Intune登録をする上で、不審なユーザーの登録や社内ユーザーの個人パソコンの登録を防ぎたいといった要望がよくあります。
今まではそのために、条件付きアクセスでIPアドレス制限したり、多要素認証を要求したり、Intune の登録制限を使って個人所有の端末(Azure AD Regitered)の登録をブロックする制御をしていました。
ただ、リモートワークが進んでいる昨今でIPアドレス制限はナンセンスですし、多要素認証を許可できない企業さんもいらっしゃいますよね。
また、個人所有かどうかは、Azure AD Join か Registered か、Azure AD の登録方法による判定になるので、会社のパソコンで Azure AD Join ができないケースではこの方法が使えません。
…ですので、多少手間がかかるものの、Intune の登録制限を使って
① 普段は登録自体を完全ブロック
② 申請があったときにIT管理者が許可グループにユーザーを入れて登録させる
③ 登録が終わったら許可グループから外して完全ブロックに戻す
といった構成を Intune の登録制限で実現されているケースもあります。
Intune登録通知
今回、Intune登録通知という機能がリリースされました。(11/8時点 プレビュー)
この機能によりIntune登録時にメールを送付することが出来るため、前述したような面倒な構成や運用回避をしなくても、メール受信のタイミングで許可しているデバイスかどうかを確認すればよくなります。今までの煩雑さや手間を削減することが出来ます!
なお、Windows だけではなくAndroid / iOS, iPadOS / macOS にも対応しています。
今回は Windows での設定方法を記載しましたので、参考にしていただければ幸いです。
登録通知の設定手順
① Microsoft Endpoint Manager 管理センターにアクセスします。
② [デバイス]-[デバイスの登録] をクリックします。
③ [登録の通知(プレビュー)] をクリックします。
④ [+通知の作成] をクリックします。
⑤ 任意の名前と説明を入力し、[次へ] をクリックします。
⑥ [通知設定] タブで通知方法を決定します。ここではメール通知を選択しました。
また、デバイス名が分かると後で探しやすいため、メールのフッターを有効化しています。その他の設定は任意で大丈夫です。
⑦ [スコープ] タグは何も変えず次に進み、[割り当て] タブで適用範囲を決定します。
テストの際はグループを指定していただき、本番適用の時は[すべてのユーザー]を選択するのがお勧めです。
⑧ ポリシーを保存します。
この状態で、PCをIntune登録すると…。
このように、登録された旨がメールで届くようになりました!(注意あり)
注意事項
1点、注意事項があります。メールは「Intune 登録を行ったアカウントのメールアドレス」に送信されます。追加でIT管理者に通知するような設定にすることは、登録通知機能にはありません。
ですが!Exchange のトランスポートルール等を駆使することで、該当メールを管理者に届けるようなことも実現できます。
トランスポートルールの構成は割愛しますが、もしご希望でしたら弊社の運用サポートにて承りますので、お気軽にご相談くださいませ。
