Intuneとは
やりたかった事
- IntuneでBYOD windows10端末に Teamsアプリを自動インストール
少し考えた
- 自動インストールには BYOD windows10端末をMDMにする必要がある?
- WIPの設定さえしておけばMDM必要ない?
いや、とにかくやってみよう
次々と罠にハマる・・・
この罠、サポートに連絡したり、試行錯誤して時間をロスしたので同じ思いをする人を減らしたいので公開します。
とはいえ、Intune系はアップデートが早い為、古い情報になるかも知れませんので自己責任で!
その1. MDMユーザスコープとMAMユーザスコープの意味と関係性
ファイルにも記載したように、
- MDMユーザースコープ → Intuneを利用して、デバイスを管理する = MDM
- MAMユーザースコープ → Intuneを利用せず、会社データをWIPで保護 = MAM
という意味で、同一ユーザがデバイス毎に両者を使い分ける、ということは出来ない模様
ただし、MDMの場合も、「Intune利用して、会社データをWIPで保護」= MAM はできますので、MDMとMAMの共存は可能で、デバイスをIntuneで管理(MDM)しながら、WIPで会社データも保護する(MAM) ということはできます。
ここを良く読めば書いてあるぞって話なんですが、設定画面にも書いとけやと思う今日この頃の俺だ by EXITカネチー
その2. クライアントアプリにOffice 365 Pro Plus スイートを2個登録しても無効
クライアントアプリに、Teams用、OneDrive用という感じで2個登録して試したところ、挙動がおかしい・・・
画面上は複数登録できるUIだが、Office 365 Pro Plus スイートは1つしか有効じゃないので要注意!
その3. Office365ProPlusスイートアプリのライセンスについて E1じゃダメよ問題
Teamsアプリだけを利用したいので、Office 365 Enterprise E1を契約して試したところ、挙動がおかしい・・・
ライセンス自体はE1にTeamsが含まれており、単独選択が可能にも関わらず、IntuneでOffice 365 Pro Plus スイート製品を自動インストールする際には、Office 365 Enterprise E3以上が必要になる。
これってバグじゃない?レベルで不親切
TeamsなどのE1製品の単独選択をした時に「E3からだよー」ってアラート出して欲しいし、そもそもドキュメントに書いておいて欲しい!
その4. WIP アプリ保護ポリシー アプリの追加の種類ってなんやねん
コンソールだけだと意味がわからんシリーズ第1段
- 保存:msi
- デスクトップ:exe
- AppLocker:Office 365 Pro Plus スイート製品
なので、OneDriveに関しては Office 365 Pro PlusのOneDriveを利用したいのであれば、AppLockerの Office-365-ProPlus-1810-Allowed.xml を選択する必要がある。
exe型で配布したい場合は、Microsoft OneDriveを選択する必要がある。
その5. WIP アプリ保護ポリシー の管理の種類ってなんやねん
コンソールだけだと意味がわからんシリーズ第2段
- 登録済み:MDMに登録済みの端末に適用されるポリシー MDM+WIPのパターン
- 未登録:MDMに未登録の端末に適用されるポリシー WIPオンリーのパターン