LoginSignup
3
1
@carol0226(Shuji Noguchi)inNTTデータ先端技術

Microsoft Entra ID:アンマネージドな MAM 登録 のやり方

Last updated at Posted at 2024-04-21

はじめに

2024年2月頃に、以下の記事を投稿していました。

この時点で、Windows で MAM 登録 が出来ない問題に遭遇していましたが、その問題を解決できましたので、そのノウハウを踏まえて、アンマネージドな MAM 登録 のやり方 を紹介したいと思います。

実は、私が アンマネージドな MAM 登録 でハマっていた際に、MDM スコープと WIP スコープ のあり方について、@shokolate さんに情報をいただいた結果、トラブルを解消でき、本記事完成に至る事ができました。とても感謝しています。

@shokolate さんは、Intune を中心に より難度が高く、より詳しい記事を多く執筆されていますので、そちらの記事も ぜひ参照いただくと宜しいかと思います。

MAM 登録の2つの構成

以下の公開情報で紹介されている通り、MAM には、2 通りの構成があります。
① Intune MDM + MAM と、② アンマネージドな MAM です。

モバイルアプリケーション管理 (MAM) の基本
https://learn.microsoft.com/ja-jp/mem/intune/apps/app-management#mobile-application-management-mam-basics

① Intune MDM + MAM を実施するには

この構成を行う場合は、デバイスを Intune に MDM 登録すれば OK です。
以下の記事を参考にしてください。

② アンマネージドな MAM

アンマネージドな MAM とは、デバイスが Intune に管理されれていない状態の MAM を指しています。
本記事では、アンマネージドな MAM を構成するための手順を紹介していますので、次章 以降を参照してください。

アンマネージドな MAM 登録の目的

Windows での アプリ保護ポリシー を利用する場合に必要な構成です。
企業が デバイスを Intune 管理していない(アンマネージドな状態)場合は、デバイスが 個人所有 の扱いになります。

アプリ保護ポリシーは、個人所有のデバイスから、企業の情報資産(Microsoft 365 等)へアクセスした場合に、その情報が アプリを介して 個人所有のデバイスへ 複製・印刷 などを行えないように制御することができます。

2024年4月 の時点では、アプリ保護ポリシーは Edge しか対応していません。

条件付きアクセスを構成して、Office 365 へのアクセスを Edge & アプリ保護ポリシー のみに絞り、その他の方法でのアクセスをブロックすることで、個人所有デバイスから 企業の情報資産 (Office365等) へ安全にアクセスを許可できるようになります。

Edge 以外の アプリ からのアクセスをブロックする必要もある点、ご注意ください。
Word / Excel / PowerPoint / Outlook /Teams の アプリ を、非準拠デバイスからはブロックすることで、結果的に 個人所有デバイスから 企業の情報資産へのアクセスは、アプリ保護ポリシー が適用された Edge 経由のみ でアクセスさせることが可能になります。

アンマネージドな MAM 登録 を成立させるための 3 つのポイント

アンマネージドな MAM 登録 を成功させるには、適切な環境を準備して 正しい手順を実行する必要があります。

  1. デバイスの状態
  2. テナントの設定
  3. MAM 登録時の手順

1. デバイスの状態

以下の両方の条件を満たす必要があります。

  • デバイスが Intune 登録 されて いない こと。
  • ユーザーが Microsoft Entra Registared されて いない こと。

デバイスが 既に 自社 テナントに Intue 登録 されていた場合は、MAM 登録 を実施すると、 "Intune MDM + MAM" の状態になってしまいます。

もし、デバイスが Intune 登録されていたり、ユーザーが Microsoft Entra Registared されている場合は、登録を削除してください。

2. テナントの設定

テナントで モビリティ (MDM および WIP) の設定が以下となっていることが推奨です。
image.png
これ以外の構成でも、条件次第では OK となりますが、条件がややこしいため、次章以降の説明を参照してください。

3. MAM 登録時の手順

MAM 登録 の詳細な手順は、@shokolate さんの記事を参考にしてみてください。

この章では、MAM 登録の際に 見落としがちな チェックボックス の罠について説明します。

チェックボックスの罠とは?
MAM 登録を行う際に、環境によって 以下の画面が表示されますが、③ の場合 だけが アンマネージドな MAM 登録 になります。

つまり、チェックボックスが 表示 されていて、OFF を選択した場合が条件です。

チェックボックスが 非表示 だったり、チェック ON で登録した場合は、別の意味になってしまうため、その場合は 登録を解除したうえで、再登録が必要です。
結果
アンマネージドな
MAM 登録 成功
画像 image.png image.png image.png
説明 チェックボックスが 出ない チェックボックスが ON チェックボックスが OFF
登録状態① Microsoft Entra Registared Microsoft Entra Registared Microsoft Entra Registared
登録状態② 未登録 Intune MDM + MAM 登録 アンマネージドな
MAM 登録

凡例
登録状態① = Microsoft Entra Registared の登録状態
登録状態② = MAM の登録状態

基本的に、本章で挙げた 3 つのポイントを 踏まえて MAM 登録を実施すれば、大きな問題には遭遇しないと思います。
次章では 例外の事象に見舞われた際の対処策をお知らせします。

トラブル時の対処策

1. MAM 登録時に チェックボックスが出ない

以下のように MDM ユーザースコープが なし になっている場合は、チェックボックスが出ません。

一部 になっている場合は、選択されているグループに ユーザーが含まれていないと、チェックボックスが出ません。

そのため、MAM 登録させたいユーザーは、必ず MDM ユーザースコープに含まれている必要があります。
image.png

2. チェックボックスが出なかった状態で Registared してしまった場合

これをやってしまった場合、MAM 登録 はされていません。

見た目にはわからないのですが、この状態で アプリ保護ポリシーを利用しようとすると、職場プロファイルへの切替の際に 無限ループ の事象に見舞われます。

対処策 ①

  1. MDM ユーザースコープ に、以下のように 目的のユーザーが含まれるようにしてください。
     ① MDM ユーザースコープを すべて にする
     ② MDM ユーザースコープを 一部 にして、割当グループにユーザーが含まれた状態にする
     
  2. Edge に作られた 職場プロファイル を 削除します。
    image.png
     
  3. 一旦、端末側から Registrard 状態を 解除 して、テナント側のデバイスの一覧から 削除 された状態にします。万が一 テナント側に情報が残っていたら、手動で削除します。
     
  4. 10 分程度待ってから、再登録 を試みてください。
    ※10 分待つ理由ですが、テナント側で完全に解除されるまでタイムラグがある様子です。おそらく、内部的に反映が完了するまで待たないと、再登録時に 適切な状態になっておらず、さらなる問題になります(次章で説明)

過去に チェックボックス無しの "Microsoft Entra Registared" の状態になったユーザーは、あとから MDM スコープに加えても、MAM 登録には変化しません。

必ず、"Microsoft Entra Registared" の状態 を完全にクリアにしてから、MDM スコープに含まれる状態で 再度 MAM 登録 を実施する必要があります。

3. WIP ユーザースコープ に ユーザーが含まれていて 登録エラー

以下のように WIP ユーザースコープが 一部 または すべて になっている場合は、注意が必要です。

MDM よりも WIP が優先される仕組みのため、WIP ユーザースコープに含まれているユーザーは、MDM/MAM 登録ではなく WIP の登録が行われます。
image.png
image.png

しかも、上記の注意書きに書かれているように、新たに WIP の作成はサポートされていないため、以下のエラー (0x80180006) が出てしまいます。
image.png

以前から WIP を運用中のテナントの場合は、WIP 登録が成功するかもしれませんが、それは MAM 登録 ではありません。MAM 登録を行いたいユーザーは WIP スコープから除外されるように構成してください。

4. 10 分待たずに、解除 & 再登録 してしまった場合

これをやってしまうと、MAM 登録 の正しい手順を踏んだとしても、アプリ保護ポリシーの利用時に、以下のエラーが表示されて、ブロックされます。

私も、知識不足の頃に、これをやってしまっていました。
MDM / WIP のユーザースコープをよく理解しないまま、勘で MAM 登録 を試行錯誤してしまうと、おおむね この状態になってしまっています。

image.png

これが、一番ハマりどころです。

この状態になった ユーザープロファイル上では、他の テナントユーザー が 正しい手順で MAM 登録を実施しても、アプリ保護ポリシーの利用時には 皆 このエラーが出てしまい、復帰できなくなります。

まるで テナント内に、デバイスの情報が 変なゴミとなって残ってしまっているのではないかって感じです。この状態から 回復させる方法を 以下で紹介します。

なお、以下に紹介する 対処策② は、私が経験上 偶然 発見した回避策ですので、公式な方法として案内されている方法ではない点、ご承知おきください。

対処策 ②

  1. 前章で説明した 対処策 ① を 各 テナントユーザー に対して実施する。
     
  2. 問題が出た Windows の ユーザープロファイル とは 別の ローカルユーザー管理者 で PC にサインインします。
     
  3. システムのプロパティを開き、「詳細設定」タブから、ユーザープロファイル欄の「設定」ボタンを押します。

システムのプロパティの開き方

  1. スタート - 設定(歯車マーク)
  2. 「Windows の設定」画面で「システム」を選択
  3. 左ペインから、詳細情報 (Win10)、バージョン情報 (Win11) を選択
  4. 関連設定の欄にある、「システムの詳細設定」を選択する
    image.png
  5. 詳細設定タブで ユーザープロファイル 欄の「設定」ボタンを押します。
    image.png

4.ユーザープロファイルの一覧から、問題が出た ユーザープロファイル を 選択して、削除 ボタンを押します。
image.png

5.プロファイルが削除されたら、PC を再起動します。

6.元々の PC の ユーザーでサインインします。初回サインインの状態になります。

7.サインインが完了してから、アンマネージドな MAM 登録 の手順を実施する。

このアクションで登録を行うと、エラーの対処ができているため、アンマネージドな MAM 登録 は成功すると思います。
その結果、アプリ保護ポリシー を正しく利用できるようになります。

3
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
3
1