USBメモリの禁止設定

プロファイルの作成​

1. Azure portal で、[すべてのサービス] を選択し、Intune でフィルター処理して、[Intune] を選択します。​

2.[デバイス構成]、[プロファイル]、[プロファイルの作成] の順に選択します。​

3. 次のプロパティを入力します。​

・[名前]:新しいプロファイルのわかりやすい名前を入力します。​

・説明:プロファイルの説明を入力します。 この設定は省略可能ですが、推奨されます。​

・[プラットフォーム]:プラットフォームの種類を選択します。​

   ・Android​

   ・Android エンタープライズ​

   ・Android​

   ・macOS​

   ・Windows Phone 8.1​

   ・Windows 8.1 以降​

   ・Windows 10 以降​

・[プロファイルの種類]:作成する種類を選択します。 リストは、選択したプラットフォームによって異なります。​

(中略)​

4. 完了したら、[作成] を選択します。​

プロファイルが作成され、リストに表示されます。​

次の手順​

プロファイルを割り当て、その状態を監視します。​

——–抜粋終了——–​

企業所有デバイスは当該プロファイルを割り当てするも、個人所有デバイスは割り当てを行わないことを想定しているとお伺いいたしました。​

確認いたしましたが、デバイス構成プロファイルにつきましては、ユーザー グループとデバイス グループ双方共に割り当て可能でございますのでご安心ください。​

作成したプロファイルがデバイス適用されるまでの所要時間に関しましては、ネットワークやデバイスの状況に依存いたしますが、プロファイル割り当て後 5 分以内が目安となります。​

以下に、言及のある公開情報をご案内いたしますので、お手数をおかけいたしますが、ご確認いただきますようお願い申し上げます。​

<公開情報>​

Title : Microsoft Intune でのデバイス プロファイルの一般的な問題と解決策​

URL : https://docs.microsoft.com/ja-jp/intune/device-profile-troubleshoot

——–以下抜粋——–​

ポリシーまたはアプリが割り当てられると、Intune はデバイスに対して、Intune サービスにチェックインするようにすぐに通知し始めます。 この通知にかかる時間は通常 5 分未満です。​

——–抜粋終了——–​

また、Azure AD 登録や Azure AD 参加など、いずれでも MDM 登録できていればプロファイルの展開は可能でございます。​

最後に、デバイス構成プロファイルのデバイス制限内にある [USB 接続 (モバイル限定)] 等の [(モバイル限定)] の記述が指す範囲に関してご案内いたします。​

Intune では、デスクトップやはラップトップといった筐体の情報でもって判断するのではなく、OS で判断しているという見解でございます。従いまして、Windows Phone や Windows 10 Mobile といったモバイル用 OS 限定という意味であるという認識でございます。​

PCへのサインインを厳重にする方法


PCへのサインインを二要素認証にする(顔認証、指紋認証、Web認証、PIN、パスワード等の二つを組み合わせる)等、様々な方法が選択できます。今回は記憶(パスワード、PIN)だけでなく、所有物(スマートフォン)を利用した認証方法をご紹介します。

・地球儀のマークをクリックする

・パスワードを入力した後に、スマートフォンに承認の通知がきますので承認を押します。

WebSignin を有効化する方法

  1. Intune にサインインします。
  2. [デバイス構成] > [プロファイル] > [プロファイルの作成] の順に選択します。
  3. 次の設定を入力します。
    • 名前: Websignin profileのようにプロファイルの名前を入力します。
    • 説明: プロファイルの説明を入力します
    • [プラットフォーム] : [Windows 10 以降] を選択します。
    • プロファイルの種類[カスタム] を選択します。
  4. [OMA-URI のカスタム設定] で、 [追加] を選択します。 次の設定を入力します。
    • 名前: OMA-URI 設定の一意の名前を入力すると、設定リスト内で容易に識別できます。
    • 説明: 設定の概要および他の重要な詳細がわかる説明を入力します。
    • OMA-URI (大文字と小文字を区別): [./Vendor/MSFT/Policy/Config/Authentication/EnableWebSignIn] を指定します。
    • データ型: ・データ型は整数を指定します
    • : 1 (=有効) を指定します
  5. [OK] を選択して変更を保存します。 必要に応じて他の設定の追加を続けます。
  6. 終わったら、 [OK] > [作成] を選択して Intune プロファイルを作成します。 完了すると、プロファイルが [デバイス構成 – プロファイル] の一覧に表示されます。

作成したプロファイルを [Device] に対して割り当てます。

事前に Azure AD 上で対象となるクライアント デバイスを所属させたグループを作成しておくとスムーズです。

作成したプロファイルの [割り当て] メニューより適用対象のグループをご指定ください。

上記プロファイルが適用されたクライアントでは、Windows ログオン画面の Sign-in options に地球マークが増えます。

こちらを選択して上部の [Sign in] をクリックすると、Web サインイン画面 (=ブラウザ) が表示されるようになります。

iOSでMDMを使用する為の方法

APNs 証明書の取得手順

1.Azure AD ポータル (http://portal.azure.com) にサインインします。​

2. メニューより 『Intune 』をクリックします。​​

3. 『デバイスの登録 』 > 『Apple の登録 』 > 『Apple MDM プッシュ通知証明書 』をクリックします。​

4. ステップ 2 [CSR のダウンロード] をクリックし、csr ファイルを任意の場所に保存します。​

5. ステップ 3 [ MDM プッシュ証明書を作成する] をクリックします。​

6. [Apple Push Certificates Portal] ページが開くので、APNs 証明書を作成時の Apple ID でサインインします。​

7. [Expiration Date (有効期限)] を確認して、該当する Certificates の [Renew] をクリックします。​

8. [Renew Push Certificates Portal] が表示されたら、[ファイルを選択] をクリックして、手順 5 で保存したファイルの場所を参照し、[Upload] をクリックします。​

9. [Confirmation] の画面に変わったら、[Download] をクリックして、pem ファイルを任意の場所に保存します。​

10. [MDM プッシュ証明書を構成する] に戻り、手順 6 で入力したものと同じ Apple ID を入力します。​

11. 手順 9 で保存したファイルの場所を参照し、[アップロード] をクリックします。​

Windows デバイスの登録をセットアップ

1. 設定 →アカウント → 職場または学校にアクセスする を開きます。​

2.[+ 接続] をクリックします。​

3. Azure AD 登録する場合は上部の枠から、Azure AD 参加する場合は下部の [このデバイスを Azure Active Direcyory に参加させる] をクリックし、自動登録設定をしているユーザーでサインインしてください。​

4. 上記サインイン後、PIN コード設定や電話認証が求められることがございます。画面の指示に合わせて設定を完了させてください。​

5. Azure AD 参加の場合には一度、Windows からサインアウトし、その後登録に用いた UPN で再度サインインしてください。

Office 365 にサインインする際、ID とパスワードに加え、電話もしくは SMS認証を追加する方法

​​

【Office 365 多要素認証にて使用可能な認証方法】​

・指定の電話番号への通話 : ユーザーの固定電話、携帯電話またはスマートフォンに着信を受け、ガイダンスに沿って操作することでサインインが許可されます。​

・テキスト メッセージの送信 : ユーザーの携帯電話やスマートフォンに 6 桁の数字のパスコードを含むテキスト メッセージ (SMS) が送信されます。​

・会社電話へ通話 : Office365 管理センターより設定されている勤務先電話番号 ([事業所の電話] 項目の番号) に着信を受け、ガイダンスに沿って操作することでサインインが許可されます。​

・アプリの通知 : 認証用モバイル アプリケーション (Microsoft Authenticator) に通知が送信され、ユーザーのサインインの確認作業を実行します。​

※ Windows Phone、iPhone、Android の各種モバイル端末で使用可能です。​

・アプリを通じたワンタイム コードの表示 : 認証用モバイル アプリケーションに表示された 6 桁の数字のパスコードをサインイン画面へ入力します。​

SharePoint Online のフォルダーを PC のネットワーク ドライブに割り当てる方法

​​

■ 1. 『エクスプローラーで開く』の操作方法 ​

1-1. ブラウザ を起動し、Office 365 (https://portal.office.com) へサインインします。​

※ サインインする際、『サインインの状態を維持しますか?』 の画面で『はい』を選択しサインインください。​

※ 『サインインの状態を維持しますか?』の画面が出ない場合は、ブラウザのキャッシュおよび、Cookie 情報の削除にて表示されるか確認してください。​

   ​

1-2. SharePoint Online へアクセスして、保存先に指定したい該当のドキュメント ライブラリを開きます。 ​

1-3. 画面右上の三本線のアイコンをクリックし、『エクスプローラーで表示』をクリックします。 ​

※ クラシック表示の場合は、画面左上の 『ライブラリ』をクリックし、『接続とエクスポート』内 『エクスプローラーで開く』を選択します。 ​

1-4. 表示されたエクスプローラー画面上部の欄 (ネットワーク > https://<テナント名>.sharepoint.com …) をクリックし、表示されたアドレスをコピーします。​

例 : https://<テナント名>.sharepoint.com/site/<サイト名>/Shared Documents​

■ 2. ネットワーク ドライブの割り当て方法 ​

2-1. エクスプローラー画面の左メニューに表示されている 『コンピューター 』 (または 『 PC 』) にマウスを合わせ右クリックし、 『ネットワーク ドライブの割り当て 』をクリックします。 ​

2-2. 『ネットワーク ドライブの割り当て 』 画面より『ドキュメントと画像の保存に使用できる Web サイトに接続します 』の青文字をクリックします。​

2-3. 『ネットワークの場所の追加』画面が表示されましたら、 『次へ』をクリックします。 ​

2-4. 『このネットワークの場所を作成する場所を指定してください。』 画面に切り替わりましたら 『カスタムのネットワークの場所を選択 』をクリックし、 『次へ 』をクリックします。 ​

2-5. 『インターネットまたはネットワークのアドレス』欄に 『項目 1-4.』 でコピーした対象ドキュメントのアドレスを貼り付け、 『次へ 』 をクリックします。 ​

2-6. 『ネットワークの場所の名前を指定してください』 の 『名前』の欄に任意で名前を入力し、 『次へ』をクリックします。 ​

2-7. 『正しく作成されました』と表示されましたら、 『完了』 をクリックします。​

■ 3. 『サインインしたままにする 』 について (補足説明)​

Office 365 へのサインイン時に 『サインインしたままにする』 にチェックをいれ、サインインする操作は、SharePoint Online にサインインするための資格情報をローカル PC のディスク上に保存することが可能です。​

ローカル PC の WebClient サービスが SharePoint Online サーバーへ接続する際に上記資格情報を参照するため、この操作が重要となります。​

なお、この操作によりディスク上に Cookie として保存された資格情報は保持されます。

そのため、資格情報が有効期限切れとなったことにより WebClient が SharePoint Online サーバーに接続できず、ローカル PC 起動時のネットワーク ドライブ自動マウント処理時や、ネットワーク ドライブに移動しようとした際にエラーが発生することがあります。​

その場合には、再度、Office 365 上にて 『サインインしたままにする』にチェックをいれ、改めてサインインをすることにより、再度ディスクに資格情報が書き込まれて接続が正常に行えるようになります。​

■ 『 ネットワーク ドライブの割り当て』 が行えない時などの対応​

『 ネットワーク ドライブの割り当て 』 が行えない場合には、ブラウザに 『信頼済みサイト』を登録いただくことで事象が改善される場合があります。

また、ネットワーク ドライブの構成後、セッションが切れることが頻発する場合には、 『WebClient』を 『自動 』とすることで軽減できる可能性があります。​

​​

□ 信頼済みサイトの登録内容を確認する​

  1. ブラウザのメニュー バーにて 『ツール』 – 『インターネット オプション 』 をクリックします。 ​

2. 『セキュリティ 』 タブをクリックし、 『信頼済みサイト』 – 『サイト 』をクリックします。 ​

3. 『 Web サイト 』 に次の URL が表示されていない場合は追加します。 ​

会社PCを紛失した際にリモートでデータ消去する方法

下記の様なケースに有効です。

会社PC、スマホを紛失したので情報漏洩しない様にデータを消去したい

・個人所有のPC、スマホなので業務データのみ消去したい

・退職者からPC、スマホの返却が遅れているのでデータを消去したい

1. Azure AD 新ポータル (http://portal.azure.com) にサインインします。

1. 『リタイヤ』実行時の動作について

管理対象のアプリ データ、設定、Intune を使用して割り当てられた電子メールプロファイルが削除され、デバイスは Intune の管理からも削除されます。

会社データの削除では、ワイプと違い、ユーザーの個人データはデバイス上にそのまま保持されます。

 1. Azure AD 新ポータル (http://portal.azure.com) にサインインします。

 2. メニューより 『Intune』 をクリックします。

 3. 『デバイス』 – 『すべてのデバイス』を選択します。

 4. 実行するデバイスの名前を選択します。

 5. デバイス名が表示される 『概要』ウインドウで、『リタイヤ』を選択し、『はい』を選択します。

  6. 上記操作を行っていただいたあと、デバイスに電源が入っていて、インターネットに接続されている場合、『リタイヤ』アクションは 15 分以内にデバイスに伝達されます。

  7. アクションがデバイスに伝達され完了すると、デバイス上の Intune ポータル サイト アプリからサインアウトされ、Intune ポータル サイト アプリから展開したアプリは、デバイス上から削除されます。

『リタイヤ』を行った場合に、削除される項目はプラット フォームごとに違います。

※ 『リタイヤ』の動作についての注意点について

Azure AD Join をしている Windows 10 デバイスは、アカウントを切り替えて Azure AD ユーザーでログインをし直します。

Intune から 『リタイヤ』を実施すると、Intune の MDM 登録は削除されるため “MDM に接続済み” が削除される動作になりますが、Azure AD には参加し続けている状態のため、Azure AD アカウントの設定は『設定』 – 『アカウント』 – 『職場または学校にアクセスする』に保持されます。

同表示を消す場合は、 『切断』でアカウントを削除します。

ワイプ *所有が個人の場合はグレーアウトします
工場出荷状態に戻します。

リタイヤ
会社アプリのみ削除します。