こんにちは。
SBT に入社して 3年目、Intune 周りの設計をし始めて 2年ほど経ちました、小山です。
表題の通り、Intune について検証を 行いましたので、記事として紹介させていただきます。
Intune にてデバイス管理を設計する際に、Windows 10 で Bluetooth の接続制御を行いたいという要望をいただくことがあります。
今回は Intune の構成プロファイルを使用して一部の Bluetooth デバイスの接続を制御する方法について説明します。Windows 10 にて、Bluetooth
接続経由でのファイル転送はブロックするけれど、マウス、キーボード、オーディオヘッドセットとスピーカーの利用は許可したいというシナリオにて、Intune の設定方法をご紹介します。
今回は、Intune の構成プロファイルにある [デバイスの制限] テンプレート を利用します。
構成プロファイル、デバイスの制限とは?
Intune には、管理者が Android、iOS/iPadOS、macOS、および Windows の各デバイスを制御するのに役立つデバイス制限ポリシーが含まれています。これらのポリシーを使用して構成プロファイルを作成することで、組織のリソースを保護するための幅広い設定と機能を制御できます。以下、制限例です。
この機能は、以下に適用されます。
【参考】
Microsoft Intune でデバイスの制限設定を構成する
今回準備したもの
(※)補足:Microsoft Docs 内ではオーディオヘッドセットとスピーカーという表記になっていますが、使用するものは Bluetooth イヤホンのため、イヤホンと記載しています。
今回は、Windows 10 を対象に、デバイスの制限にて、Bluetooth の設定を行います。
それでは、どのように設定を行い、デバイスに制御がかかるのか、確認していきましょう。
まず、構成プロファイルによる設定を適用する前に、デバイスでどのような動作となっているのかを確認していきます。具体的には、ファイル転送、マウス、キーボード、オーディオヘッドセットとスピーカーの利用が許可されるかを確認します。
1. Azure AD 参加済みの Windows 10 PC にサインインします。
[設定] – [デバイス] – [Bluetooth とその他デバイス] から Bluetooth デバイスとしてAndroid を追加します(ペアリング)。
2. ファイル転送用の適当なファイルを用意します。
今回は “これはテスト用のメッセージです.docx” を作成しました。
3. まず、このファイルを Windows 10 から Android にファイル転送してみます。
ファイルを右クリックし、[送る] – [Bluetooth デバイス]から、「Android(Galaxy S8)」を選択し、[次へ] をクリックします。
4. Windows 10 ではファイルの送信中画面が表示されます。受信側の Android にて、[承認] をタップします。
5. Android にて、ファイルを受信し、開けることを確認します。
ここまでで、Windows 10 から Android へのファイル転送が成功することを確認できました。
1. Android を開きます。
2. <手順1>で受信したファイルを Word アプリで編集し、保存します。
今回は“これはテスト用のメッセージです_編集済み.docx”を作成しました。
※ 別ファイルでも構いません。
3. Windows 10 にて、タスクバーの Bluetooth アイコンを右クリックし、[ファイルの受信] をクリックします。
[接続の待機中]画面が出ることを確認します。
4. <手順2>のファイルを選択し、[共有] から [Bluetooth] をタップします。
5. Windows 10 をタップして選択します。
6. Windows 10 にてファイルを受信したことを確認し、[完了] をクリックします。
7. 受信したファイルを確認します。
ここまでで、Android から Windows 10 へのファイル転送が成功することを確認しました。
1. Azure AD 参加済みの Windows 10 PC にサインインします。
2. [設定] – [デバイス] – [Bluetoothとその他デバイス] から Bluetooth デバイスとして Bluetooth マウス/Bluetooth キーボード/Bluetooth イヤホンの3種を追加します(ペアリング)。
ここまでで、Bluetooth マウス/Bluetooth キーボード/Bluetooth イヤホンの接続が成功することを確認しました。
設定適用前に既定の状態を確認したら、実際に Bluetooth 接続制御を行うため、Microsoft Endpoint Manager Admin Center で構成プロファイルを設定します。
1. Microsoft Endpoint Manager Admin Center (https://endpoint.microsoft.com) を開きます。
2. 画面左から [デバイス] – [構成プロファイル] – [プロファイルの作成] をクリックします。
3. プロファイルの作成画面から、下記のように設定を行い、[作成] をクリックします。
4. [名前] を任意で入力し、[次へ] をクリックします。
5. [携帯ネットワークと接続性] を開き、[Bluetooth を使用できるサービス] に下記UUIDを入力し、[次へ] をクリックします。
<UUID一覧>
UUID とは、オブジェクトを一意に識別するための識別子です。
以下のサイトによく使用されるデバイスを許可するための UUID 設定例が記載されています。設定例にないデバイスを許可したい場合は Bluetooth の Web サイトから探してください。
【参考】
ServicesAllowedList 使用ガイド
Assigned Numbers | Bluetooth® Technology Website
6. 制御をかけるグループを任意で追加し、[次へ] をクリックします。
7. [適用性のルール] を任意で設定し、[次へ] をクリックします。
8. [確認および作成] 画面にて、設定値を確認し、[作成] をクリックします。
ここまでで、Bluetooth マウス/Bluetooth キーボード/Bluetooth イヤホンの Bluetooth 接続のみ許可する構成プロファイルを展開しました。展開したデバイスにて、ポリシーが同期されたことを確認し、次の手順に進みます。
構成プロファイルが適用されたことを確認後、デバイスでどのような動作となっているのかを再度確認していきます。具体的には、ファイル転送がブロックされ、マウス、キーボード、オーディオヘッドセットとスピーカーの利用が許可されるかを確認します。
構成プロファイル適用済みの Windows 10 PC にサインインします。
1. [設定] – [デバイス] – [Bluetoothとその他デバイス] から Bluetooth デバイスとしてAndroid を追加します(ペアリング)。
2. ファイル転送用の適当なファイルを用意します。
今回は“これはテスト用のメッセージです_2.docx”を作成しました。
3. まず、このファイルを Windows 10 から Android にファイル転送してみます。
ファイルを右クリックし、[送る] – [Bluetoothデ バイス] から、Android(Galaxy S8)を選択し、[次へ] をクリックします。
4. Windows 10 ではファイルの送信中画面が表示されます。
5. ポリシーによって、送信がブロックされることを確認します。
ここまでで、Windows 10 からのファイル転送ができないことを確認しました。
ただし、Android のペアリング自体は正常に行えているため、ファイル転送が Intune によりブロックされていることは、実際に行わない限り確認できません。
1. Android を開きます。
2. Windows 10 へ送信するファイルを用意します。
今回は1. 構成プロファイル設定前のデバイスの動作の<手順2>で作成した“これはテスト用のメッセージです_編集済み.docx”を使用しました。
※ 別ファイルでも構いません。
3. Windows 10 にて、タスクバーの Bluetooth アイコンを右クリックし、[ファイルの受信] をクリックします。
[接続の待機中] 画面が出ることを確認します。
4. 手順2のファイルを選択し、[共有] から [Bluetooth] をタップします。
5. Windows 10 をタップして選択します。
6. Android にて、送信が失敗したことを確認します。
ここまでで、Android からのファイル転送が失敗することを確認しました。
※ Windows 10 側では、接続の待機中の画面が表示されたままとなります。ファイル転送が失敗したことは Windows 10 側では把握できないため、注意が必要です。
1. 構成プロファイル適用済みの Windows 10 PC にサインインします。
2. [設定] – [デバイス] – [Bluetoothとその他デバイス] から Bluetooth デバイスとして Bluetooth マウス/Bluetooth キーボード/Bluetooth イヤホンの 3種を追加します(ペアリング)。
3. 接続したデバイスが正常に動作することを確認します。
ここまでで、Bluetooth マウス/Bluetooth キーボード/Bluetooth イヤホンの利用に影響を与えることなく、Bluetooth 接続によるファイル転送をブロックできたことが確認できました!
構成プロファイルにて、Bluetooth 接続をすべてブロックした後、すべて許可に戻す方法について補足します。
以下のように構成プロファイルの「デバイスの制限」から Bluetooth 接続を [ブロック] することは可能ですが、[構成されていません] に変更した場合もブロック状態は外れません。一度ブロックを適用したデバイスを再度許可するには、カスタムポリシーを使用する必要があります。
Bluetooth 接続ブロックを [構成されていません] に変更するか、上記ポリシーの割り当てからグループを削除した上で、以下の手順で Bluetooth 接続をすべて許可に戻します。
※ポリシーの競合を防ぐため、本手順を実施してください。
1. Microsoft Endpoint Manager Admin Center (https://endpoint.microsoft.com) を開きます。
2. 画面左から [デバイス] – [構成プロファイル] – [プロファイルの作成] をクリックします。
3. プロファイルの作成画面から、下記のように設定を行い、[作成] をクリックします。
4. [名前] を任意で入力し、[次へ] をクリックします。
5. [OMA-URIの設定] から、[追加] をクリックします。
6. [行の追加] にて、下記設定を入力し、[保存] をクリックします。
【参考】
ポリシー CSP - 接続:Connectivity/AllowBluetooth
※ サポートされている値を参考に値を入力してください。
7. 行が追加されていることを確認し、[次へ] をクリックします。
8. 制御をかけるグループを任意で追加し、[次へ] をクリックします。
9. [適用性のルール] を任意で設定し、[次へ] をクリックします。
10. [確認および作成] 画面にて、設定値を確認し、[作成] をクリックします。
ここまでで、 Bluetooth 接続をすべて許可する構成プロファイルを展開しました。ブロックにしたポリシーが外れていれば(またはデバイスの制限にて、ブロックから未構成に変更されていれば)、本設定の展開で、Windows 10 の Bluetooth のオン/オフのラジオ ボタンがグレーアウトからアクティブに戻ります。
今回は、構成プロファイルによる Bluetooth 接続制御の方法について、いくつかの方法をご紹介しました。
Intune で制御可能な段階としては、完全ブロック、ホワイトリスト形式で一部許可、完全許可となります。各設定の方法も [デバイスの制限] を使用したり、[カスタム] を使用したりと紛らわしいですが、どこで設定するのか把握していれば非常にシンプルな設定 となっています。
今回はお客様環境で Bluetooth 接続を完全にブロックしていたところ、ファイル転送はブロックしたいけど、マウスなどのデバイスは利用したいという追加のご要望があったため、このような検証をしました。
Bluetooth 接続を許可にしている企業様でも、ファイル転送を制御していない場合があるのではないかと思います。その場合、個人デバイスとペアリングして、会社資産データのファイル転送を行うことができ、セキュリティリスクとなる可能性があります。
今後、Intune ないし、デバイスセキュリティといった観点で Bluetooth 接続について検討する際に、本ブログの記事が参考になれば幸いです。
弊社にて Intune 設計及び導入、サポートも提供しておりますので、ご興味のあるご担当者様がいらしたら、お気軽にご相談いただければと思います。
最後まで読んでいただきありがとうございました!
