登録制限とは

適用対象

• Android
• iOS
• macOS
• Windows 10
• Windows 11

デバイス登録制限を使用すると、特定のデバイス属性に基づいてデバイスが Intune に登録されないように制限できます。 Microsoft Intune で構成できるデバイス登録制限には、次の 2 種類があります。

• デバイス プラットフォームの制限: デバイス プラットフォーム、バージョン、製造元、または所有権の種類に基づいてデバイスを制限します。
• デバイス制限の制限: ユーザーが Intune に登録できるデバイスの数を制限します。

制限の各種類には、必要に応じて編集およびカスタマイズできる 1 つの既定のポリシーが付属しています。 Intune では、より優先度が高いポリシーを割り当てるまで、すべてのユーザーとユーザーなしの登録に既定のポリシーが適用されます。

この記事では、使用可能な登録制限と機能制限の概要について説明します。 制限の作成を開始するには、次の 手順 (この記事の) に進んでください。

利用可能な制限

管理センターでは、次の制限を構成できます。

• デバイス制限
• デバイスのプラットフォーム
• OS のバージョン
• デバイスの製造元
• デバイスの所有権 (個人所有のデバイス)

デバイス制限

1 人が登録できるデバイスの数に制限を設けます。 デバイス制限は 1 から 15 まで設定できます。

この構成は、管理センターの [登録デバイス制限] にあります。

デバイスのプラットフォーム

特定のデバイス プラットフォームで実行されているデバイスをブロックします。 この制限は、以下を実行しているデバイスに適用できます。

• Android デバイス管理者
• Android Enterprise の作業プロフィール
• iOS/iPadOS
• macOS
• Windows 10 または 11

両方の Android プラットフォームが許可されているグループでは、仕事用プロファイルをサポートするデバイスが仕事用プロファイルに登録されます。 仕事用プロファイルをサポートしていないデバイスは、Android デバイス管理者プラットフォームに登録されます。 Android 登録のすべての前提条件を満たすまで、仕事用プロファイルの登録もデバイス管理者の登録も機能しません。

この制限は、管理センターの [デバイス>デバイスのオンボード>Enrollment>Device プラットフォームの制限] にあります。

OS のバージョン

この制限により、最大および最小の OS バージョン要件が適用されます。 この種類の制限は、次のオペレーティング システムで機能します。

• Android デバイス管理者*
• Android Enterprise 仕事用プロファイル*
• iOS/iPadOS*
• Windows

* バージョン制限は、Intune ポータル サイト経由でのみ登録されたデバイスに対して、これらのオペレーティング システムでサポートされています。

この制限は、管理センターの [デバイス>デバイスのオンボード>Enrollment>Device プラットフォームの制限] にあります。

デバイスの製造元

この制限は、特定の製造元のデバイスをブロックするもので、Android デバイスのみに適用されます。 管理センターの [デバイス>デバイスのオンボード>登録>Device プラットフォームの制限] の下にあります。

個人所有のデバイス

この制限は、デバイス ユーザーが自分の個人用デバイスを誤って登録するのを防ぐのに役立ち、次を実行しているデバイスに適用されます。

• Android
• iOS/iPad OS
• macOS
• Windows 10 または 11

この制限は、管理センターの [デバイス>デバイスのオンボード>Enrollment>Device プラットフォームの制限] にあります。

個人用 Android デバイスのブロック

既定では、管理センターで手動で変更を加えるまでは、Android Enterprise の仕事用プロファイルのデバイス設定と Android デバイス管理者デバイス設定は同じです。

個人のデバイスで Android Enterprise 仕事用プロファイルの登録をブロックする場合、個人所有の仕事用 プロファイルを使用して登録できるのは会社所有のデバイスのみです。

個人の iOS/iPadOS デバイスをブロックする

既定では、Intune は iOS/iPadOS デバイスを個人所有として分類します。 企業所有に分類するには、iOS/iPadOS デバイスが次のいずれかの条件を満たしている必要があります。

• シリアル番号または IMEI で登録されています。
• 自動デバイス登録 (旧称 Device Enrollment Program) を使用して登録されています。

個人用 Mac のブロック

既定では、Intune は macOS デバイスを個人所有として分類します。 企業所有に分類するには、Mac が次のいずれかの条件を満たしている必要があります。

• シリアル番号で登録されている。
• Apple 自動デバイス登録 (ADE) を使用して登録されます。

個人用 Windows デバイスのブロック

個人所有の Windows デバイスの登録をブロックする場合、Intune では、新しい Windows 登録要求が企業登録に対して承認されていることを確認します。 未承認の登録はブロックされます。

次の登録方法は、企業の登録に対して承認されています。

• デバイスは Windows Autopilot 経由で登録されます。
• デバイスが GPO または共同管理用の Configuration Manager からの自動登録経由で登録されます。
• デバイスが一括プロビジョニング パッケージ経由で登録されます。
• 登録ユーザーはデバイス登録マネージャー アカウントを使用しています。

Intune では、次の種類の登録を企業所有としてマークし、これらの方法では Intune 管理者がデバイスごとの制御を提供しないため、(Windows Autopilot に登録されていない限り) 登録をブロックします。

• Windows セットアップ中にMicrosoft Entra参加を使用したMDM の自動登録。
• Windows 設定からMicrosoft Entra参加を使用したMDM の自動登録。
• 既存デバイス向け Windows Autopilotを使用したMicrosoft Entra参加またはハイブリッド Entra 参加を使用した MDM の自動登録。

また、Intune では、次の登録方法を使用して個人用デバイスをブロックします。

• 自動 MDM 登録と Windows 設定からの職場アカウントの追加。
• Windows 設定からの MDM 登録のみオプション。
• Intune ポータル サイト アプリを使用した登録。
• Microsoft 365 アプリを使用した登録。これは、ユーザーがアプリのサインイン中に [organizationにデバイスの管理を許可する] オプションを選択したときに発生します。

制限事項

• 登録の制限は、ユーザー主導の登録に適用されます。 Intune では、次のようなユーザー主導ではない登録シナリオで既定のポリシーが適用されます。

  • 事前プロビジョニングされた展開用の Windows Autopilot 自己展開モードと Windows Autopilot
  • Windows 構成Designerを使用した一括登録
  • 共同管理登録
  • ユーザーレス Apple の自動デバイス登録 (ユーザーとデバイスのアフィニティなし)
  • Azure Virtual Desktop
  • Windows 365

• 次の Windows 登録シナリオでは共有デバイス モードが使用されるため、デバイスの上限数の制限をデバイスに適用できません。

  • 共同管理登録
  • グループ ポリシー (GPO) 登録
  • Microsoft Entra参加済み登録 (一括登録を含む)
  • Windows Autopilot 登録
  • デバイス登録マネージャー登録

  代わりに、これらの登録の種類のハード制限を Microsoft Entra ID で構成できます。 詳細については、「Azure ポータルを使用してデバイス ID を管理する」を参照してください。

次の手順

適用する登録制限の種類を選択し、プロファイルを作成します。

• デバイス プラットフォームの登録制限を作成する
• デバイス制限の登録制限を作成する