本サイトは広告・アフィリエイトプログラムにより収益を得ています
Entra ID Join時のIntune自動登録が突然効かなくなった ― MDMユーザースコープの落とし穴

Entra ID Join時のIntune自動登録が突然効かなくなった ― MDMユーザースコープの落とし穴

Windows
スポンサーリンク

Entra IDとIntuneを運用されている方にはおなじみの、「デバイス | 登録」内にある、自動登録オプションなんですが、先日UIの罠にはまってえらい目にあったので、備忘録としてまとめてみます。

Intuneを運用していくと次第にAという部署は専用の設定を、Bという部署にはこの設定をといった具合に、だんだんとIntuneで配布する構成プロファイルやアプリなどのパターンが増えていきます。

管理の仕方は千差万別ですが、一例として「Intune-A_Division」、「Intune-B_Division」といったように、最初からグループを分けた場合、自動登録オプションの設定も変更しなければなりません。

一番シンプルな設定はMDMユーザースコープを「なし」に設定すれば良いのですが、たいていそううまくはいかず、MDMユーザースコープを「一部」に指定し、それぞれのグループ(例では「Intune-A_Division」、「Intune-B_Division」)を別途指定する運用を取られている方が多いのではないでしょうか。僕の自宅環境も例にもれず特定のグループのみ指定しています。

ここの設定をしくじると業務に多大な影響が出るため、慎重に設定するはずが「まさかそんなことは起きないだろう」という思い込みからとんでもないことに繋がる落とし穴のような仕様があるんです。

このMDMユーザースコープを「一部」に指定した際の、対象グループなんですがとある操作をすると、今まで選択されていたグループが全部解除されちゃうんですよね。

基本的な操作を行うのであれば大きな影響は発生しないのですが、「まさかそんな操作で既存設定が消えるわけないだろう」と思い込んでいるとどツボにはまるパターンがあるんです。

今回は「どのような操作をすると既に選択されていたグループが解除されるのか、実際の環境を基に再現してみました。

目次

再現手順

通常通り、Microsoft Intune管理センターから「デバイス」→「登録」→「自動登録」の順に遷移し、新しいグループを追加するため「n個のグループが選択されました(例では1個)」リンクをクリックします。

さて、このタイミングで声をかけられて別の作業を実施することになったので、事故防止のため「グループの選択」を右上の「×」をクリックして閉じます。

すると…… 先ほど「n個のグループが選択されました」と表示されていたリンクが「グループが選択されていません」という表示に変わっています。

「グループが選択されていません」リンクをクリックすると、確かに先ほどまで選択されていたはずの「ADDS」グループの選択が外れていることが確認できます。

とはいえ、「保存」ボタンがグレーアウトされているので、別ページに遷移するか「破棄」をクリックすれば特に影響はないのですが、ここに気づかずに作業を再開して、新たに追加するグループを選択するとそれ以外のグループが解除された状態で「保存」ボタンが活性化されます。

そのため、ここで気づかずにそのまま「保存」をクリックすると、頭の中では既存グループに追加で新しいグループを追加している認識なのに、実際には新規で指定したグループしか選択されていない状態が起きてしまいます。

その結果、本来Entra ID JoinすればIntuneに自動登録されるはずのユーザーがIntuneに登録されなくなる事態が発生するわけです。

本事象の影響例

IntuneでPINによるサインインを制限していない場合、デフォルト設定ではEntra ID Join時にパスワードサインインではなくPINの設定が求められてしまう。

慣れって本当に怖いもので、僕自身最初にこの仕様を踏み抜いた際、本当に身に覚えがなく、「どうしてこうなった!どうしてこうなった!」と頭を抱えていました。「まさか自分はそんなへまはしないよ」って人ほどハマる罠なので、皆さんもご注意を……

被害を最小限に抑えるTips

もし、「デバイス | 登録」内にある自動登録オプションを今後設定される際は、落とし穴のような仕様があるため、作業前に設定しているグループの一覧をスクリーンショットやメモなどで保存しておくことをおススメします。

MDMがないから自動キッティングできないとお悩みの方に、技術書典20の新刊がおすすめ!

しょぼんブログでは、主に今回のような情シス向けの記事を公開しているのですが、すべての企業がIntuneのようなMDMを導入できるわけではありません。

IntuneがないからWindowsの自動キッティングができないや……とお悩みの方もいることでしょう。ですがそんな悩みを特別なライセンスを使うことなく解決できる「プロビジョニングパッケージ」という仕組みがあるんです!

プロビジョニングパッケージとは、事前にWindows Configuration Designer(WCD)と呼ばれるツールを使って、あらかじめ自動で設定したい項目をまとめた自動設定ファイルのことを指します。

作成したプロビジョニングパッケージをUSBメモリに保存し、初期セットアップ(OOBE)のタイミングで接続するとあら不思議、WCDであらかじめ設定した内容が自動で設定されるんです。

USB1本で始める! Windows 11自動キッティング入門 – しょぼんブログ – BOOTH
本書は、Microsoft EntraIDやActive Directory、Microsoft Intuneなどの高度な環境がない企業でも、USBメモリを使用…
syobon-blog.booth.pm
USB1本で始める! Windows 11自動キッティング入門:しょぼんブログ
本書は、Microsoft EntraIDやActive Directory、Microsoft Intuneなどの高度な環境がない企業でも、USBメモリを使用…
techbookfest.org

実は既に既刊としてプロビジョニングパッケージを使った自動キッティングの入門書「USB1本で始める!Windows 11自動キッティング入門」という本を出してたりします。

今回、技術書典20にて入門書の発展版として、WCDのうち情シスにとって必要な設定内容がまとまった「Common IT Pro settings」の全内容をまとめたリファレンス本、「USBメモリ1本で始める!プロビジョニングパッケージリファレンスガイド」を出展する運びとなりました。

興味のある方はぜひ技術書典20またはBOOTHでお求めください!

USBメモリ1本で始める!プロビジョニングパッケージリファレンスガイド:しょぼんブログ
本書は、前作「USB1本で始める! Windows 11自動キッティング入門」の続編として、Windows Configuration Designer(WCD…
techbookfest.org
USBメモリ1本で始める!プロビジョニングパッケージリファレンスガイド – しょぼんブログ – BOOTH
本書は、前作「USB1本で始める! Windows 11自動キッティング入門」の続編として、Windows Configuration Designer(WCD…
syobon-blog.booth.pm

免税事業者なのでインボイス対応の領収書は発行できませんが、領収書もご要望に応じて発行しますので、お気軽にご相談ください。

モバイルバージョンを終了