Chromebook を Intune の管理対象から除外する

前回の記事で Chromebook で Defender for Endpoint (旧: Defender ATP)の Chromebook への導入にチャレンジしました。 その中で Defender for Endpoint の利用には Intune のデバイス登録が必要とわかり、Chromebook のデバイス登録も試みました。 結果として Intune は Chromebook を未サポートであることがわかり、Defender 導入も断念しています。 この Chromebook への Intune 適用の試行錯誤の結果、Chromebook 上で Microsoft アカウントを利用するアプリで問題が出てきました。 今回はそれを解消する話です。 まあ、問題といっても製品の不具合の類ではなくどう設定するかの話にはなります。

発生している問題

問題を具体的に説明します。 例えば、Chromebook 上で Teams アプリを起動すると、以下のメッセージが表示されます。 

前回の Defender 導入の際に一度 Intune を有効化しデバイス登録しようと試行錯誤しました。 最後にポリシーなど元に戻したつもりではいたのですが、何らかの設定が影響し、以下のメッセージになったと考えています。

このアプリで職場または学校アカウントを使用するには、Microsoft Intune ポータル サイト アプリをインストールする必要があります。 続行するには、[ストアに移動]をタップしてください。

他の Microsoft アプリ、例えば PowerPoint なども同様です。

解決策#1 Intune ポータル サイト アプリをインストールする

1つの解決策は再度 Intune ポータル サイト アプリを導入することです。

Google Play からインストールします。

Intune ポータルサイトアプリをインストールした状態であれば Teams アプリも問題なく利用出来ます。

これでマイクロソフトアプリを利用するという観点では問題は解消されるのですが、 Intune ポータルサイト アプリ上は “デバイスは管理されていません”という状態です。

上の画面で”デバイス設定の確認” をクリックすると以下の通りエラーです。

Intune ポータル サイト アプリ無しでの解決策も模索

現状、Intune が Chromebook に未対応ということなので仕方ない部分はありますが、やはり Intune ポータルサイト アプリはアンインストールし、Intune 側のポリシーで Chromebook での Microsoft アカウントサインインに関する制限を解除することが出来ないかチャレンジします。

まずは Chromebook 上の Intune ポータルサイトアプリをアンインストールしておきます。 そして Temas アプリで Microsoft アカウントでサインインし、以下の “Intune が必要〜” のメッセージが表示される状態になったことを確認します。 

Intune の知見はほぼ無いので手探りで進めます。

Microsoft Docs の Intune のページを全部ざっと読んでみようと思ったのですが読み物としては面白いものではないので断念しました。 マニュアル、必要な情報がある程度明確であればそこを調べるだけなのですが、はじめから最後まで読もうと思うとそこに小説のようなストーリは無いので苦痛ですよね。  あとは単純に今回やりたいこと、”Chromebook で マイクロソフトアプリを起動したい。その時の Intune ポータル サイト アプリをインストールせずに実現したい”、を調べたいと思った時に Microsoft Docs のどのカテゴリを見ればよいかもわからないということもありました。まあ、自分のスキル不足ともいえます。 試行錯誤しながら Intune を理解することにします。

Microsoft Endpoint Manger Admin Center の画面で該当しそうな設定を探していきます。

ホーム > アプリ > アプリ保護ポリシー という設定を見つけました。

この Andoroid のアプリケーションポリシーでは Microsoft のTeams や Powerpoint、Excel などを保護対象としています。

この設定を変更し、 Chromebook で Microsoft の対象アプリの起動時に Intune のサインインを求められるか確認していきます。

左メニューの”プロパティ”をクリックし、右ペインで アプリ の “編集” をクリックします。

”デバイスのすべての種類のアプリをターゲットにする” を “はい” から “いいえ”に変更します。

内容を確認し、保存します。

Chromebook 上で Teams アプリを起動します。 Intune アプリを要求されます。ポリシー反映のタイムラグもあるかと思い、10分ほど待って再実行しますが状況に変わりはありません。

反映時間について Microsoft Docs を確認してみます。

一行目に“通知の時間は即時から数時間後までさまざまです。これらの通知時間はプラットフォームによっても異なります” とあるので今回のケースでの反映時間はわかりませんでした。 ただ、想像するに今回の場合は即時に近いと予想してます。 理由として、 Teams なり PowerPoint なり、Microsoft アカウントでのサインイン時に Intune の有無のチェックが入っているので、その制御は Microsoft 365 側の内部の話なのでそれほど時間はかからないのかなと。

切り分けとして、アプリを一度アンインストールし、再度インストールして試します。 可能性は低いと考えていますが、Intune に関するポリシー的なものを アプリ側で保持しているかの切り分けです。

状況変わらず。  そもそもの設定内容なり設定すべき項目が違うようです。

Microsoft Endpoint Manger Admin Center を再度眺めていきます。

“割り当て” の “編集” をクリックします。

既定の”すべてのユーザー”を削除します。

どのグループ・ユーザにも”割り当て” されない状態となりました。 これでこのポリシーは Chromebook でも適用されないはずです。

Chromebook の Teams アプリを起動しますが、状況はかわらずです。

アプリのポリシーではない可能性が高まっていますが、再度切り分けます。 アプリのポリシーでは以下の通り、Excel / Skype / Outlook / PowerPoint / Word / OneDrive / Temas が対象です。 これ以外のアプリケーションで Microsoft アカウントでサインを行い、そのときにも Intune ポータルアプリが要求されるとするとアプリのポリシーは関係ない可能性が高まります。

画像に alt 属性が指定されていません。ファイル名: image-253-1024x835.png

切り分けのアプリとして Windows Virtual Desktop のクライアントアプリケーションで試します。 結果として、Windows Virtual Desktop のクライアントアプリケーションでは Intune のポータルサイトアプリは要求されませんでした。 ということで、アプリのポリシーが関連している可能性は高いと考えています。 そしてアプリのポリシーを変更しても反映しない原因は設定のタイムラグとなるのか、もう少し時間をおいてみます。

(あとからわかるのですが Microsoft のアプリには Office のように Intune APP が標準で組み込まれているものと組み込まれていないものがあるようです。なので上記の切り分けは切り分けになっていない可能性が高いです)

3時間ほど時間をおいたのですが状況は変わりありません。 試行錯誤では進展が無いので Microsoft Docs を読むことにします。

以下のページ“Android 用の Microsoft Office アプリ、および選択したその他 Microsoft アプリには、 Intune APP が組み込まれています。” との説明を見つけます。  

上記の通り、 Microsoft のアプリに Intune APP が組み込まれているとすると、Intune ストアアプリは必須なのかなという気がしてきました。

今回、Intune 側の設定でなんとかなると考えた理由は Chromebook に最初に Office アプリを導入したときには Intune のインストールは求めらられず、先日、Defender Endopoint の導入のチャレンジの中で Intune を有効化した以降に以下のように Intune を求められるようになったからです。

画像に alt 属性が指定されていません。ファイル名: image-264.png

切り分けとして、 Microsoft アカウントへの Intune ライセンスの割り当てを一時的に解除することにします。

Microsoft 365 Admin Center からアカウントへの Intune ライセンス割り当てを解除します。

Intune のライセンスを外すことで、Teams 起動時に Intune ポータルアプリを求めら得ることはなくなりました。 

念の為、 Intune のライセンスを有効化して確認します。 以下は、PowerPointの中で One Drive にアクセスするときですが、Intune ポータルサイトアプリを求められました。 予想通りの動作となります。

まとめ

色々試行錯誤し、また、Microsoft Docs で確認した内容から考えると、以下の条件の際には Intune ポータルサイト アプリが必要ということのようです。

  • Chromebook (Android) で Microsoft Office アプリを利用する(Intune APP が標準で組み込まれている)
  • Microsoft Office アプリのサインインの Microsoft アカウントについて Intune ライセンスが有効

Intune のデバイス登録についてはChromebook は未対応のようですが、 Intune ポータルサイトアプリをインストールするしかないようです。 まあ、デバイス登録が出来ないだけで(その結果としてデバイス関係の Intune の機能は使えない)、その他に問題は無さそうですので Intune ポータルサイトアプリをインストールすることにしました。

以上