Microsoft Intuneは、サインインする ID、サインイン元のデバイス、作業を完了するために使用するアプリの 3 つの柱の周りに構築されています。 Intuneは、Microsoft Entra IDの上にこれらの柱を調整し、デバイスとアプリの姿勢をMicrosoft Entra条件付きアクセスに戻し、企業リソースへのアクセスをゲートします。
Intuneの機能と理由の概要については、「Microsoft Intuneとは」を参照してください。 コンポーネント、統合、デプロイ ビューについては、「Microsoft Intune アーキテクチャ」を参照してください。
3 つの柱
| 柱 | Intuneの機能 | Intuneが依存するもの |
|---|---|---|
| Id | ユーザーとグループにポリシーをターゲットにし、ロールベースのアクセス制御 (RBAC) を使用して管理者アクセスのスコープを設定し、登録時にユーザー アフィニティを作成します。 | アカウント、グループ、認証、条件付きアクセスのMicrosoft Entra ID。 |
| デバイス | organizationの作業を実行するハードウェアを登録、構成、保護、廃止します。 条件付きアクセスのコンプライアンス状態を報告します。 | プラットフォーム登録プログラム (Windows Autopilot、Apple Automated Device Enrollment、Android Enterprise)。 |
| アプリ | 登録済みデバイスと個人用デバイスで、ユーザーが必要なアプリをデプロイ、構成、保護、更新します。 | アプリ ストアとベンダー カタログ (Microsoft Store、App Store、マネージド Google Play、Apple Business)。 |
この記事の残りの部分では、各柱について説明し、3 つすべてのシングル サインインをトレースする実際の例で終わります。
ID
Intuneはユーザー ID を格納しません。 アカウント、グループ、認証、条件付きアクセスにMicrosoft Entra IDを使用します。 Intune内では、ID は 3 つの場所に表示されます。
登録時のユーザー アフィニティ
ユーザーが初めてデバイスにサインインすると、デバイスはそのユーザーに関連付けられます。 この関連付けは 、ユーザー アフィニティと呼ばれます。 ユーザーに割り当てられたポリシーは、関連付けられているすべてのデバイスにわたってポリシーに従い、ユーザーはそれらのデバイスからメール、ファイル、アプリにアクセスできます。
ユーザーがデバイスに関連付けられていない場合、デバイスは ユーザーレスになります。 このパターンは、1 つのタスク専用のキオスクと、複数のユーザーが使用する共有デバイスに対して一般的です。
適切な登録方法を選択できるように、登録前にデバイスの目的を決定します。 プラットフォーム固有のガイダンスについては、「Microsoft Intuneでのデバイス登録」を参照してください。
管理者向けのロールベースのアクセス
Intuneでは、ロールベースのアクセス制御 (RBAC) を使用して、各管理者が管理センターで表示および実行できる操作を決定します。 Application Manager や Policy、Profile Manager などの組み込みのロールは、特定のエンドポイント管理タスクに対するスコープアクセス許可です。 IntuneはMicrosoft Entra IDを使用するため、組み込みのMicrosoft Entraロール (管理者Intune含む) も使用できます。
RBAC と スコープ タグ を組み合わせて、管理者ができることだけでなく、表示できる内容を絞り込みます。 たとえば、リージョンのヘルプ デスクに、デバイスのワイプを許可する役割を与えますが、タグを付けて、リージョン内のデバイスのみを表示およびワイプできるようにします。
詳細については、「Microsoft Intuneを使用したロールベースのアクセス制御」および「スコープ タグを使用してポリシーをフィルター処理する」を参照してください。
ポリシーと割り当てのターゲット設定
Intuneはクラウドベースであり、ユーザーまたはグループに直接ポリシーを対象とします。 組織単位のようなコンテナーの階層はありません。 ポリシーを作成し、1 つ以上のMicrosoft Entra グループに割り当てます。
ポリシーの対象は次のとおりです。
- ユーザー グループ。設定がデバイス全体でユーザーに従う必要がある場合。 たとえば、メール プロファイルやアプリのデプロイなどです。
- デバイス グループ。サインインしているユーザーに関係なく設定を適用する必要がある場合 (キオスク構成や現場担当者ポリシーなど)。
- 設定がテナント全体に適用される場合の組み込み仮想グループ (すべてのユーザー、すべてのデバイス)。
詳細については、「グループを追加してユーザーとデバイスを整理する」と「Microsoft Intuneでデバイス プロファイルを割り当てる」を参照してください。
デバイス
Intuneは、Android、iOS、iPadOS、Linux、macOS、tvOS、visionOS、Windows でorganizationが依存しているデスクトップ、ノート PC、タブレット、電話を管理およびセキュリティで保護します。 サポートされている OS の完全なマトリックスについては、「 サポートされているオペレーティング システムとブラウザー」を参照してください。
デバイスのライフサイクル
すべてのマネージド デバイスは 4 つのステージを通過し、すべて同じ管理センターで処理されます。
- 登録: デバイスを管理下に持ち込みます。 組織所有のハードウェアでは、通常、Windows Autopilot、Apple 自動デバイス登録、または Android Enterprise を介した自動登録が使用されます。 個人用デバイスは、ポータル サイト アプリを使用して登録します。
- 構成: Wi-Fi、VPN、証明書、電子メール、デバイス機能、プラットフォーム固有のオプションの設定を適用します。 設定カタログでは、何千ものプラットフォーム設定が公開されています。
- 保護: コンプライアンス 規則の適用、ディスクの暗号化、セキュリティ ベースラインのデプロイ、モバイル脅威防御との統合。 コンプライアンス状態フィードMicrosoft Entra条件付きアクセス。
- 廃止: デバイスが紛失、交換、不要になった場合、リモート アクションを使用すると、データorganizationワイプしたり、デバイスを出荷時にリセットしたり、登録を解除したりできます。
MDM と MAM
Intuneでは、2 つの管理モードがサポートされています。 これらを個別に使用することも、一緒に使用することもできます。
- モバイル デバイス管理 (MDM) により、デバイス全体が設定、アプリ、データIntune制御されます。 MDM は、organization所有ハードウェアに対して一般的です。
- モバイル アプリケーション管理 (MAM) は 、作業アプリとその内部のデータのみを管理します。 ユーザーは、デバイスの残りの部分を制御します。 MAM は、独自のデバイス持ち込み (BYOD) シナリオに一般的です。
同じデバイス上の 2 つを組み合わせることができます。 たとえば、登録済みの企業電話 (MDM) では、特に機密データを処理するアプリに対してアプリ保護ポリシー (MAM) を設定することもできます。
詳細については、「Microsoft Intuneでのデバイス登録」および「アプリ保護 ポリシーの概要」を参照してください。
組織所有のデバイスと個人用デバイス
ほとんどの組織は、所有しているハードウェアと従業員が仕事に使用する個人のデバイスという 2 つのデバイス集団を管理しています。 Intuneでは、コントロールが異なる両方をサポートしています。
- 組織所有のデバイスは MDM に登録する必要があります。 ユーザーがこれらのデバイスを自分で管理することに依存しないでください。
- 個人デバイス は、ユーザーが組織のリソースへのフル アクセスを必要とする場合に MDM 登録することも、Outlook、Teams、およびその他のマネージド アプリ内のデータを保護する MAM ポリシーのみを使用することもできます。
デバイス グループ
デバイス グループは、デバイスのみを含むMicrosoft Entra グループです。 キオスク、共有 PC、現場担当者デバイス、特殊なハードウェアなど、サインインしているユーザーに関係なく設定を適用する必要がある場合に便利です。
メンバーシップは 静的 または 動的にすることができます。
- 静的グループでは 、デバイスを手動で追加および削除する必要があります。 これらは、小規模で安定したデバイス セットに役立ちます。
- 動的グループは 、定義した条件に基づいてデバイスを自動的に追加および削除します。 これらは、デバイスの大規模で変化するフリートに役立ちます
アプリ
Intuneでは、サポートされているすべてのプラットフォームでアプリのライフサイクル全体 (デプロイ、構成、保護、更新) について説明します。
アプリ ライフサイクル
- パブリック ストア、ベンダー カタログ、独自の基幹業務 (LOB) パッケージ、または管理センターの組み込みエントリからアプリを展開します。
- アプリ構成ポリシーを使用して、ユーザーがアプリを開く前にアプリを構成します。 アプリの言語の設定、organizationのロゴの追加、個人アカウントのブロックなど。
- アプリ保護ポリシーを使用してアプリ内のデータを保護します。 PIN を要求し、個人用アプリへのコピー貼り付けをブロックし、個人用クラウド サービスへのバックアップを防止し、保存データを暗号化し、organizationデータを選択的にワイプします。
- 新しいバージョンが利用可能になると、アプリを自動的に更新します。 Windows 上の Microsoft 365 アプリ、Microsoft Edge、Microsoft Teamsの場合は、Windows Autopatch に更新プログラムを渡すことができます。
登録なしのアプリ保護 (MAM-WE)
アプリ保護 ポリシーには MDM 登録は必要ありません。 これらは、次の 3 つのデバイス集団で動作します。
- MDM (BYOD) に登録されていない個人用デバイス。
- 別の MDM プロバイダーに登録されているデバイス: Intuneは、マネージド アプリ内のデータを保護できます。
- Intune登録されたデバイス。MDM を超える追加レイヤーが必要なアプリ用です。
詳細については、「アプリ保護 ポリシーの概要」を参照してください。
プラットフォーム別アプリ
Intuneでは、Android、iOS、iPadOS、macOS、および Windows 全体で、パブリック ストア アプリ、基幹業務 (LOB) アプリ、Web アプリ、プラットフォーム固有のアプリの種類がサポートされます。 アプリの種類と場所のプラットフォームごとの内訳については、「Microsoft Intuneでのアプリの追加と更新」を参照してください。
柱の組み合わせ
一般的なアクセスの決定は、次の 3 つの柱すべてに触れます。
- ユーザーがマネージド デバイスにサインインし、ユーザーを認証Microsoft Entra ID。
- デバイスはIntuneでチェックインし、コンプライアンスの状態とインベントリを報告します。
- Intuneは、コンプライアンス状態をMicrosoft Entra IDに転送します。
- ユーザーが企業アプリを開きます。 Microsoft Entra条件付きアクセスは、ユーザー、デバイスのコンプライアンス状態、アプリ、場所、およびMicrosoft Defenderのエンドポイント セキュリティからのシグナルを使用して要求を評価します。
- 条件付きアクセスでは、アクセスを許可またはブロックします。 アクセスが許可され、アプリがマネージド アプリである場合、 アプリ保護ポリシー はアプリ内制御 (PIN、コピー貼り付けの制限、選択的ワイプ) を適用します。
すべてのアクセス決定では、ユーザーの ID、デバイスのコンプライアンス、ユーザーが開いているアプリという 3 つのすべての柱が一緒に実行されます。