こんにちは!竹内です!
企業や組織でMicrosoft Intuneを導入し、デバイス管理を強化する中で、意図せず「Entra登録(Microsoft Entra registered)」されたデバイスが増えてしまっているケースがあります。
Entra registeredデバイスは、Intuneによる構成プロファイルやアプリの自動配布、条件付きアクセスの制御が不完全になることがあり、「管理されているようで管理されていない」という状況になってしまいます。
また、デバイスを紛失した際など、緊急時に管理側で対応することも難しいです。
本記事では、こうしたリスクを回避するために、既存のEntra registeredデバイスを「Entra参加(Microsoft Entra joined)」へ移行する方法をご紹介します。
目次
- 1.参加の種類
- 2. なぜEntra登録(Entra registered)の状態になる?
- -Entra 登録(Entra registered)になる原因
- -Entra 登録(Entra registered)の再現
- 3.Entra 登録(Entra registered)の結果
- -デバイスの状態
- -管理センター上の表示
- 4. Entra 登録(Entra registered)デバイスをEntra joinedに変更する手順
- 5. Entra 参加(joined)の結果
- -デバイスの状態
- -管理センター上の表示
- 6.Intuneへの自動登録が構成されていない場合
- 7.まとめ
1.参加の種類
| Entra登録(Entra regisutered) | Entra参加(Entra joined) | ハイブリッドEntra参加(Hybrid Microsoft Entra Joined) | |
| 登録方法 | ユーザーが手動で登録 | OOBEやAutopilotでEntra IDに参加 | Entra ConnectでADと同期し自動登録 |
| 対象ユーザー | 個人所有(BYOD) | 組織所有 | 組織所有+オンプレAD環境 |
| Intuneによる管理 | △ 一部可能(MDM登録が必要) 構成プロファイルやアプリ配布に制限あり | ◎ フル管理可能 自動登録でポリシー適用もスムーズ | ◎ フル管理可能 GPOとの併用も可能 |
| 条件付きアクセス | △ 制限あり 「準拠デバイス」として判定されにくい | ◎ フル適用可能 アクセス制御が強化される | ◎ 同上 |
| シングルサインオン(SSO) | △ 不安定な場合あり ローカルアカウントとの併用で問題が出やすい | ◎ 完全なSSO Microsoft 365などにシームレスアクセス | ◎ 同上(オンプレADとの連携も可能) |
| セキュリティリスク | 高 管理が不完全で、情報漏洩や不正アクセスのリスクあり | 低 組織のポリシーが強制される | 低 ADとEntraの両方で制御可能 |
| 主な用途 | 個人PCの業務利用(BYOD) | クラウドネイティブな企業環境 | ハイブリッド環境(AD+Entra) |
2. なぜEntra登録(Entra registered)の状態になる?
-Entra 登録(Entra registered)になる原因
ユーザーが気づかぬうちにMicrosoft Entraに「登録済み(Entra Registered)」状態になる主な原因 として「ローカルPCでMicrosoft 365 へのサインイン」を行うことが多い原因の一つです。
具体的には、以下のような流れで Microsoft Entra IDに「registered」状態で登録されます。
<流れ>
————————————————————————————————————————————
家電量販店などで購入したPC(ローカルアカウントでセットアップ)
↓
Microsoft 365アプリ(Outlook / Teams / OneDrive / Edge/Excelなど)に会社アカウントでサインイン
↓
「組織がデバイスを管理できるようにする」というメッセージが表示
↓
「はい」を選択、または自動的に登録される設定が有効
↓
Microsoft Entra IDに「registered」状態で登録される
————————————————————————————————————————————
-Entra 登録(Entra registered)の再現
以下は、上記でご紹介したEntra registered状態を再現する手順です。
※この手順は、Intuneへの自動登録が構成されている環境を前提としています。構成されていない場合は、第6章をご参照ください。
PCのセットアップ
まずは、ローカルアカウントでPCをセットアップします。
※事前にインターネットを切断してください。
1.「日本」を選択し、「はい」をクリックします。
2.「はい」をクリックします。
3.「スキップ」をクリックします。
4.「ネットワークに接続しましょう」と表示されるので、キーボードの「Shift」と「F10」を同時に押し、コマンドプロンプトを開きます。
5.コマンドプロンプトに、以下のコマンドを入力します。
cd oobe
6.次に、以下のコマンドを入力します。
BypassNRO.cmd
7.再起動が始まります。
9.「ネットワークに接続しましょう」と表示されるので、「インターネットに接続していません」をクリックします。
10.デバイス名を入力し、「次へ」をクリックします。
11.パスワードを入力し、「次へ」をクリックします。
12.再度パスワードを入力し、「次へ」をクリックします。
13.セキュリティの質問を3つ設定し、「次へ」をクリックします。
14.「今はスキップ」をクリックします。
※後からでも指紋を設定することができます。
15.「次へ」をクリックします。
16.「次へ」をクリックします。
17.「同意」をクリックします。
18.セットアップの準備が始まります。
19.セットアップが完了し、デスクトップが立ち上がりました。「設定」をクリックします。
20.正常にローカルアカウントでセットアップされています。
21.また、あらかじめ、PC上に以下を用意しました。
Entra登録、Entra参加それぞれでデスクトップに変化があるかも確認していきます。
・Chrome
・ショートカット
・フォルダ
Entra登録
次に、”ローカルアカウント”で使用しているPCを”Entra登録”させます。
※インターネットへの接続が必要です。
今回は、ユーザー目線でEntra登録してしまう一つの流れを再現していきます。
想定:「家で会社の情報にアクセスしたい」「会社用としてPCを購入したが、セットアップ時に特に何もしなかった人」
1.Microsoft Edgeを開きます。
2.Microsoft 365にアクセスします。
3.「サインイン」をクリックします。
4.会社で使用しているアカウントIDを入力し、「次へ」をクリックします。
5.パスワードを入力し、「サインイン」をクリックします。
6.Microsoft 365にサインインできました。
デスクトップ版のOfficeアプリを使用するには、アプリのインストールが必要であるため、「インストールなど」のプルダウンを開き、「Microsoft 365 Apps」をクリックします。
7.「Officeのインストール」をクリックします。
8.ダウンロードされたexe.ファイルを開きます。
9.ダウンロードが開始されます。
10.ダウンロードが完了しました。「閉じる」をクリックします。
11.Officeアプリを開きます。※今回はExcelを開いてみます。
12.ポップアップが表示されるので「アカウントにサインインまたはアカウントを作成」をクリックします。
13.アカウントIDを入力し、「次へ」をクリックします。
14.パスワードを入力し、「サインイン」をクリックします。
15.ポップアップが表示され、「組織がデバイスを管理できるようにする」というチェックボックスが出てきます。
このチェックボックスにチェックを入れ、進めることでEntra登録(registered)の状態となります。
さらに、デフォルトでチェックが入っているため、ユーザーは気づかぬうちにEntra登録状態となる可能性が高いです。
個人用のPC、さらには会社用として購入したPCでも、上記流れでOfficeアプリにアクセスしようとすることで Entra登録(registered)デバイスが誕生します。
16.「はい、すべてのアプリ」をクリックし先に進みます。
17.「SMSを送信」をクリックします。
弊社は条件付きアクセスによりMFAを強制しているため、認証が求められます。
※条件付きアクセスによるMFAの設定方法について以下ブログで詳しく解説しております。管理者を守る!Intuneの条件付きアクセスとMFAの導入方法 | yjk365
18.届いたコードを入力し、「検証」をクリックします。
19.「OK」をクリックします。
20. PINを設定し、「OK」をクリックします。
21.アカウントが正常に追加され、会社の情報へアクセスができるようになりました。
「次へ」をクリックします。
22.「同意する」をクリックします。
以上がユーザーが自身のデバイスをEntra登録させてしまっているケースの再現となります。
3.Entra 登録(Entra registered)の結果
-デバイスの状態
Entra登録したことでデバイスの状態がどのように変わるのか確認していきます。
【デスクトップ】
Entra登録をしても特に変わりはありませんでした。
後述するEntra参加を行う場合、デスクトップがクリーンな状態になる挙動が確認できました。
-管理センター上の表示
【Microsoft Entra 管理センター】
以下の状態が確認できます。
・参加の種類: Entra registered(Entra登録の状態)
・MDM:Intune(Inutneに登録されている状態。冒頭の表で紹介したような制御が可能)
【Microsoft Intune 管理センター】
以下の状態が確認できます。
・所有権:個人(Entra登録デバイスがIntuneへ登録されると所有者が個人となります)
4. Entra 登録(Entra registered)デバイスをEntra joinedに変更する手順
はじめに、先ほどEntra登録を行ったことでテナントへ接続されている状態となっているため、一度接続を解除します。
1.設定を開き、「アカウント」をクリックします。
2.「職場または学校へのアクセス」をクリックします。
3.職場アカウントのプルダウンを開き、「切断」をクリックします。
4.ポップアップが表示されるため「はい」をクリックします。
5.職場アカウントの表示がなくなり、ローカル状態に戻りました。
6.「接続」をクリックします。
7.「このデバイスを Microsoft Entra ID に参加させる」をクリックします。
※インターネットに繋がっていないと表示されません。
8.アカウントIDを入力し、「次へ」をクリックします。
9.パスワードを入力し、「サインイン」をクリックします。
※手順3,4で解除を行わないと、Microsoft Inutneへ二重登録となるため、この作業は以下【エラー画面】が表示され進めません。
【エラー画面】
11.「完了」をクリックします。
12. 「h.kondo@~ によって接続済み」と表示されました。
13.この状態では、まだデスクトップに変化はありません。
14.「Windowsマーク」をクリックし、「アカウント」をクリックします。
15.3点リーダーをクリックし、「Swich user」をクリックします。
16.「他のユーザー」をクリックします。
17.アカウントIDとパスワードを入力し、サインインします。
18.サインインの準備が始まります。
19.「OK」をクリックします。
※組織のセキュリティ設定により、この後の画面で認証を求められるケースがあります。その場合、画面の指示に従い認証を行ってください。
20.PINを設定し、「OK」をクリックします。
21.「OK」をクリックします。
22.以上でEntra参加設定が完了しました。
続いてEntra参加しているデバイスの状態について確認していきます。
5. Entra 参加(joined)の結果
-デバイスの状態
Entra参加したことでデバイスの状態がどのように変わるのか確認していきます。
【デスクトップ】
デスクトップを確認すると、ローカルアカウントからEntra登録を行った際は変わらなかった、フォルダやショートカットが無くなり、デスクトップが変わったことがわかります。
※ChromeはIntuneで配布しているため、ローカルアカウントから「引き継がれている」ではなく「Intuneにより配布されている」状態です。
-管理センター上の表示
【Microsoft Entra 管理センター】
以下の状態が確認できます。
・参加の種類: Entra joined(Entra参加の状態)
・MDM:Intune(Entra参加の状態でInutneに登録されているため、冒頭の表で紹介したような制御が可能となります。)
【Microsoft Intune 管理センター】
以下の状態が確認できます。
・所有権:企業
→3.Entra登録の結果【Microsoft Intune 管理センター】の表示と異なり、所有権が「企業」となっています。
これにより、冒頭でご紹介したEntra参加デバイスに対し可能な制限を行うことができるようになります。
6.Intuneへの自動登録が構成されていない場合
今回の検証は冒頭で紹介したように、テナントへ参加したデバイスが自動的にIntuneへも登録される構成のうえ行いました。
Intuneへの自動登録が構成されていない場合、手動で登録を行う必要があります。
そこで、上記を構成していないテナントのパターンとして、
Intuneに登録されていないEntra登録デバイスを、Intuneへ登録する方法
について具体的にどのような作業が必要となるかご紹介します。
1.以下を参考にEntra登録状態のデバイスでアカウント画面へアクセスします。
-Entra 登録(Entra registered)の再現
2.「デバイス管理のみに登録する」をクリックします。(5-1)
3.アカウントIDを入力し、「次へ」をクリックします。
4.パスワードを入力し、「サインイン」をクリックします。
5.「SMSを送信」をクリックします。
弊社は条件付きアクセスによりMFAを強制しているため、認証が求められます。
※条件付きアクセスによるMFAの設定方法について以下ブログで詳しく解説しております。管理者を守る!Intuneの条件付きアクセスとMFAの導入方法 | yjk365
6.届いたコードを入力し、「検証」をクリックします。
7.「クラウド事業部 MDMに接続済み」という表示がされています。
8.Microsoft Intune管理センターからも登録されていることを確認できました。
7.まとめ
今回は Entra登録(Entra registered)から Entra参加(Entra joined)に移行する方法をご紹介しました。
Entra登録(registered)デバイスは管理が不完全になりやすく、セキュリティやポリシー適用に課題があります。
Entra参加(Entra joined)に移行することで、Intuneによる完全な管理とセキュリティ強化が可能になります。
全社的なデバイス管理を進めていく中で、デバイスがバラバラの登録状況になってしまっている場合、ぜひ本記事をご参考いただければと思います。
その他お困りごとも動画で解説!
