Microsoft Intune × Azure AD × ADFS でのデバイス認証

皆さん、こんにちは。国井です。

このブログでは、これまでにAzure ADのデバイス登録サービスとADFSのデバイス認証機能について紹介しましたが、Azure ADのデバイス登録サービスへのデバイス登録の方法は、これまでに紹介した方法以外にMicrosoft Intuneから登録する方法があります。

登録方法は簡単。
単純にiOSやAndroidなどのモバイルデバイスをMicrosoft Intuneに登録するだけです。
登録方法についてはMicrosoft Intune評価ガイドを見ていただくとして、
ここでは、登録結果を見てみたいと思います。

Microsoft Intuneからモバイルデバイスを登録したのち、
Azure管理ポータルサイトからAzure ADのユーザー画面にアクセスし、デバイスタブをクリックすると次のような画面が表示されます。

image

ユーザーが利用するデバイスが登録されていることが確認できますね。
ここまでの情報がAzure ADに登録されると、ディレクトリ同期によってActive Directoryに
デバイス情報が書きこまれます。

実際に書きこまれるデバイス オブジェクトの属性はご覧のように、
Active DirectoryユーザーとコンピューターのRegisteredDevicesコンテナーから確認できます。

image

Azure ADのデバイス登録機能で登録したデバイスと同じような情報が登録されることがわかります。

■ ■ ■

もう1回Azure管理ポータルの画面を見てみましょう。

image

これまでに紹介したデバイス登録と違うところは、属性として[信頼レベル]というのが追加されています(たしか、ADFS/Azure ADのデバイス登録ではなかったかと)。[信頼レベル]はMicrosoft Intuneのコンプライアンスポリシーに準拠しているかを表しているもので、たとえば、複雑なパスワードを設定しているか?など、コンプライアンスポリシーで設定した条件に合致している場合には[信頼レベル]が「適合」となります。
本当だったら、この属性がActive Directoryに同期され、この情報に基づいてADFSのデバイス認証を設定できれば、一番ありがたいのですが、私が確認した限りでは同期されないようです。このあたりは今後に期待ですね。