情シス仕事の備忘録

自身の備忘録を兼ねて、情シス仕事で役に立ちそうな情報を掲載しています

Microsoft Intune デバイス管理(組織支給Android)1

Microsoft社が提供するクラウドベースのデバイス管理サービス「Microsoft Intune」における、組織支給Androidデバイスの管理方法の例を紹介します。
これにより、デバイスの各種設定やアプリ導入の制御を行い、セキュリティルールに準拠しないデバイスに組織のアプリを使用させないといった制約を施すことができます。

・操作環境:
 ・OS:Windows 11
 ・Webブラウザー:Edge
・使用プラン:Microsoft 365 Business Premium(試用版)
・管理デバイス環境:Android OS 14

 

 

組織支給Androidのデバイス管理の要件を整理する

この例では、以下のような要件でデバイス管理の設定を行います。
この要件が一般的な組織のベストプラクティスという訳ではありません。

  1. デバイス登録:
    システム管理者が準備設定し、デバイス使用者がMS365にサインインすることでデバイス登録済となり業務利用可能とする
  2. デバイス構成ポリシー:
    デバイスの制限:USBファイル転送禁止、外部メディア使用禁止
  3. コンプライアンスポリシー:
    デバイス暗号化必須、ロックパスワード必須、OS Version13以上
  4. 条件付きアクセスポリシー:
    項番3の準拠済デバイスに対し、組織のアプリ(MS365,Google)にアクセスを許可(非準拠デバイスの組織アプリにアクセスさせない)
  5. アプリ展開:
    Google関連(Chrome, ドライブ), Microsoft関連(Edge, 365(Office), OneDrive, Outlook, Teams)
    ※MS365(Office)アプリのみ導入必須とし、他は任意とする
    ※認証アプリMicrosoft Authenticatorは自動インストールされるため、アプリ展開の対象にしていない

 

MS Intune管理センターで組織支給Android用のプロファイルを作成する

WebブラウザーよりMicrosoft Intune管理センターにアクセスし、左メニューの[デバイス]を選択し、サブメニューの[プラットフォーム別>Android]を選択します。
サブメニューの[デバイスのオンボーディング>登録]を選択し、[会社が所有する完全に管理されたユーザーデバイス]を選択します。
※Microsoft Intune管理センター:Microsoft Intune admin center

 

[プロファイルの作成]を選択します。
以下の通り指定し、[次へ]を選択します。
・名前:(組織支給Androidであることが分かる名前)(※)
・トークンの種類:企業所有、フルマネージド(限定)
※この例では[○○_機種A]と記載しましたが、デバイス構成ポリシーやコンプライアンスポリシーを機種別に変える要件がなければ不要な文言です(紛らわしい名前の例でごめんなさい)。
ここで設定した名前は次の工程で使いますので、控えておいてください。

 

設定内容を確認し、問題なければ[作成]を選択します。
一覧画面に戻りましたら、今作成したプロファイルを選択します。
サブメニューの[管理>トークン]を選択すると、QRコードが表示されます。使用者にデバイスを配布する前、システム管理者がこのQRコードを使ってデバイス登録の準備を行います(次の記事で紹介します)。

 

MS Intune管理センターで組織支給Android用デバイスグループを作成する

Microsoft Intune管理センターの左メニューの[グループ]を選択し、サブメニューの[すべてのグループ]を選択し、[新しいグループ]を選択します。

 

以下の通り設定します。
・グループの種類:セキュリティ
・グループ名:(組織支給Androidデバイスであることがわかるような名前)
・メンバーシップの種類:動的デバイス
・所有者:システム管理者
[動的なデバイスメンバー]の[動的クエリの追加]を選択します。

 

前の画面に戻って[作成]を選択します。
一覧画面に戻り、少し時間が経つと、作成したグループが表示されます。

 

MS Intune管理センターでデバイス構成ポリシーを作成する

この例では、デバイス制御のテンプレートを使ってデバイス構成ポリシー作成します。
Microsoft Intune管理センターの左メニューの[デバイス]を選択し、サブメニューの[プラットフォーム別>Android]を選択します。
サブメニューの[デバイスの管理>構成]を選択し、[作成>新しいポリシー]を選択します。

 

[プロファイルの作成]画面で以下の通り指定し、[作成]を選択します。
・プラットフォーム:Android Enterprise
・プロファイルの種類:デバイスの制限
プロファイルの名前を適宜入力し、[次へ]を選択します。

 

冒頭の要件に従い、[構成設定]画面で必要な項目を設定し、[次へ]を選択します。
※少々見づらいですが、紫色の項目が変更した項目です
※この画面上には他にも多くの設定項目がありますが、割愛しています

 

[割り当て]画面で[グループを追加]を選択し、工程3で作成したデバイスグループを選択し、[次へ]を選択します。

 

[確認および作成]画面で設定内容を確認し、問題なければ[作成]を選択します。
一覧画面に戻ると、作成したデバイス構成ポリシーが表示されます。
デバイス構成ポリシーのチェック状況の確認方法は、以前の記事のWindowsPCのデバイス管理で紹介した手順と同じですので、よろしければ参考にしてください。

 

MS Intune管理センターでコンプライアンスポリシーを作成する

Microsoft Intune管理センターの左メニューの[デバイス]を選択し、サブメニューの[プラットフォーム別>Android]を選択します。
サブメニューの[デバイスの管理>コンプライアンス]を選択し、 [ポリシーの作成]を選択します。

 

[ポリシーの作成]画面で以下の通り指定し、[作成]を選択します。
・プラットフォーム:Android Enterprise
・プロファイルの種類:Fully managed, dedicated,・・・
ポリシーの名前を適宜入力し、[次へ]を選択します。

 

冒頭の要件に従い、[コンプライアンス設定]画面で必要な項目を設定します。

 

[コンプライアンス非対応に対するアクション]画面は、この例ではデフォルト設定(非準拠のマークをつける:即時)のままとします。
[割り当て]画面で[グループを追加]を選択し、工程3で作成したデバイスグループを選択し、[次へ]を選択します。

 

[確認および作成]画面で設定内容を確認し、問題なければ[作成]を選択します。
一覧画面に戻ると、作成したデバイス構成ポリシーが表示されます。
なお、コンプライアンスポリシーのチェック状況の確認方法は、以前の記事のWindowsPCのデバイス管理で紹介した手順と同じですので、よろしければ参考にしてください。

 

MS Intune管理センターで条件付きアクセスポリシーを作成する

以前の記事の私有Androidのデバイス管理の中の、条件付きアクセスポリシーを共通のポリシーとして作成しています。手順はそちらの記事を参考にしてください。

 

MS Intune管理センターでアプリ展開の設定を行う

以前の記事の私有Androidのデバイス管理の中の、アプリ展開を共通的に設定しています。手順はそちらの記事を参考にしてください。

 

次の記事に続きます。