デバイス プラットフォームの制限を作成する

  • [アーティクル]

適用対象: Android、iOS/iPadOS、macOS、Windows 10、Windows 11

デバイス プラットフォームの登録制限ポリシーを作成して、デバイスが Intune に登録されないように制限します。 利用可能な制限は次のとおりです。

  • デバイスのプラットフォーム
  • OS のバージョン
  • 製造元
  • 所有権 (個人所有)

Microsoft Intune管理センターで新しいデバイス プラットフォーム制限ポリシーを作成するか、既に使用可能な既定のポリシーを使用できます。 最大 25 個のデバイス プラットフォーム制限ポリシーを設定できます。

この記事では、Microsoft Intune でサポートされているデバイス プラットフォームの制限と、それらを管理センターで構成する方法について説明します。

既定のポリシー

Microsoft Intune には、必要に応じて編集およびカスタマイズできるデバイス プラットフォーム制限の既定のポリシーが 1 つ用意されています。 Intune では、より優先度が高いポリシーを割り当てるまで、すべてのユーザーとユーザーなしの登録に既定のポリシーが適用されます。

ベスト プラクティス - Android プラットフォームの制限

Intune では 2 つの Android プラットフォームがサポートされているため、デバイス プラットフォームの制限で使用する場合の OS バージョン制限のしくみを理解することが重要です。

  • 同じグループに対して両方のプラットフォームを許可し、特定の重複しないバージョン用に改良すると、デバイスは、バージョン用に選択された Android の登録フローを通して送信されます。
  • 両方のプラットフォームを許可し、同じバージョンをブロックすると、ブロックされたバージョンを実行するデバイスは登録できません。 これらのデバイスのユーザーは、Android デバイス管理者の登録フローを通して送信され、ブロックされ、サインアウトするように求められます。

Important

Microsoft Intune は、Google Mobile Services (GMS) にアクセスできるデバイスでの Android デバイス管理者管理のサポートを 2024 年 8 月 30 日に終了します。 その日以降、デバイスの登録、テクニカル サポート、バグ修正、セキュリティ修正は利用できなくなります。 現在デバイス管理者管理を使用している場合は、サポートが終了する前に、Intune で別の Android 管理オプションに切り替えることを推奨します。 詳細については、「GMS デバイスでの Android デバイス管理者のサポートの終了」を参照してください。

デバイス プラットフォームの制限を作成する

  1. Microsoft Intune 管理センターにサインインします。

  2. [デバイスの登録]> に移動します

  3. [ デバイス プラットフォームの制限] を選択します。

  4. 構成するプラットフォームに対応するページの上部にあるタブを選択します。 次のようなオプションがあります:

    • Android の制限
    • Windows の制限
    • macOS の制限
    • iOS の制限

  5. [制限の作成] を選択します。

  6. [基本] ページで、制限の [名前] を入力します。[説明] の入力は省略できます。

  7. [次へ] を選択します。

  8. [プラットフォーム設定] ページで、選択したプラットフォームの制限を構成します。 次のようなオプションがあります:

    • プラットフォーム (Android): プラットフォームの登録を許可するには [許可] を選択し、制限するには [ブロック] を選択します。
    • MDM (Windows、macOS、iOS/iPadOS): プラットフォームの登録を許可するには [許可] を選択し、制限するには [ブロック] を選択します。
    • [個人所有]: [許可する]を選択すると、デバイスを個人用として登録および運用できます。
    • デバイスの製造元 (Android): ブロックする製造元のコンマ区切りの一覧を入力します。
    • 最小/最大範囲を許可する (Android、Windows、iOS/iPadOS): 登録が許可されている OS の最小バージョンと最大バージョンを入力します。 サポートされるバージョン形式:

      • Windows では、Windows 10とWindows 11の major.minor.build.rev がサポートされています。 Intune は登録中にリビジョン番号を受け取らないので、リビジョン番号に 「0 」と入力します。

      • Android デバイス管理者と Android Enterprise 仕事用プロファイルでは、major.minor.rev.build がサポートされます。

      • iOS/iPadOS では、major.minor.rev がサポートされています。

        ヒント

        最小/最大範囲は、デバイス登録プログラム、Apple School Manager、または Apple Configurator アプリで登録する Apple デバイスには適用されません。 Intune は認証にポータル サイトを使用する ADE 登録をブロックしませんが、OS 要件を満たしていない場合、デバイスは条件付きアクセス ポリシーの評価に使用されるMicrosoft Entraデバイス レコードを作成できないため、登録に影響します。 これは、デバイス ユーザーがポータル サイトにサインインした後に "ユーザーとデバイス レコードをマップできませんでした" というエラー メッセージを受信した場合に発生します。

  9. [次へ] を選択します。

  10. 必要に応じて、スコープ タグを制限に追加します。 スコープ タグの詳細については、「分散 IT のためのロールベースのアクセス制御とスコープのタグの使用」をご覧ください。

    注:

    スコープ タグを制限に適用すると、スコープ内の Intune ユーザーだけがポリシーを表示および管理できます。 スコープ内のユーザーだけが制限の表示と並べ替えを行い、優先度レベルを変更できます。 また、すべての制限を表示できない場合でも、制限の相対的な優先度を確認できます。

  11. [次へ] を選択します。

  12. [割り当て] ページで、[グループの追加] を選択し、検索ボックスを使用してグループを検索して選択します。 すべてのデバイス ユーザーに制限を割り当てるには、[すべてのユーザーを追加] を選択します。 少なくとも 1 つのグループに制限を割り当てない場合、制限は有効になりません。

  13. 必要に応じて、グループを割り当てた後、[フィルターの編集] を選択して、フィルターを使用してポリシーの割り当てをさらに制限します。 フィルターは、macOS、iOS、および Windows ポリシーで使用できます。 詳細については、「割り当てフィルターを適用する」(この記事内) を参照してください。

  14. [次へ] を選択します。

  15. ポリシーを確認し、[作成] を選択して作成します。

新しい制限ポリシーを表示し、[登録デバイス プラットフォーム制限]>[デバイスの種類の制限] テーブルでそのプロパティにアクセスできます。 制限を選択してドラッグし、テーブル内の位置を変更し、優先順位を変更します。

割り当てフィルターを適用する

割り当てフィルターを使用して、特定のグループを対象とするポリシーに追加のデバイスを含めたり除外したりすることができます。 登録制限と ESP ポリシーはどちらも、割り当てフィルターの使用をサポートします。

たとえば、フィルターを使用すると、特定のオペレーティング システム SKU を実行するデバイスをブロックしながら、個人用 Windows デバイスを登録できます。 これを実現するには、登録制限の割り当てに事前構成済みフィルターを適用します。 フィルターの規則に operatingSystemSKU プロパティが含まれている必要があります。 手順の例:

  1. Windows のプラットフォーム登録制限ポリシーを作成します。
  2. プラットフォーム設定で、個人のデバイスの登録を許可するオプションを選択します。
  3. 割り当ての設定で、割り当てるグループを選択します。
  4. [フィルターの編集] を選択し、operatingSystemSKU プロパティを含む事前構成済みフィルターを適用します。 適用されたプロパティは、Windows 10 Home エディションを実行するデバイスをブロックします。

フィルターの作成の詳細については、[フィルターの作成] を参照してください。

サポートされるフィルター プロパティ

登録制限では、他のグループを対象とするポリシーよりも少ないフィルター プロパティがサポートされます。 これは、デバイスがまだ登録されていないため、Intune にすべてのプロパティをサポートするためのデバイス情報がないためです。 次の場合、限られたプロパティの選択が表示されます:

  • Apple デバイスと Windows デバイスのデバイス プラットフォーム制限ポリシーを構成します。
  • Windows の登録状態ページ (ESP) ポリシーを構成します。
  • 登録制限または ESP プロファイルで使用中のフィルターを編集します。

次のフィルター プロパティは、登録ポリシーで常に使用できます:

Windows

  • OS のバージョン
  • オペレーティング システムの SKU
  • 所有権
  • 登録プロファイル名

iOS/iPadOS および macOS

  • 製造元
  • モデル
  • OS のバージョン
  • 所有権
  • 登録プロファイル名

これらのプロパティの詳細についてはデバイス プロパティを参照してください。 Android 登録制限ではフィルターを使用できません。

登録制限を編集する

編集は新しい登録に適用され、既に登録されているデバイスには影響しません。

  1. [デバイス登録]> に戻ります。
  2. [ デバイス プラットフォームの制限] を選択します
  3. [デバイスの種類の制限] テーブルで、変更するポリシーの名前を選択します。
  4. [プロパティ] をクリックします。
  5. [編集] を選択します。
  6. 変更を加えて、[確認と保存] を選択します。
  7. 変更を確認し、[保存] を選択します。