切断プロセスは、電話を使用するユーザーがローカルで実行するか、管理サーバーを使用する IT 管理者によってリモートで実行されます。 ユーザーが開始した切断プロセスは、最初の接続に似ています。ここで、その開始は、職場アカウントの作成と同じ場所からコントロール パネル設定します。 ユーザーは、退職や新しいデバイスの取得、古いデバイス上の LOB アプリへのアクセスの不要など、さまざまな理由で切断することを選択します。 IT 管理者が切断を開始すると、登録クライアントは次の定期的なメンテナンス セッション中に切断を実行します。 管理者は、会社を離れた後、またはデバイスがorganizationのセキュリティ設定ポリシーに定期的に準拠していないため、ユーザーのデバイスを切断することを選択します。
切断中、クライアントは次のタスクを実行します。
- LOB アプリのインストールと実行を許可したエンタープライズ アプリケーション トークンを削除します。 このエンタープライズ トークンに関連付けられているビジネス アプリケーションも削除されます。
- MDM サーバーによって構成されている証明書を削除します。
- 管理インフラストラクチャによって適用される設定ポリシーの適用を中止します。
- スケジュールされたメンテナンス タスクなど、MDM サーバーによって追加されたデバイス管理クライアント構成とその他の設定構成を削除します。 ユーザーが管理インフラストラクチャに再接続しない限り、クライアントは休止状態のままです。
- 管理者がプロセスを開始した場合に、管理インフラストラクチャへの関連付け解除が正常に開始されたことを報告します。 Windows では、ユーザーが開始した関連付けの解除がベスト エフォートとしてサーバーに報告されます。
ユーザーが開始した切断
Windows では、ユーザーがアカウント削除コマンドを確認した後、アカウントが削除される前に、MDM クライアントはアカウントが削除されることを MDM サーバーに通知します。 この通知は、通知がデバイスに正常に送信されるように再試行が組み込まれているため、ベスト エフォートアクションです。
このアクションでは、OMA DM 汎用アラート 1226 関数を使用して、デバイスがユーザーの登録解除要求を受け入れた後、エンタープライズ データを削除する前に、MDM の登録解除ユーザー アラートを MDM サーバーに送信します。 サーバーは、登録解除が成功または失敗するという期待を設定する必要があります。サーバーは、デバイスがスケジュールされた時刻に呼び出すかどうかを確認するか、デバイスにプッシュ通知を送信して応答するかどうかを確認することで、デバイスの登録を解除するかどうかをチェックできます。 サーバーがプッシュ通知を送信する予定の場合は、登録解除作業を完了する時間がデバイスに与えられます。
注
ユーザーの登録解除は、OMA DM 標準です。 1226 汎用アラートの詳細については、OMA Web サイトから入手できる OMA デバイス管理 プロトコルの仕様 (OMA-TS-DM_Protocol-V1_2_1-20080617-A) を参照してください。
ベンダーは、Type 属性を使用して、ジェネリック アラートの種類を指定します。 デバイスによって開始された MDM の登録解除の場合、アラートの種類は com.microsoft:mdm.unenrollment.userrequest です。
ユーザーが登録解除を選択すると、アクティブな MDM OMA DM セッションはすべて終了します。 その後、DMClient は、ユーザーがサーバーに送信する最初のパッケージで汎用アラートの登録を解除するなど、DM セッションを開始します。
次の例は、汎用アラート メッセージを含む OMA DM の最初のパッケージを示しています。 WP OMA DM のサポートの詳細については、 OMA DM プロトコルのサポート に関する記事を参照してください。
<SyncML xmlns='SYNCML:SYNCML1.2'>
<SyncHdr>
<VerDTD>1.2</VerDTD>
<VerProto>DM/1.2</VerProto>
<SessionID>1</SessionID>
<MsgID>1</MsgID>
<Target>
<LocURI>{unique device ID}</LocURI>
</Target>
<Source>
<LocURI>https://www.thephone-company.com/mgmt-server</LocURI>
</Source>
</SyncHdr>
<SyncBody>
<Alert>
<CmdID>2</CmdID>
<Data>1226</Data> <!-- generic alert -->
<Item>
<Meta>
<Type xmlns="syncml:metinfo"> com.microsoft:mdm.unenrollment.userrequest</Type>
<Format xmlns= "syncml:metinfo">int</Format>
</Meta>
<Data>1</Data>
</Item>
</Alert>
<!-- other device information -->
<Replace>
<CmdID>2</CmdID>
<Item>
<Source>
<LocURI>./DevInfo/DevID</LocURI>
</Source>
<Data>{unique device ID}</Data>
</Item>
<Item>
...
</Item>
</Replace>
<Final/>
</SyncBody>
</SyncML>
前のパッケージが送信されると、登録解除プロセスが開始されます。
サーバーによって開始される切断
サーバーが切断を開始すると、デッドロックを回避するために、登録 ID に対して実行されているすべてのセッションが直ちに中止されます。 サーバーは登録解除に対する応答を受け取らず、代わりに汎用アラート通知が messageid=1で送信されます。
<Alert>
<CmdID>4</CmdID>
<Data>1226</Data>
<Item>
<Meta>
<Type xmlns="syncml:metinf">com.microsoft:mdm.unenrollment.userrequest</Type>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>1</Data>
</Item>
</Alert>
[Work Access 設定] ページから登録を解除する
ユーザーがMicrosoft Entra IDを使用して MDM に登録されている場合 (Microsoft Entra参加するか、Microsoft の職場アカウントを追加することによって)、MDM アカウントが [仕事用アクセス] ページに表示されます。 ただし、[ 切断 ] ボタンは灰色表示され、アクセスできません。 ユーザーは、デバイスへのMicrosoft Entra関連付けを削除することで、その MDM アカウントを削除できます。
[Work Access] ページを使用して登録を解除できるのは、次の条件のみです。
- 登録は一括登録を使用して行われました。
- [Work Access] ページを使用して登録が作成されました。
参加から登録を解除Microsoft Entra
Microsoft Entra参加後にユーザーが MDM に登録されると、登録が切断され、ユーザーが Windows Information Protection (WIP) データを失うという警告はありません。 切断メッセージは、WIP データの損失を示しません。
デバイスが参加を Microsoft Entra通じて MDM に登録され、リモートで登録解除されるプロセス中に、デバイスは再イメージ化する必要がある状態になる可能性があります。 デバイスが MDM からリモートで登録解除されると、Microsoft Entra関連付けも削除されます。 このセーフガードは、企業のデバイスが管理されていない状態のままにならないようにするために用意されています。
会社のデバイスをリモートで登録解除する前に、デバイスに少なくとも 1 人の管理者ユーザーがMicrosoft Entra IDに含まれていないことを確認する必要があります。そうしないと、操作後にデバイスに管理者ユーザーが存在しません。
モバイル デバイスでは、Microsoft Entra参加済みデバイスのリモート 登録解除が失敗します。 これらのデバイスから会社のコンテンツを削除するには、デバイスをリモートでワイプすることをお勧めします。
IT 管理者が要求した切断
サーバーは、次のクライアントが開始する DM セッション中に DMClient 構成サービス プロバイダーの登録解除ノードを使用して、Exec OMA DM SyncML XML コマンドをデバイスに発行することで、エンタープライズ管理の切断を要求します。 Exec コマンド内の Data タグは、プロビジョニングされた DM サーバー ProviderID の値である必要があります。 詳細については、エンタープライズ固有の DMClient 構成に関する記事を参照してください。
切断が完了すると、デバイスがエンタープライズ管理から切断されたことがユーザーに通知されます。