Intune で WiFi の設定を固定化する（＋すぐ戻す方法）

はじめに

Intune から WiFi プロファイルを配布しつつ、それ以外の SSID には接続させないようにする・・・という構成を、運用中のつけ外しも考慮しつつ検証してみました。

たとえば、会社支給の PC は、会社の拠点にある WiFi AP にのみアクセスさせたいというような要件で活用できます。

設定箇所

このような制御を有効にするだけなら、Intune で、以下の構成ポリシーを利用することで実現できますし、ちゃんと 意図したとおりに制御することができます。

構成ポリシー ／ テンプレート（デバイスの制限） ／ 携帯ネットワークと接続性 ／ Wi-Fi の手動設定　→　[ブロック] に設定する

公開情報：Intune を使用して機能を許可または制限するように Windows 10/11 デバイスを設定する
https://learn.microsoft.com/ja-jp/mem/intune/configuration/device-restrictions-windows-10#cellular-and-connectivity

手動 Wi-Fi 構成: [ブロック]
デバイスが MDM サーバーにインストールされたネットワークの外部で Wi-Fi に接続するのを防ぎます。[未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は、ユーザーが独自の Wi-Fi 接続ネットワーク SSID を追加および構成するのを許可する場合があります。

ブロック 時の動作イメージ
下図のうち、オレンジ枠内の "TP-Link〇〇" と "テストWiFi" は、Intune から配布した WiFi プロファイルであり、かつ WiFi AP の電波が届いている状態です。この SSID には 接続 することが出来ます。

"ネットワークがブロードキャスト配信していなくても接続します" の設定が有効な SSID は表示されますが、下図の青枠内に、ネットワーク管理者により、このネットワークへの接続がブロックされています。 とのメッセージが表示されて "接続" することはできません。

上記以外の SSID は 一覧 には表示されなくなり、手動で SSID に接続するための機能も利用ができなくなります。

課題

[ブロック] の設定には 運用上の 課題 があります。
一度、WiFi の制限 をかけてしまうと、設定を "構成されていません" に戻しても、ポリシーの割り当てから外しても、割り当てで 除外設定を行っても、どれをやっても PC の設定が元には戻らず WiFi が制限されたままになってしまう場合があります。

→　上記のように設定変更しても、デバイスに設定された構成は元に戻りません。

原因として考えられることは、ポリシーの設定が 「ブロック」と「未構成」 しか存在しないため、一度 「ブロック」してしまうと、そのあとで 「未構成」を配布しても それは 何も設定を行わないことと見なされて、ブロックされ続けてしまう可能性が考えられます。または、PC 側が ポリシーから切り離されたと認識できずに、設定を切り離せていないという可能性もありえます。

公開情報：FAQ - プロファイルが削除されたか、適用されなくなった
https://learn.microsoft.com/ja-jp/mem/intune/configuration/device-profile-troubleshoot#a-profile-is-deleted-or-no-longer-applicable

上記の公開情報では、以下のように説明されています。

プロファイルを削除するか、プロファイルが割り当てられているグループからデバイスを削除すると、プロファイルと設定がデバイスから削除されます。
（中略）
Intune の設定は、Windows 構成サービスプロバイダー (CSP) に基づいています。動作は CSP によって異なります。一部の CSP では設定が削除され、他の CSP では設定が保持されます（これは、タトゥーとも呼ばれます）。
（中略）
プロファイルは、ユーザー グループに適用されます。 その後、ユーザーはグループから削除されます。 次の場合には、そのユーザーから設定が削除されるまで 最大 7 時間以上かかる 場合があります。

上記の説明では、通常は デバイスを ポリシーから切り離すと設定が元に戻る想定であるハズだが、設定 (CSP) の種類によっては、削除 されるものと 保持 されるものがある・・・との事です。

さらに、"最大７時間以上かかる" って、結局 どのくらい待てば削除されるのかが分かりません。これが 非常に ストレス です。

私が検証した場合は、１日以上待っても戻りませんでした。そのため、設定が戻らない理由は、保持（タトゥー）の状態になってしまったと考えることできます。

結論
いずれにしても、設定が PC に反映されないと、設定ミスなのか、ポリシー配布されていないのか、保持されちゃったのか・・・とやきもきするし、待っていられないので、確実に早期に反映結果を確認して、他の仕事をやりたいのが正直なところです。

更に、運用中に デバイスによって 戻る PC と 戻らない PC が発生する可能性があるのであれば、やはり そういうことが発生しないように構成しておくべきです。

どうやって戻すのか？

手動 Wi-Fi 構成を、ブロックするための、テンプレート（デバイスの制限） は存在するのですが、[ブロックを解除] させるための明確な 設定 は存在しません。

回避策として、テンプレート（カスタム） を使います。
カスタム の場合は、CSP の アドレス を直接指定して構成を行うことが可能なため、意図的な値（既定値：１）を配布することで、元に戻す（ブロックを解除）ことが可能です。

公開情報：Wi-Fi の手動設定 の CSP (AllowManualWiFiConfiguration)
https://learn.microsoft.com/ja-jp/windows/client-management/mdm/policy-csp-wifi#allowmanualwificonfiguration

CSP のパス
./Device/Vendor/MSFT/Policy/Config/Wifi/AllowManualWiFiConfiguration

値	説明（公開情報）	私の見解
0	MDM プロビジョニングされたネットワークの外部 Wi-Fi 接続は許可されません。	Intune から配られた WiFi 構成しか許可されず、その他の SSID はブロックされます。
1	（既定値) 既に MDM でプロビジョニングされているネットワーク SSID を超えて、新しいネットワーク SSID を追加できます。	利用者が自由に 外部の SSID を指定して WiFi に接続できます。

参考
上記の値で "0" を指定すると、ブロック として動作します。
これは、テンプレート（デバイスの構成）：Wi-Fi の手動設定 で、[ブロック] を構成したときと同一の動作となることも、私の方では検証できています。

具体的な構成手順

以下のように段階的に進めます。

1. 割り当て用グループと、除外用グループを作成する
2. 接続 のための WiFi プロファイルを配布する
3. テンプレート（デバイスの制限）で ブロック を構成する
4. テンプレート（カスタム）で 無効化 を構成する
5. 動作試験

注意
項番2. で接続可能な WiFi プロファイルを配布せずに、項番3.でブロックを構成してしまうと、どの WiFi にも接続できなくなってしまう可能性があります。そうなると、その PC へ解除のためのポリシーを配布できなくなり、結果 元に戻せなくなります。かならず、配布したプロファイルを使って、インターネットに接続できることを確認してください（その場合、有線 LAN が使えれば回避策になります）

情報
"項番3. テンプレート（デバイスの制限）：Wi-Fi の手動設定" で、[ブロック] を構成する代わりに、テンプレート（カスタム）で "0" を配布する方法でも実現可能です。

その場合の設定手順は、項番4. と同じ手順で CSP に対して "0" を配布してください。

1. ブロック用グループと、解除用グループを作成する

1. Intune 管理センター にアクセスします。
   https://intune.microsoft.com
   　
   
2. 左ペインから グループ を選び、すべてのグループ から 新しいグループ を選択します。
   
   　
   
3. グループの種類を セキュリティ にして、任意の グループ名（ブロックを意図した名前）を指定して、作成 を押します。
   
   　
   
4. 同様に もう１つ新しいグループを作成し、任意の グループ名（解除を意図した名前）を指定して、作成 を押します。
   
   　
   
5. ２つのグループを作成すると、下図のように 一覧に表示されます。グループの種類は セキュリティ である必要があります。
   

このタイミングでは、グループに メンバー を割り当てないでください。
あとで割り当てるタイミングがあります。

2. 接続のための WiFi プロファイルを配布する

以下のいずれかの方法で Intune から WiFi プロファイルを配布して PC を WiFi に接続できるようにします。実際に WiFi に接続できるかどうかまでテストしておいてください。

SSID + キーのみ （一番簡単）
https://qiita.com/carol0226/items/084d31ce07e4540f069c

SSID と、AD 認証 （MS-CHAPv2 の環境が必要です）
https://qiita.com/carol0226/items/99e1674ce6be6e24f53c

SSID と、クライアント証明書 （EAP-TLS の環境が必要です）
https://qiita.com/carol0226/items/3b17a2c02c5791727e93

この方法で配布した WiFi 接続 は、この後の デバイス制限 を構成しても、ブロックされません。

3. テンプレート（デバイスの制限）で ブロック を構成する

1. Intune 管理センターの 左ペインで デバイス を選び、デバイスの管理（構成） から、作成（新しいポリシー） を選択します。
   
   　
   
2. 下図の選択肢を入力して、デバイスの制限 を選び 作成 を押します。
   
   　
   
3. 基本 タブでは、ブロックを行うためのポリシー名（任意）を入力して 次へ を押します。
   
   　
   
4. 構成設定 タブでは 携帯ネットワークと接続性 のジャンルを開いて Wi-Fi の手動設定 欄を ブロック に設定し 次へ を押します。
   
   　
   
5. 割り当て タブでは、前章で作成したグループ を割り当てて 次へ を押します。
   ・組み込まれたグループ 欄 には、ブロック 用に作成したグループ
   ・除外されたグループ 欄 には、解除 用に作成したグループ
   
   　
   
6. 適用性ルール タブでは、特に設定は行わず 次へ を押します。
   
   　
   
7. 確認および作成 タブで 設定値の最終確認を行い 作成 を押します。
   
   　
   
8. 以下の 通知 が表示されれば OK です。
   

4. テンプレート（カスタム）で 無効化 を構成する

1. Intune 管理センターの 左ペインで デバイス を選び、デバイスの管理（構成） から、作成（新しいポリシー） を選択します。
   
   　
   
2. 下図の選択肢を入力して、カスタム を選び 作成 を押します。
   
   　
   
3. 基本 タブでは、解除 を行うためのポリシー名（任意）を入力して 次へ を押します。
   

上記の 説明 欄への記入は任意であり、動作には影響ありません。
CSP の URL の情報や、設定値の意味を記載しておくと、後で参照したときにわかりやすくなるので、おススメです。

4．構成設定 タブでは 追加 ボタンを押します。
行の追加 ウィンドウでは 下図に倣って 値を入力してから 保存 を押します。

上記の OMA-URI の欄には、以下の CSP のパス を入力します。

./Device/Vendor/MSFT/Policy/Config/Wifi/AllowManualWiFiConfiguration

この値は、「どうやって戻すのか？」の章で説明した内容です。
このパスに対して 値 "1" を設定する事で 既定値に戻す 設定を配ります。

5．下図のように一覧に追加されたことを確認して 次へ を押します。

6．割り当て タブでは、以下のグループ を割り当てて 次へ を押します。
・組み込まれたグループ 欄 に、解除 用に作成したグループ

7．適用性ルール タブでは、特に設定は行わず 次へ を押します。

8．確認および作成 タブで 設定値の最終確認を行い 作成 を押します。

9．以下の 通知 が表示されれば OK です。

10．最終的に ２つのポリシーが 一覧 に表示された状態になっているハズです。

5. 動作確認

２章で設定した WiFi プロファイル で WiFi 接続が可能になった PC を使います。

5-1. ブロック をテストする

1. この PC の デバイス名 を ブロック 用に作成したグループに追加します。
   
   　
   
2. Intune の 同期 ボタンを押します。
   　同期ボタンの場所
   　設定パネル／アカウント／職場または学校へのアクセス／アカウント名／情報
   
   　
   
3. おおむね 同期 が完了して 数分くらいで ブロック が有効化されます。
   本機時の冒頭 ブロック 時の動作イメージ で説明したとおり、Intune で配布した WiFi プロファイル 以外には接続できなくなっている事が確認できます。
   　
   
4. 個々のデバイスに反映されたポリシーは、以下で確認できます。
   デバイスの一覧から、デバイス名 を選択します。
   
   
   左ペインの モニター を開き、デバイスの構成 を選択すると、一覧に このデバイスに適用されている ポリシー が表示されます。
   

私が観察する限りでは、デバイス側 で設定が反映されていても、上記のポリシー一覧に反映されるまではタイムラグがあるように感じます。

5-2. 解除 をテストする

1. この PC の デバイス名 を 解除 用に作成したグループに追加します。
   このとき、ブロック用 のメンバーに加わった状態で構いません。
   
   　
   
2. Intune の 同期 ボタンを押します。
   　同期ボタンの場所
   　設定パネル／アカウント／職場または学校へのアクセス／アカウント名／情報
   
   　
   
3. おおむね 同期 が完了して 数分くらいで 解除 が反映されます。
   前章でブロックされていた状態が解除され、すべての WiFi に接続できるようになった事が確認できます。
   　
   
4. 個々のデバイスに反映されたポリシーは、以下で確認できます。
   デバイスの一覧から、デバイス名 を選択します。
   
   
   左ペインの モニター を開き、デバイスの構成 を選択すると、一覧に このデバイスに適用されている ポリシー が表示されます。
   

私が観察する限りでは、デバイス側で設定が反映されていても、上記のポリシー一覧に反映されるまではタイムラグがあるように感じます。
ブロック と 解除 の２行が同時に表示されているタイミングもありますが、動作的には ブロックから除外され、解除が適用された状態になっていて、意図通りに動きます。

5-3. その後の運用

以後は、ブロック 用グループにデバイスが含まれたいたとしても、解除グループ に加えることで WiFi の制限を解除することが出来るようになります。

その後 解除グループ から外すことで、 再度 ブロック が適用されます。

この動作を踏まえて、WiFi を社内利用するデバイスを すべて ブロック用グループ に含めておくことで、社内 PC は、会社の拠点にしか接続できないが、 一時的に 解除 をさせたい PC のみ 解除用グループ に含める事で、例外 を作るような運用をすることが想定できます。

（逆パターンの運用シナリオ）
今回のシナリオとは逆の運用をすることもできます。
予め ブロックポリシー には ブロック用グループのみを割り当て しておきます。
解除ポリシーには、解除用グループ を割り当てて、除外として ブロック用グループ を割り当てておきます。

解除用グループ に WiFi 接続するデバイスを全て含めておきます。
ブロック用グループ は 空にしておきます。
これで、通常時は、全デバイスが 自由に WiFi に接続することができます。

特定のデバイスだけを ブロック させたい場合に、ブロック用グループ に デバイス を加える事で、そのデバイスだけを ブロック させることができます。
ブロック用グループ から外したら 再度 自由に WiFi に接続することができるようになります。

まとめ

本記事を参考に、実際に検証していただくと ブロック用ポリシーのみでは 解除 がままならない場合があり、 解除用ポリシーを用意することで、短期間に設定を 入れ替える事が可能な事をご理解いただけると思います。

今回は、WiFi の制限 に特化して記載していますが、その他の "デバイスの制限" の設定 においても、同様に 解除用ポリシー と組み合わせることで 短期間での解除を実現できることが期待できますので、お試しください。