Microsoft Intune でデバイスを管理し、デバイス機能を制御する
デバイスの管理は、エンドポイント管理戦略とソリューションの重要な部分です。 組織は、ノート PC、タブレット、携帯電話、ウェアラブルなどを管理する必要があります。 特にどこから始めればいいかわからない場合は、大きなタスクになる可能性があります。
「Microsoft Intune」と入力します。 Intune は、セキュリティ ポリシーを含むポリシーを使用してデバイスを制御できるクラウドベースのサービスです。 Intune とその利点の詳細については、「 Microsoft Intune とは」を参照してください。
デバイスを管理している組織の目標は、デバイスとアクセスするデータをセキュリティで保護することです。 このタスクには、組織所有のデバイスと、組織のリソースにアクセスする個人所有のデバイスが含まれます。
サービスの観点から見ると、Intune はデバイスのストレージとアクセス許可に Microsoft Entra ID を使用します。 Microsoft Intune 管理センターを使用すると、エンドポイント管理用に設計された一元的な場所でデバイス タスクとポリシーを管理できます。
この記事では、デバイスを管理するときに考慮する必要がある概念と機能について説明します。
組織所有のデバイスと個人用デバイスを管理する
多くの組織では、個人所有のデバイスが、メール、会議など、組織のリソースにアクセスすることを許可しています。 使用できるオプションはさまざまであり、これらのオプションは組織の厳しい状況によって異なります。
個人のデバイスを組織のデバイス管理サービスに登録する必要があります。 これらの個人用デバイスでは、管理者はポリシーの展開、ルールの設定、デバイス機能の構成などを行うことができます。 または、Outlook、Teams、Sharepoint などのアプリ データの保護に焦点を当てたアプリ保護ポリシーを使用することもできます。 デバイス登録ポリシーとアプリ保護ポリシーを組み合わせて使用することもできます。
組織所有のデバイスの場合は、組織によって完全に管理され、ルールを適用し、データを保護するポリシーを受け取る必要があります。
詳細とガイダンスについては、次のページを参照してください。
既存のデバイスを使用し、新しいデバイスを使用する
新しいデバイスと既存のデバイスを管理できます。 Intune では、Android、iOS/iPadOS、Linux、macOS、および Windows デバイスがサポートされています。
知っておくべきことがいくつかあります。 たとえば、既存のデバイスが別の MDM プロバイダーによって管理されている場合は、出荷時の設定にリセットする必要があります。 デバイスが古い OS バージョンを使用している場合は、サポートされていない可能性があります。
組織が新しいデバイスに投資している場合は、Intune を使用してクラウド アプローチを開始することをお勧めします。
詳細とガイダンスについては、次のページを参照してください。
プラットフォーム別の詳細については、次のページを参照してください。
- Android プラットフォームのデプロイ ガイド
- iOS/iPadOS プラットフォームのデプロイ ガイド
- Linux 登録デプロイ ガイド
- macOS プラットフォームのデプロイ ガイド
- Windows 登録の展開ガイド
デバイスのコンプライアンスの正常性を確認する
デバイスのコンプライアンスは、デバイスの管理の重要な部分です。 組織は、パスワード/PIN 規則を設定し、これらのデバイスのセキュリティ機能を確認する必要があります。 ルールを満たしていないデバイスを知りたいと思うでしょう。 このタスクは、コンプライアンスが適用される場所です。
単純なパスワードをブロックしたり、ファイアウォールを要求したり、OS の最小バージョンを設定したりするコンプライアンス ポリシーを作成できます。 これらのポリシーと組み込みのレポートを使用して、非準拠デバイスを表示し、これらのデバイスで非準拠の設定を確認できます。 この情報により、組織のリソースにアクセスするデバイスの全体的な正常性が把握できます。
条件付きアクセスは、Microsoft Entra ID の機能です。 条件付きアクセスを使用すると、コンプライアンスを適用できます。 たとえば、デバイスがコンプライアンス規則を満たしていない場合は、Outlook、SharePoint、Teams など、組織のリソースへのアクセスをブロックできます。 条件付きアクセスは、組織がデータをセキュリティで保護し、デバイスを保護するのに役立ちます。
詳細については、次を参照してください:
デバイス機能を制御し、デバイス グループにポリシーを割り当てる
すべてのデバイスには、ポリシーを使用して制御および管理できる機能があります。 たとえば、組み込みのカメラをブロックしたり、ペアリングBluetooth許可したり、電源ボタンを管理したりできます。
多くの組織では、デバイス グループを作成するのが一般的です。 デバイス グループは、デバイスのみを含む Microsoft Entra グループです。 ユーザー ID は含まれません。
デバイス グループがある場合は、1 つのアプリの実行やバーコードのスキャンなど、デバイス エクスペリエンスやタスクに焦点を当てたポリシーを作成します。 また、デバイスを使用しているユーザーに関係なく、常にデバイス上に存在する設定を含むポリシーを作成することもできます。
OS プラットフォーム別、機能別、場所別、およびその他の機能別にデバイスをグループ化できます。
デバイス グループには、多くのユーザーと共有されているデバイスや、特定のユーザーに関連付けられていないデバイスも含めることができます。 これらの専用デバイスまたはキオスク デバイスは、通常、現場担当者 (FLW) によって使用され、Intune で管理することもできます。
グループの準備ができたら、これらのデバイス グループにポリシーを割り当てることができます。
詳細については、次を参照してください:
- Intune での FLW デバイス管理
- 現場担当者向けの Microsoft 365 の使用を開始する
- Intune を使用して専用キオスクとして実行するための Windows デバイスの設定
- Intune を使用して共有 PC またはマルチユーザー デバイスでのアクセス、アカウント、および電源機能を制御する
デバイスをセキュリティで保護する
デバイスをセキュリティで保護するために、ウイルス対策をインストールし、スキャン & 悪意のあるアクティビティに対応し、セキュリティ機能を有効にすることができます。
Intune では、一般的なセキュリティ タスクには次のようなものがあります。
Mobile Threat Defense (MTD) パートナーと統合して、組織所有のデバイスと個人所有のデバイスを保護します。 これらの MTD サービスはデバイスをスキャンし、脆弱性の修復に役立ちます。
MTD パートナーは、Android、iOS/iPadOS、macOS、Windows など、さまざまなプラットフォームをサポートしています。
詳細については、「Mobile Threat Defense と Intune の統合」を参照してください。
Windows デバイスでセキュリティ ベースラインを使用します。 セキュリティ ベースラインは、デバイスに展開できる事前構成済みの設定です。 これらのベースライン設定は、セキュリティに細かいレベルで焦点を当て、組織固有の要件を満たすように変更することもできます。
どこから始めればいかわからない場合は、セキュリティ ベースラインと組み込みのガイド付きシナリオを確認してください。
より具体的な情報については、以下を参照してください:
組み込みのポリシー設定を使用して、ソフトウェア更新プログラムの管理、ハード ディスクの暗号化、組み込みのファイアウォールの構成などを行います。 Windows オートパッチを使用して、Windows 品質更新プログラムや Windows 機能更新プログラムなど、Windows の自動修正プログラムを適用することもできます。
詳細については、次を参照してください:
Intune 管理センターを使用してデバイスをリモートで管理します。 リモートでロック、再起動、紛失したデバイスの検索、デバイスの出荷時の設定への復元などを行うことができます。 これらのタスクは、デバイスが紛失または盗難にあった場合、またはデバイスをリモートでトラブルシューティングする場合に役立ちます。
詳細については、「 Intune のリモート アクション」を参照してください。