私物デバイスからOffice 365へアクセスするのを禁止したいという要望に対応した時の話です。
要望があったのはテナント内の一部のグループで、Microsoft 365テナントと連携しているActive Directoryとは別のActive Directoryを持っていたため連携していません。
Microsoft Intuneの準備
後でiPhoneを登録する際に必要となるので、iPhone用のデバイスカテゴリを作成しておきます。
デバイス側の設定
対象グループが使用している端末はWindows 10のPCとiPhoneです。
どちらもEntra IDに登録して、Microsoft Intuneの条件付きアクセスで、デバイスのフィルターを利用して制御します。
Windows PCをEntra IDに登録
当時はWindows 10で行いましたが、ここではWindows 11で記載します。
- 職場または学校にアクセスする
- Windowsの設定を開き、アカウント>職場または学校へのアクセス>職場または学校アカウントを追加の「接続」を押下
- メールアドレスを入力して次へ
iPhoneをEntra IDに登録
- App StoreでIntuneポータルサイトアプリをインストールします。
Microsoft Intuneの設定
- ユーザーとグループ:要望があったグループ
- クラウドアプリまたは操作:Office 365
- 条件:
- デバイスプラットフォーム:WindowsとiOS(除外?)
それぞれ別のポリシーを作成しました。理由は後述 - デバイスのフィルター:”TrustType 次の値に等しい Entra ID登録済み” または “TrustType 次の値に等しい Entra ID参加済み”
対象グループが利用するデバイスには各自Azure AD登録をお願いしていましたが、一般ユーザーがその設定を行うため登録ではなく参加で終わってしまう可能性も考え、どちらか一方を満たせば社用デバイスとして判断するように設定しました。
- デバイスプラットフォーム:WindowsとiOS(除外?)
- 許可:アクセスのブロック
しかしこの状態では、Azure AD登録した社用デバイスからのアクセスであってもデバイス情報を読み取れず、私物デバイスとみなされブロックされる端末がありました。サインインログによると、すべての通信でデバイス情報を取得できている端末、逆にすべて取得できない端末、その間のデバイス情報が取得出来たりできなかったりする端末の3通りすべて出揃っています。取得出来たり出来なかったりする端末は、特定のアプリケーションであれば取得できるもの、ブラウザがChromeであれば取得できるもの、ある期間だけ取得できているもの…等様々で、原因の特定が出来ませんでした。