登録制限とは
適用対象
- Android
- iOS
- macOS
- Windows 10
- Windows 11
重要
Microsoft Intuneは、2024 年 12 月 31 日に Google Mobile Services (GMS) にアクセスできるデバイスでの Android デバイス管理者管理のサポートを終了します。 その日以降、デバイスの登録、テクニカル サポート、バグ修正、セキュリティ修正は利用できなくなります。 現在デバイス管理者管理を使用している場合は、サポートが終了する前に、Intune で別の Android 管理オプションに切り替えることを推奨します。 詳細については、「 GMS デバイスでの Android デバイス管理者のサポートの終了」を参照してください。
デバイス登録制限を使用すると、特定のデバイス属性に基づいて、デバイスがIntuneに登録されないように制限できます。 Microsoft Intune で構成できるデバイス登録制限には、次の 2 種類があります。
- デバイス プラットフォームの制限: デバイス プラットフォーム、バージョン、製造元、または所有権の種類に基づいてデバイスを制限します。
- デバイス制限の制限: ユーザーがIntuneに登録できるデバイスの数を制限します。
制限の各種類には、必要に応じて編集およびカスタマイズできる 1 つの既定のポリシーが付属しています。 Intune では、より優先度が高いポリシーを割り当てるまで、すべてのユーザーとユーザーなしの登録に既定のポリシーが適用されます。
この記事では、使用可能な登録制限と機能制限の概要について説明します。 制限の作成を開始するには、次の 手順 (この記事の) に進んでください。
利用可能な制限
管理センターでは、次の制限を構成できます。
- デバイス制限
- デバイスのプラットフォーム
- OS のバージョン
- デバイスの製造元
- デバイスの所有権 (個人所有のデバイス)
デバイス制限
1 人が登録できるデバイスの数に制限を設けます。 デバイス制限は 1 から 15 まで設定できます。
この構成は、管理センターの [登録デバイス制限] にあります。
デバイスのプラットフォーム
重要
Microsoft Intuneは、2024 年 12 月 31 日に Google Mobile Services (GMS) にアクセスできるデバイスでの Android デバイス管理者管理のサポートを終了します。 その日以降、デバイスの登録、テクニカル サポート、バグ修正、セキュリティ修正は利用できなくなります。 現在デバイス管理者管理を使用している場合は、サポートが終了する前に、Intune で別の Android 管理オプションに切り替えることを推奨します。 詳細については、「 GMS デバイスでの Android デバイス管理者のサポートの終了」を参照してください。
特定のデバイス プラットフォームで実行されているデバイスをブロックします。 この制限は、以下を実行しているデバイスに適用できます。
- Android デバイス管理者
- Android Enterprise の作業プロフィール
- iOS/iPadOS
- macOS
- Windows 10 または 11
両方の Android プラットフォームが許可されているグループでは、仕事用プロファイルをサポートするデバイスが仕事用プロファイルに登録されます。 仕事用プロファイルをサポートしていないデバイスは、Android デバイス管理者プラットフォームに登録されます。 Android 登録のすべての前提条件を満たすまで、仕事用プロファイルの登録もデバイス管理者の登録も機能しません。
この制限は、管理センターの [デバイス>デバイスのオンボード>Enrollment>Device プラットフォームの制限] にあります。
注:
デバイス プラットフォームの登録制限では、割り当てフィルターを使用します。 ユーザー、グループ、フィルターの割り当てを処理するMicrosoft EntraとIntuneの間の更新は、通常、15 分以内に行われます。 インスタントではありません。 この時間は、登録の割り当てに影響する可能性があります。 登録ユーザーをグループに追加した数分後、直後ではなく、デバイスを待機して登録する必要があります。
OS のバージョン
この制限により、最大および最小の OS バージョン要件が適用されます。 この種類の制限は、次のオペレーティング システムで機能します。
- Android デバイス管理者*
- Android Enterprise 仕事用プロファイル*
- iOS/iPadOS*
- Windows
* バージョン制限は、Intune ポータル サイト経由でのみ登録されたデバイスに対して、これらのオペレーティング システムでサポートされています。
この制限は、管理センターの [デバイス>デバイスのオンボード>Enrollment>Device プラットフォームの制限] にあります。
デバイスの製造元
この制限は、特定の製造元のデバイスをブロックするもので、Android デバイスのみに適用されます。 管理センターの [デバイス>デバイスのオンボード>登録>Device プラットフォームの制限] の下にあります。
個人所有のデバイス
この制限は、デバイス ユーザーが自分の個人用デバイスを誤って登録するのを防ぐのに役立ち、次を実行しているデバイスに適用されます。
- Android
- iOS/iPad OS
- macOS
- Windows 10 または 11
この制限は、管理センターの [デバイス>デバイスのオンボード>Enrollment>Device プラットフォームの制限] にあります。
個人用 Android デバイスのブロック
既定では、管理センターで手動で変更を加えるまでは、Android Enterprise の仕事用プロファイルのデバイス設定と Android デバイス管理者デバイス設定は同じです。
個人のデバイスで Android Enterprise 仕事用プロファイルの登録をブロックする場合、個人所有の仕事用 プロファイルを使用して登録できるのは会社所有のデバイスのみです。
個人の iOS/iPadOS デバイスをブロックする
既定では、Intuneは iOS/iPadOS デバイスを個人所有として分類します。 企業所有に分類するには、iOS/iPadOS デバイスが次のいずれかの条件を満たしている必要があります。
- シリアル番号または IMEI で登録されています。
- 自動デバイス登録 (旧称 Device Enrollment Program) を使用して登録されています。
注:
iOS ユーザー登録プロファイルによって登録制限ポリシーがオーバーライドされます。 詳細情報については、iOS/iPadOS と iPadOS のユーザー登録の設定 (プレビュー) に関するページを参照してください。
個人用 Mac のブロック
既定では、Intuneは macOS デバイスを個人所有として分類します。 企業所有に分類するには、Mac が次のいずれかの条件を満たしている必要があります。
- シリアル番号で登録されている。
- Apple 自動デバイス登録 (ADE) を使用して登録されます。
個人用 Windows デバイスのブロック
個人所有の Windows デバイスの登録をブロックする場合は、Intuneチェックして、新しい Windows 登録要求ごとに企業登録が承認されていることを確認します。 未承認の登録はブロックされます。
次の登録方法は、企業の登録に対して承認されています。
- デバイスは Windows Autopilot 経由で登録されます。
- デバイスが GPO または共同管理用の Configuration Manager からの自動登録経由で登録されます。
- デバイスが一括プロビジョニング パッケージ経由で登録されます。
- 登録ユーザーはデバイス登録マネージャー アカウントを使用しています。
注:
共同管理デバイスは、ユーザー トークンではなく、Microsoft Entra デバイス トークンに基づいてMicrosoft Intune サービスに登録されるため、既定のIntune登録制限のみが適用されます。
Intuneは、次の種類の登録を行うデバイスを企業所有としてマークし、(Autopilot に登録されていない限り) 登録をブロックします。これらの方法では、デバイスごとのIntune管理者コントロールが提供されないためです。
- Windows セットアップ中にMicrosoft Entra参加を使用したMDM の自動登録。
- Windows 設定からMicrosoft Entra参加を使用したMDM の自動登録。
- 既存デバイス向け Windows Autopilotを使用したMicrosoft Entra参加またはハイブリッド Entra 参加を使用した MDM の自動登録。
また、Intune では、次の登録方法を使用して個人用デバイスをブロックします。
- 自動 MDM 登録と Windows 設定からの職場アカウントの追加。
- Windows 設定からの MDM 登録のみオプション。
- Intune ポータル サイト アプリを使用した登録。
- Microsoft 365 アプリを使用した登録。これは、ユーザーがアプリのサインイン中に [organizationにデバイスの管理を許可する] オプションを選択したときに発生します。
重要
Workplace Join によって参加したデバイスは、以前にテナントに参加していた場合、登録Microsoft Entraブロックされる可能性があります。 ブロックされないようにするには、Workplace Join でデバイスに参加する前に、Microsoft Entra IDでデバイスに関連付けられているオブジェクトを登録解除して削除します。
制限事項
登録の制限は、ユーザー主導の登録に適用されます。 Intuneは、次のようなユーザー主導ではない登録シナリオで既定のポリシーを適用します。
- 事前プロビジョニングされた展開用の Windows Autopilot 自己展開モードと Autopilot
- Windows 構成Designerを使用した一括登録
- 共同管理登録
- ユーザーレス Apple の自動デバイス登録 (ユーザーとデバイスのアフィニティなし)
- Azure Virtual Desktop
- Windows 365
次の Windows 登録シナリオでは共有デバイス モードが使用されるため、デバイスの上限数の制限をデバイスに適用できません。
- 共同管理登録
- グループ ポリシー (GPO) 登録
- Microsoft Entra参加済み登録 (一括登録を含む)
- Windows Autopilot 登録
- デバイス登録マネージャー登録
代わりに、Microsoft Entra IDでこれらの登録の種類のハード制限を構成できます。 詳細については、「Azure ポータルを使用してデバイス ID を管理する」を参照してください。
次の手順
適用する登録制限の種類を選択し、プロファイルを作成します。