Microsoft Endpoint Manager の、Intune の各種ポリシー

8/30/2020

Azure AD Intune Microsoft 365

備忘録を兼ねて、あらためてIntuneでのiOS管理で使った内容についてまとめてみました。Office365は新しい機能が随時追加されてるのだけど、Intuneも同様に新しい機能が追加されます。気が付けば管理できる幅が広がっているのはありがたいのだけど、以前のドキュメントと内容が変わる箇所が出るのはお約束ですね。

〇〇ポリシーという言葉がいっぱいですが、順を追っていきましょう。

1.デバイスの設定

1-1.デバイス構成ポリシー

1-2.iOS / iPadOS のソフトウェア更新ポリシー

2.アプリの設定

2-1.アプリ(アプリの配布や禁止)

2-2.アプリの構成ポリシー

3.デバイスの登録とコンプライアンスポリシー

3-1.デバイスの登録制限

3-2.コンプライアンスポリシー

4.条件付きアクセス

1.デバイスの設定

まずは、デバイスそのものの設定にかかわる箇所から。

1-1.デバイス構成ポリシー

パスワードの桁数は複雑さの設定、Wifiとか、インストール禁止アプリなどのデバイスそのものの設定を行うものです。証明書の配布や、VPNポリシーもここから設定できます。

Automated Device Enrollment (ADE ) と組み合わせると、iOSの「監視モード」も使える。監視モードでは、通常のMDMの設定ではできないような設定も可能になる。特に、「紛失時の位置情報を管理者が探す」機能を使うには監視モードが必須なので、この要件があるだけでも ADE   必須ですね。

※ADE …以前はDEPという名前だった。[ ADE Apple ]で検索しても違う意味のものが出てくる。ややこしい。

1-2.iOS / iPadOS のソフトウェア更新ポリシー

ミニマムバージョンを強制するポリシー。たとえば、13.5をミニマムバージョンに設定して、それ未満の場合は強制でアップデートさせることができる。

意識してアップデートしてくれるユーザーばかりだといいんですが、そうでないユーザーもやっぱりいますから強制させるには必須だと思います。ただし、監視モードが必須。

アップデートを遅らせるポリシー、アップデートを禁止するポリシーはありません。ただ、最大90日、ユーザーへの通知を遅らせる機能は別にあります。ただし、ブロックできるわけでもないんですよね。

2.アプリの設定


デバイスの設定のつぎは、アプリに関する設定にかかわる箇所を。

2-1.アプリ(アプリの配布)


デバイスにアプリをインストールさせる機能。たとえば、TeamsとEdgeは強制インストール、など。

インストールさせたいアプリアプリごと・グループごとに、強制あるいは任意インストールを設定できる。また、アプリを配布するOSミニマムバージョンを設定できる。13以降のデバイスだけに強制配信、とかも可です。特定URLへのショートカットを配布することもできます。

アプリインストールを禁止する設定はデバイス構成ポリシーで行います。
またVPPというアプリ購入・配布方法を使えばAppleIDがなくても配布できたりします。

2-2.アプリの構成ポリシー

インストールした後のアプリに対し、設定を行う機能。たとえば、Edgeのブックマークを管理者が強制で設定する、なども可。

アプリによっては、初回起動時にパラメータを設定しなければならないケースもありますが(対象URLやアカウントとか)、この方法でスキップさせることも可能です。

2-3.アプリ保護ポリシー

対象のアプリを開く際にPINを強制したり、許可したアプリ以外にファイルやテキストをコピーを禁止する制御を行う機能。たとえば、Outlookのメールをコピーしても、Safariにはペーストできなくする、などができます。

適用できるアプリはM365系を除けばまだごく一部。Adobe AcrobatやZoomなどは対応していると書かれていますが、このリストにないアプリでもFoxitのように対応しているケースもあるようです。

3.デバイスの登録とコンプライアンスポリシー

デバイスの設定もアプリの設定も行ったら、認証認可にかかわる箇所を。

3-1.デバイスの登録制限

UPN1つ当たりデバイスの登録できる台数を制限できる。たとえば、最大5台まで、最大2台まで、とかも可能。

そもそもデバイス登録できる種類も設定できるので、iOSは使ってない、Andoroidを使ってない、なんてケースの場合はデバイス登録アクセス自体をブロックできる。あくまでデバイス登録できないだけなので、この後の条件付きアクセスと組み合わせて考える必要があります。

3-2.コンプライアンスポリシー

組織側で定めたポリシーを満たしているかどうかを判定します。たとばデバイスのパスコードがデバイス管理ポリシーの要件を満たしているか、決めた日数の間にアクセスがあるか、などを判定し、「準拠している」「準拠していない」を判定します。

準拠していない場合は、ユーザーにアラートを送るとかデバイスをワイプする、なども可能です。


4.条件付きアクセス

Intuneの機能ではなく、Azure ADの機能であるけど、「あるグループのユーザーが、あるアプリ(たとえば、Office365)に、あるOSデバイス(たとえばiOSデバイス)からアクセスする場合、特定の条件を満たす場合のみ許可する」というルール設定を行って、認可を制御できます。

たとえば、
・iOSからのOffice365へのログインの場合
・コンプライアンスポリシーに準拠しているデバイスで、
・かつデバイス登録されているデバイスからのアクセスで、
・かつアプリ保護ポリシーで保護されているアプリからの場合は、
認可する、なんてことが制御できます。

細かい制御があれこれできますが、適用対象外のケース(適用対象のグループに所属していない、適用対象のOSでない場合、など)への対応を踏まえて設計しましょう。