Microsoft Intune の新機能

週ごとの Microsoft Intune の新機能について説明します。

次の情報も読むことができます。

• 重要な通知
• 新 着情報アーカイブの過去のリリース
• Intune サービス更新プログラムのリリース方法に関する情報

注:

毎月の更新プログラムのロールアウトには最大 3 日かかる場合があり、次の順序になります。

• 1 日目: アジア太平洋 (APAC)
• 2 日目: ヨーロッパ、中東、アフリカ (EMEA)
• 3 日目: 北米
• 4 日目以降: 政府機関向け Intune

一部の機能は数週間にわたってロールアウトされ、最初の週にすべての顧客が利用できない場合があります。

今後の Intune 機能リリースのリストについては、「Microsoft Intune の開発中の機能」を参照してください。 Autopilot の新しい情報については、「 Windows Autopilot の新機能」を参照してください。

RSS を使用して、このページが更新されたときに通知を受け取ることができます。 詳細については、「ドキュメントの 使い方」を参照してください。

2024 年 4 月 15 日の週

Intune アプリ

Intune 用に新しく利用可能になった保護されたアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• Atom Edge by Arlanto Apps

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

2024 年 4 月 1 日の週

デバイス管理

Intuneの Copilot は、Intune管理センター (パブリック プレビュー) で使用できます

Intuneの Copilot は、Intune管理センターに統合されており、情報をすばやく取得するのに役立ちます。 次のタスクでは、Intuneで Copilot を使用できます。

✅Copilot は、設定とポリシーの管理に役立ちます

• 設定に関する Copilot ヒント: ポリシーに設定を追加したり、既存のポリシーの設定を確認したりすると、新しい Copilot ヒントが表示されます。 ツールヒントを選択すると、Microsoft のコンテンツと推奨事項に基づいて AI によって生成されるガイダンスが表示されます。 設定が別のポリシーで構成されている場合は、各設定の動作、設定のしくみ、推奨値などを確認できます。

• ポリシー サマライザー: 既存のポリシーでは、ポリシーの Copilot の概要が表示されます。 この概要では、ポリシーの実行内容、ポリシーに割り当てられたユーザーとグループ、およびポリシーの設定について説明します。 この機能は、ポリシーとその設定がユーザーとデバイスに与える影響を理解するのに役立ちます。

✅Copilot はデバイスの詳細を表示し、トラブルシューティングに役立ちます

• デバイスに関するすべて: デバイスでは、Copilot を使用して、デバイスのプロパティ、構成、状態情報など、デバイスに関する重要な情報を取得できます。

• デバイスの比較: Copilot を使用して、2 つのデバイスのハードウェアプロパティとデバイス構成を比較します。 この機能は、特にトラブルシューティングを行う場合に、同様の構成を持つ 2 つのデバイス間で何が異なるかを判断するのに役立ちます。

• エラー コード アナライザー: デバイス ビューで Copilot を使用してエラー コードを分析します。 この機能は、エラーの意味を理解し、潜在的な解決策を提供するのに役立ちます。

✅Copilot for SecurityのIntune機能

Intuneには、Copilot for Security ポータルで使用できる機能があります。 SOC アナリストと IT 管理者は、これらの機能を使用して、ポリシー、デバイス、グループ メンバーシップなどの詳細情報を取得できます。 1 つのデバイスで、コンプライアンスの状態、デバイスの種類など、Intuneに固有のより具体的な情報を取得できます。

また、Copilot に対して、ユーザーのデバイスについて説明し、Intuneでのユーザーのデバイスへのリンク、デバイス ID、登録日、最終チェック日付、コンプライアンスの状態など、重要な情報の簡単な概要を取得するように依頼することもできます。 IT 管理者でユーザーを確認している場合、このデータは簡単な概要を提供します。

疑わしい、または侵害される可能性のあるユーザーまたはデバイスを調査している SOC アナリストは、登録日や最終チェックなどの情報を基にした意思決定に役立ちます。

これらの機能の詳細については、以下のリンクにアクセスしてください。

• Intuneの Microsoft Copilot
• Copilot for SecurityのMicrosoft Intune データにアクセスする

適用対象:

• Android
• iOS/iPadOS
• macOS
• Windows

GCC のお客様は、Windows および Android デバイスにリモート ヘルプを使用できます

Microsoft Intune Suiteには、リモート ヘルプを含む高度なエンドポイント管理とセキュリティ機能が含まれています。

Windows および登録済みの Android Enterprise 専用デバイスでは、米国政府機関 GCC 環境でリモート ヘルプを使用できます。

これらの機能の詳細については、以下のリンクにアクセスしてください。

• 米国政府機関 GCC サービスの説明に関するMicrosoft Intune
• Microsoft Intuneでリモート ヘルプを使用する

適用対象:

• Windows 10 または 11
• ARM64 デバイスのWindows 10/11
• Windows 365
• Android Enterprise 専用デバイスとして登録されている Samsung デバイスと Zebra デバイス

デバイス構成

OEM 向けの新しい BIOS デバイス構成プロファイル

OEM 用の新しい BIOS 構成とその他の設定 デバイス構成ポリシーがあります。 管理者は、この新しいポリシーを使用して、デバイスをセキュリティで保護するさまざまな BIOS 機能を有効または無効にすることができます。 Intuneデバイス構成ポリシーでは、BIOS 構成ファイルを追加し、Win32 アプリをデプロイしてから、デバイスにポリシーを割り当てます。

たとえば、管理者は Dell Command ツール (Dell の Web サイトを開く) を使用して BIOS 構成ファイルを作成できます。 次に、このファイルを新しいIntune ポリシーに追加します。

この機能の詳細については、「Microsoft Intuneの Windows デバイスで BIOS 構成プロファイルを使用する」を参照してください。

適用対象

• Windows 10 以降

2024 年 3 月 25 日の週 (サービス リリース 2403)

Microsoft Intune Suite

エンドポイント特権管理の新しい昇格の種類

Endpoint Privilege Management には、新しいファイル昇格の種類があり、 サポートが承認されています。 Endpoint Privilege Management は、Microsoft Intune Suiteの機能コンポーネントであり、スタンドアロン Intune アドオンとしても使用できます。

サポートが承認された昇格では、既定の昇格応答と各ルールの昇格の種類の両方に対して 3 番目のオプションが提供されます。 自動またはユーザーによる確認とは異なり、サポートが承認された昇格要求では、Intune管理者は、ケース バイ ケースで管理者特権で実行できるファイルを管理する必要があります。

承認された昇格をサポートすると、ユーザーは、自動またはユーザーが承認したルールによって昇格が明示的に許可されていないアプリケーションを昇格するための承認を要求できます。 これは、昇格要求を承認または拒否できるIntune管理者が確認する必要がある昇格要求の形式をとります。

要求が承認されると、アプリケーションを管理者特権で実行できるようになったことがユーザーに通知され、昇格の承認が期限切れになるまで、承認時から 24 時間が経過します。

適用対象:

• Windows 10
• Windows 11

この新機能の詳細については、「 承認済みの昇格要求をサポートする」を参照してください。

アプリ管理

仕事用プロファイルを持つ個人所有の Android デバイス上のマネージド Google Play アプリの拡張機能

仕事用プロファイル デバイスに拡張された新機能があります。 次の機能は、以前は企業所有のデバイスでのみ使用できます。

• デバイス グループで使用できるアプリ: Intuneを使用して、マネージド Google Play ストアを通じてデバイス グループでアプリを使用できるようにします。 以前は、アプリはユーザー グループでのみ使用できました。

• 更新の優先度設定: Intuneを使用して、仕事用プロファイルを持つデバイスでアプリの更新の優先順位を構成できます。 この設定の詳細については、「 マネージド Google Play アプリを更新する」を参照してください。

• 必要なアプリは、マネージド Google Play で使用可能な場合に表示されます。Intuneを使用して、マネージド Google Play ストアを通じてユーザーが必要なアプリを使用できるようにします。 既存のポリシーの一部であるアプリが使用可能として表示されるようになりました。

これらの新機能は、複数月にわたって段階的なロールアウトに従います。

適用対象:

• 仕事用プロファイルがある個人所有の Android Enterprise デバイス

デバイス構成

Apple 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。 Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

[設定カタログ] に新しい設定があります。 これらの設定を表示するには、Microsoft Intune管理センターで、[デバイス>の構成] [>IOS/iPadOS の作成] または [macOS for platform >Settings catalog for profile type]\(プロファイルの種類\) の [iOS/iPadOS または macOS の作成>] に移動します。

iOS/iPadOS

宣言型デバイス管理 (DDM) > パスコード:

• パスコードの最長有効期間 (日数)
• 最小複合文字
• 英数字パスコードを要求する

制限事項:

• Marketplace アプリのインストールを許可する

macOS

宣言型デバイス管理 (DDM) > パスコード:

• 次回認証時に変更する
• カスタム正規表現
• 失敗した試行のリセット (分単位)
• パスコードの最長有効期間 (日数)
• 最小複合文字
• 英数字パスコードを要求する

ディスクの完全暗号化 > FileVault:

• 回復キーのローテーション (月単位)

Windows 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[設定カタログ] に新しい設定があります。 これらの設定を表示するには、Microsoft Intune管理センターで、[デバイス>構成の作成>]> に移動しWindows 10以降の [プロファイルの種類のプラットフォーム>設定カタログ] に移動します。

• 配信の最適化:

  • [VPN でのキャッシュ サーバーのダウンロードを禁止する ] - この設定では、デバイスが VPN を使用して接続するときに、Microsoft Connected Cache サーバーからのダウンロードがブロックされます。 既定では、VPN を使用して接続されている場合、デバイスは Microsoft Connected Cache からダウンロードできます。

  • DO バックグラウンド ダウンロード帯域幅を制限する時間を設定する - この設定では、バックグラウンドダウンロードの最大帯域幅を指定します。 配信の最適化では、利用可能なダウンロード帯域幅の割合として、すべての同時ダウンロード アクティビティで、営業時間中と営業時間外にこの帯域幅が使用されます。

  • DO 前景ダウンロード帯域幅を制限するように時間を設定する - この設定では、フォアグラウンドダウンロードの最大帯域幅を指定します。 配信の最適化では、利用可能なダウンロード帯域幅の割合として、すべての同時ダウンロード アクティビティで、営業時間中と営業時間外にこの帯域幅が使用されます。

  • DO VPN キーワード - このポリシーを使用すると、VPN 接続を認識するために使用される 1 つ以上のキーワードを設定できます。

• メッセージング:

  • メッセージ同期を許可 する - このポリシー設定では、携帯ネットワーク テキスト メッセージのバックアップと復元を Microsoft のクラウド サービスに許可します。

• Microsoft Defenderウイルス対策:

  • アーカイブ ファイルをスキャンする最大深度を指定する
  • スキャンするアーカイブ ファイルの最大サイズを指定する

これらの設定の詳細については、次を参照してください。

• ポリシー CSP - DeliveryOptimization
• ポリシー CSP - メッセージング
• ポリシー CSP - ADMX_MicrosoftDefenderAntivirus

適用対象:

• Windows 10 以降

Windows デバイスのウイルス対策ポリシーに追加された新しいアーカイブ ファイル スキャン設定

Windows 10 デバイスとWindows 11 デバイスに適用されるエンドポイント セキュリティウイルス対策ポリシーのMicrosoft Defenderウイルス対策プロファイルに、次の 2 つの設定が追加されました。

• アーカイブ ファイルをスキャンする最大深度を指定 する - この設定を使用すると、スキャン中に .ZIP や .CAB などのアーカイブ ファイルを開梱する最大ディレクトリ深度レベルを構成できます。
• スキャンするアーカイブ ファイルの最大サイズを指定 する - この設定を使用すると、スキャンされる .ZIP や .CAB などのアーカイブ ファイルの最大サイズを構成できます。 値は、ファイル サイズ (KB) をキロバイト単位で表します。

ウイルス対策ポリシーを使用すると、Intuneによって登録されたデバイスと、Defender for Endpoint セキュリティ設定管理シナリオで管理されているデバイスで、これらの設定を管理できます。

どちらの設定も、デバイス>構成>の作成>Windows 10以降のプロファイルの種類 >Defender のプラットフォーム>設定カタログの設定カタログで使用できます。

適用対象:

• Windows 10
• Windows 11

割り当てフィルターへのUpdates

Intune割り当てフィルターを使用して、作成したルールに基づいてポリシーを割り当てることができます。

これで、次のことができます。

• Window MAM アプリ保護ポリシーとアプリ構成ポリシーには、マネージド アプリ割り当てフィルターを使用します。
• 既存の割り当てフィルターを [プラットフォーム]、[ マネージド アプリ ] または [ マネージド デバイス ] フィルターの種類でフィルター処理します。 フィルターが多数ある場合、この機能を使用すると、作成した特定のフィルターを簡単に見つけることができます。

これらの機能の詳細については、以下を参照してください。

• Microsoft Intuneでアプリ、ポリシー、プロファイルを割り当てるときにフィルターを使用する
• Windows MAM のデータ保護

この機能は、以下に適用されます。

• 次のプラットフォーム上のマネージド デバイス:

  • Android デバイス管理者
  • Android Enterprise
  • Android (AOSP)
  • iOS/iPadOS
  • macOS
  • Windows 10 または 11

• 次のプラットフォーム上のマネージド アプリ:

  • Android
  • iOS/iPadOS
  • Windows

デバイス管理

新しいコンプライアンス設定を使用すると、ハードウェアに基づくセキュリティ機能を使用してデバイスの整合性を確認できます

ハードウェアに基づくセキュリティ機能を使用して強力な整合性を確認するという新しいコンプライアンス設定を使用すると、ハードウェアに基づくキー構成証明を使用してデバイスの整合性を確認できます。 この設定を構成すると、強力な整合性構成証明が Google Play の整合性判定評価に追加されます。 準拠を維持するには、デバイスがデバイスの整合性を満たす必要があります。 Microsoft Intuneは、この種類の整合性チェックをサポートしていないデバイスを非準拠としてマークします。

この設定は、Android Enterprise のフル マネージド、専用、および企業所有の仕事用プロファイルの [ Device Health>Google Play Protect] で使用できます。 これは、プロファイルの [Play integrity verdict policy] が [ 基本的な整合性の確認 ] または [デバイスの整合性 & 基本的な整合性の確認] に設定されている場合にのみ使用できるようになります。

適用対象:

• Android Enterprise

詳細については、「 デバイスコンプライアンス - Google Play Protect」を参照してください。

Android 仕事用プロファイル、個人用デバイスの新しいコンプライアンス設定

これで、デバイス パスワードに影響を与えることなく、仕事用プロファイル パスワードのコンプライアンス要件を追加できるようになりました。 すべての新しいMicrosoft Intune設定は、Android Enterprise 個人所有の仕事用プロファイルの [システム セキュリティ>作業プロファイル セキュリティ] のコンプライアンス プロファイルで使用でき、次のものが含まれます。

• 仕事用プロファイルのロックを解除するためにパスワードを要求する
• パスワードの有効期限が切れるまでの日数
• 再使用を禁止するパスワード世代数
• パスワードが要求されるまでの非アクティブの最長時間 (分)
• パスワードの複雑さ
• パスワードの入力が必要
• パスワードの最小文字数

仕事用プロファイルのパスワードが要件を満たしていない場合、ポータル サイトデバイスは非準拠としてマークされます。 Intuneコンプライアンス設定は、Intuneデバイス構成プロファイルのそれぞれの設定よりも優先されます。 たとえば、コンプライアンス プロファイルのパスワードの複雑さが中に設定されていて、構成プロファイル内のパスワードが高に設定されている場合、Intuneはコンプライアンスに優先順位を付けて適用します。

適用対象:

• 仕事用プロファイルがある個人所有の Android Enterprise デバイス

詳細については、「コンプライアンス設定 - Android Enterprise」を参照してください。

セキュリティ以外の更新プログラムを迅速化するための Windows 品質更新プログラムのサポート

Windows 品質更新プログラムでは、品質修正プログラムを通常の品質更新プログラムの設定よりも速く展開する必要がある場合に、セキュリティ以外の更新プログラムの迅速化がサポートされるようになりました。

適用対象:

• Windows 11 デバイス

迅速な更新プログラムのインストールの詳細については、「Microsoft Intuneでの Windows 品質更新プログラムの迅速化」を参照してください。

構成更新の適用間隔を一時停止するリモート アクションの概要

Windows 設定カタログでは、 構成の更新を構成できます。 この機能を使用すると、以前に受信したポリシー設定を Windows デバイスに再適用する間隔を設定できます。デバイスをIntuneにチェックする必要はありません。 デバイスは、構成ドリフトの可能性を最小限に抑えるために、以前に受信したポリシーに基づいて設定を再生して再適用します。

この機能をサポートするために、操作の一時停止を許可するリモート アクションが追加されます。 管理者がトラブルシューティングやメンテナンスのためにデバイスで変更を加えたり修復を実行したりする必要がある場合は、指定した期間、Intuneから一時停止を発行できます。 期間が期限切れになると、設定が再度適用されます。

リモート アクション [ 構成の更新の一時停止] には、デバイスの概要ページからアクセスできます。

詳細については、以下を参照してください:

• リモート操作
• 構成の更新を一時停止するリモート アクション

デバイスのセキュリティ

Windows バージョン 23H2 のセキュリティ ベースラインを更新しました

Windows バージョン 23H2 のIntuneセキュリティ ベースラインをデプロイできるようになりました。 この新しいベースラインは、Microsoft ダウンロード センターのセキュリティ コンプライアンス ツールキットとベースラインにあるグループ ポリシーセキュリティ ベースラインのバージョン 23H2 に基づいており、Intuneによって管理されるデバイスに適用される設定のみが含まれます。 この更新されたベースラインを使用すると、Windows デバイスのベスト プラクティス構成を維持するのに役立ちます。

このベースラインでは、ユーザー インターフェイスとレポート エクスペリエンスの向上、入れ墨の設定に関連する一貫性と精度の向上、プロファイルの割り当てフィルターをサポートする新しい機能を備えた、設定カタログに表示される統合設定プラットフォームを使用します。

Intuneセキュリティ ベースラインを使用すると、Microsoft の該当するセキュリティ チームのセキュリティに関する推奨事項を満たす構成を Windows デバイスに迅速に展開できます。 すべてのベースラインと同様に、既定のベースラインは推奨される構成を表します。これは、organizationの要件を満たすように変更できます。

適用対象:

• Windows 10
• Windows 11

既定の構成に含まれる新しいベースラインの設定を表示するには、「 Windows MDM セキュリティ ベースライン バージョン 23H2」を参照してください。

ポッドマンのルートレス実装を使用して Microsoft Tunnel をホストする

前提条件が満たされると、ルートレス Podman コンテナーを使用して Microsoft Tunnel サーバーをホストできるようになりました。 この機能は、 Podman for Red Hat Enterprise Linux (RHEL) バージョン 8.8 以降を使用して Microsoft Tunnel をホストする場合に使用できます。

ルートレス Podman コンテナーを使用する場合、mstunnel サービスは特権のないサービス ユーザーの下で実行されます。 この実装は、コンテナー エスケープからの影響を制限するのに役立ちます。 ルートレス Podman コンテナーを使用するには、変更されたコマンド ラインを使用してトンネル インストール スクリプトを開始する必要があります。

この Microsoft Tunnel インストール オプションの詳細については、「 ルートレス Podman コンテナーを使用する」を参照してください。

Microsoft Defender for EndpointのIntuneデプロイの機能強化

Intuneのエンドポイント検出と応答 (EDR) ポリシーを使用する場合にMicrosoft Defenderするオンボード デバイスのエクスペリエンス、ワークフロー、レポートの詳細を改善し、簡略化しました。 これらの変更は、Intuneとテナントアタッチ シナリオによって管理される Windows デバイスに適用されます。 これらの機能強化は次のとおりです。

• Defender EDR 展開番号の可視性を向上させるために、EDR ノード、ダッシュボード、レポートに対する変更。 「エンドポイントの検出と応答ノードについて」を参照してください。

• 適切な Windows デバイスへの Defender for Endpoint の展開を合理化する構成済みの EDR ポリシーを展開するための新しいテナント全体のオプション。 「事前構成済みの EDR ポリシーを使用する」を参照してください。

• エンドポイント セキュリティ ノードのIntuneの [概要] ページへの変更。 これらの変更により、管理対象デバイス上の Defender for Endpoint からのデバイス信号のレポートが統合されたビューが提供されます。 「事前構成済みの EDR ポリシーを使用する」を参照してください。

これらの変更は、管理センターのエンドポイント のセキュリティとエンドポイントの検出と応答のノードと、次のデバイス プラットフォームに適用されます。

• Windows 10
• Windows 11

Windows 品質更新プログラムでは、セキュリティ以外の更新プログラムの迅速化がサポートされます

Windows 品質更新プログラムでは、品質修正プログラムを通常の品質更新プログラムの設定よりも速く展開する必要がある場合に、セキュリティ以外の更新プログラムの迅速化がサポートされるようになりました。

適用対象:

• Windows 11 デバイス

迅速な更新プログラムのインストールの詳細については、「Microsoft Intuneでの Windows 品質更新プログラムの迅速化」を参照してください。

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• Cerby by Cerby, Inc.
• OfficeMail Go by 9Folders, Inc.
• DealCloud by Intapp, Inc.
• Intapp 2.0 by Intapp, Inc.

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

2024 年 3 月 3 日の週

デバイスの登録

Windows Hello for Businessの登録設定に対するロールベースのアクセス制御の変更

Windows Hello for Businessの登録領域でロールベースのアクセス制御 (RBAC) が更新されました。 Windows Hello for Businessに関連する登録設定は、Intune サービス管理者を除くすべてのロールに対して読み取り専用です。 Intune サービス管理者は、登録設定Windows Hello for Business作成および編集できます。

詳細については、「デバイス登録時のWindows Hello」の「ロールベースのアクセス制御」を参照してください。

デバイスのセキュリティ

Windows Hello for Businessの新しい登録構成

新しいWindows Hello for Business登録設定である [拡張サインイン セキュリティを有効にする] は、Intune 管理センターで使用できます。 強化されたサインイン セキュリティは、悪意のあるユーザーが外部周辺機器を介してユーザーの生体認証にアクセスできないようにするWindows Hello機能です。

この設定の詳細については、「Windows Hello for Business ポリシーを作成する」を参照してください。

準拠していない電子メール通知でサポートされる HTML 形式

Intuneでは、すべてのプラットフォームでコンプライアンス違反の電子メール通知の HTML 形式がサポートされるようになりました。 サポートされている HTML タグを使用して、斜体、URL リンク、箇条書きなどの書式設定をorganizationのメッセージに追加できます。

詳細については、「 通知メッセージ テンプレートを作成する」を参照してください。

2024 年 2 月 26 日の週

Microsoft Intune Suite

新しいMicrosoft クラウド PKI サービス

Microsoft クラウド PKI サービスを使用して、Intuneマネージド デバイスの証明書ライフサイクル管理を簡素化および自動化します。 Microsoft クラウド PKIは、Microsoft Intune Suiteの機能コンポーネントであり、スタンドアロン Intune アドオンとしても使用できます。 クラウドベースのサービスは、organization専用の PKI インフラストラクチャを提供し、オンプレミスのサーバー、コネクタ、またはハードウェアを必要としません。 Microsoft クラウド PKIは、SCEP 証明書デバイス構成プロファイルをサポートするすべての OS プラットフォームの証明書を自動的に発行、更新、取り消します。 発行された証明書は、証明書ベースの認証をサポートする Wi-Fi、VPN、およびその他のサービスの証明書ベースの認証に使用できます。 詳細については、「Microsoft クラウド PKIの概要」を参照してください。

適用対象:

• Windows
• Android
• iOS/iPadOS
• macOS

Intune アプリ

Intune 用に新しく利用可能になった保護されたアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• Cinebody by Super 6 LLC

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

2024 年 2 月 19 日の週 (サービス リリース 2402)

アプリ管理

Android アプリの追加のアプリ構成アクセス許可

アプリ構成ポリシーを使用して Android アプリ用に構成できる 6 つの新しいアクセス許可があります。 これには、次のアクセス許可が含まれます。

• 背景のボディ センサー データを許可する
• メディア ビデオ (読み取り)
• メディア イメージ (読み取り)
• メディア オーディオ (読み取り)
• 近くの Wifi デバイス
• 近くのデバイス

Android アプリのアプリ構成ポリシーを使用する方法の詳細については、「管理対象 Android Enterprise デバイスのアプリ構成ポリシーを追加する」を参照してください。

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• Bob HR by Hi Bob Ltd
• ePRINTit SaaS by ePRINTit USA LLC
• Microsoft Copilot by Microsoft Corporation

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

Windows で Intune 管理拡張機能に更新する

拡張された機能とバグ修正をサポートするには、.NET Framework 4.7.2 以降と Windows クライアントのIntune管理拡張機能を使用します。 Windows クライアントが以前のバージョンの.NET Frameworkを引き続き使用する場合、Intune管理拡張機能は引き続き機能します。 .NET Framework 4.7.2 は、Win10 1809 (RS5) 以降に含まれる 2018 年 7 月 10 日の時点でWindows Updateから入手できます。 デバイス上で複数のバージョンの.NET Frameworkが共存できることに注意してください。

デバイス構成

エンドポイント特権管理 (EPM) ポリシーで割り当てフィルターを使用する

割り当てフィルターを使用して、作成したルールに基づいてポリシーを割り当てることができます。 フィルターを使用すると、特定の OS バージョンのデバイスや特定の製造元を対象とするなど、ポリシーの割り当てスコープを絞り込みます。

エンドポイント特権管理 (EPM) ポリシーでフィルターを使用できます。

詳細については、以下を参照してください:

• Intuneでアプリ、ポリシー、プロファイルを割り当てるときにフィルターを使用する
• Intuneのフィルターでサポートされているプラットフォーム、ポリシー、アプリの種類の一覧

適用対象:

• Windows 10
• Windows 11

Apple 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[設定カタログ] に新しい設定があります。 これらの設定を表示するには、Microsoft Intune管理センターで、[デバイス>の構成] [>IOS/iPadOS の作成] または [macOS for platform >Settings catalog for profile type]\(プロファイルの種類\) の [iOS/iPadOS または macOS の作成>] に移動します。

iOS/iPadOS

• 制限

  • ライブ ボイスメールを許可する
  • 教室での画面の監視を強制する
  • 消去時に ESIM を強制的に保持する

macOS

• ディスクの完全暗号化 > セットアップ アシスタントで FileVault> Force Enable を有効にする
• 制限> 教室での画面の監視を強制する

詳細については、以下を参照してください:

• Intuneで macOS に FileVault ディスク暗号化を使用する
• 設定カタログを使用してポリシーを作成する

最大 20 個のカスタム ADMX および ADML 管理テンプレートをインポートする

カスタム ADMX および ADML 管理テンプレートは、Microsoft Intuneでインポートできます。 以前は、最大 10 個のファイルをインポートできました。 これで、最大 20 個のファイルをアップロードできます。

適用対象:

• Windows 10
• Windows 11

この機能の詳細については、「カスタム ADMX および ADML 管理テンプレートを Microsoft Intune にインポートする (パブリック プレビュー)」を参照してください。

Android Enterprise デバイスで MAC アドレスのランダム化を更新するための新しい設定

Android Enterprise デバイスには、新しい MAC アドレスのランダム化設定があります (デバイス>構成>: AndroidEnterprise for platform >フル マネージド、専用、Corporate-Ownedプロファイルの種類の仕事用プロファイル >Wi-Fi を作成>します)。

Android 10 以降では、ネットワークに接続するときに、デバイスは物理 MAC アドレスではなくランダム化された MAC アドレスを提示します。 デバイスを MAC アドレスで追跡するのが難しいため、プライバシーにはランダム化された MAC アドレスを使用することをお勧めします。 ただし、ランダム化された MAC アドレスは、ネットワーク アクセス制御 (NAC) を含む静的 MAC アドレスに依存する機能を中断します。

次のようなオプションがあります:

• デバイスの既定値を使用する: Intuneこの設定は変更または更新されません。 既定では、ネットワークに接続すると、デバイスは物理 MAC アドレスではなくランダム化された MAC アドレスを提示します。 ユーザーが設定に対して行った更新はすべて保持されます。

• ランダム化された MAC を使用する: デバイスで MAC アドレスのランダム化を有効にします。 新しいネットワークに接続する場合、デバイスは物理 MAC アドレスではなく、ランダム化された MAC アドレスを提示します。 ユーザーがデバイスでこの値を変更すると、次のIntune同期でランダム化された MAC を使用するようにリセットされます。

• デバイス MAC を使用する: デバイスに、ランダム MAC アドレスではなく実際の Wi-Fi MAC アドレスを提示するように強制します。 この設定を使用すると、デバイスを MAC アドレスで追跡できます。 ネットワーク アクセス制御 (NAC) のサポートなど、必要な場合にのみこの値を使用します。 ユーザーがデバイスでこの値を変更すると、次のIntune同期でデバイス MAC を使用するようにリセットされます。

適用対象:

• Android 13 以降

構成できる Wi-Fi 設定の詳細については、「Microsoft Intuneでの Android Enterprise 専用およびフル マネージド デバイスの Wi-Fi 設定の追加」を参照してください。

Windows 設定カタログの Windows 設定で Copilot をオフにする

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[設定カタログ] に新しい設定があります。 この設定を確認するには、Microsoft Intune管理センターで、[デバイス>の構成] [>プロファイルの種類] [プラットフォーム>用の Windows の作成>] [設定カタログ] の順に移動します。

• Windows AI > Windows で Copilot をオフにする (ユーザー)

  • このポリシー設定を有効にした場合、ユーザーは Copilot を使用できません。 タスク バーに Copilot アイコンが表示されません。
  • このポリシー設定を無効にした場合、または構成していない場合、ユーザーは Copilot を使用できるときに使用できます。

この設定では、 ポリシー CSP - WindowsAI が使用されます。

ユーザー スコープとデバイス スコープなど、Intuneでの設定カタログ ポリシーの構成の詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

適用対象:

• Windows 10 以降

Windows Autopilot の自己展開モードが一般公開されました

Windows Autopilot の自己展開モードが一般公開され、プレビュー対象外になりました。 Windows Autopilot 自己展開モードを使用すると、ユーザー操作をほとんどまたはまったく行っていない Windows デバイスを展開できます。 デバイスがネットワークに接続されると、デバイス プロビジョニング プロセスが自動的に開始されます。デバイスはMicrosoft Entra IDに参加し、Intuneに登録し、デバイスを対象とするすべてのデバイス ベースの構成を同期します。 自己展開モードでは、すべてのデバイス ベースの構成が適用されるまで、ユーザーがデスクトップにアクセスできないようにします。 OOBE 中に登録状態ページ (ESP) が表示されるため、ユーザーはデプロイの状態を追跡できます。 詳細については、以下を参照してください:

• Windows Autopilot 自己展開モード。
• Intuneでの Windows Autopilot 自己展開モードのステップ バイ ステップ チュートリアル。

この情報は、 Windows Autopilot: 新機能でも公開されています。

事前プロビジョニングされた展開用の Windows Autopilot が一般公開されました

事前プロビジョニングされた展開用の Windows Autopilot が一般公開され、プレビュー対象外になりました。 事前にプロビジョニングされた展開用の Windows Autopilot は、ユーザーがデバイスにアクセスする前にデバイスがビジネス対応であることを確認する組織によって使用されます。 事前プロビジョニングにより、管理者、パートナー、または OEM は、すぐに使用できるエクスペリエンス (OOBE) から技術者フローにアクセスし、デバイスのセットアップを開始できます。 次に、ユーザー フェーズでプロビジョニングを完了したユーザーにデバイスが送信されます。 事前プロビジョニングでは、ほとんどの構成が事前に提供されるため、エンド ユーザーはデスクトップにすばやくアクセスできます。 詳細については、以下を参照してください:

• 事前プロビジョニングされた展開用の Windows Autopilot。
• 事前にプロビジョニングされた展開用の Windows Autopilot のステップ バイ ステップ チュートリアルMicrosoft Entra参加Intune
• Intuneでのハイブリッド参加Microsoft Entra事前プロビジョニング済み展開用の Windows Autopilot のステップ バイ ステップ チュートリアル。

この情報は、 Windows Autopilot: 新機能でも公開されています。

デバイスの登録

Windows Autopilot の事前プロビジョニング中に必要なアプリをインストールするための ESP 設定

[ 技術者フェーズで選択されたブロック アプリのみ失敗 する] 設定が、登録状態ページ (ESP) プロファイルで構成するために一般公開されるようになりました。 この設定は、 ブロックアプリ が選択されている ESP プロファイルにのみ表示されます。

詳細については「登録状態ページの設定」を参照してください。

macOS 自動デバイス登録用の新しいローカル プライマリ アカウント構成

Apple 自動デバイス登録を使用して、Intuneに登録する Mac のローカル プライマリ アカウント設定を構成します。 macOS 10.11 以降を実行しているデバイスでサポートされているこれらの設定は、新しい [アカウント設定] タブの下の新規および既存の登録プロファイルで使用できます。この機能を機能させるには、登録プロファイルをユーザーとデバイスのアフィニティと次のいずれかの認証方法で構成する必要があります。

• 先進認証を使用したセットアップ アシスタント
• セットアップ アシスタント (レガシ)

適用対象:

• macOS 10.11 以降

macOS アカウント設定の詳細については、「Intuneで Apple 登録プロファイルを作成する」を参照してください。

macOS 自動デバイス登録の最終構成を待つ

一般公開された await final configuration では、セットアップ アシスタントの最後にロックされたエクスペリエンスが有効になり、重要なデバイス構成ポリシーがデバイスに確実にインストールされるようになります。 ロックされたエクスペリエンスは、新しい登録プロファイルと既存の登録プロファイルを対象とするデバイスで機能し、次のいずれかの認証方法を使用して登録します。

• 先進認証を使用したセットアップ アシスタント
• セットアップ アシスタント (レガシ)
• ユーザー デバイス アフィニティなし

適用対象:

• macOS 10.11 以降

await final configuration を有効にする方法については、「 Apple 登録プロファイルを作成する」を参照してください。

デバイス管理

AOSP デバイスは、約 15 分ごとに新しいタスクと通知をチェックします

Android (AOSP) 管理に登録されているデバイスでは、Intuneは約 15 分ごとに新しいタスクと通知をチェックしようとします。 この機能を使用するには、デバイスで Intune アプリ バージョン 24.02.4 以降を使用している必要があります。

適用対象:

• Android (AOSP)

詳細については、以下を参照してください:

• Google Mobile Services を使用しない環境でIntuneを使用する方法
• Intuneのポリシー更新間隔

Microsoft Intuneの Government クラウドの新しいデバイス管理エクスペリエンス

政府機関向けクラウドでは、Intune管理センターに新しいデバイス管理エクスペリエンスがあります。 [デバイス] 領域に一貫性のある UI が追加され、より多くの機能を備えたコントロールとナビゲーション構造が改善され、必要なものを迅速に見つけることができます。

テナントが更新される前に新しいエクスペリエンスを試す場合は、[デバイスの概要] に移動し、[デバイス>の今後の変更をプレビューする] を選択し、フィードバック通知バナーを提供して、[今すぐ試す] を選択します。

ドライバーの一括承認

Windows ドライバー更新ポリシーで一括アクションを使用できるようになりました。 一括操作では、複数のドライバー更新プログラムを同時に承認、一時停止、または拒否できるため、時間と労力を節約できます。

ドライバーを一括承認する場合は、ドライバーが該当するデバイスで使用できるようになる日付を設定して、ドライバーを一緒にインストールすることもできます。

適用対象:

• Windows 10
• Windows 11

詳細については、「ドライバーの 一括更新プログラム」を参照してください。

App Control for Business ポリシーの制限が解決されました

デバイスあたりのアクティブ なポリシーの数を 32 に制限した App Control for Business ポリシー (WDAC) の以前に文書化された制限は、Windows によって解決されました。 この問題には、デバイスで 32 を超えるポリシーがアクティブになっている場合に、起動停止エラーが 発生する可能性があります。

この問題は、2024 年 3 月 12 日以降にリリースされた Windows セキュリティ更新プログラムWindows 10 1903 以降を実行するデバイスで解決されます。 以前のバージョンの Windows は、今後の Windows セキュリティ更新プログラムでこの修正プログラムを受け取ることが予想されます。

適用対象:

• バージョン 1903 以降Windows 10

Intuneの App Control for Business ポリシーの詳細については、「App Control for Business ポリシーを使用して Windows デバイス用の承認済みアプリを管理する」および「Microsoft Intuneの管理されたインストーラー」を参照してください。

テナント管理

グループを除外するためのカスタマイズ ウィンドウのサポート

[カスタマイズ] ウィンドウで、ポリシーを割り当てるときに除外するグループの選択がサポートされるようになりました。 この設定は、Microsoft Intune管理センターで [テナント管理>のカスタマイズ] を選択します。

詳細については、「Microsoft Intuneでのポリシーの割り当て」を参照してください。

2024 年 1 月 29 日の週

Microsoft Intune Suite

Microsoft Intune エンタープライズ アプリケーション管理

エンタープライズ アプリケーション管理は、Intuneで簡単にアクセスできる Win32 アプリケーションのエンタープライズ アプリ カタログを提供します。 これらのアプリケーションをテナントに追加するには、エンタープライズ アプリ カタログからアプリケーションを選択します。 Enterprise App Catalog アプリを Intune テナントに追加すると、既定のインストール、要件、検出設定が自動的に提供されます。 これらの設定も変更できます。 Intuneは、Microsoft ストレージで Enterprise App Catalog アプリをホストします。

詳細については、以下を参照してください:

• Intune Suite のアドオン機能を利用する
• Microsoft Intune エンタープライズ アプリケーション管理
• エンタープライズ アプリ カタログ アプリをMicrosoft Intuneに追加する

Microsoft Intune 高度分析

Intune 高度分析は、organizationのエンド ユーザー エクスペリエンスを包括的に可視化し、データ駆動型の分析情報を使用して最適化します。 これには、デバイス クエリを使用したデバイスに関するほぼリアルタイムのデータ、カスタム デバイス スコープでの可視性の向上、バッテリ正常性レポート、デバイスの問題のトラブルシューティングのための詳細なデバイス タイムライン、デバイス資産全体の潜在的な脆弱性やリスクを特定するための異常検出が含まれます。

• バッテリー正常性レポート

  バッテリー正常性レポートでは、organizationのデバイス内のバッテリーの正常性と、ユーザー エクスペリエンスへの影響が可視化されます。 このレポートのスコアと分析情報は、IT 管理者が資産管理と購入の意思決定を行い、ハードウェア コストのバランスを取りながらユーザー エクスペリエンスを向上させることを目的としています。

• 単一のデバイスでオンデマンド デバイス クエリを実行する

  Intuneを使用すると、デバイスの状態に関するオンデマンド情報をすばやく取得できます。 選択したデバイスでクエリを入力すると、Intuneはクエリをリアルタイムで実行します。

  返されたデータは、セキュリティ上の脅威への対応、デバイスのトラブルシューティング、またはビジネス上の意思決定に使用できます。

  適用対象:

  • Windows デバイス

Intune 高度分析は、Microsoft Intune Suiteの一部です。 柔軟性を高めるために、この新しい機能セットと既存の高度分析機能は、Intuneを含む Microsoft サブスクリプションの個々のアドオンとしても利用できるようになりました。

テナントまたは既存の高度分析機能でデバイス クエリとバッテリ正常性レポートを使用するには、次のいずれかのライセンスが必要です。

• Intune 高度分析 アドオン
• Microsoft Intune Suite アドオン

詳細については、以下を参照してください:

• Intune Suite のアドオン機能を利用する
• Microsoft Intune 高度分析
• バッテリーの正常性
• デバイス クエリ

2024 年 1 月 22 日の週 (サービス リリース 2401)

アプリ管理

マネージド Mac に最大 8 GB の DMG アプリと PKG アプリをインストールする

マネージド Mac でIntuneを使用してインストールできる DMG アプリと PKG アプリのサイズ制限が増えました。 新しい制限は 8 GB で、macOS 用のMicrosoft Intune管理エージェントを使用してインストールされるアプリ (DMG およびアンマネージド PKG) に適用されます。

DMG アプリと PKG アプリの詳細については、「macOS DMG アプリをMicrosoft Intuneに追加する」および「アンマネージド macOS PKG アプリをMicrosoft Intuneに追加する」を参照してください。

Surface Hub デバイスのストア署名付き LOB アプリのIntuneサポート

Intuneでは、Surface Hub デバイスへのストア署名付き LOB アプリ (単一ファイル .appx、.msix、.appxbundle、.msixbundle) の展開がサポートされるようになりました。 ストア署名付き LOB アプリのサポートにより、オフライン ストア アプリは、ビジネス向け Microsoft Storeの廃止後に Surface Hub デバイスに展開できます。

SMS/MMS メッセージを特定のアプリにルーティングする

アプリ保護ポリシーを構成して、エンド ユーザーがポリシー管理アプリからリダイレクトされた後に SMS/MMS メッセージを送信する場合に使用する必要がある SMS/MMS アプリを決定できます。 エンド ユーザーが SMS/MMS メッセージを送信する目的で数値をクリックすると、アプリ保護設定を使用して、構成された SMS/MMS アプリにリダイレクトされます。 この機能は、 メッセージング データを設定に転送することに 関連し、iOS/iPadOS プラットフォームと Android プラットフォームの両方に適用されます。

詳細については、「 iOS アプリ保護ポリシー設定 」と 「Android アプリ保護ポリシー設定」を参照してください。

エンド ユーザー アプリの PIN リセット

PIN のアクセスを必要とするマネージド アプリの場合、許可されたエンド ユーザーはいつでもアプリ PIN をリセットできるようになりました。 iOS/iPadOS および Android アプリ保護ポリシーの [アクセスの PIN] 設定を選択することで、Intuneでアプリ PIN を要求できます。

アプリ保護ポリシーの詳細については、「アプリ保護 ポリシーの概要」を参照してください。

アプリ パッケージの最大サイズ

アプリを Intune にアップロードするための最大パッケージ サイズは、有料のお客様向けに 8 GB から 30 GB に変更されました。 試用版テナントは引き続き 8 GB に制限されています。

詳細については、「Microsoft Intune での Win32 アプリの管理」を参照してください。

デバイス構成

Android Enterprise デバイスの場所を無効にする新しい設定

Android Enterprise デバイスでは、管理者が場所を制御できるようにする新しい設定があります (デバイス>構成>: Android Enterprise for platform >フル マネージド、専用、および Corporate-Owned プロファイルの種類の [全般] の仕事用プロファイル > デバイスの制限を作成>します)。>

• 場所: [ブロック] を 選択すると、デバイスの [場所 ] 設定が無効になり、ユーザーがオンにできなくなります。 この設定を無効にすると、デバイスの場所に依存するその他の設定 (デバイスの リモート 検索アクションなど) が影響を受けます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS ではデバイス上の場所の使用が許可される場合があります。

適用対象:

• Android Enterprise

構成できる設定の詳細については、「Android Enterprise デバイス設定の一覧」を参照して、Intuneを使用して企業所有デバイスの機能を許可または制限します。

iOS/iPadOS および macOS デバイスの設定カタログのマネージド ソフトウェア更新プログラムの日付と時刻の選択

設定カタログを使用して、iOS/iPadOS デバイスと macOS デバイスでマネージド更新プログラムを適用するには、日付と時刻を入力します (デバイス>構成> プロファイルの種類>の [宣言型] デバイス管理>ソフトウェア更新プログラムの [プラットフォーム>の設定] カタログに iOS/iPadOS または macOS を作成>します)。

以前は、日付と時刻を手動で入力する必要がありました。 次に、[ ターゲット ローカル日付時刻 ] 設定の日付と時刻の選択を行います。

宣言型デバイス管理 (DDM) > ソフトウェア更新プログラム:

• ターゲット ローカル日付時刻

重要

2024 年 1 月のリリースより前にこの設定を使用してポリシーを作成すると、この設定に値が表示されます Invalid Date 。 更新プログラムは引き続き正しくスケジュールされており、 が表示されていても、最初に構成した値を使用します Invalid Date。

新しい日付と時刻を構成するには、値を Invalid Date 削除し、日付時刻ピッカーを使用して新しい日付と時刻を選択します。 または、新しいポリシーを作成することもできます。

適用対象:

• iOS/iPadOS
• macOS

Intuneでのマネージド ソフトウェア更新プログラムの構成の詳細については、「設定カタログを使用してマネージド ソフトウェア更新プログラムを構成する」を参照してください。

デバイス管理

Microsoft Intuneでの新しいデバイス管理エクスペリエンス

Intune管理センターでデバイス管理エクスペリエンスの更新プログラムをロールアウトしています。 [デバイス] 領域に一貫性のある UI が追加され、より多くの機能を備えたコントロールとナビゲーション構造が改善され、必要なものを迅速に見つけることができます。 以前はパブリック プレビューだった新しいエクスペリエンスは、今後数週間にわたって一般提供のために徐々にロールアウトされます。 パブリック プレビュー エクスペリエンスは、テナントが更新プログラムを受け取るまで引き続き使用できます。

この新しい管理センター エクスペリエンスの可用性は、テナントによって異なります。 いくつかの更新プログラムはすぐに表示されますが、多くのユーザーには数週間新しいエクスペリエンスが表示されない場合があります。 Government クラウドの場合、このエクスペリエンスの可用性は 2024 年 2 月下旬頃に推定されます。

ロールアウトのタイムラインにより、新しい管理センター レイアウトへの移行を容易にするために、ドキュメントをできるだけ早く新しいエクスペリエンスに更新しています。 この移行中にサイド バイ サイド コンテンツ エクスペリエンスを提供することはできず、新しいエクスペリエンスに合わせたドキュメントを提供することで、より多くの顧客に価値をもたらすと考えています。 新しいエクスペリエンスを試して、テナントを更新する前にドキュメントの手順に合わせる場合は、[デバイスの概要] に移動し、[デバイス>への今後の変更をプレビューする] と読み上がる通知バナーを選択してフィードバックを提供し、[今すぐ試す] を選択します。

BlackBerry Protect Mobile でアプリ保護ポリシーがサポートされるようになりました

BlackBerry Protect Mobile (Cylance AI を利用) でIntuneアプリ保護ポリシーを使用できるようになりました。 この変更Intuneでは、登録解除されたデバイスのモバイル アプリケーション管理 (MAM) シナリオ向けの BlackBerry Protect Mobile がサポートされます。 これには、条件付きアクセスでのリスク評価の使用と、登録されていないデバイスの条件付き起動設定の構成が含まれます。

CylancePROTECT Mobile コネクタ (旧称 BlackBerry Mobile) の構成中に、Android デバイスと iOS/iPadOS デバイスの両方アプリ保護ポリシー評価を有効にするオプションを選択できるようになりました。

詳細については、「BlackBerry Protect Mobile のセットアップ」および「Intuneを使用して Mobile Threat Defense アプリ保護ポリシーを作成する」を参照してください。

デバイスのセキュリティ

Microsoft Defender for Endpointによって管理されるデバイスのIntune Defender Update コントロール ポリシーのサポート

Microsoft Intune管理センターから、Microsoft Defender for Endpointセキュリティ設定管理機能を使用して管理するデバイスで、Defender Update コントロールのエンドポイント セキュリティ ポリシー (ウイルス対策ポリシー) を使用できるようになりました。

• Defender Update コントロール ポリシーは、エンドポイント セキュリティ ウイルス対策ポリシーの一部です。

Windows 10、Windows 11、および Windows Server プラットフォームを使用する場合、次に適用されます。

• Windows 10
• Windows 11

このサポートが利用可能になると、Defender for Endpoint によって管理されている間にこのポリシーが割り当てられたが、Intuneに登録されていないデバイスは、ポリシーの設定を適用するようになります。 ポリシーを確認して、ポリシーを受け取る予定のデバイスのみがポリシーを取得することを確認します。

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• PrinterOn Print by PrinterOn, Inc. (iOS/iPadOS)
• MFB Technologies, Inc. (iOS/iPadOS) によるIntuneに合わせる

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

監視とトラブルシューティング

デバイスのレポートの監視

Intuneでは、すべてのデバイス監視レポートの新しい一覧を表示できます。 これらのレポートは、管理センター Microsoft Intune [デバイス>モニター] を選択することで確認できます。 [ モニター ] ウィンドウには、構成、コンプライアンス、登録、ソフトウェアの更新に関連するレポートが表示されます。 さらに、表示できるその他のレポート ( デバイス アクションなど) もあります。

詳細については、「Intune レポート」を参照してください。

エクスポートされたレポート データは検索結果を保持します

Intuneレポート データをエクスポートするときに、レポートの検索とフィルター処理の結果を維持できるようになりました。 たとえば、 非準拠デバイスと設定 レポートを使用し、OS フィルターを "Windows" に設定し、"PC" を検索すると、エクスポートされたデータには名前に "PC" が含まれる Windows デバイスのみが含まれます。 この機能は、API を直接呼び出 ExportJobs すときにも使用できます。

Microsoft Tunnel サーバーの診断ログの簡単なアップロード

これで、Intune管理センター内で 1 回のクリックを使用して、Tunnel Gateway Server の 8 時間の詳細ログを Microsoft に有効、収集、送信Intuneできるようになりました。 その後、Microsoft と連携して Tunnel サーバーの問題を特定または解決するときに、詳細ログを参照できます。

これに対し、詳細ログのコレクションでは、サーバーにサインオンし、手動タスクとスクリプトを実行して詳細ログを有効にして収集し、Microsoft に転送できる場所にコピーする必要があります。

この新しい機能を見つけるには、管理センターで [テナント管理>] [Microsoft Tunnel Gateway>] に移動し、サーバー>を選択して [ログ] タブを選択します。このタブには、[Send logs]\(ログの送信\) というラベルの付いた [詳細なサーバー ログの送信] という名前の新しいセクションと、Microsoft に収集および送信されたさまざまなログ セットを表示するリスト ビューがあります。

[ ログの送信 ] ボタンを選択すると、次のようになります。

• Intuneは、詳細ログを収集する前に、現在のサーバー ログをベースラインとしてキャプチャして送信します。
• 詳細ログは、レベル 4 で自動的に有効になり、8 時間実行され、それらのログのキャプチャに関する問題を再現するための時間が提供されます。
• 8 時間後、Intuneは詳細ログを送信し、通常の操作のためにサーバーを既定の詳細レベル 0 (0) に復元します。 以前にログをより詳細なレベルで実行するように設定した場合は、ログの収集とアップロードが完了した後にカスタム詳細レベルを復元できます。
• Intuneがログを収集して送信するたびに、ボタンの下のリスト ビューが更新されます。
• ボタンの下には、過去のログ送信の一覧が表示され、詳細レベルと、Microsoft を使用して特定のログセットを参照するときに使用できるインシデント ID が表示されます。

この機能の詳細については、「 Tunnel サーバーの診断ログを簡単にアップロードする」を参照してください。

2023 年 12 月 11 日の週 (サービス リリース 2312)

アプリ管理

マネージド macOS デバイスへのアンマネージド PKG 型アプリケーションの追加のサポートが一般公開されました

macOS デバイス用の Intune MDM エージェントを使用して、管理されていない PKG タイプのアプリケーションをマネージド macOS デバイスにアップロードしてデプロイできるようになりました。 この機能を使用すると、署名されていないアプリやコンポーネント パッケージなどのカスタム PKG インストーラーをデプロイできます。 Intune管理センターで PKG アプリを追加するには、[アプリ] [macOS]> [アプリの種類] で [macOS> アプリ (PKG) を追加>する] を選択します。

適用対象:

• macOS

詳細については、「アンマネージド macOS PKG アプリをMicrosoft Intuneに追加する」を参照してください。 マネージド PKG 型アプリをデプロイするには、引き続き macOS 基幹業務 (LOB) アプリをMicrosoft Intuneに追加できます。 macOS デバイス用のIntune MDM エージェントの詳細については、「macOS 用Microsoft Intune管理エージェント」を参照してください。

政府のクラウド環境と中国の 21 Vianet でサポートされている Windows MAM

米国政府機関コミュニティ (GCC)、米国政府機関コミュニティ (GCC) High、および国防総省 (DoD) 環境の顧客テナントは、Windows MAM を使用できるようになりました。 関連情報については、「GCC High および DoD 環境とWindows MAM のデータ保護にIntuneを使用してアプリを展開する」を参照してください。

さらに、Windows MAM は、21Vianet が中国で運営するIntuneで利用できます。 詳細については、「21Vianet が中国で運営Intune」を参照してください。

デバイス構成

Microsoft Edge v117 のセキュリティ ベースラインを更新しました

Microsoft Edge バージョン v117 のIntune セキュリティ ベースラインの新しいバージョンをリリースしました。 この更新プログラムでは、Microsoft Edge のベスト プラクティス構成を引き続き維持できるように、最新の設定がサポートされます。

また、このベースラインの リファレンス記事 も更新されました。このベースライン バージョンに含まれる設定の既定の構成を確認できます。

デバイス管理

非準拠メール通知での変数のサポート

変数を使用して、ユーザーのデバイスが非準拠になったときに送信される電子メール通知をカスタマイズします。 や {{devicename}}などの{{username}}テンプレートに含まれる変数は、ユーザーが受け取る電子メールの実際のユーザー名またはデバイス名に置き換えられます。 変数はすべてのプラットフォームでサポートされています。

サポートされている変数の詳細と一覧については、「 通知メッセージ テンプレートの作成」を参照してください。

Microsoft Defender for Endpoint コネクタのレポートの視覚化を更新しました

Microsoft Defender for Endpoint コネクタのレポート視覚化を更新しました。 この レポートの視覚化 では、Defender CSP からの状態に基づいて Defender for Endpoint にオンボードされたデバイスの数が表示され、バーを使用してさまざまな状態値を持つデバイスの割合を表す他の最近のレポート ビューに視覚的に合わせて調整されます。

デバイスのセキュリティ

Windows デバイスのウイルス対策ポリシーに追加されたウイルス対策スキャンをスケジュールするための新しい設定

Windows 10 および Windows 11 デバイスに適用されるエンドポイント セキュリティウイルス対策ポリシーの Microsoft Defender ウイルス対策プロファイルに 2 つの設定が追加されました。 これら 2 つの設定が連携して、最初にデバイスのウイルス対策スキャンのランダムな開始時刻のサポートを有効にしてから、ランダム化されたスキャンの開始を開始できる時間の範囲を定義します。 これらの設定は、Intuneによって管理されるデバイスと、Defender for Endpoint セキュリティ設定管理シナリオで管理されるデバイスでサポートされます。

• RandomizeScheduleTaskTimes – この設定を使用すると、デバイスでのスキャン開始時刻をランダム化できます。
• SchedulerRandomizationTime – この設定では、ランダムな開始時刻の境界を設定できます。

Microsoft Defenderウイルス対策プロファイルに追加されるだけでなく、両方の設定が設定カタログから使用できるようになりました。

適用対象:

• Windows 10
• Windows 11

Android Enterprise の VPN プロファイルでの直接プロキシ除外リストに対する Microsoft Tunnel のサポート

Intuneでは、Microsoft Tunnel for Android デバイスの VPN プロファイルを構成するときにプロキシ除外リストの構成がサポートされるようになりました。 除外リストを使用すると、プロキシ自動構成 (PAC) ファイルを使用することなく、プロキシ設定から特定のドメインを除外できます。 プロキシの除外リストは、Microsoft Tunnel と MAM 用 Microsoft Tunnelの両方で使用できます。

プロキシの除外リストは、1 つのプロキシを使用する環境でサポートされています。 複数のプロキシ サーバーを使用する場合、除外リストは適していません。また、引き続き を使用する必要があります。PAC ファイル。

適用対象:

• Android Enterprise

TLS 証明書失効を報告する Microsoft Tunnel サーバーの正常性メトリック

TLS 証明書失効という名前の Microsoft Tunnel の新しい正常性メトリックが追加されました。 この新しい正常性メトリックは、TLS 証明書で定義されているオンライン証明書状態プロトコル (OCSP) または CRL アドレスにアクセスすることで、トンネル サーバー TLS 証明書の状態を報告します。 この新しいチェックの状態を、Microsoft Intune管理センターのすべての正常性チェックで表示するには、[テナント管理>] [Microsoft Tunnel Gateway>の正常性状態] に移動し、サーバーを選択してから、そのサーバーの [正常性チェック] タブを選択します。

このメトリックは、既存の Tunnel Health チェックの一部として実行され、次の状態をサポートします。

• 正常: TLs 証明書が失効していません
• 警告: TLS 証明書が失効した場合にチェックできません
• 異常: TLS 証明書が取り消され、更新する必要があります

TLS 証明書失効チェックの詳細については、「Microsoft Tunnel の監視」を参照してください。

Intune アプリ

Intune 用に新しく利用可能になった保護されたアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• Akumina EXP by Akumina Inc.

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

2023 年 11 月 27 日の週

アプリ管理

Android デバイス用の Microsoft 365 (Office) でオフライン キャッシュを構成する

アプリ保護ポリシーで [ローカル ストレージに名前を付けて保存] 設定が [ブロック済み] に設定されている場合は、アプリ構成ポリシーの構成キーを使用して、オフライン キャッシュを有効または無効にすることができます。 この設定は、Android 上の Microsoft 365 (Office) アプリにのみ適用されます。

詳細については、「 Microsoft 365 (Office)のデータ保護設定」を参照してください。

デバイス上の Win32 アプリの猶予期間設定

猶予期間の設定が設定された Win32 アプリが展開されているデバイスでは、管理者権限のない権限の低いユーザーが猶予期間 UX と対話できるようになりました。 デバイス上の管理者は、引き続きデバイス上の猶予期間 UX と対話できます。

猶予期間の動作の詳細については、「 Win32 アプリの可用性と通知を設定する」を参照してください。

アプリ構成の追加をマネージド ホーム スクリーンする

パブリック プレビューでは、Microsoft マネージド ホーム スクリーン (MHS) が更新され、コア ワークフローとユーザー エクスペリエンスが向上しました。 ユーザー インターフェイスの変更に加えて、管理者が表示するデバイス識別属性を構成できる新しいトップ バー ナビゲーションがあります。 さらに、ユーザーは、上部のバーでアクセス許可が要求されたときに、設定にアクセスしたり、サインイン/サインアウトしたり、通知を表示したりできます。

追加の設定を追加して、Android Enterprise 用のマネージド ホーム スクリーン アプリを構成できます。 Intuneでは、Android Enterprise アプリ構成ポリシーで次の設定がサポートされるようになりました。

• 更新されたユーザー エクスペリエンスを有効にする
• トップ バーのプライマリ要素
• トップ バーのセカンダリ要素
• トップ バーのユーザー名スタイル

詳細については、「Android Enterprise 用の Microsoft マネージド ホーム スクリーン アプリを構成する」を参照してください。

INTUNE APP SDK for .NET MAUI

Intune APP SDK for .NET MAUI を使用すると、.NET マルチプラットフォーム アプリ UI を組み込んだIntune用の Android または iOS アプリを開発できます。 このフレームワークを使用して開発されたアプリを使用すると、モバイル アプリケーション管理Intune適用できます。 Android での .NET MAUI のサポートについては、「app SDK for .NET MAUI - Android Intune」を参照してください。 iOS での .NET MAUI のサポートについては、「app SDK for .NET MAUI - iOS Intune」を参照してください。

2023 年 11 月 13 日の週 (サービス リリース 2311)

アプリ管理

Android、Android AOSP 用アプリに追加された新しい猶予期間の状態

Android 用のIntune ポータル サイト アプリと Android AOSP 用Microsoft Intune アプリに、コンプライアンス要件を満たしていないが、指定された猶予期間内にあるデバイスの猶予期間の状態が表示されるようになりました。 ユーザーは、デバイスが準拠している必要がある日付と、準拠する方法の手順を確認できます。 ユーザーが指定した日付までにデバイスを更新しない場合、デバイスは非準拠としてマークされます。

詳細については、次の記事を参照してください。

• コンプライアンス 違反のアクションを使用してコンプライアンス ポリシーを構成する
• AOSP Intuneアプリのコンプライアンスを確認する
• Android 用のポータル サイトでコンプライアンスを確認する

デバイス構成

Apple 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。 Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

[設定カタログ] に新しい設定があります。 これらの設定を表示するには、Microsoft Intune管理センターで、[デバイス>の構成] [>IOS/iPadOS の作成] または [macOS for platform >Settings catalog for profile type]\(プロファイルの種類\) の [iOS/iPadOS または macOS の作成>] に移動します。

iOS/iPadOS

マネージド設定:

• データ ローミング
• 個人用ホットスポット
• 音声ローミング (非推奨): この設定は iOS 16.0 では非推奨です。 データ ローミングは、置き換え設定です。

共有された iPad

マネージド設定:

• 診断申請

macOS

> Microsoft Defenderウイルス対策エンジン:

• パッシブ モードを有効にする (非推奨): この設定は非推奨です。 適用レベルは置換設定です。
• リアルタイム保護を有効にする (非推奨): この設定は非推奨です。 適用レベルは置換設定です。
• 実施レベル

Linux 用 Windows サブシステムを管理するための設定は、Windows 設定カタログで使用できるようになりました

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

Linux 用 Windows サブシステム (WSL) の Windows 設定カタログに設定が追加されました。 これらの設定により、WSL とIntune統合できるため、管理者は WSL のデプロイと Linux インスタンス自体への制御を管理できます。

これらの設定を見つけるには、Microsoft Intune管理センターで、[デバイス>の構成] [>新しいポリシー>の作成>Windows 10以降の [プロファイルの種類] の [>設定カタログ] に移動します。

Linux 用 Windows サブシステム:

• カーネル デバッグを許可する
• カスタム ネットワーク構成を許可する
• カスタム システム配布構成を許可する
• カーネル コマンド ラインの構成を許可する
• カスタム カーネル構成を許可する
• WSL1 を許可する
• Linux 用 Windows サブシステムを許可する
• Linux 用 Windows サブシステムの受信トレイ バージョンを許可する
• ユーザー設定ファイアウォールの構成を許可する
• 入れ子になった仮想化を許可する
• パススルー ディスクのマウントを許可する
• デバッグ シェルを許可する

適用対象:

• Windows 10
• Windows 11

デバイスの登録

共有デバイス モードでの iOS/iPadOS デバイスの登録が一般公開されました

Microsoft Intune管理センターで構成するために一般公開され、共有デバイス モードの iOS/iPadOS デバイスの自動デバイス登録を設定します。 共有デバイス モードは、Microsoft Entraの機能であり、現場担当者は 1 日を通して 1 つのデバイスを共有し、必要に応じてサインインおよびサインアウトできます。

詳細については、「 共有デバイス モードでデバイスの登録を設定する」を参照してください。

デバイス管理

管理センターでの新しいデバイス エクスペリエンスの改善 (パブリック プレビュー)

Microsoft Intune 管理センターの新しいデバイス エクスペリエンスに次の変更が加えられます。

• プラットフォーム固有のオプションへの追加のエントリ ポイント: [デバイス ] ナビゲーション メニューからプラットフォーム ページにアクセスします。
• 監視レポートへのクイック エントリ: メトリック カードのタイトルを選択して、対応する監視レポートに移動します。
• ナビゲーション メニューの改善: 移動時により多くの色とコンテキストを提供するために、アイコンがに戻されました。

Microsoft Intune管理センターでトグルを反転して、パブリック プレビュー中に新しいエクスペリエンスを試し、フィードバックを共有します。

詳細については、以下を参照してください:

• 新しいMicrosoft Intune デバイス エクスペリエンス - Microsoft Tech Community
• 新しいデバイス エクスペリエンスを試す - Microsoft Learn

デバイスのセキュリティ

Linux ウイルス対策ポリシー テンプレートの追加設定

Linux デバイスの Microsoft Defender ウイルス対策テンプレートに次の設定を追加することで、Linux のサポートを拡張しました。

• cloudblocklevel
• scanarhives
• scanafterdefinitionupdate
• maximumondemandscanthreads
• behaviormonitoring
• enablefilehashcomputation
• networkprotection
• enforcementlevel
• nonexecmountpolicy
• unmonitoredfilesystems

Linux 用のMicrosoft Defenderウイルス対策テンプレートは、Intuneによって管理されるデバイスと、Defender for Endpoint セキュリティ設定管理シナリオを通じて Defender によってのみ管理されるデバイスでサポートされています。

Microsoft 365 Apps for Enterprise のセキュリティ ベースラインを更新しました

Microsoft 365 Apps for Enterprise バージョン 2306 のIntune セキュリティ ベースラインの新しいバージョンをリリースしました。

Microsoft 365 Office Apps ベースラインは、Microsoft の Office およびセキュリティ チームのセキュリティに関する推奨事項を満たす構成を Office Apps に迅速に展開するのに役立ちます。 すべてのベースラインと同様に、既定のベースラインは推奨される構成を表します。 既定のベースラインを変更して、organizationの要件を満たすことができます。

また、このベースラインの リファレンス記事 も更新されました。このベースライン バージョンに含まれる設定の既定の構成を確認できます。

Linux と macOS エンドポイントセキュリティウイルス対策ポリシーで見つかった 2 つの設定の非推奨と置換

macOS と Linux の両方のウイルス対策プロファイルの [ウイルス対策エンジン] カテゴリにある 2 つの設定Microsoft Defender非推奨になりました。 これらのプロファイルは、Intuneのエンドポイント セキュリティウイルス対策ポリシーの一部として使用できます。

プラットフォームごとに、非推奨の 2 つの設定は、デバイス構成をMicrosoft Defender for Endpointによって管理する方法に合わせた 1 つの新しい設定に置き換えられます。

非推奨の 2 つの設定を次に示します。

• [リアルタイム保護を有効にする ] が [ リアルタイム保護を有効にする] と表示されるようになりました (非推奨)
• [パッシブ モードを有効にする] が [パッシブ モードを有効にする] として表示されるようになりました (非推奨)

非推奨の 2 つの設定を置き換える新しい設定:

• 適用レベル - 既定では、[適用レベル] は [パッシブ] に設定され、[ リアルタイム ] と [オンデマンド] のオプションがサポートされます。

これらの設定は、プラットフォームごとにIntune設定カタログからも利用できます。古い設定も非推奨としてマークされ、新しい設定に置き換えられます。

この変更により、非推奨の設定のいずれかが構成 されている デバイスは、デバイスが新しい設定の 適用レベルの対象になるまで、その構成を適用し続けます。 適用レベルの対象になると、非推奨の設定はデバイスに適用されなくなります。

非推奨の設定は、ウイルス対策プロファイルと設定カタログから削除され、今後Intuneに更新されます。

注:

Linux の変更が利用可能になりました。 macOS 設定は非推奨としてマークされていますが、[ 適用レベル ] 設定は 12 月まで使用できません。

適用対象:

• Linux
• macOS

Microsoft Defenderファイアウォール プロファイルの名前が Windows ファイアウォールに変更される

Windows でのファイアウォールのブランド化の変更に合わせて、エンドポイント セキュリティ ファイアウォール ポリシーのIntune プロファイルの名前を更新しています。 名前にMicrosoft Defenderファイアウォールがあるプロファイルでは、Windows ファイアウォールに置き換えます。

次のプラットフォームには影響を受けるプロファイルがあり、プロファイル名のみがこの変更の影響を受けます。

• Windows 10 以降 (ConfigMgr)
• Windows 10、Windows 11 および Windows Server

Windows Hyper-V のファイアウォール設定を管理するための Windows ファイアウォールのエンドポイント セキュリティ ファイアウォール ポリシー

エンドポイント セキュリティ ファイアウォール ポリシーの Windows ファイアウォール プロファイル (旧称 Microsoft Defender ファイアウォール) に新しい設定が追加されました。 新しい設定を使用して、Windows Hyper-V 設定を管理できます。 新しい設定を構成するには、Microsoft Intune管理センターで、[エンドポイント セキュリティ>ファイアウォール> プラットフォーム: Windows 10、Windows 11、および Windows Server プロファイル: Windows ファイアウォール] に移動します>。

ファイアウォール カテゴリには、次の設定が追加されています。

• Target - Target が Linux 用 Windows サブシステム に設定されている場合、次の子設定が適用されます。
  • パブリック ネットワーク ファイアウォールを有効にする
  • プライベート ネットワーク ファイアウォールを有効にする
  • ホスト ポリシーのマージを許可する
  • ドメイン ネットワーク ファイアウォールを有効にする
  • ループバックを有効にする

適用対象:

• Windows 10
• Windows 11

これらの設定の詳細については、「セキュリティが 強化された Windows ファイアウォール」を参照してください。

Windows Hyper-V ファイアウォール規則の新しいエンドポイント セキュリティ ファイアウォール ポリシー プロファイル

エンドポイント セキュリティ ファイアウォール ポリシーのWindows 10、Windows 11、および Windows Server プラットフォーム パスから見つけることができる Windows Hyper-V ファイアウォール規則という名前の新しいプロファイルがリリースされました。 このプロファイルを使用して、Linux 用 Windows サブシステム (WSL) やAndroid 用 Windows サブシステム (WSA) などのアプリケーションなど、Windows 上の特定の Hyper-V コンテナーに適用されるファイアウォール設定と規則を管理します。

適用対象:

• Windows 10
• Windows 11

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• 株式会社シビックムIntuneのダンさん
• Microsoft Azure by Microsoft Corporation (iOS)
• KeePassium Labs (iOS) によるIntune用 KeePassium

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

2023 年 11 月 6 日の週

アプリ管理

iOS ポータル サイトの最小バージョン更新プログラム

ユーザーは、iOS ポータル サイトの v5.2311.1 に更新する必要があります。 [App Store を使用してアプリのインストールをブロックする] デバイス制限設定を有効にしている場合は、この設定を使用する関連するデバイスに更新をプッシュする必要があります。 それ以外の場合、アクションは必要ありません。

ヘルプデスクがある場合は、ポータル サイト アプリを更新するプロンプトを認識させる必要がある場合があります。 ほとんど場合、ユーザーはアプリの更新を自動に設定しているため、何もしなくても更新されたポータル サイト アプリを受け取ります。 以前のバージョンのアプリを使っているユーザーには、最新のポータル サイト アプリに更新するよう求めるプロンプトが表示されます。

デバイスのセキュリティ

Defender for Endpoint のセキュリティ設定の管理の強化と Linux と macOS のサポートが一般公開されています

Defender for Endpoint セキュリティ設定管理 オプトイン パブリック プレビューで 導入された機能強化が一般公開されました。

この変更により、セキュリティ設定管理の既定の動作には、オプトイン プレビューに追加されたすべての動作が含まれます。Microsoft Defender for Endpointでプレビュー機能のサポートを有効にする必要はありません。 これには、Linux と macOS 用の次のエンドポイント セキュリティ プロファイルの一般提供とサポートが含まれます。

Linux:

• Microsoft Defender ウイルス対策
• Microsoft Defender ウイルス対策の除外
• エンドポイントの検出および応答

MacOS:

• Microsoft Defender ウイルス対策
• Microsoft Defender ウイルス対策の除外
• エンドポイントの検出および応答

詳細については、Intuneドキュメントの「Microsoft Defender for Endpointセキュリティ設定の管理」を参照してください。

デバイス管理

機能更新プログラムとレポートでは、Windows 11 ポリシーがサポートされます

機能更新ポリシーの新しい設定により、organizationはアップグレードの対象となるデバイスにWindows 11を展開し、アップグレードの対象ではないデバイスが 1 つのポリシーで最新のWindows 10機能更新プログラムに適用されるようにすることができます。 そのため、管理者は、対象デバイスと非適格デバイスのグループを作成または管理する必要はありません。

機能更新プログラムの詳細については、「Windows 10 以降の機能更新プログラム」を参照してください。

2023 年 10 月 30 日の週

デバイスのセキュリティ

Android および iOS/iPadOS デバイスでMAM 用 Microsoft Tunnelで使用できる Microsoft Edge の厳格なトンネル モード

Intuneでは、Android および iOS/iPadOS デバイスで モバイル アプリケーション管理用 Microsoft Tunnel (MAM) を使用できます。 MAM トンネルを使用すると、非管理対象デバイス (Intune に登録されていないデバイス) は、オンプレミスのアプリとリソースにアクセスできます。

Microsoft Edge 用に構成できる新しい 厳格なトンネル モード 機能があります。 ユーザーがorganization アカウントを使用して Microsoft Edge にサインインすると、VPN が接続されていない場合は、厳密なトンネル モードによってインターネット トラフィックがブロックされます。 VPN が再接続すると、インターネット閲覧が再度使用できるようになります。

この機能を構成するには、Microsoft Edge アプリ構成ポリシーを作成し、次の設定を追加します。

• キー: com.microsoft.intune.mam.managedbrowser.StrictTunnelMode
• 値: True

適用対象:

• Android Enterprise バージョン 10 以降
• iOS/iPadOS バージョン 14 以降

詳細については、以下を参照してください:

• モバイル アプリケーション管理のための Microsoft Tunnel
• MAM 用 Microsoft Tunnel - Android
• MAM 用 Microsoft Tunnel - iOS/iPadOS

2023 年 10 月 23 日の週 (サービス リリース 2310)

アプリ管理

Android ポータル サイト アプリのユーザー向けの更新

ユーザーがバージョン 5.0.5333.0 (2021 年 11 月にリリース) より下のバージョンの Android ポータル サイト アプリを起動すると、Android ポータル サイト アプリの更新を促すプロンプトが表示されます。 古い Android ポータル サイト バージョンのユーザーが、Authenticator アプリの最新バージョンを使用して新しいデバイス登録を試みた場合、プロセスは失敗する可能性があります。 この動作を解決するには、Android ポータル サイト アプリを更新します。

iOS デバイスの最小 SDK バージョンの警告

iOS デバイスの iOS 条件付き起動設定の 最小 SDK バージョン に 、警告 アクションが含まれるようになりました。 このアクションは、最小 SDK バージョン要件が満たされていない場合にエンド ユーザーに警告します。

詳細については、「 iOS アプリ保護ポリシー設定」を参照してください。

Apple LOB およびストア アプリの最小 OS

最小オペレーティング システムを、Apple 基幹業務アプリと iOS/iPadOS ストア アプリの両方の最新の Apple OS リリースに構成できます。 Apple アプリの最小オペレーティング システムは、次のように設定できます。

• iOS/iPadOS 17.0 for iOS/iPadOS 基幹業務アプリ
• macOS 基幹業務アプリ用 macOS 14.0
• iOS/iPadOS 17.0 for iOS/iPadOS ストア アプリ

適用対象:

• iOS/iPadOS
• macOS

Android (AOSP) は基幹業務 (LOB) アプリをサポートします

必須の LOB アプリを AOSP デバイスにインストールおよびアンインストールするには、[ 必須 ] と [ アンインストール ] グループの割り当てを使用します。

適用対象:

• Android

LOB アプリの管理の詳細については、「Android 基幹業務アプリをMicrosoft Intuneに追加する」を参照してください。

アンマネージド macOS PKG アプリの構成スクリプト

アンマネージド macOS PKG アプリでプレインストールスクリプトとインストール後スクリプトを構成できるようになりました。 この機能により、カスタム PKG インストーラーに対する柔軟性が向上します。 これらのスクリプトの構成は省略可能であり、macOS デバイス v2309.007 以降のIntune エージェントが必要です。

アンマネージド macOS PKG アプリへのスクリプトの追加の詳細については、「アン マネージド macOS PKG アプリを追加する」を参照してください。

デバイス構成

FSLogix 設定は、[設定カタログ] と [管理用テンプレート] で使用できます

FSLogix 設定は、[設定カタログ] と [管理用テンプレート (ADMX)] で構成できます。

以前は、Windows デバイスで FSLogix 設定を構成するために、Intuneの ADMX インポート機能を使用してインポートしました。

適用対象:

• Windows 10
• Windows 11

これらの機能の詳細については、以下を参照してください。

• 設定カタログを使用して設定を構成する
• Windows 10/11 テンプレートを使用して、Microsoft Intune でグループ ポリシー設定を構成する
• FSLogix とは?

Android Enterprise デバイスで強化されたアクセス許可を構成するマネージド Google Play アプリで委任されたスコープを使用する

マネージド Google Play アプリでは、委任されたスコープを使用してアプリに強化されたアクセス許可を付与できます。

アプリに委任されたスコープが含まれている場合は、デバイス構成プロファイルで次の設定を構成できます (デバイス>構成>: AndroidEnterprise for platform >フル マネージド、Dedicated、および Corporate-Owned プロファイル>の種類>のデバイス制限アプリケーションを作成>します)。

• 他のアプリによる証明書のインストールと管理を許可する: 管理者は、このアクセス許可に対して複数のアプリを選択できます。 選択したアプリには、証明書のインストールと管理へのアクセス権が付与されます。
• このアプリによる Android セキュリティ ログへのアクセスを許可する: 管理者は、このアクセス許可に対して 1 つのアプリを選択できます。 選択したアプリにセキュリティ ログへのアクセス権が付与されます。
• このアプリによる Android ネットワーク アクティビティ ログへのアクセスを許可する: 管理者は、このアクセス許可に対して 1 つのアプリを選択できます。 選択したアプリには、ネットワーク アクティビティ ログへのアクセス権が付与されます。

これらの設定を使用するには、マネージド Google Play アプリで委任されたスコープを使用する必要があります。

適用対象:

• Android Enterprise のフル マネージド デバイス
• Android Enterprise 専用デバイス
• 仕事用プロファイルを持つ Android Enterprise 企業所有のデバイス

この機能の詳細については、次を参照してください。

• Android の組み込みのアプリ構成
• Intune アプリケーションを使用して>企業所有デバイスの機能を許可または制限する Android Enterprise デバイス設定の一覧

Samsung は、Android デバイス管理者 (DA) デバイスでのキオスク モードのサポートを終了しました

Samsung は、Android デバイス管理者で使用される Samsung Knox キオスク API を Knox 3.7 (Android 11) で非推奨としてマークしました。

機能は引き続き機能する可能性がありますが、動作を続ける保証はありません。 サムスンは発生する可能性のあるバグを修正しません。 非推奨の API に対する Samsung サポートの詳細については、「 API が非推奨になった後に提供されるサポートの種類 」を参照してください (Samsung の Web サイトが開きます)。

代わりに、専用デバイス管理を使用して、Intuneを使用してキオスク デバイスを管理できます。

適用対象:

• Android デバイス管理者 (DA)

設定カタログ ポリシーのインポートとエクスポート

[Intune設定] カタログには、構成できるすべての設定と、すべて 1 か所に一覧表示されます (デバイス>構成>新しいポリシー>の作成>プロファイル用のプラットフォーム>を選択し、[設定カタログ] を選択します)。

設定カタログ ポリシーは、インポートおよびエクスポートできます。

• 既存のポリシーをエクスポートするには、プロファイル>を選択し、省略記号 > [JSON のエクスポート] を選択します。
• 以前にエクスポートした設定カタログ ポリシーをインポートするには、[インポート ポリシー>の作成>] を選択して、以前にエクスポートした JSON ファイルを選択します。

設定カタログの詳細については、「 設定カタログを使用して Windows、iOS/iPadOS、macOS デバイスで設定を構成する」を参照してください。

注:

この機能は引き続きロールアウトされています。テナントで使用できるようになるまで数週間かかる場合があります。

ユーザーが同じパスワードを使用してデバイスのロックを解除し、仕事用プロファイルを持つ Android Enterprise 個人所有デバイスの仕事用プロファイルにアクセスできないようにするための新しい設定

仕事用プロファイルを持つ個人所有の Android Enterprise デバイスでは、ユーザーは同じパスワードを使用してデバイスのロックを解除し、仕事用プロファイルにアクセスできます。

デバイスのロックを解除し、仕事用プロファイルにアクセスするために別のパスワードを適用できる新しい設定があります (デバイス>構成>: AndroidEnterprise>個人所有の仕事用プロファイルを作成>する プラットフォームのプロファイル>の種類に関するデバイスの制限)。

• デバイスと仕事用プロファイルの 1 つのロック: [ブロック] では 、ユーザーがデバイスと仕事用プロファイルのロック画面に同じパスワードを使用できなくなります。 エンド ユーザーは、デバイスのロックを解除するためにデバイス パスワードを入力し、仕事用プロファイルにアクセスするために仕事用プロファイル のパスワードを入力する必要があります。 [未構成] (既定値) に設定した場合、Intuneはこの設定を変更または更新しません。 既定では、OS では、ユーザーが 1 つのパスワードを使用して仕事用プロファイルにアクセスできる場合があります。

この設定は省略可能であり、既存の構成プロファイルには影響しません。

現在、仕事用プロファイルのパスワードがポリシー要件を満たしていない場合、デバイス ユーザーに通知が表示されます。 デバイスが非準拠としてマークされていません。 作業プロファイルの別のコンプライアンス ポリシーが作成され、今後のリリースで使用できるようになります。

適用対象:

• 仕事用プロファイルがある個人所有の Android Enterprise デバイス (BYOD)

仕事用プロファイルを使用して個人所有のデバイスで構成できる設定の一覧については、「Android Enterprise デバイス設定の一覧」を参照して、Intuneを使用して個人所有のデバイスの機能を許可または制限します。

macOS 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[設定カタログ] に新しい設定があります。 これらの設定を表示するには、Microsoft Intune管理センターで、[デバイス>の構成] [プロファイルの種類] [>macOS>設定カタログの作成>] の順に移動します。

プライバシー > プライバシー設定ポリシーの制御:

• システム ポリシー アプリ データ

制限事項:

• デバイスにディクテーションのみを強制する

適用対象:

• macOS

Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

デバイスの登録

個人用 iOS/iPadOS デバイスの JIT 登録を使用した Web ベースのデバイス登録

Intuneでは、Apple デバイス登録を介して設定された個人用デバイスの Just-In Time (JIT) 登録を使用した Web ベースのデバイス登録がサポートされます。 JIT 登録により、登録エクスペリエンス全体を通じてユーザーに表示される認証プロンプトの数が減り、デバイス全体で SSO が確立されます。 登録は、Intune ポータル サイトの Web バージョンで行われ、ポータル サイト アプリの必要がなくなります。 また、この登録方法を使用すると、管理対象の Apple ID を持たない従業員と学生がデバイスを登録し、ボリューム購入アプリにアクセスできます。

詳細については、「 iOS の Web ベースのデバイス登録を設定する」を参照してください。

デバイス管理

Intune アドオン ページにUpdatesする

[テナント管理] の [Intune アドオン] ページには、アドオン、すべてのアドオン、および機能が含まれます。 試用版または購入したライセンス、テナントで使用するライセンスが付与されているアドオン機能、Microsoft 管理センターでの新しい課金エクスペリエンスのサポートに関する強化されたビューが提供されます。

詳細については、「Intune Suite アドオン機能を使用する」を参照してください。

Android 用のリモート ヘルプが一般公開されました

リモート ヘルプは、Zebra と Samsung の Android Enterprise Dedicated デバイスで一般提供されています。

リモート ヘルプを使用すると、IT 担当者はデバイスの画面をリモートで表示し、参加済みシナリオと無人シナリオの両方で完全に制御して、問題を迅速かつ効率的に診断して解決できます。

適用対象:

• Zebra または Samsung によって製造された Android Enterprise 専用デバイス

詳細については、「Android でのリモート ヘルプ」を参照してください。

デバイスのセキュリティ

設定カタログで Apple デバイスの宣言型ソフトウェア更新プログラムとパスコード ポリシーを構成する

ソフトウェアの更新プログラムとパスコードは、Apple の宣言型デバイス管理 (DDM) 構成を使用して管理できます (デバイス>構成>>:iOS/iPadOS または macOS for platform >Settings catalog for profile type >宣言型デバイス管理)。

DDM の詳細については、「 Apple の宣言型デバイス管理 (DDM) (Apple の Web サイトを開く)」を参照してください。

DDM を使用すると、強制期限までに特定の更新プログラムをインストールできます。 DDM の自律的な性質により、デバイスがソフトウェア更新プログラムのライフサイクル全体を処理するにつれて、ユーザー エクスペリエンスが向上します。 更新プログラムが利用可能であることをユーザーに求め、ダウンロードも行い、インストール用にデバイスを準備 &、更新プログラムをインストールします。

設定カタログでは、 宣言型デバイス管理 > ソフトウェア更新プログラムで次の宣言型ソフトウェア更新プログラムの設定を使用できます。

• 詳細 URL: 更新プログラムの詳細を示す Web ページ URL。 通常、この URL はorganizationでホストされる Web ページであり、ユーザーは更新プログラムにorganization固有のヘルプが必要かどうかを選択できます。
• ターゲット ビルド バージョン: デバイスを に更新するターゲット ビルド バージョン (など 20A242)。 ビルド バージョンには、補足バージョン識別子 (など 20A242a) を含めることができます。 入力したビルド バージョンが、入力した ターゲット OS バージョン の値と一致しない場合は、[ ターゲット OS バージョン] の値が優先されます。
• ターゲットのローカル日付時刻: ソフトウェア更新プログラムを強制的にインストールするタイミングを指定するローカル日付時刻の値。 ユーザーがこの時間より前にソフトウェア更新プログラムをトリガーしなかった場合、デバイスはソフトウェア更新プログラムを強制的にインストールします。
• ターゲット OS バージョン: デバイスを更新するターゲット OS バージョン。 この値は、 のような OS バージョン番号です 16.1。 補足バージョン識別子 (など 16.1.1) を含めることもできます。

この機能の詳細については、「 設定カタログを使用したソフトウェア更新プログラムの管理」を参照してください。

設定カタログでは、 宣言型デバイス管理 > パスコードで次の宣言型パスコード設定を使用できます。

• 自動デバイス ロック: システムがデバイスを自動的にロックする前に、ユーザーをアイドル状態にできる最大期間を入力します。
• 最大猶予期間: ユーザーがパスコードなしでデバイスのロックを解除できる最大期間を入力します。
• 失敗した試行の最大数: 前に間違ったパスコード試行の最大数を入力します。
  • iOS/iPadOS がデバイスをワイプする
  • macOS によってデバイスがロックされる
• 最小パスコード長: パスコードに必要な最小文字数を入力します。
• パスコード再利用制限: 使用できない以前に使用したパスコードの数を入力します。
• 複雑なパスコードが必要: True に設定されている場合は、複雑なパスコードが必要です。 複雑なパスコードには文字が繰り返されておらず、 や CBAなど123、文字の増減はありません。
• デバイスでパスコードを要求する: True に設定すると、ユーザーはデバイスにアクセスするためのパスコードを設定する必要があります。 他のパスコード制限を設定していない場合は、パスコードの長さや品質に関する要件はありません。

適用対象:

• iOS/iPadOS 17.0 以降
• macOS 14.0 以降

設定カタログの詳細については、「 設定カタログを使用して Windows、iOS/iPadOS、macOS デバイスで設定を構成する」を参照してください。

Mvision Mobile が Trellix Mobile Security になりました

Intune Mobile Threat Defense パートナーMvision Mobile は、Trellix Mobile Security に移行しました。 この変更により、ドキュメントとIntune管理センター UI が更新されました。 たとえば、 Mvision Mobile コネクタ が Trellix Mobile Security になりました。 Mvision Mobile コネクタの既存のインストールも Trellix Mobile Security に更新されます。

この変更について質問がある場合は、Trellix Mobile Security の担当者にお問い合わせください。

Intune アプリ

Intune 用に新しく利用可能になった保護されたアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• BuddyBoard by Brother Industries, LTD
• Microsoft Corporation によるMicrosoft Loop

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

監視とトラブルシューティング

ポリシーコンプライアンスとコンプライアンスの設定に関する更新されたレポートが一般公開されました

次のデバイス コンプライアンス レポートはパブリック プレビューから外れ、一般公開されています。

• ポリシーへの準拠
• コンプライアンスの設定

この一般提供への移行により、両方のレポートの古いバージョンはIntune管理センターから廃止され、使用できなくなります。

これらの変更の詳細については、Intune サポート チームのブログをhttps://aka.ms/Intune/device_compl_report参照してください。

テナント管理

管理センターのホーム ページの更新をIntuneする

Intune管理センターのホーム ページは、新しい外観とより動的なコンテンツで再設計されました。 [状態] セクションが簡略化されました。 Intune関連する機能については、「スポットライト」セクションを参照してください。 [Intuneの詳細を取得する] セクションでは、Intune コミュニティとブログへのリンクと、顧客の成功Intune提供します。 また、[ドキュメントとトレーニング] セクションには、Intuneの新機能、開発中の機能、その他のトレーニングへのリンクが記載されています。 管理センター Microsoft Intuneで、[ホーム] を選択します。

2023 年 10 月 16 日の週

テナント管理

endpoint.microsoft.com URL リダイレクト先 intune.microsoft.com

以前は、Microsoft Intune管理センターに新しい URL (https://intune.microsoft.com) が追加されたことが発表されました。

URL が https://endpoint.microsoft.com に https://intune.microsoft.comリダイレクトされるようになりました。

アーカイブの新機能

前の月については、 新着情報のアーカイブに関するページを参照してください。

通知

この通知では、今後の Intune の変更と機能に備えるために役立つ重要な情報が提供されます。

Android 用の最新のポータル サイト、iOS 用アプリ SDK のIntune、iOS 用アプリ ラッパーのIntuneに更新する

2024 年 6 月 1 日から、Intune モバイル アプリケーション管理 (MAM) サービスを改善するための更新プログラムを作成しています。 この更新プログラムでは、iOS でラップされたアプリ、iOS SDK 統合アプリ、および Android 用のポータル サイトを最新バージョンに更新して、アプリケーションが安全でスムーズに実行されるようにする必要があります。

重要

最新バージョンに更新しない場合、ユーザーはアプリの起動をブロックされます。

Android の更新方法は、更新された SDK を持つ 1 つの Microsoft アプリケーションがデバイス上にあり、ポータル サイトが最新バージョンに更新されると、Android アプリが更新されることに注意してください。 そのため、このメッセージは iOS SDK/アプリ ラッパーの更新に焦点を当てています。 アプリがスムーズに実行されるように、常に Android アプリと iOS アプリを最新の SDK またはアプリ ラッパーに更新することをお勧めします。

これは自分やユーザーにどのような影響を与えますか?

サポートされている最新の Microsoft またはサード パーティのアプリ保護に更新されていないユーザーは、アプリの起動がブロックされます。 Intune ラッパーまたは Intune SDK を使用している iOS 基幹業務 (LOB) アプリケーションがある場合は、ユーザーがブロックされないように、Wrapper/SDK バージョン 17.7.0 以降を使用している必要があります。

どのように準備できますか?

2024 年 6 月 1 日より前に以下の変更を行う予定です。

• 古いバージョンの Intune SDK またはラッパーを使用する iOS 基幹業務 (LOB) アプリは、v17.7.0 以降に更新する必要があります。
  • Intune iOS SDK を使用するアプリの場合は、リリース 19.2.0 · msintuneappsdk/ms-intune-app-sdk-ios (github.com) を使用します。
  • Intune iOS ラッパーを使用するアプリの場合は、リリース 19.2.0 · msintuneappsdk/intune-app-wrapping-tool-ios (github.com) を使用します。
• iOS アプリを対象とするポリシーを持つテナントの場合:
  • 最新バージョンの Microsoft アプリにアップグレードする必要があることをユーザーに通知します。 アプリ ストアには、最新バージョンのアプリがあります。 たとえば、Microsoft Teams の最新バージョンについては、 こちらの Microsoft Outlook をご覧ください。
  • さらに、次の 条件付き起動 設定を有効にするオプションがあります。
    • 最新のアプリをダウンロードできるように、iOS 15 以前を使用してユーザーに警告する 最小 OS バージョン 設定。
    • アプリが 17.7.0 より前の iOS 用 Intune SDK を使用している場合にユーザーをブロックする最小 SDK バージョン設定。
    • 古い Microsoft アプリでユーザーに警告を表示する 最小アプリバージョン 設定。 この設定は、対象アプリのみを対象とするポリシー内にある必要があることに注意してください。
• Android アプリを対象とするポリシーを持つテナントの場合:
  • ポータル サイト アプリの最新バージョン (v5.0.6198.0) にアップグレードする必要があることをユーザーに通知します。
  • さらに、次の 条件付き起動 デバイス条件設定を有効にするオプションがあります。
    • 5.0.6198.0 より前のポータル サイト アプリ バージョンを使用してユーザーに警告する最小ポータル サイトバージョン設定。

変更の計画: 2024 年 5 月Intune App SDK Xamarin バインドのサポートを終了する

Xamarin Bindings のサポートが終了すると、Intuneは 2024 年 5 月 1 日から Xamarin アプリと Intune App SDK Xamarin Bindings のサポートを終了します。

これは自分やユーザーにどのような影響を与えますか?

Xamarin でビルドされた iOS アプリや Android アプリがあり、アプリ保護ポリシーを有効にするために Intune App SDK Xamarin Bindings を使用している場合は、アプリを .NET MAUI にアップグレードします。

どのように準備できますか?

Xamarin ベースのアプリを .NET MAUI にアップグレードします。 Xamarin のサポートとアプリのアップグレードの詳細については、次のドキュメントを参照してください。

• Xamarin サポート ポリシー | .NET
• Xamarin から .NET へのアップグレード |Microsoft Lear
• Microsoft Intune App SDK for .NET MAUI – Android |NuGet ギャラリー
• Microsoft Intune App SDK for .NET MAUI – iOS |NuGet ギャラリー

変更の計画: 2024 年 4 月までに、Microsoft Entra ID登録済みアプリ ID を使用して PowerShell スクリプトを更新する

昨年、Microsoft Graph SDK ベースの PowerShell モジュールに基づく新しい Microsoft Intune GitHub リポジトリを発表しました。 PowerShell サンプル スクリプト GitHub リポジトリMicrosoft Intuneレガシが読み取り専用になりました。 さらに、2024 年 4 月 1 日から、Graph SDK ベースの PowerShell モジュールの認証方法が更新されたため、グローバル Microsoft Intune PowerShell アプリケーション (クライアント) ID ベースの認証方法が削除されます。

これは自分やユーザーにどのような影響を与えますか?

Intune PowerShell アプリケーション ID (d1ddf0e4-d672-4dae-b554-9d5bdfd93547) を使用している場合は、スクリプトが破損しないように、Microsoft Entra ID登録されたアプリケーション ID でスクリプトを更新する必要があります。

どのように準備できますか?

2024 年 4 月 1 日より前に、PowerShell スクリプトを次のように更新します。

1. Microsoft Entra 管理センターで新しいアプリ登録を作成する。 詳細な手順については、「クイック スタート: アプリケーションをMicrosoft ID プラットフォームに登録する」を参照してください。
2. Intune アプリケーション ID (d1ddf0e4-d672-4dae-b554-9d5bdfd93547) を含むスクリプトを、手順 1 で作成した新しいアプリケーション ID で更新します。

Intune 2024 年 10 月にユーザーベースの管理方法で Android 10 以降をサポートするように移行する

2024 年 10 月、Intuneは、次を含むユーザー ベースの管理方法で Android 10 以降をサポートするように移行されます。

• Android Enterprise の個人所有の仕事用プロファイル
• Android Enterprise の会社所有の仕事用プロファイル
• 完全に管理されている Android Enterprise
• Android オープン ソース プロジェクト (AOSP) ユーザー ベース
• Android デバイス管理者
• アプリ保護 ポリシー (APP)
• マネージド アプリのアプリ構成ポリシー (ACP)

今後、Android の最新の 4 つのメジャー バージョンのみをサポートするまで、毎年 10 月に 1 つまたは 2 つのバージョンのサポートを終了します。 この変更の詳細については、2024 年 10 月のユーザー ベースの管理方法で Android 10 以降をサポートするために移行するIntuneに関するブログを参照してください。

注:

Android デバイス管理 (専用および AOSP ユーザーレス) と Microsoft Teams 認定 Android デバイスのユーザーレスメソッドは、この変更の影響を受けることはありません。

これは自分やユーザーにどのような影響を与えますか?

ユーザーベースの管理方法 (上記に示すように) の場合、Android 9 以前を実行している Android デバイスはサポートされません。 サポートされていない Android OS バージョンのデバイスの場合:

• Intuneテクニカル サポートは提供されません。
• Intuneでは、バグや問題に対処するための変更は行われません。
• 新機能と既存の機能が機能することは保証されていません。

Intuneでは、サポートされていない Android OS バージョンでのデバイスの登録や管理は妨げられませんが、機能は保証されておらず、使用することは推奨されません。

どのように準備できますか?

該当する場合は、この更新されたサポート ステートメントについてヘルプデスクに通知します。 ユーザーへの警告またはブロックに役立つ次の管理者オプションを使用できます。

• ユーザーに警告またはブロックするための最小 OS バージョン要件を持つ APP の 条件付き起動 設定を構成します。
• デバイス コンプライアンス ポリシーを使用し、非準拠のアクションを設定して、非準拠としてマークする前にメッセージをユーザーに送信します。
• 登録 制限を 設定して、古いバージョンを実行しているデバイスでの登録を禁止します。

詳細については、「Microsoft Intuneを使用してオペレーティング システムのバージョンを管理する」を参照してください。

変更の計画: Web ベースのデバイス登録は、iOS/iPadOS デバイス登録の既定の方法になります

現在、iOS/iPadOS 登録プロファイルを作成するときに、既定の方法として "ポータル サイトを使用したデバイス登録" が表示されます。 今後のサービス リリースでは、プロファイルの作成時に既定の方法が "Web ベースのデバイス登録" に変更されます。 さらに、 新しい テナントの場合、登録プロファイルが作成されていない場合、ユーザーは Web ベースのデバイス登録を使用して登録します。

注:

Web 登録の場合は、シングル サインオン (SSO) 拡張機能ポリシーを展開して Just-In Time (JIT) 登録を有効にする必要があります。詳細については、「Microsoft Intuneで Just-in time registration を設定する」を参照してください。

これは自分やユーザーにどのような影響を与えますか?

これは、既定の方法として "Web ベースのデバイス登録" を表示する新しい iOS/iPadOS 登録プロファイルを作成するときのユーザー インターフェイスの更新であり、既存のプロファイルは影響を受けません。 新しいテナントの場合、登録プロファイルが作成されていない場合、ユーザーは Web ベースのデバイス登録を使用して登録します。

どのように準備できますか?

必要に応じて、ドキュメントとユーザー ガイダンスを更新します。 現在、ポータル サイトでデバイス登録を使用している場合は、Web ベースのデバイス登録に移動し、SSO 拡張機能ポリシーをデプロイして JIT 登録を有効にすることをお勧めします。

追加情報:

• Microsoft Intuneでジャストインタイム登録を設定する
• iOS 用の Web ベースのデバイス登録を設定する

Intune App SDK を使用してラップされた iOS アプリと iOS アプリには、Azure AD アプリの登録が必要です

Intune モバイル アプリケーション管理 (MAM) サービスのセキュリティを強化するための更新プログラムを作成しています。 この更新プログラムでは、2024 年 3 月 31 日までに iOS でラップされたアプリと SDK 統合アプリを Microsoft Entra ID (旧称 Azure Active Directory (Azure AD)) に登録して、MAM ポリシーを引き続き受け取る必要があります。

これは自分やユーザーにどのような影響を与えますか?

Azure AD に登録されていないアプリまたは SDK 統合アプリをラップしている場合、これらのアプリは MAM サービスに接続してポリシーを受け取ることができなくなり、ユーザーは登録されていないアプリにアクセスできなくなります。

どのように準備できますか?

この変更の前に、アプリを Azure AD に登録する必要があります。 詳細な手順については、以下を参照してください。

1. 次の手順に従って、アプリを Azure AD に登録します。アプリケーションをMicrosoft ID プラットフォームに登録します。
2. ここに記載されているように、カスタム リダイレクト URL をアプリ設定に追加します。
3. アプリにIntune MAM サービスへのアクセス権を付与する手順については、こちらを参照してください。
4. 上記の変更が完了したら、アプリを Microsoft Authentication Library (MSAL) 用に構成します。
   1. ラップされたアプリの場合: ドキュメントで説明されているように、Intune App Wrapping Toolを使用して Azure AD アプリケーション クライアント ID をコマンド ライン パラメーターに追加します。iOS アプリを Intune App Wrapping Tool でラップする |Microsoft Learn -ac と -ar は必須パラメーターです。 各アプリには、これらのパラメーターの一意のセットが必要です。 -aa は、シングル テナント アプリケーションにのみ必要です。
   2. SDK 統合アプリについては、「App SDK for iOS 開発者ガイド」Microsoft Intune参照してください。 |Microsoft Learn。 ADALClientId と ADALRedirectUri/ADALRedirectScheme が必須パラメーターになりました。 ADALAuthority は、シングル テナント アプリケーションにのみ必要です。
5. アプリをデプロイします。
6. 上記の手順を検証するには:
   1. "com.microsoft.intune.mam.IntuneMAMOnly.RequireAADRegistration" アプリケーション構成ポリシーをターゲットにし、[有効] に設定します - App SDK マネージド アプリの構成ポリシー Intune - Microsoft Intune |Microsoft Learn
   2. アプリ保護ポリシーをアプリケーションにターゲットします。 [アクセスの職場または学校アカウントの資格情報] ポリシーを有効にし、[(非アクティブな分数) 後にアクセス要件を再確認する] 設定を 1 のような低い数値に設定します。
7. 次に、デバイスでアプリケーションを起動し、構成されたパラメーターを使用してサインイン (アプリの起動時に 1 分ごとに必要) が正常に行われるかどうかを確認します。
8. 他の手順を実行する前に手順 #6 と #7 のみを実行した場合、アプリケーションの起動時にブロックされる可能性があることに注意してください。 パラメーターの一部が正しくない場合も、同じ動作が見られます。
9. 検証手順が完了したら、手順 6 で行った変更を元に戻すことができます。

注:

Intuneでは、間もなく MAM を使用した iOS デバイスの Azure AD デバイス登録が必要になります。 条件付きアクセス ポリシーが有効になっている場合は、デバイスが既に登録されている必要があります。変更に気付くことはありません。 詳細については、「登録済みデバイスのMicrosoft Entra - Microsoft Entra |Microsoft Learn。

変更の計画: Jamf macOS デバイスを条件付きアクセスからデバイス コンプライアンスに移行する

Microsoft では、お客様が macOS デバイスを Jamf Pro の条件付きアクセス統合からデバイス コンプライアンス統合に移行できるように、移行計画で Jamf と協力してきました。 デバイス コンプライアンス統合では、パートナーデバイス管理 API よりも簡単なセットアップが必要な新しいIntune パートナー コンプライアンス管理 API を使用し、macOS デバイスを Jamf Pro が管理する iOS デバイスと同じ API に取り込みます。 Jamf Pro の条件付きアクセス機能が構築されているプラットフォームは、2024 年 9 月 1 日以降サポートされなくなります。

一部の環境のお客様は、最初に移行できないことに注意してください。詳細と更新については、「 サポート ヒント: Jamf macOS デバイスを条件付きアクセスからデバイス コンプライアンスに切り替える」を参照してください。

これは自分やユーザーにどのような影響を与えますか?

macOS デバイスに Jamf Pro の条件付きアクセス統合を使用している場合は、Jamf のドキュメントに記載されているガイドラインに従って、デバイスをデバイス コンプライアンス統合に移行します。 macOS 条件付きアクセスから macOS デバイス コンプライアンスへの移行 – Jamf Pro ドキュメント。

デバイス コンプライアンス統合が完了すると、一部のユーザーに Microsoft 資格情報の入力を求める 1 回限りのプロンプトが表示される場合があります。

どのように準備できますか?

該当する場合は、Jamf の指示に従って macOS デバイスを移行します。 ヘルプが必要な場合は、Jamf カスタマー サクセスにお問い合わせください。 詳細と最新の更新プログラムについては、ブログ記事「 サポート ヒント: Jamf macOS デバイスを条件付きアクセスからデバイス コンプライアンスに切り替える」を参照してください。

iOS/iPadOS 17 をサポートするように、最新のIntune App SDK と Intune App Wrapper for iOS に更新する

iOS/iPadOS 17 の今後のリリースをサポートするには、アプリケーションが安全でスムーズに実行されるように、Intune App SDK の最新バージョンと iOS 用のApp Wrapping Toolに更新します。 さらに、条件付きアクセス許可 "アプリ保護ポリシーが必要" を使用している組織の場合、ユーザーは iOS 17 にアップグレードする前にアプリを最新バージョンに更新する必要があります。 詳細については、ブログ「アプリ SDK、ラッパー、iOS アプリIntune更新する」を参照して、MAM ポリシーを使用して iOS/iPadOS 17 をサポートします。

変更計画: Intune 2024 年 8 月に GMS アクセス権を持つデバイスで Android デバイス管理者のサポートを終了する

Google は非推奨になりました Android デバイス管理者の管理、管理機能の削除を続け、修正プログラムや機能強化は提供しなくなりました。 これらの変更により、Intuneは、2024 年 8 月 30 日から Google Mobile Services (GMS) にアクセスできるデバイスでの Android デバイス管理者管理のサポートを終了する予定です。 それまでは、Android 14 以前を実行しているデバイスでデバイス管理者の管理をサポートしています。 詳細については、2024 年 8 月に GMS アクセス権を持つデバイスで Android デバイス管理者のサポートを終了Microsoft Intuneブログを参照してください。

これは自分やユーザーにどのような影響を与えますか?

Intune Android デバイス管理者のサポートが終了すると、GMS にアクセスできるデバイスは次の方法で影響を受けます。

1. ユーザーは Android デバイス管理者にデバイスを登録できません。
2. Intuneでは、新しい Android バージョンの変更に対処するためのバグ修正、セキュリティ修正、修正など、Android デバイス管理者管理に変更や更新は行われません。
3. Intuneテクニカル サポートは、これらのデバイスをサポートしなくなります。

どのように準備できますか?

Android デバイス管理者へのデバイスの登録を停止し、影響を受けるデバイスを他の管理方法に移行します。 Intuneレポートをチェックして、影響を受ける可能性のあるデバイスまたはユーザーを確認できます。 [デバイス>] [すべてのデバイス] に移動し、[OS] 列を Android (デバイス管理者) にフィルター処理して、デバイスの一覧を表示します。

2024 年 8 月に GMS アクセスを持つデバイスに対する Android デバイス管理者のサポート終了に関する Microsoft Intuneブログを読み、推奨される Android デバイス管理方法と、GMS へのアクセスのないデバイスへの影響に関する情報をお読みください。

変更の計画: Intuneは iOS/iPadOS 15 以降のサポートに移行しています

今年の後半には、Apple によって iOS 17 がリリースされる予定です。 Intune ポータル サイトとIntuneアプリ保護ポリシー (APP、MAM とも呼ばれます) を含むMicrosoft Intuneには、iOS 17 のリリース直後に iOS 15/iPadOS 15 以降が必要になります。

これは自分やユーザーにどのような影響を与えますか?

iOS/iPadOS デバイスを管理している場合、サポートされている最小バージョン (iOS/iPadOS 15) にアップグレードできないデバイスがある可能性があります。

Office 365モバイル アプリは iOS/iPadOS 15.0 以降でサポートされているため、この変更は影響を受けない可能性があります。 OS またはデバイスを既にアップグレードしている可能性があります。

iOS 15 または iPadOS 15 をサポートするデバイス (該当する場合) をチェックするには、次の Apple ドキュメントを参照してください。

• サポートされている iPhone モデル
• サポートされている iPad モデル

注:

自動デバイス登録 (ADE) を使用して登録されたユーザーレス iOS デバイスと iPadOS デバイスには、共有の使用のために少し微妙なサポート ステートメントがあります。 サポートされている OS の最小バージョンは iOS 15/iPadOS 15 に変更され、許可されている OS バージョンは iOS 12/iPadOS 12 以降に変更されます。 詳細については、 ADE ユーザーレス サポートに関するこのステートメント を参照してください。

どのように準備できますか?

Intune レポートをチェックして、影響を受ける可能性のあるデバイスまたはユーザーを確認してください。 モバイル デバイス管理 (MDM) を使用するデバイスの場合は、[ デバイス>] [すべてのデバイス ] に移動し、OS でフィルター処理します。 アプリ保護ポリシーを持つデバイスの場合は、[アプリ>モニター>アプリ保護状態] に移動し、[プラットフォーム] 列と [プラットフォームバージョン] 列を使用してフィルター処理します。

organizationでサポートされている OS バージョンを管理するには、MDM と APP の両方でMicrosoft Intuneコントロールを使用できます。 詳細については、「Intune を使用したオペレーティング システムのバージョンの管理」を参照してください。

変更の計画: Intuneは、今年後半に macOS 12 以降をサポートする予定です

今年の後半には、MacOS 14 Sonoma が Apple によってリリースされる予定です。 Microsoft Intune、ポータル サイト アプリとIntuneモバイル デバイス管理エージェントは、macOS 12 以降をサポートするように移行されます。 iOS および macOS 用のポータル サイト アプリは統合アプリであるため、この変更は iOS/iPadOS 17 のリリース直後に行われます。

これは自分やユーザーにどのような影響を与えますか?

この変更は、現在、Intuneを使用して macOS デバイスを管理している場合、または管理を計画している場合にのみ影響します。 ユーザーが既に macOS デバイスをアップグレードしている可能性が高いので、この変更は影響を受けない可能性があります。 サポートされているデバイスの一覧については、「 macOS Monterey とこれらのコンピューターとの互換性」を参照してください。

注:

macOS 11.x 以前に現在登録されているデバイスは、それらのバージョンがサポートされなくなった場合でも、引き続き登録されたままになります。 macOS 11.x 以前を実行している場合、新しいデバイスは登録できません。

どのように準備できますか?

Intune レポートをチェックして、影響を受ける可能性のあるデバイスまたはユーザーを確認してください。 [デバイス]>[すべてのデバイス] に移動し、macOS でフィルター処理します。 さらに列を追加して、macOS 11.x 以前を実行しているデバイスをorganization内のユーザーを特定するのに役立ちます。 サポートされている OS バージョンにデバイスをアップグレードするようにユーザーに依頼します。

変更の計画: ビジネス向け Microsoft Store および Education アプリのサポートを終了する

2023年4月には、Intuneでのビジネス向け Microsoft Store体験のサポートを終了しました。 これはいくつかの段階で発生します。 詳細については、「Intuneの Microsoft Store にビジネス向け Microsoft Storeおよび Education アプリを追加する」を参照してください。

これは自分やユーザーにどのような影響を与えますか?

ビジネス向け Microsoft Storeと Education アプリを使用している場合:

1. 2023 年 4 月 30 日、Intuneはビジネス向け Microsoft Store サービスを切断します。 ビジネス向け Microsoft Storeと Education アプリはIntuneと同期できず、コネクタ ページはIntune管理センターから削除されます。
2. 2023 年 6 月 15 日、Intuneは、デバイス上のオンラインおよびオフラインのビジネス向け Microsoft Storeと Education アプリの適用を停止します。 ダウンロードしたアプリケーションは、サポートが制限されたデバイスに残ります。 ユーザーは引き続きデバイスからアプリにアクセスできますが、アプリは管理されません。 既存の同期されたIntuneアプリ オブジェクトは、管理者が同期されたアプリとその割り当てを表示できるようにするために残ります。 さらに、Microsoft Graph API syncMicrosoftStoreForBusinessApps を使用してアプリを同期することはできず、関連する API プロパティには古いデータが表示されます。
3. 2023 年 9 月 15 日に、Intune管理センターから ビジネス向け Microsoft Store および Education アプリが削除されます。 デバイス上のアプリは、意図的に削除されるまで保持されます。 Microsoft Graph API microsoftStoreForBusinessApp は、約 1 か月後に使用できなくなります。

ビジネス向け Microsoft Storeと教育の廃止は2021年に発表されました。 ビジネス向け Microsoft Storeポータルと Education ポータルが廃止されると、管理者は、同期されたビジネス向け Microsoft Storeアプリと Education アプリの一覧を管理したり、ビジネス向け Microsoft Storeポータルと Education ポータルからオフライン コンテンツをダウンロードしたりできなくなります。

どのように準備できますか?

Intuneの新しい Microsoft Store アプリ エクスペリエンスを通じてアプリを追加することをお勧めします。 Microsoft Store でアプリを利用できない場合は、ベンダーからアプリ パッケージを取得し、基幹業務 (LOB) アプリまたは Win32 アプリとしてインストールする必要があります。 手順については、次の記事を参照してください。

• Microsoft Store アプリをMicrosoft Intuneに追加する
• Windows 基幹業務アプリを Microsoft Intune に追加する
• Microsoft Intune で Win32 アプリを追加、割り当て、および監視する

関連情報

• Windows 上の Microsoft Store と Intune との統合への更新
• エンドポイント管理の開梱: Intuneでのアプリ管理の未来

変更の計画: Windows Information Protectionのサポートを終了する

Microsoft Windows は、Windows Information Protection (WIP) のサポートを終了すると発表しました。 製品のMicrosoft Intuneファミリは、WIP の管理と展開に対する将来の投資を中止する予定です。 将来の投資を制限することに加えて、2022 年の年末に 登録シナリオのない WIP のサポートを削除しました。

これは自分やユーザーにどのような影響を与えますか?

WIP ポリシーを有効にしている場合は、これらのポリシーをオフまたは無効にする必要があります。

どのように準備できますか?

WIP ポリシーによって保護されているドキュメントへのアクセス権をorganizationのユーザーが失われないように、WIP を無効にすることをお勧めします。 デバイスから WIP を削除するための詳細とオプションについては、Windows Information Protectionのサポート 終了ガイダンスに関するブログのサポート ヒントを参照してください。

変更の計画: Windows 8.1のサポートを終了する

Microsoft Intuneは、2022 年 10 月 21 日にWindows 8.1を実行しているデバイスのサポートを終了する予定です。 さらに、基幹業務アプリのサイドローディング キー シナリオは、Windows 8.1 デバイスにのみ適用されるため、サポートを停止します。

Microsoft では、サポートされているバージョンのWindows 10またはWindows 11に移行することを強くお勧めします。サービスまたはサポートが不要になったシナリオを回避してください。

これは自分やユーザーにどのような影響を与えますか?

Windows 8.1デバイスを管理している場合は、それらのデバイスをサポートされているバージョンのWindows 10またはWindows 11にアップグレードする必要があります。 既存のデバイスとポリシーに影響はありませんが、Windows 8.1を実行している場合、新しいデバイスを登録することはできません。

どのように準備できますか?

必要に応じて、Windows 8.1 デバイスをアップグレードします。 実行中のユーザーのデバイスを特定するにはWindows 8.1管理センター>の [Windows Windows>デバイス>] Microsoft Intune移動し、OS でフィルター処理します。

追加情報

• Intune を使用したオペレーティング システムのバージョン管理

Microsoft Intune 管理拡張機能へのアップグレード

Windows 10 デバイスでのトランスポート層セキュリティ (TLS) エラーの処理を改善するために、Microsoft Intune 管理拡張機能へのアップグレードがリリースされました。

Microsoft Intune管理拡張機能の新しいバージョンは、1.43.203.0 です。 Intune は、1.43.203.0 より前の拡張機能のすべてのバージョンをこの最新バージョンに自動的にアップグレードします。 デバイス上の拡張機能のバージョンを確認するには、[アプリと機能] の下にあるプログラムの一覧で、Microsoft Intune 管理拡張機能のバージョンを確認してください。

詳細については、Microsoft Security Response Center のセキュリティの脆弱性 CVE-2021-31980 に関する情報を参照してください。

これは自分やユーザーにどのような影響を与えますか?

何もする必要はありません。 クライアントがサービスに接続されるとすぐに、アップグレードのメッセージが自動的に表示されます。

変更の計画: Intune は、サポートされていないバージョンの Windows に対するポータル サイトのサポートを終了します

Intune は、サポートされている Windows 10 バージョンの Windows 10 ライフサイクルに従います。 現在、Modern Support ポリシーの対象外である Windows バージョン用の関連する Windows 10 ポータル サイトのサポートを削除しています。

これは自分やユーザーにどのような影響を与えますか?

Microsoft はこれらのオペレーティング システムをサポートしなくなったため、この変更による影響はない可能性があります。 OS またはデバイスを既にアップグレードしている可能性があります。 この変更は、サポートされていないWindows 10バージョンをまだ管理している場合にのみ影響します。

この変更が影響する Windows およびポータル サイトのバージョンは次のとおりです。

• Windows 10 バージョン 1507、ポータル サイト バージョン 10.1.721.0
• Windows 10 バージョン 1511、ポータル サイト バージョン 10.1.1731.0
• Windows 10 バージョン 1607、ポータル サイト バージョン 10.3.5601.0
• Windows 10 バージョン 1703、ポータル サイト バージョン 10.3.5601.0
• Windows 10 バージョン 1709、すべてのポータル サイト バージョン

これらのポータル サイトのバージョンはアンインストールしませんが、Microsoft Store から削除し、サービス リリースのテストを停止します。

サポートされていないバージョンの Windows 10 を引き続き使用すると、ユーザーは、最新のセキュリティ更新プログラム、新機能、バグ修正、遅延の改善、アクセシビリティの改善、およびパフォーマンスへの投資を利用できなくなります。 System Center Configuration Manager と Intune を使用してユーザーを共同管理することはできません。

どのように準備できますか?

Microsoft Intune管理センターで、検出されたアプリ機能を使用して、これらのバージョンのアプリを検索します。 ユーザーのデバイスでは、ポータル サイトのバージョンがポータル サイトの [設定] ページに表示されます。 サポートされている Windows およびポータル サイトのバージョンに更新します。