この記事は更新から24ヶ月以上経過しているため、最新の情報を別途確認することを推奨いたします。

はじめに

リモートワークを含む働き方の多様化・促進に伴いMicrosoft 365に含まれるモバイルデバイス管理ソリューションであるIntuneを活用して
スマートフォンの管理を行い、企業所有のデバイスだけではなく個人所有デバイス（BYOD）を業務で使用する検討を行うお客様が増えています。

 

しかしながら、BYODはユーザー自身がアプリストアからIntuneポータルサイトアプリをインストールし必要な情報を入力することで
Intuneにデバイス登録が可能です。
（もちろん、Intuneでアクセスできる条件を指定し条件を満たしていないデバイスからのアクセスをブロックすることはできますが。）

 

そこで、今回は申請のあったデバイスのみIntuneに登録できるように制限する方法を紹介します。

 

前提条件

・Microsoft Endpoint Managerを利用できる以下ライセンスを所持していること（2021/4/30現在）
Microsoft 365 E5
Microsoft 365 E3
Enterprise Mobility + Security E5
Enterprise Mobility + Security E3
Microsoft 365 Business Premium
Microsoft 365 F1
Microsoft 365 F3

 

・デバイスがIntuneでサポートされていること
参考：Intuneでサポートされるオペレーティングシステム

 

・デバイス登録するための設定がされていること
-iOS
 参考：Apple MDM プッシュ証明書を取得する
-Android
 参考：Android Enterprise の個人所有の仕事用プロファイル デバイスの登録を設定する

 

設定方法

Microsoft Endpoint Manager管理センターにて下記2つの設定を行います。
1．デバイス登録制限
2．Intuneへの登録を許可するデバイスの登録

 

1．デバイス登録制限

Intuneの「登録制限」機能を使用してBYODの登録をブロックします。

メニューより[デバイス]＞[デバイスの登録]＞[登録制限]をクリックします。
画面上部の[+作成の制限]/[デバイスの種類の制限]を選択し、登録できるデバイスの種類を制限する設定を行います。

 

名前を入力後、[プラットフォームの設定]において各プラットフォームごとに、BYODの登録をブロックします。
※今回はAndroid Enterprise、iOS/iPadOSのBYODの登録をブロックします。

ユーザーに割り当てを行い、[確認および作成]にて、内容を確認し作成します。

 

 

2．Intuneへの登録を許可するデバイスの登録

ユーザーがデバイス登録を行う前に、IntuneにIMEI/シリアル番号を登録します。

事前にIMEI/シリアル番号を登録することにより、企業のデバイスとみなされるため①で作成した登録制限にブロックされず、Inutne登録が可能です。
しかし、ここで注意して頂きたい点は企業のデバイスとしてみなされる、つまり、デバイスの所有権は「企業」として登録されるということです。
デバイスの所有権が「企業」の場合と「個人」の場合の差は、管理者が閲覧できるデバイスやアプリの情報です。
尚、デバイスの所有権はIntuneにデバイス登録後、管理者が手動で変更可能です。

 

メニューより[デバイス]＞[デバイスの登録]＞[企業用のデバイスID]をクリックします。
画面上部の[+追加]をクリックし、登録を許可するデバイスのIMEIもしくはシリアル番号を登録します。
登録は手動で入力するか、CSVファイルをアップロードする方法があります。

 

登録が完了すると、リストに表示されます。

 

動作

では、実際にIMEIもしくはシリアル番号を登録していないデバイスをIntuneに登録しようとするとどのような動作になるのか確認してみます。

※イメージはiPhoneです。

このように、Intuneに登録しようとするとエラーで弾かれる動作となります。

 

まとめ

今回はIntuneに登録できるデバイスを制限する方法について紹介しました。
Intuneへのデバイス登録方法は複数ございますので、運用を考慮しご検討頂きたく思います。