Intune で個人用端末の登録を制限するには？

クラウドサービスは、パソコンやスマートフォンがあればいつでもどこでも利用ができてとても便利ですよね。

無条件でクラウドサービスへアクセスができる状態のままでは会社データ流出などの危険性があるため、Azure AD 条件付きアクセスでアクセス元を制限したり、会社貸与デバイスでのみ利用を許可したり、という運用をされている企業様も多いかと思います。
ところが、管理者の知らないうちにユーザー個人の端末、特にスマホが Intune 登録され Microsoft 365 にアクセスしていた、というケースを時折聞くことがあります。

BYOD端末（個人用端末、個人の持ち込み端末）の業務利用を許可している場合は、MAM によるデータ保護が考慮されていることが多いと思いますが、会社貸与デバイスのみの利用を想定している場合には、特に MAM の設定をせず運用しているということもあるのではないでしょうか。そうすると 個人用端末に保存した会社データが流出してしまう可能性も充分考えられます。

今回は、ユーザー個人のスマホの Intune 登録を制限する方法についてご紹介します。

個人用スマホの登録を制限する方法

１．Microsoft Endpoint Manager admin center より、[デバイス] > [デバイスの登録] > [登録デバイスのプラットフォーム制限] を選択します。

２．以下のような画面が表示されますので、既定ポリシーの [すべてのユーザー] を選択します。

３．画面左の [プロパティ] を選択します。

４．[プラットフォームの設定] 横の [編集] を押します。

５．Android Enterprise (仕事用プロファイル) と iOS/iPadOS 項目の [個人所有] 項目を【ブロック】へ変更し保存します。

※ Android デバイス管理者は 2022 年 3 月に廃止予定です。

この設定により、すべてのユーザーに対し、iOS/Android 端末は事前にシリアル番号か IMEI が登録されていない限り、Intune への登録が出来なくなります。
ただ、業務の関係などにより一部ユーザーに対しては個人用スマホの登録を許可する場合、上述の手順と併せて個人用端末登録許可用の新たなポリシーを作成する必要があります。

新規ポリシーは、以下の手順にて作成可能です。

新規ポリシーを作成する方法

※ ポリシーの割り当てはグループでのみ可能ですので、あらかじめ個人用端末の登録を許可するユーザーをメンバーとするグループを作成してください。

１．[登録デバイスのプラットフォーム制限] 画面上部から、制限したいプラットフォームを選択後、[+ 制限を作成] をクリックします。

２．名前を入力後、以下のように設定し、次へをクリックします（画像は Android の制限）。

３．[割り当て] 画面にて、事前に作成したグループを選択します。

４．[確認および作成] 画面で設定内容を確認し、問題無ければ [作成] をクリックします。

注意点：ポリシーが重複している場合

重複してポリシーが割り当てられている場合、優先度の高いポリシーのみ適用されます。
優先度は作成したポリシーのみ変更可能で、既定のポリシーは常に最下位に設定され、変更することが出来ません。
優先度を変更したい場合、ポリシーを選択後、優先度の数字左側に表示される縦 3 つの点にカーソルを合わせてドラッグアンドドロップすることで変更が可能です。

【参考情報】
Microsoft Intune で登録制限を設定する | Microsoft Docs

Intune を始め、セキュリティ製品の運用管理にお困りの場合は、Livestyleのセキュリティデスクサービスがお勧めです。是非ご検討ください。
マネージドセキュリティデスクサービス – Livestyleクラウドサービス (live-style.jp)