次の方法で共有

Microsoft Intune は、ID を安全に管理し、アプリを管理し、デバイスを管理します

  • [アーティクル]

組織がハイブリッドとリモートの従業員をサポートする場合、組織のリソースにアクセスするさまざまなデバイスの管理に挑戦しています。 従業員と学生は、共同作業を行い、どこからでも作業し、これらのリソースに安全にアクセスして接続する必要があります。 管理者は、組織のデータを保護し、エンド ユーザー アクセスを管理し、どこからでもユーザーをサポートする必要があります。

✅ これらの課題とタスクを支援するには、Microsoft Intune を使用します。

Microsoft Intune は、 クラウドベースのエンドポイント管理ソリューションです。 組織のリソースへのユーザー アクセスを管理し、モバイル デバイス、デスクトップ コンピューター、仮想エンドポイントなど、多くのデバイス全体でアプリとデバイスの管理を簡素化します。

Microsoft Intune の機能と利点を示す図。

組織が所有するデバイスとユーザーの個人デバイスのアクセスとデータを保護できます。 また、Intune には、 ゼロ トラスト セキュリティ モデルをサポートするコンプライアンスとレポート機能があります。

この記事では、Microsoft Intune の一部の機能と利点を示します。

ヒント

主な機能と利点

Intune の主な機能と利点は次のとおりです。

ユーザーとデバイスを管理する

Intune では、組織が所有するデバイスとエンド ユーザーが所有するデバイスを管理できます。 Microsoft Intune では、Android、Android オープン ソース プロジェクト (AOSP)、iOS/iPadOS、Linux Ubuntu Desktop、macOS、および Windows クライアント デバイスがサポートされています。 Intune では、これらのデバイスを使用して、作成したポリシーを使用して組織のリソースに安全にアクセスできます。

詳細については、次を参照してください:

注:

オンプレミスの Windows Server を管理する場合は、Configuration Manager を使用できます。

アプリ管理を簡素化する

Intune には、アプリの展開、更新、削除など、アプリ エクスペリエンスが組み込まれています。 次の操作を行うことができます:

  • プライベート アプリ ストアに接続して、アプリを配布します。
  • Microsoft Teamsを含む Microsoft 365 アプリを有効にします。
  • Win32 アプリと基幹業務 (LOB) アプリをデプロイします。
  • アプリ内のデータを保護するアプリ保護ポリシーを作成します。
  • データ & アプリへのアクセスを管理します。

詳細については、「 Microsoft Intune を使用してアプリを管理する」を参照してください。

ポリシーのデプロイを自動化する

アプリ、セキュリティ、デバイス構成、コンプライアンス、条件付きアクセスなどのポリシーを作成できます。 ポリシーの準備ができたら、これらのポリシーをユーザー グループとデバイス グループに展開できます。 これらのポリシーを受け取るために、デバイスにはインターネット アクセスのみが必要です。

詳細については、「 Microsoft Intune でポリシーを割り当てる」を参照してください。

セルフサービス機能を使用する

従業員と学生は、ポータル サイト アプリと Web サイトを使用して、PIN/パスワードのリセット、アプリのインストール、グループへの参加などを行うことができます。 ポータル サイトをカスタマイズして、サポート呼び出しを減らすことができます。

詳細については、「 Intune ポータル サイト アプリ、ポータル サイト Web サイト、Intune アプリを構成する」を参照してください。

モバイル脅威防御との統合

Intune は、Microsoft Defender for Endpoint およびサード パーティのパートナー サービスと統合されます。 これらのサービスでは、エンドポイント セキュリティに重点を置きます。 脅威に対応するポリシーを作成し、リアルタイムのリスク分析を行い、修復を自動化できます。

詳細については、「 Mobile Threat Defense と Intune の統合」を参照してください。

Web ベースの管理センターを使用する

Intune 管理センターでは、データドリブン レポートを含むエンドポイント管理に重点を置いています。 管理者は、インターネットにアクセスできる任意のデバイスから管理センターにサインインできます。

詳細については、「 Intune 管理センターのチュートリアル」を参照してください。 管理センターにサインインするには、 Microsoft Intune 管理センターに移動します。

この管理センターでは 、Microsoft Graph REST API を使用して、プログラムによって Intune サービスにアクセスします。 管理センターのすべてのアクションは、Microsoft Graph 通話です。 Graph に詳しくなく、詳細については、「 Graph と Microsoft Intune の統合」をご覧ください。

高度なエンドポイント管理とセキュリティ

Microsoft Intune Suite には、リモート ヘルプ、エンドポイント特権管理、MICROSOFT Tunnel for MAM などのさまざまな機能が用意されています。

詳細については、「 Intune Suite アドオン機能」を参照してください。

ヒント

トレーニング モジュールをステップ実行して、Microsoft Intune で 最新のエンドポイント管理を利用 する方法について説明します。

AI で生成された分析に Intune で Microsoft Copilot を使用する

Intune の Copilot は利用でき、セキュリティのために Copilot を利用できる機能があります。

Copilot は、既存のポリシーを要約し、推奨値や競合の可能性など、より多くの設定情報を提供できます。 デバイスの詳細を取得し、デバイスのトラブルシューティングを行うこともできます。

詳細については、 Intune の Microsoft Copilot に関するページを参照してください。

他の Microsoft サービスやアプリとの統合

Microsoft Intune は、次のようなエンドポイント管理に焦点を当てた他の Microsoft 製品やサービスと統合されています。

  • ソフトウェア更新プログラムの展開やデータ センターの管理など、オンプレミスのエンドポイント管理と Windows Server 用の Configuration Manager

    共同管理シナリオで Intune と Configuration Manager を一緒に使用したり、テナントアタッチを使用したり、両方を使用したりできます。 これらのオプションを使用すると、Web ベースの管理センターの利点を得ることができ、Intune で利用できる他のクラウドベースの機能を使用できます。

    詳細については、次のページを参照してください。

  • 最新の OS の展開とプロビジョニング用の Windows Autopilot

    Windows Autopilot を使用すると、新しいデバイスをプロビジョニングし、これらのデバイスを OEM またはデバイス プロバイダーからユーザーに直接送信できます。 既存のデバイスの場合は、これらのデバイスを再イメージ化して Windows Autopilot を使用し、最新バージョンの Windows を展開できます。

    詳細については、次のページを参照してください。

  • デバイスのパフォーマンスと信頼性など、エンド ユーザー エクスペリエンスの可視性とレポートのためのエンドポイント分析

    エンドポイント分析を使用して、デバイスの速度を低下させるポリシーまたはハードウェアの問題を特定できます。 また、エンド ユーザー エクスペリエンスを事前に改善し、ヘルプ デスクのチケットを減らすのに役立つガイダンスも提供します。

    詳細については、次のページを参照してください。

  • Outlook、Teams、Sharepoint、OneDrive など、エンド ユーザーの生産性を向上させるための Microsoft 365 Office アプリ

    Intune を使用すると、組織内のユーザーとデバイスに Microsoft 365 アプリを展開できます。 ユーザーが初めてサインインするときに、これらのアプリをデプロイすることもできます。

    詳細については、次のページを参照してください。

  • Microsoft Defender for Endpoint は、企業が脅威を防止、検出、調査、対応するのに役立ちます

    Intune では、Intune と Microsoft Defender for Endpoint の間にサービス間接続を作成できます。 接続されると、ファイルをスキャンし、脅威を検出し、脅威レベルを Microsoft Defender for Endpoint に報告するポリシーを作成できます。 許容レベルのリスクを設定するコンプライアンス ポリシーを作成することもできます。 条件付きアクセスと組み合わせると、非準拠のデバイスの組織リソースへのアクセスをブロックできます。

    詳細については、次のページを参照してください。

  • Windows Autopatch for automatic patching of Windows, Microsoft 365 apps for enterprise, Microsoft Edge, and Microsoft Teams

    Windows Autopatch はクラウドベースのサービスです。 ソフトウェアを最新の状態に保ち、ユーザーに最新の生産性ツールを提供し、オンプレミスのインフラストラクチャを最小限に抑え、IT 管理者が他のプロジェクトに集中できるように支援します。 Windows Autopatch では、Microsoft Intune を使用して、共同管理 (Intune + Configuration Manager) を使用して、Intune に登録されたデバイスまたはデバイスのパッチ適用を管理します。

    詳細については、次のページを参照してください。

サード パーティのパートナー デバイスとアプリとの統合

Intune 管理センターを使用すると、次のようなさまざまなパートナー サービスに簡単に接続できます。

これらのサービスを使用すると、Intune は次の手順を実行します。

  • 管理者にサード パーティのパートナー アプリ サービスへの簡単なアクセスを提供します。
  • 何百ものサード パーティのパートナー アプリを管理できます。
  • パブリック 小売店アプリ、基幹業務 (LOB) アプリ、パブリック ストアで使用できないプライベート アプリ、カスタム アプリなどをサポートします。

Intune にサード パーティのパートナー デバイスを登録するためのプラットフォーム固有の要件の詳細については、次のページを参照してください。

デバイス管理、アプリケーション管理、またはその両方に登録する

✅ 組織所有のデバイスは、 モバイル デバイス管理 (MDM) のために Intune に登録されます。 MDM はデバイス中心であるため、デバイス機能は必要なユーザーに基づいて構成されます。 たとえば、サインインしているユーザーが組織アカウントの場合にのみ、Wi-Fi へのアクセスを許可するようにデバイスを構成できます。

Intune では、機能 & 設定を構成し、セキュリティ & 保護を提供するポリシーを作成します。 管理者チームは、サインインするユーザー ID、インストールされているアプリ、アクセスされるデータなど、デバイスを完全に管理します。

デバイスが登録されると、登録プロセス中にポリシーを展開できます。 登録が完了すると、デバイスを使用する準備が整います。

✅ Bring-your-own-device (BYOD) シナリオの個人用デバイスの場合は、 モバイル アプリケーション管理 (MAM) に Intune を使用できます。 MAM はユーザー中心であるため、アプリ データは、このデータへのアクセスに使用されるデバイスに関係なく保護されます。 アプリへの安全なアクセスやアプリ内のデータの保護など、アプリに焦点を当てています。

MAM を使用すると、次のことができます。

  • モバイル アプリをユーザーに発行する。
  • アプリを構成し、アプリを自動的に更新します。
  • アプリ インベントリとアプリの使用状況に焦点を当てたデータ レポートを表示します。

✅ MDM と MAM を一緒に使用することもできます。 デバイスが登録されていて、追加のセキュリティが必要なアプリがある場合は、MAM アプリ保護ポリシーを使用することもできます。

詳細については、以下をご覧ください。

任意のデバイス上のデータを保護する

Intune を使用すると、 マネージド デバイス (Intune に 登録) 上のデータを保護し、 非管理対象デバイス (Intune に登録されていない) 上のデータを保護できます。 Intune では、組織データを個人データから分離できます。 アイデアは、構成してデプロイするポリシーを使用して会社の情報を保護する方法です。

組織所有のデバイスの場合は、デバイス、特にセキュリティを完全に制御する必要があります。 デバイスが登録されると、セキュリティ規則と設定を受け取ります。

Intune に登録されているデバイスでは、次のことができます。

  • セキュリティ設定の構成、パスワード要件の設定、証明書の展開などを行うポリシーを作成して展開します。
  • モバイル脅威防御サービスを使用して、デバイスのスキャン、脅威の検出、脅威の修復を行います。
  • セキュリティ設定とルールのコンプライアンスを測定するデータとレポートを表示します。
  • 条件付きアクセスを使用して、組織のリソース、アプリ、データへのアクセスをマネージド デバイスと準拠デバイスのみに許可します。
  • デバイスが紛失または盗難にあった場合は、組織データを削除します。

個人のデバイスの場合、ユーザーは IT 管理者にフル コントロールを持たせたくない場合があります。 ハイブリッド作業環境をサポートするには、ユーザーにオプションを指定します。 たとえば、組織のリソースにフル アクセスする場合は、ユーザーが自分のデバイスを登録します。 または、これらのユーザーが Outlook またはMicrosoft Teamsへのアクセスのみを必要とする場合は、多要素認証 (MFA) を必要とするアプリ保護ポリシーを使用します。

アプリケーション管理を使用するデバイスでは、次のことができます。

  • モバイル脅威防御サービスを使用してアプリ データを保護します。 このサービスでは、デバイスのスキャン、脅威の検出、リスクの評価を行うことができます。
  • 組織のデータが個人用アプリにコピーおよび貼り付けされないようにします。
  • アプリと、サード パーティまたはパートナー MDM に登録されている管理されていないデバイスでアプリ保護ポリシーを使用します。
  • 条件付きアクセスを使用して、組織のメールやファイルにアクセスできるアプリを制限します。
  • アプリ内の組織データを削除します。

詳細については、以下をご覧ください。

アクセスを簡略化する

Intune は、組織がどこからでも作業できる従業員をサポートするのに役立ちます。 ユーザーがどこにいても組織に接続できるようにする機能を構成できます。

このセクションには、Intune で構成できる一般的な機能がいくつか含まれています。

パスワードの代わりに Windows Hello for Business を使用する

Windows Hello for Business は、フィッシング攻撃やその他のセキュリティ上の脅威から保護するのに役立ちます。 また、ユーザーがデバイスやアプリにすばやく簡単にサインインするのにも役立ちます。

Windows Hello for Business では、パスワードが PIN または生体認証 (指紋や顔認識など) に置き換えられます。 この生体認証情報はデバイスにローカルに保存され、外部デバイスやサーバーに送信されることはありません。

詳細については、次を参照してください:

リモート ユーザー用の VPN 接続を作成する

VPN ポリシーを使用すると、ユーザーは組織ネットワークに安全なリモート アクセスを提供できます。

Check Point、Cisco、Microsoft Tunnel、NetMotion、Pulse Secure などの一般的な VPN 接続パートナーを使用して、ネットワーク設定を使用して VPN ポリシーを作成できます。 ポリシーの準備ができたら、ネットワークにリモートで接続する必要があるユーザーとデバイスにこのポリシーを展開します。

VPN ポリシーでは、証明書を使用して VPN 接続を認証できます。 証明書を使用する場合、エンド ユーザーはユーザー名とパスワードを入力する必要はありません。

詳細については、次を参照してください:

オンプレミス ユーザーの Wi-Fi 接続を作成する

オンプレミスの組織ネットワークに接続する必要があるユーザーの場合は、ネットワーク設定を使用して Wi-Fi ポリシーを作成できます。 特定の SSID に接続したり、認証方法を選択したり、プロキシを使用したりできます。 デバイスが範囲内にあるときに Wi-Fi に自動的に接続するようにポリシーを構成することもできます。

Wi-Fi ポリシーでは、証明書を使用して Wi-Fi 接続を認証できます。 証明書を使用する場合、エンド ユーザーはユーザー名とパスワードを入力する必要はありません。

ポリシーの準備ができたら、オンプレミス のネットワークに接続する必要があるオンプレミスのユーザーとデバイスにこのポリシーを展開します。

詳細については、以下をご覧ください。

アプリとサービスへのシングル サインオン (SSO) を有効にする

SSO を有効にすると、ユーザーは、一部のモバイル脅威防御パートナー アプリを含め、Microsoft Entra 組織アカウントを使用してアプリやサービスに自動的にサインインできます。

特に次のような場合です。