Microsoft Intune の新機能

週ごとの Microsoft Intune の新機能について説明します。

次の情報も読むことができます。

• 重要な通知
• 新 着情報アーカイブの過去のリリース
• Intune サービス更新プログラムのリリース方法に関する情報

注:

毎月の更新プログラムのロールアウトには最大 3 日かかる場合があり、次の順序になります。

• 1 日目: アジア太平洋 (APAC)
• 2 日目: ヨーロッパ、中東、アフリカ (EMEA)
• 3 日目: 北米
• 4 日目以降: 政府機関向け Intune

一部の機能は数週間にわたってロールアウトされ、最初の週にすべての顧客が利用できない場合があります。

今後の Intune 機能リリースのリストについては、「Microsoft Intune の開発中の機能」を参照してください。

Windows Autopilot ソリューションの新しい情報については、次を参照してください。

• Windows Autopilot デバイスの準備: 新機能
• Windows Autopilot: 新機能

RSS を使用して、このページが更新されたときに通知を受け取ることができます。 詳細については、「ドキュメントの 使い方」を参照してください。

2025 年 12 月 8 日の週

デバイスの登録

iOS/iPadOS および macOS 登録に対する ACME プロトコルのサポート

Intuneでマネージド デバイス構成証明をサポートする準備を進める中で、自動証明書管理環境 (ACME) プロトコルのサポートを含む新しい登録のインフラストラクチャ変更の段階的なロールアウトを開始します。 新しい Apple デバイスが登録されると、Intuneの管理プロファイルは SCEP 証明書ではなく ACME 証明書を受け取ります。 ACME は、堅牢な検証メカニズムと自動化されたプロセスを通じて、承認されていない証明書の発行に対する SCEP よりも優れた保護を提供します。これにより、証明書管理のエラーを減らすことができます。

既存の OS とハードウェアの対象デバイスは、再登録しない限り ACME 証明書を取得しません。 エンド ユーザーの登録エクスペリエンスに変更はなく、Microsoft Intune管理センターに対する変更もありません。 この変更は登録証明書にのみ影響し、デバイス構成ポリシーには影響しません。

ACME は、Apple Device Enrollment (BYOD)、Apple Configurator 登録、および自動デバイス登録 (ADE) メソッドでサポートされています。 対象となる OS バージョンは次のとおりです。

• iOS 16.0 以降

• iPadOS 16.1 以降

• macOS 13.1 以降

iOS/iPadOS および macOS の自動デバイス登録プロファイルで新しいセットアップ アシスタント画面が一般公開されるようになりました

自動デバイス登録 (ADE) 中に 12 個の新しいセットアップ アシスタント画面を非表示または表示できます。 既定では、これらの画面がセットアップ アシスタントに表示されます。

iOS/iPadOS 登録中にスキップできる画面と、該当するバージョンは次のとおりです。

• App Store (iOS/iPadOS 14.3 以降)
• カメラ ボタン (iOS/iPadOS 18 以降)
• Web コンテンツのフィルター処理 (iOS/iPadOS 18.2 以降)
• 安全性と処理 (iOS/iPadOS 18.4 以降)
• マルチタスク (iOS/iPadOS 26 以降)
• OS Showcase (iOS/iPadOS 26 以降)

macOS 登録中にスキップできる画面は次のとおりです。

• App Store (macOS 11.1 以降)
• 概要 (macOS 15 以降)
• ソフトウェア更新プログラム (macOS 15.4 以降)
• その他のプライバシー設定 (macOS 26 以降)
• OS Showcase (macOS 26.1 以降)
• 更新が完了しました (macOS 26.1 以降)
• 概要 (macOS 15 以降)

使用可能なセットアップ アシスタントのスキップキーの詳細については、次を参照してください。

• iOS/iPadOS の自動デバイス登録を設定する
• macOS の自動デバイス登録を設定する

2025 年 12 月 1 日の週

アプリ管理

Intuneによって管理されるセキュリティで保護されたエンタープライズ ブラウザー (パブリック プレビュー)

Microsoft Intuneでは、セキュリティで保護されたエンタープライズ ブラウザーとしてのMicrosoft Edge for Businessのポリシー管理がサポートされるようになりました。 管理者は、Intuneを通じてポリシーを実装することで、デバイスの登録を必要とせずに、企業リソースにアクセスするためのセキュリティで保護されたブラウザー ベースのワークフローに、Windows ベースのデスクトップ環境から自信を持って移行できます。

詳細については、「Microsoft Edge for Businessを使用したIntuneでの企業データのセキュリティ保護」を参照してください。

2025 年 11 月 17 日の週

デバイスの登録

組織のWindows バックアップを構成する

組織のWindows バックアップは、Microsoft Intuneで一般公開されています。 この機能を使用すると、organizationの Windows 設定をバックアップし、Microsoft Entra参加済みデバイスに復元できます。 バックアップ設定はMicrosoft Intune管理センター設定カタログで構成できますが、デバイスを復元できるテナント全体の設定は、管理センターの [登録] で使用できます。 この機能の詳細については、「Microsoft Intuneの組織のWindows バックアップ」を参照してください。

デバイス管理

Intune エージェントのSecurity Copilotはパブリック プレビューで使用できます

IntuneのSecurity Copilotエージェントは、特定のシナリオに特化した AI 対応アシスタントです。 Intune エージェントは、Intune管理センター >Agents で使用でき、Security Copilot ユーザーが使用できます。

次のIntune エージェントを使用できます。

• 変更レビュー エージェントは、Windows デバイス上のWindows PowerShell スクリプトに対する複数の管理承認要求を評価します。 これは、管理者がスクリプトの動作と関連するリスクを理解するのに役立つ、リスクベースの推奨事項とコンテキスト分析情報を提供します。

  これらの分析情報は、管理者Intune、要求を承認するか拒否するかについて、情報に基づいた意思決定をより迅速に行うのに役立ちます。 このエージェントは、Windows を実行しているIntuneマネージド デバイスをサポートします。

• Device Offboarding Agent は、IntuneとMicrosoft Entra IDにわたって古いデバイスまたは位置がずれているデバイスを識別します。 これは実用的な分析情報を提供し、デバイスをオフボードする前に管理者の承認が必要です。 このエージェントは、分析情報を表示し、自動化されたクリーンアップだけでは不十分なあいまいなケースを処理することで、既存のIntune自動化を補完します。

  このエージェントは、Windows、iOS/iPadOS、macOS、Android、Linux を実行するIntuneマネージド デバイスをサポートしています。 パブリック プレビュー中に、管理者はMicrosoft Entra ID オブジェクトを直接無効にできます。追加の修復手順がガイダンスとして提供されます。

• ポリシー構成エージェントは、アップロードされたドキュメントまたは業界ベンチマークを分析し、一致するIntune設定を自動的に識別します。 管理者は、コンプライアンス標準や内部ポリシー ドキュメントなどの要件をアップロードでき、エージェントはIntune設定カタログから関連する設定をインテリジェントに表示します。

  また、エージェントはポリシーの作成をガイドし、organizationのニーズに最も適した各設定を構成するのに役立ちます。 このエージェントは、Windows を実行しているデバイスをサポートします。

詳細については、次を参照してください。

• IntuneでのエージェントのSecurity Copilot

モバイル脅威防御パートナーとしての iVerify のIntuneサポート

iVerify Enterprise を、次のプラットフォームを実行する登録済みデバイスのモバイル脅威防御パートナー (MTD) として使用できるようになりました。

• Android 9.0 以降
• iOS/iPadOS 15.0 以降

このサポートの詳細については、「 iVerify Mobile Threat Defense コネクタのセットアップ」を参照してください。

テナント管理

Microsoft Intuneの一元化された管理 タスク ノードからのタスクと要求を管理する (パブリック プレビュー)

Intune 管理センターの新しい [管理 タスク] ノードでは、セキュリティ タスクとユーザー昇格要求を検出、整理、操作するための一元的なビューが提供されます。 テナント管理の下にあるこの統合エクスペリエンスでは、検索、フィルター処理、並べ替えがサポートされ、複数のノード間を移動することなく、注意が必要な内容に焦点を当てるのに役立ちます。

次のタスクの種類がサポートされています。

• エンドポイント特権管理 ファイル昇格要求
• セキュリティ タスクのMicrosoft Defender
• 複数管理承認要求

Intuneには、管理するアクセス許可を持つタスクのみが表示されます。 タスクを選択すると、Intune元の場所からタスクを管理する場合と同じインターフェイスとワークフローが開きます。 これにより、管理タスク ノードから作業しているか、ソース機能内で直接作業しているかに関係なく、一貫性のあるエクスペリエンスが保証されます。

詳細については、「管理 タスク」を参照してください。

2025 年 11 月 10 日の週 (サービス リリース 2511)

Microsoft Intune Suite

エンドポイント特権管理昇格要求のスコープ タグの適用

昇格要求エンドポイント特権管理表示するときに、適用可能なスコープ タグが適用されるようになりました。 つまり、管理者は、割り当てられたスコープ内にあるデバイスとユーザーに対する要求のみを表示および管理できます。 この変更は、管理境界を維持し、セキュリティを強化するのに役立ちます。 以前は、昇格要求を管理するためのアクセス許可を持つ管理者は、スコープに関係なく、すべての昇格要求を表示できました。

アプリ管理

マネージド ホーム スクリーンで利用できるその他のボリューム オプション

管理者は、Android Enterprise 専用およびフル マネージド デバイス用の マネージド ホーム スクリーン (MHS) アプリでより多くのボリューム制御を有効にできるようになりました。 この更新プログラムでは、既存のメディア ボリューム コントロールに加えて、通話、呼び出し音と通知、アラームの音量のスライダーを表示または非表示にする構成設定が導入されています。

新しい各オプションは、アプリ構成ポリシーを使用して個別に有効にすることができます。 オンにすると、ユーザーはキオスク モードを終了することなく、MHS 内の [管理された設定] ページから直接これらの特定のボリューム レベルを調整できます。 この機能強化により、タスク ワーカーは、デバイスを安全にロックダウンしたまま、さまざまな環境のサウンド レベルを管理する柔軟性が向上します。

詳細については、「Android Enterprise 用の Microsoft マネージド ホーム スクリーン アプリを構成する」を参照してください。

適用対象:

• Android Enterprise (専用およびフル マネージド デバイス)

マネージド Google Play ストア モードを Basic にリセットする

Intune管理センター (Apps>All apps>Create Managed Google Play アプリの作成) で、マネージド Google Play ストアのレイアウトを Custom から Basic にリセットできるようになりました。

Basic モードでは、承認されたすべてのアプリがユーザーに自動的に表示されます。 カスタム モードでは、新しく承認されたアプリをストアに表示する前に、コレクションに手動で追加する必要があります。 新しい [ 基本にリセット ] ボタンを使用すると、管理者はサポートに問い合わせることなく、簡単に Basic モードに戻すことができます。 オンにすると、Intuneは既存のすべてのコレクションを削除し、すぐに成功または失敗のメッセージを表示します。

マネージド Google Play ストアのレイアウト オプションの詳細については、「Intuneでの Android Enterprise アプリの承認とデプロイ」を参照してください。

適用対象:

• Android

Enterprise App Management のサービス レベルの目標を更新しました

Enterprise App Management (EAM) でサービス レベルの目標 (SLO) を使用できるようになり、Enterprise App Catalog でアプリの更新プログラムがいつ利用可能になるかをより明確に期待できます。 SLO 処理タイムラインは、更新されたアプリ パッケージIntune最初に受け取ったときに開始されます。

ほとんどのアプリ更新プログラムは、24 時間以内に自動検証を完了します。 手動のベンダー テストまたは承認が必要なUpdatesは、通常、7 日以内に完了します。

詳細については、「 Enterprise App Management の概要」を参照してください。

Windows アプリ保護用の新しい切り取り、コピー、貼り付けオプション

Intuneは、Windows アプリ保護ポリシー (Microsoft Edge 以降) で設定するための [切り取り、コピー、貼り付けを許可する] に 2 つの新しい値を追加して、管理者がデータ移動をより詳細に制御できるようにします。

• 組織データの宛先と任意のソース: ユーザーは、任意のソースから組織のコンテキストに貼り付けることができ、組織の宛先にのみ切り取り/コピーできます。
• 組織データの宛先と組織のデータ ソース: ユーザーは、組織のコンテキスト内でのみ切り取り/コピー/貼り付けを行うことができます。

これらのオプションは、使い慣れたモバイル アプリのデータ転送制御を Windows に拡張し、生産性を維持しながら、管理されていないデバイスでのデータ リークを防ぐのに役立ちます。 詳細については、「アプリ保護 ポリシーの概要」を参照してください。

適用対象:

• Windows

デバイス構成

Android Enterprise 用テンプレートと設定カタログの両方で使用できる設定

テンプレートでのみ使用できる一部の設定は、設定カタログでもサポートされるようになりました。

設定カタログには、デバイス ポリシーで構成できるすべての設定と、すべて 1 か所に一覧表示されます。 Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

新しい設定カタログ ポリシーを作成するには、デバイス>管理デバイス>Configuration>Create>New policy>Android Enterprise for platform >プロファイルの種類の設定カタログに移動します。

設定カタログでは、次の設定を使用できます。

全般:

• Bluetooth経由で連絡先共有をブロックする (仕事用プロファイル レベル)
• 仕事用連絡先の検索をブロックし、個人用プロファイルに仕事用連絡先の発信者 ID を表示する
• 仕事用プロファイルと個人プロファイル間のデータ共有
• 最初の使用ヒントをスキップする

仕事用プロファイル のパスワード:

• パスワードの有効期限が切れるまでの日数
• ユーザーがあるパスワードを再使用できるようになるまでに必要なパスワード数
• デバイスがワイプされるまでのサインイン失敗回数
• パスワードの入力が必要
  • パスワードの最小文字数
  • 必要な文字数
  • 必要な小文字の数
  • 必要な文字以外の文字数
  • 必要な数字の数
  • 必要なシンボル文字の数
  • 必要な大文字の数
• 必要なロック解除頻度

これらの設定の詳細については、「Android Intune設定カタログ設定の一覧」を参照してください。

適用対象:

• Android Enterprise

Android Enterprise 設定カタログの新しい [コンテンツ共有の支援] 設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。 Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

新しい設定 (デバイス>管理デバイス>Configuration>Create>New policy>Android Enterprise for platform >プロファイルの種類の設定カタログ) があります。

• 特権アプリでのコンテンツ共有をブロックする: True の場合、この設定により、スクリーンショットやアプリの詳細などのコンテンツが、アシスタント アプリなどの特権アプリに送信されないようにブロックされます。 この設定を使用して、Ai の 検索に対する円機能を ブロックできます。

Android デバイスでの AI 機能の管理に関するガイダンスについては、「Intuneを使用した Android での AI の管理 - IT 管理者向けガイド」を参照してください。

適用対象:

• 仕事用プロファイル (COPE) > 仕事用プロファイル レベルを持つ Android Enterprise 企業所有デバイス
• 会社所有 Android Enterprise フル マネージド (COBO)
• 会社所有 Android Enterprise 専用デバイス (COSU)

デバイスの登録

新しいオプトイン アップグレードを使用すると、既存のお客様は管理対象の Google Play アカウントからMicrosoft Entra ID アカウントに移行できます

Microsoft Intuneでは、既存の Android Enterprise のお客様が管理対象の Google Play アカウントの使用から Android デバイス管理にMicrosoft Entra ID アカウントを使用するように移行できる新しいオプトイン アップグレードが提供されます。 以前にコンシューマー Gmail アカウントを使用していた場合は、アップグレードの対象となります。 この変更により、別の Gmail アカウントを不要にし、職場アカウントを活用することで、オンボード プロセスが効率化されます。 この変更は必要ありません。 この変更の詳細については、次を参照してください。

• Microsoft Intuneを使用して Android Enterprise デバイスを管理するための新しいオンボード フロー
• Intune アカウントを管理対象の Google Play アカウントに接続する

不完全なユーザー登録レポートが削除されました

不完全なユーザー登録レポートは削除され、Microsoft Intune管理センターでは機能しなくなりました。 次の対応する API もMicrosoft Intuneから削除されています。

• getEnrollmentAbandonmentDetailsReport
• getEnrollmentAbandonmentSummaryReport
• getEnrollmentFailureDetailsReport

これらの Graph API を使用したスクリプトまたは自動化は、レポートが削除されたので動作を停止します。 このレポートの代わりに、登録エラー レポートを使用することをお勧めします。 詳細については、「 登録レポートを表示する」を参照してください。

デバイス管理

IntuneのSecurity Copilotを使用したエクスプローラー機能のクエリと結果の改善

Security Copilot ライセンスを使用すると、Intune機能のエクスプローラーを使用して、Intune データに対してクエリを実行できます。

クエリを作成すると、より多くのフィルター オプションがあります。 例:

• 数値演算子を使用したクエリでは、等しい、より大きい、より小さい値を選択できます。
• プラットフォームなど、1 つのオプションを選択することを強制したクエリでは、複数のオプションを選択できます。

クエリ結果には、データを表示するために使用できる列も増えています。

この機能の詳細については、「自然言語を使用してIntuneデータを探索し、アクションを実行する」を参照してください。

デバイス管理 型割り当てフィルター プロパティでは、管理対象デバイスの Android 登録オプションがサポートされています

Intuneでポリシーを作成する場合は、割り当てフィルターを使用して、作成したルールに基づいてポリシーを割り当てることができます。 deviceManagementTypeなど、さまざまなプロパティを使用してルールを作成できます。

マネージド デバイスの場合、デバイス管理 Type プロパティは次の Android 登録オプションをサポートします。

• Entra ID 共有モードの企業所有の専用デバイス
• Entra ID 共有モードのない企業所有の専用デバイス
• 会社所有の仕事用プロファイル
• 企業所有のフル マネージド
• 仕事用プロファイルを持つ個人所有のデバイス
• AOSP ユーザー関連デバイス
• AOSP ユーザーレス デバイス

割り当てフィルターと現在使用できるプロパティの詳細については、次を参照してください。

• Microsoft Intune でアプリ、ポリシー、プロファイルを割り当てるときにフィルター を使用する
• Microsoft Intuneでフィルターを作成するときのアプリとデバイスのプロパティ、演算子、ルールの編集

適用対象:

• Android

Intune データを調べる新しいプロンプト

IntuneのSecurity Copilotを使用して、自然言語を使用してデータに関連する新しいプロンプトを調べることができます。 次の新しいプロンプトを使用して、次のデータを表示します。

• ユーザーとグループ
• ロールベースのアクセス制御 (RBAC)
• 監査ログ

要求の入力を開始すると、要求に最も一致するプロンプトの一覧が表示されます。 さらに多くの候補を入力し続けることもできます。

各クエリは、結果を理解し、提案を提供するのに役立つ Copilot の概要を返します。 この情報を使用すると、次のことができます。

• このグループにアプリとポリシーをターゲットにできるように、結果からグループにデバイスまたはユーザーを追加します。
• クエリの例をフィルター処理して、ニーズに合った要求を検索またはビルドします。

詳細については、「自然言語を使用してデータIntune探索し、アクションを実行する」を参照してください。

デバイスのセキュリティ

ルート化された Android デバイスによる Microsoft Tunnel アクセスは、Microsoft Defender クライアントによってブロックされます

Microsoft Tunnel では、Microsoft Defender クライアント アプリを使用して、Android デバイスにトンネルへのアクセスを提供します。 Defender for Endpoint クライアントの最新バージョンでは、デバイスがルート化されたタイミングを検出できるようになりました。 デバイスがルートであると判断された場合、Defender:

• デバイスのリスク カテゴリを [高] としてマークします
• アクティブなトンネル接続を直ちに削除する
• デバイスがルート化されなくなると判断されるまで、トンネルをさらに使用できないようにします
• デバイスの状態に関する通知をデバイス ユーザーに送信します

この機能は、Android 上の Defender クライアントの機能であり、Android のIntuneコンプライアンス ポリシーを使用して、ルート化されたデバイス、Play Integrity Verdict、デバイスの脅威レベルの下にデバイスを要求するなどの設定を管理する代わりには使用されません。

Microsoft Tunnel の機能の詳細については、「Microsoft Tunnel の概要」を参照してください。

テナント管理

論理的に削除されたMicrosoft Entra グループがIntuneに表示されるようになりました

この機能はパブリック プレビュー段階です。 詳細については、「Microsoft Intune のパブリック プレビュー」を参照してください。

Microsoft Intune Intune管理センターに論理的に削除されたMicrosoft Entra グループが表示されるようになりました。 グループが論理的に削除されると、その割り当ては適用されなくなります。 ただし、グループが復元されると、以前の割り当てが自動的に再開されます。

詳細については、「Microsoft Intune でのアプリ割り当ての追加と除外」を参照してください。

2025 年 10 月 20 日の週 (サービス リリース 2510)

Microsoft Intune Suite

エンドポイント特権管理昇格ルールでのユーザー アカウント コンテキストのサポート

エンドポイント特権管理 (EPM) には、仮想アカウントではなくユーザーのコンテキストを使用して昇格されたファイルを実行する昇格ルールの新しいオプションがあります。 オプションは [ 現在のユーザーとして昇格] です。

Elevate を 現在のユーザー 昇格の種類として使用すると、昇格されたファイルまたはプロセスは、仮想アカウントではなく、サインインしているユーザー自身のアカウントで実行されます。 これにより、ユーザーのプロファイル パス、環境変数、および個人用設定が保持され、アクティブなユーザー プロファイルに依存するインストーラーとツールが正しく機能することを確認できます。 昇格されたプロセスでは昇格の前後で同じユーザー ID が維持されるため、監査証跡は一貫性があり正確なままになります。 昇格する前に、ユーザーは Windows 認証の資格情報を入力する必要があります。 このプロセスでは、セキュリティを強化するために多要素認証 (MFA) がサポートされます。

詳細については、「Microsoft Intuneでエンドポイント特権管理を使用する」を参照してください。

ユーザーの準備と昇格の傾向を示すエンドポイント特権管理 ダッシュボード

エンドポイント特権管理 (EPM) ダッシュボードを使用できるようになりました。このダッシュボードでは、ファイルの昇格とorganizationの傾向に関する分析情報が表示され、ローカル管理者アクセス許可を使用して実行する代わりに、標準ユーザーとして実行する準備ができているユーザーを特定できます。

ダッシュボードによって提供される分析情報は次のとおりです。

• アンマネージド ファイルの昇格のみを持つユーザー
• マネージド ファイルとアンマネージド ファイルの昇格の両方を持つユーザー
• 管理された昇格のみを持つユーザー
• 頻繁に管理されていない昇格
• サポートによって頻繁に承認される
• 頻繁に拒否される昇格

ダッシュボードとこれらの新しい分析情報の詳細については、「エンドポイント特権管理のレポートの概要ダッシュボード」を参照してください。

デバイス構成

デバイス インベントリのプロパティ カタログで使用できるシステム情報プロパティ

管理された Windows デバイスからハードウェア プロパティを収集して表示できるプロパティ カタログ ポリシーを作成できます。 OS のバージョン、ハードウェアの詳細、構成状態など、システム レベルのデバイス分析情報を示すシステム 情報 カテゴリがあります。

詳細と作業を開始するには、 プロパティ カタログに関するページを参照してください。

適用対象:

• Windows

Android Enterprise 設定カタログで使用できる新しい設定

Android 設定カタログに新しい設定があります。 新しい設定カタログ ポリシーを作成し、Intune管理センターでこれらの設定を確認するには、[デバイス>管理デバイス>構成>Create>New policy>Android Enterprise for platform >プロファイルの種類の設定カタログ] に移動します。

• Wi-Fi Direct

  • 全般>[Wi-Fi ダイレクトをブロックする]: True の場合、この設定は Direct Wi-Fi ブロックします。 Wi-Fi Direct は、Wi-Fi 周波数を使用したデバイス間の直接のピアツーピア接続です。 False の場合、Intuneはこの設定を変更または更新しません。 既定では、OS では Direct Wi-Fi が許可される場合があります。

  適用対象:

  • 仕事用プロファイルを持つ Android Enterprise 企業所有のデバイス (COPE)
  • 会社所有 Android Enterprise フル マネージド (COBO)
  • 会社所有 Android Enterprise 専用デバイス (COSU)

• 名前organization非表示にする

  [General>Hide organization name] 設定では、企業所有の単一使用専用デバイスがサポートされています。 以前は、この設定は、仕事用プロファイルと会社所有のフル マネージド デバイスを持つ企業所有のデバイスでのみサポートされていました。

• テンプレートでのみ使用できる一部の設定は、設定カタログで使用できます。

  全般:

  • 仕事用プロファイルと個人用プロファイル間のコピーと貼り付けを許可する
  • ネットワーク エスケープ ハッチングを許可する
  • USB ストレージを許可する
  • ステータス バーへのアクセスをブロックする
  • 日付と時刻の変更をブロックする
  • 場所をブロックする
  • マイクの調整をブロックする
  • 外部メディアの取り付けをブロックする
  • 通知ウィンドウをブロックする
  • 画面キャプチャをブロックする (仕事用プロファイル レベル)
  • Wi-Fi 設定の変更をブロックする

これらの設定の詳細については、「Android Intune設定カタログ設定の一覧」を参照してください。

設定カタログには、デバイス ポリシーで構成できるすべての設定と、すべて 1 か所に一覧表示されます。 Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

適用対象:

• Android Enterprise

デバイスの登録

管理対象の Google Play organization名を編集する

これで、管理対象の Google Play organization名を、Microsoft Intune管理センターの [デバイス>Android>Enrollment>管理された Google Play で直接編集できるようになりました。 入力時に検証される更新された名前が管理センターに表示されます。 このデバイスは、[organization名] で管理されます。 のようなメッセージ内の Android デバイスロック画面にも表示される場合があります。 詳細については、「Intune アカウントをマネージド Google Play アカウントに接続する」を参照してください。

デバイス管理

設定カタログでは、Windows 11 25H2 設定がサポートされます

Windows 11 25H2 のリリースには、新しいポリシー構成サービス プロバイダー (CSP) が含まれています。 これらの設定は、構成するために 設定カタログ で使用できます。

詳細については、「新しいWindows 11バージョン 25H2 設定をサポートするように更新されたMicrosoft Intune設定カタログ」のブログ投稿を参照してください。

設定カタログの使用を開始するには、次を参照してください。

• Intune設定カタログを使用して設定を構成する
• 設定カタログを使用して完了できる一般的なタスク

適用対象:

• Windows

macOS 用のリモート ヘルプ用の新しいクライアント バージョン

新しいリモート ヘルプ クライアントバージョン 1.0.2510071 では、Microsoft Intune macOS 26 がサポートされるようになりました。 以前のバージョンのリモート ヘルプ クライアントは、macOS 26 と互換性がありません。 オプトインされている場合、アプリは Microsoft AutoUpdate (MAU) を介して自動的に更新されるため、ユーザーやユーザーからアクションは必要ありません。 最新のクライアント バージョンでは、最初の起動時に画面が空白になり、接続に失敗するという問題が解決されました。 詳細については、「Microsoft Intuneでリモート ヘルプを使用する」を参照してください。

デバイスのセキュリティ

従来の Apple MDM ソフトウェア更新プログラムのサポートを終了するためのIntune

iOS 26、iPadOS 26、macOS 26 のリリースにより、Apple は従来のモバイル デバイス管理 (MDM) ソフトウェア更新コマンドとペイロードを非推奨にしました。 この変更に合わせて、Intuneは間もなく次の MDM ベースのワークロードのサポートを終了します。

• iOS/iPadOS 更新ポリシー
• macOS 更新ポリシー
• ソフトウェア更新プログラムの設定:
  • iOS/iPadOS テンプレート>デバイスの制限
  • iOS/iPadOS 設定カタログ>Restrictions
  • macOS テンプレート>デバイスの制限
  • macOS 設定カタログ>Restrictions
  • macOS 設定カタログ>ソフトウェアの更新
• レポート：
  • iOS/iPadOS 更新プログラムのインストールエラー
  • macOS 更新プログラムのインストールエラー
  • macOS デバイスごとのソフトウェア更新プログラム

これらの機能は、Apple ソフトウェア更新プログラムを管理するためのより最新で信頼性の高いアプローチを提供する 宣言型デバイス管理 (DDM) を通じて利用できるようになりました。 この移行の詳細については、「Intuneカスタマー サクセス」ブログ「Apple ソフトウェア更新プログラムの宣言型デバイス管理に移動する」を参照してください。

適用対象:

• iOS/iPadOS
• macOS

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• CareXM によるトリアージの合計
• Intapp by Intapp Inc.
• ANDPAD by ANDPAD Inc.
• ANDPAD CHAT by ANDPAD Inc.
• ANDPAD 社による ANDPAD 検査
• ANDPAD Blueprint by ANDPAD Inc.

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

監視とトラブルシューティング

Android と Windows で一般公開されている登録時間グループ化エラー レポート

Microsoft Intune管理センターで一般提供されるようになりました。登録時間のグループ化の失敗レポートには、次のいずれかのプロセスで指定された静的デバイス グループのメンバーになれなかったデバイスが含まれるエラーが表示されます。

• Windows Autopilot デバイスの準備プロビジョニング
• Android Enterprise フル マネージド デバイスの登録
• Android 企業所有の仕事用プロファイル デバイスの登録
• Android Enterprise 専用デバイスの登録

登録時間グループ化エラー レポートは、管理センターの [デバイス>Monitor>登録時間グループ化エラー] で使用できます。 最近更新された情報がレポートに表示されるまでに最大 20 分かかる場合があります。 詳細については、「Microsoft Intuneでの登録時間のグループ化」を参照してください。

2025 年 10 月 13 日の週

デバイス管理

IntuneでのWindows 10サポート

2025 年 10 月 14 日、Windows 10サポート終了に達し、品質と機能の更新プログラムを受け取りません。 Windows 10は、Intuneで許可されているバージョンです。 このバージョンを実行しているデバイスは引き続きIntuneに登録し、適格な機能を使用できますが、機能は保証されないため、異なる場合があります。

詳細については、「IntuneのWindows 10のサポート ステートメント」を参照してください。

適用対象:

• Windows 10

2025 年 9 月 29 日の週

アプリ管理

Enterprise App Catalog アプリの PowerShell スクリプト インストーラーのサポート

コマンド ラインを使用する代わりに、PowerShell スクリプトをアップロードして Enterprise App Catalog アプリをインストールできるようになりました。 このオプションを使用すると、アプリをデプロイする際の柔軟性が高くなります。

詳細については、「Microsoft Intuneにエンタープライズ アプリ カタログ アプリを追加する」を参照してください。

適用対象:

• Windows

古いバージョンの Android Intune ポータル サイト アプリのサポート終了

5.0.5421.0 より前のバージョンの Android Intune ポータル サイトのサポートは、2025 年 10 月 1 日に終了しました。 古いバージョンのアプリを実行しているデバイスでは、登録状態が維持されなくなり、非準拠としてマークされる可能性があります。

デバイスの登録と準拠を維持するには、ユーザーは Google Play ストアから最新バージョンのポータル サイトをダウンロードする必要があります。

適用対象:

• Android Enterprise

2025 年 9 月 22 日の週

デバイスのセキュリティ

IntuneのSecurity Copilotの脆弱性修復エージェントの更新 (パブリック プレビュー)

Security Copilotの脆弱性修復エージェントが更新され、進行中の制限付きパブリック プレビューに次の変更が追加されました。

• Microsoft Defenderのロールベースのアクセス制御 (RBAC) - RBAC ガイダンスが更新され、RBAC がMicrosoft Defender XDRでどのように実装されるかが反映されました。 統合 RBAC (サービス間で 1 つのアクセス許可セット) を使用する構成と、きめ細かい RBAC (サービスごとにカスタマイズされたアクセス許可) に関するガイダンスが提供されるようになりました。

  きめ細かい RBAC 構成を使用する場合は、エージェントの ID のスコープがMicrosoft Defenderに設定され、関連するすべてのデバイス グループが含まれるようにします。 エージェントは、割り当てられたスコープ外のデバイスにアクセスしたり、レポートしたりできません。

• エージェント ID – エージェント が ID として使用するアカウントを手動で変更できるようになりました。 [エージェントの 設定] タブで、[ 別の ID の選択 ] を選択してサインイン プロンプトを開きます。 新しいアカウントを入力して認証します。 新しいアカウントに、Microsoft Defender脆弱性修復データにアクセスするための十分なアクセス許可があることを確認します。

  エージェントの ID に対する変更は、エージェントの実行履歴には影響しません。これは引き続き使用可能です。

これらの更新プログラムにより、プレビューで脆弱性修復エージェントを使用する組織の柔軟性と制御が向上します。 このエージェントの詳細については、「Microsoft IntuneのSecurity Copilotの脆弱性修復エージェント」を参照してください。

2025 年 9 月 15 日の週 (サービス リリース 2509)

デバイス構成

ポリシーの種類でデバイス構成プロファイルをフィルター処理する

[Intune 管理センター >Devices>Configuration>Policies] タブでは、[フィルターの追加] 機能を使用して、プラットフォーム、スコープ タグ、最終変更日でポリシーの一覧をフィルター処理できます。

ポリシーの種類 は、[ フィルターの追加] 機能で使用できます。 そのため、設定カタログ、カスタム、デバイス制限、その他のポリシーの種類など、ポリシーの種類によってポリシーの一覧をフィルター処理できます。

既存のプロファイルの表示と監視の詳細については、「Microsoft Intuneでデバイス構成ポリシーを表示および監視する」を参照してください。

Apple の設定カタログで使用できる新しい日の 0 の設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。 Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

[設定カタログ] に新しい設定があります。 これらの設定を表示するには、Microsoft Intune管理センターで、[デバイス>管理デバイス>Configuration>Create>New policy>iOS/iPadOS または macOS for platform >プロファイルの種類の設定カタログ] に移動します。

iOS/iPadOS

[マネージド設定] > 既定のアプリケーション:

• 通話
• メッセージング

制限事項:

• 許可されているカメラ制限バンドル ID

Web > Web コンテンツ フィルター:

• Safari 履歴の保持が有効

macOS

認証>拡張可能なシングル サインオン Kerberos:

• プラットフォーム SSO TGT を使用する

Microsoft Defender:

• Microsoft Defender カテゴリは、新しい設定で更新されます。 利用可能な macOS Defender 設定の詳細については、「Microsoft Defender - ポリシー」を参照してください。

制限事項:

• 通話録音を許可する
• ライブ ボイスメールを許可する

Web > Web コンテンツ フィルター:

• Safari 履歴の保持が有効

Android Enterprise 用テンプレートと設定カタログの両方で使用できる設定

テンプレートでのみ使用できる一部の設定は、設定カタログでもサポートされるようになりました。

設定カタログには、デバイス ポリシーで構成できるすべての設定と、すべて 1 か所に一覧表示されます。 Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

新しい設定カタログ ポリシーを作成するには、デバイス>管理デバイス>Configuration>Create>New policy>Android Enterprise for platform >プロファイルの種類の設定カタログに移動します。

設定カタログには、次の設定があります。

アプリケーション:

• 不明なソースからのインストールを許可する
• アプリの自動更新 (仕事用プロファイル レベル)

全般:

• ローミング データ サービスをブロックする

• Bluetooth構成をブロックする

• アクセス ポイント Wi-Fi 構成をブロックする

• 既定のアクセス許可ポリシー

• カメラへのアクセスをブロックする

• 開発者設定へのアクセスを許可する

• NFC を使用してアプリからのビーム データをブロックする (仕事用プロファイル レベル)

  この設定は A10 では非推奨です。 新しいデバイスでは引き続き正しく構成されますが、この機能は使用できないため、効果はありません。

• 出荷時のリセットをブロックする

• テザリングとホットスポットへのアクセスをブロックする

• ボリュームの変更をブロックする

  この設定は、仕事用プロファイルを持つ企業所有のデバイスに正常に適用されているように表示されますが、効果はありません。

システム セキュリティ:

• アプリで脅威スキャンを要求する
• [共通条件モードが必要]

ユーザーとアカウント:

• ユーザーは資格情報を構成できます (仕事用プロファイル レベル)
• アカウントの変更をブロックする

これらの設定の詳細については、「Android Intune設定カタログ設定の一覧」を参照してください。

適用対象:

• Android Enterprise

デバイス管理

デバイス カテゴリ管理では、マルチ管理承認がサポートされます

Intuneデバイス カテゴリでは、マルチ管理承認がサポートされます。 [複数管理承認] が有効になっている場合、新しいカテゴリの作成、編集、削除など、デバイス カテゴリの変更には、適用前に 2 番目の管理者が変更を承認する必要があります。 この二重承認プロセスは、承認されていないロールベースのアクセス制御の変更からorganizationを保護するのに役立ちます。

複数の管理承認の詳細については、「Intuneで複数の管理承認を使用する」を参照してください。

Android Enterprise 設定カタログの新しいプライベートスペースと USB アクセス設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。 Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

新しい設定 (デバイス>管理デバイス>Configuration>Create>New policy>Android Enterprise for platform >プロファイルの種類の設定カタログ) があります。

• プライベート空間をブロックする: True に設定すると、ユーザーはデバイスでプライベートスペースを作成または使用できなくなります。 既存のプライベートスペースはすべて削除されます。

  適用対象:

  • 仕事用プロファイルを持つ Android Enterprise 企業所有のデバイス (COPE)

• USB アクセス: 管理者は、USB 経由で転送できるファイルやデータを選択できます。 管理者がファイル転送をブロックする場合、ファイルのみが転送されないようにブロックされます。 他の接続は、マウスのように許可されます。 管理者が USB データ転送をブロックすると、すべてのデータがブロックされます。

  適用対象:

  • 仕事用プロファイルを持つ Android Enterprise 企業所有デバイス (COPE) (職場プロファイル レベル)
  • 会社所有 Android Enterprise フル マネージド (COBO)
  • 会社所有 Android Enterprise 専用デバイス (COSU)

設定カタログで構成できる既存の設定の一覧については、Intune設定カタログの Android Enterprise デバイス設定の一覧を参照してください。

Intune データを調べる新しいプロンプト

IntuneのMicrosoft Copilotを使用して、自然言語を使用してIntune データに関連する新しいプロンプトを調べることができます。 次の新しいプロンプトを使用して、次のデータを表示します。

• Android と Apple デバイスの更新プログラム
• Windows Autopilot
• エンドポイント特権管理
• 高度分析

要求の入力を開始すると、要求に最も一致するプロンプトの一覧が表示されます。 さらに多くの候補を入力し続けることもできます。

各クエリは、結果を理解し、提案を提供するのに役立つ Copilot の概要を返します。 この情報を使用すると、次のことができます。

• このグループにアプリとポリシーをターゲットにできるように、結果からグループにデバイスまたはユーザーを追加します。
• クエリの例をフィルター処理して、ニーズに合った要求を検索またはビルドします。

詳細については、「自然言語を使用してデータIntune探索し、アクションを実行する」を参照してください。

パートナー ポータルでの Intel vPro Fleet Services の統合Intune

Microsoft Intune Intel vPro Fleet Services と統合され、ハードウェア レベルのリモート管理がIntune エクスペリエンスに直接取り込まれます。 このソリューションにより、オペレーティング システムが応答しない場合やデバイスの電源がオフになっている場合でも、IT 管理者は Intel vPro デバイスを安全に管理、回復、トラブルシューティングできます。 シングル サインオンMicrosoft Entra ID使用すると、より多くのインフラストラクチャやライセンスを必要とせずに、チームは認証されたアクセス権を取得できます。

主な機能は次のとおりです。

• Intel Active Management Technology (AMT) を使用したハードウェア レベルの BIOS と OS の回復
• Intune内の一元化されたワークフロー
• セキュリティとアクセス制御の強化
• Intel vPro デバイスとの広範な互換性 (2018 以降)

この統合により、エンドポイント管理が簡素化され、運用効率が向上し、さまざまなデバイス フリートをサポートするようにスケーリングされます。

デバイス インベントリ (以前のリソース エクスプローラー)

[Windows デバイスの監視] の [リソース エクスプローラー] ウィンドウが [デバイス インベントリ] と呼ばれるようになりました。 名前のみが変更されました。エクスペリエンスとデータは変わりません。

ドキュメントとIntune管理センター Intune参照は、新しい名前を反映するように更新されます。

適用対象:

• Windows

注:

テナントアタッチを介してConfiguration Managerデータを表示する [リソース エクスプローラー] ウィンドウには、元の名前が引き続き保持されます。

Copilot for Microsoft Intuneの新機能

• Copilot Chatへのアクセスが容易 - Copilot Chatは、Intune管理センター ヘッダーに直接埋め込まれます。 そのため、IT 管理者は管理センターの任意の画面からCopilot Chatにアクセスできます。 この機能は、管理者がより迅速な分析情報とサポートを得るのに役立ちます。

• Copilot Chatを使用したコンテキスト対応の会話 - 入力すると、動的プロンプト ボックスにリアルタイムの候補が表示され、求める内容に関連するプロンプトが推奨されます。 デバイスのトラブルシューティング、ポリシーの管理、Windows 365機能の探索などを行うことができます。 詳細については、Microsoft ドキュメントに直接アクセスすることもできます。

  Copilot Chatは会話の履歴を保持し、管理センターを移動してもコンテキストを認識したままです。 この継続性は、繰り返しプロンプトを最小限に抑えるのに役立ちます。

• Windows 365 クラウド PCのサポートの拡張 - この一般公開更新プログラムにより、Copilot はWindows 365 クラウド PC管理をサポートするようになりました。 IT 管理者は、ライセンスの状態、接続の品質、構成の詳細、パフォーマンス メトリックなどの重要な情報にアクセスできます。 この機能により、管理者はIntune管理センターからクラウド PC を直接監視および管理しやすくなります。

Intuneの Copilot の詳細と作業を開始するには、IntuneのMicrosoft Copilotに関するページを参照してください。

Intuneでは、最小バージョンとして iOS/iPadOS 17.x がサポートされます

Apple は iOS 26 と iPadOS 26 をリリースしました。 このリリースでは、Microsoft Intune (Intune ポータル サイトポリシーとアプリ保護ポリシー (APP、MAM とも呼ばれます) を含む)、iOS/iPadOS 17 以降が必要になりました。

この変更の詳細については、「変更の計画: Intune iOS/iPadOS 17 以降のサポートに移行する」を参照してください。

注:

自動デバイス登録 (ADE) を使用して登録されたユーザーレス iOS デバイスと iPadOS デバイスには、共有の使用のために少し微妙なサポート ステートメントがあります。 詳細については、「 ユーザーレス デバイスでサポートされている iOS/iPadOS バージョンと許可されている iOS/iPadOS バージョンのサポート ステートメント」を参照してください。

適用対象:

• iOS/iPadOS

Intuneでは、最小バージョンとして macOS 14.x がサポートされています

Apple は macOS 26 (Tahoe) をリリースしました。 このリリースでは、Microsoft Intune、ポータル サイト アプリ、Intune MDM エージェントに macOS 14 (Sonoma) 以降が必要になりました。

この変更の詳細については、「変更の計画: Intuneが macOS 14 以降をサポートするように移行する」を参照してください。

注:

自動デバイス登録 (ADE) を使用して登録された macOS デバイスには、共有使用のために少し微妙なサポート ステートメントがあります。 詳細については、「 サポート ステートメント」を参照してください。

サポートされている OS バージョンの一覧については、「Intuneでサポートされているオペレーティング システムとブラウザー」を参照してください。

適用対象:

• macOS

デバイスのセキュリティ

新しいセキュリティ ベースライン更新エクスペリエンス

セキュリティ ベースラインIntune更新エクスペリエンスは、セキュリティ ベースラインの最新バージョン用に更新されます。 この変更により、2023 年 5 月以降に作成されたセキュリティ ベースラインを同じベースラインのより新しいバージョンに更新すると、更新されたベースラインを自動的に構成するのに役立つ 2 つのオプションが用意されました。

• カスタマイズを維持する – このオプションを使用Intune、新しいベースライン テンプレートにアップグレードする元のベースラインからのすべての設定のカスタマイズが適用されます。 その結果、新しいベースライン インスタンスは、organizationの特定の変更をすべて保持 (含む) します。
• カスタマイズを破棄する – このオプションを使用Intune、新しいベースライン バージョンを使用する新しい "既定" ベースライン インスタンスが作成されます。 そのベースラインの各設定ではベースラインの既定値が使用され、設定のカスタマイズは自動的に適用されません。

どちらのオプションでも、最新のベースライン バージョンを使用する、そのベースラインの新しいプロファイル インスタンスに決定が適用されます。 この新しいプロファイルには、元のスコープ タグや割り当ては含まれません。この割り当ては、新しいプロファイルの作成後に追加できます。 この変更により、更新されたプロファイルが割り当てられ、デバイスへの最新のベースライン バージョンの展開が開始される前に、必要に応じて他の設定を構成する時間が与えます。 一方、元のベースラインは変更されず、アクティブなままになります。 ただし、その設定構成は読み取り専用になります。

詳細については、「Microsoft Intuneでのセキュリティ ベースライン プロファイルの管理」の「ベースライン プロファイルを最新バージョンに更新する」を参照してください。

ポータル サイトでは、Purebred の新しい派生資格情報エクスペリエンスがサポートされます

Apple は iOS 26 と iPadOS 26 をリリースしました。 この更新プログラムでは、Purebred (バージョン 3) によって、新しく強化された派生資格情報エクスペリエンスが導入されます。 1 日 0 のサポートの一環として、ポータル サイトでは Purebred の更新されたワークフローがサポートされます。

• organizationが以前のバージョンの Purebred を引き続き使用する予定の場合、最新バージョンの ポータル サイト にアップグレードした場合でも、Purebred または ポータル サイト の派生資格情報エクスペリエンスに変更はありません。
• organizationが新しいバージョンの Purebred にアップグレードする予定の場合は、互換性を確保するためにバージョン 5.2509.0 をポータル サイトに更新してください。

適用対象:

• iOS/iPadOS

監視とトラブルシューティング

複数のデバイス クエリに関するフィードバックを提供する

複数のデバイス クエリ ページの新しいフィードバック機能を使用して、複数のデバイス クエリに関するフィードバックを送信します。

2025 年 9 月 8 日の週

デバイスのセキュリティ

Microsoft Tunnel for Mobile Application Management for iOS での JavaScript WebSockets のサポート

Microsoft Tunnel for Mobile Application Management (MAM) for iOS では、Web ビューからの JavaScript WebSocket がサポートされるようになりました。 このサポートは、WebSocket に依存するリアルタイム通信を必要とするアプリの通信を向上させるのに役立ちます。

JavaScript WebSocket がサポートされるようになりましたが、Tunnel for MAM iOS では、ネイティブの WebSocket API やそれらに依存するアプリはサポートされていません。

詳細については、「 Microsoft Tunnel for Mobile Application Management for iOS/iPadOS 管理者ガイド」を参照してください。

2025 年 9 月 1 日の週

デバイス管理

Windows OOBE 中に Windows セキュリティ更新プログラムをインストールするための登録状態ページのサポート

重要

2025 年 9 月 9 日の時点で、この機能は遅れ、可能な限り最適なエクスペリエンスを確実に提供できます。 登録状態ページ (ESP) の新しい設定は、新規および既存の ESP プロファイルの両方で構成できますが、毎月のセキュリティ更新プログラム リリースと新しいユーザー インターフェイスの自動インストールはまだ使用できません。 この投稿は、利用可能になるとすぐに変更されたタイムラインで更新されます。

Windows の既定の既定のエクスペリエンス (OOBE) では、利用可能な最新のセキュリティ更新プログラムがインストールされ、デバイスがセキュリティで保護され、1 日目から最新の状態に保たれるようにします。 Windows OOBE は、Intune登録状態ページ (ESP) 構成を使用して、Intuneおよび Windows Autopilot シナリオで使用されます。 Intuneは、これらのセキュリティ更新プログラムの Windows 品質更新プログラムを指します。

この動作を管理するために、これらの更新プログラムの自動インストールを許可またはブロックするために使用できる新しい設定で、Intune登録状態ページが更新されました。

新しい設定は、 Windows 品質更新プログラムのインストールです。 これらのセキュリティ更新プログラム (Intune の Windows 品質更新プログラムとも呼ばれます) は、Intuneと Windows Autopilot によって使用される Windows の既定のエクスペリエンス OOBE 中に既定でインストールされます。

既定では、この設定は、作成するすべての新しい ESP プロファイルで [はい ] に設定されているため、最新のセキュリティ更新プログラムがインストールされます。 以前に作成したすべての ESP プロファイルで、プロファイルを編集して変更するまで、この設定は [いいえ ] に設定されます。 [いいえ] に設定すると、OOBE は更新プログラムをインストールしません。これにより、内部チームは、プロビジョニングした新しいデバイスへのインストールを許可する前に、更新プログラムをテストする時間を与えることができます。

Intune登録状態ページの詳細については、「登録状態ページのセットアップ」を参照してください。 Windows 品質更新プログラムの詳細については、「 Windows 品質更新プログラム ポリシー」を参照してください。

適用対象:

• Windows

デバイスのセキュリティ

Security Copilot脆弱性修復Intune エージェントからのデバイス構成の推奨事項

脆弱性に対するorganizationの攻撃面を減らすために、Security Copilot脆弱性修復Intuneエージェントは、報告された脆弱性に関連する設定に対して推奨される構成を提供するようになりました。

推奨される構成は、報告された脆弱性に対する エージェントの提案 を選択した後で確認できます。これにより、[ 推奨されるアクション ] ウィンドウが開きます。 推奨されるアクション ウィンドウには、[ 構成] という情報の新しいセクションがあります。

Intune設定カタログに報告された脆弱性に関連する設定が含まれている場合は、[構成] セクションにデバイス ポリシーの構成に役立つ情報が表示されます。 これらのポリシーは、次のようなその脆弱性による将来のリスクを最小限に抑えるのに役立ちます。

• Intune設定カタログ ポリシーを使用して展開できる、現在の脆弱性に関連する設定の一覧。 脆弱性に関連する特定の設定のみが一覧表示されます。
• 各設定には、推奨される構成が表示されます。
• 設定の横にある引用アイコンを選択すると、その設定の説明が表示されます。 説明には、設定が表す構成サービス プロバイダー (CSP) のコンテンツへのリンクを含めることもできます。

展開する推奨デバイス構成設定がない場合、[構成] セクションは、推奨設定カタログ ポリシーの構成が使用できないことを示します。

エージェントの提案、修復ガイダンス、および新しい推奨構成の詳細については、「脆弱性修復エージェントを使用する」の「エージェントの提案」を参照してください。

2025 年 8 月 25 日の週

アプリ管理

マネージド ホーム スクリーンでの Android Enterprise Dedicated Devices のサインインなしのオフライン モードとアプリ アクセス

Android Enterprise 専用デバイス用マネージド ホーム スクリーン (MHS) では、オフライン モードとサインインなしのアプリ アクセスという 2 つの新機能がサポートされるようになりました。

• オフライン モード – デバイスがオフラインであるか、ネットワークに接続できない場合に、ユーザーが指定されたアプリにアクセスできるようにします。 接続が復元されたら、ユーザーにサインインを要求する前に猶予期間を構成できます。
• サインインなしのアプリ アクセス – ユーザーは、ネットワークの状態に関係なく、MHS のトップ バーを介して MHS サインイン画面から特定のアプリを起動できます。 この機能は、ヘルプ デスクや緊急ツールなど、すぐに利用できる必要があるアプリに役立ちます。

これらの機能は、Microsoft Entra共有デバイス モードで登録された専用デバイス用に設計されており、デバイス構成ポリシーを使用して構成できます。

適用対象:

• Android Enterprise 専用デバイス

2025 年 8 月 18 日の週 (サービス リリース 2508)

アプリ管理

Android アプリ構成ポリシーでは、新しい変数値がサポートされます

Intuneの Android Enterprise アプリ構成ポリシーで、より多くの変数値がサポートされるようになりました。 新しい値には、アカウント名、デバイス名、従業員 ID、MEID、シリアル番号、シリアル番号の最後の 4 桁が含まれます。

詳細については、「 構成値のサポートされる変数」を参照してください。

適用対象:

• Android Enterprise

デバイス構成

ユーザー グループとデバイス グループに対するマネージド インストーラーのサポート

マネージド インストーラー ポリシーが更新され、1 つ以上の個々のポリシーを使用して、ユーザーとデバイスの個々のグループを対象とする機能が追加されます。 これまで、マネージド インストーラー ポリシーは、すべての Windows デバイスに適用されるテナント全体の構成でした。 この更新プログラムを使用すると、さまざまなデバイス グループに個別のポリシーを割り当てることができ、柔軟性が向上します。

以前にテナント全体の管理インストーラー ポリシーが有効になっていた場合、そのポリシーは、すべてのデバイスへのグループ割り当てで引き続き使用できます。 この再構成は、以前のテナント全体の構成と同じです。 変換されたポリシーを使用するか、より詳細な制御で新しいポリシーを実装することを選択できます。

マネージド インストーラーの構成と使用の詳細については、「マネージド インストーラーの 概要」を参照してください。

適用対象:

• Windows

設定カタログの新しい Windows 設定

Intune設定カタログには、構成できるすべての設定と、すべて 1 か所に一覧表示されます。 Windows 設定カタログ (デバイス>管理デバイス>Configuration>Create>New policy>Windows 10 以降のプラットフォーム >プロファイルの種類の設定カタログ) に新しい設定があります。

Microsoft Edge 管理テンプレート ポリシーの更新:

• v138 - Intuneでは、次の新しい ADMX に基づくポリシーがサポートされています。

  Setting	CSP
  Microsoft Edge>組み込みの AI API の使用をページに許可する	BuiltInAIAPIsEnabled
  Microsoft Edge>履歴で AI 強化検索へのアクセスを制御する	EdgeHistoryAISearchEnabled
  Microsoft Edge - 既定の設定 (ユーザーはオーバーライドできます)\ ID とサインイン>外部リンクを開くには、既定でプライマリ作業プロファイルを使用する	EdgeOpenExternalLinksWithPrimaryWorkProfileEnabled
  Microsoft Edge>ServiceWorker によって制御される URL に対して投機ルール プリフェッチを許可する	PrefetchWithServiceWorkerEnabled
  Microsoft Edge>Microsoft Edge で TLS 1.3 早期データが有効かどうかを制御する	TLS13EarlyDataEnabled
  Microsoft Edge>組み込みの AI API の使用をページに許可する	BuiltInAIAPIsEnabled

  次のレガシ設定は非推奨であり、使用しないでください。

  Setting	CSP
  Microsoft Edge\ プライベート ネットワーク要求設定	InsecurePrivateNetworkRequestsAllowed
  Microsoft Edge ネットワーク設定>zstd コンテンツ エンコードのサポートを有効にする	ZstdContentEncodingEnabled
  Microsoft Edge ネットワーク設定>パブリック Web サイトからユーザーのローカル ネットワーク上のデバイスへの要求をブロックするかどうかを指定 します (非推奨)	LocalNetworkAccessRestrictionsEnabled

• v139 - Intuneでは、Microsoft Edge 用の次の新しい ADMX に基づくポリシーがサポートされています。

  Setting	CSP
  Microsoft Edge>ID とサインイン>アプリ指定のプロファイルを優先して外部リンクを開く	EdgeOpenExternalLinksWithAppSpecifiedProfile
  Microsoft Edge>拡張機能>InPrivate モードを使用して移動するためにユーザーが許可する必要がある拡張機能を指定する	必須ExtensionsForIncognitoNavigation
  Microsoft Edge>Microsoft Edge for Business ツール バー Microsoft 365 Copilot Chat表示するかどうかを制御する	Microsoft365CopilotChatIconEnabled
  Microsoft Edge>Microsoft Edge for Business Reporting Connectors の構成ポリシー	OnSecurityEventEnterpriseConnector
  Microsoft Edge>SwiftShader を使用してソフトウェア WebGL フォールバックを許可する	EnableUnsafeSwiftShader

  次のレガシ設定は非推奨であり、使用しないでください。

  Setting	CSP
  Microsoft Edge><select>要素の新しい HTML パーサー動作を有効にするかどうかを制御します	SelectParserRelaxationEnabled
  Microsoft Edge>キーボードフォーカス可能なスクロール機能を有効にする	KeyboardFocusableScrollersEnabled

• 一部の既存のポリシーには、最新のブラウザーの動作と用語を反映した文字列更新プログラムがあります。

OneDrive:

• トーストとアクティビティ センターのメッセージを無効にして、ユーザーが Microsoft アプリケーションで使用できる既存の資格情報を使用して OneDrive にサインインするよう促 す - この設定を使用すると、IT 管理者は OneDrive で新しいアカウントが検出されないようにし、組織の同期とアクセス制御を適用できます。

管理用テンプレート\Windows コンポーネント\設定の同期:

• Windows バックアップを有効にする - この設定を使用すると、IT 管理者はWindows バックアップ機能の同期動作を管理できます。 具体的には、このポリシーは、言語設定をバックアップ同期に含めるかどうかを制御します。これにより、組織はバックアップ構成をニーズに合わせて調整できます。

適用対象:

• Windows

Apple の設定カタログで使用できる新しい日の 0 の設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。 Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

[設定カタログ] に新しい設定があります。 これらの設定を表示するには、Microsoft Intune管理センターで、[デバイス>管理デバイス>Configuration>Create>New policy>iOS/iPadOS または macOS for platform >プロファイルの種類の設定カタログ] に移動します。

iOS/iPadOS

宣言型デバイス管理 (DDM) >オーディオ アクセサリ設定:

• 一時的なペアリングが無効
• 一時的なペアリングのペアリング解除時間
• ペアリング解除ポリシー
• ペアリング解除時間

宣言型デバイス管理 (DDM) > Safari 設定:

• Cookie を受け入れる
• 不正使用警告の無効化を許可する
• 履歴のクリアを許可する
• JavaScript を許可する
• プライベート閲覧を許可する
• ポップアップを許可する
• [概要の許可]
• ページの種類
• ホームページ URL
• 拡張機能識別子

制限事項:

• Safari 履歴のクリアを許可する
• Safari プライベート閲覧を許可する
• iMessage と FaceTime に対して拒否された ID
• RCS の拒否された ID

macOS

認証>拡張可能なシングル サインオン Kerberos:

• プラットフォーム SSO 認証フォールバックを許可する

宣言型デバイス管理 (DDM) > Safari 設定:

• 履歴のクリアを許可する
• プライベート閲覧を許可する
• [概要の許可]
• ページの種類
• ホームページ URL
• 拡張機能識別子

制限事項:

• Safari 履歴のクリアを許可する
• Safari プライベート閲覧を許可する

Android 設定カタログの新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。 Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

新しい [organization名の非表示] 設定 ([デバイス>管理デバイス>>構成Create>New policy>Android Enterprise for platform >プロファイルの種類の設定カタログ)] があります。 True に設定すると、ロック画面など、エンタープライズ名はデバイスに表示されません。

設定カタログで構成できる既存の設定の一覧については、Intune設定カタログの Android Enterprise デバイス設定の一覧を参照してください。

適用対象:

• 仕事用プロファイルを持つ Android Enterprise 企業所有のデバイス (COPE)
• 会社所有 Android Enterprise フル マネージド (COBO)

デバイスの登録

Intuneは Ubuntu 22.04 以降をサポートしています

Microsoft Intuneと Linux 用のMicrosoft Intune アプリで Ubuntu 22.04 LTS と Ubuntu 24.04 LTS がサポートされるようになりました。 Ubuntu 20.04 LTS のサポートは終了しました。 Ubuntu 20.04 LTS に現在登録されているデバイスは、バージョンがサポートされなくなった場合でも登録されたままです。 Ubuntu 20.04 LTS を実行している場合、新しいデバイスを登録できません。 影響を受ける可能性のあるデバイスまたはユーザーを確認するには、Intune レポートをチェックします。 管理センターで、**Devices **>すべてのデバイス に移動し、Linux で OS をフィルター処理します。 さらに列を追加して、Ubuntu 20.04 LTS を実行しているデバイスをorganization内のユーザーを特定するのに役立ちます。 サポートされている Ubuntu バージョンにデバイスをアップグレードするようにユーザーに通知します。

Linux 登録の詳細については、Microsoft Intuneの Linux デバイス登録ガイドに関するページを参照してください。

デバイス管理

ワイプ リモート アクションでは、マルチ管理承認がサポートされます

複数管理承認機能を使用する場合は、変更が適用される前に、2 つ目の管理者アカウントで変更を承認する必要があります。

ワイプ リモート アクションでは、マルチ管理承認がサポートされます。 [ワイプ] アクションで複数管理承認を使用して、1 つの管理者アカウントによる未承認または侵害されたリモート アクションのリスクを軽減します。

複数管理承認の詳細については、「Intuneで複数の管理承認を使用する」を参照してください。

組織のWindows バックアップを構成する (パブリック プレビュー)

Intune管理者は、組織のWindows バックアップと呼ばれるパブリック プレビューで新しい機能を構成できます。 この機能を使用すると、organizationのWindows 10またはWindows 11設定をバックアップし、Microsoft Entra参加済みデバイスに復元できます。 バックアップ設定はMicrosoft Intune管理センター設定カタログで構成できますが、デバイスを復元できるテナント全体の設定は、管理センターの [登録] で使用できます。 バックアップ設定はパブリック プレビューで使用できるようになりましたが、復元設定は 8 月 26 日からパブリック プレビューで使用できるようになります。

この機能の詳細については、「Microsoft Intuneの組織のWindows バックアップ」を参照してください。

新しい解決ボタンを使用すると、コンプライアンスの修復エクスペリエンスが向上します

Microsoft Intuneのデバイス ユーザーの Just-In Time (JIT) コンプライアンス修復エクスペリエンスが改善されました。 Intune Microsoft Defenderと共同作業を行い、以下を行いました。

• 修復手順を表示して学習するために必要なユーザークリックを削除します。
• [解決] ボタンを追加して、修復までの時間を短縮します。

ユーザーが生産性アプリを開き、Microsoft Defenderが原因で非準拠とマークされているのを確認すると、ユーザーは [解決] を選択できるようになりました。このアクションは、ユーザーをMicrosoft Defenderにリダイレクトします。ここで、Microsoft Defenderはユーザーを修復し、ユーザーを生産性アプリにリダイレクトする手順を実行します。

Microsoft Defenderを使用していない場合でも、条件付きアクセスが有効になっている場合は、ユーザーのエクスペリエンスが向上する可能性があります。 JIT コンプライアンスの修復では、ユーザーは埋め込みフローを実行して、コンプライアンスの状態、コンプライアンス違反の理由、および生産性アプリ内のアクションの一覧を表示します。 このフローにより、追加の手順が不要になり、アプリを切り替える必要がなくなり、認証の数が減ります。

管理者として、JIT 登録とコンプライアンスの修復が既に設定されている場合、アクション 項目はありません。 そうでない場合は、この新しい機能をサポートするように今日設定します。 詳細については、以下を参照してください:

• Just-In-Time 登録を設定します。
• iOS デバイスの設定を更新します。

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• Avenza Maps for Intune by Avenza Systems Inc.
• Datasite によるIntune用のデータサイト (Android)
• Dialpad by Dialpad, Inc.
• Dialpad Meetings by Dialpad, Inc.
• オメガ 365 バイ オメガ 365 Core AS
• シンフォニー・メッセージング・Intune(シンフォニー・コミュニケーション・サービス、LLC)
• Zoho Projects - Intune by Zoho Corporation (Android)

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

監視とトラブルシューティング

Apple デバイスの宣言型ソフトウェア更新プログラム レポート

Apples 組み込みの宣言型レポート インフラストラクチャを利用する Apple デバイスに対 して、いくつかの新しいソフトウェア更新プログラム レポートを使用できるようになりました。 宣言型レポート インフラストラクチャでは、マネージド デバイスのソフトウェア更新プログラムの状態をほぼリアルタイムで表示するIntuneが提供されます。 次の Apple ソフトウェア更新プログラム レポートが利用可能になりました。

• デバイスごとのソフトウェア更新レポート - デバイスごとのソフトウェア更新レポートは、Intune 管理 センターで [デバイス] に移動し、該当するデバイスを選択することで利用できます。 そのデバイスの [デバイスの概要] ウィンドウの [モニター] の下に、 iOS または iPadOS デバイスの iOS ソフトウェア更新プログラム として、 macOS デバイスの macOS ソフトウェア更新プログラム として一覧表示されたレポートが表示されます。

  これらのデバイスごとのレポートを使用できるようになったので、以前に利用可能だった macOS デバイスごとの ソフトウェア更新プログラム レポートは非推奨になりました。 非推奨のレポートは管理センターで引き続き使用でき、デバイスの表示中に引き続き使用できますが、今後の更新により、レポートはIntuneから削除されます。

• Apple ソフトウェア更新プログラムの失敗 - この運用レポートを使用すると、管理対象の Apple デバイスフリート全体の詳細を表示できます。 詳細には、更新プログラムのインストールに失敗した理由と、最後のエラーのタイムスタンプが含まれます。 このレポートを見つけるには、管理センターで [デバイス>Monitor] に移動し、レポートの名前を選択してレポートの詳細を表示します。

• Apple ソフトウェア更新レポート - このレポートは、管理対象の Apple デバイスフリート全体で保留中および現在のソフトウェア更新情報に関する詳細を表示する組織レポートです。 このレポートを見つけるには、管理センターで [レポート>デバイス管理>Apple の更新プログラム] に移動し、[ レポート ] タブを選択し、レポート タイルを選択します。

• Apple ソフトウェア更新プログラムの概要レポート - Apple ソフトウェア更新プログラムの概要レポートを表示し、管理センターで [レポート>デバイスの管理>Apple の更新プログラム] に移動し、[ 概要 ] タブを選択します。macOS、iOS、iPadOS デバイスからの更新状態のロールアップが表示されます。 この状態には、各プラットフォームで利用可能な最新の更新プログラムのバージョンと、更新プログラムが利用可能になった日付が含まれます。

次の Apple デバイスでは、これらの新しいレポートがサポートされています。

• iOS 17 以降
• iPadOS 17 以降
• macOS 14 以降

これらのレポートの背後にある変更の詳細については、「 サポート ヒント: Apple ソフトウェア更新プログラムの宣言型デバイス管理に移行する」を参照してください。

役割ベースのアクセス制御

ロールベースのアクセス制御に対するマルチ管理承認のサポート

マルチ管理承認でロールベースのアクセス制御がサポートされるようになりました。 有効にすると、ロールのアクセス許可、管理者グループ、またはメンバー グループの割り当ての変更など、ロールに対する変更が適用される前に、2 番目の管理者が変更を承認する必要があります。 この二重承認プロセスは、承認されていないロールベースのアクセス制御の変更からorganizationを保護するのに役立ちます。

詳細については、「Microsoft Intuneでのロールベースのアクセス制御」を参照してください。

2025 年 8 月 11 日の週

デバイス管理

プラットフォーム SSO は一般提供 (GA) であり、カスタム TGT もサポートしています

プラットフォーム SSO は、macOS デバイス上のMicrosoft Entra IDを使用してシングル サインオン (SSO) を有効にする、Microsoft Entraの機能です。 Intune設定カタログを使用して、プラットフォーム SSO を構成し、Intuneを使用してプラットフォーム SSO 構成を macOS デバイスにデプロイできます。

• Microsoft Entra macOS デバイスのプラットフォーム SSO が一般公開 (GA) であることを発表しました。 このMicrosoft Entra機能の詳細については、「Apple デバイス用の Microsoft Enterprise SSO プラグイン」を参照してください。

• Microsoft Entraでは、Apple の Kerberos SSO 拡張機能を使用してオンプレミスの Active DirectoryとMicrosoft Entra IDにアクセスするための Kerberos チケット許可チケット (TGT) がサポートされています。

  ポータル サイト バージョン 5.2508.0 以降では、Intune設定カタログプラットフォーム SSO ポリシーを使用して、TGT を使用してオンプレミスおよびクラウド リソースに対する Kerberos SSO を有効にすることができます。

Intuneでプラットフォーム SSO を構成するには、次を参照してください。

• Intuneで macOS デバイスのプラットフォーム SSO を構成する
• Intuneでの macOS デバイスの一般的なプラットフォーム SSO シナリオ

適用対象:

• macOS

デバイスのセキュリティ

Microsoft Tunnel エンドポイントに必要な更新プログラム

Microsoft Tunnel インフラストラクチャの継続的な改善の一環として、 2025 年 3 月 19 日リリースで新しいエンドポイントを導入しました。 新しいエンドポイントを使用していることを確認するには、Microsoft Tunnel を 2025 年 3 月 19 日以降のリリース バージョンにアップグレードする必要があります。 このバージョン以降にアップグレードすると、以前のバージョンにダウングレードすることはできません。 レガシ エンドポイントに依存する以前のリリースはサポートされておらず、サービスの中断を引き起こす可能性があります。 中断のないサービスを続行するには、サポートされている最新のビルドにアップグレードし、サポートされていないバージョンへのロールバックを回避することをお勧めします。

2025 年 7 月 28 日の週

デバイス管理

デバイス管理エンドポイントへの API 呼び出しに対する新しい Microsoft Graph アクセス許可

複数の Microsoft Graph API の呼び出しには、以前にサポートされていたアクセス許可の使用に代わる 2 つの新しい DeviceManagement アクセス許可のいずれかが必要になりました。 次に示す 2 つの新しいアクセス許可と、新しいアクセス許可が置き換えられる元のアクセス許可です。

• DeviceManagementScripts.Read.All - この新しいアクセス許可は、DeviceManagementConfiguration.Read.All の使用を置き換えます
• DeviceManagementScripts.ReadWrite.All - この新しいアクセス許可は、DeviceManagementConfiguration.ReadWrite.All の使用を置き換えます

次の Microsoft Graph API 呼び出しへのアクセスには、新しいアクセス許可を使用する必要があります。

• ~/deviceManagement/deviceShellScripts
• ~/deviceManagement/deviceHealthScripts
• ~/deviceManagement/deviceComplianceScripts
• ~/deviceManagement/deviceCustomAttributeShellScripts
• ~/deviceManagement/deviceManagementScripts

現在、 DeviceManagementScripts と以前の DeviceManagementConfiguration アクセス許可の両方が機能したままです。 ただし、2025 年 9 月初旬に、一覧に示されている API にアクセスするために古いアクセス許可に依存するツールとスクリプトは機能しなくなります。

詳細については、「Microsoft Entra IDを使用して Microsoft Graph のIntune API にアクセスする方法」を参照してください。

2025 年 7 月 21 日の週 (サービス リリース 2507)

Microsoft Intune Suite

昇格ルールでのワイルドカードのエンドポイント特権管理のサポート

エンドポイント特権管理 (EPM) に対して定義した昇格規則のファイル名とファイル パスでワイルドカードを使用できるようになりました。 ワイルドカードを使用すると、より広範な照合機能を使用して、より柔軟なルール作成が可能になり、後続のリビジョンで変更される可能性のある名前を持つ信頼されたファイルのファイル昇格が可能になります。

ファイル名の場合、ワイルドカードの使用はファイル名でのみサポートされ、ファイル拡張子ではサポートされません。 疑問符 ? を使用して、ファイル名の任意の時点で 1 文字を置き換え、アスタリスク * を使用して、ファイル名の末尾にある文字の文字列を置き換えることができます。

次に、C:\Users\<username>\Downloads\にある VSCodeUserSetup-arm64-1.99.2.exe という Visual Studio セットアップ ファイルにワイルドカードを使用する例をいくつか示します。

• ファイル名:

  • VSCodeUserSetup*.exe
  • VSCodeUserSetup-arm64-*.exe
  • VSCodeUserSetup-?????-1.??.?.exe

• ファイル パス:

  • C:\Users\*\Downloads\

詳細については、「エンドポイント特権管理のポリシーを構成する」の「昇格ルールで変数を使用する」を参照してください。

アプリ管理

Intuneで新しく利用可能な OEMConfig アプリ

次の OEMConfig アプリが Android Enterprise のIntuneで使用できるようになりました。

• RugGear

OEMConfig の詳細については、「Microsoft Intuneで OEMConfig を使用して Android Enterprise デバイスを使用して管理する」を参照してください。

デバイス構成

Apple 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。 Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

[設定カタログ] に新しい設定があります。 これらの設定を表示するには、Microsoft Intune管理センターで、[デバイス>管理デバイス>Configuration>Create>New policy>iOS/iPadOS または macOS for platform >プロファイルの種類の設定カタログ] に移動します。

iOS/iPadOS

携帯ネットワーク プライベート ネットワーク:

• 携帯データネットワーク優先
• CSG ネットワーク識別子
• データ セット名
• NR スタンドアロンを有効にする
• ジオフェンス
• ネットワーク識別子
• バージョン番号

macOS

Microsoft Edge:

• Microsoft Edge カテゴリは、新しい設定で更新されます。 Microsoft Edge で使用可能な macOS 設定の詳細については、「 Microsoft Edge - ポリシー」を参照してください。

デバイス管理

デバイス クリーンアップ ルールのプラットフォーム サポート

クリーンアップ 規則を使用して、非アクティブ、古い、または応答していないと思われるデバイスを自動的にクリーンするようにIntuneを構成できます。

この機能を使用すると、次のことができます。

• Windows、iOS/iPadOS、macOS、Android など、プラットフォームごとに個々のデバイス クリーンアップ規則を構成します。
• 監査ログを使用して、デバイス クリーンアップ ルールがIntune レポートから隠しているデバイスを確認します。
• ロールベースのアクセス制御 (RBAC) を使用して、デバイス クリーンアップ規則を作成できるユーザー ロールをカスタマイズします。

詳細については、「 デバイスクリーンアップルール」を参照してください。

デバイスのセキュリティ

パスワード ソリューションを使用したローカル管理者アカウント構成に対する macOS のサポート - GA

macOS 自動デバイス登録 (ADE) プロファイルでは、ローカル管理者とローカル ユーザー アカウントの両方で macOS 12 以降を実行する新しく登録された macOS デバイスと、Microsoft Local 管理 Password Solution (LAPS) のサポートを構成できます。

このサポートにより、次の操作が行われます。

• macOS 自動デバイス登録 (ADE) プロファイルを使用して、デバイスのローカル管理者とユーザー アカウントを構成できます。 構成すると、この機能は、その登録プロファイルに割り当てられているすべての新しい macOS デバイス登録とデバイス再登録に適用されます。
• Intuneは、デバイスの管理者アカウントのランダム化された一意のセキュリティで保護されたパスワードを作成します。 15 文字の英数字です。
• Intuneは、既定で 6 か月ごとにパスワードを自動的にローテーションします。
• 以前に登録したデバイスは、該当する ADE プロファイルを使用してIntuneに再登録しない限り影響を受けられません。

アカウントの作成では、プロファイルで次の変数がサポートされます。

• 管理アカウントのユーザー名:

  • {{serialNumber}} - たとえば、F4KN99ZUG5V2
  • {{partialupn}} - たとえば、John.Dupont
  • {{managedDeviceName}} - たとえば、F2AL10ZUG4W2_14_4/15/2025_12:45PM
  • {{onPremisesSamAccountName}} - JDoe など

• 管理アカウントのフル ネーム:

  • {{username}} - たとえば、 John@contoso.com
  • {{serialNumber}} - たとえば、F4KN99ZUG5V2
  • {{onPremisesSamAccountName}} - JDoe など

LAPS をサポートするには:

• 登録プログラムには、管理対象デバイスのパスワードを表示し、そのパスワードをローテーションするためのアクセス許可を管理アカウントに付与できる、2 つの新しいロールベースのアクセス制御アクセス許可があります。
• 既定では、これらのアクセス許可は組み込みのIntune RBAC ロールの一部ではなく、カスタム ロールを通じて管理者に明示的に割り当てる必要があります。

この新機能のすべての詳細については、「Microsoft Intuneで LAPS を使用して macOS ADE ローカル アカウント構成のサポートを構成する」を参照してください。

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• Vault CRM by Veeva Systems Inc. (iOS)
• Workvivo by Workvivo

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

2025 年 7 月 14 日の週

デバイス管理

IntuneでMicrosoft Copilotを体験する

IntuneのMicrosoft Copilotを使用して、自然言語を使用してIntune データを調べる、結果に対するアクションを実行する、ポリシーと設定を管理する、セキュリティ体制を理解する、デバイスの問題のトラブルシューティングを行う、登録済みの Surface デバイスに関する分析情報を表示できるようになりました。

• Intune データの探索 - 自然言語を使用してIntune データを探索し、結果に基づいてアクションを実行します。 管理者は、デバイス、アプリ、ポリシー、更新プログラム、コンプライアンスに関する質問など、Intuneリソース データに対してクエリを実行できます。 クエリを実行すると、Copilot の概要が結果を理解し、提案を提供するのに役立ちます。 クエリ結果のデバイスまたはユーザーをグループに追加して、アプリとポリシーをターゲットにすることができます。 また、要求に最も一致する例を見つけるためにフィルター処理できるクエリの例や、独自の要求の作成に使用するクエリの例もあります。

  データカバレッジ、クエリ機能、およびアクション可能性は、データの探索方法を改善するにつれて、時間の経過と共に進化します。

  この機能の詳細については、「自然言語を使用してIntuneデータを探索し、アクションを実行する」を参照してください。

• 会話型チャット エクスペリエンス - Intune チャット エクスペリエンスの Copilot を使用して、自然言語を使用してデータを操作し、タスクを管理し、分析情報を取得し、問題のトラブルシューティングを行います。 チャット エクスペリエンスでできることは次のとおりです。

  • ポリシーと設定の管理: Intuneで Copilot を使用して既存のポリシーを要約するか、個々のポリシー設定と推奨値の詳細を確認します。
  • デバイスの詳細とトラブルシューティング: Intuneの Copilot を使用してデバイスの詳細を取得し、デバイスのトラブルシューティングを行って、インストールされているアプリ、グループ メンバーシップなどのデバイス固有の情報を取得します。
  • デバイス クエリ: Intuneで Copilot を使用して、Intuneでデバイス クエリを使用するときに実行するKusto 照会言語 (KQL) クエリを作成するのに役立ちます。
  • エンドポイント特権管理 (EPM): Intuneで Copilot を使用して、EPM サポート承認ワークフロー内からの潜在的な昇格リスクを特定します。

• Surface 管理ポータルのMicrosoft Copilot - IntuneのMicrosoft Copilotには、Intune管理センターのワークスペースである Surface 管理ポータルが含まれており、登録されている Surface デバイスに関する重要なデータと分析情報がすべて 1 か所にまとめられます。

  • デバイスのコンプライアンス、サポート アクティビティ、適用される保証または保護プランのカバレッジ、炭素排出量の見積もりに関する分析情報を得ることができます。
  • 適用される保証または保護プランの有効期限やアクティブなサポート要求など、各デバイスの状態を監視します。
  • Surface 固有のデバイス管理を 1 つの環境で一元化します。
  • Intune登録済みの Surface デバイスから包括的な情報に自動的にアクセスします。この情報は、ユーザーが初めてサインインしたときに Surface 管理ポータルに送信されます。

  この機能の詳細については、「Microsoft Surface管理ポータルのSecurity Copilot」を参照してください。

監視とトラブルシューティング

デバイス クエリの結果を CSV ファイルにエクスポートする

複数デバイス クエリを実行した後、最大 50,000 件のクエリ結果を CSV ファイルにエクスポートできます。 詳細については、「複数の デバイスに対してデバイス クエリを使用する方法」を参照してください。

2025 年 6 月 23 日の週 (サービス リリース 2506)

アプリ管理

Apple AI 機能のMicrosoft Intuneサポート

Intuneアプリ保護ポリシーには、Apple AI 機能 (Genmojis、ライティング ツール、スクリーン キャプチャ) の新しいスタンドアロン設定があります。 次のIntune App SDK と App Wrapping Tool バージョンを実行するアプリでは、スタンドアロン設定がサポートされています。

• Xcode 15 バージョン 19.7.12 以降
• Xcode 16 バージョン 20.4.0 以降

以前は、これらの Apple AI 機能は、アプリ保護ポリシー [ 組織データを他のアプリに送信する ] 設定が [すべてのアプリ] 以外の値に構成されている場合にブロックされていました。

Intune関連するアプリ保護ポリシーの詳細については、「iOS アプリ保護ポリシーの設定」を参照してください。

ENTERPRISE App Catalog アプリを ESP ブロック アプリの一覧に追加する

Windows Autopilot で Enterprise App Catalog アプリがサポートされるようになりました。 Microsoft Intune Enterprise App Management を使用すると、IT 管理者は Enterprise App Catalog からアプリケーションを簡単に管理できます。 Windows Autopilot を使用すると、エンタープライズ アプリ カタログから、登録状態ページ (ESP) プロファイルとデバイス準備ページ (DPP) プロファイルでブロック アプリとしてアプリを選択できます。 この機能を使用すると、ユーザーがデスクトップにアクセスする前に、それらのアプリを確実に配信できます。

関連情報については、「登録状態ページのセットアップ」、「Windows Autopilot デバイスの準備の概要」、および「エンタープライズ アプリ カタログ アプリをMicrosoft Intuneに追加する」を参照してください。

適用対象:

• Windows

Android 16 でのマネージド ホーム スクリーンの向きの変更

Android 16 以降、Android では、600 dp 以上のディスプレイ設定を持つデバイスで画面の向きの適用が停止します。 この変更は、タブレットなどのフォーム ファクターが大きいデバイスのマネージド ホーム スクリーン (MHS) に影響します。

これらの Android 16 デバイスでは、設定した MHS 設定ではなく、デバイスの向き設定によって方向が決定されます。

Android 16 の変更の詳細については、「 動作の変更: Android 16 以降を対象とするアプリ (Android Web サイトを開く)」を参照してください。

適用対象:

• Android Enterprise

デバイス構成

Apple 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。 Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

設定カタログに新しい設定があります。 これらの設定を表示するには、Microsoft Intune管理センターで、[デバイス>管理デバイス>Configuration>Create>New policy>iOS/iPadOS または macOS for platform >プロファイルの種類の設定カタログ] に移動します。

iOS/iPadOS

マネージド設定:

• アイドル再起動許可

macOS

認証>拡張可能なシングル サインオン (SSO):

• 構成証明でデバイス識別子を許可する

Microsoft Edge:

• Microsoft Edge カテゴリには、何百もの新しい設定があります。 使用可能な macOS Edge 設定の詳細については、「 Microsoft Edge - ポリシー」を参照してください。

Apple は macOS 15.4 の識別ペイロードを非推奨にしました。

Android Enterprise 設定カタログの新しいブロック Bluetooth設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。 Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

新しいブロック Bluetooth設定 (デバイス>管理デバイス>Configuration>Create>New policy>Android Enterprise for platform >プロファイルの種類の設定カタログ) があります。 True に設定すると、デバイスでBluetoothが無効になります。

また、エンド ユーザーがデバイスのBluetooth設定を変更できないようにする [ ブロック Bluetooth構成] 設定もあります。

これらの設定は異なり、結果も異なります。 以下に例を挙げます。

• シナリオ: エンド ユーザーがデバイスのBluetooth設定をオンにしました。 管理者は、ブロック Bluetooth設定を True に設定するIntune ポリシーを作成します。

  この状況では、エンド ユーザーがオンにした場合でも、デバイスでBluetoothがブロックされます。

• シナリオ: エンド ユーザーがデバイスのBluetooth設定をオンにしました。 管理者は、Bluetooth構成のブロック設定を True に設定するIntune ポリシーを作成します。

  この状況では、エンド ユーザーが以前にオンにしてから、Bluetoothがオンになります。 エンド ユーザーがBluetoothをオフにすることはできません。 エンド ユーザーが以前にBluetoothをオフにした後、[ Bluetooth構成のブロック ] ポリシーが適用されている場合、Bluetoothはオフになり、エンド ユーザーはそれを再度オンにすることはできません。

設定カタログで構成できる既存の設定の一覧については、Intune設定カタログの Android Enterprise デバイス設定の一覧を参照してください。

適用対象:

• 仕事用プロファイルを持つ Android Enterprise 企業所有のデバイス (COPE)
• 会社所有 Android Enterprise フル マネージド (COBO)
• 会社所有 Android Enterprise 専用デバイス (COSU)

デバイス管理

パフォーマンスとデータの一貫性を向上させる新しいレポート システム

Microsoft Intuneは、新しいポリシー レポート サービス (PRS) V3 をロールアウトしています。 新しいシステムにより、レポートの生成が高速化され、信頼性が向上し、データの整合性が向上します。

最初のフェーズでは、トラフィックの多いコンプライアンスレポートとデバイス構成レポートが新しいシステムに移行しています。

ユーザーは、Intune管理センターの更新が迅速に行われ、古いデータに関する問題が少なくなります。 レポートが自動的に切り替わり、ユーザーからのアクションは必要ありません。

(PRS) V3 では、デバイスレポートはデバイスがチェックインしたときにのみ更新されます。 この動作は、以前のバージョンからの意図的な変更です。

ポリシーが削除されてもデバイスがチェックインされていない場合、レポートには最後の既知の状態が引き続き表示されます。 ポリシーは、次のチェックイン中に削除され、その時点でレポートが更新されます。 この動作により精度が向上しますが、(PRS) V1 で経験した顧客とは異なる場合があります。

使用できるIntune レポートの詳細については、「Intune レポート」を参照してください。

デバイスのセキュリティ

SCEP 証明書プロファイルの新しい属性と S/MIME ベースライン要件

Intuneでは、SCEP および PKCS デバイス構成プロファイルのサブジェクト名設定に対して 2 つの新しい属性がサポートされます。 これには、次のものが含まれます。

• G={{GivenName}}
• SN={{SurName}}

7 月 16 日以降、パブリック ルート CA に固定された S\MIME (暗号化または署名) 証明書を発行するために、Intune SCEP API と統合されたサード パーティのパブリック証明機関 (CA) を使用している場合は、サブジェクト名形式でこれらの属性を使用する必要があります。 その日付以降、パブリック CA は、これらの属性を省略した S\MIME 証明書を発行または署名しません。

詳細については、「 サード パーティのパブリック CA の S/MIME 証明書の要件」を参照してください。

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• Datasite (iOS) によるIntuneのデータ サイト
• Intus Workforce Solutions による Mijn InPlanning (iOS)
• Nitro PDF Pro by Nitro Software, Inc. (iOS)
• SMART TeamWorks by SMART Technologies ULC (iOS)

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

監視とトラブルシューティング

Windows ハードウェア構成証明レポートの [新しい状態] 列

構成証明エラーの可視性を向上させるために、Windows ハードウェア構成証明レポートに新しい列 [構成証明 の状態] を追加しました。 この列には、構成証明プロセス中に受信したエラー メッセージが表示され、サービス側とクライアント側の両方から問題を特定するのに役立ちます。 この列に表示されるエラーの種類は次のとおりです。

• WinINet エラー
• HTTP の不適切な要求エラー
• その他の構成証明関連のエラー

レポートの詳細については、「 Windows ハードウェア構成証明レポート」を参照してください。

2025 年 6 月 9 日の週

アプリ管理

Win32 アプリの ARM64 サポート

Win32 アプリをIntuneに追加するときに、ARM64 オペレーティング システムを実行している Windows デバイスにアプリをチェックしてインストールするオプションを選択できます。 この機能は、[アプリ>すべてのアプリ>作成] を選択してMicrosoft Intune管理センターから使用できます。 ARM64 オプションは、[要件] ステップの [オペレーティング システム アーキテクチャ] オプションを選択して使用できます。 以前に 64 ビット デバイスを対象とした Win32 アプリケーションに影響を与えないように、既存の 64 ビット Win32 アプリケーションでも ARM64 が選択されています。 ARM64 オペレーティング システム アーキテクチャを具体的にターゲットにできる状態が得られた後、x64 を選択しても ARM64 デバイスはターゲットになりません。

関連情報については、「Microsoft Intune での Win32 アプリの管理」を参照してください。

適用対象:

• Windows デバイス

2025 年 6 月 2 日の週

デバイスのセキュリティ

Intuneの脆弱性修復エージェント (パブリック プレビュー)

脆弱性修復エージェントは現在、限定されたパブリック プレビュー段階にあり、一部の顧客グループのみが使用できます。 アクセス権の取得に関心がある場合、または詳細を確認したい場合は、営業チームに連絡して詳細と次の手順を確認してください。

このエージェントは、実行時にMicrosoft Defender 脆弱性の管理からのデータを使用して、マネージド デバイスの脆弱性に対する修復ガイダンスを特定して提供します。 エージェントを実行してアクセスし、その結果をIntune管理センター内から表示します。ここでは、修復のためにエージェントによって優先順位付けされた提案が表示されます。 各提案には、関連する CVE、重大度、悪用可能性、影響を受けるシステム、組織の公開、ビジネスへの影響、修復に関するガイダンスなどの重要な情報が含まれています。

この情報は、環境に対する潜在的なリスクの現在の評価と、最初に対処するリスクを決定するのに役立つガイダンスを提供します。

前提条件など、このエージェントの詳細については、「Microsoft IntuneのSecurity Copilotの脆弱性修復エージェント」を参照してください。

2025 年 5 月 26 日の週 (サービス リリース 2505)

Microsoft Intune Suite

エンドポイント特権管理規則によって昇格が明示的に拒否される

エンドポイント特権管理 (EPM) 昇格規則に、新しいファイル昇格タイプの Deny が含まれるようになりました。 [拒否] に設定されている EPM 昇格規則は、指定されたファイルが昇格されたコンテキストで実行されないようにブロックします。 ユーザーが特定のファイルを昇格できるようにするには、ファイル昇格ルールを使用することをお勧めします。 ただし、拒否規則は、既知の悪意のあるソフトウェアなどの特定のファイルを管理者特権のコンテキストで実行できないようにするのに役立ちます。

拒否 ルールでは、子プロセスを除く他の 昇格の種類 と同じ構成オプションがサポートされています。これは使用されません。

Intune Suite アドオン機能として使用できる EPM の詳細については、「エンドポイント特権管理の概要」を参照してください。

アプリ管理

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• Windows App by Microsoft Corporation (Android)
• Microsoft Corporation (iOS) によるMicrosoft Clipchamp
• 4CEE Connect by 4CEE Development
• Mobile Helix link for Intune by Mobile Helix

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

デバイス構成

Windows デバイスの DFCI プロファイルを管理する

DFCI プロファイルを使用して、Windows 10またはWindows 11を実行する NEC デバイスの UEFI (BIOS) 設定を管理できます。 Windows を実行しているすべての NEC デバイスが DFCI に対して有効になっているわけではありません。 対象となるデバイスについては、デバイス ベンダーまたはデバイスの製造元にお問い合わせください。

Microsoft Intune管理センター内から DFCI プロファイルを管理するには、[デバイス>管理デバイス>Configuration>Create>New policy>Windows 10 以降のプラットフォーム >Templates>Device Firmware Configuration Interface for profile type. に移動します。 DFCI プロファイルの詳細については、以下を参照してください。

• Microsoft Intuneの Windows デバイスでデバイス ファームウェア構成インターフェイス (DFCI) プロファイルを構成する
• Windows Autopilot を使用したデバイス ファームウェア構成インターフェイス (DFCI) 管理

適用対象:

• Windows

デバイスの登録

AOSP デバイスのカスタム名前付けテンプレート

Intuneに登録するときに、AOSP ユーザー関連デバイスとユーザーレス デバイスに名前を付けるためにカスタム テンプレートを使用します。 テンプレートは、登録プロファイルで構成するために使用できます。 これには、フリー テキストと定義済みの変数 (デバイスのシリアル番号、デバイスの種類など) の組み合わせと、ユーザー関連デバイスの所有者のユーザー名を含めることができます。 テンプレートを構成する方法の詳細については、次を参照してください。

• Android (AOSP) 会社所有のユーザーレス デバイスの Intune 登録を設定する
• 企業所有のユーザーに関連する Android (AOSP) デバイスの Intune 登録を設定する

デバイス登録の制限に対するロールベースのアクセス制御への変更

デバイスの制限に関するロールベースのアクセス制御 (RBAC) を更新しました。 現在、 ポリシーとプロファイル マネージャー ロール、またはロールに組み込まれている デバイス構成 のアクセス許可が割り当てられている場合は、デバイス登録制限ポリシーへの読み取り専用アクセス権が付与されます。 これらのポリシーを作成および編集するには、Intune管理者である必要があります。

デバイス管理

クロス プラットフォーム デバイス インベントリ

Android、iOS、Mac の各デバイスがデバイス インベントリに追加されます。 Intuneでは、74 個の Apple プロパティと 32 個の Android プロパティを含むインベントリ データの既定のセットが収集されるようになりました。

詳細については、「Microsoft Intune を使用してデバイスの詳細を表示する」を参照してください。

Android デバイスでの無人リモート ヘルプ セッション中のセキュリティの強化

Android デバイス上の無人リモート ヘルプ セッション中に、デバイスの画面がブロックされ、ユーザーが操作すると通知されます。 この機能により、リモート アシスタンス中のセキュリティとユーザーの認識が強化されます。

この機能は、Android Enterprise 企業所有の専用デバイスとして登録されている Zebra デバイスと Samsung デバイス用です。

リモート ヘルプの詳細については、「リモート ヘルプ」を参照してください。

デバイスのセキュリティ

ルート化された企業所有の Android Enterprise デバイスを検出する

企業所有の Android Enterprise デバイスがルート化されているかどうかを検出するようにコンプライアンス ポリシーを構成します。 Microsoft Intuneがデバイスがルート化されていることを検出した場合は、非準拠としてマークできます。 この機能は、フル マネージド、専用、または会社所有の仕事用プロファイルとして登録されたデバイスで使用できるようになりました。 詳細については、「Intuneの Android Enterprise のデバイス コンプライアンス設定」を参照してください。

Android でのMicrosoft Defenderのルート検出のサポートについては、Defender ドキュメントの「Microsoft Defender for Endpointの主要な機能」と「Defender for Endpoint ブログ Android でのMicrosoft Defenderのネイティブ ルート検出のサポート」を参照してください。

適用対象:

• Android

Linux デバイスでエンドポイントの検出と応答とウイルス対策の除外設定を構成するための新しいエンドポイント セキュリティ プロファイル

Microsoft Defender for Endpointセキュリティ設定管理のIntuneシナリオの一環として、Microsoft Defender グローバル除外 (AV+EDR) という名前の Linux 用の新しいエンドポイント検出と応答プロファイルを使用できます。このプロファイルを使用して、両方の Linux デバイスの除外を管理できるようになりました。Microsoft Defender エンドポイントの検出と応答 (EDR) とウイルス対策 (AV)。

このプロファイルは、Microsoft Defender ドキュメントの「Linux での除外の構成と検証」で詳しく説明されているように、グローバル除外設定に関連する設定をサポートしています。 これらの除外構成は、Linux クライアント上のウイルス対策エンジンと EDR エンジンの両方に適用され、除外された項目に対する関連するリアルタイム保護 EDR アラートを停止できます。 除外は、ポリシーの管理者によって明示的に定義されたファイル パス、フォルダー、またはプロセスによって定義できます。

新しいIntune プロファイル:

• Microsoft Defender ウイルス対策の既存のエンドポイント セキュリティウイルス対策ポリシーに加えて使用できます。
• Microsoft Defender for Endpointセキュリティ設定管理シナリオを通じて管理するデバイスでサポートされています。
• Intuneによって直接管理される Linux デバイスではサポートされていません。

使用可能な Defender 設定の詳細については、Defender for Endpoint のドキュメントの「Microsoft Defender for Endpoint on Linux - Microsoft Defender for Endpointでセキュリティ設定を構成する」を参照してください。

適用対象:

• Linux

テナント管理

Windows デバイス上の SimInfo エンティティからのデータ収集

強化されたデバイス インベントリを使用して、Windows デバイス上の SimInfo エンティティからデータを収集できるようになりました。 詳細については、「Intune データ プラットフォーム」を参照してください。

適用対象:

• Windows

2025 年 4 月 28 日の週

アプリ管理

Apple 特殊デバイスのIntuneサポート

アプリ保護 ポリシー (APP) では、Microsoft Edge (v136 以降)、OneDrive (v16.8.4 以降)、Outlook (v4.2513.0 以降) がサポートされています。 visionOS デバイスでこれらの特定のアプリに対してこの設定を有効にするには、アプリ構成ポリシーで com.microsoft.intune.mam.visionOSAllowiPadCompatApps を Enabled に設定する必要があります。 アプリ構成ポリシーを割り当てると、VisionOS デバイスのアプリ保護ポリシーを作成して割り当てることができます。 詳細については、「 VisionOS デバイス上のデータを保護する」を参照してください。

テナント管理

Microsoft Intuneの新しいアイコン

Microsoft Intuneに新しいアイコンが表示されます。 Intuneアイコンは、Intune管理センターやIntune ポータル サイトアプリなど、Intuneに関連付けられているプラットフォームやアプリ間で更新されています。 新しいアイコンは、今後数か月間徐々に実装されます。

アーカイブの新機能

前の月については、 新着情報のアーカイブに関するページを参照してください。

通知

この通知では、今後の Intune の変更と機能に備えるために役立つ重要な情報が提供されます。

Android 用の最新のIntune ポータル サイト、iOS 用アプリ SDK のIntune、iOS 用アプリ ラッパーのIntuneに更新する

2026 年 1 月 19 日以降、または直後に、Intune モバイル アプリケーション管理 (MAM) サービスを改善するための更新が行われています。 安全でスムーズに実行するには、この更新プログラムでは、iOS でラップされたアプリ、iOS SDK 統合アプリ、Android 用のIntune ポータル サイトを最新バージョンに更新する必要があります。

重要

最新バージョンに更新しない場合、ユーザーはアプリの起動をブロックされます。

更新された SDK を含む 1 つの Microsoft アプリケーションがデバイス上にあり、ポータル サイトが最新バージョンに更新されると、Android アプリが更新されるため、このメッセージは iOS SDK/アプリ ラッパーの更新に重点を置いています。 Android アプリと iOS アプリを常に最新の SDK またはアプリ ラッパーに更新して、アプリがスムーズに実行されるようにすることをお勧めします。 特定の効果の詳細については、次の GitHub のお知らせを確認してください。

• SDK for iOS: アクションが必要: エンド ユーザーへの影響を回避するためにアプリケーションの MAM SDK を更新する - microsoftconnect/ms-intune-app-sdk-ios ディスカッション #598 |Github
• iOS 用ラッパー: アクションが必要: エンド ユーザーへの影響を回避するために、バージョン 20.8.1 以降でアプリケーションをラップする - microsoftconnect/intune-app-wrap-tool-ios ディスカッション #143 |Github

質問がある場合は、該当する GitHub のお知らせにコメントを残してください。

この変更は、ユーザーやユーザーにどのような影響を与えますか?

サポートされている最新の Microsoft またはサード パーティのアプリ保護に更新されていないユーザーは、アプリの起動がブロックされます。 Intune ラッパーまたは Intune SDK を使用している iOS 基幹業務 (LOB) アプリケーションがある場合は、Xcode 26 でコンパイルされたアプリで Xcode 16 およびバージョン 21.1.0 以降でコンパイルされたアプリの Wrapper/SDK バージョン 20.8.0 以降で、ユーザーがブロックされないようにする必要があります。

どのように準備できますか?

2026 年 1 月 19 日より前に次の変更を行う予定です。

• Intune App SDK を使用するアプリの場合は、iOS 用のIntune App SDK の新しいバージョンに更新する必要があります。

  • XCode 16 でビルドされたアプリの場合は 、v20.8.0 - リリース 20.8.0 - microsoftconnect/ms-intune-app-sdk-ios を使用する |Github
  • XCode 26 でビルドされたアプリの場合は 、v21.1.0 - リリース 21.1.0 - microsoftconnect/ms-intune-app-sdk-ios を使用する |Github

• ラッパーを使用するアプリの場合は、iOS 用のIntune App Wrapping Toolの新しいバージョンに更新する必要があります。

  • XCode 16 でビルドされたアプリの場合は 、v20.8.1 - リリース 20.8.1 - microsoftconnect/intune-app-wrapping-tool-ios を使用する |Github
  • XCode 26 でビルドされたアプリの場合は 、v21.1.0 - リリース 21.1.0 - microsoftconnect/intune-app-wrapping-tool-ios を使用する |Github

• iOS アプリを対象とするポリシーを持つテナントの場合:

  • 最新バージョンの Microsoft アプリにアップグレードする必要があることをユーザーに通知します。 アプリ ストアには、最新バージョンのアプリがあります。 たとえば、Microsoft Teamsの最新バージョンについては、 こちらの Microsoft Outlook をご覧ください。
  • さらに、次の 条件付き起動 設定を有効にすることができます。
    • アプリが 20.8.0 より前の iOS 用 Intune SDK を使用している場合にユーザーをブロックする最小 SDK バージョン設定。
    • 古い Microsoft アプリでユーザーに警告を表示する 最小アプリバージョン 設定。 この設定は、対象アプリのみを対象とするポリシー内にある必要があります。

• Android アプリを対象とするポリシーを持つテナントの場合:

  • Intune ポータル サイト アプリの最新バージョン (v5.0.6726.0) にアップグレードする必要があることをユーザーに通知します。

  • さらに、次の 条件付き起動 デバイス条件設定を有効にすることができます。

    • 5.0.6726.0 より前のポータル サイトアプリバージョンを使用してユーザーに警告する最小ポータル サイトバージョン設定。

注:

条件付きアクセス ポリシーを使用して、アプリ保護ポリシーを持つアプリのみが企業リソースにアクセスできるようにします。 詳細については、条件付きアクセス ポリシーの作成に関するモバイル デバイスでの承認済みクライアント アプリまたはアプリ保護ポリシーの要求 に関するページを参照してください。

新しいIntune ネットワーク エンドポイントを含むようにファイアウォール構成を更新する

2025 年 12 月 2 日以降、Microsoft が進行中の Secure Future Initiative (SFI) の一環として、Microsoft Intuneのネットワーク サービス エンドポイントでは、Azure Front Door IP アドレスも使用されます。 この改善により、最新のセキュリティ プラクティスとの整合性が向上し、時間の経過と共に、複数の Microsoft 製品を使用する組織がファイアウォール構成を管理および維持しやすくなります。 その結果、お客様は、デバイスとアプリ管理の適切な機能を有効にするために、サード パーティ製アプリケーションでこれらのネットワーク (ファイアウォール) 構成Intune追加する必要があります。 この変更は、IP アドレスまたはAzureサービス タグに基づいて送信トラフィックを許可するファイアウォール許可リストを使用しているお客様に影響します。

Microsoft Intuneに必要な既存のネットワーク エンドポイントは削除しないでください。 その他のネットワーク エンドポイントについては、次のファイルで参照されているAzure Front Door とサービス タグの情報の一部として文書化されています。

• パブリック クラウド: Azure IP 範囲とサービス タグをダウンロードする – 公式の Microsoft ダウンロード センターからパブリック クラウド
• 政府機関向けクラウド: Azure IP 範囲とサービス タグをダウンロードする – 公式の Microsoft ダウンロード センターから米国政府機関向けクラウド

その他の範囲は、上記でリンクされている JSON ファイル内にあり、"AzureFrontDoor.MicrosoftSecurity" を検索することで確認できます。

この変更は、ユーザーやユーザーにどのような影響を与えますか?

ファイアウォール、ルーター、プロキシ サーバー、クライアント ベースのファイアウォール、VPN、またはネットワーク セキュリティ グループのINTUNE IP アドレス範囲またはAzureサービス タグの送信トラフィック ポリシーを構成している場合は、"AzureFrontDoor.MicrosoftSecurity" タグを使用して新しいAzure Front Door 範囲を含むようにそれらを更新する必要があります。

Intuneでは、モバイル デバイス管理でもモバイル アプリケーション管理でも、Intune管理下のデバイスのインターネット アクセスが必要です。 送信トラフィック ポリシーに新しい Azure Front Door IP アドレス範囲が含まれていない場合、ユーザーはサインインの問題に直面する可能性があり、デバイスがIntuneとの接続を失う可能性があり、Intune ポータル サイトやアプリ保護ポリシーによって保護されているアプリへのアクセスが中断される可能性があります。

どのように準備できますか?

ファイアウォール規則が更新され、2025 年 12 月 2 日までに Front Door Azureに記載されているその他の IP アドレスを使用してファイアウォールの許可リストに追加されていることを確認します。

または、 AzureFrontDoor.MicrosoftSecurity サービス タグをファイアウォール規則に追加して、タグ内のアドレスに対するポート 443 の送信トラフィックを許可することもできます。

この変更を行うことができる IT 管理者でない場合は、ネットワーク チームに通知します。 インターネット トラフィックの構成を担当する場合は、次のドキュメントを参照して詳細を確認してください。

• フロント ドアAzure
• サービス タグのAzure
• Intune ネットワーク エンドポイント
• Intune用の米国政府機関向けネットワーク エンドポイント

ヘルプデスクがある場合は、この今後の変更についてお知らせください。

IntuneのWindows 10に関するステートメントをサポートするように更新する

Windows 10は、2025 年 10 月 14 日にサポートが終了しました。 Windows 10は品質または機能の更新プログラムを受け取らなくなりました。 セキュリティ更新プログラムは、拡張セキュリティ Updates (ESU) プログラムにデバイスを登録した商用のお客様のみが利用できます。 詳細については、次の追加情報を確認してください。

この変更は、ユーザーやユーザーにどのような影響を与えますか?

Microsoft Intuneでは、次のようなWindows 10のコア管理機能が引き続き維持されます。

• デバイス管理の継続性。
• Windows 11への更新と移行ワークフローのサポート。
• ESU のお客様が Windows セキュリティ更新プログラムを展開し、セキュリティで保護されたパッチ レベルを維持する機能。

Windows 10の最終リリース (バージョン 22H2) は、Intuneで "許可" バージョンとして指定されます。 更新プログラムや新機能は使用できませんが、このバージョンを実行しているデバイスは引き続きIntuneに登録して適格な機能を使用できますが、機能は保証されておらず、異なる場合があります。

どのように準備できますか?

Intune管理センターの [すべてのデバイス] レポートを使用して、引き続きWindows 10を実行しているデバイスを特定し、適格なデバイスをWindows 11にアップグレードします。

デバイスを時間内にアップグレードできない場合は、重要なセキュリティ更新プログラムを引き続き受け取るために、Windows 10 ESU プログラムに適格なデバイスを登録することを検討してください。

追加情報

• Windows 10のサポートが終了する前に、Windows 11、Copilot+ PC、Windows 365を使用してセキュリティを確保する
• サポートが終了するWindows 10
• 拡張セキュリティ Updates (ESU) を有効にする
• Windows 10 のリリース情報
• Windows 11 のリリース情報
• ライフサイクルに関する FAQ - Windows 

変更の計画: Intuneは iOS/iPadOS 17 以降をサポートするように移行しています

暦年 2025 の後半では、iOS 26 と iPadOS 26 が Apple によってリリースされる予定です。 Intune ポータル サイトとIntuneアプリ保護ポリシー (MAM とも呼ばれます) を含むMicrosoft Intuneには、iOS/iPadOS 26 リリースの直後に iOS 17/iPadOS 17 以降が必要です。

この変更は、ユーザーやユーザーにどのような影響を与えますか?

iOS/iPadOS デバイスを管理している場合、サポートされている最小バージョン (iOS 17/iPadOS 17) にアップグレードできないデバイスがある可能性があります。

Microsoft 365 モバイル アプリが iOS 17/iPadOS 17 以降でサポートされていることを考えると、この変更は影響を受けない可能性があります。 OS またはデバイスは既にアップグレードされている可能性があります。

iOS 17 または iPadOS 17 をサポートするデバイスをチェックするには (該当する場合)、次の Apple ドキュメントを参照してください。

• サポートされている iPhone モデル
• サポートされている iPad モデル

注:

自動デバイス登録 (ADE) を使用して登録されたユーザーレス iOS デバイスと iPadOS デバイスには、共有の使用のために少し微妙なサポート ステートメントがあります。 サポートされている最小 OS バージョンが iOS 17/iPadOS 17 に変更され、許可されている OS バージョンは iOS 14/iPadOS 14 以降に変更されます。 詳細については、 ADE ユーザーレス サポートに関するこのステートメントを参照してください。

どのように準備できますか?

Intune レポートをチェックして、影響を受ける可能性のあるデバイスまたはユーザーを確認してください。 モバイル デバイス管理 (MDM) を使用するデバイスの場合は、[ デバイス>すべてのデバイス と OS でフィルター処理する] に移動します。 アプリ保護ポリシーを持つデバイスの場合は、[Apps>Monitor>アプリ保護 状態] に移動し、[プラットフォーム] 列と [プラットフォーム バージョン] 列を使用してフィルター処理します。

organizationでサポートされている OS バージョンを管理するには、MDM と APP の両方でMicrosoft Intuneコントロールを使用できます。 詳細については、「Intune を使用したオペレーティング システムのバージョンの管理」を参照してください。

変更の計画: Intuneは今年後半に macOS 14 以降をサポートする予定です

暦年 2025 の後半では、macOS Tahoe 26 が Apple によってリリースされる予定です。 Microsoft Intune、ポータル サイト アプリ、Intune モバイル デバイス管理エージェントは macOS 14 以降をサポートしています。 iOS と macOS 用のポータル サイト アプリは統合アプリであるため、この変更は macOS 26 のリリース直後に行われます。 この変更は、既存の登録済みデバイスには影響しません。

この変更は、ユーザーやユーザーにどのような影響を与えますか?

この変更は、現在、Intuneを使用して macOS デバイスを管理している場合、または管理を計画している場合にのみ影響します。 ユーザーが既に macOS デバイスをアップグレードしている可能性がある場合、この変更は影響を受けない可能性があります。 サポートされているデバイスの一覧については、「 macOS Sonoma がこれらのコンピューターと互換性がある」を参照してください。

注:

macOS 13.x 以下に現在登録されているデバイスは、それらのバージョンがサポートされなくなった場合でも、引き続き登録されます。 macOS 13.x 以下を実行している場合、新しいデバイスは登録できません。

どのように準備できますか?

Intune レポートをチェックして、影響を受ける可能性のあるデバイスまたはユーザーを確認してください。 [デバイス]>[すべてのデバイス] に移動し、macOS でフィルター処理します。 さらに列を追加して、organizationで macOS 13.x 以前を実行しているデバイスを特定するのに役立ちます。 サポートされている OS バージョンにデバイスをアップグレードするようにユーザーに依頼します。

変更の計画: Android 13 以降の Google Play の強力な整合性定義の更新

Google は最近、Android 13 以上を実行しているデバイスの "厳密な整合性" の定義を更新し、ハードウェアによるセキュリティ信号と最新のセキュリティ更新プログラムを必要としました。 詳細については、「 Android 開発者ブログ: Play Integrity API の高速化、回復性の向上、プライベート化」を参照してください。 Microsoft Intuneは、2025 年 9 月 30 日までにこの変更を適用します。 それまでは、アプリ保護ポリシーとコンプライアンス ポリシーの動作を調整し、Android 13 以降のデバイスでの改善された判定に関するページで説明されているように、中断を最小限に抑えるために Google の推奨下位互換性ガイダンスに合わせて調整 しました。 |Google Play |Android 開発者。

この変更は、ユーザーやユーザーにどのような影響を与えますか?

過去 12 か月間にセキュリティ更新プログラムなしで Android 13 以上を実行しているデバイスを使用しているアプリ保護ポリシーやコンプライアンス ポリシーを持つユーザーを対象としている場合、これらのデバイスは "厳密な整合性" 標準を満たさなくなります。

ユーザーへの影響 - この変更後に Android 13 以降でデバイスを実行しているユーザーの場合:

• 最新のセキュリティ更新プログラムが適用されていないデバイスは、"Strong Integrity" から "Device Integrity" にダウングレードされる可能性があります。これにより、影響を受けるデバイスの条件付き起動ブロックが発生する可能性があります。
• 最新のセキュリティ更新プログラムが適用されていないデバイスでは、Intune ポータル サイト アプリでデバイスが非準拠になり、organizationの条件付きアクセス ポリシーに基づいて会社のリソースにアクセスできなくなる可能性があります。

Android バージョン 12 以下を実行しているデバイスは、この変更の影響を受けません。

どのように準備できますか?

2025 年 9 月 30 日より前に、必要に応じてポリシーを確認して更新します。 Android 13 以上を実行しているデバイスを持つユーザーが、タイムリーなセキュリティ更新プログラムを受け取っていることを確認します。 アプリ保護状態レポートを使用して、デバイスが最後に受け取った Android セキュリティ パッチの日付を監視し、必要に応じて更新するようにユーザーに通知できます。 ユーザーへの警告またはブロックに役立つ次の管理者オプションを使用できます。

• アプリ保護ポリシーの場合は、 最小 OS バージョン と 最小パッチ バージョン の条件付き起動設定を構成します。 詳細については、Microsoft Intune の Android アプリ保護ポリシー設定に関するページを参照してください。 |Microsoft Learn
• コンプライアンス ポリシーの場合は、[ 最小セキュリティ パッチ レベル のコンプライアンス] 設定を構成します。 詳細については、「Intuneの Android Enterprise のデバイス コンプライアンス設定」を参照してください。

変更の計画: Windows Autopilot を使用してハイブリッド参加済みデバイスMicrosoft Entra展開するための新しいIntune コネクタ

Microsoft の Secure Future Initiative の一環として、最近、Windows Autopilot でハイブリッド参加済みデバイスMicrosoft Entra展開するためのローカル SYSTEM アカウントではなく、マネージド サービス アカウントを使用するように、Intune コネクタ for Active Directory に更新プログラムをリリースしました。 新しいコネクタは、ローカル SYSTEM アカウントに関連付けられている不要な特権とアクセス許可を減らすことで、セキュリティを強化することを目的としています。

重要

2025 年 6 月末に、ローカル SYSTEM アカウントを使用する古いコネクタを削除します。 その時点で、古いコネクタからの登録の受け入れを停止します。 詳細については、Microsoft Intune コネクタ for Active Directory セキュリティ更新プログラムに関するブログを参照してください。

この変更は、ユーザーやユーザーにどのような影響を与えますか?

Windows Autopilot を使用してハイブリッド参加済みデバイスをMicrosoft Entraしている場合は、デバイスを効果的に展開および管理し続けるために、新しいコネクタに移行する必要があります。 新しいコネクタに更新しない場合、古いコネクタを使用して新しいデバイスを登録することはできません。

どのように準備できますか?

次の手順に従って、環境を新しいコネクタに更新します。

1. Intune管理センターに新しいコネクタをダウンロードしてインストールします。
2. サインインして、マネージド サービス アカウント (MSA) を設定します。
3. ドメイン参加に必要な組織単位 (OU) を含むように、ODJConnectorEnrollmentWizard.exe.config ファイルを更新します。

詳細な手順については、「Microsoft Intune コネクタ for Active Directory セキュリティ更新プログラム」および「Intuneと Windows Autopilot を使用してハイブリッド参加済みデバイスMicrosoft Entra展開する」を参照してください。

変更の計画: Apple AI 機能の新しい設定。Genmojis, ライティング ツール, スクリーン キャプチャ

現在、Genmojis、書き込みツール、スクリーン キャプチャ用の Apple AI 機能は、アプリ保護ポリシー (APP) の "他のアプリに組織データを送信する" 設定が "すべてのアプリ" 以外の値に構成されている場合にブロックされます。 現在の構成、アプリの要件、および現在の Apple AI コントロールの一覧の詳細については、「Apple Intelligence のMicrosoft Intuneサポート」ブログを参照してください。

今後のリリースでは、Intune アプリ保護ポリシーには、画面キャプチャ、Genmojis、およびライティング ツールをブロックするための新しいスタンドアロン設定が用意されています。 これらのスタンドアロン設定は、Intune App SDK および App Wrapping Tool の Xcode 16 の Xcode 15 および 20.4.0 以降のバージョン 19.7.12 以降に更新されたアプリでサポートされています。

この変更は、ユーザーやユーザーにどのような影響を与えますか?

APP の [組織データを他のアプリに送信する] 設定を "すべてのアプリ" 以外の値に構成した場合、現在のユーザー エクスペリエンスの変更を防ぐために、アプリ保護ポリシーで新しい "Genmoji"、"書き込みツール"、および "スクリーン キャプチャ" 設定が [ブロック ] に設定されます。

注:

画面キャプチャを許可するようにアプリ構成ポリシー (ACP) を構成した場合、アプリ設定がオーバーライドされます。 新しい APP 設定を [許可] に更新し、ACP 設定を削除することをお勧めします。 画面キャプチャコントロールの詳細については、「 iOS/iPadOS アプリ保護ポリシー設定 |Microsoft Learn。

どのように準備できますか?

特定の AI 機能をブロックまたは許可するためのより詳細な制御が必要な場合は、アプリ保護ポリシーを確認して更新します。 (Apps>保護>ポリシーを選択します>プロパティ>基本>アプリ>データ保護)

変更の計画: 画面キャプチャ アクションがブロックされたときの iOS でのユーザー アラート

Intune App SDK と iOS 用のIntune App Wrapping Toolの今後のバージョン (20.3.0) では、マネージド アプリで画面キャプチャ アクション (記録とミラーリングを含む) が検出されたときにユーザーに対してサポートが追加されます。 アラートは、画面キャプチャをブロックするようにアプリ保護ポリシー (APP) を構成している場合にのみユーザーに表示されます。

この変更は、ユーザーやユーザーにどのような影響を与えますか?

画面キャプチャをブロックするように APP が構成されている場合、ユーザーはスクリーンショット、スクリーン レコード、または画面ミラーを試みたときに、画面キャプチャ アクションがorganizationによってブロックされることを示すアラートを表示します。

最新のIntune App SDK またはIntune App Wrapping Toolバージョンに更新されたアプリの場合、"すべてのアプリ" 以外の値に "組織データを他のアプリに送信する" を構成した場合、画面キャプチャはブロックされます。 iOS/iPadOS デバイスの画面キャプチャを許可するには、マネージド アプリアプリ構成ポリシー設定 "com.microsoft.intune.mam.screencapturecontrol" を [無効] に構成します。

どのように準備できますか?

IT 管理者のドキュメントを更新し、必要に応じてヘルプデスクまたはユーザーに通知します。 ブロック画面キャプチャの詳細については、「iOS/iPadOS MAM で保護されたアプリの新しいブロック画面キャプチャ」を参照してください。

変更の計画: 最新のIntune App SDK for iOS および iOS 用のIntune App Wrapping Toolで画面キャプチャをブロックする

最近、Intune App SDK とIntune App Wrapping Toolの更新されたバージョンをリリースしました。 これらのリリースに含まれる (Xcode 15 の場合は v19.7.5 以降、Xcode 16 の場合は v20.2.0 以降) は、iOS/iPadOS 18.2 の新しい AI 機能に応じて、画面キャプチャ、Genmojis、および書き込みツールをブロックするためのサポートです。

この変更は、ユーザーやユーザーにどのような影響を与えますか?

App SDK または Intune App Wrapping Tool バージョンの最新Intuneに更新されたアプリの場合、"他のアプリに組織データを送信する" を "すべてのアプリ" 以外の値に構成した場合、画面キャプチャはブロックされます。 iOS/iPadOS デバイスの画面キャプチャを許可するには、 マネージド アプリアプリ構成ポリシー 設定 "com.microsoft.intune.mam.screencapturecontrol" を [無効] に構成します。

どのように準備できますか?

アプリ保護ポリシーを確認し、必要に応じて、上記の設定を構成して画面キャプチャを許可する マネージド アプリアプリ構成ポリシー を作成します ([アプリ > アプリ構成ポリシー] > [Create > Managed Apps > Step 3 'Settings' under General configuration) を構成します。 詳細については、「 iOS アプリ保護ポリシー設定 - データ保護 と アプリ構成ポリシー - 管理対象アプリ」を参照してください。

変更の計画: SCEP 証明書と PKCS 証明書の強力なマッピングを実装する

2022 年 5 月 10 日の Windows 更新プログラム (KB5014754) では、証明書のなりすましに関連する特権の脆弱性の昇格を軽減するために、Windows Server 2008 以降のバージョンで Active Directory Kerberos Key Distribution (KDC) の動作が変更されました。 Windows では、 2025 年 2 月 11 日にこれらの変更が適用されます。

この変更に備えて、Intuneは、SCEP 証明書と PKCS 証明書を厳密にマップするセキュリティ識別子を含める機能をリリースしました。 詳細については、ブログ「サポート ヒント: Microsoft Intune証明書での強力なマッピングの実装」を参照してください。

この変更は、ユーザーやユーザーにどのような影響を与えますか?

これらの変更は、ハイブリッド参加ユーザーまたはデバイスのIntuneによって配信される SCEP 証明書と PKCS 証明書Microsoft Entra影響します。 証明書を厳密にマップできない場合、認証は拒否されます。 強力なマッピングを有効にするには:

• SCEP 証明書: セキュリティ識別子を SCEP プロファイルに追加します。 少数のデバイス グループでテストしてから、更新された証明書をゆっくりとロールアウトして、ユーザーの中断を最小限に抑えることが強くお勧めします。
• PKCS 証明書: 証明書コネクタの最新バージョンに更新し、レジストリ キーを変更してセキュリティ識別子を有効にしてから、コネクタ サービスを再起動します。 大事な： レジストリ キーを変更する前に、レジストリ キーを変更する方法と、レジストリをバックアップおよび復元する方法を確認してください。

詳細な手順とその他のガイダンスについては、「サポート ヒント: Microsoft Intune証明書での強力なマッピングの実装」ブログを参照してください。

どのように準備できますか?

ハイブリッド参加済みユーザーまたはデバイスMicrosoft Entra SCEP または PKCS 証明書を使用する場合は、2025 年 2 月 11 日より前に次のいずれかのアクションを実行する必要があります。

• (推奨)ブログで説明されている手順を確認して強力なマッピングを有効にする: サポート ヒント: Microsoft Intune証明書での強力なマッピングの実装
• または、SID が含まれている 2025 年 2 月 11 日より前にすべての証明書を更新できない場合は、「 KB5014754」の説明に従ってレジストリ設定を調整して互換モードを有効にします。 互換モードは 2025 年 9 月まで有効です。

最新のIntune App SDK と Android 15 用アプリ ラッパーのIntuneのサポートに更新する

最近、Android 15 をサポートするIntune App SDK と android 用のIntune App Wrapping Toolの新しいバージョンがリリースされました。 アプリケーションが安全でスムーズに実行されるように、アプリを最新の SDK またはラッパー バージョンにアップグレードすることをお勧めします。

この変更は、ユーザーやユーザーにどのような影響を与えますか?

Intune App SDK または Android 用のIntune App Wrapping Toolを使用するアプリケーションがある場合は、Android 15 をサポートするようにアプリを最新バージョンに更新することをお勧めします。

どのように準備できますか?

Android API 35 を対象とするアプリをビルドする場合は、Intune App SDK for Android (v11.0.0) の新しいバージョンを採用する必要があります。 アプリをラップし、API 35 を対象としている場合は、新しいバージョンのアプリ ラッパー (v1.0.4549.6) を使用する必要があります。

注:

注意してください。Android 15 を対象とする場合、アプリは最新の SDK に更新する必要があります。アプリは、Android 15 で実行するように SDK を更新する必要はありません。

また、SDK のサポートにこの変更を含めるために、該当する場合はドキュメントまたは開発者向けガイダンスを更新する予定です。

パブリック リポジトリを次に示します。

• Intune App SDK for Android
• Android 用のIntune App Wrapping Tool

Intune 2024 年 10 月にユーザーベースの管理方法で Android 10 以降をサポートするように移行する

2024 年 10 月、Intune では、ユーザー ベースの管理方法として Android 10 以降がサポートされています。これには次のものが含まれます。

• 個人所有 Android Enterprise の仕事用プロファイル。
• Android Enterprise の会社所有の仕事用プロファイル
• 完全に管理されている Android Enterprise
• Android オープン ソース プロジェクト (AOSP) ユーザー ベース
• Android デバイス管理者
• アプリ保護ポリシー
• マネージド アプリのアプリ構成ポリシー (ACP)

今後、Android の最新の 4 つのメジャー バージョンのみをサポートするまで、毎年 10 月に 1 つまたは 2 つのバージョンのサポートを終了します。 この変更の詳細については、2024 年 10 月のユーザー ベースの管理方法で Android 10 以降をサポートするために移行するIntuneに関するブログを参照してください。

注:

Android デバイス管理 (専用および AOSP ユーザーレス) と認定済み Android デバイスMicrosoft Teamsユーザーレスメソッドは、この変更の影響を受けません。

この変更は、ユーザーやユーザーにどのような影響を与えますか?

ユーザーベースの管理方法 (上記に示すように) の場合、Android 9 以前を実行している Android デバイスはサポートされません。 サポートされていない Android OS バージョンのデバイスの場合:

• Intuneテクニカル サポートは提供されません。
• Intuneでは、バグや問題に対処するための変更は行われません。
• 新機能と既存の機能が機能することは保証されていません。

Intuneでは、サポートされていない Android OS バージョンでのデバイスの登録や管理は妨げられませんが、機能は保証されておらず、使用することは推奨されません。

どのように準備できますか?

該当する場合は、この更新されたサポート ステートメントについてヘルプデスクに通知します。 ユーザーへの警告またはブロックに役立つ次の管理者オプションを使用できます。

• ユーザーに警告またはブロックするための最小 OS バージョン要件を持つ APP の 条件付き起動 設定を構成します。
• デバイス コンプライアンス ポリシーを使用し、非準拠のアクションを設定して、非準拠としてマークする前にメッセージをユーザーに送信します。
• 登録 制限を 設定して、古いバージョンを実行しているデバイスでの登録を禁止します。

詳細については、「Microsoft Intuneを使用してオペレーティング システムのバージョンを管理する」を参照してください。