この記事では、Microsoft Intune展開のアーキテクチャについて説明します。クラウドとオンプレミスのコンポーネント、および統合する Microsoft およびサード パーティ製品Intune。
Intuneの概要については、「Microsoft Intuneとは」を参照してください。 ID、デバイス、アプリIntune管理する方法の概念チュートリアルについては、「Microsoft Intuneコア概念」を参照してください。
この図では、一般的なIntuneデプロイを 7 つのレベルに整理しています。
- クラウド コントロール プレーン: Microsoft がホストするIntune サービス。
- マネージド エンドポイント: Intune管理するデバイス。
- エンドポイント ファミリ サービス: エンドポイント管理を主な目的とする Microsoft 製品。
- コネクタと拡張機能: クラウドベースの外部サービスIntuneと統合されます。
- ピア統合: Intuneと統合するその他の Microsoft 製品。
- パートナー エコシステム: Intuneと統合されるサード パーティの製品とサービス。
- オンプレミス サービス: Intune クラウドと統合される顧客が運用するインフラストラクチャ。
各層については、次のセクションで説明します。
クラウド コントロール プレーン
クラウド コントロール プレーンは、Intune テナントを構成する Microsoft ホスト型サービスのセットです。 構成を格納し、ポリシーを配信し、プログラム インターフェイスを公開し、管理者とユーザー エクスペリエンスを表示します。
| コンポーネント | 役割 |
|---|---|
| Microsoft Intune サービス | 構成を格納し、ポリシー配信を調整するクラウド コントロール プレーン。 |
| Microsoft Intune 管理センター | 管理者向けの Web コンソール。 |
| Microsoft Graph API | パブリック プログラミング インターフェイス。 すべての管理センターアクションは、Graph API呼び出しによってサポートされます。 |
| Microsoft Intune ポータル サイトアプリと Web サイト | デバイスを登録し、必要なアプリを表示し、コンプライアンスの状態を示すユーザー向けの画面。 |
マネージド エンドポイント
Intuneでは、Android、iOS、iPadOS、Linux、macOS、tvOS、visionOS、Windows の各プラットフォームがサポートされています。 特殊なシナリオには、キオスク、現場のデバイス、プラットフォーム固有の登録パスで管理される堅牢なハードウェアなどがあります。
デバイスは、いくつかのモードで管理されます。
- モバイル デバイス管理 (MDM): organization所有デバイスの一般的なデバイス。Intuneは、デバイス全体を管理します。
- モバイル アプリケーション管理 (MAM): 個人用 (BYOD) デバイスの一般的なデバイス。Intuneは、仕事用アプリとデータのみを管理します。
- organization所有ハードウェアの自動登録: Windows Autopilot、Apple Automated Device Enrollment、Android Enterprise。
サポートされている OS の完全なマトリックスについては、「Intuneでサポートされているオペレーティング システムとブラウザー」を参照してください。
エンドポイント ファミリ サービス
エンドポイント ファミリ サービスは、エンドポイント管理を主な目的とする Microsoft 製品です。 それぞれがエンドポイント ライフサイクルの特定の側面を専門としています。
| サービス | 機能 | いつ使用するか |
|---|---|---|
| Windows Autopilot | ユーザー駆動型、自己展開型 (ゼロタッチ)、事前プロビジョニング、リセットのオプションを備えた、新規および既存の Windows デバイス用のクラウドベースのプロビジョニング | OEM からエンド ユーザーにデバイスを直接出荷するか、既存のデバイスを大規模に再利用する |
| Windows 365 | クラウドでホストされる Windows デスクトップ (クラウド PC) | リモート ワーカー、BYOD、請負業者、規制されたワークロード |
| Windows 自動パッチ | Windows、Microsoft 365 Apps for enterprise、Microsoft Edge、Microsoft Teams、およびデバイス ドライバーとファームウェアのマネージド更新サービス | 手動更新管理の削減 |
| エンドポイントの分析 | デバイスの正常性とパフォーマンスに関するテレメトリと推奨事項 | パフォーマンスの問題を特定し、ヘルプ デスクのボリュームを減らす |
コネクタと拡張機能
コネクタと拡張機能は、統合Intuneクラウドベースの外部サービスです。 オンプレミスのフットプリントはありません。 Intuneインターネット経由で通信します。
| Connector | 役割 |
|---|---|
| Microsoft クラウド PKI | オンプレミスの AD CS、NDES、または証明書コネクタを必要とせずに、Intuneマネージド デバイスの SCEP 証明書を発行、更新、取り消すクラウドホスト型 PKI。 完全にクラウドでホストされる階層、または既存のプライベート ルート (BYOCA) へのアンカーをサポートします。 |
| Apple Business / VPP | Apple アプリ配信のためのトークンベースの統合。 |
| Apple プッシュ通知サービス (APN) | Apple デバイス管理に必要です。 |
| マネージド Google Play | Android Enterprise アプリ カタログ。 |
| Microsoft Store | Windows アプリ用の組み込みカタログ。 |
ピア統合
ピア統合は、Intuneと共に機能する Microsoft 製品です。 彼らは独自の主な目的を持っています。Intuneとの統合は、多くの用途の 1 つです。
| Product | 役割 |
|---|---|
| Microsoft 365 アプリ | Intuneを介してマネージド エンドポイントにデプロイされます。 |
| Microsoft Defenderのエンドポイント セキュリティ | リアルタイムのデバイス リスク信号をIntuneコンプライアンス評価と条件付きアクセスの決定にフィードします。 また、iOS、iPadOS、Android 用のモバイル脅威防御 (MTD) ソースとしても機能します。 |
| Intune の Copilot | Microsoft Intune管理センター内に表示されたMicrosoft Security Copilot機能。 |
| Microsoft Purview | Intuneマネージド デバイス上のデータに適用される秘密度ラベルとエンドポイント データ損失防止 (DLP) ポリシー。 |
パートナー エコシステム
パートナー エコシステムには、文書化された API、コネクタ、または構成パターンを通じてIntuneと統合されるサードパーティ製品とサービスが含まれています。
| カテゴリ | 説明と例 |
|---|---|
| モバイル脅威防御 (MTD) パートナー | デバイス リスクシグナルをIntuneに送るサードパーティサービス。 例: Lookout、Zimperium、Check Point。 Microsoft Defenderのエンドポイント セキュリティも MTD ソースです。ピア統合に関するページを参照してください。 |
| デバイス コンプライアンス パートナー | 割り当てられたユーザー グループの MDM 機関となり、条件付きアクセスのMicrosoft Entra IDにデバイスコンプライアンス状態を報告する Intune Intune以外の MDM。 Android、iOS、iPadOS、macOS でサポートされています。 例: Jamf Pro、Ivanti EPMM、BlackBerry UEM、Omnissa Workspace ONE、Kandji、SOTI MobiControl。 |
| IT サービス管理 (ITSM) パートナー | インシデントと資産の統合。 例: ServiceNow、Jira。 |
| リモート サポート パートナー | リモート 制御と支援。 例: TeamViewer。 |
| デバイス ベンダー ポータル | 特殊なハードウェアのベンダー固有の管理。 例: Surface Management Portal、Lenovo、Intel vPro。 |
| ネットワーク アクセス制御 (NAC) パートナー | ネットワーク層のアクセスの適用。 例: Cisco ISE、Aruba ClearPass。 |
オンプレミス サービス
オンプレミス サービスは、ネットワーク上で実行され、Intune クラウド コントロール プレーンと統合される、顧客が運用するインフラストラクチャです。
| コンポーネント | 役割 |
|---|---|
| Microsoft Tunnel Gateway | iOS、iPadOS、Android Enterprise のデバイスとアプリ用の VPN ゲートウェイ。 Linux上のコンテナーで実行されます。 |
| Certificate Connector for Microsoft Intune | オンプレミスの証明書サービスにIntuneブリッジを使用して、SCEP 証明書と PKCS 証明書を発行し、S/MIME 用の PFX 証明書をインポートし、証明書を取り消します。 |
| Microsoft 構成マネージャー | Windows クライアントとサーバーのIntuneに対するオンプレミス ピア。 共同管理とテナントアタッチを通じてIntuneと統合します。 「 共同管理とテナントのアタッチ」を参照してください。 |
共同管理とテナント アタッチ
Microsoft Configuration Managerは、Windows クライアントとサーバー用のオンプレミス のピア ツー Intuneです。 ネットワーク上のデスクトップ、Windows サーバー、ノート PC を管理するか、クラウド管理ゲートウェイ経由でインターネット経由で接続します。 Configuration ManagerとIntuneは、次の方法で統合されます。
- 共同管理: Configuration ManagerとIntuneの両方で Windows クライアントを管理できます。 ワークロードを自分のペースでクラウドに移動します。
- テナントアタッチ: Configuration Manager管理されたデバイスをIntune管理センターに取り込み、可視性、リモート アクション、クラウドベースのレポート、エンドポイント セキュリティ ポリシー作成 (ウイルス対策、ASR)、CMPivot、PowerShell スクリプト、アプリケーション インストール、統合デバイス タイムライン。
共同管理とテナントアタッチを使用することで、Configuration Managerを既に実行している組織は、環境を再構築せずにIntune機能を追加できます。