Windows10をEMS(Azure AD Premium、Intune)で管理してみる

前回のAndroidタブレットに続き、我が家のWindows 10をEMSで管理対象にしてみます!

条件付きアクセス」の設定で思いがけない結果となりました。

 

1.Azure ADに既に登録済みなのですが・・・Intuneの管理ポータルから見ると「準拠していない」となってます。

 

2.取り敢えず「デバイスのポリシー」を作成してみます。

[デバイスのポリシー準拠] > [ポリシー] > [ポリシーの作成]で「Windowsデバイスポリシー」を作成します。

しかし・・・時間を置いてみても、Azure ADに参加し直しても「準拠していない」ままです。

 

3.これはMDMユーザースコープの設定がなされていないためのです。

[Azure Active Directory] > [モビリティ(MDMおよびMAM) > [Microsoft Intune]に移動します。

 

4.「すべて」に変更して保存します。

 

5.Azure ADに再参加します。いつもと違う画面が表示されてます。

 

6.やっと「準拠している」となりました!

 

7.続いてメールへのアクセスを制御するため、[条件付きアクセス] > [ポリシー] > [ポリシーの作成]で「Windows10デバイス制御ポリシー」を作成します。

 

8.制御対象を「Exchange Online」とします。

 

9.制御対象のプラットフォームを「Windows」とします。

 

10.「デバイスは準拠しているとしてマーク済みである必要があります」をアクセスを付与する条件とします。これで会社のポリシーに準拠していないデバイスからのメール(Exchange Online)接続を制限できます。

 

11.思いがけないというのは、Intune登録済み(デバイス準拠)でもFirefoxからのWebメール(Outlook on the web)へのアクセスが拒否されたことです。IE11、Edge、ChromeはOKです。

Firefoxは、条件付きアクセスのクライアントアプリの条件のサポート外のようです。詳しくはここを参照

Chromeの場合はアクセス拒否されますが、拡張機能(Windows 10 Accounts)をインストールすればアクセスできるようになります。