Azure ADへのデバイス登録とMicrosoft Intuneへのデバイス登録

皆さんこんにちは。国井です。

ここ1~2週間ほど、ブログのPVが少なくなっていたのですが、
やはり夏休みを取っていた方が多かったようですね。

私の夏休みは当然なく、「山の日」なる祝日も、夕方ぐらいまで祝日だということに気が付かずに仕事していました。(気が付かずにメールを送ってしまった方々、すみません)

さて、今日のテーマはWindows 10からAzure ADへデバイス登録を行う話です。
Azure ADへのデバイス登録は色々なメリットをもたらしますが、
ここでは、Microsoft Intuneとの組み合わせで、Azure ADへのデバイス登録にフォーカスして、登録方法とデバイス登録の仕組みを確認してみたいと思います。
(Azure ADへのデバイス登録そのもののメリットについては別の機会に)

■ ■ ■

まず、Windws 10デバイスを登録する場合、次の3つのパターンがあります。

①Active Directory に参加して、デバイスを Active Directory に登録する
②Azure AD に参加して、デバイスを Azure AD に登録する
③Azure AD で使用するアカウントを登録して、デバイスを Azure AD に登録する

この3つの特徴について、詳しくはマイクロソフトのWebサイトで紹介しているので、
ご覧いただくとして、簡単に言えば、

①のパターンは、Active Directoryにデバイスを管理してもらう
②のパターンは、Azure ADにデバイスを管理してもらう
③のパターンは、Azure ADアカウントを使ったサインインを簡単にできるようにする

という目的でそれぞれ利用します。
それぞれの設定は以下の画面から行います。(Windows 10 バージョン1607の場合)

①の場合
コントロールパネルの[システム]から[設定の変更]でActive Directoryに参加を設定
image

②と③の場合
スタートメニューの[設定]から[アカウント]-[職場または学校にアクセスする]-[接続]

image

そして、[接続]を押すと出てくる画面がこちら。
そのままメールアドレスを入力すれば③の登録。
[このデバイスをAzure Active Directoryに参加させる]をクリックすれば②の登録になります。

image

■ ■ ■

一方、この3つのデバイス登録の方法のうち、
Azure ADにデバイス登録を行う②と③は
Azure ADからMicrosoft Intuneへのデバイス自動登録を設定しておけば、
②または③の設定がそのまま、Microsoft Intune へのデバイス登録にもなります。

mstepEMS-Security

ちなみに設定は、AzureクラシックポータルからAzure ADドメインの[アプリケーション]画面を開き、Microsoft Intuneの設定から[これらのユーザーのデバイスの管理]欄を[すべて]と設定することで、自動登録の設定が完了します。

image

■ ■ ■

Azure ADに登録されたデバイスの情報は同じくMicrosoft Azureクラシックポータルのユーザーのプロパティから参照できます。
②のAzure ADに参加するように設定した場合は
[信頼の種類]→AAD参加済み
[信頼レベル]→管理済み
と表示されます。

image

一方、
③のAzure ADで使用するアカウントを登録する設定を行った場合は
[信頼の種類]→社内参加済み
[信頼レベル]→適合
と表示されます。

image

■ ■ ■

最後に、Windows 10は2016年8月2日にリリースされたバージョン1607で
デバイス登録周りが少し変更しているので、その点を触れておきたいと思います。

今まで、Azure ADまたはMicrosoft Intuneにデバイス登録するときは次の3つのパターンで登録する方法が用意されていました。

■Windows 10 バージョン1511まで
・ Azure ADに参加することでAzure ADにデバイスを登録
・ [職場または学校アカウントを追加]を利用してAzure ADにデバイスを登録
・ デバイスを登録しないで、Microsoft Intuneにのみデバイスを登録

これが、バージョン1607では次のように変わっています。

■Windows 10 バージョン1607から
・ Azure ADに参加することでAzure ADにデバイスを登録
・ [職場または学校への接続]-[接続] を利用してAzure ADにデバイスを登録

以前のバージョンで用意されていた Microsoft Intune にだけデバイス登録する、という方法がなくなっています。
どうしてもMicrosoft Intuneにだけ登録したいという場合は、前述のAzure ADからMicrosoft Intuneへのデバイス自動登録機能を使わないように設定しておけばよいようです
(2016年9月5日追記)[設定]-[アカウント]-[職場または学校にアクセスする]から[デバイス管理にのみ登録する]をクリックすれば、Microsoft Intuneにだけ登録することが可能です。

だけど、Microsoft Intuneの「条件付きアクセス」機能を使う場合、Microsoft Intuneにだけデバイスが登録されていて、Azure ADにデバイスが登録されていないと、
条件付きアクセスの条件をクリアしないので、「Microsoft Intuneだけ登録」は行わないほうがよいでしょう。