LoginSignup
11
10

More than 1 year has passed since last update.

@ao_Tetsu

IntuneでWindows共有デバイスを構成する

Last updated at Posted at 2022-12-21

この記事は corp-engr 情シスSlack(コーポレートエンジニア x 情シス)#1 Advent Calendar 2022 21日目の記事です。

はじめに

通常、業務で使うPCは1人1台で使うことが多いと思いますが、要件によっては1台のPCを複数人で共有して使う場合もあると思います。本記事では AzureAD Join してIntuneで管理しているWindowsPCを共有デバイスとして構成する方法を紹介します。

初期設定

ここで言う初期設定とはAzureAD Join と Intune への登録のことを示します。
AzureAD Join および Intune の登録はデバイス登録マネージャアカウントを利用して行うのが良いでしょう。
Intune登録後はプライマリユーザーの情報を削除します。プライマリユーザーが割当がないデバイスが「共有デバイス」として扱われます。
https://learn.microsoft.com/ja-jp/mem/intune/remote-actions/find-primary-user
スクリーンショット 2022-12-22 1.06.02.png

共有デバイス用の構成プロファイルを配布する

次に共有デバイス用の構成プロファイルを作成して配布します。
個々の項目はMicrosoftのドキュメントが詳しいので参照してください。
https://learn.microsoft.com/ja-jp/mem/intune/configuration/shared-user-device-settings-windows

と書くとこれだけでこの記事は終わってしまうので、ポイントになる設定項目をピックアップしてみます。

Guestアカウント

ログインできるアカウントを指定できます。
組織アカウント(AzureADアカウント) or ローカルゲストアカウント もしくはその両方が選択できます。
ローカルゲストアカウントでのログインを許可した場合、いわゆる共有アカウントになるので「誰がログインしたか」をbyNameで追跡することはできません。ローカルゲストアカウントを許可する場合はその点の留意が必要です。
例えば、VDI環境アクセスのためのシンクライアントのように利用し、かつ端末へのログイン管理は不要な場合はローカルゲストアカウント運用でも問題ありません。

組織アカウントの場合も、ローカルゲストアカウントの場合も、権限は一般権限です。
管理者権限が必要な操作はできません。

アカウント管理

有効にするとアカウント情報(データ)を自動的に削除できるようになります。
アカウントを削除するタイミング(条件)は

  • ストレージ領域のしきい値
  • 記憶域領域のしきい値と非アクティブなしきい値
  • ログアウト直後

から選択できますが、共有デバイスとしてよくあるパターンとしては「利用が終わったらデータは削除する」という要件が多いと思うので、その場合は「ログアウト直後」を選択しておくと良いと思います。

ここで削除されるアカウント情報(データ)はC:¥User 直下のフォルダ・データのみです。
後述のローカルストレージ設定を「有効」にした場合に、Cドライブ直下にフォルダを作成して、任意のファイルを保存することが可能になりますが、このデータは削除の対象にはなりませんので留意しましょう。

ローカルストレージ

この設定項目を「有効」にすると、ログインしたユーザーはローカルストレージに読み書きができるようになります。(ただし管理者権限が必要なディレクトリにはアクセスできません)

「無効」にした場合、ユーザーは「ダウンロードフォルダ」のみアクセスができるようになります。必要以上にローカルストレージにデータを保存させたくない、最低限ブラウジングしてダウンロードしたファイルだけ閲覧・編集できれば良い、といった要件の場合は「無効」しておくのも良いと思います。
スクリーンショット 2022-12-22 011510.png
ローカルストレージを無効にしてエクスプローラーを開くとこんな感じです。
ダウンロードフォルダしか表示されません。

「共有のマルチユーザーのデバイス」構成プロファイルは他にも設定できる項目はありますが、共有デバイスとしては最低限上記項目だけ要件に合わせて設定しておけば良いと思います。

構成プロファイルの割当

「共有のマルチユーザーのデバイス」構成プロファイルは必ず「デバイスグループ」で割り当てることが必要です。
ユーザーグループで割り当ててしまうと正しく動作しません。
Bitlockerによるディスクの暗号化や、Wi-Fiの設定等の他の構成プロファイルも基本的にはデバイスグループに割り当てる方が良いでしょう。

まとめ

以上がIntuneで共有デバイスを構成する場合のポイントになります。簡単ですね。

  • 従業員が普段利用しているPCが故障してしまったので、修理している間に一時的に代替機を貸与したい
  • 普段Macを使っているユーザーが一時的にWindowsPCを利用したい

そんなときこういった共有デバイスを用意しておくと、わざわざ新しいPCをセットアップする手間はいらなくなるので便利ですよ。

11
10
1

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
11
10