デバイス プラットフォームの制限を作成する
適用対象: Android、iOS/iPadOS、macOS、Windows 10、Windows 11
デバイス プラットフォームの登録制限ポリシーを作成して、デバイスが Intune に登録されないように制限します。 利用可能な制限は次のとおりです。
- デバイスのプラットフォーム
- OS のバージョン
- 製造元
- 所有権 (個人所有)
Microsoft Intune管理センターで新しいデバイス プラットフォーム制限ポリシーを作成するか、既に使用可能な既定のポリシーを使用できます。 最大 25 個のデバイス プラットフォーム制限ポリシーを設定できます。
この記事では、Microsoft Intune でサポートされているデバイス プラットフォームの制限と、それらを管理センターで構成する方法について説明します。
役割ベースのアクセス制御
Microsoft Intuneでデバイス プラットフォームの制限を作成するには、管理者Intune割り当てる必要があります。 このロールは、Microsoft Entra IDに組み込まれており、次のことができます。
デバイス プラットフォームの制限を作成する
デバイス プラットフォームの制限を編集する
デバイス プラットフォームの制限を削除する
デバイス プラットフォームの制限をリプリタイズする
その他のすべての組み込みIntuneロールには、デバイス プラットフォームの制限への読み取り専用アクセス権があります。 デバイス プラットフォームの制限にスコープ タグを適用して、アクセスをさらに制限できます。 ロールベースのアクセス制御 (RBAC) の詳細については、「Microsoft Intuneを使用した RBAC」を参照してください。
既定のポリシー
Microsoft Intune には、必要に応じて編集およびカスタマイズできるデバイス プラットフォーム制限の既定のポリシーが 1 つ用意されています。 Intune では、より優先度が高いポリシーを割り当てるまで、すべてのユーザーとユーザーなしの登録に既定のポリシーが適用されます。
ベスト プラクティス - Android プラットフォームの制限
Intuneでは 2 つの Android プラットフォームがサポートされているため、OS のバージョン制限がデバイス プラットフォームの制限と共に使用される場合の動作を理解することが重要です。
- 同じグループに対して両方のプラットフォームを許可し、特定のバージョンと重複しないバージョンに合わせて調整Intune、バージョンを確認して Android 登録フロー デバイスが通過することを確認します。
- 両方のプラットフォームを許可し、同じバージョンをブロックすると、ブロックされたバージョンを実行するデバイスは登録できません。 これらのデバイスのユーザーは、Android デバイス管理者の登録フローを通して送信され、ブロックされ、サインアウトするように求められます。
重要
Microsoft Intuneは、2024 年 12 月 31 日に Google Mobile Services (GMS) にアクセスできるデバイスでの Android デバイス管理者管理のサポートを終了します。 その日以降、デバイスの登録、テクニカル サポート、バグ修正、セキュリティ修正は利用できなくなります。 現在デバイス管理者管理を使用している場合は、サポートが終了する前に、Intune で別の Android 管理オプションに切り替えることを推奨します。 詳細については、「 GMS デバイスでの Android デバイス管理者のサポートの終了」を参照してください。
デバイス プラットフォームの制限を作成する
Microsoft Intune管理センターにサインインし、[デバイス] に移動します。
[ デバイス オンボード] で、[ 登録] を選択します。
[ 登録オプション] で、[ デバイス プラットフォームの制限] を選択します。
構成するプラットフォームに対応するページの上部にあるタブを選択します。 次のようなオプションがあります。
- Windows の制限
- Android の制限
- macOS の制限
- iOS の制限
[制限の作成] を選択します。
[基本] ページで、制限の [名前] を入力します。[説明] の入力は省略できます。
[次へ] を選択します。
[プラットフォーム設定] ページで、選択したプラットフォームの制限を構成します。 次のようなオプションがあります:
プラットフォーム (Android): プラットフォームの登録を許可するには [許可] を選択し、制限するには [ブロック] を選択します。
MDM (Windows、macOS、iOS/iPadOS): プラットフォームの登録を許可するには [許可] を選択し、制限するには [ブロック] を選択します。
[個人所有]: [許可する]を選択すると、デバイスを個人用として登録および運用できます。
デバイスの製造元 (Android): ブロックする製造元のコンマ区切りの一覧を入力します。
最小/最大範囲を許可する (Android、Windows、iOS/iPadOS): 登録が許可されている OS の最小バージョンと最大バージョンを入力します。 サポートされるバージョン形式:
Windows では、Windows 10とWindows 11の major.minor.build.rev がサポートされています。 Intune登録時にリビジョン番号を受け取らないので、リビジョン番号に「0」と入力します。
Android デバイス管理者と Android Enterprise 仕事用プロファイルでは、major.minor.rev.build がサポートされます。
iOS/iPadOS では、major.minor.rev がサポートされています。
ヒント
最小/最大範囲は、デバイス登録プログラム、Apple School Manager、または Apple Configurator アプリで登録する Apple デバイスには適用されません。 Intuneでは、認証にポータル サイトを使用する ADE 登録はブロックされませんが、OS 要件を満たしていないと、条件付きアクセス ポリシーの評価に使用されるMicrosoft Entra デバイス レコードを作成できないため、登録に影響します。 これは、デバイス ユーザーがポータル サイトにサインインした後に "ユーザーとデバイス レコードをマップできませんでした" というエラー メッセージを受信した場合に発生します。
[次へ] を選択します。
必要に応じて、スコープ タグを制限に追加します。 スコープ タグの詳細については、「分散 IT のためのロールベースのアクセス制御とスコープのタグの使用」をご覧ください。
注:
スコープ タグを制限に適用すると、スコープ内の Intune ユーザーだけがポリシーを表示および管理できます。 スコープ内のユーザーだけが制限の表示と並べ替えを行い、優先度レベルを変更できます。 また、すべての制限を表示できない場合でも、制限の相対的な優先度を確認できます。
[次へ] を選択します。
[割り当て] ページで、[グループの追加] を選択し、検索ボックスを使用してグループを検索して選択します。 すべてのデバイス ユーザーに制限を割り当てるには、[すべてのユーザーを追加] を選択します。 少なくとも 1 つのグループに制限を割り当てない場合、制限は有効になりません。
必要に応じて、グループを割り当てた後、[フィルターの編集] を選択して、フィルターを使用してポリシーの割り当てをさらに制限します。 フィルターは、macOS、iOS、および Windows ポリシーで使用できます。 詳細については、この記事の 「割り当てフィルターを適用 する」を参照してください。
[次へ] を選択します。
ポリシーを確認し、[作成] を選択して作成します。
新しい制限ポリシーを表示し、[登録デバイス プラットフォーム制限]>[デバイスの種類の制限] テーブルでそのプロパティにアクセスできます。 制限を選択してドラッグし、テーブル内の位置を変更し、優先順位を変更します。
割り当てフィルターを適用する
割り当てフィルターを使用して、特定のグループを対象とするポリシーに追加のデバイスを含めたり除外したりすることができます。 登録制限と ESP ポリシーはどちらも、割り当てフィルターの使用をサポートします。
たとえば、フィルターを使用すると、特定のオペレーティング システム SKU を実行するデバイスをブロックしながら、個人用 Windows デバイスを登録できます。 これを実現するには、登録制限の割り当てに事前構成済みフィルターを適用します。 フィルターの規則に operatingSystemSKU
プロパティが含まれている必要があります。 手順の例:
- Windows のプラットフォーム登録制限ポリシーを作成します。
- プラットフォーム設定で、個人のデバイスの登録を許可するオプションを選択します。
- 割り当ての設定で、割り当てるグループを選択します。
-
[フィルターの編集] を選択し、
operatingSystemSKU
プロパティを含む事前構成済みフィルターを適用します。 適用されたプロパティは、Windows 10 Home エディションを実行するデバイスをブロックします。
フィルターの作成の詳細については、[フィルターの作成] を参照してください。
注:
登録中に割り当てフィルターを処理するには、余分な時間がかかります。 ユーザー、グループ、フィルターの割り当てを処理するMicrosoft EntraとIntuneの間の更新は、通常、15 分以内に行われます。 インスタントではありません。 この時間は、登録の割り当てに影響する可能性があります。 登録ユーザーをグループに追加した数分後、直後ではなく、デバイスを待機して登録する必要があります。
サポートされるフィルター プロパティ
登録制限では、他のグループを対象とするポリシーよりも少ないフィルター プロパティがサポートされます。 これは、デバイスがまだ登録されていないため、Intune にすべてのプロパティをサポートするためのデバイス情報がないためです。 プロパティの限定的な選択は、次の場合に使用できるようになります。
- Apple デバイスと Windows デバイスのデバイス プラットフォーム制限ポリシーを構成します。
- Windows の登録状態ページ (ESP) ポリシーを構成します。
- 登録制限または ESP プロファイルで使用中のフィルターを編集します。
次のフィルター プロパティは、登録ポリシーで常に使用できます:
Windows
- 製造元 - Windows 11バージョン 22H2 以降とKB5035942 (OS ビルド 22621.3374 および 22631.3374)。
- モデル - Windows 11の場合、バージョン 22H2 以降とKB5035942 (OS ビルド 22621.3374 および 22631.3374)。
- OS のバージョン
- オペレーティング システム SKU
- 所有権
- 登録プロファイル名
iOS/iPadOS および macOS
- 製造元
- モデル
- OS のバージョン
- 所有権
- 登録プロファイル名
これらのプロパティの詳細についてはデバイス プロパティを参照してください。 Android 登録制限ではフィルターを使用できません。
登録制限を編集する
編集は新しい登録に適用され、既に登録されているデバイスには影響しません。
- [デバイス>登録] に戻ります。
- [ デバイス プラットフォームの制限 ] を選択し、制限が属する OS プラットフォームを選択します。
- [デバイスの種類の制限] テーブルで、変更するポリシーの名前を選択します。
- [プロパティ] をクリックします。
- [編集] を選択します。
- 変更を加えて、[確認と保存] を選択します。
- 変更を確認し、[保存] を選択します。