Microsoft Intune は個人の Windows 10 homeデバイスに対してBYODができない。いや、できるけど。Intuneの機能が超制限されるよって話

Microsoft Intune は個人の Windows 10 homeデバイスに対してBYODができない。いや、できるけど。Intuneの機能が超制限されるよって話

昨今のコロナ禍で、リモートワークが増えてきたと思います(n回目)
リモートワークをする上で気になるのが、やはりセキュリティ。
個人のPC端末を利用することも企業によってはあるでしょうし、普段接続するネットワークも違います。
また、以前は会社に置いたままのPCも持ち出す機会もあるかもしれません。そんな時に頼りになるのが、Microsoft IntuneAzure ADです!
(断じてマイクロソフトの回者ではありません。)

ここでAzure ADもMicrosoft Intuneも知らないよ!なんだそれ!っていう方の為に簡単に説明します。

●Azure ADとは・・・
マイクロソフトが展開するクラウドサービス、Azure上のADです。Azureは、他の製品で言うと、AWSとかGCPと同じものです。
ADとは、分かる人は一発ですが、簡単に言えば、ユーザーを管理しやすくするフォルダ構成のことです。
ユーザー情報をまとめて発行したり、グループごとに分けたりする、ユーザー管理ツールだと思ってください。

●Microsoft Intuneとは・・・
デバイスや、ユーザー情報をクラウドで一元管理できるようにするためのツールです。
社員のリモートワークやBYODに対応できるツールです。リモートで再起動をかけたり、暗号化するなどの事が可能になります。
Windows Pro, Enterprise, Educationなどのエディションで使用可能です。
(Winodws 10 home Editionでも使えますが、極端に機能が制限されるのでオススメしません。タイトルの通り。)

つまり、Azure AD上でユーザーとデバイス情報を一元管理し、Microsoft Intuneでデバイスやユーザーに制限をかけるイメージです。
これらに関するMicrosoftのドキュメントは膨大にあるので、使い方は各自で調べてもらうとして、ここでは注意点、ハマったポイントを共有したいと考えています。
マイクロソフトはBYODに対応できるとうたってますが、落とし穴が一点だけ。
それは、個人が所有するWindows 10 home デバイスに対しては、たいして管理や制限ができないということです。
iOS/Androidに対しては、それなりにMDMの証明書交換を実施したり、制御をかけられるのですが、Windows 10 home デバイスに対してできる事と言えば、企業が提供・指定したアプリケーションのリソース制御くらいです。
ですので、会社の全てのユーザー/デバイスを制御をするには、Pro以上のエディションが必須になってきます。
(一時期、Intuneは、Windows 10 homeにも対応!とマイクロソフト公式のドキュメントに書いてあったので、結構それに自分は振り回されてしまいました、、、)

まず、これらの機能を使用するためには、Azure ADにユーザーデバイスを参加または、登録する必要があります。
分かりますか?皆さん、この「登録」と「参加」に違いがあります。
Azure ADに登録できるのは、BYODやiOS/Android端末になります。これは「登録」=「Azure AD registered」の状態です。
Azure ADに参加できるのは、1つしかありません。Pro以上のエディションのWindows 10端末です。これが「参加」=「Azure AD joined」の状態です。
この後者の「参加」の状態であれば、クラウドでかなりのレベルまで管理・制御をすることが可能です。
ユーザーのデバイスを「登録」「参加」の状態にし、Microsoft Intuneで、条件付きアクセスのポリシーや、コンプライアンスポリシーを設定し、グループごとにこのポリシーを適用します。
具体的な設定方法は環境やデバイスによって異なりますので、Microsoft Docsを参照してください。
(マイクロソフトの資料は膨大かつ、多岐にわたるので読んで理解する為には、それなりの覚悟が必要です。)

ここで言いたいのは、Microsoft IntuneとAzure ADを使って、クラウドを一元管理しようとしている企業の方々は、Windows 10 homeは使用しない方が良いということです。それ以外であれば、iOS, Androidも管理対象にできるので、優れものだと思います。
導入される方は、注意しましょう。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です