1. 全体概要と結論

Microsoft Intuneのチェックイン時における技術的な挙動を調査。
特に、「端末のプライマリユーザーではないユーザーがログインした際、どのユーザーIDが送信されるのか」や「コンプライアンスポリシーの適用対象は誰になるのか」の確認を行った。

関連サービス

• Microsoft Intune
• Microsoft Entra ID (旧Azure AD)

調査したこと

• Intuneチェックイン時に送信されるユーザーIDの決定ロジック
• 異なるユーザーが端末にログインした際のコンプライアンスポリシー適用ルール

結論

Intuneのチェックインおよびポリシー評価は、 「現在ログインしているユーザーのトークン」 に基づいて行われる。そのため、端末の所有者（プライマリユーザー）に関わらず、チェックインを実行した瞬間にサインインしているユーザーのIDが送信され、そのユーザー向けのポリシーが適用される。

2. 調査結果

2.1.Intuneチェックイン時のユーザーIDの挙動

調査内容

Intuneチェックイン時、端末にログインしているユーザーがプライマリユーザーと異なる場合、送信されるユーザーIDはどうなるか。また、ローカルユーザーでログインしている場合の特殊な値について。

• 発生事象: チェックイン時に送信されるIDの定義確認。
• 関連環境: Windows端末（複数ユーザー利用環境）、Intune管理センター

調査結果

Intuneチェックイン時には、現在ログインしているユーザーの認証トークンが使用され、そのユーザーのIDが送信される。

• 根本原因と技術解説:
  Intuneは、チェックインプロセスにおいてアクティブなユーザートークンを参照する。
• ドメインユーザー等の場合: ログイン中のユーザーIDがそのまま送信される。
• ローカルユーザーの場合: 有効な Entra ID トークンが存在しないため、“00000000-0000-0000-0000-000000000000” という特殊な値（オールゼロ）が送信される。これはIntuneがユーザー情報を特定できないことを示す。

2.2. コンプライアンスポリシーの適用挙動

調査内容

異なるユーザーが端末にログインしている場合、その端末に対してではなく「そのユーザー」に割り当てられたコンプライアンスポリシーが適用されるのか。

• 発生事象: ユーザーBがログインしている際、ユーザーB向けのポリシーが評価されるかの確認。
• 関連環境: Windows端末A、Intune管理センター

調査結果

Intuneチェックイン時には、現在ログインしているユーザーに割り当てられたコンプライアンスポリシーが評価される。

• 根本原因と技術解説:
  Intuneのコンプライアンス評価ロジックは、チェックイン時に使用されたトークンの持ち主を「評価対象」として扱う。端末のプライマリユーザー設定よりも、「今誰が使っているか（誰のトークンで同期したか）」が優先される。これにより、共有端末のような環境でも、ログインユーザーごとのセキュリティ準拠を管理することが可能。