【AzureAD】条件付きアクセスのデバイスフィルターで利用するmdmAppIdについて

はしやすめ

結論

AzureADの条件付きアクセスのデバイスフィルターで利用できる”mdmAppId”の登録状況はPowerShell コマンド、 Graph Explorerで確認することができます。
ただしサードパーティーMDMの場合は値が入っていない場合があります。

▼コマンドの場合

//Azure AD 接続
Connect-MgGraph -Scope Device.Read.All

//すべてのデバイスのオブジェクト ID、デバイス ID、表示名、mdmAppId
Get-MgDevice -All | select id, deviceId, displayname, mdmAppId

経緯

利用デバイスにIntune以外のMDMが導入されていることを条件に、AzureADに登録した業務アプリケーションにアクセスを許可したいという要件があり、実施手段を探っていました。
対象デバイスはモバイルデバイスでAndroid、iOS。

条件付きアクセスのデバイスフィルターmdmAppIdなるものがあり、こちらに対象MDMのIDが入っていることを条件に制御ができるのでは、とAzurePortalをみたところそれらしき値が無く、どう取得するのか調査・問い合わせしました。その備忘録です。

mdmAppIdとは

「有効な MDM アプリケーション ID」だそうです。
MDMとして導入されているアプリケーションのIDが取得・管理されますが、「Intune」か 「Office 365 MDM」か「Microsoft Intune と SCCM で共同管理の状態」か「サポートされるデバイス コンプライアンス パートナーの MDM」の場合のみ値が入ります

ドキュメントに例として載っているのはIntuneの場合

サポートされるデバイス コンプライアンス パートナーの MDM

上記ドキュメントより引用

  • Addigy

  • BlackBerry UEM

  • Citrix Workspace デバイス コンプライアンス

  • IBM MaaS360

  • JAMF Pro

  • MobileIron デバイス コンプライアンス クラウド

  • MobileIron Device Compliance On-prem

  • SOTI MobiControl

  • VMware Workspace ONE UEM (旧 AirWatch)

※設定される値について

Microsoft Intune のみで管理されている状態
0000000a-0000-0000-c000-000000000000 (名前 : Microsoft Intune) 

 Office 365 MDM で管理されている状態
 7add3ecd-5b01-452e-b4bf-cdaf9df1d097 (名前 : Office 365 Mobile Device Management)

Microsoft Intune と SCCM で共同管理の状態
54b943f8-d761-4f8d-951e-9cea1846db5a (名前 : System Center Configuration Manager Hybrid Mobile Device Management)

サポートされるデバイス コンプライアンス パートナーの MDM
0000000a-0000-0000-c000-000000000000

その他の MDM
「値なし」 

取得方法(PSコマンド)

取得にはGet-MgDevice コマンドを利用する

①Microsoft Graph PowerShell SDKのインストール

Install-Module Microsoft.Graph

②Azure AD 接続

Connect-MgGraph -Scope Device.Read.All

③出力

//すべてのデバイスのオブジェクト ID、デバイス ID、表示名、mdmAppId 
Get-MgDevice -All | select id, deviceId, displayname, mdmAppId 

select 句で指定する属性は変更可能。扱える属性は以下を参照。

取得方法(Graph Explorer)

Graph Explorerを使っても同様の情報が確認可能。

GET https://graph.microsoft.com/v1.0/devices?$select=id,deviceId,displayname,mdmAppId

自分の実行した環境だと上記要求を行うために、同意が必要でした。

適宜同意が必要

実行結果

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#devices(id,deviceId,displayName,mdmAppId)",
    "value": [
        {
            "id": "オブジェクトID",
            "deviceId": "デバイス ID",
            "displayName": "表示名",
            "mdmAppId": "0000000a-0000-0000-c000-000000000000"
        }
    ]
}

参考サイト


この記事が気に入ったらサポートをしてみませんか?