Compartilhar via


MDM for Office 365 のポリシーを削除しても登録要求される場合の対処方法

こんにちは、Microsoft Intune / MDM for Office 365 サポート髙橋です。
最近、MDM for Office 365 をご利用のお客様から「ポリシーを削除したにも関わらず、デバイス側で MDM for Office 365 への登録要求が引き続き行われる」というお問い合わせをいただきます。
今回はこのような場合の対処方法についてご紹介します。
なお、本内容は上記のお問い合わせと併せて多くなっている「ポリシーの展開対象からグループを外したにも関わらず登録要求が行われる」状況に対しても有効な対処方法となります。

MDM for Office 365 の利用をやめる等で、コンプライアンス センターからポリシーを削除いただくと、画面上はポリシーが消えても、内部的には削除処理が継続して行われている状態になります。
内部的な動作も含めたポリシーの削除にかかる時間は、削除したタイミングによりますが、最大で 8 時間 (現在、削除情報の反映は 1 日 3 回 実行されるため) になります。
したがいまして、ポリシーの削除後はしばらくお待ちいただくことになりますが、その間ポリシーを展開していたグループに属するユーザーに関連付けられたデバイスでは、登録要求が発生することになります。

しかしながら、当然すぐに登録要求を停止したい状況もあるかと思います。
そのような場合は暫定的に「アクセス制御の除外設定」のご利用をおすすめします。
「アクセス制御の除外設定」としてグループを設定しますと、対象グループはアクセス制御の対象外となり、登録要求が発生しません。
除外設定はコンプライアンス センターの「デバイス管理」画面にて「組織全体のデバイス アクセス設定の管理」リンクから行います。

上記リンクをクリックしてポップ アップした「組織全体のデバイス アクセス設定」画面から、「+」(プラスボタン) をクリックし、アクセス制御の除外対象に削除対象のポリシーを展開していたグループを追加します。

除外対象のグループを選択する際は、「*」で検索しますと全グループを検索することができます。

上図の子画面からグループを追加しましたら、「組織全体のデバイス アクセス設定」画面にて「保存」ボタンをクリックし、設定を完了してください。
設定後 15 分程度お待ちいただきますと、対象デバイス側で登録要求が発生しないことをご確認いただけると思います。
なお、ポリシーの削除後 8 時間以上経過しましたら、上記の除外設定からグループを削除していただいて構いません。

2016/3/30更新
以下の回避策は Intune 管理コンソールをご利用いただく必要がありますが、2016年3月現在、Intune ライセンスまたは EMS ライセンスが付与されたアカウントでなければ Intune 管理コンソールにサインインできないことを確認しております。他の代替策が確認でき次第、本記事を更新いたします。よろしくお願いいたします。

【ご注意!!】
現在、稀にポリシーの削除が完了しない問題が発生することを確認しております。
このような場合、8 時間以上お待ちいただいてもポリシーの削除が完了せず、デバイス側では登録要求が発生し続けます。
つきましては、本問題の対処方法についてもご紹介します。

本問題の原因は内部的な削除が完了していないことになりますので、手動で削除を進めることで問題を解消します。
まずは MDM for Office 365 と同テナントのグローバル管理者権限をもつアカウントで、以下の URL から Intune 管理コンソールにログインします。
※ グローバル管理者権限については、Office 365 管理センターの「ユーザー」にて、対象ユーザーの「役割」から確認できます。

注意:
Intune 管理コンソールへの接続は Silverlight がインストールされた Internet Explorer 9 以降または Mozilla Firefox から接続する必要があります。(Google Chrome からは接続できません)

https://admin.manage.microsoft.com

ここで Intune 管理コンソールにログインすることを不思議に思われる方もいらっしゃるかと思いますが、実は MDM for Office 365 のアクセス制御機能は Microsoft Intune の機能を利用しており、Intune の管理コンソールから MDM for Office 365 で設定しているアクセス制御の一部を操作することができます。
なお、本操作は問題発生時に例外的に行うものであり、基本的には MDM for Office 365 利用時は Intune 管理コンソールでの操作は推奨されません。
以上を踏まえまして、Intune 管理コンソールにおける問題解決方法をご紹介します。

Intune 管理コンソールの左側のメニューから「ポリシー」を選択し、「Exchange Online ポリシー」を選択します。
「対象グループ」項目にて、今回削除したポリシーが展開されているグループが設定されていましたら、「変更」ボタンから対象グループを削除し、「保存」します。
上記と同じ操作を「SharePoint Online ポリシー」でも実行します。

以上で作業完了です。デバイス側で登録要求が発生しないことをご確認ください。

ちなみに、上述の対処方法はグループごとに対応する場合の操作になりますが、もし MDM for Office 365 の使用を完全にやめるなど、すべてのグループへのアクセス制御設定を削除したい場合は、「Exchange Online ポリシー」画面にて「Exchange Online の条件付きアクセス ポリシーを有効にする」チェックボックスを外し、「保存」することで、より簡単に設定が行えます。
本操作によって「Exchange Online ポリシー」画面の全ての設定がクリアされます。
上記と同じ操作を「SharePoint Online ポリシー」でも実行し、作業完了です。
なお、本操作後に新たにポリシーを作成しますと、チェックボックスが自動でオンになり、問題なくアクセス制御をご利用いただけます。