Microsoft Intuneのチェックイン時における挙動

1. 全体概要と結論

Microsoft Intuneのチェックイン時における技術的な挙動を調査。
特に、「端末のプライマリユーザーではないユーザーがログインした際、どのユーザーIDが送信されるのか」や「コンプライアンスポリシーの適用対象は誰になるのか」の確認を行った。

関連サービス

  • Microsoft Intune
  • Microsoft Entra ID (旧Azure AD)

調査したこと

  • Intuneチェックイン時に送信されるユーザーIDの決定ロジック
  • 異なるユーザーが端末にログインした際のコンプライアンスポリシー適用ルール

結論

Intuneのチェックインおよびポリシー評価は、 「現在ログインしているユーザーのトークン」 に基づいて行われる。そのため、端末の所有者(プライマリユーザー)に関わらず、チェックインを実行した瞬間にサインインしているユーザーのIDが送信され、そのユーザー向けのポリシーが適用される。

2. 調査結果

2.1.Intuneチェックイン時のユーザーIDの挙動

調査内容

Intuneチェックイン時、端末にログインしているユーザーがプライマリユーザーと異なる場合、送信されるユーザーIDはどうなるか。また、ローカルユーザーでログインしている場合の特殊な値について。

  • 発生事象: チェックイン時に送信されるIDの定義確認。
  • 関連環境: Windows端末(複数ユーザー利用環境)、Intune管理センター

調査結果

Intuneチェックイン時には、現在ログインしているユーザーの認証トークンが使用され、そのユーザーのIDが送信される。

  • 根本原因と技術解説:
    Intuneは、チェックインプロセスにおいてアクティブなユーザートークンを参照する。
  • ドメインユーザー等の場合: ログイン中のユーザーIDがそのまま送信される。
  • ローカルユーザーの場合: 有効な Entra ID トークンが存在しないため、“00000000-0000-0000-0000-000000000000” という特殊な値(オールゼロ)が送信される。これはIntuneがユーザー情報を特定できないことを示す。

2.2. コンプライアンスポリシーの適用挙動

調査内容

異なるユーザーが端末にログインしている場合、その端末に対してではなく「そのユーザー」に割り当てられたコンプライアンスポリシーが適用されるのか。

  • 発生事象: ユーザーBがログインしている際、ユーザーB向けのポリシーが評価されるかの確認。
  • 関連環境: Windows端末A、Intune管理センター

調査結果

Intuneチェックイン時には、現在ログインしているユーザーに割り当てられたコンプライアンスポリシーが評価される。

  • 根本原因と技術解説:
    Intuneのコンプライアンス評価ロジックは、チェックイン時に使用されたトークンの持ち主を「評価対象」として扱う。端末のプライマリユーザー設定よりも、「今誰が使っているか(誰のトークンで同期したか)」が優先される。これにより、共有端末のような環境でも、ログインユーザーごとのセキュリティ準拠を管理することが可能。

コメント

タイトルとURLをコピーしました