HONDA LABO

本田研究室

トップ > Intune > Intuneのワイプの挙動を確認してみる

Intuneのワイプの挙動を確認してみる

Intune

f:id:suguruosako:20211209165923p:plain

Intuneでデバイスのワイプをする際、以下のようなオプションが表示されます。

  • デバイスをワイプしますが、登録状態および関連付けられたユーザー アカウントを保持します
  • デバイスをワイプして、デバイスの電源が切れてもワイプを続行します。このオプションを選択すると、実行中の一部の Windows 10 以降のデバイスが再起動しなくなる可能性があることに注意してください。

読んでみても分かるような分からないような…。ということで今回はこのオプションの挙動について調べてみました。

f:id:suguruosako:20211210233127p:plain

 

はじめに

冒頭に記載したワイプのオプションについては以下のドキュメントに説明があります。

Microsoft Intune を使用してデバイスをインベントリから削除またはワイプする | Microsoft Docs

こちらのドキュメントを読みながら、実際に検証を実施していきます。

デバイスの電源が切れてもワイプを続行

まずは、

  • デバイスをワイプして、デバイスの電源が切れてもワイプを続行します。このオプションを選択すると、実行中の一部の Windows 10 以降のデバイスが再起動しなくなる可能性があることに注意してください。

というオプションについてです。このオプションについて、先ほどのドキュメントを参照すると、

[Wipe device, and continue to wipe even if device loses power.](デバイスをワイプし、デバイスの電源が切れてもワイプを続行する。) オプションを選択すると、デバイスの電源をオフにすることによってワイプ操作を回避できないようになります。 このオプションを選択すると、デバイスのリセットが成功するまで繰り返し試行されます。 一部の構成では、このアクションによってデバイスを再起動できなくなる場合があります。

Microsoft Intune を使用してデバイスをインベントリから削除またはワイプする | Microsoft Docs

と書いてあります。

「『デバイスの電源をオフにすることによってワイプ操作を回避できないようになる』ということは逆を言えばワイプ中に電源をオフにすれば、ワイプを回避できるのか?」

と思い試してみました。

 

Intuneからこのオプションにチェックをつけずにワイプを開始します。

f:id:suguruosako:20211210233140p:plain

しばらくすると、端末側で自動で再起動が始まり、起動後にワイプ処理が始まります。

f:id:suguruosako:20211210233147p:plain

ここで電源ボタンを押して電源を落とします。私は進捗が30%あたりで電源を落としてみました。

f:id:suguruosako:20211210234019j:plain

その後、PCを起動します。すると「変更を戻しています」というメッセージが表示されました。

f:id:suguruosako:20211210234002j:plain

しばらくすると、Windowsが起動してきて起動後の画面がこちらです。Azure ADのユーザーでデバイスにログインでき、ワイプする前の状態に戻りました。

f:id:suguruosako:20211210233321p:plain

この挙動は端末を紛失した場合のワイプにおいては、望ましい挙動ではないと思います。もし不正にログインされていた場合に、ワイプ中に電源を落とせばワイプが解除されてしまうからです。

紛失時には、このオプションを有効にしてワイプを行うと良いと思います。逆に、単純に端末を初期化したい場合や新しいユーザーに譲渡したい場合は、このオプションは無効にしてワイプを行うと良いでしょう。

このオプションを使った場合の注意点としては、オプションのメッセージ文中に記載の通り、デバイスが起動してこなくなる可能性があることです。クラスメソッドさんの環境では実際に起動して来なくなったそうです。

実際に弊社の検証でSurface LapTop3も起動しなくなり、インストーライメージをダウンロードするところからのリカバリーが必要になりました。

くらめその情シス:Intuneを使ってできること、できないことをざっくりまとめてみた | DevelopersIO (classmethod.jp)

 

ワイプするが登録状態と関連付けられたユーザーを保持

次に、

  • デバイスをワイプしますが、登録状態および関連付けられたユーザー アカウントを保持します

を有効にしてワイプを実施してみます。

f:id:suguruosako:20211210233407p:plain

公式ドキュメントによると、この操作により

  • すべての MDM ポリシーがワイプされます。
  • ユーザー アカウントとデータは保持されます。
  • ユーザー設定は既定値にリセットされます。
  • オペレーティング システムは既定の状態と設定にリセットされます。

とのこと。確かにワイプにより、ユーザーアカウントとデータは消去されなかったのですが、特段、ポリシーが消去(ワイプ)されているようには見えませんでした。

このオプションの使いどころって何なんでしょうか…。

 

その他気になること

ワイプの挙動としてその他気になることとしては、Microsoft Endpoint Manager管理センターでワイプ操作を行ったあと、端末で実際にワイプが開始されるまでのタイムラグです。

私が実施した際は、だいたい5分ほどでワイプが開始されましたが、このあたりの挙動については引き続き調査したいと思います。

 

参考ドキュメント

Microsoft Intune を使用してデバイスをインベントリから削除またはワイプする | Microsoft Docs

くらめその情シス:Intuneを使ってできること、できないことをざっくりまとめてみた | DevelopersIO (classmethod.jp)

デバイスの操作のトラブルシューティングを行Microsoft Intune - Intune | Microsoft Docs

ひと目でわかるIntune 改訂新版

ひと目でわかるIntune 改訂新版 (マイクロソフト関連書)

ひと目でわかるIntune 改訂新版 (マイクロソフト関連書)

Amazon

 

ひと目でわかるAzure Active Directory 第3版

ひと目でわかるAzure Active Directory 第3版

Amazon