次の方法で共有


デバイス プラットフォームの制限を作成する

適用対象: Android、iOS/iPadOS、macOS、Windows 10、Windows 11

デバイス プラットフォームの登録制限ポリシーを作成して、デバイスが Intune に登録されないように制限します。 利用可能な制限は次のとおりです。

  • デバイスのプラットフォーム
  • OS のバージョン
  • 製造元
  • 所有権 (個人所有)

Microsoft Intune管理センターで新しいデバイス プラットフォーム制限ポリシーを作成するか、既に使用可能な既定のポリシーを使用できます。 最大 25 個のデバイス プラットフォーム制限ポリシーを設定できます。

この記事では、Microsoft Intune でサポートされているデバイス プラットフォームの制限と、それらを管理センターで構成する方法について説明します。

役割ベースのアクセス制御

Microsoft Intuneでデバイス プラットフォームの制限を作成するには、管理者Intune割り当てる必要があります。 このロールは、Microsoft Entra IDに組み込まれており、次のことができます。

  • デバイス プラットフォームの制限を作成する

  • デバイス プラットフォームの制限を編集する

  • デバイス プラットフォームの制限を削除する

  • デバイス プラットフォームの制限をリプリタイズする

その他のすべての組み込みIntuneロールには、デバイス プラットフォームの制限への読み取り専用アクセス権があります。 デバイス プラットフォームの制限にスコープ タグを適用して、アクセスをさらに制限できます。 ロールベースのアクセス制御 (RBAC) の詳細については、「Microsoft Intuneを使用した RBAC」を参照してください。

既定のポリシー

Microsoft Intune には、必要に応じて編集およびカスタマイズできるデバイス プラットフォーム制限の既定のポリシーが 1 つ用意されています。 Intune では、より優先度が高いポリシーを割り当てるまで、すべてのユーザーとユーザーなしの登録に既定のポリシーが適用されます。

ベスト プラクティス - Android プラットフォームの制限

Intuneでは 2 つの Android プラットフォームがサポートされているため、OS のバージョン制限がデバイス プラットフォームの制限と共に使用される場合の動作を理解することが重要です。

  • 同じグループに対して両方のプラットフォームを許可し、特定のバージョンと重複しないバージョンに合わせて調整Intune、バージョンを確認して Android 登録フロー デバイスが通過することを確認します。
  • 両方のプラットフォームを許可し、同じバージョンをブロックすると、ブロックされたバージョンを実行するデバイスは登録できません。 これらのデバイスのユーザーは、Android デバイス管理者の登録フローを通して送信され、ブロックされ、サインアウトするように求められます。

重要

Microsoft Intuneは、2024 年 12 月 31 日に Google Mobile Services (GMS) にアクセスできるデバイスでの Android デバイス管理者管理のサポートを終了します。 その日以降、デバイスの登録、テクニカル サポート、バグ修正、セキュリティ修正は利用できなくなります。 現在デバイス管理者管理を使用している場合は、サポートが終了する前に、Intune で別の Android 管理オプションに切り替えることを推奨します。 詳細については、「 GMS デバイスでの Android デバイス管理者のサポートの終了」を参照してください。

デバイス プラットフォームの制限を作成する

  1. Microsoft Intune管理センターにサインインし、[デバイス] に移動します

  2. [ デバイス オンボード] で、[ 登録] を選択します。

  3. [ 登録オプション] で、[ デバイス プラットフォームの制限] を選択します。

  4. 構成するプラットフォームに対応するページの上部にあるタブを選択します。 次のようなオプションがあります。

    • Windows の制限
    • Android の制限
    • macOS の制限
    • iOS の制限
  5. [制限の作成] を選択します。

  6. [基本] ページで、制限の [名前] を入力します。[説明] の入力は省略できます。

  7. [次へ] を選択します。

  8. [プラットフォーム設定] ページで、選択したプラットフォームの制限を構成します。 次のようなオプションがあります:

    • プラットフォーム (Android): プラットフォームの登録を許可するには [許可] を選択し、制限するには [ブロック] を選択します。

    • MDM (Windows、macOS、iOS/iPadOS): プラットフォームの登録を許可するには [許可] を選択し、制限するには [ブロック] を選択します。

    • [個人所有]: [許可する]を選択すると、デバイスを個人用として登録および運用できます。

    • デバイスの製造元 (Android): ブロックする製造元のコンマ区切りの一覧を入力します。

    • 最小/最大範囲を許可する (Android、Windows、iOS/iPadOS): 登録が許可されている OS の最小バージョンと最大バージョンを入力します。 サポートされるバージョン形式:

      • Windows では、Windows 10とWindows 11の major.minor.build.rev がサポートされています。 Intune登録時にリビジョン番号を受け取らないので、リビジョン番号に「0」と入力します。

      • Android デバイス管理者と Android Enterprise 仕事用プロファイルでは、major.minor.rev.build がサポートされます。

      • iOS/iPadOS では、major.minor.rev がサポートされています。

        ヒント

        最小/最大範囲は、デバイス登録プログラム、Apple School Manager、または Apple Configurator アプリで登録する Apple デバイスには適用されません。 Intuneでは、認証にポータル サイトを使用する ADE 登録はブロックされませんが、OS 要件を満たしていないと、条件付きアクセス ポリシーの評価に使用されるMicrosoft Entra デバイス レコードを作成できないため、登録に影響します。 これは、デバイス ユーザーがポータル サイトにサインインした後に "ユーザーとデバイス レコードをマップできませんでした" というエラー メッセージを受信した場合に発生します。

  9. [次へ] を選択します。

  10. 必要に応じて、スコープ タグを制限に追加します。 スコープ タグの詳細については、「分散 IT のためのロールベースのアクセス制御とスコープのタグの使用」をご覧ください。

    注:

    スコープ タグを制限に適用すると、スコープ内の Intune ユーザーだけがポリシーを表示および管理できます。 スコープ内のユーザーだけが制限の表示と並べ替えを行い、優先度レベルを変更できます。 また、すべての制限を表示できない場合でも、制限の相対的な優先度を確認できます。

  11. [次へ] を選択します。

  12. [割り当て] ページで、[グループの追加] を選択し、検索ボックスを使用してグループを検索して選択します。 すべてのデバイス ユーザーに制限を割り当てるには、[すべてのユーザーを追加] を選択します。 少なくとも 1 つのグループに制限を割り当てない場合、制限は有効になりません。

  13. 必要に応じて、グループを割り当てた後、[フィルターの編集] を選択して、フィルターを使用してポリシーの割り当てをさらに制限します。 フィルターは、macOS、iOS、および Windows ポリシーで使用できます。 詳細については、この記事の 「割り当てフィルターを適用 する」を参照してください。

  14. [次へ] を選択します。

  15. ポリシーを確認し、[作成] を選択して作成します。

新しい制限ポリシーを表示し、[登録デバイス プラットフォーム制限]>[デバイスの種類の制限] テーブルでそのプロパティにアクセスできます。 制限を選択してドラッグし、テーブル内の位置を変更し、優先順位を変更します。

割り当てフィルターを適用する

割り当てフィルターを使用して、特定のグループを対象とするポリシーに追加のデバイスを含めたり除外したりすることができます。 登録制限と ESP ポリシーはどちらも、割り当てフィルターの使用をサポートします。

たとえば、フィルターを使用すると、特定のオペレーティング システム SKU を実行するデバイスをブロックしながら、個人用 Windows デバイスを登録できます。 これを実現するには、登録制限の割り当てに事前構成済みフィルターを適用します。 フィルターの規則に operatingSystemSKU プロパティが含まれている必要があります。 手順の例:

  1. Windows のプラットフォーム登録制限ポリシーを作成します。
  2. プラットフォーム設定で、個人のデバイスの登録を許可するオプションを選択します。
  3. 割り当ての設定で、割り当てるグループを選択します。
  4. [フィルターの編集] を選択し、operatingSystemSKU プロパティを含む事前構成済みフィルターを適用します。 適用されたプロパティは、Windows 10 Home エディションを実行するデバイスをブロックします。

フィルターの作成の詳細については、[フィルターの作成] を参照してください。

注:

登録中に割り当てフィルターを処理するには、余分な時間がかかります。 ユーザー、グループ、フィルターの割り当てを処理するMicrosoft EntraとIntuneの間の更新は、通常、15 分以内に行われます。 インスタントではありません。 この時間は、登録の割り当てに影響する可能性があります。 登録ユーザーをグループに追加した数分後、直後ではなく、デバイスを待機して登録する必要があります。

サポートされるフィルター プロパティ

登録制限では、他のグループを対象とするポリシーよりも少ないフィルター プロパティがサポートされます。 これは、デバイスがまだ登録されていないため、Intune にすべてのプロパティをサポートするためのデバイス情報がないためです。 プロパティの限定的な選択は、次の場合に使用できるようになります。

  • Apple デバイスと Windows デバイスのデバイス プラットフォーム制限ポリシーを構成します。
  • Windows の登録状態ページ (ESP) ポリシーを構成します。
  • 登録制限または ESP プロファイルで使用中のフィルターを編集します。

次のフィルター プロパティは、登録ポリシーで常に使用できます:

Windows

iOS/iPadOS および macOS

  • 製造元
  • モデル
  • OS のバージョン
  • 所有権
  • 登録プロファイル名

これらのプロパティの詳細についてはデバイス プロパティを参照してください。 Android 登録制限ではフィルターを使用できません。

登録制限を編集する

編集は新しい登録に適用され、既に登録されているデバイスには影響しません。

  1. [デバイス>登録] に戻ります。
  2. [ デバイス プラットフォームの制限 ] を選択し、制限が属する OS プラットフォームを選択します。
  3. [デバイスの種類の制限] テーブルで、変更するポリシーの名前を選択します。
  4. [プロパティ] をクリックします。
  5. [編集] を選択します。
  6. 変更を加えて、[確認と保存] を選択します。
  7. 変更を確認し、[保存] を選択します。