登録制限を設定するSet enrollment restrictions

ユーザーは Intune 管理者として、Intune での管理に登録できるデバイスについて、以下を定義する登録制限を作成して管理することができます。As an Intune administrator, you can create and manage enrollment restrictions that define what devices can enroll into management with Intune, including the:

  • デバイスの数。Number of devices.
  • オペレーティング システムとバージョン。Operating systems and versions.

制限を複数作成して、さまざまなユーザー グループに適用することができます。You can create multiple restrictions and apply them to different user groups. さまざまな制限を作成した場合は、優先度を設定することができます。You can set the priority order for your different restrictions.

注意

登録の制限はセキュリティ機能ではありません。Enrollment restrictions are not security features. 侵害されたデバイスでは特徴が正しく示されない可能性があります。Compromised devices can misrepresent their character. これらの制限は、悪意のないユーザーにとって最善の防御策となります。These restrictions are a best-effort barrier for non-malicious users.

具体的に作成できる登録の制限には、次のようなものがあります。The specific enrollment restrictions that you can create include:

  • 登録されるデバイスの最大数。Maximum number of enrolled devices.
  • 登録できるデバイスのプラットフォーム:Device platforms that can enroll:
    • Android デバイス管理者Android device administrator
    • Android Enterprise 仕事用プロファイルAndroid Enterprise work profile
    • iOS/iPadOSiOS/iPadOS
    • macOSmacOS
    • WindowsWindows
  • iOS/iPadOS、Android デバイス管理者、Android Enterprise 仕事用プロファイル、Windows プラットフォームのオペレーティング システムのバージョンPlatform operating system version for iOS/iPadOS, Android device administrator, Android Enterprise work profile, and Windows.
    • 最小バージョン。Minimum version.
    • 最大バージョン。Maximum version.
  • 個人所有デバイスを制限します (iOS、Android デバイス管理者、Android Enterprise 仕事用プロファイル、macOS、および Windows)。Restrict personally owned devices (iOS, Android device administrator, Android Enterprise work profile, macOS, and Windows).

既定の制限Default restrictions

デバイスの種類とデバイス数の両方の登録制限には、既定の制限が提供されています。Default restrictions are automatically provided for both device type and device limit enrollment restrictions. 既定の制限のオプションは変更することができます。You can change the options for the defaults. 既定の制限は、すべてのユーザー登録とユーザーなし登録に適用されます。Default restrictions apply to all user and userless enrollments. このような既定の制限をオーバーライドするには、優先度の高い新しい制限を作成します。You can override these defaults by creating new restrictions with higher priorities.

デバイスの種類の制限を作成するCreate a device type restriction

  1. Microsoft Endpoint Manager admin center にサインインし、 [デバイス] > [デバイスの登録] > [登録制限] > [制限の作成] > [デバイスの種類の制限] の順に選択します。Sign in to the Microsoft Endpoint Manager admin center > Devices > Enroll Devices > Enrollment restrictions > Create restriction > Device type restriction.

  2. [基本] ページで、制限の [名前] を入力します。 [説明] の入力は省略できます。On the Basics page, give the restriction a Name and optional Description.

  3. [次へ] を選択して、 [プラットフォームの設定] ページに移動します。Choose Next to go to the Platform settings page.

  4. [プラットフォーム] で、この制限を許可するプラットフォームに対して [許可] を選択します。Under Platform, choose Allow for the platforms that you want this restriction to allow. 設定を選択する画面のキャプチャScreen cap for choosing settings

  5. [バージョン] で、許可されるプラットフォームでサポートされる最小バージョンと最大バージョンを選択します。Under Versions, choose the minimum and maximum versions that you want the allowable platforms to support. iOS と Android の場合、バージョン制限は、ポータル サイトを使用して登録されるデバイスにのみ適用されます。For iOS and Android, version restrictions only apply to devices enrolled with the Company Portal. サポートされるバージョン形式:Supported version formats include:

    • Android デバイス管理者と Android Enterprise 仕事用プロファイルでは、major.minor.rev.build がサポートされます。Android device administrator and Android Enterprise work profile support major.minor.rev.build.
    • iOS/iPadOS では major.minor.rev がサポートされます。オペレーティング システムのバージョンは、Device Enrollment Program、Apple School Manager、または Apple Configurator アプリを使用して登録する Apple デバイスには適用されません。iOS/iPadOS supports major.minor.rev. Operating system versions don't apply to Apple devices that enroll with the Device Enrollment Program, Apple School Manager, or the Apple Configurator app.
    • Windows は、Windows 10 の場合にのみ major.minor.build.rev をサポートします。Windows supports major.minor.build.rev for Windows 10 only.

    重要

    Android Enterprise 仕事用プロファイルと Android デバイス管理者の各プラットフォームには、次のような特徴があります。Android Enterprise work profile and Android device administrator platforms have the following behavior:

    • 両方のプラットフォームが同じグループに対して許可されている場合、ユーザーは、自分のデバイスで仕事用プロファイルがサポートされていればそれに登録され、そうでなければ、デバイス管理者として登録されます。If both platforms are allowed for the same group, then users will be enrolled with a work profile if their device supports it, otherwise they will enroll as device administrator.
    • 両方のプラットフォームがグループに対して許可され、特定の重複しないバージョンに合わせて調整されている場合、ユーザーは自分の OS バージョン用に定義された登録フローを受け取ります。If both platforms are allowed for the group and refined for specific and non-overlapping versions, then users will receive the enrollment flow defined for their OS version.
    • 両方のプラットフォームは許可されているが、同じバージョンに対してブロックされている場合、ブロックされたバージョンを使用するデバイス上のユーザーは、Android デバイス管理者登録フローに移動し、登録がブロックされて、サインアウトするように求められます。If both platforms are allowed, but blocked for the same versions, then users on devices with the blocked versions will be taken down the Android device administrator enrollment flow and then get blocked from enrollment and prompted to sign out.

    適切な前提条件が Android 登録内で完了していない限り、仕事用プロファイルもデバイス管理者の登録も機能しないことに注意してください。Worth noting that neither work profile or device administrator enrollment will work unless the appropriate prequisites have been completed in Android Enrollment.

    注意

    Windows 10 では登録時にリビジョン番号が提供されないため、たとえば 10.0.17134.100 と入力し、デバイスが 10.0.17134.174 の場合、登録中にブロックされます。Windows 10 does not provide the rev number during enrollment so for instance if you enter in 10.0.17134.100 and the device is 10.0.17134.174 it will be blocked during enrollment.

  6. [個人所有] で、個人所有デバイスとして許可するプラットフォームに対して [許可] を選択します。Under Personally owned, choose Allow for the platforms that you want to permit as personally owned devices.

  7. [デバイスの製造元] の下に、ブロックする製造元のコンマ区切りの一覧を入力します。Under Device manufacturer, enter a comma-separated list of the manufacturers that you want to block.

  8. [次へ] を選択して、 [スコープ タグ] ページへ移動します。Choose Next to go to the Scope tags page.

  9. [スコープ タグ] ページで、この制限に適用するスコープ タグを必要に応じて追加します。On the Scope tags page, optionally add the scope tags you want to apply to this restriction. スコープのタグの詳細については、分散 IT のためのロールベースのアクセス制御とスコープのタグの使用に関するページをご覧ください。For more information about scope tags, see Use role-based access control and scope tags for distributed IT. 登録制限付きのスコープ タグを使用する場合、ユーザーはスコープが設定されているポリシーのみを並べ替えることができます。When using scope tags with enrollment restrictions, users can only re-order policies for which they have scope. また、スコープが設定されているポリシーの位置だけを並べ替えることができます。Also, they can only reorder for the policy positions for which they have scope. ユーザーには、ポリシーごとに実際のポリシーの優先順位番号が表示されます。Users see the true policy priority number on each policy. スコープが指定されたユーザーは、その他のポリシーを一部しか確認できない場合でも、自分のポリシーの相対的な優先順位を判断することができます。A scoped user can tell the relative priority of their policies even if they can't see all the other policies.

  10. [次へ] を選択して、 [割り当て] ページに移動します。Choose Next to go to the Assignments page.

  11. [含めるグループを選択] を選択した後、検索ボックスを使用して、この制限に含めるグループを検索します。Choose Select groups to include and then use the search box to find groups that you want to include in this restriction. 制限が適用されるのは、制限が割り当てられているグループのみです。The restriction applies only to groups to which it's assigned. 少なくとも 1 つのグループに割り当てていない限り、制限は何も影響しません。If you don't assign a restriction to at least one group, it won't have any effect. 次に [選択] を選択します。Then choose Select. プラットフォームの設定を選択する画面のキャプチャScreen cap for choosing platform settings

  12. [次へ] を選択して、 [確認と作成] ページへ移動します。Select Next to go to the Review + create page.

  13. [作成] を選択して、制限を作成します。Select Create to create the restriction.

  14. 既定値の制限のすぐ上の優先度を持つ新しい制限が作成されます。The new restriction is created with a priority just above the default. 優先度は変更することができます。You can change the priority.

デバイスの上限数の制限を作成するCreate a device limit restriction

  1. Microsoft Endpoint Manager admin center にサインインし、 [デバイス] > [登録制限] > [制限の作成] > [デバイスの上限数の制限] を選択します。Sign in to the Microsoft Endpoint Manager admin center > Devices > Enrollment restrictions > Create restriction > Device limit restriction.
  2. [基本] ページで、制限の [名前] を入力します。 [説明] の入力は省略できます。On the Basics page, give the restriction a Name and optional Description.
  3. [次へ] を選択して、 [デバイスの上限数] ページにアクセスします。Choose Next to go to the Device limit page.
  4. [デバイスの上限数] で、ユーザーが登録できるデバイスの最大数を選択します。For Device limit, select the maximum number of devices that a user can enroll. デバイスの上限を選択する画面のキャプチャScreen cap for choosing device limit
  5. [次へ] を選択して、 [スコープ タグ] ページへ移動します。Choose Next to go to the Scope tags page.
  6. [スコープ タグ] ページで、この制限に適用するスコープ タグを必要に応じて追加します。On the Scope tags page, optionally add the scope tags you want to apply to this restriction. スコープのタグの詳細については、分散 IT のためのロールベースのアクセス制御とスコープのタグの使用に関するページをご覧ください。For more information about scope tags, see Use role-based access control and scope tags for distributed IT. 登録制限付きのスコープ タグを使用する場合、ユーザーはスコープが設定されているポリシーのみを並べ替えることができます。When using scope tags with enrollment restrictions, users can only re-order policies for which they have scope. また、スコープが設定されているポリシーの位置だけを並べ替えることができます。Also, they can only reorder for the policy positions for which they have scope. ユーザーには、ポリシーごとに実際のポリシーの優先順位番号が表示されます。Users see the true policy priority number on each policy. スコープが指定されたユーザーは、その他のポリシーを一部しか確認できない場合でも、自分のポリシーの相対的な優先順位を判断することができます。A scoped user can tell the relative priority of their policies even if they can't see all the other policies.
  7. [次へ] を選択して、 [割り当て] ページに移動します。Choose Next to go to the Assignments page.
  8. [含めるグループを選択] を選択した後、検索ボックスを使用して、この制限に含めるグループを検索します。Choose Select groups to include and then use the search box to find groups that you want to include in this restriction. 制限が適用されるのは、制限が割り当てられているグループのみです。The restriction applies only to groups to which it's assigned. 少なくとも 1 つのグループに割り当てていない限り、制限は何も影響しません。If you don't assign a restriction to at least one group, it won't have any effect. 次に [選択] を選択します。Then choose Select. グループを選択する画面のキャプチャScreen cap for selecting groups
  9. [次へ] を選択して、 [確認と作成] ページへ移動します。Select Next to go to the Review + create page.
  10. [作成] を選択して、制限を作成します。Select Create to create the restriction.
  11. 既定値の制限のすぐ上の優先度を持つ新しい制限が作成されます。The new restriction is created with a priority just above the default. 優先度は変更することができます。You can change the priority.

BYOD の登録中にユーザーがデバイス登録の上限に達すると、そのことを伝える通知が表示されます。During BYOD enrollments, users see a notification that tells them when they've met their limit of enrolled devices. たとえば、iOS の場合:For example, on iOS:

iOS のデバイス制限通知

重要

デバイス数の制限は、次の Windows 登録の種類に適用されません。Device limit restrictions don't apply for the following Windows enrollment types:

  • 共同管理登録Co-managed enrollments
  • GPO の登録GPO enrollments
  • Azure Active Directory 参加済み登録Azure Active Directory joined enrollments
  • Azure Active Directory 参加済み一括登録Bulk Azure Active Directory joined enrollments
  • Autopilot 登録Autopilot enrollments
  • デバイス登録マネージャー登録Device Enrollment Manager enrollments

これらの登録の種類は共有デバイス シナリオと見なされるため、デバイスの上限数の制限は適用されません。Device limit restrictions are not enforced for these enrollment types because they're considered shared device scenarios. これらの登録の種類のハード制限を Azure Active Directory に設定できます。You can set hard limits for these enrollment types in Azure Active Directory.

登録制限を変更するChange enrollment restrictions

登録制限に対する設定は、以下の手順で変更できます。You can change the settings for an enrollment restriction by following the steps below. これらの制限は、既に登録されているデバイスには適用されません。These restrictions don't effect devices that have already been enrolled.

  1. Microsoft Endpoint Manager admin center にサインインし、 [デバイス] > [登録制限] を選択し、変更する制限を選択してから [プロパティ] を選択します。Sign in to the Microsoft Endpoint Manager admin center > Devices > Enrollment restrictions > choose the restriction that you want to change > Properties.
  2. 変更する設定の横にある [編集] を選択します。Choose Edit next to the settings that you want to change.
  3. [編集] ページで、必要な変更を行い、 [レビューと保存] ページに進み、 [保存] を選択します。On the Edit page, make the changes that you want and proceed to the Review + save page, then choose Save.

個人用 Android デバイスのブロックBlocking personal Android devices

  • 個人所有の Android デバイス管理者デバイスの登録をブロックした場合でも、個人所有の Android Enterprise 仕事用プロファイル デバイスは登録できます。If you block personally owned Android device administrator devices from enrollment, personally-owned Android Enterprise work profile devices can still enroll.
  • 既定では、Android Enterprise 仕事用プロファイル デバイス設定は Android デバイス管理者デバイスの設定と同じです。By default, your Android Enterprise work profile devices settings are the same as your settings for your Android device administrator devices. 個人所有の Android Enterprise 仕事用プロファイルまたは Android デバイス管理者の設定を変更した後は、そうではなくなります。After you change your Android Enterprise personally-owned work profile or your Android device administrator settings, that's no longer the case.
  • 個人の Android Enterprise 仕事用プロファイルの登録をブロックした場合、会社所有の Android デバイスのみを個人所有の Android Enterprise の仕事用プロファイルとして登録できます。If you block Android Enterprise personal work profile enrollment, only corporate-owned Android devices can enroll with Android Enterprise personally-owned work profiles.

個人用 Windows デバイスのブロックBlocking personal Windows devices

個人所有の Windows デバイスの登録をブロックした場合、Intune では、新しい Windows 登録要求がすべて会社の登録として承認されていることが確認されます。If you block personally owned Windows devices from enrollment, Intune checks to make sure that each new Windows enrollment request has been authorized as a corporate enrollment. 無許可の登録はブロックされます。Unauthorized enrollments will be blocked.

次の方法は、Windows の会社登録として認証されたものと見なされます。The following methods qualify as being authorized as a Windows corporate enrollment:

次の登録は Intune で会社として見なされます。The following enrollments are marked as corporate by Intune. しかし、Intune 管理者のデバイスごとのコントロールがないため、ブロックされます。But since they don't offer the Intune administrator per-device control, they'll be blocked:

次の個人登録方法もブロックされます。The following personal enrollment methods will also be blocked:

* これらは、Autopilot に登録されている場合、ブロックされません。* These won't be blocked if registered with Autopilot.

個人の iOS/iPadOS デバイスをブロックするBlocking personal iOS/iPadOS devices

Intune の既定では、iOS/iPadOS デバイスは個人所有として分類されます。By default, Intune classifies iOS/iPadOS devices as personally-owned. 企業所有に分類するには、iOS/iPadOS デバイスが次のいずれかの条件を満たしている必要があります。To be classified as corporate-owned, an iOS/iPadOS device must fulfill one of the following conditions:

注意

iOS ユーザー登録プロファイルによって登録制限ポリシーがオーバーライドされます。An iOS User Enrollment profile overrides an enrollment restriction policy. 詳細情報については、iOS/iPadOS と iPadOS のユーザー登録の設定 (プレビュー) に関するページを参照してください。For more information, see Set up iOS/iPadOS and iPadOS User Enrollment (preview).

登録制限の優先度を変更するChange enrollment restriction priority

優先度は、制限が割り当てられた複数のグループにユーザーが存在する場合に使用されます。Priority is used when a user exists in multiple groups that are assigned restrictions. ユーザーは、自分が属するグループに割り当てられている最も高い優先度の制限からのみ影響を受けます。Users are subject only to the highest priority restriction assigned to a group that they are in. たとえば、Joe が優先度 5 の制限に割り当てられたグループ A に属しており、優先度 2 の制限に割り当てられたグループ B にも属しているとします。For example, Joe is in group A assigned to priority 5 restrictions and also in group B assigned to priority 2 restrictions. Joe は優先度 2 の制限にのみ影響を受けます。Joe is subject only to the priority 2 restrictions.

制限を作成すると、リストの既定の制限のすぐ上に追加されます。When you create a restriction, it's added to the list just above the default.

デバイスの登録には、デバイスの種類の制限とデバイス数の制限の両方に対する既定の制限が含まれます。Device enrollment includes default restrictions for both device type and device limit restrictions. これら 2 つの制限は、より高い優先度の制限でオーバーライドされない限り、すべてのユーザーに適用されます。These two restrictions apply to all users unless they're overridden by higher-priority restrictions.

注意

登録の制限は、ユーザーに適用されます。Enrollment restrictions are applied to users. ユーザー主導ではない登録シナリオ (Windows Autopilot の自己展開モードやホワイト グローブ プロビジョニングなど) では、既定の優先順位制限 ("すべてのユーザー" がターゲット) のみが適用されます。In enrollment scenarios that are not user-driven (e.g. Windows Autopilot self-deploying mode or white glove provisioning), only the Default priority restrictions (targeted to "All Users") will be enforced.

既定以外の制限の優先度は、変更することができます。You can change the priority of any non-default restriction.

  1. Azure ポータルにサインインします。Sign in to the Azure portal.
  2. [その他のサービス] を選択し、Intune を検索して [Intune] を選択します。Select More Services, search for Intune, and then choose Intune.
  3. [デバイスの登録] > [登録の制限] を選択します。Select Device enrollment > Enrollment restrictions.
  4. 優先度リスト内の制限にマウス ポインタを移動させます。Hover over the restriction in the priority list.
  5. 3 つの縦向きドットを使用して、リスト内の目的の位置に優先度をドラッグします。Using the three vertical dots, drag the priority to the desired position in the list.