会社支給端末のみを管理したいのベストプラクティス (2/2)

前回は会社支給端末のみを管理するための "概要" と "制御方法" について解説しました。

今回は実際に端末情報を登録する方法や登録されていない端末がブロックされる動作画面を紹介します。

事前準備

個人所有デバイスのブロック設定

まずは Intune 管理画面で個人所有のデバイスを登録できないように制限します。

Intune へのログイン方法は下記ブログで紹介していますので参照してください。

【Made in Home 365 #4】PC を Intune に自動登録 - JBS Tech Blog

では早速設定していきましょう。

[Intune] > [デバイス] > [デバイスの登録] > [登録デバイスのプラットフォームの制限] から「個人所有デバイス」をブロックに設定します。

※上記ポリシーは対象 OS ごとに作成してください。

端末情報の取得

今回は詳細な手順とキャプチャーは省略しますが、iOS と Windows で端末情報を取得しておいてください。

iOS はシリアル番号 or IMEI の情報が必要です。

Windows は下記 URL を参考に事前にハードウェアハッシュ情報の取得を行ってください。

デバイスを Windows Autopilot に手動で登録する | Microsoft Docs

以上で事前準備は完了です。

端末情報の登録

次に Intune に会社支給端末として端末の情報を登録します。

今回は iOS と Windows を登録します。

iOS

[Intune] > [デバイス] > [デバイスの登録] > [業務用デバイス ID] から [+追加] をクリックします。

IMEI or シリアル番号を入力して完了です。

Windows

[Intune] > [デバイス] > [デバイスの登録] > [Windows 登録] > [デバイス] から [インポート] をクリックします。

ファイルのインポート画面が出るので事前に取得したファイルをインポートします。

※Windows デバイス情報の登録は5~10分程度掛かります。

以上で端末情報の登録は完了です。

端末ブロックの動作画面

では端末を用意して、会社支給端末として登録しておいた端末は正常に Intune への登録が可能であり、事前に登録していない端末は Intune への登録がブロックされることを確認します。

Intune への登録方法は下記 URL を参考にしてください。

Windows デバイス向け Intune 登録メソッド - Microsoft Intune | Microsoft Docs
Microsoft Intune で Intune に iOS/iPadOS デバイスを登録する - Microsoft Intune | Microsoft Docs

iOS

事前に端末情報を登録済みの端末(=会社支給端末)の場合は問題なく Intune への登録が完了します。

事前に端末情報を登録していない端末(=私用端末など)の場合はエラーになります。

エラーメッセージは「プロファイルをインストールできませんでした。サーバーへの接続を確率できませんでした。」です。

Windows

[設定] > [アカウント] > [職場または学校にアクセスする] > [+接続] から登録します。

事前に端末情報を登録済みの端末(=会社支給端末)の場合は問題なく Intune への登録が完了します。

事前に端末情報を登録していない端末(=私用端末など)の場合はエラーになります。

エラーコードは「80180014」です。

備考:エラーメッセージは「問題が発生しました。」と少し分かりにくいメッセージになっています。今後のアップデートでエラーメッセージが「管理者にて許可されていない端末です。」など分かりやすく表示されれば良いですね。

以上で端末ブロックの動作画面は以上です。

まとめ

いかがでしたでしょうか。

端末登録は正直なところ情報を取得して登録するのは大変だと感じる人も多いかも知れません。しかしながら、会社支給端末とは「端末情報を企業が把握しており、日々アップデートできていること」が大前提であるからです。

古い端末がいつまでも登録できる状態や新規購入端末が管理できていない状態は望ましくありません。

Intune や Azure AD の設計をきちんと行うことも大事ですが、日常運用にて端末情報の最新化することが、会社支給端末のみを管理するという要望が実現するために最も大事だと思います。

最後に 2回に渡って紹介した本内容を分かりやすく画像かつ「ベストプラクティス」として紹介したいと思います。

以上、会社支給端末のみを管理したいのベストプラクティスでした。

最後まで本ブログを読んでいただきましてありがとうございました。

投稿者プロフィール
山口 翔平

山口 翔平

M365を中心としたゼロトラストやセキュリティ分野のシステムアーキテクトやプロジェクトマネジメントをしている。趣味はバイク、猫、お酒。

執筆記事一覧