見出し画像
Photo by askad

IntuneにてBYODと社給端末で適用ルールを変えたいとき

Minami Hirosawa

公開日:2020/01/16
更新日:2023/08/23


【参考】

はじめに

同じユーザーが持つモバイル端末でも、社給端末とBYODで別の設定を配布したい。それって可能なのかしら?
Intune のデバイス カテゴリ機能 + Azure AD の動的グループ機能を組み合わせることで、端末に割り当てしたカテゴリによって適用する設定を変えることができます。
※ 機能名に「デバイス」が含まれており、可読性に影響するので、実端末のことは「デバイス」ではなく「端末」と記載します。
※ 画面キャプチャはあまり厳密にとっていないので、前の画面と後の画面で名前が違うなどの事態があります。。

2023/8/23 追記
この記事を書いた当時はデバイス フィルターがなかったので動的グループを利用していますが、動的グループの場合、設定適用までのタイムラグが発生します。デバイス フィルターを利用する方がタイムラグなく適用できます。
Intune ポリシーやアプリの割り当てとグループ種別|Minami Hirosawa (note.com)

手順概要

1)Intune にてデバイス カテゴリを作成
2)Azure AD にて、(1) で作成したデバイス カテゴリごとに端末をグルーピングする動的グループを作成
3)Intuneにて、デバイス構成プロファイルや配布アプリを (2) で作成したグループに割り当てする
4)端末へデバイス カテゴリを割り当てする
・管理者画面:登録済みデバイスのプロパティからセット
・端末:登録時に Intune ポータル サイト アプリにて、デバイスカテゴリを選ばせる画面が表示される

1)Intune にてデバイス カテゴリを作成

1-1)Microsoft Endpoint Manager admin center 画面へアクセス 
https://devicemanagement.microsoft.com/
1-2)[デバイス] - [その他] グループの [デバイスカテゴリ] - [デバイス カテゴリの作成] から作成

00_01_デバイスカテゴリ_m

名前と説明、スコープくらいで、特段、指定することはなし。

00_02_デバイスカテゴリ作成_m

できました。

00_06_デバイスカテゴリ_できた_m

2)Azure AD にて、(1) で作成したデバイス カテゴリごとに端末をグルーピングする動的グループを作成

2-1)同じMicrosoft Endpoint Manager admin center 画面で [グループ] - [新しいグループ] クリック
2-2)グループ作成画面にて適宜情報を入力
・[グループの種類] は「セキュリティ グループ」
・[メンバーシップの種類] は「動的デバイス」
・[動的 クエリの編集] をクリック

01_01_AAD_動的グループ_規則_m

2-3)[動的メンバーシップ ルール] 画面にてルールを記載します。
今回はデバイス カテゴリがズバリ「BYOD」のもの。
※ 特にデバイス カテゴリのメタ情報を指定しているわけではないので、「BYOD」デバイス カテゴリが「私物端末」などに変更されると、動的グループの方は連動して変更といったことはしてくれない感じがします。試してはないです。
ルールが書けたら保存して、グループを作成。

01_02_AAD_動的グループ_規則_m

3)Intuneにて、デバイス構成プロファイルや配布アプリを (2) で作成したグループに割り当てする

通常のセキュリティ グループと同様に割り当てできます。

04_01_Intune_アプリを配布_m

4)端末へデバイス カテゴリを割り当てする

・管理者画面:登録済みデバイスのプロパティからセット

02_02_Intune_デバイスカテゴリ_m

・端末:登録時に Intune ポータル サイト アプリにて、デバイスカテゴリを選ばせる画面が表示される

画像11
画像11

デバイス カテゴリを割り当てすると、先ほど割り当てした設定・アプリが配

布されます。

04_02_Intune_アプリを配布_m

VPP じゃないのでインストールが求められます。
※ 訂正。VPP だけど監視モードではないため、インストールが求められます。購入画面は出ません。
(noteって取り消し線みたいな書式つけることできないんだっけな…?)
(隙間からスラリンがのぞいている…)

画像12

SharePoint アプリがインストールされます。

画像13

メモ

・デバイス カテゴリを自動振り分けするような手順はあるかなぁ? パッと見なさそう。(2020/1/17)
デバイスカテゴリではなく[enrollmentProfileName] 属性を使えば、Intune 登録方法が違うものを自動弁別させることはできそう。

・デバイス カテゴリの割り当ては今のところ、以下の3つの手順でできそう。(2020/1/17)
①登録時にユーザーが手動でこっちだよって選ぶ
②登録後に管理画面でプロパティから設定する
③登録後にシリアル番号とかでデバイスカテゴリを設定する PowerShell 回す
ほかにもあるかな?

・コンプライアン スポリシーや MAM ポリシーは、ユーザーがメンバーのセキュリティ グループへの割り当てしかできないため、上記のデバイス カテゴリで適用するポリシーを分けることはできない。

・動的グループは Azure AD Premium 1 以上が必要そうに見えますが、参考URL内の注意点によると、動的デバイス グループのメンバーであるデバイスにはライセンスは必要ないようです。

動的グループのライセンス

…… Intune をやっていて Azure AD Premium を持っていない組織はあまりなさそうですが。

・デバイス カテゴリを削除すると、対象のカテゴリに割り当てされていた端末は [未割り当て] の状態に戻るようです。後でデバイス カテゴリの名前を変更した場合は、端末側に割り当てられているカテゴリ名に変更が反映されます。

・すでに登録済みのデバイスがある状態で、デバイス カテゴリを作成した際に、端末の Intune ポータル サイト アプリにて、デバイス カテゴリの選択画面が出た気もしますが、、再現しない… (´・ω・)

私のド嵌り記事があなたの役に立ったのならうれしいです。 ( * ´・ω・)