■【1. 全体概要と結論】■
BYOD(個人所有デバイス)をEntra IDに参加させずにIntuneで管理する場合の運用可能性について検討した。
具体的には、Windows OSやMac OSにおいて、MAM(モバイルアプリケーション管理)としてアプリケーションデータのみを削除する運用が可能かどうかが主要な課題。結論として、これらのプラットフォームでは「選択的ワイプ」がサポートされておらず、代替としてIntuneからの「リタイア」が推奨される。
関連サービス
- Microsoft Intune
- Microsoft Entra ID
- Windows OS / Mac OS
主要な課題
- BYODデバイスをEntra IDに参加させずにIntuneで管理する場合の運用可能性
- アプリケーションデータのみの削除(選択的ワイプ)の可否
- Entra IDに参加しない構成で利用できない機能の詳細
全体の回答結論
Windows OSおよびMac OSでは、選択的ワイプはサポートされていない。 代替として、Intuneからの「リタイア」を実施することで、デバイスから組織のデータや管理設定を削除する運用が推奨されり。また、Entra IDに参加しない構成では、条件付きアクセスや一部のポリシー機能が利用できないため、事前の仕様確認が重要。
■【2. 調査結果】■
【2.1. 問題1:BYODデバイスをEntra IDに参加させずにIntuneで管理する場合の運用可能性】
調査したこと
BYODデバイスをEntra IDに参加させずにIntuneに登録した場合、アプリケーションデータのみを削除する運用が可能か。また、ローカルアカウントや個人のMicrosoftアカウントでログインする構成において、利用できない機能の詳細を教えてほしい。
- 発生事象
- BYODデバイスにおいて、組織データのみを削除する運用(選択的ワイプ)が可能かどうかが不明。
- Entra ID未参加の構成による機能制限の確認が必要。
- 関連環境
- Windows OS / Mac OS
- Intune登録済みデバイス(Entra ID未参加)
調査結果
Windows OSやMac OSでは、選択的ワイプ(アプリケーションデータのみ削除)はサポートされていない。 代替案として「リタイア」機能を利用する。
- 根本原因と技術解説
- 選択的ワイプはAndroidやiOSでは利用可能だが、Windows/Macプラットフォーム側がこの機能を技術的にサポートしていない。また、Entra IDに参加しない構成(単なるMDM登録など)では、条件付きアクセスやWindows機能更新プログラムのポリシーなど、Entra ID参加を前提条件とする高度な管理機能が利用できない。
- 対応策/手順
- Intuneからの「リタイア」を実施: これにより、管理対象アプリのデータやプロファイルをデバイスから削除可能。事前検証: Entra ID未参加構成で利用予定の機能が動作するか、事前に評価環境で確認することが推奨される
■【3. 全ての参考URLリスト】■
- プラットフォーム別のアプリ管理機能
- Windows 10 以降の機能更新プログラム ポリシー (Intune)
- リタイアまたはワイプを使用したデバイスの削除 (Windows)
- リタイアまたはワイプを使用したデバイスの削除 (macOS)
- 個人用デバイスと組織所有デバイスの比較
- Windows デバイスの登録方法 (BYOD)
- macOS のソフトウェア更新プログラムの管理
- macOS デバイス制限の設定 (Intune)
コメント