組織で利用しているiPhoneやiPadは、MDMで管理しているケースは多いと思う。このMDMで管理する際にApple DEP(Device Enrollment Program)を利用すればいくつか管理がラクになる。たとえば、「キャリアにiPhone発注したら、自動でMDMにデバイスを登録してくれる」とか「管理できる範囲が広がる監視モードを適用できる」など。
また、Intuneにはデバイスの所有権という概念があり、デバイスのかなりの範囲の情報をみることができる「所有権が企業」のモードと、プライバシーに配慮してデバイスの一部の情報しか見えない「所有権が個人」のモードがある。どちらもセキュリティポリシーは同じものを適用できるけど、見える情報の範囲が違う。
さて、DEPは組織でないと手配できないので、DEPで手配している=所有者は企業。・・・なんだけど、10%ぐらいのデバイスで、Intune上の所有権が企業でなく、個人になってしまってた。非DEPは問題ないんだけどな・・・なぜだろう。
自分の備忘録として、原因と対応をまとめてみた。
※解釈や条件の理解が間違えているかもしれない。
原因
以下の2つの条件を満たすと発生するらしい。
・ポータルアプリの認証でプロファイル割り当てをする場合
・DEP登録後、24時間以上かかった場合
先に後者について。
巡り巡って、マイクロソフトのこんな記事にたどり着き、その中にこんなコメントが。
Apple の Device Enrollment Program を使用して iOS デバイスを自動登録する
今一つ解釈しづらいので英語版。
どっちもわかりづらいわ!
超意訳すると「DEPデバイスにポータルアプリをインストールしてから24時間以内にポータルアプリでログインしないと、登録に失敗して所有権が個人になっちゃうよ」ってことっぽい。
※突っ込み・指摘、お待ちしています。
前者は、ユーザーグループでプロファイルを変えている場合とか、多要素認証を有効にしている場合、条件付きアクセスを使う場合。これらのケースではポータルアプリでの認証が必須なので、確実にひっかかる。EMS使って条件付きアクセスを使わないケースはほとんどないとおもうので、ほとんど引っかかるんじゃないだろうか。
さっきの24時間制限はどうもAppleの仕様らしいけど、DEPで登録後デバイスが納品されてキッティング完了まで24時間以内に完了なんて、ありうるのか!?・・・困ったな。
とりあえずの対応
すでに所有権が正しくないデバイスは、所有権を企業に変更する。手間だけどこれで所有権は正しくなる。
要検証
文言通りなら、ポータルアプリをダウンロードして24時間以内にキッティングすればいいのだけど、どうも腑に落ちない。アプリをダウンロードするだけじゃデバイス登録はされないしな…。
・DEP登録通知が来て、Intuneに同期してから24時間
・デバイスの電源を入れてキッティングし始めてから24時間
・ポータルアプリをインストールして、初めて起動してから24時間
多分、これのどれかが発動条件だと思うので落ち着いたら検証してみる。
なんとなくだけど2番目ぽいと思ってて、DEP端末をフルワイプして電源入れて、24時間ちょっと待ってみる。
まとめ
これから検証。結果はまた投稿します。