Microsoft Entra の登録デバイス
Microsoft Entra 登録済みデバイス (ワークプレース参加済みデバイス) の目的は、Bring Your Own Device (BYOD) シナリオまたはモバイル デバイス シナリオのサポートをユーザーに提供することです。 これらのシナリオでは、ユーザーは個人所有のデバイスを使用して、組織のリソースにアクセスできます。
| Microsoft Entra 登録済み | 説明 |
|---|---|
| 定義 | 組織アカウントでのデバイスへのサインインを必要としない Microsoft Entra ID 登録 |
| 主な対象 | 次の条件に該当するすべてのユーザーに適用できます。 |
| Bring Your Own Device | |
| モバイル デバイス | |
| デバイスの所有権 | ユーザーまたは組織 |
| オペレーティング システム | Windows 10 以降、iOS、Android、macOS、Ubuntu 20.04/22.04 LTS |
| プロビジョニング | Windows 10 以降 – 設定 |
| iOS/Android – ポータル サイトまたは Microsoft Authenticator アプリ | |
| macOS – ポータル サイト | |
| Linux - Intune エージェント | |
| デバイスのサインイン オプション | エンドユーザーのローカル資格情報 |
| パスワード | |
| Windows Hello | |
| PIN | |
| 他のデバイスの生体認証またはパターン | |
| デバイス管理 | モバイル デバイス管理 (例:Microsoft Intune) |
| モバイル アプリケーション管理 | |
| 主な機能 | クラウド リソースへのシングル サインオン (SSO) |
| Intune への登録時の条件付きアクセス | |
| アプリ保護ポリシーを使用する条件付きアクセス | |
| Microsoft Authenticator アプリでの電話によるサインインを有効にします |
Microsoft Entra 登録済みデバイスへのサインインには、ローカル アカウント (たとえば、Windows 10 以降のデバイスで使用する Microsoft アカウントなど) を使用できます。 登録済みデバイスには、組織のリソースにアクセスするための Microsoft Entra アカウントがあります。 組織内リソースへのアクセスは、その Microsoft Entra アカウントと、デバイス ID に適用される条件付きアクセス ポリシーに基づいて制限できます。
Microsoft Entra における登録は、デバイスの登録とは異なる概念です。 管理者がユーザーにデバイスの登録を許可している組織では、それらの Microsoft Entra 登録済みデバイスを Microsoft Intune などのモバイル デバイス管理 (MDM) ツールに登録することで、さらに制御を強化できます。 MDM では、ストレージの暗号化、パスワードの複雑さ、セキュリティ ソフトウェアを常に最新の状態に保つことを求めるなど、組織に必要な構成を適用する手段が提供されます。
Microsoft Entra の登録は、作業用アプリケーションに初めてアクセスする際に自動で実行することも、Windows 10 または Windows 11 の設定メニューから手動で実行することもできます。
シナリオ
組織内のユーザーが、自宅の PC から福利厚生の登録ツールにアクセスしたいと考えています。 組織によって、すべてのユーザーは Intune に準拠したデバイスからこのツールにアクセスすることが要求されています。 ユーザーが自宅の PC を Microsoft Entra ID に登録し、そのデバイスを Intune に登録すると、必要な Intune ポリシーが適用され、ユーザーにリソースへのアクセス権が付与されます。
別のユーザーは、ルート化されている個人用の Android フォンで組織のメールにアクセスしたいと考えています。 会社では準拠デバイスが必要であり、ルート化されたデバイスをブロックする Intune デバイス コンプライアンス ポリシーがあります。 このデバイス上の組織リソースへの従業員からのアクセスは阻止されます。