Microsoft Intuneデプロイの概要

Microsoft Intuneは、デバイスとアプリの管理に役立つクラウドベースのサービスです。 organizationに対して実行できるMicrosoft Intuneの詳細については、「Microsoft Intuneとは」を参照してください。

この記事では、Intune の展開を開始する手順の概要について説明します。

アプリのセットアップ、アプリの追加、条件付きアクセスの使用、デバイス機能の構成、管理するデバイスの登録など、& Microsoft Intuneを開始するためのさまざまな手順を示す図。

ヒント

この記事のコンパニオンとして、Microsoft 365 管理センターにはいくつかのセットアップ ガイダンスもあります。 このガイドでは、環境に基づいてエクスペリエンスをカスタマイズします。 このデプロイ ガイドにアクセスするには、Microsoft 365 管理センターのMicrosoft Intuneセットアップ ガイドにアクセスし、グローバル リーダー (少なくとも) でサインインします。 これらの展開ガイドと必要なロールの詳細については、「Microsoft 365 および Office 365 製品の高度な展開ガイド」を参照してください。

サインインせずに自動セットアップ機能をアクティブ化せずにベスト プラクティスを確認するには、 M365 セットアップ ポータルにアクセスします。

はじめに

手順 1 - Intune を設定する

この手順では、次の手順を実行します。

✔️ デバイスがサポートされていることを確認し、Intune テナントを作成し、グループ & ユーザーを追加し、ライセンスを割り当てます

この手順では、Intune を設定し、ユーザー ID、アプリ、デバイスを管理するための準備をすることに重点を置いています。 Intune では、ドメイン、ユーザー、グループなど、Microsoft Entra ID の多くの機能が使用されます。

詳細については、「手順 1 - Microsoft Intuneを設定する」を参照してください。

手順 2 - アプリを追加して保護する

この手順では、次の手順を実行します。

✔️ Intune に 登録するデバイスで 、デバイスに必要なアプリのベースラインを作成し、登録中にこれらのアプリ ポリシーを割り当てます。 追加のセキュリティが必要なアプリでは、アプリ保護ポリシーも使用します。

✔️ Intune に 登録しないデバイスでは 、アプリ保護ポリシーと多要素認証 (MFA) を使用します。

  • アプリ保護ポリシーは、個人のデバイス上のorganizationデータを保護するのに役立ちます。
  • MFA は、承認されていないアクセスからorganizationのデータを保護するのに役立ちます。

詳細については、「 手順 2 - Intune を使用してアプリを追加、構成、保護する」を参照してください。

すべてのorganizationには、デバイスにインストールする必要があるアプリの基本セットがあります。 ユーザーがデバイスを登録する前に、Intune を使用してこれらのアプリをデバイスに割り当てることができます。 登録中に、アプリ ポリシーが自動的にデプロイされます。 登録が完了すると、アプリがインストールされ、使用する準備が整います。

必要に応じて、デバイスを登録し、アプリを割り当てることができます。 それはあなたの選択です。 次回ユーザーが新しいアプリをチェックすると、使用可能な新しいアプリが表示されます。

自分の個人用デバイスを持つユーザーがorganizationリソースにアクセスする場合は、少なくともモバイル アプリケーション管理 (MAM) を使用してorganization データにアクセスするアプリを保護する必要があります。 Outlook、Teams、SharePoint、およびその他のアプリの MAM ポリシーを作成できます。 Microsoft Intune計画ガイドには、個人用デバイスの管理に関するいくつかのガイダンスがあります。

注:

MFA は、Microsoft Entra テナントで有効にする必要があるMicrosoft Entra ID の機能です。 次に、アプリの MFA を構成します。 詳細については、次を参照してください:

手順 3 - コンプライアンスを確認し、条件付きアクセスを有効にする

この手順では、次の手順を実行します。

✔️ デバイス に必要なコンプライアンス ポリシーのベースラインを作成 し、登録中にこれらのコンプライアンス ポリシーを割り当てます。

✔️ 条件付きアクセスを有効 にして、コンプライアンス ポリシーを適用します。

詳細については、「 手順 3 – コンプライアンス ポリシーの計画」を参照してください。

Intune などの MDM ソリューションでは、デバイスが満たす必要があるルールを設定し、これらのルールのコンプライアンス状態を報告できます。 これらの規則はコンプライアンス ポリシーと呼ばれます。 コンプライアンス ポリシーと条件付きアクセスを組み合わせる場合は、デバイスがorganizationのデータにアクセスする前に、特定のセキュリティ要件を満たす必要があります。

ユーザーが Intune にデバイスを登録すると、登録プロセスでコンプライアンス ポリシーを自動的に展開できます。 登録が完了すると、管理者はコンプライアンスの状態をチェックし、ルールを満たしていないデバイスの一覧を取得できます。

必要に応じて、コンプライアンスを確認する前にデバイスを登録できます。 それはあなたの選択です。 次の Intune チェックでは、コンプライアンス ポリシーが割り当てられます。

注:

条件付きアクセスは、Microsoft Entra テナントで有効にする必要があるMicrosoft Entra ID の機能です。 その後、ユーザー ID、アプリ、デバイスの条件付きアクセス ポリシーを作成できます。 詳細については、次を参照してください:

手順 4 - デバイス機能を構成する

この手順では、次の手順を実行します。

✔️ 有効またはブロックする必要がある セキュリティ機能とデバイス機能のベースラインを作成 します。 登録中にこれらのプロファイルを割り当てます。

詳細については、「手順 4 - デバイス構成プロファイルを作成してデバイスをセキュリティで保護し、organization リソースにアクセスする」を参照してください。

organizationには、構成する必要がある、またはブロックする必要があるデバイスとセキュリティ機能の基本セットを含めることができます。 これらの設定は、デバイス構成とエンドポイント セキュリティ プロファイルに追加されます。 Microsoft では、登録時にキー セキュリティとデバイス構成ポリシーを割り当てることをお勧めします。 登録が開始されると、デバイス構成プロファイルが自動的に割り当てられます。 登録が完了すると、これらのデバイスとセキュリティ機能が構成されます。

必要に応じて、構成プロファイルを作成する前にデバイスを登録できます。 それはあなたの選択です。 次の Intune チェックで、プロファイルが割り当てられます。

Microsoft Intune管理センターでは、デバイス プラットフォーム (Android、iOS/iPadOS、macOS、Windows) に基づいてさまざまなプロファイルを作成できます。

次の記事は、適切なリソースです。

手順 5 - デバイスを登録する

この手順では、次の手順を実行します。

✔️ Intune にデバイスを登録します

詳細については、「手順 5 - 展開ガイダンス: Microsoft Intuneにデバイスを登録する」を参照してください。

デバイスを完全に管理するには、デバイスを Intune に登録して、条件付きアクセス ポリシー、アプリ ポリシー、デバイス構成ポリシー、および作成したセキュリティ ポリシー & コンプライアンスを受け取る必要があります。 管理者は、ユーザーとデバイスの登録ポリシーを作成します。 各デバイス プラットフォーム (Android、iOS/iPadOS、Linux、macOS、および Windows) には、さまざまな登録オプションがあります。 環境、シナリオ、デバイスの使用方法に最適なものを選択します。

選択した登録オプションに応じて、ユーザーは自分自身を登録できます。 または、登録を自動化して、ユーザーが自分のorganization アカウントを使用してデバイスにサインインするだけで済みます。

デバイスが登録されると、デバイスにはセキュリティで保護された MDM 証明書が発行されます。 この証明書は Intune サービスと通信します。

プラットフォームによって登録要件が異なります。 次の記事は、プラットフォーム固有のガイダンスなど、デバイス登録の詳細を確認するのに役立ちます。

Configuration Manager を使用したクラウド アタッチ

Microsoft Configuration Managerは、オンプレミスの Windows Server、デバイス、アプリ、データを保護するのに役立ちます。 クラウドとオンプレミスのエンドポイントの組み合わせを管理する必要がある場合は、クラウドでConfiguration Manager環境を Intune にアタッチできます。

Configuration Managerを使用する場合は、オンプレミス デバイスをクラウド接続する手順が 2 つあります。

  1. テナントアタッチ: Intune テナントをConfiguration Manager展開に登録します。 Configuration Managerデバイスは、Microsoft Intune管理センターに表示されます。 これらのデバイスでは、Web ベースの Intune 管理センターを使用して、アプリのインストールやWindows PowerShellスクリプトの実行など、さまざまなアクションを実行できます。

  2. 共同管理: Configuration ManagerとMicrosoft Intuneを使用して Windows クライアント デバイスを管理します。 Configuration Managerは一部のワークロードを管理し、Intune は他のワークロードを管理します。

    たとえば、Configuration Managerを使用して Windows 更新プログラムを管理したり、Intune を使用して条件付きアクセス ポリシー & コンプライアンスを管理したりすることができます。

現在Configuration Managerを使用している場合は、テナントアタッチを通じて即時の値を取得し、共同管理を通じてより多くの価値を得ることができます。

organizationに適したMicrosoft Intuneセットアップに関するガイダンスについては、「デプロイ ガイド: セットアップまたはMicrosoft Intuneに移動する」を参照してください。

次の手順