デプロイ ガイド: Microsoft Intuneで Linux デバイスを管理する
このガイドでは、Microsoft Intuneを使用して Linux アプリとエンドポイントを保護および管理するために必要なすべてのことを説明します。これには、次の方法が含まれます。
- デバイス登録用にテナントを準備します。
- Linux デバイス コンプライアンス ポリシーを作成します。
- カスタム コンプライアンス設定を追加します。
- Microsoft Edge で条件付きアクセス ポリシーを適用します。
- デスクトップを登録する従業員と学生をサポートします。
このガイドの各セクションで、関連するタスクを確認します。 一部のタスクは必須であり、条件付きアクセスの設定など、一部のタスクは省略可能です。 各セクションで提供されているリンクを選択して、Microsoft Learn の推奨されるヘルプ ドキュメントに移動します。詳細な情報と方法に関する手順を確認できます。
手順 1: 前提条件
Microsoft Intune、Microsoft Entra ID、および Microsoft Edge は、Linux デスクトップ管理の機能を強化します。 Microsoft Intuneは、デバイスの管理機能とコンプライアンス機能を強化します。 Microsoft Entra ID は、Microsoft Intuneコンプライアンス ポリシーと共に使用される条件付きアクセスを強化します。 Microsoft Edge は、Microsoft 365 Web アプリへの保護されたアクセスを提供するために使用される Web ブラウザー アプリです。
テナントのエンドポイント管理機能を有効にするには、次の前提条件を満たします。
organizationを準備する方法、オンボードする方法、モバイル デバイス管理に Intune を採用する方法の詳細と推奨事項については、Intune セットアップ展開ガイドを参照してください。
手順 2: デプロイの計画
Microsoft Intune 計画ガイドを使用して、デバイス管理の目標、ユースケース シナリオ、および要件を定義します。 これは、ロールアウト、通信、サポート、テスト、および検証の計画にも役立ちます。 たとえば、従業員や学生がデバイスを登録するときにそこにいる必要がないため、ポータル サイトと Microsoft Edge のインストールと使用に関する情報を見つける場所をユーザーが把握できるように、コミュニケーション プランを用意することをお勧めします。
手順 3: デバイス コンプライアンス ポリシーを作成する
デバイス コンプライアンス ポリシーを作成して、データにアクセスする Linux デバイスがセキュリティで保護され、organizationの標準を満たしていることを確認します。 登録プロセスの最終段階はコンプライアンス評価であり、デバイスの設定がポリシーを満たしていることを確認します。 デバイス ユーザーは、保護されたリソースにアクセスするために、すべてのコンプライアンスの問題を解決する必要があります。 Intune では、コンプライアンス要件に達していないデバイスを 非準拠 としてマークし、コンプライアンス違反の構成に 対するアクション に従って追加のアクション (ユーザーに通知の送信、アクセスの制限、デバイスのワイプなど) を行います。
Linux ディストリビューションの種類、バージョン、デバイス暗号化、またはパスワードの複雑さに基づいて、デバイス コンプライアンス ポリシーを適用できます。 Linux で使用可能なすべてのコンプライアンス設定は、Microsoft Intune設定カタログにあります。 Microsoft Entra条件付きアクセス ポリシーをデバイス コンプライアンス ポリシーと組み合わせて使用して、Microsoft Edge の Microsoft 365 Web アプリへのアクセスを制御できます。 たとえば、従業員が最初にデバイスを登録またはセキュリティで保護せずに Edge で Microsoft Teams にアクセスしようとすると、サインインできなくなります。
ヒント
デバイス コンプライアンス ポリシーの概要については、「 コンプライアンスの概要」を参照してください。
| タスク | 詳細 |
|---|---|
| デバイスのコンプライアンス ポリシーを作成する | Linux デバイスのデバイス コンプライアンス ポリシーを作成して割り当てる方法に関する詳細なガイダンスを取得します。 |
| カスタム コンプライアンス設定を追加する | カスタム コンプライアンス設定では、Microsoft Intuneに組み込まれているデバイス コンプライアンス オプションにまだ含まれていないコンプライアンス シナリオに対処するために、独自の Bash スクリプトを記述できます。 この記事では、Linux デバイスのカスタム コンプライアンス ポリシーを作成、監視、トラブルシューティングする方法について説明します。 カスタム コンプライアンス設定では、設定と値のペアを識別する カスタム スクリプトを作成 する必要があります。 |
| コンプライアンス違反に対するアクションを追加する | デバイスがコンプライアンス ポリシーの条件を満たさなくなったときの処理を選択します。 アクションの例としては、アラートの送信、デバイスのリモート ロック、デバイスの廃止などがあります。 デバイス コンプライアンス ポリシーを構成するとき、または後でポリシーを編集することによって、非準拠のアクションを追加できます。 |
| デバイス ベースまたはアプリベースの条件付きアクセス ポリシーを作成する | Linux 用 Microsoft Edge ブラウザーで Microsoft 365 Web アプリを保護し、アクセスを許可する条件付きアクセス ポリシーを設定します。 条件付きアクセスは、非準拠デバイスが Edge で保護された作業アプリにアクセスできないようにブロックし、準拠しているデバイスへのアクセスを許可します。 Linux デバイスを操作するには、条件付きアクセス用のデバイス コンプライアンス ポリシーが必要です。 |
手順 4: デバイスを登録する
登録は、Ubuntu LTS バージョン 22.04 または 20.04 を実行している Linux デスクトップでサポートされています。 Intune ライセンスを割り当てられた従業員は、必要に応じて、個人用 Linux デバイスをMicrosoft Intuneに登録できます。 登録中、デバイスはMicrosoft Entra ID に登録され、コンプライアンスが評価されます。 Edge に条件付きアクセス ポリシーを適用した場合、ユーザーは自分の職場アカウントで Microsoft 365 Web アプリにアクセスする前に、デバイスの登録を求められます。
Intune 管理者は、「 前提条件」で説明されている以外に、従業員の登録を有効にするために何もする必要はありません。 ただし、登録中にガイダンスが必要な場合に備えて、ヘルプ リソースを提供することが重要です。
ヒント
デバイスの暗号化が必要な場合は、デバイス登録の前に従業員に通知して、可能な場合は OS のインストール中にデバイスの暗号化を選択できるようにします。 OS のインストール後にデバイスを暗号化するよりも簡単で高速です。 さらに、organizationのオペレーティング システム要件とパスワードの複雑さの要件を Web サイトやオンボード メールで簡単に見つけられるようにして、従業員がその情報を探すために登録を遅らせる必要がないようにします。
| タスク | 詳細 |
|---|---|
| Linux 用Microsoft Intuneアプリをインストールする | 従業員は、登録のために個人用デバイスにMicrosoft Intune アプリをインストールする必要があります。 この記事では、ターミナル アプリで Linux 用のMicrosoft Intune アプリをインストール、更新、削除する方法について説明します。 |
| Microsoft Edge Web ブラウザーをインストールする) | 保護された Web サイトやファイルにアクセスするには、従業員に Microsoft Edge Web ブラウザーバージョン 102 が必要です。X 以降。 デバイスを登録した後、従業員は職場アカウントで Microsoft Edge にサインインし、Web サイトやファイルにアクセスできます。 |
| Intune に Linux デバイスを登録する | この記事では、デバイス ユーザー向けであり、Microsoft Intune アプリにデバイスを登録する方法について説明し、システム要件、前提条件、次の手順について説明します。 この手順では、Microsoft Intune Microsoft Entra ID でデバイスを登録し、Intune でデバイス レコードを作成します。 登録が完了すると、デバイスコンプライアンスチェックが開始されます。 |
| デバイスの状態を確認し、コンプライアンスの問題を解決する | この記事はデバイス ユーザー向けであり、Microsoft Intune アプリのコンプライアンスの問題を解決する方法について説明します。 コンプライアンス チェックは、登録中に行われ、その後、デバイスが Intune でチェックインされるときに行われます。 Intune アプリは、デバイスに非準拠の設定があるときに従業員に通知します。 Intune では、デバイスのコンプライアンスと条件付きアクセス ポリシーを使用して、コンプライアンスと非準拠に対するアクションを決定します。 |
次の手順
Intune を移動して使用する方法に関するチュートリアルについては、「 Intune 管理センターのチュートリアル 」を参照してください。 チュートリアルは、Intune または特定のシナリオの初心者のための 100 ~ 200 レベルのコンテンツです。
Linux デスクトップ管理に関する最新情報とブログについては、Microsoft Tech Communityを参照してください。
このガイドの他のバージョンについては、以下を参照してください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示