Microsoft Intune をセットアップする
適切なツールとリソースがないと、学校環境で数百または数千のデバイスを管理することは、複雑で時間のかかる作業になる可能性があります。 Microsoft Intuneは、大規模なデバイスの管理を簡素化するサービスのコレクションです。
Microsoft Intune サービスは、さまざまな方法で管理できます。
Intune管理センターは、登録フェーズから廃止までのデバイス ライフサイクル全体をサポートするプライマリ Intune インターフェイスです。 IT 管理者は、サポートされているすべてのプラットフォームで、すべての設定Intune管理できます。
Intune for Education は、登録フェーズから廃止までのデバイス ライフサイクル全体をサポートするIntuneのキュレーションビューです。 IT 管理者は、一括登録オプションと合理化されたデプロイを使用して、クラスルーム デバイスの管理を開始できます。 学年の終わりに、IT 管理者はデバイスをリセットして、来年の準備ができていることを確認できます。
詳細については、「Intune for Education のドキュメント」を参照してください。
ヒント
Intuneと education のIntuneはどちらも、Intune サービスを構成します。 1 つのコンソールで行われた変更は、もう一方のコンソールに反映されます。 ただし、Intune for Education では、Windows と iPadOS の単純な K-12 シナリオに合わせてキュレーションされたポリシーとアプリのサブセットのみがサポートされます。
このセクションでは、次のことを行います。
- Intuneのライセンスの前提条件を確認する
- 教育デバイスのIntune サービスを構成する
前提条件
✅ デバイス管理の要件を確認する
Intuneを使用して設定を構成する前に、次の前提条件を考慮してください。
- サブスクリプションIntune。 Microsoft Intuneは、次の 3 つの方法でライセンスが付与されます。
- スタンドアロン サービスとして
- Enterprise Mobility + Securityの一部として
- Microsoft 365 Education サブスクリプションの一部として
- Education デバイス プラットフォームのIntune。 Intune for Education では、サポートされているバージョンのWindows 10、Windows 11、Windows 11 SE、iPadOS を実行しているデバイスを管理できます
- デバイス プラットフォームをIntuneします。 Intuneでは、サポートされているバージョンの Windows 10、Windows 11、Windows 11 SE、iOS、iPadOS、macOS、Android、Linux を実行しているデバイスを管理できます
- ネットワーク要件。 SSL 検査や任意の種類のフィルター処理なしで、必要なすべてのネットワーク エンドポイントがアクセスできることを確認します。 エンドポイントの一覧については、「Microsoft Intuneのネットワーク エンドポイント」を参照してください。
詳細については、「Intune ライセンスとこの比較シート」を参照してください。この比較シートには、Microsoft Modern Work Plan for Education の詳細を示す表が含まれています。
Education デバイスのIntune サービスを構成する
Intune サービスは、学校のニーズに応じて、さまざまな方法で構成できます。 このセクションでは、K-12 学区で一般的に実装される設定を使用して、Intune サービスを構成します。
登録制限を構成する
✅ 管理できるデバイスを制限する
登録制限を使用すると、Intuneによって登録および管理できるデバイスを制御できます。 たとえば、個人用デバイスの登録を禁止できます。
個人所有のデバイスの登録をブロックするには:
- Microsoft Intune 管理センターにサインインします。
- [デバイス]> [デバイスの登録]>[デバイス プラットフォームの制限] の順に選択します。
- 制限するプラットフォームのタブを選択します。
- [制限の作成] を選択します。
- [ 基本 ] ページで、制限の名前を指定し、必要に応じて説明 >[次へ] を指定します。
- [プラットフォームの設定] ページの [個人所有のデバイス] フィールドで、[次へブロック>] を選択します。
- 必要に応じて、[ スコープ タグ ] ページでスコープ タグ >[次へ] を追加します。
- [割り当て] ページで、[グループの追加] を選択し、検索ボックスを使用して、制限 > [次へ] を適用するグループを検索して選択します。
- [確認と作成] ページで、[Create] を選択して制限を保存します。
詳細については、「デバイスの上限数のプラットフォームを作成する」を参照してください
オプションの構成
✅ オプションのテナント構成を構成する
- organization ポリシーに従ってブランド化をカスタマイズします。 詳細については、「Intune ポータル サイト アプリ、ポータル サイト Web サイト、Intune アプリを構成する方法」を参照してください。
- organizationポリシーに従って使用条件をCreateします。 詳細については、「 ユーザー アクセスの使用条件」を参照してください。
Windows 登録を構成する
✅ Windows デバイスを登録できるユーザーを構成する
- Microsoft Intune 管理センターにサインインします。
- [デバイス]> [デバイスの>登録] [自動登録] の順に選択します。
- MDM ユーザー スコープを [すべて] または [一部] に設定し、特定のユーザーに登録を制限する場合はグループを選択します。
重要
デバイスの登録にプロビジョニング pacakges を使用する場合は、MDM ユーザー スコープを [すべて] に設定する必要があります。
- MAM ユーザー スコープを [なし] に設定します。
- [保存] を選択します。
詳細については、「 Windows の自動登録を有効にする」を参照してください。
Windows Hello for Businessを無効にする
✅ 通常、学生がアクセスできない機能を無効にする
Windows Hello for Businessは、ユーザーが PIN、パスワード、または指紋を使用してデバイスにサインインできる生体認証機能です。 Windows Hello for Businessは Windows デバイスで既定で有効になっており、設定するには、ユーザーが多要素認証 (MFA) を実行する必要があります。 その結果、この機能は、MFA を有効にしていない学生には適していない可能性があります。
Windows Hello for Businessがテナント レベルで無効になるのは一般的です。 その後、ポリシーを必要とするユーザーまたはデバイスでポリシーを削除できます。 たとえば、スタッフや教師などです。
テナント レベルでWindows Hello for Businessを無効にするには:
- Microsoft Intune 管理センターにサインインします。
- [デバイス>] [Windows Windows> 登録] の順に選択します。
- [Windows Hello for Business] を選択します。
- [Windows Hello for Businessの構成] が [無効] に設定されていることを確認します。
- [保存] を選択します。
特定のデバイスでWindows Hello for Businessを有効にする方法の詳細については、「Windows Hello for Business ポリシーのCreate」を参照してください。
データ収集ポリシー Intune構成する
✅ エンドポイント分析を構成する
Intuneには、Windows デバイス上の Endpoint Analytics のデータを収集するためのアクセス許可が必要です。
データ収集を有効にするには:
- Microsoft Intune 管理センターにサインインします。
- [レポートエンドポイント分析設定>] を選択します>。
- [Intune データ収集ポリシー] で、[データ収集ポリシー Intune選択します。
- [プロパティ] をクリックします。
- [ 構成設定 ] で[編集] を選択 します。
- [正常性の監視] を [有効] に設定します。
- [ スコープ] を選択し、[ エンドポイント分析] をオンにします。
- [確認と保存] を選択します。
- [保存] を選択します。
データ収集の詳細については、「 エンドポイント分析データ収集」を参照してください。
Windows データを構成する
✅ テナントの Windows データ設定を構成する
Intuneには、Windows デバイス上の Windows 更新プログラム レポートの特定のデータを収集するためのアクセス許可が必要です。
- Microsoft Intune 管理センターにサインインします。
- [テナント管理>] [コネクタとトークン] [Windows データ] の順に選択します>
- [ Windows データ ] で [オン] を選択します。
- [Windows ライセンス検証] セクションを確認し、ライセンスに従って構成します。
- [保存] をクリックします。
詳細については、「Intuneによる Windows 診断データの使用を有効にする」を参照してください。
Windows デバイス 診断を構成する
✅ 診断情報のリモート取得を許可する
- Microsoft Intune 管理センターにサインインします。
- [テナント管理>] [デバイス 診断] の順に選択します。
- 要件に従って設定を構成します。
この表では、顧客が最も一般的に設定する設定を示しますが、学校のニーズに合わせてカスタマイズできます。
| 設定 | 一般的な構成 |
|---|---|
| デバイス 診断は、Windows 10、バージョン 1909 以降、またはWindows 11を実行している企業が管理するデバイスで使用できます。 診断には、ユーザーやデバイス名などのユーザーを特定できる情報が含まれる場合があります。 | Enabled |
| Windows 10 バージョン 1909 以降で Autopilot プロセス中にデバイスで障害が発生した場合に診断を自動的にキャプチャし、Windows 11します。 診断には、ユーザーやデバイス名などのユーザーを特定できる情報が含まれる場合があります。 | Enabled |
詳細については、「Windows デバイスから診断を収集する」を参照してください。
(省略可能)[登録の状態] ページを構成する
Windows Autopilot を使用して Windows デバイスをIntuneに登録する場合は、[登録状態] ページを有効にすることを検討してください。
登録状態ページ (ESP) には、Windows デバイスを登録して初めてサインインするユーザーへのプロビジョニング状態が表示されます。 必要なすべてのポリシーとアプリケーションがインストールされるまで、デバイスの使用をブロックするように ESP を構成できます。 デバイス ユーザーは ESP を調べて、セットアップ プロセスにおけるデバイスの距離を追跡できます。
追加情報 :
この表では、顧客が最も一般的に設定する設定を示しますが、学校のニーズに合わせてカスタマイズできます。
| ブレード | 構成グループ | 設定 | 値 |
|---|---|---|---|
| Windows の登録 | [全般]\[登録の状態] ページ | Default\Show app and profile configuration progress | はい |
| Windows の登録 | [全般]\[登録の状態] ページ | Default\インストールに指定した分数より長い時間がかかる場合にエラーを表示する | 120 |
| Windows の登録 | [全般]\[登録の状態] ページ | Default\Show custom message when time limit or error occurs | はい |
| Windows の登録 | [全般]\[登録の状態] ページ | Default\エンド ユーザーのログ収集と診断 ページを有効にする | はい |
| Windows の登録 | [全般]\[登録の状態] ページ | Default\Only show page to devices provisioned by out-of-box experience (OOBE) | はい |
| Windows の登録 | [全般]\[登録の状態] ページ | [登録状態] ページ\既定\必要なアプリがユーザー/デバイスに割り当てられている場合にインストールされるまでデバイスの使用をブロックする | [すべて] または [選択済み] で、必要最小限のアプリが必要です。 たとえば、Microsoft 365 アプリや Web コンテンツフィルターソフト |
Apple MDM 証明書を設定する
Apple MDM 証明書を設定するには、「 Apple MDM プッシュ証明書を取得する」を参照してください。
重要
Apple MDM 証明書は毎年更新する必要があります。 予定表にメモを書き留めて、証明書を追加した後から 1 年足りの間に証明書を更新します。 有効期限はいつでもコンソールで表示できます。
ボリューム購入プログラムの構成 (VPP)
Apple VPP を設定するには、「Microsoft Intuneを使用して Apple Business Manager を使用して購入した iOS アプリと macOS アプリを管理する方法」を参照してください。
重要
Apple VPP トークンは毎年更新する必要があります。 予定表にメモを付けて、トークンを追加した後から 1 年足りた後にトークンを更新します。 有効期限はいつでもコンソールで表示できます。
自動デバイス登録の構成 (ADE)
Apple School Manager を統合し、自動デバイス登録を使用する場合は、次の手順に従います。
Apple MDM 証明書を設定するには、「Intuneで自動デバイス登録を設定する」を参照してください。
重要
Apple ADE トークンは毎年更新する必要があります。 予定表にメモを付けて、トークンを追加した後から 1 年足りた後にトークンを更新します。 有効期限はいつでもコンソールで表示できます。
次の手順
Intune サービスを構成すると、学生と教師のデバイスの展開に備えてポリシーとアプリケーションを構成できます。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示