デバイスの企業所有としての識別
適用対象: Android、iOS/iPadOS、Windows 10、Windows 11
Microsoft Intune管理センターで事前に会社の識別子を追加して、登録した直後に会社のデバイスが企業所有としてマークされていることを確認します。 会社のデバイスを管理する利点は、個人のデバイスよりも多くのデバイス管理機能を有効にすることです。 たとえば、Microsoft Intuneは会社のデバイスから完全な電話番号とアプリ インベントリを収集できますが、個人のデバイスの電話番号とアプリ インベントリの一部のみを収集できます。 Microsoft Intuneに会社の識別子を追加するには、管理センターで企業識別子のファイルをアップロードするか、各識別子を個別に入力します。
すべてのデプロイに企業識別子を追加する必要はありません。 登録中、Intuneは、次の方法でMicrosoft Entraに参加するデバイスに会社所有の状態を自動的に割り当てます。
- デバイス登録マネージャー アカウント (すべてのプラットフォーム)
- Apple School Manager、Apple Business Manager、Apple Configurator などの Apple デバイス登録プログラム (iOS/iPadOS のみ)
- Windows Autopilot
- Microsoft Intuneとグループ ポリシーとの共同管理 (GPO)
- Azure Virtual Desktop
- プロビジョニング パッケージを使用したモバイル デバイス管理 (MDM) の自動登録
- Knox Mobile Enrollment
- Android Enterprise 管理:
- Android オープン ソース プロジェクト (AOSP) 管理:
Microsoft Intuneは、Microsoft Entraに登録するデバイスを個人用としてマークします。
役割ベースのアクセス制御
Microsoft Intuneに企業識別子を追加するには、次のいずれかのロールを割り当てる必要があります。
- Microsoft Intune組み込みロールであるポリシーとプロファイル マネージャー
- Microsoft Entra組み込みロールであるIntune管理者
これらのロールは、会社のデバイス識別子の 読み取り、 削除、 作成、 更新 を行うことができます。
アクセス許可 | 説明 |
---|---|
読み取り | 業務用デバイスの ID として使用される IMEI またはシリアル番号を表示します。 |
削除 | 業務用デバイスの ID として使用される IMEI またはシリアル番号を削除します。 |
作成 | 新しい業務用デバイスの ID を作成するか、業務用デバイスの ID のリストを含む CSV ファイルをインポートします。 |
更新 | 業務用デバイスの ID として使用される IMEI またはシリアル番号を変更します。 |
また、会社の識別子を管理するユーザー用のカスタム Intune ロールを作成し、会社のデバイス識別子のアクセス許可を割り当てることもできます。 組み込みのロールとカスタム ロールの詳細については、「rbac with Microsoft Intune」を参照してください。
サポートされている企業識別子
開始する前に、追加する企業識別子の種類を決定します。 CSV ファイルごとに 1 種類の企業識別子を追加できます。 会社の識別子なしで登録するデバイスは、 個人用としてマークされます。 Intuneでは、次の識別子がサポートされています。
- IMEI
- シリアル番号
- シリアル番号、製造元、およびモデル (Windows のみ)
プラットフォーム別のサポート
次の表は、各プラットフォームでサポートされている識別子を示しています。 一致する識別子を持つデバイスが登録されると、Intuneは企業としてマークされます。
プラットフォーム | IMEI 番号 | シリアル番号 | シリアル番号、モデル、製造元 |
---|---|---|---|
Windows 11 | 非サポート | 非サポート | ✔️ Windows 11 バージョン 22H2 以降でKB5035942 (OS ビルド 22621.3374 および 22631.3374) でサポートされます。 |
Windows 10 | 非サポート | 非サポート | ✔️ Windows 10バージョン 22H2 以降のKB5039299 (OS ビルド 19045.4598) でサポートされます。 |
iOS/iPadOS | ✔️ 場合によってはサポートされます。 詳細については、「 Android、iOS 企業識別子の追加」を参照してください。 |
✔️ 可能な場合は、iOS/iPadOS の識別にシリアル番号を使用することをお勧めします。 |
非サポート |
macOS | 非サポート | ✔️ | 非サポート |
Android デバイス管理者 | ✔️ Android 9 以前でサポートされています。 |
✔️ Android 9 以前でサポートされています。 |
非サポート |
Android Enterprise、個人所有の仕事用プロファイル | ✔️ Android 11 以前でサポートされています。 |
✔️ Android 11 以前でサポートされています。 |
非サポート |
手順 1: CSV ファイルを作成する
企業識別子の一覧を作成し、CSV ファイルとして保存します。 ファイルごとに最大 5,000 行または 5 MB のデータを追加できます。どちらか先に追加します。 ヘッダーを追加しないでください。
重要
CSV ファイルごとに 1 種類の企業識別子のみを追加してください。
Android、iOS 企業識別子を追加する
Android および iOS/iPadOS プラットフォームの企業識別子を追加するには、次の例に示すように、1 行に 1 つの IMEI またはシリアル番号を一覧表示します。
01234567890123,device details
02234567890123,device details
ファイルに追加する前に、該当する場合はシリアル番号からすべての期間を削除します。 各企業識別子の後にデバイスの詳細を追加できます。 詳細の上限は 128 文字です。また、管理者のみが使用できます。 デバイスには表示されません。
Android および iOS/iPadOS デバイスには、複数の IMEI 番号を含めることができます。 Intuneは、登録されたデバイスごとに 1 つの IMEI を読み取り、記録します。 既にIntuneにある IMEI とは異なる IMEI をインポートした場合、Intuneはデバイスを個人用としてマークします。 同じデバイスに対して複数の IMEI 番号をインポートすると、インベントリされていない識別子が 不明 な登録状態で表示されます。
Android のシリアル番号が一意であるか、存在することが保証されていません。 シリアル番号が信頼できるデバイス ID であるかどうかを確認するには、デバイス サプライヤーに問い合わせてください。 デバイスからIntuneに報告されたシリアル番号が、Android 設定または Android デバイス情報に表示される ID と一致しない可能性があります。 デバイスの製造元から報告されたシリアル番号の種類をご確認ください。
Windows 企業識別子を追加する
重要
Windows 企業識別子は、登録時にのみ適用されます。 登録後のIntuneの所有権の種類は決定されません。 企業識別子は、Windows 10 KB5039299 (OS ビルド 19045.4598) 以降を実行しているデバイスでサポートされています。 以前のビルドでデバイスWindows 10登録する場合は、企業識別子機能を使用しないでください。
Windows 11を実行している企業デバイスの企業識別子を追加するには、次の例に示すように、各デバイスの製造元、モデル、シリアル番号を一覧表示します。
Microsoft,surface 5,01234567890123
Lenovo,thinkpad t14,02234567890123
ファイルに追加する前に、該当する場合はシリアル番号からすべての期間を削除します。
Windows 企業識別子を追加した後、Intuneは、3 つの識別子すべてに一致するデバイスを企業所有としてマークし、テナント内の他のすべての登録デバイスを個人用としてマークします。 つまり、Windows 企業識別子から除外するものは個人としてマークされますが、登録時にのみマークされます。 既存の Windows ロジックは、Intuneの最終的な状態を決定します。 詳細については、このセクションの表を参照してください。 Intuneで所有権の種類を変更するには、管理センターで手動で調整する必要があります。
次の表に、会社の識別子なしで登録するとき、および会社の識別子を使用して登録するときに、デバイスに付与される所有権の種類を示します。
ヒント
会社の識別子は、登録時にのみデバイスの状態を変更します。 つまり、デバイスの登録後、デバイスの状態は、テーブルの [ 企業識別子なし ] 列に表示されているものと一致します。
Windows 登録の種類 | 企業識別子なし | 企業識別子を使用する |
---|---|---|
デバイスは Windows Autopilot を使用して登録します | 企業 | 企業 |
デバイスは GPO を使用して登録するか、共同管理のためにConfiguration Managerからの自動登録を行います | 企業 | 企業 |
一括プロビジョニング パッケージを使用してデバイスが登録される | 企業 | 企業 |
登録ユーザーがデバイス登録マネージャー アカウントを使用している | 企業 | 企業 |
デバイスは Azure Virtual Desktop (非ハイブリッド) を介して登録します | 企業 | 企業 |
Windows セットアップ中にMicrosoft Entra参加を使用したMDM の自動登録 | 企業ですが、個人の登録制限によってブロックされます | 会社の識別子によって定義されている場合を除き、個人 |
Windows 設定からのMicrosoft Entra参加による MDM の自動登録 | 企業ですが、個人の登録制限によってブロックされます | 会社の識別子によって定義されている場合を除き、個人 |
既存デバイス向け Windows Autopilotを使用したMicrosoft Entra参加またはハイブリッド Entra 参加を使用した MDM の自動登録 | 企業ですが、個人の登録制限によってブロックされます | 会社の識別子によって定義されている場合を除き、個人 |
Autopilot デバイス準備プロファイル | 企業ですが、個人の登録制限によってブロックされます | 会社の識別子によって定義されている場合を除き、個人 |
Windows 設定からの職場アカウントの追加による MDM の自動登録 | 個人用 | 会社の識別子によって定義されている場合を除き、個人 |
[Windows 設定] の [MDM 登録のみ] オプション | 個人用 | 会社の識別子によって定義されている場合を除き、個人 |
Intune ポータル サイト アプリを使用した登録 | 個人用 | 会社の識別子によって定義されている場合を除き、個人 |
Microsoft 365 アプリを使用した登録。これは、ユーザーがアプリのサインイン中に [organizationにデバイスの管理を許可する] オプションを選択したときに発生します | 個人用 | 会社の識別子によって定義されている場合を除き、個人 |
Windows 企業識別子は、誰かがMicrosoft Intuneに追加した場合にのみ、所有権の種類を変更できます。 Intuneに Windows の企業識別子がない場合、または削除した場合、ドメインに参加しているMicrosoft Entraデバイスは、登録時に企業所有としてマークされます。 これには、 自動 MDM 登録を使用して登録されたデバイスが含まれます。
手順 2: 管理センターに企業識別子を追加する
企業識別子の CSV ファイルをアップロードすることも、Microsoft Intune管理センターで会社の識別子を手動で入力することもできます。 手動入力は、Windows 企業識別子では使用できません。
CSV ファイルをアップロードする
「手順 1: CSV ファイルを作成する」で作成した CSV ファイルをアップロードして、企業識別子を追加します。
Microsoft Intune 管理センターにサインインします。
[デバイス>登録] に移動します。
[ 会社のデバイス識別子 ] タブを選択します。
[追加>CSV ファイルのアップロード] を選択します。
識別子の種類を選択します。 次のようなオプションがあります。
- IMEI
- シリアル
- 製造元、モデル、シリアル番号 (Windows のみ)
[ 識別子のインポート] で、CSV ファイルを見つけて選択します。
csv ファイルIntune検証するまで待ちます。 デバイス識別子の合計数が画面に表示されたら、検証が完了します。
ヒント
インポートが失敗した場合は、CSV ファイルが書式設定要件を満たしていることをチェックします。
[ 追加] を選択し、管理センターの上部にある成功通知を探して、ファイルがインポートされていることを確認します。
注:
重複する識別子の確認を求めるポップアップ ウィンドウが表示されます。CSV ファイルに、既にIntuneされているが、デバイスの詳細が異なる企業識別子が含まれている場合に表示されます。 重複を解決するには、Intuneで上書きする識別子を選択します。 次に、[ OK] を 選択して識別子を追加します。 Intuneは、各識別子の最初の重複のみを比較します。
企業 ID を手動で入力する
Android および iOS/iPadOS に適用されます
Microsoft Intune管理センターで会社の識別子を手動で追加します。
管理センターで、[ デバイス>登録] に移動します。
[ 会社のデバイス識別子 ] タブを選択します。
[追加] を選択>手動で入力します。
識別子の種類を選択します。 次のようなオプションがあります。
- IMEI
- シリアル
会社の識別子と詳細を入力します。 識別子の入力が完了したら、[ 追加] を選択します。
[ 最新の情報に更新] を選択して、リストを再読み込みします。 追加した企業識別子が表示されます。
注:
重複する識別子を確認するように求めるポップアップ ウィンドウは、エントリに既にIntuneされているが、デバイスの詳細が異なる会社の識別子が含まれている場合に表示されます。 重複を解決するには、上書きする識別子を選択します。 次に、[ OK] を 選択して識別子を追加します。 Intuneは、各識別子の最初の重複のみを比較します。
登録の状態を確認する
インポートされたデバイスをフォローアップして、Intuneに登録されていることを確認します。 会社の識別子を追加すると、管理センターでデバイスの状態を確認できます。
- 登録済み: デバイスが登録を完了しました。
- [未接続]: デバイスがMicrosoft Intune サービスに接続されていません。
- 該当なし
- 失敗: デバイスが登録を完了しませんでした。
企業 ID を削除する
- 管理センターで、[ デバイス>登録] に移動します。
- [ 会社のデバイス識別子 ] タブを選択します。
- 削除するデバイス識別子を選択し、[削除] を選択します。
- 削除を確認します。
登録済みデバイスの企業識別子を削除しても、デバイスの所有権は変更されません。
デバイス所有権を変更する
登録後にデバイスの ID を編集するには、管理センターでその所有権の設定を変更します。 Microsoft Intuneのデバイス レコードごとに所有権プロパティが表示されます。
[ デバイス>すべてのデバイス] に移動します。
デバイスを選択します。
[プロパティ] を選択します。
[ デバイスの所有権] で、[ 個人用 ] または [ 会社] を選択します。
デバイスの所有権の種類を会社から個人に変更すると、Intuneは、そのデバイスから以前に収集したすべてのアプリ情報を 7 日以内に削除します。 該当する場合、Intuneはレコードの電話番号も削除します。 Intuneは、デバイスに IT 管理者がインストールしたアプリのインベントリと部分的な電話番号を収集します。
iOS/iPad または Android デバイスの所有権を個人から企業に変更すると、ポータル サイト アプリを通じてプッシュ通知が送信され、デバイス ユーザーに変更が通知されます。 プッシュ通知を構成するには、 テナント管理>Customization に移動します。 詳しくは、Intune ポータル サイトの構成に関するページをご覧ください。
個人デバイスのブロック
すべての個人用デバイスが登録されないようにするには、個人用デバイスの 登録プラットフォームの制限 を構成します。
登録エラーの理由を確認するには、[ デバイス>登録エラー ] に移動し、[ 失敗の理由] の下の表を確認します。 この場合、理由は 登録制限が満たされていないことです。 エラーの詳細を開く理由を選択します。
既知の問題と制限事項
Windows 企業デバイス識別子は、登録時にのみ適用されます。 つまり、企業識別子を持つデバイスが [Windows 設定から作業アカウントを追加 ] オプションを使用して登録すると、登録時にのみ企業所有としてマークされます。 Microsoft Intuneは、登録制限評価の会社のデバイスとして扱われますが、その後、デバイスは管理センターに個人用デバイスとして表示されます。 所有権の種類を判断するには、「 Windows 企業識別子の追加 」の表を参照してください。 [ 企業識別子なし ] 列を参照して、長期的にテナントに会社または個人が残っているデバイスを確認します。
Windows 企業デバイス識別子は、次を実行しているデバイスでのみサポートされます。
バージョン 22H2 (OS ビルド 19045.4598) 以降をWindows 10します。
バージョン 22H2 (OS ビルド 22621.3374) 以降をWindows 11します。
バージョン 23H2 (OS ビルド 22631.3374) 以降をWindows 11します。
以前のバージョンでは、モデルと製造元のプロパティをレンダリングできません。 その結果、プロパティは管理センターに [不明] として表示されます。
管理センターでは、Windows 企業識別子用に最大 10 個の CSV ファイルをアップロードできます。 さらにデータをアップロードする必要がある場合は、PowerShell または Microsoft Intune Graph API を使用して企業識別子を追加することをお勧めします。
現在、Windows では CSV ファイルのデバイスの詳細はサポートされていません。
ポータル サイトおよびアカウント駆動型ユーザー登録企業識別子を使用した Apple ユーザー登録は、MDM がデバイスのシリアル番号、IMEI、UDID にアクセスできないため、現在サポートされていません。
リソース
国際モバイル機器識別子の詳細については、「 3GGPP TS 23.003」を参照してください。
次のスクリプトを使用して、Windows 企業識別子に必要なデバイスの詳細を取得できます。
(Get-WmiObject -Class Win32_ComputerSystem | ForEach-Object {$_.Manufacturer, $_.Model, (Get-WmiObject -Class Win32_BIOS).SerialNumber -join ',' })
デバイスの詳細をリモートで要求するには、次のスクリプトを使用します。
Get-CimInstance -ClassName Win32_ComputerSystem | ForEach-Object {$_.Manufacturer, $_.Model, (Get-CimInstance -ClassName Win32_BIOS).SerialNumber -join ','}
シリアル番号の検索の詳細については、「Surface シリアル番号の 検索」を参照してください。