Microsoft Intune でデバイス プロファイルを使用してデバイスに機能と設定を適用する

  • [アーティクル]

Microsoft Intune には、組織内のさまざまなデバイスで有効または無効にできる設定と機能が含まれています。 これらの設定と機能は "構成プロファイル" に追加されます。 さまざまなデバイス、および iOS/iPadOS、Androidデバイス管理者、Android エンタープライズ、Windows などのさまざまなプラットフォームに対するプロファイルを作成することができます。 次に、Intune を使用して、デバイスへのプロファイルの適用 ("割り当て") を行います。

重要

Microsoft Intuneは、2024 年 8 月 30 日に Google Mobile Services (GMS) にアクセスできるデバイスでの Android デバイス管理者管理のサポートを終了します。 その日以降、デバイス登録、テクニカル サポート、バグ修正、およびセキュリティ修正プログラムは使用できなくなります。 現在デバイス管理者管理を使用している場合は、サポートが終了する前に、Intuneで別の Android 管理オプションに切り替えることをお勧めします。 詳細については、「 GMS デバイスでの Android デバイス管理者のサポート終了」を参照してください。

モバイル デバイス管理 (MDM) ソリューションの一部として、これらの構成プロファイルを使用してさまざまなタスクを実行します。 Intune には、証明書、VPN、メールなど、機能に固有の設定のグループを含む多くのテンプレートが用意されています。

以下にプロファイルの例をいくつか示します。

  • デバイス上の Bluetooth へのアクセスを許可または禁止します。
  • さまざまなデバイスに企業ネットワークへのアクセスを提供する WiFi または VPN プロファイルを作成します。
  • インストールのタイミングを含め、ソフトウェア更新プログラムを管理します。
  • 1 つのアプリ、または多くのアプリを実行できる専用のキオスク デバイスとして、Android デバイスを実行します。
  • iOS/iPadOS および macOS デバイスでは、ユーザーが組織内の AirPrint プリンターを使用できるようにします。

この記事では、作成できるさまざまな種類のプロファイルの概要を示します。 これらのプロファイルを使用して、デバイスで一部の機能を許可または禁止します。

管理用テンプレートとグループ ポリシー

管理用テンプレートには数百の設定が含まれており、これらを Internet Explorer、Microsoft Edge、OneDrive、リモート デスクトップ、Word、Excel、その他の Office プログラム用に構成することができます。 これらのテンプレートには、管理者にグループ ポリシーと同様の設定の簡易ビューが用意されています。これらは 100% クラウドベースです。

グループ ポリシー 分析では、オンプレミスの GPO が分析され、サポート対象、非推奨などのポリシー設定が表示されます。

この機能では以下をサポートします。

  • Windows 11
  • Windows 10

証明書

証明書では、デバイスに割り当てられる、信頼された証明書、SCEP 証明書、および PKCS 証明書を構成します。 これらの証明書により、WiFi プロファイル、VPN プロファイル、および電子メール プロファイルが認証されます。

この機能では以下をサポートします。

  • Android デバイス管理者
  • Android (AOSP)
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 11
  • Windows 10
  • Windows 8.1

カスタムのプロファイル

管理者はカスタム設定を使用して、Intune に組み込まれていないデバイス設定を割り当てることができます。 Android デバイスでは、OMA-URI 値を入力できます。 iOS/iPadOS デバイスの場合は、Apple Configurator で作成した構成ファイルをインポートできます。

この機能では以下をサポートします。

  • Android デバイス管理者
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 11
  • Windows 10

配信の最適化

配信の最適化では、ソフトウェア更新プログラムの配信に関するエクスペリエンスを向上させることができます。 これらの設定は、[ソフトウェア更新プログラム]>[Windows 10 更新プログラムのリング] 設定に置き換わるものです。

これらの設定は、ソフトウェア更新プログラムを組織内のデバイスにダウンロードする方法を制御するために使用します。 たとえば、デバイス プロファイル内で、ユーザーが自分で更新プログラムを取得できるように設定することも、配信の最適化クラウド サービスを通じて更新プログラムを取得できるように設定することもできます。

この機能では以下をサポートします。

  • Windows 11
  • Windows 10

派生資格情報

派生資格情報は、認証、署名、暗号化が可能なスマート カード上の証明書です。 Intune では、これらの資格情報を使用して、アプリ、電子メール プロファイル、VPN、S/MIME、Wi-Fi への接続に使用するためのプロファイルを作成できます。

この機能では以下をサポートします。

  • Android Enterprise
  • iOS/iPadOS

デバイスの機能

デバイスの機能では、AirPrint、通知、ロック画面メッセージなど、iOS/iPadOS および macOS デバイスの機能を制御します。

この機能では以下をサポートします。

  • iOS/iPadOS
  • macOS

デバイス ファームウェア構成インターフェイス

デバイス ファームウェア構成インターフェイス (DFCI) を使用すると、管理者は Intune を使用して UEFI (BIOS) の設定を有効または無効にすることができます。 これらの設定を使用して、ファームウェア レベルでセキュリティを強化します。通常は、悪意のある攻撃に対する回復力が高くなります。

この機能では以下をサポートします。

  • Windows 11 のサポートされているファームウェア
  • Windows 10 1809 以降でサポートされているファームウェア

デバイスの制限

デバイスの制限は、セキュリティ、ハードウェア、データの共有など、デバイス上の設定を制御します。 たとえば、iOS/iPadOS デバイス ユーザーにデバイスのカメラの使用を禁じるデバイスの制限プロファイルを作成できます。

この機能では以下をサポートします。

  • Android デバイス管理者
  • Android (AOSP)
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 11
  • Windows 10
  • Windows 10 Team

ドメイン参加

ドメイン参加では、オンプレミスの Active Directory ドメインの情報が構成されます。 この情報は、Windows Autopilot と Intune を使用してプロビジョニングされるときにハイブリッド Azure AD 参加済みデバイスに展開されます。 このプロファイルでは、参加するドメインと OU がデバイスに通知されます。

この機能では以下をサポートします。

  • Windows 11
  • Windows 10

エディションのアップグレードとモードの切り替え

Windows 10/11エディションのアップグレードでは、一部のバージョンのクライアントを実行するデバイスがWindows新しいエディションに自動的にアップグレードされます。

この機能では以下をサポートします。

  • Windows 11
  • Windows 10

教育

教育設定 - Windows 10 では、Windows テスト アプリのオプションを構成します。 これらのオプションを構成すると、テストが完了するまで他のアプリはデバイス上で実行できません。

教育設定 - iOS/iPadOS では、iOS/iPadOS Classroom アプリを使用し、教室で学習を指導し、生徒のデバイスを操作します。 多数の学生が 1 台のデバイスを共有できるように iPad デバイスを構成できます。

メール

電子メールの設定では、デバイス上の Exchange ActiveSync 電子メール設定の作成、割り当て、監視を行います。 電子メール プロファイルにより、一貫性の確保とサポート負荷の軽減が可能になり、エンド ユーザーは自分では何の設定もせずに個人デバイスで会社の電子メールにアクセスできるようになります。

この機能では以下をサポートします。

  • Android デバイス管理者
  • Android Enterprise
  • iOS/iPadOS
  • Windows 11
  • Windows 10

Endpoint Protection

エンドポイント保護は、クライアント デバイスに対して BitLocker と Microsoft Defender Windows構成します。 macOS デバイス上では、ファイアウォール、ゲートウェイ、その他のリソースを構成することもできます。

Microsoft Defender for Endpoint と Microsoft Intune をオンボードするには、モバイル デバイス管理ツール (MDM) を使用したエンドポイントの構成に関するページを参照してください。

この機能では以下をサポートします。

  • macOS
  • Windows 11
  • Windows 10

eSIM 携帯ネットワーク

管理者は eSIM 携帯電話プロファイルを使用して、インターネットおよびデータ アクセスに関する、マネージド デバイスの携帯データ通信プランを構成できます。 携帯電話会社からアクティブ化コードを取得した後、Intune を使用して、このアクティブ化コードをインポートし、eSIM 対応デバイスに割り当てます。

この機能では以下をサポートします。

  • Windows 11
  • Windows 10 Fall Creators Update 以降

拡張機能

macOS のシステム拡張機能とカーネル拡張機能を使用することで、管理者はオペレーティング システムのネイティブ機能を拡張する機能やプログラムを追加できます。 これらの設定を、特定の開発者またはパートナーからのすべての拡張機能を信頼するように構成するか、あるいは特定の拡張機能を許可するように構成します。

この機能では以下をサポートします。

  • macOS

Identity Protection

Identity Protection は、Windows クライアント デバイスでのWindows Hello for Businessエクスペリエンスを制御します。 これらの設定を構成してユーザーとデバイスが Windows Hello for Business を利用できるようにし、デバイスの PIN とジェスチャーの要件を指定します。

この機能では以下をサポートします。

  • Windows 11
  • Windows 10
  • Windows Holographic for Business

キオスク

キオスク設定プロファイルでは、1 つのアプリを実行するようにデバイスを構成することも、多数のアプリを実行するようにデバイスを構成することもできます。 スタート メニューや Web ブラウザーなどを含むキオスクのその他の機能をカスタマイズすることもできます。

この機能では以下をサポートします。

  • Windows 11 (シングル アプリ キオスクのみ)
  • Windows 10

キオスク設定は、AndroidAndroid エンタープライズ、および iOS/iPadOS 用のデバイス制限としても使用できます。

MX プロファイル (Zebra)

モビリティ拡張機能 (MX) は、Zebra デバイスに固有の設定をカスタマイズしたり、追加したりする目的で、組み込みの Intune 設定で拡張されます。 Zebra デバイスは通常、工場の生産現場や小売環境で使用されます。 Zebra デバイスが大量にある場合、Intune を利用し、デバイスを構成し、管理できます。

この機能では以下をサポートします。

  • Android デバイス管理者

Microsoft Defender for Endpoint

Microsoft Defender for Endpoint は、デバイスを監視し、保護できるように Intune と統合されています。 リスク レベルを設定し、デバイスがそのレベルを超えた場合の動作を決定します。 条件付きアクセスと組み合わせると、組織内の悪意のあるアクティビティを防ぐことができます。

この機能では以下をサポートします。

  • Windows 11
  • Windows 10

ネットワーク境界

ネットワーク境界を使用すると、組織によって信頼されているサイトの一覧が作成されます。 この機能は、デバイスを保護するために Microsoft Defender Application Guard と Microsoft Edge と共に使用されます。

この機能では以下をサポートします。

  • Windows 11
  • Windows 10

OEMConfig

Android Enterprise デバイスでは、OEMConfig が標準です。 そのため、OEM (相手先ブランド供給) および EMM (エンタープライズ モビリティ管理) により、標準化された方法で OEM 固有の機能を構築およびサポートできます。 OEMConfig を使用して、OEM で固有の管理機能を定義するスキーマを作成し、それを Google Play にアップロードされるアプリに埋め込みます。 Intune でアプリからスキーマが読み取られ、Intune 管理者がスキーマの設定を構成できます。

この機能では以下をサポートします。

  • Android Enterprise (OEMConfig)

設定ファイル

macOS デバイスの設定ファイルには、アプリに関する情報が含まれます。 たとえば、設定ファイルを使用して、Web ブラウザーの設定の制御、アプリのカスタマイズなどを行うことができます。

この機能では以下をサポートします。

  • macOS

ヒント

macOS 設定は、設定カタログに継続的に追加されています。 これらの設定の一部では、基本設定ファイルを置き換えることができます。 詳細については、「Intune の設定カタログを使用して完了できるタスク」 を参照してください。

設定カタログ

設定カタログには、構成できる設定が一覧表示されます。 これはテンプレートでも、設定の論理的なグループでもありません。

Windows 上では、テンプレートにない多くの設定を含め、何千もの設定を使用できます。 すべての設定を網羅した一覧が必要な場合は、設定カタログを使用してポリシーを作成します。 設定の論理グループを使用する場合は、引き続きテンプレートを使用します。

macOS 上では、設定カタログを使用して Microsoft Edge バージョン 77 以降を構成できます。 個々の設定は、ポリシーで構成します。 設定ファイルは必要ありません。

この機能では以下をサポートします。

  • iOS/iPadOS
  • macOS
  • Windows 11
  • Windows 10

共有マルチユーザー デバイス

Windows 10/11および Windows Holographic for Businessには、複数のユーザーを持つデバイスを管理するための設定が含まれています。 このようなデバイスは、共有デバイスまたは共有 PC と呼ばれます。 ユーザーがデバイスにサインインするときに、そのユーザーがスリープ オプションを変更できるようにするか、デバイス上にファイルを保存できるようにするかを選択します。 また、領域を節約するために、Windows HoloLens デバイスから非アクティブな資格情報を削除するプロファイルを作成することもできます。

これらの共有のマルチ ユーザー デバイス設定では、管理者はデバイスの一部の機能を制御し、Intune を使用してその共有デバイスを管理することができます。

この機能では以下をサポートします。

  • Windows 11
  • Windows 10
  • Windows Holographic for Business

シェル スクリプト

Linux デバイスでは、既存の Bash スクリプトを追加して、 これらのデバイスの設定と機能をカスタマイズできます。 この概念は、カスタム デバイス構成プロファイルを作成し、デバイスにポリシーを展開することに似ています。 Linux では、既存の Bash スクリプトを使用して、Intuneに組み込まれていない機能と設定を構成しています。

macOS デバイスでは、既存の シェル スクリプトを追加し、これらのスクリプトを macOS デバイスにデプロイできます。

Windows デバイスでは、Intune管理拡張機能を使用して、Intuneで PowerShell スクリプトをアップロードし、デバイスでこれらのスクリプトを実行できます。 この拡張機能を使用するために必要なもの、それらを Intune に追加する方法、およびその他の重要な情報も確認してください。

この機能では以下をサポートします。

  • Linux
  • macOS
  • Windows 11
  • Windows 10

更新ポリシー

iOS/iPadOS 更新ポリシーには、iOS/iPadOS デバイスにソフトウェア更新プログラムをインストールするための iOS/iPadOS ポリシーを作成し、割り当てる方法が示されます。 インストールの状況を確認することもできます。

Windows デバイスの更新プログラム ポリシーについては、配信の最適化に関するページを参照してください。

この機能では以下をサポートします。

  • iOS/iPadOS

VPN

VPN 設定は、VPN プロファイルを組織内のユーザーとデバイスに割り当て、社内ネットワークに簡単かつ安全に接続できるようにします。

仮想プライベート ネットワーク (VPN) により、ユーザーは会社のネットワークに安全にリモート アクセスできます。 デバイスは VPN 接続プロファイルを使用して VPN サーバーとの接続を開始します。

この機能では以下をサポートします。

  • Android デバイス管理者
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 11
  • Windows 10
  • Windows 8.1

Wi-Fi

Wi-Fi 設定は、ユーザーとデバイスにワイヤレス ネットワーク設定を割り当てます。 Wi-Fi プロファイルを割り当てると、ユーザーは自分でプロファイルを構成することなく、会社の Wi-Fi にアクセスできます。

この機能では以下をサポートします。

  • Android デバイス管理者
  • Android (AOSP)
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 11
  • Windows 10
  • Windows 8.1 (インポートのみ)

Windows 正常性の監視

Windows の正常性の監視を使用すると、データ イベントを収集し、エンドポイント分析で分析できます。 このデータを使用して、ソフトウェア更新プログラムやスタートアップ パフォーマンスなど、Windows デバイスに関する分析情報を得ることができます。

この機能では以下をサポートします。

  • Windows 11
  • Windows 10

有線ネットワーク

有線ネットワークでは、macOS と Windows のデスクトップ コンピューターやデバイスに 802.1x の有線接続を作成し、管理できます。 自分のプロファイルでネットワーク インターフェイスを選択し、承認された EAP タイプを選択し、PKCS 証明書や SCEP 証明書など、サーバー信頼設定を入力します。

プロファイルを割り当てると、ユーザーは自分でプロファイルを構成することなく、会社の有線ネットワークにアクセスできます。

この機能では以下をサポートします。

  • macOS
  • Windows 11
  • Windows 10

Zebra モビリティ拡張 (MX)

管理者は Zebra モビリティ拡張 (MX) を使用して、Intune で Zebra デバイスを使用および管理できます。 設定で StageNow プロファイルを作成してから、Intune を使用して Zebra デバイスにこれらのプロファイルを割り当ておよび展開することができます。 StageNow ログと一般的な問題に関する説明は、プロファイルのトラブルシューティング用の優れたリソースなので、StageNow を使用する際にはいくつかの潜在的な問題を参照してください。

この機能では以下をサポートします。

  • Android デバイス管理者 (モビリティ拡張機能)

管理とトラブルシューティング

プロファイルの管理に関する説明では、デバイスの状態や割り当てられているプロファイルの確認方法を説明しています。 競合を起こした設定と、これらの設定を含むプロファイルを確認することによって、競合も解決できます。 一般的な問題と解決策に関する説明は、管理者がプロファイルを操作するのに役立ちます。 プロファイルを削除した場合の動作や、デバイスに通知が送信される原因などについて説明しています。

次の手順

プロファイルを選択し、作業を開始します。