登録制限を設定する

適用対象

• Android
• iOS
• macOS
• Windows 10
• Windows 11

登録制限は、デバイス要件を満たしていないデバイスでの Intune の登録をブロックします。 登録制限の構成は、Microsoft エンドポイント マネージャー管理センターで行うことができ、次の種類の制限が含まれています。

• デバイス プラットフォームの制限。これにより、デバイス プラットフォーム、OS バージョン、個人所有のデバイスを制限できます。
• デバイスの上限数の制限。これにより、登録が許可されるデバイスの数を制限できます。

新しい制限を作成するか、Intune の既定値を使用できます。 制限の各種類には、必要に応じて編集およびカスタマイズできる 1 つの既定のポリシーが付属しています。 Intune では、より優先度が高い制限を割り当てるまで、すべてのユーザーとユーザーなしの登録に既定値が適用されます。

種類ごとに最大 25 個の制限を設定できます。

デバイス プラットフォームの制限

デバイス プラットフォームの制限を使用して、デバイス プラットフォームと OS のバージョン別に登録を制限します。 また、プラットフォームの制限を使用して、個人所有のデバイスの登録をブロックすることもできます。 このセクションでは、Intune で使用できる制限オプションと、制限ポリシーを作成する方法について説明します。

デバイスのプラットフォームを制限する

次のプラットフォームで実行されているデバイスを制限します。

• Android デバイス管理者
• Android Enterprise の作業プロフィール
• iOS/iPadOS
• macOS
• Windows

ヒント

同じグループに両方の Android プラットフォームを許可すると、仕事用プロファイルがサポートされているデバイスでは仕事用プロファイルで登録されます。 サポートされていないデバイスでは、Android デバイス管理者プラットフォームに登録されます。 Android 登録のすべての前提条件を満たすまで、仕事用プロファイルの登録もデバイス管理者の登録も機能しません。

OS のバージョンを制限する

最大 OS バージョンと最小 OS バージョンを設定して、デバイスのバージョンを制限します。 それ以前のバージョンやそれ以降のバージョンを実行するデバイスの登録は許可されません。 この種類の制限は、次のオペレーティング システムに適用できます。

• Android デバイス管理者
• Android Enterprise の作業プロフィール
• iOS/iPadOS
• Windows

注意

Android および iOS/iPadOS の場合、バージョン制限は、Intune ポータル サイト経由で登録されたデバイスでのみサポートされます。

Android のバージョン制限

Android プラットフォームは 2 つあるため、バージョン制限がプラットフォームと組み合わされてどのように機能するかを理解することが重要です。

• 同じグループに対して両方のプラットフォームを許可し、特定の重複しないバージョン用に改良すると、デバイスは、バージョン用に選択された Android の登録フローを通して送信されます。
• 両方のプラットフォームを許可し、同じバージョンをブロックすると、ブロックされたバージョンを実行するデバイスは登録できません。 これらのデバイスのユーザーは、Android デバイス管理者の登録フローを通して送信され、ブロックされ、サインアウトするように求められます。

個人所有のデバイスを制限する

個人用デバイスの Intune への登録を制限します。 この制限は、デバイス ユーザーが個人用デバイスを誤って登録するのを防ぐのに役立ちます。

個人用 Android デバイスのブロック

既定では、管理センターで手動で変更を加えるまでは、Android Enterprise の仕事用プロファイルのデバイス設定と Android デバイス管理者デバイス設定は同じです。

個人用デバイスでの Android Enterprise 仕事用プロファイルの登録をブロックした場合、会社所有のデバイスのみを個人所有の仕事用プロファイルとして登録できます。

個人の iOS/iPadOS デバイスをブロックする

Intune の既定では、iOS/iPadOS デバイスは個人所有として分類されます。 企業所有に分類するには、iOS/iPadOS デバイスが次のいずれかの条件を満たしている必要があります。

• シリアル番号で登録されている。
• 自動デバイス登録 (旧称 Device Enrollment Program) を使用して登録されている

注意

iOS ユーザー登録プロファイルによって登録制限ポリシーがオーバーライドされます。 詳細情報については、iOS/iPadOS と iPadOS のユーザー登録の設定 (プレビュー) に関するページを参照してください。

個人用 Windows デバイスのブロック

個人所有の Windows デバイスの登録をブロックした場合、Intune では、新しい Windows 登録要求がすべて会社の登録のために承認されていることが確認されます。無許可の登録はブロックされます。

次の登録方法は、企業の登録に対して承認されています。

• 登録ユーザーはデバイス登録マネージャー アカウントを使用しています。
• デバイスは Windows Autopilot 経由で登録されます。
• デバイスは、Windows Autopilot に登録されますが、Windows 設定からの MDM 登録のみオプションではありません。
• デバイスが一括プロビジョニング パッケージ経由で登録されます。
• デバイスが GPO または共同管理用の Configuration Manager からの自動登録経由で登録されます。

注意

共同管理されたデバイスは、ユーザー トークンではなく、Azure AD デバイス トークンに基づいて Microsoft Intune サービスに登録されるため、既定の Intune 登録制限のみが適用されます。

Intune では、次の種類の登録が行われているデバイスが企業所有としてマークされます。 しかし、Intune では Intune 管理者のデバイスごとのコントロールがないため、デバイスの登録をブロックします。

• 自動 MDM 登録と Windows セットアップ中の Azure Active Directory 参加*。
• 自動 MDM 登録と Windows 設定からの Azure Active Directory 参加*。

また、Intune では、次の登録方法を使用して個人用デバイスをブロックします。

• 自動 MDM 登録と Windows 設定からの職場アカウントの追加*。
• Windows 設定からの MDM 登録のみオプション。

* これらは、Autopilot に登録されている場合、ブロックされません。

デバイス プラットフォームの制限を作成する

1. Microsoft エンドポイント マネージャー管理センター

2. [デバイス] > [デバイスの登録] > [登録デバイス プラットフォームの制限] に移動します。

3. 構成しているプラットフォームに対応するページの上部にあるタブを選択します。 次のようなオプションがあります:

   • Android の制限
   • Windows の制限
   • MacOS の制限
   • iOS の制限

4. [制限の作成] を選択します。

5. [基本] ページで、制限の [名前] を入力します。[説明] の入力は省略できます。

6. [次へ] を選択します。

7. [プラットフォーム設定] ページで、選択したプラットフォームの制限を構成します。次のようなオプションがあります。

   • プラットフォーム (Android のみ): 許可されるプラットフォームの隣にある [許可] を選択します。
   • MDM (Windows、macOS、iOS/iPadOS): 許可されるプラットフォームの隣にある [許可] を選択します。
   • 最小/最大範囲を許可する (Android、Windows、iOS/iPadOS のみ): 登録が許可されている OS の最小バージョンと最大バージョンを入力します。サポートされるバージョン形式:
     • Android デバイス管理者と Android Enterprise 仕事用プロファイルでは、major.minor.rev.build がサポートされます。
     • iOS/iPadOS は major.minor.rev をサポートしています。オペレーティング システムのバージョンは、デバイス登録プログラム、Apple School Manager、または Apple Configurator アプリに登録する Apple デバイスには適用されません。
     • Windows 11 の場合のみ、メジャー.minor.build.rev Windows 10およびWindowsサポートしています。
   • [個人所有]: [許可する] を選択すると、デバイスを個人用として登録および運用できます。
   • [デバイスの製造元]: ブロックする製造元のコンマ区切りの一覧を入力します。

8. [次へ] を選択します。

9. 必要に応じて、スコープ タグを制限に追加します。スコープ タグの詳細については、「分散 IT のためのロールベースのアクセス制御とスコープのタグの使用」をご覧ください。

   注意

   スコープ タグを制限に適用すると、スコープ内の Intune ユーザーだけがポリシーを表示および管理できます。 スコープ内のユーザーだけが制限の表示と並べ替えを行い、優先度レベルを変更できます。 また、すべての制限を表示できない場合でも、制限の相対的な優先度を確認できます。

10. [次へ] を選択します。

11. [割り当て] ページで、[グループの追加] を選択し、検索ボックスを使用してグループを検索して選択します。 すべてのデバイス ユーザーに制限を割り当てるには、[すべてのユーザーを追加] を選択します。 少なくとも 1 つのグループに制限を割り当てない場合、制限は有効になりません。

12. 必要に応じて、グループを割り当てた後、[フィルターの編集] を選択して、フィルターを使用してポリシーの割り当てをさらに制限します。 フィルターは、macOS、iOS、および Windows ポリシーで使用できます。 詳細については、「登録制限と ESP ポリシーを使用したフィルターの使用」 (この記事内) を参照してください。

13. [次へ] を選択します。

14. [確認と作成] ページで、[作成] を選択して制限を保存および作成します。

新しい制限を表示し、そのプロパティにアクセスするには、[デバイスの種類の制限] の表を参照してください。 制限を選択してドラッグし、テーブル内の位置を変更し、優先順位を変更します。

デバイスの上限数の制限

次の条件を満たすデバイスに対して、デバイスの上限数の制限を適用できます。

• Intune の管理対象である
• 過去 90 日以内に Intune との接続を確立している
• 24 時間以上登録保留中の状態でない
• Apple 登録に失敗していない
• Intune から削除されていない
• 登録の種類が共有モードではない (詳細については、DeviceCountsForDeviceCap を参照してください)

次の Windows 登録シナリオでは共有デバイス モードが使用されるため、デバイスの上限数の制限をデバイスに適用できません。

• 共同管理登録
• グループ ポリシー (GPO) 登録
• Azure Active Directory (Azure AD) 参加済み登録 (一括登録を含む)
• Windows Autopilot 登録
• デバイス登録マネージャー登録

代わりに、Azure AD でこれらの登録の種類のハード制限を構成できます。 詳細については、「Azure ポータルを使用してデバイス ID を管理する」を参照してください。

登録中にデバイス ユーザーに表示される内容

制限が適用されている場合、デバイスの制限に達した BYOD ユーザーは、制限を説明するメッセージを登録中に受信します。 登録を続行するには、デバイス ユーザーが既存のデバイスの登録を解除する必要があります。 または、管理センターでデバイスの制限を増やすことができます。 このような登録エラーのトラブルシューティングの詳細については、「デバイス登録のトラブルシューティング」を参照してください。

デバイスの上限数の制限を作成する

1. Microsoft Endpoint Manager admin center にサインインし、[デバイス] > [登録制限] > [制限の作成] > [デバイスの上限数の制限] を選択します。
2. [基本] ページで、制限の [名前] を入力します。[説明] の入力は省略できます。
3. [次へ] を選択して、[デバイスの上限数] ページにアクセスします。
4. [デバイスの上限数] で、ユーザーが登録できるデバイスの最大数を選択します。
5. [次へ] を選択して、[スコープ タグ] ページへ移動します。
6. [スコープ タグ] ページで、この制限に適用するスコープ タグを必要に応じて追加します。 スコープ タグの詳細については、「分散 IT のためのロールベースのアクセス制御とスコープのタグの使用」をご覧ください。
7. [次へ] を選択して、[割り当て] ページに移動します。
8. [含めるグループを選択] を選択した後、検索ボックスを使用して、この制限に含めるグループを検索します。 制限が適用されるのは、制限が割り当てられているグループのみです。 少なくとも 1 つのグループに割り当てていない限り、制限は何も影響しません。 次に、[選択] を選びます。
9. [次へ] を選択して、[確認と作成] ページへ移動します。
10. [作成] を選択して、制限を作成します。 新しい制限は制限のリストに表示され、既定のポリシーよりも優先度が高くなります。 優先度レベルの変更の詳細については、「制限の優先度を変更する」(この記事内) を参照してください。

登録制限と ESP ポリシーにフィルターを適用する

割り当てフィルターを使用して、特定のグループを対象とするポリシーに追加のデバイスを含めたり除外したりすることができます。 登録制限と ESP ポリシーはどちらも、割り当てフィルターの使用をサポートします。

たとえば、フィルターを使用すると、特定のオペレーティング システム SKU を実行するデバイスをブロックしながら、個人用 Windows デバイスを登録できます。 これを実現するには、登録制限の割り当てに事前構成済みフィルターを適用します。 フィルターの規則に operatingSystemSKU プロパティが含まれている必要があります。 手順の例:

1. Windows のプラットフォーム登録制限ポリシーを作成します。
2. プラットフォーム設定で、個人所有のデバイスの登録を許可するオプションを選択します。
3. 割り当ての設定で、割り当てるグループを選択します。
4. [フィルターの編集] を選択し、operatingSystemSKU プロパティを含む事前構成済みフィルターを適用します。 適用されたプロパティは、Windows 10 Home エディションを実行するデバイスをブロックします。

フィルターの作成の詳細については、[フィルターの作成] を参照してください。

サポートされるフィルター プロパティ

登録制限では、他のグループを対象とするポリシーよりも少ないフィルター プロパティがサポートされます。 これは、デバイスがまだ登録されていないため、Intune にすべてのプロパティをサポートするためのデバイス情報がないためです。 次の場合、限られたプロパティの選択が表示されます:

• Apple デバイスと Windows デバイスのデバイス プラットフォーム制限ポリシーを構成します。
• Windows の登録状態ページ (ESP) ポリシーを構成します。
• 登録制限または ESP プロファイルで使用中のフィルターを編集します。

次のフィルター プロパティは、登録ポリシーで常に使用できます:

Windows

• OS のバージョン
• オペレーティング システムの SKU
• 登録プロファイル名

iOS/iPadOS および macOS

• 製造元
• モデル
• OS のバージョン
• 所有権
• 登録プロファイル名

これらのプロパティの詳細についてはデバイス プロパティを参照してください。 Android 登録制限ではフィルターを使用できません。

登録制限を編集する

編集は新しい登録に適用され、既に登録されているデバイスには影響しません。

1. Microsoft Endpoint Manager admin center > にサインインし、[デバイス] > [登録制限] を選択し、変更する制限を選択してから [プロパティ] を選択します。
2. 変更する設定の横にある [編集] を選択します。
3. [編集] ページで、必要な変更を行い、[レビューと保存] ページに進み、[保存] を選択します。

制限の優先度を変更する

グループに複数の制限が割り当てられると、優先度レベルによって適用されるポリシーが決定されます。 優先度が最も高い制限 (優先度が最も高いのは 1 です) が適用され、その他の制限は無視されます。 次に例を示します。

1. Joe は、Intune で 2 つのユーザー グループ (グループ A とグループ B) に属しています。
2. グループ A に制限ポリシーが割り当てられています。 優先度レベルは 5 です。
3. グループ B に制限ポリシーが割り当てられています。 優先度レベルは 2 です。
4. Joe は優先度 2 の制限にのみ影響を受けます。

制限を作成すると、リストの既定の制限のすぐ上に追加されます。 既定以外の制限の優先度は、変更できます。

1. Microsoft エンドポイント マネージャー 管理センターにサインインし、[デバイス] > [デバイスの登録] > [登録制限] を選択します。
2. [デバイスの種類の制限] または [デバイスの上限数の制限] を選択して、優先度の一覧を表示します。
3. リストで、[優先順位] 列の制限にカーソルを合わせます。 3 つの垂直ドットが表示されたら、優先順位を選択してリスト内の目的の位置にドラッグします。

注意

登録の制限は、ユーザーに適用されます。 Windows Autopilot の自己展開モード、一括登録 (WCD)、Azure Virtual Desktop など、ユーザー主導ではない登録シナリオの場合、Intune では "すべてのユーザー" を対象としている既定の制限のみが適用されます。

登録が正常に完了したら、既定の登録制限ポリシーでプラットフォームが許可されていることを確認します。

登録レポートを表示する

次のレポートを使用して、登録制限および登録状態ページの割り当てに関する問題のトラブルシューティングを行うことができます。

• 登録エラー レポート
• トラブルシューティングとサポート ページ
• デバイス登録ページ

このセクションでは、各トラブルシューティング リソースの目的と、管理センター内でのそれらの場所について説明します。

登録エラー レポート

登録エラー レポートを使用して、すべてのユーザーまたは選択したユーザーの登録エラーを表示します。 このレポートには、失敗した各登録試行が、発生した日付、失敗の理由、OS、OS バージョン、ユーザー名、および登録方法とともに表示されます。

1. Microsoft エンドポイント マネージャー管理センターにサインインし、[デバイス] > [モニター] > [登録エラー] を選択します。

2. トラブルシューティングしているシナリオに応じて、[すべてのユーザー] または [選択したユーザー] を選択します。

3. エラーの詳細と推奨される修復手順については、表の行を選択してください。

   

トラブルシューティングとサポート ページ

[トラブルシューティングとサポート] ページの登録エラー レポートを使用して、選択したユーザーの登録エラーを表示します。 このレポートには、ユーザーが遭遇したすべての失敗した登録試行が、発生した日付、失敗の理由、OS、OS バージョン、ユーザー名、および登録方法とともに表示されます。 このページでは、ユーザーに関連付けられているすべての割り当て、デバイス、アプリ保護状態など、ユーザーに関するその他のデータを表示することもできます。

1. Microsoft エンドポイント マネージャー管理センターにサインインし、[トラブルシューティングとサポート] > [選択したユーザー] を選択します。
2. ユーザーを選択 > [選択]。
3. [登録エラー] で、行を選択して、エラーの詳細と推奨される修正手順を表示します。

デバイス登録ページ

デバイスの登録ページには、デバイスが Microsoft Intune に最初に登録されたときにデバイスに適用された登録ポリシー (登録制限と登録状態ページ ポリシーの両方) が表示されます。 このレポートを使用して、予期しないポリシー、ターゲット、フィルターなど、エラーの原因を特定します。 データは iOS/iPadOS、macOS、および Windows デバイスで利用でき、次のものが含まれます。

• プロファイル名
• ユーザー プリンシパル名
• プロファイルの種類 (登録状態ページまたはデバイスの種類の登録制限)
• 優先度
• ターゲット (ユーザーまたはデバイス)
• フィルター、フィルター評価結果へのリンク付き (登録ポリシーが割り当てフィルターを使用して割り当てられた場合にのみ使用可能)

レポート データにアクセスするには:

1. Microsoft Endpoint Manager admin center にサインインし、[デバイス] > [すべてのデバイス] を選択します。

2. 登録済みの iOS/iPadOS、macOS、または Windows デバイスを選択します。

3. [監視] で、[登録] を選択します。

4. レポート データを確認します。

   

注意

レポート データは、Microsoft Intune 2112 サービス リリース後に登録されたデバイスでのみ使用できます。 そのリリースより前に登録されたデバイスの結果はありません。