Intune (MDM) 初心者の嵌りポイント １．ユーザーアフィニティって、なに？

作成日：2019/9/24

はじめに

私が 初めて Microsoft Intune に触ったのは、もう1年前のことである。
それまで、Office 365 についてはある程度触ってきていたのですが、初めて触る MDM 界隈はわからないことだらけでいろいろな落とし穴？ 墓穴？ にはまっていました。

そんな私の備忘録。これからMDM始めるとか、Intune 案件初めてやる！という方に届くといいな。

嵌りポイント

１．ユーザーアフィニティって、なに？
　　→今回ココ！
２．Windows、Apple、Android って全然別物やし！ 端末種別増えるごとに大変さは一次関数的に増えていく！
３．Apple のDEP？ 監視モード？ DUNS Number？ 何ぞそれ？
４．Androidって、実質、Work Profile 一択じゃないですか…（※ちょうど昨日 (2019/9/23) Fully Managed Device が Preview ⇒ GA になったので、二択になりました！）
５．MDMって、複数製品重ね掛けできない！？ バックアップ復元……できない！？
６．Windows の MAM って、WIP のことだったんですね。

やはり、それぞれのOSの仕様に従うので、OSによってできることが異なりますし、いっぱい嵌るポイント出てくるです。
今日は「１．ユーザーアフィニティって、なに？」について

１．ユーザーアフィニティって、なに？

今もよくわかっていないですが (小声) SCCM の MDM やっていると理解がまた違ったのでしょう。
Intune をまず、やるぞ！ まずはデバイス登録だ！ となったときに、最初に見るであろうこのページでバーンと出てくるユーザーアフィニティ。

何者か？ ユーザーアフィニティのあり/無しで何が違うのか？ も分からないまま、いきなり出てきたユーザーアフィニティ。いきなり大きな壁にぶち当たったのでした。
おそらく Intune 始めた方はみんな、この概念は何ぞや？ と首をかしげたのではないのでしょうか。

ユーザーアフィニティとは何かというと、「このデバイスはこの人のだよ」という、デバイスとユーザーの紐づけのことを指します。

では、ユーザーアフィニティのあり/無しで何が違うのか。ズバリ言ってしまうと、90％くらいは、条件付きアクセスで、Intune デバイス準拠条件でのアクセス制御をするためにユーザーアフィニティが必要だと考えていれば差し支えないと私は認識しています。
ちなみに、条件付きアクセスの Intune デバイス準拠条件を使うと、Intune の準拠ポリシーがちゃんとあたっている、Intune 管理下のモバイルしか Office 365 接続させませんわよ！ ということができます。

残りの10％は、ユーザーに対して、Intune のポリシーをあてりアプリ配布した時に、その人の持っているデバイスすべてに配布されると良いよねとかという場合は、ユーザーアフィニティが必要です。
後は、Intune ポータルサイト アプリで、自分の端末を管理する等の機能を使うために必要など。
まぁ、Intune 入れるというのは、上述の条件付きアクセスでのデバイス条件によるアクセス制御目的が大きいので、業務でメール等を使う端末はユーザー アフィニティ必須だと考えておくと間違いないです。

個人が業務に使うわけではない端末、例えば、店舗のディスプレイや受付用、キオスク端末等は逆にユーザー アフィニティを必要としません。
このようなデバイスは、O365 のユーザーがだれなのかは、重要でないうえに、大量に同じような端末のキッティングが必要であるため、ユーザー認証をかませないで (≒ デバイスとユーザーの紐づけを行わないで) 手間を省いてIntune 登録し、紛失時には、リモートワイプだけできるようにしておけばよいというのが、ベスト プラクティスなのでしょうか (こっちバージョンは展開したことない並感) 。

まとめると、
・ユーザーアフィニティは、この端末は私の！ という紐づけのこと
・ユーザーアフィニティは条件付きアクセスの Intune デバイス準拠条件を利用するのに必須
・ユーザーの業務端末はユーザーアフィニティがオンになるデバイス登録方法を採用すべし
以上。