更する (実装予定) デバイスをリセットすることなく所有者の変更に追従してほしいという機能要求です。現在、Intune でサポートするための開発に取り組んでいるようです。2020年中にはリリースされるようです。 外部URL: https://microsoftintune.uservoice.com/forums/291681-ideas/suggestions/31356574-change-registereed-owner-for-corporate-owned-devic 2位 特定のデバイスに対して同じ会社の複数のアカウントをサポートしてほしい 一つのデバイスにつき1つのアカウントという制限を解除できないかという機能要求です。モバイルデバイスをシェアするような使い方をする場合に欲しくなる機能です。条件付きアクセスとの連携もあるため、現在、調査中というステータスです。 外部URL: https://microsoftintune.uservoice.com/forums/291681-ideas/suggestions/12515529-application-policies-should-support-multiple-ident 3位 紛失した Android デバイスを見つける iOS/iPadOS ではサポートされている デバイスの検索機能をAndroid でもサポートしてほしいという要求です。Android だけでなく、Windows や Mac デバイスでもサポートしてほしい機能です。 必要な方はぜひ投票をしていただければ良いと思います。 外部URL: https://microsoftintune.uservoice.com/forums/291681-ideas/suggestions/31982647-locate-or-find-a-lost-android-device 参考:iOS/iPadOS デバイスを Intune で検索する 外部URL:https://docs.microsoft.com/ja-jp/intune/remote-actions/device-locate 4位 2つの異なる組織にMDMデバイスとしての登録をサポートしてほしい Apple DEP や Android Enterprise では、1つのMDMでしか管理できない仕様ですので、非常に難しい要求です。なお、Windows も Hybrid Azure AD Join と Azure AD Join で2つのテナントに登録するなどはできません。そのため、ゲスト招待されたテナントではデバイス登録されていないため、条件付きアクセスなどはデバイスベースの制御ができない点に注意が必要です。必要な方はぜひ投票をしていただければ良いと思います。 外部URL: https://microsoftintune.uservoice.com/forums/291681-ideas/suggestions/31313071-support-enrolling-a-device-under-mdm-for-two-diffe […]

Intune による リモート PowerShell スクリプトの実行

Microsoft Endpoint Configuration Manager(かつてのSCCM) の 1802 で利用できるようになった PowerShell スクリプトの実行機能は、Intune にも搭載されています。Intuneにおいて、割り当て時の初回1回、またはスクリプトの変更があった場合のみの実行のため、複数回実行やスケジュール実行機能はない点に注意ください。また、現時点(2020/02/27)における本機能は、Windows 10 デバイスでのみ利用できます。 Azure AD Register の場合は動作しません。Azure AD Joinである必要があります。 1. Microsoft Endpoint Manager admin center を開き、「デバイス」を確認します。 2. 「ポリシー」カテゴリから、「PowerShell スクリプト」 を選択します。 3. 「PowerShell スクリプト」画面から、「追加」 を選択します。 4. 「PowerShell スクリプトの追加」ウィザードの「基本」タブの「名前」と「説明」 を入力し、「次へ」を選択します。 5. 「スクリプト設定」タブの「スクリプトの場所」のフォルダアイコンを選択し、「PowereShellスクリプト」を登録します。 6. 「スクリプト設定」タブのその他のオプションを選択します。 7. 「スクリプト設定」タブの「次へ」を選択します。 8. 「PowerShell スクリプトの追加」ウィザードの「割り当て」が必要な場合、指定します。 9. 「PowerShell スクリプトの追加」ウィザードの「確認および作成」を確認し、作成を行います。 10. 展開した PowerShell スクリプト の 情報を確認し、展開ステータスを確認します。 […]