Microsoft 365

組織のデバイスを OS の種類ごとにグループ管理する

  • 2021.05.27

Azure Active Directory のセキュリティ グループを利用する事で、デバイスを OS の種類ごとに分けて管理することができます。OS ごとのセキュリティ グループがあると Intune の構成プロファイルやコンプライアンス ポリシーなどの設定を対象 OS のデバイスのみに展開が可能です。

  1. セキュリティ グループにデバイスを登録する方法
  2. 手動でデバイスを追加するセキュリティ グループの作成
  3. 動的グループを使用したセキュリティ グループの作成
  4. iOS/iPadOS や Android デバイスの動的グループの作成
  5. まとめ

セキュリティ グループにデバイスを登録する方法

Azure AD のセキュリティ グループにデバイスを追加する方法は、手動追加と自動追加の2種類あります。

  • 手動追加
    • 自由にデバイスの追加や削除が行えます。
    • 管理デバイスが増えるたび、グループにデバイスを追加する必要があります。
  • 自動追加
    • Azure AD Premium P1 ライセンスの「動的グループ」 機能を利用します。
    • 動的グループは、グループに追加したいデバイスの情報 (OS やバージョンなど) と管理デバイスの情報がマッチすると、自動的にグループに追加される機能です。
    • 動的グループには、手動でデバイスの追加・削除はできません。
    • 動的グループの作成は、Azure Active Directory 管理センターでのみ行えます。

手動でデバイスを追加するセキュリティ グループの作成

  1. Azure Active Directory 管理センター (https://aad.portal.azure.com/) を開き、[Azure Active Directory] – [グループ] – [新しいグループ] をクリックします。
  2. グループの種類や名前などを設定します。

    • グループの種類 : [セキュリティ]
    • グループ名 : 任意の名前
    • グループの説明: 任意に入力
    • グループに Azure AD ロールを割り当てることができる : [いいえ]
    • メンバーシップの種類 : [割り当て済み]
  3. グループの所有者アカウントを選択します。選択後、 [選択] をクリックします。
    ※ 所有者は複数選択できます。
  4. グループに追加するデバイスを選択します。追加したいデバイスがない場合、デバイス名で検索を行ってください。
  5. [作成] をクリックします。

動的グループを使用したセキュリティ グループの作成

動的グループを使って Windows 10 デバイスが自動的に追加されるセキュリティ グループを作成してみましょう。

  1. Azure Active Directory 管理センター (https://aad.portal.azure.com/) を開き、[Azure Active Directory] – [グループ] – [新しいグループ] をクリックします。
  2. グループ名等を指定し、メンバーシップの種類は [動的デバイス] を選択します。
  3. グループの所有者アカウントを選択します。選択後、 [選択] をクリックします。
    ※ 所有者は複数選択できます。
  4. [動的クエリの追加] をクリックします。
  5. 自動的に追加されるデバイスの条件 (ルール) を設定します。
    • 1つ目のルール : OS が Windows
    • 2つ目のルール : 「10」 から始まる OS バージョン
  6. [作成] をクリックします。

セキュリティ グループが作成後、少し時間をおいて作成したグループを開き、[メンバー] をクリックすると、指定したルールにマッチするデバイスが追加されています。

iOS/iPadOS や Android デバイスの動的グループの作成

作成手順は、ルールの設定内容以外は [動的グループを使用したデバイスのセキュリティグループの作成] と一緒です。設定する OS やバージョンの値は、Azure AD のデバイス情報に登録されている OS やバージョンを指定してください。

【iOS/iPadOS の動的グループ設定】

【Android の動的グループ設定】

まとめ

デバイスをグループで管理することで、コンプライアンス ポリシーや構成プロファイルを適切なデバイスのみに展開することができます。

さらに動的グループを使用することで、新しいデバイスが Intune に登録されると自動的にグループに追加され、そのグループに割り当てられている コンプライアンス ポリシーや構成プロファイルも展開されるため、新しいデバイスもすぐにセキュアなデバイスとして利用できます。

参考 URL
https://docs.microsoft.com/ja-jp/azure/active-directory/enterprise-users/groups-dynamic-membership#rules-for-devices
https://docs.microsoft.com/ja-jp/azure/active-directory/enterprise-users/groups-dynamic-membership#supported-expression-operators

Microsoft 365 管理者向けコース

  • CI520-O 今からはじめる Azure AD 基礎
    Microsoft 365、Microsoft Azure では、ユーザーの管理や認証を行うしくみとして Azure AD が採用されています。本コースでは Azure AD の基礎を理解し、組織のセキュリティ向上につながる設定や運用を行っていただくことをめざします。Azure AD を「何となく使っているけれど一度基本からしっかり理解を深めたい」という方や、これから Microsoft 365 の管理者になる AD をそもそも知らない方などにおすすめのコースです。
  • CI531-H シナリオベースで理解する Microsoft 365 セキュリティ機能
    Microsoft 365 で利用できるセキュリティ機能と、それぞれが何のために利用するものかシナリオベースで解説します。 “どんな” 機能が利用できて、”何に” 対するセキュリティ対策になり、利用するためにはどのような設定が必要かを整理します。
  • CI525-H Office 365 とクラウドサービスの認証ベストプラクティス (Azure AD 編)
    Microsoft 365 をはじめとするクラウドサービスへのユーザー認証の設計と実装について学習します。Azure AD では、SAML、OpenID Connect、OAuth2.0 など、様々なID 連携プロトコルを利用して 365 だけでなく、SaaS や PaaS などのクラウドサービスにシングルサインオンするために必要な実装やシングルサインオン環境を実現するために必要な知識を習得します。
  • CI532-H EMS で実現するクラウド IT インフラ管理
    企業でのデバイス管理や展開をおこなう方を対象に、EMS を利用した “モダンマネージメント” を実践していただこうと考えています。豊富な実習を通してクラウドベースでの IT インフラ管理へ移行する方法を習得し、管理の考え方もクラウドベースにシフトしていきましょう。
  • CI535-H Microsoft 365 を利用したインシデント対応
    Microsoft 365 E5 を利用している企業を対象に、サイバー攻撃の検知や対応を具体的に行う方法について解説し、インシデント対応プロセスをどのように進めていくべきかについてベストプラクティスを探っていきます。
  • CI510-H 管理者のための Microsoft Teams – 活用シナリオ理解と管理手法
    IT 管理者向けに Microsoft Teams 活用のためのシナリオや、必要となる管理知識を解説します。Teams の導入/展開にあたり、理解しておかないといけない運用管理の手法や注意事項をご理解いただけます。

オンライン コースも提供中!

お問い合わせ

イルミネート・ジャパンが提供するトレーニングやサービスに関するご相談など、
お気軽にご連絡ください。

担当者に相談する