今回は会社支給のデバイスのみ、ユーザーによる Entra参加を可能にし、それ以外のデバイスは Entra参加を制限する方法を紹介します。 

ユーザーが自由にデバイスをEntra参加ができてしまうと 
・個人デバイスで会社の情報へアクセスされてしまう 
・すべてのデバイスを完全に管理することが難しい 
など、セキュリティリスクが高まり恐ろしいですよね。 

そこで、一部のユーザー（管理者など）のみデバイスを Entra参加できるよう設定し、以下のような運用を可能にする方法をご紹介します。 
・会社支給デバイス 
　→Autopilotによりユーザー自身がEntra参加可能にする 
・それ以外のデバイス（BYOD運用のデバイスなど） 
　→自社のセキュリティポリシーに従い、管理者のみがEntra参加可能にする 

この設定を行うことでセキュリティの向上と運用の効率化を実現しましょう！ 

目次

• １．事前準備
• ２．特定のユーザーのみEntra参加を許可
• ３．設定の結果
• ４． Autopilotデバイスでの挙動確認
• ５．おわりに

１．事前準備

事前準備として以下２つを設定していきます。 

① Microsoft Intuneへの自動登録を構成 
②Entra参加を許可するグループの作成 

① Microsoft Intuneへの自動登録を構成 
はじめに、Entra参加したユーザーが自動でMicrosoft Intuneへ登録されるようにするため、設定を行います。これによりMicrosoft Intuneによりデバイスの管理が可能になります。 

1．Microsoft Azure Portalから「Microsoft Entra ID」をクリックします。

２．「管理」のプルダウンより、「モビリティ (MDM およびWIP) 」をクリックします。

３．「Microsoft Intune」をクリックします。

４． MDM ユーザースコープの項目から「すべて」を選択し、「保存」をクリックします。 これにより、Entra参加したユーザーは全てMicrosoft Intuneへ自動登録されます。

②Entra参加を許可するグループの作成   
続いて、Entra参加を許可するメンバーを加えるためのグループを作成します。 

１． Microsoft Intune 管理センターを開き、「グループ」をクリックします。

２．「すべてのグループ」を開き、「新しいグループ」をクリックします。

３．「新しいグループ」を下記のように設定します。
————————————————————————————————————
グループの種類：セキュリティ 
グループ名：任意 
グループの説明：任意 
グループにMicrosoft Entraロールを割り当てることができる：任意 
メンバーシップの種類：任意 
————————————————————————————————————

４．「メンバーが選択されていません」をクリックします。

５．Entra参加を許可するユーザーにチェックを入れ、「選択」をクリックします。

６．「作成」をクリックします。

７．「グループ」＞「すべてのグループ」から先ほど作成したグループが確認できます。

８．新しくメンバーを追加する場合、「メンバー」をクリックし、「＋メンバーの追加」からメンバーの追加が可能です。

２．特定のユーザーのみEntra参加を許可

続いて、特定のユーザーのみEntra参加を許可するために以下２つの設定を行っていきます。 
①全ユーザーを対象にEntra参加を制限 
②特定のユーザーのみEntra参加を許可 

①全ユーザーを対象にEntra参加を制限 
１． Microsoft Intune 管理センターを開き、「デバイス」をクリックします。

２．「Windows」をクリックします。

３．「登録」をクリックします。

４．「デバイス プラットフォームの制限」をクリックします。

５．「+制限を作成」をクリックします。

６．基本タブで以下を入力し、「次へ」をクリックします。
———————————————————————————————
名前：任意※制限を意図した名前 
説明：任意 
———————————————————————————————

７．プラットフォームの設定タブで以下の設定を行い「次へ」をクリックします。
——————————————————————————————————
MDM：許可 
個人所有のデバイス：ブロック 
——————————————————————————————————

８．スコープ タグタブでは何も変更せず、「次へ」をクリックします。

９．割り当てタブで「すべてのユーザーを追加」をクリックします。

１０．「次へ」をクリックします。

１１．設定内容を確認し、「作成」をクリックします。

②特定のユーザーのみEntra参加を許可   
以上の設定で、すべてのユーザーがEntra参加を制限された状態になりました。 
続いて、特定のユーザーのみEntra参加を許可する設定を行っていきます。 

１．①全ユーザーを対象にEntra参加を制限の手順1~5と同様に「＋制限を作成」をクリックします。

２．基本タブで以下を入力し、「次へ」をクリックします。
————————————————————————————————————
名前：任意※制限しないことを意図した名前 
説明：任意 
————————————————————————————————————

３．プラットフォームの設定タブで以下の設定を行い「次へ」をクリックします。
———————————————————————————————————
MDM：許可 
個人所有のデバイス：許可 
———————————————————————————————————

４．スコープ タグタブでは何も変更せず、「次へ」をクリックします。

５．割り当てタブで「グループの追加」をクリックします。

６．②Entra参加を許可するグループの作成で作成したグループにチェックを入れ、「選択」をクリックします。

７．「次へ」をクリックします。

８．設定内容を確認し、「作成」をクリックします。

９．２つのプロファイルが作成されていることを確認します。
この際、「優先度」が以下の状態であることを確認します。 
優先度１：Entra参加を許可するプロファイル 
優先度２： Entra参加を制限するプロファイル 

Entra参加を制限するプロファイルの優先度が高い状態だと、Entra参加を許可するグループに含まれたユーザーもブロックされてしまうためです。 

３．設定の結果

以上の設定により、一般ユーザーのEntra参加を制限しつつ、特定のユーザーを除外することができるよう構成が完了しました。 
実際の挙動を以下２つのパターンごとに確認していきます。 
①Entra参加が許可されているグループに含まれていないユーザー 
②Entra参加が許可されているグループに含まれているユーザー 

①Entra参加が許可されているグループに含まれていないユーザー 
１．Entra参加していないデバイスから「設定」を開きます。

２．「アカウント」をクリックします。

３．「職場または学校にアクセスする」を開き、「接続」をクリックします。

４． Entra参加が許可されているグループに含まれていないユーザーのアカウントを入力し、「次へ」をクリックします。

５．パスワードを入力し、「サインイン」をクリックします。

６．以下表示が出るので画面が変わるまで待機します。
「お客様の会社にこのデバイスを登録してポリシーを適用しています。しばらくお待ちください」 

7．「問題が発生しました」と表示され、Entra参加に失敗しました。

②Entra参加が許可されているグループに含まれているユーザー 

１．②Entra参加を許可するグループの作成の手順5で追加したユーザーのアカウントを入力し、「次へ」をクリックします。

２．パスワードを入力し、「サインイン」をクリックします。

３．「準備が完了しました」と表示されEntra参加が成功しました。

４．アカウントが追加されていることも確認できます。

５．Microsoft Intune 管理センターからも個人デバイスとして登録されていることを確認できました。

６．Entra参加が完了したため、会社の情報にアクセスできるか確認していきます。 
Microsoft Edgeを開き、SharePointを開きます。

７．任意のサイトを開き、実際にドキュメントを開けるか確認してみます。

８．「ドキュメント」を開き、フォルダをクリックします。

９．csvファイルを開いてみます。

１０．実際に開くことができました。

４． Autopilotデバイスでの挙動確認

これまでの構成で特定のユーザーのみEntra参加できる可能になりましたが、このままだとそのユーザーがすべてのデバイスを手動でEntra参加させる必要があります。 

この運用ですとデバイスが多数ある場合、とても手間であり現実的ではありません。 

その回避方法として、Autopilotのユーザー駆動モードを採用する事で解決ができます。 Autopilotにより、社用デバイスをユーザーへ配布したあとで、ユーザー自身がテナントへの参加とIntuneへの登録ができるよう権限委譲できます。 

Autopilot は２．ユーザーの Entra参加を制限の影響を受けない仕様となっているため、セキュリティと運用のバランスをうまく取ることができます。 

1．下記、記事の手順でAutopilotの設定を行います。 
Autopilotキッティング作業 | yjk365 

２．上記記事内の「ユーザーの追加＞手順12」の画面で、Autopilotを行うデバイスにEntra参加が許可されていないユーザーを割り当てます。

３．以下の画面で、ユーザーパスワードを入力します。

２．Windowsの設定を開き、AutopilotによりセッティングしたデバイスがEntra参加できていることを確認します。

３．会社の情報にアクセスできるか確認していきます。 
Microsoft Edgeを開き、Outlookを開きます。

４．先ほどと同様に実際にOfficeアプリへアクセスすることができました。

５．おわりに

以上の設定で以下運用を実現することができました。 

◎基本方針：Autopilotによる自動Entra参加 
標準的なデバイスは Autopilotを利用してユーザー駆動によるEntra参加。 

◎例外対応：特定ユーザーによる手動Entra参加 
BYOD（私物端末）などの例外デバイスについては、特定のユーザーに限定して手動でEntra参加を許可。 

これにより管理者の手間を減らしつつセキュリティを高めるデバイス管理が実現できるため、ぜひご参考ください。 

 

その他お困りごとも動画で解説！