Microsoft Intune でデバイス プロファイルを使用してデバイスに機能と設定を適用する

  • [アーティクル]

Microsoft Intune には、組織内のさまざまなデバイスで有効または無効にできる設定と機能が含まれています。 これらの設定と機能は 、構成プロファイルに追加されます。

構成プロファイルを使用してデバイス機能を構成すると、エンド ユーザーのデバイスでの生産性を向上させることができます。

Android、iOS/iPadOS、macOS、Windows など、さまざまなデバイスとさまざまなプラットフォームのプロファイルを作成できます。 各プラットフォームに固有の構成設定がいくつかあります。 また、ウイルス対策設定からカスタム設定まで、プラットフォームごとに多くのデバイス プロファイルを持つことも一般的です。

プロファイルの準備ができたら、Intuneを使用して、ユーザー グループまたはデバイス グループにプロファイルを適用または "割り当てる" を行います。

Important

Microsoft Intune は、Google Mobile Services (GMS) にアクセスできるデバイスでの Android デバイス管理者管理のサポートを 2024 年 8 月 30 日に終了します。 その日以降、デバイスの登録、テクニカル サポート、バグ修正、セキュリティ修正は利用できなくなります。 現在デバイス管理者管理を使用している場合は、サポートが終了する前に、Intune で別の Android 管理オプションに切り替えることを推奨します。 詳細については、「GMS デバイスでの Android デバイス管理者のサポートの終了」を参照してください。

モバイル デバイス管理 (MDM) ソリューションの一部として、これらの構成プロファイルを使用してさまざまなタスクを実行します。 以下にプロファイルの例をいくつか示します。

  • デバイス上の Bluetooth へのアクセスを許可または禁止します。
  • さまざまなデバイスに企業ネットワークへのアクセスを提供する WiFi または VPN プロファイルを作成します。
  • インストールのタイミングを含め、ソフトウェア更新プログラムを管理します。
  • 1 つのアプリ、または多くのアプリを実行できる専用のキオスク デバイスとして、Android デバイスを実行します。
  • iOS/iPadOS および macOS デバイスでは、ユーザーが組織内の AirPrint プリンターを使用できるようにします。

ヒント

Microsoft Configuration Managerを使用してオンプレミスデバイスを管理する場合は、共同管理を使用してオンプレミスデバイスをクラウド接続できます。 共同管理では、Configuration ManagerとMicrosoft Intuneを使用して Windows クライアント デバイスを管理します。

現在Configuration Managerにあるポリシーに基づいて、Intuneで必要なデバイス プロファイルとポリシーを作成できます。 共同管理の詳細については、「Microsoft Configuration Managerを使用した共同管理について」を参照してください。 関連情報については、「共同管理のために Intune を準備する」を参照してください。

テンプレートまたは設定カタログを使用する

Intune、ほとんどのプラットフォームでは、デバイス構成プロファイルを作成するときに、テンプレート設定カタログの 2 つのポリシーの種類があります。

設定カタログには、構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。 テンプレートには、電子メール、キオスク デバイス、デバイス ファームウェアなどの機能または概念を構成する設定の論理的なグループが含まれます。

Intuneには、リソースへのアクセス (VPN、Wi-Fi)、セキュリティ (ウイルス対策、ファイアウォール、証明書)、グループ ポリシー オブジェクト (ADMX 管理テンプレート) など、デバイス管理のさまざまな部分に焦点を当てた設定グループを含む多くのテンプレートがあります。

すべてのデバイスに必要なプロファイルのベースラインを作成することも、organizationのニーズとセキュリティ レベルに基づいて特定の機能を構成することもできます。 詳細については、「Microsoft Intuneの保護と構成のレベル」を参照してください。

この記事では、作成できるさまざまな種類のプロファイルの概要を示します。 これらのプロファイルを使用して、デバイスで一部の機能を許可または禁止します。

管理用テンプレートとグループ ポリシー

管理用テンプレートには、インターネット エクスプローラー、Microsoft Edge、OneDrive、リモート デスクトップ、Word、Excel、その他の Office アプリ用に構成できる数百の設定が含まれています。 これらのテンプレートには、管理者にグループ ポリシーと同様の設定の簡易ビューが用意されています。これらは 100% クラウドベースです。

グループ ポリシー分析では、オンプレミスの GPO が分析されます。 これは、GPO がクラウドでどのように翻訳されるかを判断するのに役立つツールです。 出力には、非推奨の設定と、MDM プロバイダーが使用できる (または使用できない) 設定 (Microsoft Intuneを含む) が表示されます。

この機能では以下をサポートします。

  • Windows 11
  • Windows 10

証明書

Intuneの証明書を使用してユーザーを認証し、VPN、Wi-Fi、または電子メール プロファイルを介してアプリケーションや企業リソースにアクセスできるようにします。 証明書を使用してこれらの接続を認証する場合、エンド ユーザーはユーザー名とパスワードを入力する必要はありません。

証明書は、S/MIME を使用した電子メールの署名と暗号化にも使用されます。 Intune で使用される一般的な種類の証明書には、信頼されたルート証明書、Simple Certificate Enrollment Protocol (SCEP) 証明書、公開キー暗号化標準 (PKCS) 証明書が含まれます。

この機能では以下をサポートします。

  • Android デバイス管理者
  • Android (AOSP)
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 11
  • Windows 10
  • Windows 8.1

カスタムのプロファイル

管理者はカスタム設定を使用して、Intune に組み込まれていないデバイス設定を割り当てることができます。 Android デバイスでは、OMA-URI 値を入力できます。 iOS/iPadOS デバイスの場合は、Apple Configurator で作成した構成ファイルをインポートできます。

この機能では以下をサポートします。

  • Android デバイス管理者
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 11
  • Windows 10

配信の最適化

配信の最適化では、ソフトウェア更新プログラムの配信に関するエクスペリエンスを向上させることができます。 これらの設定は、[ソフトウェア更新プログラム]>[Windows 10 更新プログラムのリング] 設定に置き換わるものです。

これらの設定は、ソフトウェア更新プログラムを組織内のデバイスにダウンロードする方法を制御するために使用します。 たとえば、デバイス プロファイル内で、ユーザーが自分で更新プログラムを取得できるように設定することも、配信の最適化クラウド サービスを通じて更新プログラムを取得できるように設定することもできます。

この機能では以下をサポートします。

  • Windows 11
  • Windows 10

派生資格情報

organizationが認証、署名、または暗号化にスマート カードを使用する場合は、派生資格情報を使用できます。 Intuneでは、ユーザーのスマート カードから派生した証明書を構成してデプロイできます。 派生資格情報は、Wi-Fi & VPN 接続、アプリ & 電子メール認証、または S/MIME 署名 & 暗号化に一般的に使用されます。

Intuneでは、いくつかの派生資格情報発行者がサポートされています。 各プラットフォームには、独自の設定セットもあります。

この機能では以下をサポートします。

  • Android Enterprise
  • iOS/iPadOS

デバイスの機能

デバイスの機能では、AirPrint、通知、ロック画面メッセージなど、iOS/iPadOS および macOS デバイスの機能を制御します。

この機能では以下をサポートします。

  • iOS/iPadOS
  • macOS

BIOS 構成と DFCI

BIOS 構成を使用すると、管理者は BIOS へのアクセスをパスワードで保護し、必要な BIOS 設定で OEM ツールを使用して構成ファイルを作成できます。 次に、この構成ファイルを Intune ポリシーに追加します。

デバイス ファームウェア構成インターフェイス (DFCI) を使用すると、管理者は Intune を使用して UEFI (BIOS) の設定を有効または無効にすることができます。 これらの設定を使用して、ファームウェア レベルでセキュリティを強化します。通常は、悪意のある攻撃に対する回復力が高くなります。

この機能では以下をサポートします。

  • Windows 11
  • Windows 10

デバイスの制限

デバイスの制限は、セキュリティ、ハードウェア、データの共有など、デバイス上の設定を制御します。 たとえば、iOS/iPadOS デバイス ユーザーにデバイスのカメラの使用を禁じるデバイスの制限プロファイルを作成できます。

また、アプリ ストアへのアクセスを管理したり、管理されていないアプリで会社のドキュメントを表示できないようにユーザーを制限したり、デバイスのロックを解除するためのパスワードを要求したり、特定の Wi-Fi ネットワークのみを使用するようにデバイスに要求したりする設定もあります。

この機能では以下をサポートします。

  • Android デバイス管理者
  • Android (AOSP)
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 11
  • Windows 10
  • Windows 10 Team

ドメイン参加

ドメイン参加では、オンプレミスの Active Directory ドメインの情報が構成されます。 この情報は、Windows Autopilot とIntuneを使用してプロビジョニングされるときに、ハイブリッド参加済みデバイスMicrosoft Entraに展開されます。 このプロファイルでは、参加するドメインと OU がデバイスに通知されます。

この機能では以下をサポートします。

  • Windows 11
  • Windows 10

エディションのアップグレードとモードの切り替え

Windows 10/11エディションのアップグレードでは、一部のバージョンのクライアントを実行するデバイスがWindows新しいエディションに自動的にアップグレードされます。

この機能では以下をサポートします。

  • Windows 11
  • Windows 10

教育

教育設定 - Windows 10 では、Windows テスト アプリのオプションを構成します。 これらのオプションを構成すると、テストが完了するまで他のアプリはデバイス上で実行できません。

教育設定 - iOS/iPadOS では、iOS/iPadOS Classroom アプリを使用し、教室で学習を指導し、生徒のデバイスを操作します。 多数の学生が 1 台のデバイスを共有できるように iPad デバイスを構成できます。

メール

電子メールの設定では、デバイス上の Exchange ActiveSync 電子メール設定の作成、割り当て、監視を行います。 電子メール プロファイルにより、一貫性の確保とサポート負荷の軽減が可能になり、エンド ユーザーは自分では何の設定もせずに個人デバイスで会社の電子メールにアクセスできるようになります。

この機能では以下をサポートします。

  • Android デバイス管理者
  • Android Enterprise
  • iOS/iPadOS
  • Windows 11
  • Windows 10

Endpoint Protection

エンドポイント保護は、クライアント デバイスに対して BitLocker と Microsoft Defender Windows構成します。 macOS デバイス上では、ファイアウォール、ゲートウェイ、その他のリソースを構成することもできます。

Microsoft Defender for Endpoint と Microsoft Intune をオンボードするには、モバイル デバイス管理ツール (MDM) を使用したエンドポイントの構成に関するページを参照してください。

この機能では以下をサポートします。

  • macOS
  • Windows 11
  • Windows 10

eSIM 携帯ネットワーク

管理者は eSIM 携帯電話プロファイルを使用して、インターネットおよびデータ アクセスに関する、マネージド デバイスの携帯データ通信プランを構成できます。 携帯電話会社からアクティブ化コードを取得した後、Intune を使用して、このアクティブ化コードをインポートし、eSIM 対応デバイスに割り当てます。

この機能では以下をサポートします。

  • Windows 11
  • Windows 10 Fall Creators Update 以降

拡張機能

macOS のシステム拡張機能とカーネル拡張機能を使用することで、管理者はオペレーティング システムのネイティブ機能を拡張する機能やプログラムを追加できます。 これらの設定を、特定の開発者またはパートナーからのすべての拡張機能を信頼するように構成するか、あるいは特定の拡張機能を許可するように構成します。

この機能では以下をサポートします。

  • macOS

Identity Protection

Identity Protection は、Windows クライアント デバイスでのWindows Hello for Businessエクスペリエンスを制御します。 これらの設定を構成してユーザーとデバイスが Windows Hello for Business を利用できるようにし、デバイスの PIN とジェスチャーの要件を指定します。

この機能では以下をサポートします。

  • Windows 11
  • Windows 10
  • Windows Holographic for Business

キオスク

キオスク設定プロファイルでは、1 つのアプリを実行するようにデバイスを構成することも、多数のアプリを実行するようにデバイスを構成することもできます。 スタート メニューや Web ブラウザーなどを含むキオスクのその他の機能をカスタマイズすることもできます。

この機能では以下をサポートします。

  • Windows 11 (シングル アプリ キオスクのみ)
  • Windows 10

キオスク設定は、AndroidAndroid エンタープライズ、および iOS/iPadOS 用のデバイス制限としても使用できます。

MX プロファイル (Zebra)

モビリティ拡張機能 (MX) は、Zebra デバイスに固有の設定をカスタマイズしたり、追加したりする目的で、組み込みの Intune 設定で拡張されます。 Zebra デバイスは通常、工場の生産現場や小売環境で使用されます。 Zebra デバイスが大量にある場合、Intune を利用し、デバイスを構成し、管理できます。

この機能では以下をサポートします。

  • Android デバイス管理者

Microsoft Defender for Endpoint

Microsoft Defender for Endpoint は、デバイスを監視し、保護できるように Intune と統合されています。 リスク レベルを設定し、デバイスがそのレベルを超えた場合の動作を決定します。 条件付きアクセスと組み合わせると、組織内の悪意のあるアクティビティを防ぐことができます。

この機能では以下をサポートします。

  • Windows 11
  • Windows 10

ネットワーク境界

ネットワーク境界は、organizationが信頼するサイトの一覧を作成します。 この機能は、デバイスを保護するために Microsoft Defender Application Guard と Microsoft Edge と共に使用されます。

この機能では以下をサポートします。

  • Windows 11
  • Windows 10

OEMConfig

Android Enterprise デバイスでは、OEMConfig が標準です。 そのため、OEM (相手先ブランド供給) および EMM (エンタープライズ モビリティ管理) により、標準化された方法で OEM 固有の機能を構築およびサポートできます。

OEMConfig を使用して、OEM で固有の管理機能を定義するスキーマを作成し、それを Google Play にアップロードされるアプリに埋め込みます。 Intune でアプリからスキーマが読み取られ、Intune 管理者がスキーマの設定を構成できます。

この機能では以下をサポートします。

  • Android Enterprise (OEMConfig)

設定ファイル

macOS デバイスの設定ファイルには、アプリに関する情報が含まれます。 たとえば、設定ファイルを使用して、Web ブラウザーの設定の制御、アプリのカスタマイズなどを行うことができます。

この機能では以下をサポートします。

  • macOS

ヒント

macOS 設定は、設定カタログに継続的に追加されています。 これらの設定の一部では、基本設定ファイルを置き換えることができます。 詳細については、「Intune の設定カタログを使用して完了できるタスク」 を参照してください。

設定カタログ

設定カタログには、構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。 これはテンプレートでも、設定の論理的なグループでもありません。 設定カタログは、オンプレミス グループ ポリシー オブジェクト (GPO) の構成に似ていますが、クラウドネイティブです。

Windows 上では、テンプレートにない多くの設定を含め、何千もの設定を使用できます。 すべての設定を網羅した一覧が必要な場合は、設定カタログを使用してポリシーを作成します。 設定の論理グループを使用する場合は、引き続きテンプレートを使用します。

Intune設定カタログを使用して完了できるタスクは、適切なリソースです。

この機能では以下をサポートします。

  • iOS/iPadOS
  • macOS
  • Windows 11
  • Windows 10

共有マルチユーザー デバイス

Windows 10/11および Windows Holographic for Businessには、複数のユーザーを持つデバイスを管理するための設定が含まれています。 このようなデバイスは、共有デバイスまたは共有 PC と呼ばれます。 ユーザーがデバイスにサインインするときに、そのユーザーがスリープ オプションを変更できるようにするか、デバイス上にファイルを保存できるようにするかを選択します。 また、領域を節約するために、Windows HoloLens デバイスから非アクティブな資格情報を削除するプロファイルを作成することもできます。

これらの共有のマルチ ユーザー デバイス設定では、管理者はデバイスの一部の機能を制御し、Intune を使用してその共有デバイスを管理することができます。

この機能では以下をサポートします。

  • Windows 11
  • Windows 10
  • Windows Holographic for Business

シェル スクリプト

Linux デバイスでは、既存の Bash スクリプトを追加して、 これらのデバイスの設定と機能をカスタマイズできます。 この概念は、カスタム デバイス構成プロファイルを作成し、デバイスにポリシーを展開することに似ています。 Linux では、既存の Bash スクリプトを使用して、Intuneに組み込まれていない機能と設定を構成しています。

macOS デバイスでは、既存の シェル スクリプトを追加し、これらのスクリプトを macOS デバイスにデプロイできます。

Windows デバイスでは、Intune管理拡張機能を使用して、Intuneで PowerShell スクリプトをアップロードし、デバイスでこれらのスクリプトを実行できます。 この拡張機能を使用するために必要なもの、それらを Intune に追加する方法、およびその他の重要な情報も確認してください。

この機能では以下をサポートします。

  • Linux
  • macOS
  • Windows 11
  • Windows 10

更新ポリシー

iOS/iPadOS 更新ポリシーには、iOS/iPadOS デバイスにソフトウェア更新プログラムをインストールするための iOS/iPadOS ポリシーを作成し、割り当てる方法が示されます。 インストールの状況を確認することもできます。

Windows デバイスの更新プログラム ポリシーについては、配信の最適化に関するページを参照してください。

この機能では以下をサポートします。

  • iOS/iPadOS

VPN

VPN 設定は、VPN プロファイルを組織内のユーザーとデバイスに割り当て、社内ネットワークに簡単かつ安全に接続できるようにします。

仮想プライベート ネットワーク (VPN) により、ユーザーは会社のネットワークに安全にリモート アクセスできます。 デバイスは VPN 接続プロファイルを使用して VPN サーバーとの接続を開始します。

この機能では以下をサポートします。

  • Android デバイス管理者
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 11
  • Windows 10
  • Windows 8.1

Wi-Fi

Wi-Fi 設定は、ユーザーとデバイスにワイヤレス ネットワーク設定を割り当てます。 Wi-Fi プロファイルを割り当てると、ユーザーは自分でプロファイルを構成することなく、会社の Wi-Fi にアクセスできます。

この機能では以下をサポートします。

  • Android デバイス管理者
  • Android (AOSP)
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 11
  • Windows 10
  • Windows 8.1 (インポートのみ)

Windows 正常性の監視

Windows 正常性監視 を使用すると、Endpoint Analytics がイベント データを収集して分析できます。 このデータを使用して、ソフトウェア更新プログラムやスタートアップ パフォーマンスなど、Windows デバイスに関する分析情報を得ることができます。

この機能では以下をサポートします。

  • Windows 11
  • Windows 10

有線ネットワーク

有線ネットワークでは、macOS と Windows のデスクトップ コンピューターやデバイスに 802.1x の有線接続を作成し、管理できます。 自分のプロファイルでネットワーク インターフェイスを選択し、承認された EAP タイプを選択し、PKCS 証明書や SCEP 証明書など、サーバー信頼設定を入力します。

プロファイルを割り当てると、ユーザーは自分でプロファイルを構成することなく、会社の有線ネットワークにアクセスできます。

この機能では以下をサポートします。

  • macOS
  • Windows 11
  • Windows 10

Zebra モビリティ拡張 (MX)

管理者は Zebra モビリティ拡張 (MX) を使用して、Intune で Zebra デバイスを使用および管理できます。 設定で StageNow プロファイルを作成してから、Intune を使用して Zebra デバイスにこれらのプロファイルを割り当ておよび展開することができます。 StageNow ログと一般的な問題に関する説明は、プロファイルのトラブルシューティング用の優れたリソースなので、StageNow を使用する際にはいくつかの潜在的な問題を参照してください。

この機能では以下をサポートします。

  • Android デバイス管理者 (モビリティ拡張機能)

管理とトラブルシューティング

プロファイルの管理に関する説明では、デバイスの状態や割り当てられているプロファイルの確認方法を説明しています。 競合を起こした設定と、これらの設定を含むプロファイルを確認することによって、競合も解決できます。

ポリシーとプロファイルに関する一般的な質問と動作は、 管理者がプロファイルを操作するのに役立ちます。 プロファイルを削除した場合の動作や、デバイスに通知が送信される原因などについて説明しています。

次の手順

プロファイルを選択し、作業を開始します。