はじめに
情報システム部門に常駐をしていた際にIntuneを用いてWindows10をリモートワイプする方法についてお客様の要望で調査をしていたので、その仕様について記載しています。
Intuneを用いてリモートワイプを実施する際の以下のオプションの話が中心になります。
※インターネット上での調査&Microsoftサポートを用いて仕事の中で調べまくりました。
【オプション】
・デバイスをワイプしますが、登録状態および関連付けられたユーザー アカウントを保持します
・デバイスをワイプして、デバイスの電源が切れてもワイプを続行します。このオプションを選択すると、実行中の一部の Windows 10 以降のデバイスが再起動しなくなる可能性があることに注意してください。
そもそもリモートワイプとは?
以下のように遠隔で端末内のデータを消去する機能になります。
Intuneの場合
端末がネットワーク接続可能な環境であればリモートワイプが可能です。
各オプションについて
以下のオプションについて解説します。
・デバイスをワイプしますが、登録状態および関連付けられたユーザー アカウントを保持します。
・デバイスをワイプして、デバイスの電源が切れてもワイプを続行します。このオプションを選択すると、実行中の一部の Windows 10 以降のデバイスが再起動しなくなる可能性があることに注意してください。
デバイスをワイプしますが、登録状態および関連付けられたユーザーアカウントを保持します
オン/オフの挙動について以下にまとめました。
- オンの場合
| 項目 | 結果 | 内容 |
|---|---|---|
| Intuneの管理 | 保持 | Intuneの管理から対象のデバイスが削除されない |
| ユーザーアカウント | 保持 | Intune(AzureAD)とOS上のアカウントは保持される |
| MDMポリシー | 削除 | 対象デバイスに紐づくMDMポリシーが削除される。 ※MDMポリシー一覧は下記に記載 |
| ユーザー設定 | リセット | OS上のユーザー設定がリセットされる |
| ユーザーデータ | 保持 | ユーザーに関するデータは保持される。 ※ユーザーに関するデータは下記に記載 |
- オフの場合
| 項目 | 結果 | 内容 |
|---|---|---|
| Intuneの管理 | 削除 | Intuneの管理から対象のデバイスが削除される |
| ユーザーアカウント | 削除 | Intune(AzureAD)とOS上のアカウントが削除される |
| MDMポリシー | 削除 | 対象デバイスに紐づくMDMポリシーが削除される。 ※MDMポリシー一覧は下記に記載 |
| ユーザー設定 | 削除 | OS上のユーザー設定が削除される |
| ユーザーデータ | 削除 | ユーザーに関するデータが削除される。 ※ユーザーに関するデータは下記に記載 |
※ユーザーアカウントは、AzureAD上のユーザーアカウントになります。
MDMポリシー
「デバイスをワイプしますが、登録状態および関連付けられたユーザーアカウントを保持します」のオフ/オン関係なしに、以下のMDMポリシーが削除されます。
(Microsoftサポートに確認)
- コンプライアンスポリシー
- 条件付きアクセス
- スクリプト
- Windows10以降向け更新リング
- Windows10以降向け機能更新プログラム(プレビュー)
- Windows10以降向け品質更新プログラム(プレビュー)
- iOSまたはiPadOSのポリシーの更新
- 登録デバイスの上限数制限
- 登録デバイスのプラットフォームの制限
- eSIM携帯ネットワークプロファイル(プレビュー)
- ポリシーセット
※「グループ ポリシー分析 (プレビュー)」 は除くとのこと
ユーザーデータ
「デバイスをワイプしますが、登録状態および関連付けられたユーザーアカウントを保持します」をオンにしている場合、以下のデータが保持されます。(オフにした場合は削除される)
(Microsoftサポートに確認)
- デバイスに関連付けられているユーザー アカウント
- マシンの状態 (ドメイン参加、Azure AD に参加)
- モバイル デバイス管理 (MDM) 登録
- OEM でインストールされたアプリ (ストア アプリと Win32 アプリ)
- ユーザーのプロフィール
- ユーザー プロファイル以外のユーザーデータ
- ユーザー自動ログオン
※「ユーザーのプロフィール」については、WindowsOS内のユーザーフォルダ内のデータを指している可能性があるとのこと
以下のデータはオフ/オン関係なしに削除されるとのこと。
- ユーザーファイル
- ユーザーがインストールしたアプリ (ストア アプリと Win32 アプリ)
- 初期値ではないデバイス設定
デバイスをワイプして、デバイスの電源が切れてもワイプを続行します。
オン/オフの挙動について以下にまとめました。
| オン/オフ | 内容 | 備考 |
|---|---|---|
| オン | ワイプ処理を回避することが不可 例)ワイプ処理中にOSの強制シャットダウンを実施したとしても、再度PCを起動した場合にワイプ処理が走る。 |
信号受信のためのネットワーク接続は必要 |
| オフ | ワイプ処理を回避することが可能 例)ワイプ処理中にOSの強制シャットダウンを実施した場合、再度PCを立ち上げた場合はワイプ処理が走らない。 |
信号受信のためのネットワーク接続は必要 |
さいごに
Intuneでのリモートワイプのオプションについて公式ドキュメントを見てもわからないことだらけだったので、Microsoftサポートに確認した内容を含め記載をしました。
Intuneの運用経験があれば、この辺の知識はMicrosoftサポートに確認しなくても分かるのかな?と思います。。
(自分は無かったため、手探りでした。)