IT Hands-on Lab

小規模組織向けIT環境の構築・運用に役立つ情報を、ハンズオン形式で紹介しています。

トップ > MSIntune > 【Microsoft Intune】デバイス管理 | 組織支給Android1
最終更新日

【Microsoft Intune】デバイス管理 | 組織支給Android1

MSIntune インフラ

Microsoft Intune デバイス管理(組織支給Android)1

Microsoft社が提供するクラウドベースのデバイス管理サービス「Microsoft Intune」における、組織支給Androidデバイスの管理方法の例を紹介します。
これにより、デバイスの各種設定やアプリ導入の制御を行い、セキュリティルールに準拠しないデバイスに組織のアプリを使用させないといった制約を施すことができます。
  • 操作環境:
    • OS:Windows 11
    • Webブラウザー:Edge
  • 使用プラン:Microsoft 365 Business Premium(試用版)
  • 管理デバイス環境:Android OS 14

 

 

組織支給Android デバイス管理の要件整理

この例では、以下のような要件でデバイス管理の設定を行います。
この要件が一般的な組織のベストプラクティスという訳ではありません。

  1. デバイス登録
    システム管理者が準備設定し、デバイス使用者がMS365にサインインすることでデバイス登録済となり業務利用可能とする
  2. デバイス構成ポリシー
    デバイスの制限:USBファイル転送禁止、外部メディア使用禁止
  3. コンプライアンスポリシー
    デバイス暗号化必須、ロックパスワード必須、OS Version13以上
  4. 条件付きアクセスポリシー
    項番3の準拠済デバイスに対し、組織のアプリ(MS365,Google)にアクセスを許可(非準拠デバイスの組織アプリにアクセスさせない)
  5. アプリ展開
    Google関連(Chrome, ドライブ), Microsoft関連(Edge, 365(Office), OneDrive, Outlook, Teams)
    *MS365(Office)アプリのみ導入必須とし、他は任意とする
    *認証アプリMicrosoft Authenticatorは自動インストールされるため、アプリ展開の対象にしていない

 

Intune管理C 組織支給Android用プロファイル作成

WebブラウザーよりMicrosoft Intune管理センターにアクセスし、左メニューの[デバイス]を選択し、サブメニューの[プラットフォーム別>Android]を選択します。
まず、[マネージド Google Play]の設定が未実施の場合、以前の記事を参考に、設定を済ませておく必要があります。
その後、サブメニューの[デバイスのオンボーディング>登録]を選択し、[会社が所有する完全に管理されたユーザーデバイス]を選択します。

図表2-1 Intune管理センターの組織支給Android用プロファイル作成へ

図表2-1 Intune管理センターの組織支給Android用プロファイル作成へ

 

[プロファイルの作成]を選択します。
以下の通り指定し、[次へ]を選択します。

  • 名前:(組織支給Androidであることが分かる名前)(*)
  • トークンの種類:企業所有、フルマネージド(限定)
*この例では[○○_機種A]と記載しましたが、デバイス構成ポリシーやコンプライアンスポリシーを機種別に変える要件がなければ不要な文言です(紛らわしい名前の例でごめんなさい)

ここで設定した名前は次の工程で使いますので、控えておいてください。

図表2-2 組織支給Android用プロファイル作成

図表2-2 組織支給Android用プロファイル作成

 

設定内容を確認し、問題なければ[作成]を選択します。
一覧画面に戻りましたら、作成したプロファイルを選択します。
サブメニューの[管理>トークン]を選択すると、QRコードが表示されます。使用者にデバイスを配布する前、システム管理者がこのQRコードを使ってデバイス登録の準備を行います(次の記事で紹介します)。

図表2-3 組織支給Android用プロファイル確認

図表2-3 組織支給Android用プロファイル確認

 

Intune管理C デバイスグループ作成

Microsoft Intune管理センターの左メニューの[グループ]を選択し、サブメニューの[すべてのグループ]を選択し、[新しいグループ]を選択します。

図表3-1 Intune管理センターの組織支給Android用デバイスグループ作成へ

図表3-1 Intune管理センターの組織支給Android用デバイスグループ作成へ

 

以下の通り設定します。

  • グループの種類:セキュリティ
  • グループ名:(組織支給Androidデバイスであることがわかるような名前)
  • メンバーシップの種類:動的デバイス
  • 所有者:システム管理者

[動的なデバイスメンバー]の[動的クエリの追加]を選択します。

図表3-2 組織支給Android用デバイスグループ作成(基本設定)

図表3-2 組織支給Android用デバイスグループ作成(基本設定)

 

[ルールの構成]タブで以下の通り設定し、[保存]を選択します。。

  • プロパティ:enrollmentProfileName
  • 演算子:Equals
  • 値:組織支給Android_機種A(工程2のプロファイル名)

なお、[編集]から直接ルールを記述する場合は以下の通りとなります。

(device.enrollmentProfileName -eq "組織支給Android_機種A")

図表3-3 組織支給Android用デバイスグループ作成(動的クエリ)

図表3-3 組織支給Android用デバイスグループ作成(動的クエリ)

 

前の画面に戻って[作成]を選択します。
一覧画面に戻り、少し時間が経つと、作成したグループが表示されます。

図表3-4 組織支給Android用デバイスグループ作成(作成,結果確認)

図表3-4 組織支給Android用デバイスグループ作成(作成,結果確認)

 

 

 

Intune管理C デバイス構成ポリシー作成

この例では、デバイス制御のテンプレートを使ってデバイス構成ポリシー作成します。
Microsoft Intune管理センターの左メニューの[デバイス]を選択し、サブメニューの[プラットフォーム別>Android]を選択します。
サブメニューの[デバイスの管理>構成]を選択し、[作成>新しいポリシー]を選択します。

図表4-1 Intune管理センターのデバイス構成ポリシー作成へ

図表4-1 Intune管理センターのデバイス構成ポリシー作成へ

 

[プロファイルの作成]画面で以下の通り指定し、[作成]を選択します。

  • プラットフォーム:Android Enterprise
  • プロファイルの種類:デバイスの制限

プロファイルの名前を適宜入力し、[次へ]を選択します。

図表4-2 デバイス構成ポリシー作成(基本)

図表4-2 デバイス構成ポリシー作成(基本)

 

冒頭の要件に従い、[構成設定]画面で必要な項目を設定し、[次へ]を選択します。

*少々見づらいですが、紫色の項目が変更した項目です
*この画面上には他にも多くの設定項目がありますが、割愛しています
  • 全般>USBデバイスの転送:ブロック
  • 全般>外部メディア:ブロック

図表4-3 デバイス構成ポリシー作成(構成設定)

図表4-3 デバイス構成ポリシー作成(構成設定)

 

[割り当て]画面で[グループを追加]を選択し、工程3で作成したデバイスグループを選択し、[次へ]を選択します。

図表4-4 デバイス構成ポリシー作成(割り当て)

図表4-4 デバイス構成ポリシー作成(割り当て)

 

[確認および作成]画面で設定内容を確認し、問題なければ[作成]を選択します。
一覧画面に戻ると、作成したデバイス構成ポリシーが表示されます。
デバイス構成ポリシーのチェック状況の確認方法は、以前の記事のWindowsPCのデバイス管理で紹介した手順と同じですので、よろしければ参考にしてください。

図表4-5 デバイス構成ポリシー作成(作成と結果確認)

図表4-5 デバイス構成ポリシー作成(作成と結果確認)

 

Intune管理C コンプライアンスポリシー作成

Microsoft Intune管理センターの左メニューの[デバイス]を選択し、サブメニューの[プラットフォーム別>Android]を選択します。
サブメニューの[デバイスの管理>コンプライアンス]を選択し、 [ポリシーの作成]を選択します。

図表5-1 Intune管理センターのコンプライアンスポリシー作成へ

図表5-1 Intune管理センターのコンプライアンスポリシー作成へ

 

[ポリシーの作成]画面で以下の通り指定し、[作成]を選択します。

  • プラットフォーム:Android Enterprise
  • プロファイルの種類:Fully managed, dedicated, and corporate-owned work profile

ポリシーの名前を適宜入力し、[次へ]を選択します。

図表5-2 コンプライアンスポリシー作成(基本)

図表5-2 コンプライアンスポリシー作成(基本)

 

冒頭の要件に従い、[コンプライアンス設定]画面で必要な項目を設定します。

  • デバイスの正常性>デバイスは、デバイス脅威レベル以下であることが必要:中
  • デバイスのプロパティ>最小OSバージョン:13
  • システムセキュリティ>モバイルデバイスのロックを解除するときにパスワードを要求する:必要
  • システムセキュリティ>必要なパスワードの種類:数字
  • システムセキュリティ>パスワードの最小文字数:4
  • システムセキュリティ>暗号化:必要

図表5-3 コンプライアンスポリシー作成(コンプライアンス設定)

図表5-3 コンプライアンスポリシー作成(コンプライアンス設定)

 

[コンプライアンス非対応に対するアクション]画面は、この例ではデフォルト設定(非準拠のマークをつける:即時)のままとします。
[割り当て]画面で[グループを追加]を選択し、工程3で作成したデバイスグループを選択し、[次へ]を選択します。

図表5-4 コンプライアンスポリシー作成(非対応時アクション),割り当て

図表5-4 コンプライアンスポリシー作成(非対応時アクション,割り当て)

 

[確認および作成]画面で設定内容を確認し、問題なければ[作成]を選択します。
一覧画面に戻ると、作成したデバイス構成ポリシーが表示されます。
なお、コンプライアンスポリシーのチェック状況の確認方法は、以前の記事のWindowsPCのデバイス管理で紹介した手順と同じですので、よろしければ参考にしてください。

図表5-5 コンプライアンスポリシー作成(作成と結果確認)

図表5-5 コンプライアンスポリシー作成(作成と結果確認)

 

Intune管理C 条件付きアクセスポリシー作成

以前の記事の私有Androidのデバイス管理の中の、条件付きアクセスポリシーを共通のポリシーとして作成しています。手順はそちらの記事を参考にしてください。

 

Intune管理C アプリ展開設定

以前の記事の私有Androidのデバイス管理の中の、アプリ展開を共通的に設定しています。手順はそちらの記事を参考にしてください。

 

次の記事に続きます。

 

 

当ブログ内の連載記事

elmgrn.hatenablog.com

 

当ブログ内の関連記事

elmgrn.hatenablog.com

elmgrn.hatenablog.com