会社支給の Windows デバイスのみを テナント & Intune に登録できるようにするには？

はじめに

テナントの既定の設定では、一般ユーザー が Microsoft Entra テナント に Windows デバイスを参加させることが出来ます（管理者権限は 不要です）

良くあるニーズとして、会社が支給した PC のみをテナントに参加させ、私用 PC は参加させたくない・・・というケースがあると思います。具体的に、どのような状態を目指すべきかを、以下に挙げてみました。

目指すべき姿

• テナントには 会社が支給したデバイスだけが接続されている
• 一般ユーザーは、会社から支給した PC のみを テナントに参加させることができる
• 管理者は、任意のデバイスを テナントに参加させることができる（例外対応）
• 管理者の手間が できるだけ掛からないようにする

本記事では、上記のような事を実現するためには、どのように構成したら良いのかを説明していきたいと思います。

注意事項：Microsoft Entra Join の制限で対応できるのか？
私が過去に投稿した 以下の記事をもとに Microsoft Entra の参加と登録の設定 を行うと、テナントへの 参加 (Join) を制限することができます。しかし、この方法では 一般ユーザーが すべての PC を テナントに参加させることができなくなります。会社支給の PC であっても、例外なく許可されず、例外の設定もありません。

その結果、すべてのデバイスを 管理者 の手によって 参加 (Join) する 運用 が必要となってしまいます。

つまり、以下の要件しか満たすことができません
〇：テナントには 会社が支給したデバイスだけが接続されている
✖：一般ユーザーは、会社から支給した PC のみを テナントに参加させることができる
〇：管理者は、任意のデバイスを テナントに参加させることができる（例外対応）
✖：管理者の手間が できるだけ掛からないようにする

※条件の マル の部分だけが満たされていれば OK であれば、この方法が簡単です。

そのため、別の方法を考える必要があります。

解決策

以下に紹介する ① ~ ③ を すべて構成することで、目的を達成できます。

① Intune への登録制限を使う

Intune への登録を制限したい場合は、以下の 公開情報で説明されている 登録制限 という機能を使う事で実現できます。この制限を行う方法は、次章（"設定手順" の章）で 画面キャプチャ付きで説明してありますので、参照ください。

登録制限：個人用 Windows デバイスのブロック
https://learn.microsoft.com/ja-jp/mem/intune/enrollment/enrollment-restrictions-set?wt.mc_id=mvp_407731#blocking-personal-windows-devices

② Intune への自動登録（MDM ユーザースコープ）を構成する

この構成を行う事で、Microsoft Entra Join を行った際に Intune への自動登録が行われます。

上記の記事で MDM ユーザースコープを設定する際に すべて を選択してください。
MDM ユーザースコープ は、テナントにデバイスを 参加 (Join) する際に、連動して Intune にも登録 する対象者（ユーザー）を誰にするのかを定義する設定です。

なお、この構成を行った場合は、ユーザーが 参加 (Join) を行う際に、Intune の登録権限があるかどうかも、同時に評価されます。
そのため、「① Intune への登録制限」が構成された ユーザー によるアクションだった場合には、参加 (Join) が失敗します。

注意
MDM ユーザースコープを なし or 一部 に設定した場合は、MDM ユーザースコープ で指定されなかったユーザーは、Intune には登録されなくなりますが、Microsoft Entra Join は成功してしまいます。

③ Windows Autopilot ユーザー駆動モードを採用する

一般ユーザーによる 登録作業をブロックしてしまうと、全デバイスについて、管理者の作業が必要になってしまいます。

それを回避する方法として、Autopilot のユーザー駆動モード を採用する事で解決できます。

Autopilot の ユーザー駆動モード を使うと 新品の社用デバイスをユーザーへ直接配布したあとで、ユーザー自身の手で テナントへの参加と Intune への登録 を実施できるように権限委譲できます。

Autopilot は 「① Intune への登録制限」の影響を受けない仕様となっているため、セキュリティ と 運用負荷 を うまくバランスさせられます。

ポイント
上記の記事の Step 3 で説明されていますが、Autopilot を実行するためには 事前に ハードウェアハッシュ を Intune に登録しておく必要があります。そのため、この ハードウェアハッシュの有無が 会社支給 のデバイスであることの証となります。

設定手順

1. 管理者アカウントにて Microsoft Intune 管理センター (https://intune.microsoft.com/) にサインインします。
   　
   
2. 左ペインから デバイス を選び デバイスのオンボーディング 配下の 登録 を選択します。その後の画面で デバイス プラットフォームの制限 を選択します。
   

① 登録制限の実施

1. 以下の画面で ＋制限を作成 を押します。
   
   　
   
2. 基本 タブでは、任意の名前を設定して 次へ を押します。
   
   　
   
3. プラットフォームの設定 タブでは 個人所有のデバイス を ブロック に設定して 次へ を押します。
   
   　
   
4. スコープ タグ タブ では 特に変更せず 次へ を押します。
   
   　
   
5. 割り当て タブでは すべてのユーザーを追加 を選択して 次へ を押します。
   
   　
   
6. 確認および作成 タブで 内容を確認して 作成 を押します。
   

ここまでの設定で、すべてのユーザー による Intune への登録が ブロック されます。
管理者であっても、例外なく ブロックされます。
次章の作業で、管理者 を例外扱いにすることができます。

② 管理者による登録を許可

例外設定をするために、管理者 が含まれた ユーザーグループ を事前に作成しておく必要があります。
本章では、以下のように Admin Group というユーザーグループを割り当てる手順として紹介します。

1. 前章の作業で 以下のように Windows の制限 が追加されています。引き続き ＋制限を作成 を押します。
   
   　
   
2. 基本 タブでは、任意の名前を設定して 次へ を押します。
   
   　
   
3. プラットフォームの設定 タブでは 個人所有のデバイス を 許可 のままにして 次へ を押します。
   
   　
   
4. スコープ タグ タブ では 特に変更せず 次へ を押します。
   
   　
   
5. 割り当て タブでは グループを追加 を選択して 事前作成しておいた 管理者グループ (Admin Group) を選択して 選択 を押します。
   
   　
   
6. 以下のように 一覧に表示されたことを確認して 次へ を押します。
   
   　
   
7. 確認および作成 タブで 内容を確認して 作成 を押します。
   
   　
   
8. 設定が追加されると、以下のように 一覧に追加されます。
   

③ 優先順位を変更する

最後に、優先順位の変更が必要です。
Windows の制限 が優先度が高いため、このままでは 管理者 もブロックされてしまいます。
そのため、以下の手順を実施して 優先度 を入れ替えます。

1. 赤マル の部分をドラッグして、赤線（2 と 既定 の間あたり）でマウスを離します。
   
   　
   
2. すると、以下のような通知が表示されます。
   
   　
   
3. 以下の表示順に変更されていれば、OK です。
   

以上の構成で 一般ユーザーが デバイスを 手動で Intune へ登録してしまうことを防止しつつ、管理者 を除外することができるようになりました。

検証結果

私の方で 検証を行ったところ、以下の結果が得られました。

検証結果のサマリ

▼ アクション / ユーザー ▶	一般ユーザー	管理者
手動での Microsoft Entra Join	ブロック	参加 OK
Autopilot での展開	参加 OK	参加 OK

手動での Microsoft Entra Join の検証結果

一般ユーザー
以下のエラー (mdmerrors) でブロックされて Entra Join に失敗します。

管理者ユーザー
Intune の登録制限で 管理者 を除外しているため、Entra Join に成功します。

Autopilot の検証結果

一般ユーザー と 管理者ユーザー ともに、Autopilot での展開に成功しました。

Autopilot を実施したら 成功してしまうので、目に見えるエビデンスを示すことが難しいのですが、ちゃんと検証して裏付けは取れています。

Intune の登録制限 があっても、問題なく Autopilot を正常終了させることができました。

以上で、目指すべき姿 で定義した目的を達成することができました。
〇：テナントには 会社が支給したデバイスだけが接続されている
〇：一般ユーザーは、会社から支給した PC のみを テナントに参加させることができる
〇：管理者は、任意のデバイスを テナントに参加させることができる（例外対応）
〇：管理者の手間が できるだけ掛からないようにする

注意点：Microsoft Entra Hybrid Join の場合

Hybrid Join を採用している組織では、注意が必要です。
そうでない場合は、この章は無視して構いません。

Hybrid Join については、以下の記事で紹介しています。

(課題)
① で Intune への登録制限 を行った場合でも Hybrid Join のデバイスには制限が掛かりません。
Hybrid Join のデバイスは、テナントで Intune への自動登録 (MDM) が許可されていると、Intune へ自動登録されてしまいます。

(解決策)
検討してみましたが、スマートな解決策は 見当たりませんでした。
アナログな方法での対処が必要そうです。

(アナログ対処案 1)
ドメインの OU で、企業所有デバイスと、個人所有デバイスを分類しておき、企業所有 の OU のみを Hybrid Join の対象にするなどの工夫が必要と思います。
ここで、デバイスが 企業所有か 個人所有 かは、人力で分類する必要がありそうです。

(アナログ対処案 2)
既定で オンプレミス の ドメインユーザーは ドメイン参加が許可されているため、これを ドメイン管理者のみが ドメイン参加できるように構成して、管理者以外が PC をドメイン参加できないように構成して対策するような方法があるかと思います。

注意
オンプレミスのドメインに参加しているデバイスは、Intune では 企業所有のデバイスとして扱われてしまう点は、認識しておく必要があるかと思います。