こんにちは！竹内です！  

会社支給PCや端末を従業員が自由にWi-Fiに接続することができると、セキュリティリスクが高まり、管理側の対応が大変ですよね。セキュリティリスクが高いと不安ですし、トラブル対応に追われるのも面倒です。 

そこで、Intuneを利用してWiFi設定を固定化し、企業のネットワークに限定する方法をご紹介します。この設定を行うことで、セキュリティ対策が施された環境でのみ通信が行われ、情報漏洩のリスクを大幅に減らすことができます。  

この記事では、Intuneを使用してWiFi設定を固定化する方法をわかりやすく解説します。この設定を導入して、情報漏洩を防ぎ、セキュリティを強化しましょう！ 
 
 
 

目次

• 1　WiFiの手動設定を禁止する理由
• 2　IntuneでWiFiの手動設定を任意で制限、解除する手順
  2-1. ブロック用・解除用のグループ作成 
• 2-2. WiFiプロファイル作成＋配布（会社のAPを設定） 
• 2-3. ブロック用・解除用のプロファイルを作成
• 2-4. 動作確認
• 3　トラブルシューティング
• 4　まとめ

1　WiFiの手動設定を禁止する理由 

業務用の端末では、指定したWiFi以外に接続させたくない場合があります。 
なぜなら従業員が安全でないネットワークに接続することで情報漏洩の危険性があるからです。 
そのためリモートワークなどが少ない会社や、厳格なセキュリティポリシーがある会社では、会社Wi-Fiにさえ繋げればそれで良い！という考えの管理者の方も多いでしょう。 

そこで今回は指定のWiFi以外に接続を許可しない方法について解説します。 

2　IntuneでWiFiの手動設定を任意で制限、解除する手順  

2-1. ブロック用・解除用のグループ作成 

Wi-Fiの手動設定を禁止するグループと、Wi-Fiの手動設定を禁止しないグループを作成します。

１． Microsoft Intune 管理センターを開き、「グループ」をクリックします。

２．「すべてのグループ」を開き「新しいグループ」をクリックします。

３．「新しいグループ」を下記のように設定します。

—————————————-
グループの種類：セキュリティ
グループ名：任意（ただしブロックを意識した名前）
グループの説明：任意
グループにMicrosoft Entraロールを割り当てることができる：任意
メンバーシップの種類：任意
 ———————————-

４．「作成」をクリックします。

５．ブロック用のグループが作成されました。

６．同様に解除用のグループを作成していきます。
「新しいグループ」をクリックします。

７．「新しいグループ」を下記のように設定し、「作成」をクリックします。

—————————————-
グループの種類：セキュリティ
グループ名：任意（ただし解除を意識した名前）
グループの説明：任意
グループにMicrosoft Entraロールを割り当てることができる：任意
メンバーシップの種類：任意
 ———————————-

８．解除用のグループが作成されました。

９．グループ＞すべてのグループからブロック用、解除用のグループが作成されたことが確認できます。

2-2.WiFiプロファイル作成＋配布（会社のAPを設定） 

許可したWi-Fiには接続できるようにするため、設定を行っていきます。

１． Microsoft Intune 管理センターを開き、「デバイス」をクリックします。

２．「構成」をクリックします。

３．「新しいポリシー」をクリックします。

４．「プロファイルの作成」を下記のように設定します。

—————————————-
プラットフォーム： Wndows 10 and later

プロファイルの種類：テンプレート
 ———————————-

５．テンプレート名は「Wi-Fi」を選択し、「作成」をクリックします。

６．「名前」にプロファイル名を入力し、「次へ」をクリックします。 （ユーザー側には見えないため、管理用の名前 ）

７．「構成設定」を下記のように設定し「次へ」を押します。
 —————————————-
Wi-Fi の種類：基本
Wi-Fi 名(SSID)：任意の SSID 名
接続名：任意の名前
※ここで指定した名前が 利用者の PC 画面に表示されます。
ワイヤレス セキュリティの種類：WPA/WPA2 – パーソナル
事前共有キー：パスワード

※ここで設定値を明記していない項目は、任意で選択してください。利用環境によっては差がでますが、「 Intune で WiFi 設定を配布して PC から接続する」という目的は どの設定でも果たせます。
—————————————-

※上記の設定を入力していきます

８．「グループを追加」をクリックします。

９．割り当てるグループやユーザーにチェックを入れ、「選択」をクリックします。
※すでに他のプロファイルがある場合、同じ端末に複数の設定プロファイルを割り当てると競合が発生するため、必ず1つの設定プロファイルのみを割り当ててください。

１０．割り当てられたことを確認し、「次へ」をクリックします。

１１．適用性ルールは何も入力せず「次へ」をクリックします。

１２．設定内容を確認し、「作成」をクリックします。

１３．プロファイルが作成されました。

2-3.ブロック用・解除用のプロファイルを作成 

ブロック用プロファイルを作成

１． Microsoft Intune 管理センターを開き、「デバイス」をクリックします。

2．「構成」をクリックします。

3．「作成」をクリックし、「新しいポリシー」をクリックします。

4．「プロファイルの作成」を下記のように設定します。

—————————————-
プラットフォーム： Wndows 10 and later

プロファイルの種類：テンプレート
 ———————————-

５．「デバイスの制限」を選択し、「作成」をクリックします。

６．「任意の名前」を入力し、「次へ」をクリックします。（ブロックを意識した名前にします）

７．「携帯ネットワークと接続性」のタブを開きます。

８．「Wi-Fiの手動設定」をブロックに設定し「次へ」をクリックします。

９．組み込まれたグループから「グループの追加」をクリックし、グループを割り当てます。

１０．ここで先ほど作成したブロック用グループにチェックを入れ、「選択」をクリックします。
※2-1.手順1を参照

１１．除外されたグループから「グループの追加」をクリックし、グループを割り当てます。

１２．ここで先ほど作成した解除用グループにチェックを入れ、「選択」をクリックします。
※2-1.手順6を参照

１３．正しくグループが組み込まれているか確認し「次へ」をクリックします。
※組み込まれたグループにブロック用グループ、除外されたグループに解除用グループが組み込まれていれば正解です。

１４．「次へ」をクリックします。

１５．「作成」をクリックします。

１６．プロファイルが作成されました。

解除用プロファイルを作成をしていきます。

ブロック用プロファイルの作成と同じ手順で進めていきます。

１７．「作成」をクリックし、「新しいポリシー」をクリックします。

１８．「プロファイルの作成」を下記のように設定します。

—————————————-
プラットフォーム： Wndows 10 and later

プロファイルの種類：テンプレート
テンプレート名：カスタム
 ———————————-

１９．「任意の名前」を入力し、「次へ」をクリックします。解除を意識した名前にします）

２０．構成設定で「追加」をクリックします。

２１．「行の追加」を下記のように設定します。
—————————————-
名前：任意

説明：任意
OMAURI：

./Device/Vendor/MSFT/Policy/Config/Wifi/AllowManualWiFiConfiguration

値：１
 ———————————-
※上記の OMA-URI の欄には、手動でWi-Fi設定ができるようにするためのCSPのパスを入力しています。以下Microsoftの公開情報になります。
AllowManualWiFiConfiguration

２２．行が追加されました。

２３．一覧に追加されたことを確認して「次へ」をクリックします。

２４．組み込まれたグループから「グループの追加」をクリックし、グループを割り当てます。

２５．こで先ほど作成した解除用グループにチェックを入れ、「選択」をクリックします。
※2-1.手順6を参照

２６．組み込まれたグループに解除用グループが組み込まれていることを確認し「次へ」をクリックします。

２７．「次へ」をクリックします。

２８．「作成」をクリックします。

２９．プロファイルが作成されました。 

３０．デバイス＞構成からブロック用、解除用のプロファイルが作成されたことを確認します。

2-4.動作確認

2-2で設定した WiFi プロファイル で WiFi 接続が可能になったデバイスを使います。

ブロックをテストする
PC の デバイス名 を ブロック 用に作成したグループに追加します。

１．「グループ」をクリックします。

２．すべてのグループからブロック用に作成したグループを開きます。

３．「メンバー」をクリックします。

４．「メンバーの追加」をクリックします。

５．対象デバイスをチェックを入れ「選択」をクリックします。

６．「メンバーが正常に追加されました」という通知が来ます。

７．メンバーが追加されていることを確認できました。

８．これでブロック用のプロファイルが適用された状態になり、手動設定が不可能になります。以下、実際の挙動です。
※反映まで時間がかかります。
反映結果をすぐに確認したい場合Intune の同期を行うことで待ち時間を減らすことができます。これについては「３．トラブルシューティング」で手順を解説しています。

■「ネットワーク管理者により、このネットワークへの接続がブロックされています。」という表示が出て接続ができません。

■2-2で設定した、会社のAPに見立てたWi-Fiにのみ接続ができます。

※※ブロック状態であっても有線LANには接続ができました。

続いてブロック設定を解除できるか確認していきます。

９．2-5_手順１と同じ手順で解除用グループを開きます。

１０．「メンバーの追加」をクリックします。

１１．対象デバイスをチェックを入れ「選択」をクリックします。

１２．メンバーが追加されていることを確認できました。

１３．これで解除用のプロファイルが適用された状態になり、ブロック用のポリシーが適用されていない状態になります。
つまり、手動設定ができるようになります。
以下、実際の挙動です。

以上のようにWi-Fiの手動設定の禁止設定は「解除用グループ」に対象メンバーを割り当てるか否かで自由に設定ができます。
そのため、再度ブロックを設定したい場合、解除用グループからメンバーを削除するだけでブロックプロファイルを再適用できます。
以下、メンバーの削除手順です。

１４．グループ＞すべてのグループ＞解除用グループを開きます。

１５．対象ユーザーを選択し「削除」をクリックします。

１６．ポップアップが出るので「はい」をクリックします。

１７．メンバーの削除通知が出ます。これでブロック設定を解除できます。

３．トラブルシューティング

■Wi-Fiの自動接続設定

１．会社APに自動接続するよう設定したい場合、範囲内にある場合は自動的に接続するを「はい」にすることで可能です。
※2-2_手順7参照

２．設定結果です。

３．設定した結果、想定通り自動で接続されました。

■設定結果をすぐに確認する方法（手動で即座に反映させる方法）


１．設定＞アカウントを開きます。

２．職場又は学校にアクセスするを開きます。

４．プルダウンを開き「情報」をクリックします。

５．少し下にスクロールすると「同期」ボタンがあるのでクリックします。

６．数分で同期が完了しました。

４．まとめ

今回は2つの構成プロファイルを作成、適用することでWi-Fiの手動設定を禁止する方法に加え、その解除も実現することができました。
それぞれの状況に合わせこの設定を活用し、セキュリティリスクを減らしていきましょう！

その他お困りごとも動画で解説！