Azure ADのデフォルト設定ではBYODなど、会社で管理していないデバイスも登録出来てしまいます。
そのため、ユーザーがデバイスを登録出来ないようにしたり、登録数の上限を設けることで、ユーザーが自由に登録出来ないようにすることが重要です。
Azure AD 参加とAzure AD 登録については下記をご覧ください。
デバイスの Azure AD 参加について
デバイスの Azure AD 登録について
Intuneへのデバイス登録制限は下記をご覧ください。
1.デバイス登録制限の設定
1.Azure AD管理センターでAzure Active Directoryを開きます。
2.「デバイス」をクリックします。
3.「デバイスの設定」をクリックします。
4.「ユーザーはデバイスをAzure ADに参加させることができます」という設定で、デバイスを参加させることが出来るユーザーを指定することが出来ます。
一部のユーザーのみに許可したい場合、「デバイスを参加させることが許可されたメンバー」画面でユーザーまたはグループを追加します。
5.「ユーザーはデバイスをAzure ADに登録できます」という設定で、デバイスを登録させることが出来るユーザーを指定することが出来ます。
デバイス登録はIntuneの前提条件のため、Intuneを利用している場合は「すべて」が選択され、グレーアウトされます。
6.「デバイスをAzure AD参加済みまたはAzure AD登録済みにするには多要素認証が必要」という設定で、デバイスを参加または登録する際に多要素認証を求めることが出来ます。
なお、Hybrid Azure AD Joinの場合は適用されません。
7.「ユーザーごとのデバイスの最大数」という設定で、参加または登録出来るデバイス数を制限することが出来ます。
最大数はリストから選択するか、カスタムで任意の値を指定することも出来ます。
なお、本設定もHybrid Azure AD Joinの場合は適用されません。
2.追加のローカル管理者
Azure AD 参加済みのデバイスに対して、ローカル管理者を追加出来ます。
ユーザーにローカル管理者権限を付与しない場合、デバイスを管理出来るようにローカル管理者を追加します。
3.Enterprise State Roaming
Windowsデバイス間で設定やアプリデータを同期することが出来ます。
同期することによって複数のデバイスの使用環境が統一され、新しいデバイスを利用するまでの時間が短縮されます。
以上の設定で最低限のデバイス登録制限は完了です。
コメント