Microsoft IntuneのDEM(デバイス登録マネージャー)設定方法をわかりやすく解説

Ami 4月 19, 2025

 



こんにちは、Amiです。 年度末になろうとしているのに 地味に頭が痛い 案件が回ってきました。前半はDEM(デバイス登録マネージャー)が必要になった経緯をさらいながら、後半はMicrosoft Intuneを使ったDEM(デバイス登録マネージャー)の設定手順について解説します。(公開時には新年度になっていたのは内緒)
同じような無茶ぶりを受けた同志の救いの一つにでもなれれば幸いです。

ワークグループからIntune環境への移行

そもそも、この案件、「Intune Plan 1ライセンスがテナント1つしか割り当てられない」という何ともシビアな縛りがありまして。「いやいや、そんなことある?どんだけケチなん」って感じだけどまぁ大阪のおばちゃんもびっくり!まぁお客がそう申すならわがままを最後まで聞こうじゃないの!

通常であれば、ユーザ単位でEnterprise Mobility + Securityだったり Intuneが付属しているライセンス(E3とかE5)を利用することが多いと思っていましたが、Intune Plan 1+ Intuneデバイスのみのライセンスで補う 徹底した購入方針でがっつりコストカット 誰だこんな買い方教えたやつはさてはゴーンの仕業か!!!
まぁわかる 1ライセンスといっても年間で数万、数十万円単位で変わってくるんで言い分はごもっとも。

ここで今回の状況を整理します。
  • Windwos11 ProのPCがワークグループ環境で元気に稼働中
  • デバイス登録に使えるIntune Plan 1ライセンスは1ユーザー分だけ。
  • 実際に管理対象のPCは POSとかフロント業務で利用するらしく複数人が単一のローカルアカウントを共有してるらしい。
詳細な台数は出せませんが結構なボリュームのデバイスがワークグループで野放しになってるという地獄絵図で ほんのり ほりにし ブラック が香ってきそうな勢いでございます。(ほりにしはおいしいけど、案件は全然おいしいものではない)DEMをのカードを切るぐらいですからねぇそこそこの台数は覚悟しています。

さらに悩ましい移行の制約条件

さらに辛いのは移行に対するリソースが圧倒的に足りないこと。 データ移行もしたくないし、 今更新しく教育なんてできないから、できるだけ影響の出ない方針で!の鶴の一声があり。「データ初期化?クリーンインストール?」そんなことやったら 店つぶれる前にお前の会社がつぶれるよwみたいな空気が漂い、Autopilotやプロビジョニングパッケージみたいなきれいな手段は最初から除外。

しかもここに追い打ちをかけるのがEntra ID Freeライセンス問題

Entra ID Joinやデバイス自動登録はEntraID P1 から使える、無料枠だと手でポチポチやるしかなく導入時の現場担当さんが涙目になる未来が待ってます。まぁ知らんけど

目指す構成

Intune Paln 1 ライセンスが割り当てられた専用のデバイス登録ユーザー(デバイス登録マネージャー)を用いてIntune登録を実施する。※これにより、 ユーザプロファイル単位ではなく、デバイス単位で ポリシーの統制が可能になる。

また、今回のような共有PCを管理する場合は、ユーザの人事異動による影響を受けない登録方法が求められます。 こういったケースにおいてもデバイス管理マネージャー( DEMアカウント)を利用します。 1つのデバイス登録マネージャアカウントで最大1,000台のデバイスを登録可能になります。(通常のDEMを利用しない場合は1アカウントにつき15台まで登録可能)


デバイス管理マネージャーの構成手順

手順については下記の通り、 画面は弊社環境での例となります。
  • DEMとして使うEntraIDアカウントを作成:DEM用アカウントを新規作成します。
    作り方は新しいアカウントの作成と変わらないです。 
    ※ユーザ管理者のロールが必要です。
    Microsoft Entra 管理センター


  • Intuneライセンスの割り当て:作成したアカウントにIntune P1ライセンスを割り当てます。 M365管理センターから行ってください。 
    ※ライセンス管理者のロールが必要です。


  • DEMとしての登録:Intune管理センターにサインインし、[デバイス] > [登録] > [デバイス登録マネージャー]タブで、先ほど作成したアカウントを追加します。
    ※Intune管理者のロールが必要です。
         次のリンクからデバイス - Microsoft Intune 管理センターに飛ぶか、
    Home>デバイス>登録 の順にたどった後 デバイス登録マネージャータブに移動します。
    初見だとわかりにくい 

    画面中ほどに追加ボタンがあるので、追加ボタンをクリックして、 Intune ライセンスを割り当てた DEMユーザを追加してあげる。(UPN入れると間違いないかも。)

    デバイス管理マネージャーの構成は以上で完了。
    あとは デバイス登録するときのこの画面で DEMを指定してあげれば DEMアカウントでデバイス登録を進めることができます。



仕様まとめ

    本文中には触れていませんが制限事項などを記載しておきます 留意しましょう。
    DEMで構成したデバイスは当然デバイス単位でポリシー適用が行われます。
    したがって、ユーザ単位で変更するOutlookなどのアプリ構成や WIFIのプロファイルなど 
    組み合わせ的にデバイスやユーザに統制が効かないケースがあるので、 細かい動きについては実機検証の上展開することが望ましいです。
    また DEMでは 対応できない登録方法としてAppleの自動デバイス登録(ADE)があります。
    ADEの場合は ABMで管理するのでユーザアフィニティなしの構成で展開する必要があります。

    DEM利用する際は共有PC、キオスク端末、などの特殊ユースケースにとどめておくのが理想です。
    その最たる例として、下記の通り 運用上の制約がケースによっては致命傷になる仕様となっています。
    DEMアカウント1つにつき最大1,000台という制約

    1000台以上 DEMアカウントで登録する場合にはもう1つのDEMアカウントとIntuneライセンスが必要になります。
    1000台ごとにアカウントを切り替えるのは管理が煩雑になりナンセンスですので、できれば使わないで済む方法を考えるのも手だとおもいます。
    ぶっちぇけ これが大量管理するうえで一番 面倒な仕様だとも思います。
    ほかの会社さんはどうやってるの 私気になります”!!
    コメントで教えてください!

    お知らせ

    株式会社Rock'in villageではIntuneをはじめとしたMDM製品やMicrosoft365導入支援及びコンサルティングを行っております。 お客様の課題やご予算やに合わせた柔軟な対応を行っておりますのでまずはご相談ください。
    お問い合わせフォーム (Microsoft Forms) へ


    参考リンク
    Device Enrollment Manager (DEM)を利用して、共有・ストックPC(Windows)運用を考えてみる
    デバイス登録マネージャー アカウントを使用してデバイスを登録する - Microsoft Intune | Microsoft Learn
    Microsoft Intune のデバイスの登録ガイド | Microsoft Learn

    Ami

    投稿者 Ami

    コメントを投稿

    0 コメント

    コメントを投稿