Intune の 廃止された リモート アクションは、完全なワイプや工場出荷時のリセットを実行せずに、デバイスから会社のデータを削除します。 このアクションは、個人所有のデバイスや、デバイスを組織の制御外に切り替えるときに最適です。 Intune からデバイスの登録を解除し、個人データを保持しながら、モバイル デバイス管理 (MDM) を通じて展開されたマネージド アプリ、設定、プロファイルを削除します。
デバイスを出荷時の設定にリセットする ワイプ アクションとは異なり、 Retire はユーザー コンテンツをそのまま保持します。 このアクションは、デバイスが次回 Intune でチェックインしたときにトリガーされます。 それまでは、デバイスが管理センターに引き続き表示されることがあります。 デバイスをすぐに削除する必要がある場合は、代わりに [削除] アクション を使用することを検討してください。
Microsoft Entra参加済みデバイスを廃止または削除する前に
BitLocker によって保護されているMicrosoft Entra参加済みデバイスの Intune オブジェクトを削除または廃止すると、Intune はキー保護機能を削除する同期をトリガーします。 このアクションは、Entra オブジェクトが削除されたときに回復不可能な暗号化シナリオを防ぐための保護手段として、OS ボリューム上の BitLocker を一時停止します。
Microsoft Entra参加済みデバイスを廃止する前に、次のようなプロセス中に失われる可能性がある重要なデータをバックアップしてください。
- BitLocker 回復キー
- ローカル管理者アカウントの資格情報
要件
プラットフォーム要件
このリモート アクションでは、次のプラットフォームがサポートされています。
- Android デバイス管理者
- Android Enterprise 個人所有の仕事用プロファイル (BYOD)
- iOS/iPadOS
- macOS
- Windows
ロールとアクセス許可の要件
このリモート アクションを実行するには、少なくとも次のいずれかのロールを持つアカウントを使用します。
- ヘルプ デスク オペレーター
- 学校管理者
- 次を含むカスタム ロール:
- アクセス許可 リモート タスク/リタイア
- Intune の管理対象デバイスに対する可視性とアクセスを提供するアクセス許可 (組織/読み取り、管理対象デバイス/読み取りなど)
Intune 管理センターからデバイスを廃止する方法
- Microsoft Intune 管理センターで、[デバイス>すべてのデバイス] を選択します。
- デバイスの一覧からデバイスを選択します。
- デバイスの概要ウィンドウの上部で、リモート アクション アイコンの行を見つけます。 [ 廃止] を選択します。 確定するには、[はい] を選択します。
注:
このリモート アクションは、複数の管理承認 (MAA) を必要とする Intune アクセス ポリシーによって管理される場合があります。 その場合は、2 番目の管理者がアクションを続行する前に承認する必要があります。
詳細については、「 アクセス ポリシーを使用して複数の管理承認を要求する」を参照してください。
ユーザー エクスペリエンス
[デバイスの削除] アクションを使用する場合、ユーザーの個人データはデバイスから削除されません。
次の表は、削除されるデータと、アクションの適用後にデバイスに残るデータを示しています。
| データ型 | iOS |
|---|---|
| Intune でインストールされた会社のアプリと関連するデータ |
ポータル サイトを使ってインストールされたアプリ: 管理プロファイルにピン留めされたアプリの場合、すべてのアプリ データとアプリが削除されます。 こうしたアプリには、最初は App Store からインストールされ、会社のアプリとして管理されるようになったアプリも含まれます (デバイスの削除時にアプリがアンインストールされないように構成されている場合は除きます)。 アプリ保護ポリシーを使用し、App Storeからインストールされた Microsoft アプリ: Intune は、登録されているデバイスに対して廃止アクションが開始されたときに、App Protection ポリシーによって保護されたアプリの選択的ワイプをトリガーします。 このワイプには、職場または学校のアカウント データを持つApp Storeからインストールされたアプリが含まれます。 次回アプリを起動すると、選択的ワイプによって、保護されている職場または学校のアカウントのデータが削除されます。 選択的ワイプを実行するには、MDM 登録とインベントリ削除イベントの間でアプリ保護ポリシー チェックインが行われる必要があります。 個人アプリ データとアプリは、選択的ワイプ後に削除されません。 |
| Settings | Intune ポリシーによって設定された構成は適用されなくなりました。 ユーザーが設定を変更できます。 |
| Wi-Fi と VPN プロファイルの設定 | 削除されます。 |
| 証明書プロファイルの設定 | 証明書は削除され、失効されます。 |
| 管理エージェント | 管理プロファイルは削除されます。 |
| メール | Intune を介してプロビジョニングされている電子メール プロファイルは削除されます。 デバイスにキャッシュされた電子メールは削除されます。 |
| デバイス レコードのMicrosoft Entra | Microsoft Entra ID レコードは削除されません。 |
注:
デバイスの削除アクションの後に Outlook Mobile アプリを再インストールするユーザーは、連絡先エントリが重複しないように連絡先を再エクスポートする前に、[すべての保存済み連絡先を削除する] を選択する必要がある場合があります。 以前に Outlook Mobile からエクスポートされた連絡先は個人データと見なされ、[ デバイスの削除 ] アクションでは削除されません。
仕事用プロファイルがある個人所有の Android Enterprise デバイス
Android 個人所有の仕事用プロファイル デバイスから会社のデータを削除すると、そのデバイス上の仕事用プロファイルのすべてのデータ、アプリ、設定が削除されます。
Android デバイス管理者
Important
Android デバイス管理者 (DA) 管理は非推奨となり、Google Mobile Services (GMS) にアクセスできるデバイスでは使用できなくなります。 現在 DA 管理を使用している場合は、別の Android 管理オプションに切り替えることをお勧めします。 GMS を使用しない一部の Android 15 以前のデバイスでは、サポートとヘルプのドキュメントを引き続き利用できます。 詳細については、「 GMS デバイスでの Android デバイス管理者のサポートの終了」を参照してください。
次の表は、削除されるデータと、アクションの適用後にデバイスに残るデータを示しています。
| データ型 | Android | Android Samsung Knox Standard |
|---|---|---|
| Web リンク | 削除されます。 | 削除されます。 |
| 管理対象外の Google Play アプリ | アプリとデータはインストールされたままです。 モバイル アプリケーション管理 (MAM) 暗号化によって保護されている、アプリのローカル ストレージ内にある会社のアプリ データが削除されます。 MAM 暗号化によって保護されているアプリ外部のデータは、暗号化が維持され使用できませんが、削除されません。 |
アプリとデータはインストールされたままです。 モバイル アプリケーション管理 (MAM) 暗号化によって保護されている、アプリのローカル ストレージ内にある会社のアプリ データが削除されます。 MAM 暗号化によって保護されているアプリ外部のデータは、暗号化が維持され使用できませんが、削除されません。 |
| 管理対象外の基幹業務アプリ | アプリとデータはインストールされたままです。 | アプリがアンインストールされ、そのアプリに対してローカルなデータは削除されます。 アプリ外部 (SD カードなど) のデータは削除されません。 |
| 管理対象の Google Play アプリ | アプリ データは削除されます。 アプリは削除されません。 モバイル アプリケーション管理 (MAM) 暗号化によって保護されている、アプリ外部 (SD カードなど) のデータは暗号化が維持され、利用できませんが、削除されません。 | アプリ データは削除されます。 アプリは削除されません。 MAM 暗号化によって保護されている、アプリ外部 (SD カードなど) のデータは暗号化が維持されますが、削除されません。 |
| 管理対象の基幹業務アプリ | アプリ データは削除されます。 アプリは削除されません。 MAM 暗号化によって保護されている、アプリ外部 (SD カードなど) のデータは暗号化が維持され、利用できませんが、削除されません。 | アプリ データは削除されます。 アプリは削除されません。 MAM 暗号化によって保護されている、アプリ外部 (SD カードなど) のデータは暗号化が維持され、利用できませんが、削除されません。 |
| Settings | Intune ポリシーによって設定された構成は適用されなくなりました。 ユーザーが設定を変更できます。 | Intune ポリシーによって設定された構成は適用されなくなりました。 ユーザーが設定を変更できます。 |
| Wi-Fi と VPN プロファイルの設定 | 削除されます。 | 削除されます。 |
| 証明書プロファイルの設定 | 証明書は失効しますが、削除されません。 | 証明書は削除され、失効されます。 |
| 管理エージェント | デバイス管理者特権は無効になります。 | デバイス管理者特権は無効になります。 |
| メール | N/A (Android デバイスはEmail プロファイルをサポートしていません) | Intune を介してプロビジョニングされている電子メール プロファイルは削除されます。 デバイスにキャッシュされた電子メールは削除されます。 |
| デバイス レコードのMicrosoft Entra | Microsoft Entra ID レコードが削除されます。 | Microsoft Entra ID レコードが削除されます。 |
次の表は、削除されるデータと、アクションの適用後にデバイスに残るデータを示しています。
| データ型 | macOS |
|---|---|
| Settings | Intune ポリシーによって設定された構成は適用されなくなりました。 ユーザーが設定を変更できます。 |
| Wi-Fi と VPN プロファイルの設定 | 削除されます。 |
| 証明書プロファイルの設定 | 証明書は削除され、失効されます。 |
| 管理エージェント | 管理プロファイルは削除されます。 |
| Outlook | 条件付きアクセスが有効になっている場合、デバイスでは、新しいメールは受信されません。 |
| デバイス レコードのMicrosoft Entra | Microsoft Entra ID レコードは削除されません。 |
次の表は、削除されるデータと、アクションの適用後にデバイスに残るデータを示しています。
| データ型 | Windows |
|---|---|
| Intune でインストールされた会社のアプリと関連するデータ | - アプリがアンインストールされる -サイドローディング キーが削除されました Microsoft 365 Appsが削除されない - Intune 管理拡張機能がインストールされている Win32 アプリは、登録されていないデバイスではアンインストールされません。 管理者は、割り当ての除外を使用して、WIN32 アプリを BYOD デバイスに提供することはできません。 |
| Settings | Intune ポリシーによって設定された構成は適用されなくなりました。 ユーザーが設定を変更できます。 |
| Wi-Fi と VPN プロファイルの設定 | 削除されます。 |
| 証明書プロファイルの設定 | 証明書は削除され、失効されます。 |
| メール | Windows 用メール アプリのメールや添付ファイルなど、EFS 対応のメールを削除します。 Intune によってプロビジョニングされたメール アカウントを削除します |
| Microsoft Entra参加状態 | - デバイスが参加Microsoft Entra場合、デバイスはMicrosoft Entraから参加解除されます。 - デバイスが登録Microsoft Entra場合、職場または学校アカウントは切断され、デバイスは Microsoft Entra ID から登録解除されます。 |
| デバイス レコードのMicrosoft Entra | - デバイスが Autopilot に登録されている場合、Microsoft Entra ID レコードは削除されません。 - デバイスが参加Microsoft Entra場合、レコードは削除されます。 - デバイスが登録Microsoft Entra場合、レコードは削除されます。 |
Microsoft Entra ID 参加済みデバイスの場合、Retire コマンドが実行された後は、Microsoft Entra アカウントでサインインできません。 「 セーフ モードで PC を起動 する」の手順に従って、ローカル管理者アカウントでサインインし、ユーザーのローカル データへのアクセスを回復します。
Microsoft Entra ID からデバイスを削除する
Intune からデバイスでリモート アクションを実行した後、Microsoft Entra ID からレコードを削除して、organizationの ID インフラストラクチャから完全に切断することもできます。 この手順は、デバイスがテナントに表示されなくなったことを確認し、デバイス インベントリの混乱を回避し、コンプライアンスやレポートに影響を与える可能性のあるアクセス許可または古いレコードの残留を防ぐのに役立ちます。
Microsoft Entra ID からデバイスを削除する方法の詳細については、「Microsoft Entra ID で古いデバイスを管理する」を参照してください。
Apple Business Manager から Apple ADE デバイスを削除する
Intune の Apple 自動デバイス登録 (ADE) デバイスでリモート アクションを実行した後、Apple Business Manager からデバイスを解放して、組織のコントロールからデバイスを完全に削除する必要がある場合もあります。
次の手順を実行します。
- business.apple.com に移動し、[デバイス] セクションに移動し、シリアル番号を使用してデバイスを検索します。
- デバイスを選択し、[ ... ] メニューを開き、[ 組織からリリース] を選択します。
- [この操作を 元に戻すことができないと理解しています] をオンにして、アクションを確認し、[続行] を選択 します。
注:
場合によっては、iOS デバイスを iTunes で復元してこの変更を適用する必要があります。 Apple の詳細については、 こちらを参照してください。
参照リンク
- Microsoft Graph API: 廃止アクション
- リモート アクションを開始するために使用される構成サービス プロバイダー (CSP): Defender CSP