Microsoft Intune を使用してオペレーティング システムのバージョンを管理する

最近のモバイル プラットフォームおよびデスクトップ プラットフォームでは、主要な更新プログラム、修正プログラム、および新しいバージョンが速いペースでリリースされます。 Windows 上の更新プログラムおよび修正プログラムについては、完全に管理するためのコントロールがありますが、iOS/iPadOS および Android などの他のプラットフォームでは、エンド ユーザーをプロセスに参加させる必要があります。 Microsoft Intune には、異なるプラットフォーム間のオペレーティング システムのバージョン管理を構築するための機能があります。

Intune は、次のような一般的なシナリオに対処するのに役立ちます。

• エンド ユーザー デバイスのオペレーティング システムのバージョンを判断する
• 新しいオペレーティング システムのリリースを検証している間、デバイス上の組織のデータへのアクセスを制御する
• 組織で承認されたオペレーティング システムの最新バージョンにアップグレードするようにエンドユーザーに奨励または要求する
• 組織全体のオペレーティング システムの新しいバージョンへのロールアウトを管理する

Intune モバイル デバイス管理登録の制限を使用したオペレーティング システムのバージョン管理

デバイス登録の制限を使用すると、特定のデバイス属性に基づいてデバイスが Intune に登録されないように制限できます。 目標は、ユーザーが組織の期待に準拠しているデバイスのみを登録できるようにすることであり、組織のリソースにアクセスできる場所に準拠していないデバイスの登録を防ぐことです。 次の プラットフォームの登録デバイス プラットフォーム制限 ポリシーを作成できます。

• Android
• iOS/iPadOS
• macOS
• Windows

各プラットフォームの種類のデバイス プラットフォーム制限ポリシーには、iOS ポリシーの次の画面キャプチャに示すように、許可されるオペレーティング システムの最小バージョンと最大バージョンの両方が含まれます。

実際

組織では、次の設定を使用して、デバイスの種類の制限を使用して、組織のリソースへのアクセスを制御します。

1. オペレーティング システムの最小バージョンを使用して、組織内の現在およびサポートされているプラットフォームのみを登録できるようにします。
2. オペレーティング システムの最大数を指定しない (制限なし) のままにするか、組織が使用を検証した最新バージョンに設定して、新しいオペレーティング システム リリースの内部テストに時間を確保します。

詳細については、「デバイスの上限数のプラットフォームを作成する」を参照してください

オペレーティング システムバージョンのレポートと Intune デバイス コンプライアンス ポリシーへの準拠

Intune デバイス コンプライアンス ポリシーには、次のツールが用意されています。

• デバイスに必要な構成を定義するコンプライアンス規則を指定します。
• コンプライアンス レポートを表示して、準拠していないデバイスとポリシー内の設定を把握します。
• 非準拠デバイスが組織のリソースにアクセスできないようにするデバイス検疫ポリシーと条件付きアクセス ポリシーを使用して、コンプライアンス違反の結果に対処します。

登録制限と同じく、デバイス コンプライアンス ポリシーには、オペレーティング システムの最小バージョンと最大バージョンの両方が含まれています。 ポリシーには、準拠するための猶予期間をユーザーに与えるためのコンプライアンス タイムラインもあります。 デバイス コンプライアンス ポリシーは、登録済みのエンド ユーザー デバイスを組織の期待に準拠させます。

実際

組織は、登録制限と同じシナリオにデバイス コンプライアンス ポリシーを使用しています。 これらのポリシーは、組織内のユーザーのオペレーティング システムのバージョンを最新かつ検証済みの状態に維持します。 エンド ユーザーのデバイスが準拠していない状態になった場合に、エンド ユーザーのオペレーティング システムが組織でサポートされる範囲になるまで、条件付きアクセスを使用して組織のリソースへのアクセスをブロックすることができます。 エンド ユーザーには、コンプライアンスが遵守されていないことが通知され、アクセスを回復するための手順が提供されます。

詳細については、「 デバイス コンプライアンスの概要」を参照してください。

Intune アプリの保護ポリシーを使用したオペレーティング システムのバージョン管理

Intune アプリの保護ポリシーとモバイル アプリケーション管理 (MAM) のアクセス設定では、アプリ層でのオペレーティング システムの最小バージョンを指定できます。 これにより、オペレーティング システムを指定した最小バージョンに更新するようにエンド ユーザーに通知、推奨、または要求することができます。

次の 2 つの方法があります。

• 警告 - 警告では、エンド ユーザーに対し、アプリケーション保護ポリシーまたは MAM アクセス設定が適用されたアプリを、指定されたバージョンより古いバージョンのオペレーティング システムが搭載されたデバイスで開く場合、アップグレードする必要があることが通知されます。 アプリと組織のデータへのアクセスが許可されます。

  

• ブロック: ブロックは、エンド ユーザーがアプリケーションの保護ポリシーまたは MAM のアクセス設定がされたアプリを、指定されたバージョンより古いオペレーティング システムのバージョンで開いたときに、アップグレードする必要があることをエンド ユーザーに通知します。 アプリと組織のデータに対するアクセスは許可されません。

  

実際

現在、組織は、アプリを開いたときまたは再開したときに、アプリを最新に保つ必要性についてエンド ユーザーを教育する方法として、アプリの保護ポリシー設定を使用しています。 構成例では、エンド ユーザーは最新バージョン -1 で警告され、最新バージョン -2 でブロックされます。

詳細については、「 アプリ保護ポリシーを作成して割り当てる方法」を参照してください。

新しいオペレーティング システム バージョンのロールアウトの管理

この記事で説明されている Intune 機能を使用すると、定義したタイムライン内で組織のデバイスを新しいオペレーティング システム バージョンに移行するのに役立ちます。 次の手順では、サンプルの展開モデルを提供し、ユーザーをオペレーティング システム v1 からオペレーティング システム v2 に 7 日間で移行します。

1. デバイス登録の制限を使用して、デバイスを登録するための最小バージョンとしてオペレーティング システム v2 を要求します。 これにより、登録時に新しいエンド ユーザーのデバイスを確実に準拠させます。
2. Intune アプリ保護ポリシー を使用して、保護されたアプリが開かれるか、新しいオペレーティング システム v2 が必要であることを再開したときにユーザーに警告します。
3. デバイス コンプライアンス ポリシーを使用して、デバイスが準拠するための最小バージョンとしてオペレーティング システム v2 を要求します。 コンプライアンス 違反のアクションを 使用して、7 日間の猶予期間を許可し、エンド ユーザーにタイムラインと要件を含む電子メール通知を送信します。
   • これらのポリシーは、デバイスを電子メール、Intune ポータル サイト、アプリ保護ポリシーで有効にしたアプリに対していつ開かれるかによって、デバイスを更新する必要があることをエンド ユーザーに通知できます。
   • コンプライアンス レポートを実行して、非コンプライアンスになっているユーザーを特定することができます。
4. Intune アプリ保護ポリシーを使用して、デバイスがオペレーティング システム v2 を実行していない場合にアプリを開いたり再開したりしたときにユーザーをブロックします。
5. デバイス コンプライアンス ポリシーを使用して、デバイスを準拠させるための最小バージョンとしてオペレーティング システム v2 を要求します。
   • これらのポリシーでは、組織のデータに引き続きアクセスするために、デバイスを更新することが求められます。 デバイスの条件付きアクセスと共に使用すると、保護されたサービスがブロックされます。 アプリの保護ポリシーが有効になっているアプリは、開いたとき、または組織のデータにアクセスするときにブロックされます。

次の手順

次のリソースを使用して、組織内で使用されているオペレーティング システムのバージョンを管理します。

• デバイスの種類の制限を設定する
• Intune のデバイス コンプライアンス ポリシーの概要
• アプリ保護ポリシーを作成して割り当てる方法