【Q&Aコーナー】Intuneデバイス登録時の条件付きアクセス

皆さんこんにちは。国井です。

Microsoft IntuneでWindows 10デバイスを登録するとき「特定ユーザーだけしかIntuneにデバイス登録できないようにしたい」というニーズってあると思います。
オンプレミスActive Directoryのドメイン参加設定をしたことのある人の感覚で言えば「Adminユーザーでドメイン参加させたい」という感じでしょうか。

「特定ユーザーだけしかIntuneにデバイス登録できないようにしたい」
この設定を行うには2つやることがあります。

ひとつはデバイス登録マネージャーというIntuneの設定
もうひとつは条件付きアクセスでデバイス登録の制限の設定

です。

デバイス登録マネージャー

デバイス登録マネージャー(DEM)とはAdminユーザーで無制限(っぽく)デバイス登録する機能です。通常、Intuneのデバイス登録は1ユーザーで15デバイスがライセンス上の上限なのですが、DEMを利用すると1ユーザーで1000デバイスまで登録できるようになるので、Adminユーザーで皆のデバイスをまとめて登録したいときに便利な機能です。
(Microsoft Endpoint Manager画面のデバイス > デバイス登録 > デバイス登録マネージャーから設定します)

条件付きアクセスでデバイス登録を制限

もうひとつの条件付きアクセスはAdminユーザーでまとめて登録すると決めたら、その他のユーザーで登録できないようにしたいというときに使います。
条件付きアクセスはAzure AD 管理センターの セキュリティ > 条件付きアクセスから、次のような感じで設定します。

・ユーザーとグループ:管理者以外のすべてのユーザー
・クラウドアプリ:Microsoft Intune
・アクセス制御:ブロック

ところがこの設定にはちょっとした問題があります。
クラウドアプリを登録するときに、
Microsoft IntuneとMicrosoft Intune Enrollmentがあるけど、どちらを使うの?です。

2022/12/21追記
MS Learnサイトに説明が書いてありました!

  1. Microsoft Intune – このアプリケーションは、Microsoft Endpoint Manager 管理センターとデータ ソースへのアクセスを制御します。 Microsoft エンドポイント マネージャー管理センターとデータ ソースをターゲットにする場合は、このアプリケーションで許可/制御を構成します。
  2. Microsoft Intune Enrollment – このアプリケーションを使用すると、登録ワークフローを制御できます。 登録プロセスを対象にする場合は、このアプリケーションで許可または制御を構成します。

Microsoft Intune で条件付きアクセスを使用するためのシナリオ – Microsoft Intune | Microsoft Learn

image

ということで、条件付きアクセスでMicrosoft IntuneとMicrosoft Intune Enrollmentをそれぞれ個別に設定してみましたら、Microsoft Intune Enrollmentだけが条件付きアクセスで利用可能でした。なので、管理者だけがIntuneのデバイス登録できるように条件付きアクセスを設定したい!という時は次のように設定してください。

・ユーザーとグループ:管理者以外のすべてのユーザー
・クラウドアプリ:Microsoft Intune Enrollment
・アクセス制御:ブロック

そうすると、管理者以外のユーザーでデバイス登録を行おうとすると次のようにブロックされます。
image

image

image

image

参考までにデバイス登録に失敗した時のAzure ADのログはこんな感じ。
デバイス登録連携機能を使ってAzure ADとIntuneの登録を同時に行おうとすると、
Azure ADへのデバイス登録は成功するけど、

image

続くIntuneへのデバイス登録は失敗。

image

デバイス登録連携機能でAzure ADへのデバイス登録だけ成功して、Intuneへのデバイス登録に失敗した場合、Azure ADへのデバイス登録はキャンセルされて、どちらのデバイス登録も行われずに終了します。

■ ■ ■

話は少し外れますが、
Windows 10へのデバイス登録には、Azure ADへの登録とMicrosoft Intuneへのデバイス登録の2つが必要です。これが面倒なので、Azure ADにはAzure ADにデバイス登録すると自動的にIntuneにも登録するという連携機能があります。
連携機能の画面(Azure AD管理センター > モビリティ)を開くと、
ここにもMicrosoft IntuneとMicrosoft Intune Enrollmentの2つがあるのです。

image

実際、どちらの画面を開いても[MDMユーザースコープ]という連携のための設定が用意されていますし、どちらから設定しても同じ結果になるので、ますます、この2つの違いがわからない…

image

おまけ

最後にIntuneに登録されたデバイスの通信を条件付きアクセスでブロックしたいときは、
今度こそ条件付きアクセスで

・ユーザーとグループ:管理者以外のすべてのユーザー
・クラウドアプリ:Microsoft Intune
・アクセス制御:ブロック

って設定すればいいんじゃないの?と思いますが、これは失敗しました。
ですので、Intuneへのアクセスを社給デバイスだけにしたいなどの要望をいただくことがあるのですが、Intuneにデバイス登録されてからでは遅いので、登録するタイミングで不適切な登録プロセスがあれば、条件付きアクセスでブロックしてあげてください。
(推測ですけど、おそらくIntuneのチェックインプロセスには先進認証を使っていることが原因だと思います)

■参考情報 Intune へのデバイスの登録で多要素認証を要求する
https://docs.microsoft.com/ja-jp/mem/intune/enrollment/multi-factor-authentication