デバイス プラットフォームの制限を作成する
適用対象: Android、iOS/iPadOS、macOS、Windows 10、Windows 11
デバイス プラットフォームの登録制限ポリシーを作成して、デバイスが Intune に登録されないように制限します。 利用可能な制限は次のとおりです。
- デバイスのプラットフォーム
- OS のバージョン
- 製造元
- 所有権 (個人所有)
Microsoft Intune管理センターで新しいデバイス プラットフォーム制限ポリシーを作成するか、既に使用可能な既定のポリシーを使用できます。 最大 25 個のデバイス プラットフォーム制限ポリシーを設定できます。
この記事では、Microsoft Intune でサポートされているデバイス プラットフォームの制限と、それらを管理センターで構成する方法について説明します。
既定のポリシー
Microsoft Intune には、必要に応じて編集およびカスタマイズできるデバイス プラットフォーム制限の既定のポリシーが 1 つ用意されています。 Intune では、より優先度が高いポリシーを割り当てるまで、すべてのユーザーとユーザーなしの登録に既定のポリシーが適用されます。
ベスト プラクティス - Android プラットフォームの制限
Intune では 2 つの Android プラットフォームがサポートされているため、デバイス プラットフォームの制限で使用する場合の OS バージョン制限のしくみを理解することが重要です。
- 同じグループに対して両方のプラットフォームを許可し、特定の重複しないバージョン用に改良すると、デバイスは、バージョン用に選択された Android の登録フローを通して送信されます。
- 両方のプラットフォームを許可し、同じバージョンをブロックすると、ブロックされたバージョンを実行するデバイスは登録できません。 これらのデバイスのユーザーは、Android デバイス管理者の登録フローを通して送信され、ブロックされ、サインアウトするように求められます。
Important
Microsoft Intune は、Google Mobile Services (GMS) にアクセスできるデバイスでの Android デバイス管理者管理のサポートを 2024 年 8 月 30 日に終了します。 その日以降、デバイスの登録、テクニカル サポート、バグ修正、セキュリティ修正は利用できなくなります。 現在デバイス管理者管理を使用している場合は、サポートが終了する前に、Intune で別の Android 管理オプションに切り替えることを推奨します。 詳細については、「GMS デバイスでの Android デバイス管理者のサポートの終了」を参照してください。
デバイス プラットフォームの制限を作成する
Microsoft Intune 管理センターにサインインします。
[デバイスの登録]> に移動します。
[ デバイス プラットフォームの制限] を選択します。
構成するプラットフォームに対応するページの上部にあるタブを選択します。 次のようなオプションがあります:
- Android の制限
- Windows の制限
- macOS の制限
- iOS の制限
[制限の作成] を選択します。
[基本] ページで、制限の [名前] を入力します。[説明] の入力は省略できます。
[次へ] を選択します。
[プラットフォーム設定] ページで、選択したプラットフォームの制限を構成します。 次のようなオプションがあります:
- プラットフォーム (Android): プラットフォームの登録を許可するには [許可] を選択し、制限するには [ブロック] を選択します。
- MDM (Windows、macOS、iOS/iPadOS): プラットフォームの登録を許可するには [許可] を選択し、制限するには [ブロック] を選択します。
- [個人所有]: [許可する]を選択すると、デバイスを個人用として登録および運用できます。
- デバイスの製造元 (Android): ブロックする製造元のコンマ区切りの一覧を入力します。
- 最小/最大範囲を許可する (Android、Windows、iOS/iPadOS): 登録が許可されている OS の最小バージョンと最大バージョンを入力します。 サポートされるバージョン形式:
Windows では、Windows 10とWindows 11の major.minor.build.rev がサポートされています。 Intune は登録中にリビジョン番号を受け取らないので、リビジョン番号に 「0 」と入力します。
Android デバイス管理者と Android Enterprise 仕事用プロファイルでは、major.minor.rev.build がサポートされます。
iOS/iPadOS では、major.minor.rev がサポートされています。
ヒント
最小/最大範囲は、デバイス登録プログラム、Apple School Manager、または Apple Configurator アプリで登録する Apple デバイスには適用されません。 Intune は認証にポータル サイトを使用する ADE 登録をブロックしませんが、OS 要件を満たしていない場合、デバイスは条件付きアクセス ポリシーの評価に使用されるMicrosoft Entraデバイス レコードを作成できないため、登録に影響します。 これは、デバイス ユーザーがポータル サイトにサインインした後に "ユーザーとデバイス レコードをマップできませんでした" というエラー メッセージを受信した場合に発生します。
[次へ] を選択します。
必要に応じて、スコープ タグを制限に追加します。 スコープ タグの詳細については、「分散 IT のためのロールベースのアクセス制御とスコープのタグの使用」をご覧ください。
注:
スコープ タグを制限に適用すると、スコープ内の Intune ユーザーだけがポリシーを表示および管理できます。 スコープ内のユーザーだけが制限の表示と並べ替えを行い、優先度レベルを変更できます。 また、すべての制限を表示できない場合でも、制限の相対的な優先度を確認できます。
[次へ] を選択します。
[割り当て] ページで、[グループの追加] を選択し、検索ボックスを使用してグループを検索して選択します。 すべてのデバイス ユーザーに制限を割り当てるには、[すべてのユーザーを追加] を選択します。 少なくとも 1 つのグループに制限を割り当てない場合、制限は有効になりません。
必要に応じて、グループを割り当てた後、[フィルターの編集] を選択して、フィルターを使用してポリシーの割り当てをさらに制限します。 フィルターは、macOS、iOS、および Windows ポリシーで使用できます。 詳細については、「割り当てフィルターを適用する」(この記事内) を参照してください。
[次へ] を選択します。
ポリシーを確認し、[作成] を選択して作成します。
新しい制限ポリシーを表示し、[登録デバイス プラットフォーム制限]>[デバイスの種類の制限] テーブルでそのプロパティにアクセスできます。 制限を選択してドラッグし、テーブル内の位置を変更し、優先順位を変更します。
割り当てフィルターを適用する
割り当てフィルターを使用して、特定のグループを対象とするポリシーに追加のデバイスを含めたり除外したりすることができます。 登録制限と ESP ポリシーはどちらも、割り当てフィルターの使用をサポートします。
たとえば、フィルターを使用すると、特定のオペレーティング システム SKU を実行するデバイスをブロックしながら、個人用 Windows デバイスを登録できます。 これを実現するには、登録制限の割り当てに事前構成済みフィルターを適用します。 フィルターの規則に operatingSystemSKU
プロパティが含まれている必要があります。 手順の例:
- Windows のプラットフォーム登録制限ポリシーを作成します。
- プラットフォーム設定で、個人のデバイスの登録を許可するオプションを選択します。
- 割り当ての設定で、割り当てるグループを選択します。
- [フィルターの編集] を選択し、
operatingSystemSKU
プロパティを含む事前構成済みフィルターを適用します。 適用されたプロパティは、Windows 10 Home エディションを実行するデバイスをブロックします。
フィルターの作成の詳細については、[フィルターの作成] を参照してください。
サポートされるフィルター プロパティ
登録制限では、他のグループを対象とするポリシーよりも少ないフィルター プロパティがサポートされます。 これは、デバイスがまだ登録されていないため、Intune にすべてのプロパティをサポートするためのデバイス情報がないためです。 次の場合、限られたプロパティの選択が表示されます:
- Apple デバイスと Windows デバイスのデバイス プラットフォーム制限ポリシーを構成します。
- Windows の登録状態ページ (ESP) ポリシーを構成します。
- 登録制限または ESP プロファイルで使用中のフィルターを編集します。
次のフィルター プロパティは、登録ポリシーで常に使用できます:
Windows
- OS のバージョン
- オペレーティング システムの SKU
- 所有権
- 登録プロファイル名
iOS/iPadOS および macOS
- 製造元
- モデル
- OS のバージョン
- 所有権
- 登録プロファイル名
これらのプロパティの詳細についてはデバイス プロパティを参照してください。 Android 登録制限ではフィルターを使用できません。
登録制限を編集する
編集は新しい登録に適用され、既に登録されているデバイスには影響しません。
- [デバイスの登録]> に戻ります。
- [ デバイス プラットフォームの制限] を選択します。
- [デバイスの種類の制限] テーブルで、変更するポリシーの名前を選択します。
- [プロパティ] をクリックします。
- [編集] を選択します。
- 変更を加えて、[確認と保存] を選択します。
- 変更を確認し、[保存] を選択します。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示