Contents
前提条件と必要なライセンス
Intune と Microsoft Entra ID(旧 Azure AD)をシームレスに連携させるには、まず ライセンス要件 を満たすことが前提です。ここでは、必須となるサブスクリプションの種類と、テナント全体で最低限確保すべきライセンス構成を解説します。
Entra ID の P1 / P2 ライセンス概要
Entra ID には機能レベルが異なる P1 と P2 が用意されています。どちらのプランも条件付きアクセスやデバイス管理の基礎を提供しますが、リスク分析や特権管理といった高度なセキュリティ機能は P2 に限定されます。
| 機能 | Entra ID P1 | Entra ID P2 |
|---|---|---|
| 条件付きアクセス(基本) | ○ | ○ |
| Self‑service パスワードリセット (SSPR) | ○ | ○ |
| Identity Protection / リスクベース ポリシー | ✕ | ○ |
| Privileged Identity Management (PIM) | ✕ | ○ |
ポイント:Intune でデバイスコンプライアンスを条件付きアクセスに組み込むだけなら P1 が最低要件 です。組織全体でリスク評価や自動ポリシー更新を行う場合は P2 の導入が推奨されます。
Intune ライセンスの取得方法
Intune は単体ライセンスと Microsoft 365 バンドル(E3/E5、Business Premium)で提供されています。どちらを選んでもデバイス登録・ポリシー配布は可能ですが、既存の Microsoft 365 環境に合わせてコスト最適化を図ることが一般的です。
- Microsoft 365 管理センター に管理者アカウントでサインイン
- 左メニューの「課金」→「サービスとアドオン」から対象ライセンス(Intune 単体またはバンドル)を選択
- ユーザー単位、もしくはテナント全体に割り当てたら自動的に Intune 管理センターが有効化されます
Azure ポータルでの Intune 有効化手順
Intune の機能を利用開始するには、Azure ポータル上で MDM 自動有効化 をオンにするだけです。このセクションでは、現在(2024 年時点)の UI に沿った具体的な操作フローを示します。
Azure ポータルでの設定概要
まずは Entra ID のデバイス管理画面へ移動し、Intune との連携スイッチを有効化します。手順は数クリックで完了し、以降のデバイス登録やポリシー作成はすべて Intune 管理センター から行います。
手順
- Azure portal (https://portal.azure.com) にサインイン
- 左側メニューから 「Microsoft Entra ID」 → 「デバイス」 を選択
- 「デバイス設定」ページの 「モダン管理(MDM)プロファイル」 セクションにある 「Intune の自動有効化」 をオンにする
この操作で、Azure AD にサインインしたユーザーは自動的に Intune へ登録される基盤が整います。
自動 MDM 登録(MDM auto‑enrollment)の構成
デバイスを手作業なしで Intune に登録するには、Entra ID 側の 自動 MDM 登録 を有効化し、各プラットフォーム用のプロファイルを作成します。以下では Windows、iOS、Android の三大 OS に対応した設定手順と注意点をまとめます。
Azure AD でのデバイス登録ポリシー
Entra ID の 「自動 MDM 登録」 スイッチをオンにし、MDM プロバイダーとして Intune を選択するだけで、ユーザーがテナントにサインインした瞬間にデバイス情報が Intune に転送されます。
設定手順
- Microsoft Entra ID → 「デバイス」→「デバイス登録」へ移動
- 「自動 MDM 登録」のスイッチを オン にし、プロバイダーに Intune を選択
- 必要に応じて 「ユーザー属性に基づく自動登録」 を有効化し、対象グループを指定
各 OS 用構成プロファイルの作成
| プラットフォーム | 作成手順概要 | 主な設定項目 |
|---|---|---|
| Windows 10/11 | Intune 管理センター → 「デバイス」→「構成プロファイル」→「+作成」 | OS バージョン、登録タイプ(自動)、証明書ベース認証 |
| iOS / iPadOS | 同上で「iOS/iPadOS」を選択 | Apple MDM プッシュ証明書、サインアップ URL、制限ポリシー |
| Android | 「Android」→「完全管理(Fully Managed)」または「企業用(Corporate)]」プロファイルを作成 | Android Enterprise 登録 ID、Google Play 管理者権限、暗号化設定 |
各プロファイル作成後は 対象ユーザー/グループ に割り当てるだけで、自動登録が有効になります。
条件付きアクセスポリシーとコンプライアンス連携
Intune で定義したデバイスのコンプライアンス状態を Azure AD の条件付きアクセスに組み込むことで、未準拠端末からのクラウドサービスや社内リソースへのアクセスを自動的にブロックできます。
条件付きアクセスポリシー作成手順
- Microsoft Entra ID → 「条件付きアクセス」→「新しいポリシー」
- 割り当て – ユーザー/グループを選択(例:全社員、特定部署)
- クラウドアプリケーション – 保護対象のアプリを指定(例:Microsoft Teams、SharePoint Online)
- アクセス制御 – 「条件」→ 「デバイスがコンプライアンスに準拠している必要あり」 を有効化
この設定だけで、Intune に登録されていない端末やコンプライアンスに違反した端末は対象アプリへアクセスできなくなります。
Intune 側のコンプライアンスポリシー例
- OS バージョン:Windows 10 1909 以降、iOS 13 以上、Android 9 以上
- パスコード要件:最低 6 桁、指紋または顔認証の併用推奨
- 暗号化:BitLocker(Windows)/FileVault(macOS)必須
- MDM プロファイル:Intune に正しく登録されていること
ポリシー作成後は、対象 Azure AD グループ に割り当てるだけで自動適用されます。
テスト・トラブルシューティング
設定が完了したら必ず実機での 登録確認 と エラー対応 を行いましょう。ここでは主要 OS の検証フローと、よく見られるエラーコードに対する対処法をまとめます。
デバイス別登録確認フロー
| OS | 確認手順(端末側) | 確認手順(管理センター側) |
|---|---|---|
| Windows | 設定 → 「アカウント」→「アクセス ワークまたは学校」でテナント名を確認 | Intune 管理センター → 「デバイス」→「すべてのデバイス」でステータスが「コンプライアンス準拠」か |
| iOS | 設定 → 「一般」→「デバイス管理」で Intune プロファイルの有無を確認 | 同上 |
| Android | 設定 → 「セキュリティ」→「デバイス管理」で Microsoft Intune が有効か | 同上 |
代表的エラーコードと対処法
| エラーコード | 発生シナリオ | 主な原因 | 推奨対策 |
|---|---|---|---|
| 0x8018002A | Windows の自動登録失敗 | Azure AD の MDM 自動登録が無効、またはユーザー属性不一致 | Entra ID → 「デバイス」→「自動 MDM 登録」を有効化し、対象グループを再確認 |
| 0x803f6106 | iOS プロファイル適用エラー | Apple MDM 証明書の期限切れ/APNs 設定ミス | Apple ポータルで新証明書取得 → Intune にアップロード |
| 0x80170103 | Android の企業ワイドプロファイル未適用 | Android Enterprise 登録 ID がテナントと不一致 | Entra ID の「Android 管理」設定で正しい管理 ID をコピーし、Intune プロファイルを更新 |
エラーが発生した場合はまず Azure AD と Intune の同期状態([Microsoft 365 管理センター] → 「ヘルプとサポート」)を確認し、必要に応じて ライセンス割り当ての再適用 や 証明書更新 を行います。
実装チェックリスト & まとめ
以下の項目を順番に検証すれば、Intune と Entra ID の連携環境が正しく構築されたことを確認できます。実務での導入計画や定期的なレビュー時の指標として活用してください。
- ライセンス:Entra ID P1(または P2)と Intune ライセンスが全ユーザーに割り当て済みか
- ポータル設定:Azure ポータルで「Intune の自動有効化」スイッチがオンになっているか
- MDM auto‑enrollment:Azure AD デバイス登録ポリシーと各 OS 用プロファイルが作成・割り当て済みか
- 条件付きアクセス:コンプライアンス必須設定が対象アプリに適用され、テストユーザーで動作確認したか
- デバイス検証:Windows、iOS、Android の全端末で登録状態とコンプライアンスステータスを確認したか
- トラブルシューティング資料:主要エラーコードの対処手順を社内 Wiki などにまとめ、担当者がすぐに参照できるようにしているか
本ガイドは「前提条件 → ポータル有効化 → 自動 MDM 登録 → 条件付きアクセス設定 → テスト・トラブルシューティング」の一連の流れで構成しています。各ステップを確実に実行すれば、組織全体で統一されたデバイス管理基盤が完成し、セキュリティリスクの低減と運用コストの最適化を同時に達成できます。