■【1. 全体概要と結論】■
Microsoft Entra ID 参加および Intune によるデバイス管理について確認した。具体的には、共用端末の Entra ID 参加条件、条件付きアクセス設定の制約、Intune ライセンスの違い(デバイスライセンス vs ユーザーライセンス)による影響について確認をしている。Autopilot の自己展開モードによる自動参加や、条件付きアクセスの制約を回避するための適切なライセンス構成についてての調査結果。
関連サービス
- Microsoft Entra ID
- Microsoft Intune
- Windows Autopilot
- 条件付きアクセス
調査したこと
- 共用端末の Entra ID 参加条件と手順
- 条件付きアクセス設定における制約
- Intune デバイスライセンスとユーザーライセンスの違いによる影響
全体の回答結論
Autopilot の自己展開モードを使用することで、デバイスは自動的に Entra ID に参加可能。ただし、Intune デバイスライセンスではデバイスベースの条件付きアクセスがサポートされないため、この機能を利用するにはユーザーライセンスの付与が必要。Intune はマルチユーザーに対応しており、複数の Entra アカウントで利用するシナリオでもデバイス制御が可能。
■【2. 調査したこと】■
【2.1. 問題1:共用端末の Entra ID 参加条件】
調査したこと
共用端末に M365 アカウント(Entra アカウント)でログインした場合、端末は Entra ID に参加されるのか?
- 発生事象
- 共用端末において、Autopilot の自己展開モードを利用して PC キッティングを実施予定。デバイスが自動的に Entra ID に参加するかどうかが懸念されている。
- 関連環境
- Autopilot 自己展開モード
- M365 A3 ライセンス付与の Microsoft アカウント
調査結果
Autopilot の自己展開モードを使用することで、デバイスは自動的に Entra ID に参加する。
- 根本原因と技術解説
- Autopilot の自己展開モードは、デバイスを Microsoft Entra ID に参加させる機能を提供する。これにより、デバイスは初期設定(OOBE)時に自動的に Entra ID に参加し、M365 アカウントを利用した Windows ログオンが可能となる。
- 参考URL: Windows Autopilot 自己展開モード
- Autopilot の自己展開モードは、デバイスを Microsoft Entra ID に参加させる機能を提供する。これにより、デバイスは初期設定(OOBE)時に自動的に Entra ID に参加し、M365 アカウントを利用した Windows ログオンが可能となる。
- 対応策/手順
- Autopilot の自己展開モードを利用してデバイスをキッティングすることで、Entra ID 参加が自動的に実施される。
【2.2. 問題2:条件付きアクセス設定の制約】
調査したこと
Entra ID P1 の条件付きアクセス設定で「Entra 参加しているデバイス」を許可条件にした場合、アクセスが可能か?また、Intune による端末管理に制限がかかるか?
- 発生事象
- 条件付きアクセスの設定において、デバイスベースの条件付きアクセス(準拠しているデバイスを要求するなど)がサポートされるかどうかが懸念。
- 関連環境
- Entra ID P1 ライセンス
- Intune デバイスライセンス
- M365 A3 ライセンス
回答者からの回答
Intune デバイスライセンスを利用する場合、デバイスベースの条件付きアクセスはサポートされないため、ユーザーライセンスを付与する必要がある。
- 根本原因と技術解説Intune のデバイスライセンスでは、条件付きアクセス機能がサポートされていない。この制約を回避するには、Windows ログオンする Entra アカウントに Intune のユーザーライセンスを付与する必要がある。Intune はマルチユーザーに対応しており、複数の Entra アカウントでの利用シナリオでもデバイス制御が可能。
- 対応策/手順
- Intune ユーザーライセンスを付与することで、条件付きアクセスを利用可能。
■【3. 全ての参考URLリスト】■
- Windows Autopilot 自己展開モード
- Microsoft Entra へのデバイスの登録または参加の計画
- Microsoft Intune のライセンス
- デバイス ベースの条件付きアクセス
- デバイス専用ライセンスの制限事項
コメント