[EMS] Office 365(+SaaSアプリ) に会社貸与端末の iOS / Android デバイスのみ接続させたい その1 ( IMEI 番号の事前登録機能 )

**2017/03/07 Update**

プラットフォームの制限に Android のサポートが追加されました
この更新によって、iOS / Android 端末において IMEI 番号を事前に登録した端末のみから Office 365 (および SaaS アプリ)へ接続させる制御が可能になりました。

*********************

こんにちは、松井です。

今回は Microsoft Intune に機能追加された モバイルデバイス登録ルールの「プラットフォームの制限」機能をご紹介します。

この機能は、お客様から多く寄せられていたご要望の 1 つである「会社貸与端末だけを Office 365 へ接続させたい」というものをサポートする機能になります。

具体的には、Azure Active Directory ( AAD) のデバイス ベースの条件付きアクセスを組み合わせることで、会社貸与(または申請があった個人端末)端末のみが Office 365 並びに AAD と連携した SaaS アプリに接続できる環境を構築することができるようになりました。

では、早速ですがどのような機能なのかをご紹介いたします。
機能名からは動作が想像しづらく恐縮なのですが、Android, iOS, Mac OS X および Windows というプラットフォーム毎に Microsoft Intune へ "デバイス登録" を許可するか否かを設定することができる機能です。

 

次の画面をご覧ください。*この設定画面は 近々 Azure ポータルに移行される予定です。 この機能は Azure Portal へ移行されました。(旧ポータルの画面も残しておきます) 170207-imei-01

[管理者]->[モバイルデバイス管理]->[登録ルール] に新しい項目が追加されています。

新ポータル(Azure Portal)での設定画面は下図になります。
imei_devicerestrict_2

当該の箇所を拡大すると、プラットフォーム毎にスイッチが設けられており、例えば 『 Android 』という項目のスイッチをブロックに変更すると、Microsoft Intune のライセンスをもったユーザーであっても Android デバイスの登録ができなくなります。

 

旧ポータル

170207-imei-02

新ポータル
imei_devicerestrict_4

この様に Microsoft Intune の 2017年 1月のアップデートによって、プラットフォーム毎に Microsoft Intune へデバイス登録を拒否することができるようになりました。* この設定は現状テナント レベルの設定であるため、ユーザーやグループ毎に設定することはできませんのでご注意ください。

imei_devicerestrict_3

さらに注目していただきたいのが[プラットフォーム構成]で、iOS と Android それぞれで個人所有端末の登録を許可するか否かを設定することが可能になりました。

こちらの設定を有効(ブロック)に設定すると、Microsoft Intune のライセンスをもったユーザーであっても、 "事前に IMEI 番号を登録した iOS / Android デバイス" を絞りこむことが可能になっています。

これによって、会社貸与(または申請があった個人端末)端末のみが Office 365 並びに AAD と連携した SaaS アプリに接続できる環境が実現します。

 

170207-imei-03

 

この機能の注意点としては、現状では iOS  のみの実装であるため、会社貸与端末に Android, macOS が含まれる場合にはそれを制限することはできないという点になります。 *Android, Windows についても今後この機能が実装される予定です。

Android もこの機能が実装されました。 もし、会社貸与端末が iOS のみであるという場合にはご検討いただければ幸いです。

 

補足:

IMEI 番号の登録は、1台ずつ登録するか、CSV ファイルでも登録していただくことが可能です(一度に登録できるのは 5,000台という制限があります)。
CSV のフォーマットや具体的な手順についてはこのページをご参照ください。

Android 端末においては、SIM カードが2枚搭載でき且つ同時待ち受けが可能な機種も増えてきています。
そのような端末の場合には IMEI 番号が複数個設定されている端末もありますので、その場合にはどちらの IMEI 番号もご登録ください。