適当おじさんの適当ブログ

技術のことやゲーム開発のことやゲームのことなど自由に雑多に書き連ねます

Intune の Windows 10デバイスの登録上限について調べたメモ

Intuneの「デバイスの上限数の制限」機能は、Intuneに登録できる1ユーザーあたりのデバイス数を設定できる機能です。既定では、1ユーザーあたり5台となっています。

f:id:subarunari:20200519214652p:plain

ある日、この設定を一切変更していないにも関わらず、Windows 10デバイスを5台以上紐づけられていることに気付きました。この「上限数」が何を指しているのかがわからなくなってしまい、関連する項目を1から調べ直した時のメモです。

「登録」と「参加」について

Intuneの「デバイスの上限数の制限」について理解するには、Azure AD へのデバイス登録の種類の違いを理解しておく必要があります。

Azure ADへのデバイス登録は「登録」と「参加」の2種類に大別できます。この2つの用語は、公式ドキュメントで異なるコンテキストで明確に使い分けられています。「登録」はBYOD、「参加」は組織管理されているデバイスであることを想定しているようです。さらに、それぞれの登録種別は、AzureAD上では「Azure AD registered」「Azure AD joined」「Hybrid Azure AD joined」の3つの結合の種類に分類されます。これらをまとめると、以下の表のような感じになります。

登録の種類 結合の種類 デバイスのコンテキスト
登録 Azure AD registered BYOD
参加 Azure AD joined
Hybrid Azure AD joined
組織管理

現時点では「参加」が可能なのは、Windows 10端末のみです。macOS、iOS、Android は「登録」しかできません。そのため、組織管理のものであったとしても、登録(=Azure AD registered)な端末としてAzure ADに紐づけられます。

詳細は、Azure AD 登録 と Azure AD 参加 の違い に書かれていますので、そちらをご覧ください。

Intuneのデバイスの上限数の制限について

「デバイスの上限数の制限」は「登録」の数を制限する機能 です。つまり、「Azure AD registered」な端末のみが登録制限の対象になります。Windowsに限って言えば、「デバイス登録制限」は「BYODの端末を何台許可するか定義する機能」であると言えます。

上限数は1〜15台の間であれば自由に設定できますが、現時点では無制限にはできません。

f:id:subarunari:20200519211727p:plain

登録制限を既定の5台から変更したい場合は、新たにプロファイルを作成してください。既存のプロファイルが「既定」しかない場合は、作成したプロファイルの優先度が自動的に高くなります。

f:id:subarunari:20200519212529p:plain

1ユーザーあたりの登録台数をさらに多くしたい場合は、デバイス登録マネージャー アカウントを使うと良いかもしれません。デバイス登録マネージャー アカウントの詳細は、デバイス登録マネージャー アカウントを使用してデバイスを Intune に登録する を参照してください。

「参加」している端末の上限について

「Azure AD joined」もしくは「Hybrid Azure AD joined」な端末は「参加」であるため、登録制限の対象になりません 。これについては、公式ドキュメントの登録制限を設定する にも記載されています。

デバイス数の制限は、次の Windows 登録の種類に適用されません。
・共同管理登録
・GPO の登録
・Azure Active Directory 参加済み登録
・Azure Active Directory 参加済み一括登録
・Autopilot 登録
・デバイス登録マネージャー登録

一見、Hybrid Azure AD join について書かれていないように見えますが、「GPOの登録」がそれに該当していると思われます。ADに参加しているデバイスは、グループポリシー 既定のAZURE AD の資格情報を使用して MDM の自動登録を有効にするによって、Intuneにデバイスを紐づけられるためです。これの詳細については、グループ ポリシーを使用した Windows 10 デバイスの自動登録 を参照してください。

Intune と Azure ADの登録制限について

「参加」している端末は、Intuneの登録制限の影響は受けませんが、Azure ADの登録制限の影響は受けます。したがって、Azure AD側に登録可能台数が設定されている場合、それ以上のデバイスを登録することはできず、Intuneに紐づけることもできません。

Azure ADへの登録可能台数は、Azure Active Directory > デバイス > デバイスの設定 にある「ユーザーごとのデバイスの最大数」で設定できます。この項目で設定した台数以上のデバイスをユーザーに紐づけることはできません。こちらの上限はIntuneと違って、無制限にできます。

f:id:subarunari:20200519211128p:plain

Hybrid Azure AD joined な端末について

ここでもう1つややこしい仕様があります。「ユーザーごとのデバイスの最大数」の項目の対象になるのは、「Azure AD registered」「Azure AD joined」の2種類だけです。

Hybrid Azure AD joined な端末はユーザーにすら紐づけられません。つまり、「ユーザーごとのデバイスの最大数」の制限外になります。その証拠に、ユーザーのデバイス一覧画面で Hybrid Azure AD joined な端末を見ることはできません。この仕様については、Azure portal を使用してデバイス ID を管理する に記載があります。

[デバイスの最大数] 設定は、Azure AD に参加しているか Azure AD に登録されているデバイスに適用されます。 この設定は、ハイブリッド Azure AD 参加済みデバイスには適用されません。

つまり、Hybrid Azure AD joined な端末は 登録制限を全く気にする必要がありません。

まとめ

  • 「登録」と「参加」は異なるコンテキストで使われている
  • Intune の「デバイスの上限数の制限」が対象とするのは「登録(= Azure AD registered)」な端末のみ
  • Azure AD の「ユーザーごとのデバイスの最大数」が対象とするのは、Azure AD registered, Azure AD joined な端末のみ
  • Hybrid Azure AD joined な端末はどちらの対象にもならない

Hybrid Azure AD join の振る舞いについては今後変更があるかもしれませんが、現時点ではこんな感じでした。めでたしめでたし。