皆様こんにちは!
本日は、約1か月前の初回を担当した私 Y.M. に順番が回ってきましたので、モバイル端末を Intune に登録して制限を掛けてみようという内容でご紹介いたします。
目的
モバイル端末を Intune に登録する目的としては、
- 自身で所持しているプライベートな端末を業務で安全に使用するために登録する
- 会社で配布予定の端末に使用制限を設けるために登録する
など、セキュリティの担保を目的としている場合が多いです。
制限をせずに自由な利用を可能としてしまうと、機密データの流出などにつながりかねません!
安全に利用できるようにあらかじめ制限を設定しましょうということで現在ご利用されている方が増えております。
Microsoft Entra 管理センターでの設定
まず、Microsoft Entra 管理センターにて、ユーザーとグループを作成します。
モバイル端末を利用するユーザーの作成と、利用制限などのポリシーを一度に適用できるようにグループを作成します。
基本情報として、ユーザー プリンシパル名(メールアドレス)、表示名、パスワードを入力します。
有効なアカウントは、チェックを入れた状態で作成します。
※チェックを外すと、アカウントが無効となり、各機能やアプリにアクセスできなくなります。
次にユーザーの情報を入力します。
すべて任意入力となりますが、一番下にある設定の利用場所は必ず該当する国を選択してください。
未選択だと、ライセンスが割り当たりませんのでご注意ください。
グループやロールの割り当てを設定します。
すでに作成されているグループに割り当てる場合は、[グループの追加] からグループを選択することでユーザーやデバイスなどを追加することができます。
ロールは、各役割を持った権限を付与することができます。
内容を確認し [作成] をクリックするとユーザーが作成されます。
続いてグループを作成します。
グループの種類は、[セキュリティ] を選択します。
他に [Microsoft 365グループ] を選択することができますが、メールの受信、Teams、ファイル等へのアクセスを管理し、共同作業をする場合に利用します。
Microsoft Entra ロールの割り当ては、[はい] に設定するとグループにロールの割り当てをすることができます。グループ作成時のみに設定することができ、後から変更をすることはできません。
メンバーシップの種類は、グループにどのような方法でメンバーやデバイスを追加するかを設定します。今回は [動的 デバイス] で設定をします。
[動的なデバイス メンバー] という項目が追加されます。(device.deviceOSType -eq “iOS”) という構文を設定すると、iOS デバイスが登録されると、設定しているグループにデバイスが追加されます。
所有者は、グループ内の所有者・ユーザー(デバイス)の追加または削除などの操作が可能です。今回は、動的で取得するため、所有者はユーザー(デバイス)をチームのメンバーとして追加または削除することはできません。
[保存] をクリックするとグループが作成されます。
Intune 管理センターでの設定 ①
iOS 専用の構成プロファイル(MDM)を作成します。
Intune に組み込まれている各デバイスを保護する機能を使用してデバイスを管理します。
プロファイルの種類は、[テンプレート] を選択します。設定カタログは構成を自由に設定することができます。ちなみに Android だと、会社用と個人用で設定が分かれていますが、iOS のテンプレートと同じように雛形に沿って設定をすることができます。
【iOS】
【Android】
詳しくはこちらから各テンプレートの詳細を確認することができます。
テンプレートから [デバイスの制限] を選択します。
分かりやすい名前を付け、各項目に対して設定を行います。各 OS に合わせた設定も準備されています。
【iOS】
【Android】
割り当ては作成したグループ(デバイス_iOS) を追加し、作成することで、該当するデバイスに対して設定した構成が割り当たります。
デバイスの制限設定が完了しました。
次にアプリ保護ポリシー(MAM)を作成します。
先ほど作成した MDM はデバイスに対しての設定ですが、次はアプリについての設定を行います。
ポリシーの対象とするアプリを選択します。
選択したアプリに対して、次に設定するデータ保護やアクセス要件が適用されます。
データ保護・アクセス要件を設定します。
各設定の詳細はこちらをご参照ください。
[条件付き起動] は、保護ポリシーのサインイン セキュリティ要件の設定やデバイス ベースの条件に対してを構成を設定します。
割り当ては MDM の時と同様に作成したグループ(デバイス_iOS) を追加します。
以上でアプリの制限設定も完了です。
続いて組織用アプリを設定します。
設定したアプリを強制的に配信する設定や逆にアプリをアンインストールさせるといった設定をグループ指定することで設定することができます。
iOS は [iOS ストア アプリ]、Android は [マネージド Google Play アプリ] を選択します。
また、アプリの設定をするためには、Android だと事前に Intune とマネージド Google Play を紐づける作業が必要です。
iOS でも Apple MDM プッシュ通知証明書の登録が必要となりますが、アプリ設定の前までに登録するものではないため、最低限利用ユーザーさんに作業していただく前までに完了する必要があります。
ですので次回は、証明書の登録とアカウントの紐づけを手順について説明します。
最後に
MDM、MAM の設定項目は非常に多く、Docs などを確認しないと理解できない内容もありますが、比較的わかりやすく解説されている部分ですので是非挑戦してみてくださいね。
最後までご覧いただき、ありがとうございました!
モバイル端末を Intune に登録して制限を掛けてみよう②
