組織がデバイスを管理できるようにする影響

Q: このデバイスではどこでもこのアカウントを使用する」の解除方法？

[スタート] - [設定] (歯車のマーク) - [アカウント] - [職場または学校にアクセスする] を開きます。 以下のように、[職場または学校アカウント] のエントリが存在する場合、エントリを選択し、[切断] をクリックします。 ポップアップが表示されますので、[はい] をクリックします。

Q: Office サインインするとどうなる？

Office 2013の画面右上には、「サインイン」という操作を行うためのリンクが表示されます。 サインインを行うと、マイクロソフトがインターネット上で提供する「OneDrive」という保存場所にファイルを保存できるようになります。 ファイルを外出先で閲覧するときや、複数の人でファイルを共有するときに大変便利です。

はじめに

Microsoft365を利用中の企業であるあるではないでしょうか？

目次 Show

はじめに
そもそもなぜ登録されていた？
パターン1
パターン2
AzureAD登録されたデバイスをAzureAD登録+Intune登録してみた
AzureAD登録されたデバイスをAzureAD登録以外でデバイス参加させるとどうなる？
おわりに
組織がデバイスを管理できるようにするどうなる？
このデバイスではどこでもこのアカウントを使用する」の解除方法？
Office サインインするとどうなる？
Office 365 サインインの状態を維持しますか？

今回はAzureAD登録状態のデバイスをIntune登録する際に、どんな影響があるのか検証しました。

そもそもなぜ登録されていた？

パターン1

Officeアプリ認証時、意図せず登録してしまった

WindowsでのOfficeアプリのアカウント認証時、次のような画面が出現します。

このときに選択した項目によって以下のような登録処理が発生します。

項目	処理
[組織がデバイスを管理できるようにする]にチェックをいれて[はい]	AzureAD登録 + Intune登録
[組織がデバイスを管理できるようにする]のチェックを外し[はい]	AzureAD登録のみ
[組織がデバイスを管理できるようにする]にチェックをいれて[いいえこのアプリのみにサインインします]	登録処理なし
[組織がデバイスを管理できるようにする]のチェックを外し[いいえこのアプリのみにサインインします]	登録処理なし

9割以上のデバイスがこのパターンで登録されてしまったのだと思います。

今回はこの項目の検証は行っていないので、詳細はJapan Azure Identity Support Blogをご覧ください。

設定に関係しそうなAzureADでの設定項目を載せておきます。

※今回の検証ではAzureAD登録時にMFA要求をするように設定しています。

パターン2

Microsoft Authenticatorやmyaccount.microsoft.comで意図的にAzureAD登録を実施した。

この方法ではWindows以外のデバイスもAzureAD登録できます。
例えば、Android端末をAzureAD登録することでモバイルアプリにSSOできる仕組みを知っている人が意図的にやっていた、などが考えられます。
（そんな従業員がいればぜひ情シスにきてほしいですね）

AzureAD登録されたデバイスをAzureAD登録+Intune登録してみた

Windows11 Home、iPad、Androidで検証しました。
まずは各デバイスをAzureAD登録します。

それではプラットフォームごとに検証していきます。

Windows11

設定 > アカウント > 職場または学校にアクセスするでMicrosoftのアイコンがあることを確認します(AzureAD登録状態)

※[情報]という項目がないのでIntune登録されていないことも確認

それでは接続！と思ったらこんなエラーが

エラーの内容を調べてみると、Intuneに登録するにはデバイスのローカル管理者権限が必要みたいです。

気を取り直してローカル管理者権限のアカウントで実施します。

Intune登録できました。しかしアイコンが2個できちゃっています。

※AzureAD登録されていない状態でAzureAD登録+Intune登録をすると、下記キャプチャのようにアイコンは1つにまとめられます

しかし、今回のような状態で登録したデバイスでも、条件付きアクセスのデバイスフィルターでAzureAD登録済みのデバイス除外設定・Intune準拠条件など問題なく利用できました。

AzureAD登録の際にMFA要求設定をしていましたが、今回の登録ではMFA要求されませんでした。
AzureADのデバイス一覧を見てみると、同一端末としてIntuneにのみ登録されているのでAzureAD登録のプロセスが生じていないからですね。

このキャプチャだけでネタバレしてますね

ちなみにAzureAD登録はされているけどMDMは未準拠状態でIntune登録を実施すると、クライアントの状況でMFA要求される場合とされない場合がありました。

AzureAD登録のアイコンが表示されている
⇒MFA要求されない
AzureAD登録のアイコンが表示されていない
⇒MFA要求される

正直どうでもいいですが参考までに。。
めちゃくちゃ細かくフローを作成しないといけない場合のみ考慮してください。

iPad

事前にMicrosoft AuthenticatorでAzureAD登録を実施したiPadで、Intuneポータルサイトアプリを使用してIntune登録を実施しました。

Windows11と同じ結果でした。
MFAも要求されていません。

Android

事前にMicrosoft AuthenticatorでAzureAD登録を実施したAndroidで、Intuneポータルサイトアプリを使用してIntune登録を実施しました。

個人用プロファイルとは別に仕事用プロファイルが新規登録されています。

プロファイル	OS	MDM
個人用プロファイル	Android	なし
仕事用プロファイル	AndroidForWork	Microsoft Intune

なにも登録されていないデバイスでIntune登録をすると、仕事用プロファイルのみ登録されるのでこれは新たな発見でした。

条件付きアクセスのデバイスフィルターでAzureAD登録済みデバイスを除外することで、個人用プロファイルからでもMicrosoft365にアクセスできました。

また、今回の登録時にはMFA要求を実施されました。
新しく仕事用プロファイルをAzureAD登録しているからです。

AzureAD登録されたデバイスをAzureAD登録以外でデバイス参加させるとどうなる？

AzureAD登録されたWindows端末で、AzureAD参加とHybridAzureAD参加をやってみようというお話です。
結論から申し上げますと、検証できませんでした。。

今回使用しているWindows端末はHomeエディションなので、AzureAD参加とHybridAzureAD参加をそもそもできません。
(Homeはドメイン参加できません)

ただ、AzureAD参加とHybridAzureAD参加を構成する際は、クライアント側でAzureAD登録を切断をしておくことが推奨されています。
管理者側でデバイスを削除すると、トークン周りでエラーが発生することがあるようです。

詳細はMicrosoft Docsをご覧ください。

おわりに

AzureAD登録済みのデバイスをAzureAD登録+Intune登録する際、深刻なエラーは発生しないようです。
ただ、新環境構築時にAzureADにデバイスが存在しているのは気がかりなので、余裕があればクライアントPCでポチポチ切断するのが安全だと思われます。

組織がデバイスを管理できるようにするどうなる？

「組織がデバイスを管理できるようにする」はモバイルデバイス管理 (製品名 Microsoft Intune)に関するものです。これはノートPCやスマホなど社外へ持ち出す端末に対し、セキュリティを担保しつつ企業のデータへアクセス可能にさせるサービスです。

このデバイスではどこでもこのアカウントを使用する」の解除方法？

[スタート] - [設定] (歯車のマーク) - [アカウント] - [職場または学校にアクセスする] を開きます。以下のように、[職場または学校アカウント] のエントリが存在する場合、エントリを選択し、[切断] をクリックします。ポップアップが表示されますので、[はい] をクリックします。

Office サインインするとどうなる？

Office 2013の画面右上には、「サインイン」という操作を行うためのリンクが表示されます。サインインを行うと、マイクロソフトがインターネット上で提供する「OneDrive」という保存場所にファイルを保存できるようになります。ファイルを外出先で閲覧するときや、複数の人でファイルを共有するときに大変便利です。