えるしってるか、ユーザーグループはユーザーグループ同士、デバイスグループはデバイスグループ同士でしか判定ができんのじゃ…
というわけで、「ユーザーグループ」で管理してうまくいかなくなりがちなWindows PC、「動的デバイスグループ」でサクッと管理しましょう
なんと、以下の静的クエリを設定した動的デバイスのセキュリティグループを作るだけです
1. Intune登録済のWindows PCのグループ
※Microsoft Entra joined (Azure AD joined)、会社所有も条件としています
(device.deviceManagementAppId -eq "0000000a-0000-0000-c000-000000000000") and (device.deviceTrustType -eq "AzureAD") and (device.deviceOwnership -eq "Company") and (device.deviceOSType -eq "Windows")
2. Windows 11 のグループ
※Ver.は実は11ではなく、10.0.2xxxx.xxxxです
(device.deviceOSVersion -startsWith "10.0.2") and (device.deviceOSType -eq "Windows")
3. Windows 10 のグループ
※ここまで書かないと、10と11両方になってしまいますよ、よよよ…
(device.deviceOSVersion -startsWith "10.0.1") and (device.deviceOSType -eq "Windows")
(おまけ) Windows Autopilotのグループ ※使ってる場合
(device.devicePhysicalIDs -any (_ -contains "[ZTDID]"))
これだけであら不思議、大抵の組み合わせには事欠かないという…
例えば、「コンプライアンスポリシー」や「Windows Updateポリシー」でOSバージョンの判定をしたい場合
- 1.を対象にする
- 2.または 3. を除外対象にする
こうすると、例えば『Win11 23H2』と『Win10 22H2』のような組み合わせでのポリシー準拠判定も楽ちんですね!
(※当然OSごとにポリシーを作る必要はありますが、「Win11のバージョンポリシーにWin10PCが違反する」みたいな初歩的なミスは簡単に防げます)
なお注意点として、デバイスグループは「条件付きアクセスポリシー」の管理には使えません(ユーザーグループ)。
まぁ、マネージドデバイス用のフィルターを作るうえでは参考になる点もあると思いますので、その辺はよろしくやって、どうぞ
ちなみに、こちらは「Intune Managed + Entra joined」での管理をベースにしております。
BYOD や Entra resistered の端末を合わせて管理する場合は、もうちょっと複雑になってきます(Win以上にスマホがだるい←)が、それはまた、別のお話…