id を安全に管理し、アプリを管理し、デバイスを管理するMicrosoft Intune

組織がハイブリッドとリモートの従業員のサポートに移行すると、組織のリソースにアクセスするさまざまなデバイスを管理することが課題になります。 従業員と学生は、共同作業を行い、どこからでも作業し、これらのリソースに安全にアクセスして接続する必要があります。 管理者は、組織のデータを保護し、エンド ユーザー アクセスを管理し、どこからでもユーザーをサポートする必要があります。

これらの課題とタスクを支援するには、Microsoft Intuneを使用します

Microsoft Intuneの機能と利点を示す画像。

Microsoft Intuneは、クラウドベースのエンドポイント管理ソリューションです。 ユーザー アクセスを管理し、モバイル デバイス、デスクトップ コンピューター、仮想エンドポイントなど、多くのデバイス全体でアプリとデバイスの管理を簡素化します。

組織所有のデバイスとユーザーの個人デバイス上のアクセスとデータを保護できます。 また、Intuneには、ゼロ トラスト セキュリティ モデルをサポートするコンプライアンスとレポート機能があります。

この記事では、Microsoft Intuneのいくつかの機能と利点を示します。

ヒント

主な機能と利点

Intuneの主な機能と利点は次のとおりです。

  • 組織 が所有するデバイスや個人所有のデバイスなど、ユーザーとデバイスを管理できます。 Microsoft Intuneでは、Android、Android オープン ソース プロジェクト (AOSP)、iOS/iPadOS、macOS、および Windows クライアント デバイスがサポートされています。 Intuneでは、これらのデバイスを使用して、作成したポリシーを使用して組織のリソースに安全にアクセスできます。

    詳細については、以下をご覧ください。

    注:

    オンプレミスの Windows Server を管理する場合は、Configuration Managerを使用できます。

  • Intuneは、アプリのデプロイ、更新、削除など、組み込みのアプリ エクスペリエンスを使用してアプリ管理を簡略化します。 プライベート アプリ ストアからアプリに接続して配布したり、Microsoft 365 アプリを有効にしたり、Win32 アプリを展開したり、アプリ保護ポリシーを作成したり、アプリとそのデータへのアクセスを管理したりできます。

    詳細については、「Microsoft Intuneを使用してアプリを管理する」を参照してください。

  • Intuneは、アプリ、セキュリティ、デバイス構成、コンプライアンス、条件付きアクセスなどのポリシーの展開を自動化します。 ポリシーの準備ができたら、これらのポリシーをユーザー グループとデバイス グループに展開できます。 これらのポリシーを受け取るために、デバイスにはインターネット アクセスのみが必要です。

  • 従業員と学生は、ポータル サイト アプリのセルフサービス機能を使用して、PIN/パスワードのリセット、アプリのインストール、グループへの参加などを行うことができます。 ポータル サイト アプリをカスタマイズして、サポート呼び出しを減らすことができます。

    詳細については、Intune ポータル サイト アプリの構成、web サイトのポータル サイト、アプリのIntuneに関するページを参照してください。

  • Intuneは、Microsoft Defender for Endpointやサード パーティのパートナー サービスを含むモバイル脅威防御サービスと統合されます。 これらのサービスを使用すると、エンドポイントセキュリティに重点を置き、脅威に対応するポリシーを作成し、リアルタイムのリスク分析を行い、修復を自動化できます。

    詳細については、「Mobile Threat Defense とIntuneの統合」を参照してください。

  • データ ドリブン レポートなど、エンドポイント管理に重点を置いた Web ベースの管理センターを使用 します。 管理者は、インターネットにアクセスできる任意のデバイスからエンドポイント マネージャー管理センターにサインインできます。

    詳細については、「 エンドポイント マネージャー管理センターのチュートリアル」を参照してください。 管理センターにサインインするには、エンドポイント マネージャー管理センター Microsoftに移動します。

    この管理センターでは、Microsoft Graph REST API を使用して、Intune サービスにプログラムでアクセスします。 管理センターのすべてのアクションは、Microsoft Graph 呼び出しです。 Graph に詳しくなく、詳細については、「Graph とMicrosoft Intuneの統合」をご覧ください。

他のMicrosoftサービスやアプリと統合

Microsoft Intuneは、エンドポイント管理に重点を置く他のMicrosoft製品やサービスと統合されます。これには、次が含まれます。

  • ソフトウェア更新プログラムの展開やデータ センターの管理など、オンプレミスのエンドポイント管理と Windows Server 用のConfiguration Manager

    共同管理シナリオでは、IntuneとConfiguration Managerを一緒に使用したり、テナントアタッチを使用したり、両方を使用することができます。 これらのオプションを使用すると、Web ベースの管理センターの利点が得られ、Intuneで利用できる他のクラウドベースの機能を使用できます。

    詳細については、次のページを参照してください。

  • 最新の OS の展開とプロビジョニング用の Windows Autopilot

    Windows Autopilot を使用すると、新しいデバイスをプロビジョニングし、これらのデバイスを OEM またはデバイス プロバイダーからユーザーに直接送信できます。 既存のデバイスの場合は、これらのデバイスを再イメージ化して Windows Autopilot を使用し、最新バージョンの Windows を展開できます。

    詳細については、次のページを参照してください。

  • デバイスのパフォーマンスと信頼性など、エンド ユーザー エクスペリエンスの可視性とレポートのためのエンドポイント分析

    エンドポイント分析を使用して、デバイスの速度を低下させるポリシーまたはハードウェアの問題を特定できます。 また、エンド ユーザー エクスペリエンスを事前に改善し、ヘルプ デスクのチケットを減らすのに役立つガイダンスも提供します。

    詳細については、次のページを参照してください。

  • Microsoft 365 は、Outlook、Teams、Sharepoint、OneDrive など、エンド ユーザーの生産性の Office アプリに対応しています

    Intuneを使用すると、Microsoft 365 アプリを組織内のユーザーとデバイスに展開できます。 ユーザーが初めてサインインするときに、これらのアプリをデプロイすることもできます。

    詳細については、次のページを参照してください。

  • 企業が脅威を防止、検出、調査、対応するのに役立つMicrosoft Defender for Endpoint

    Intuneでは、IntuneとMicrosoft Defender for Endpointの間にサービス間接続を作成できます。 接続されると、ファイルをスキャンし、脅威を検出し、脅威レベルをMicrosoft Defender for Endpointに報告するポリシーを作成できます。 許容レベルのリスクを設定するコンプライアンス ポリシーを作成することもできます。 条件付きアクセスと組み合わせると、非準拠のデバイスの組織リソースへのアクセスをブロックできます。

    詳細については、次のページを参照してください。

  • Windows Autopatch:エンタープライズ、Microsoft Edge、Microsoft Teams 用の Windows、Microsoft 365 アプリの自動修正プログラム

    Windows Autopatch はクラウドベースのサービスです。 ソフトウェアを最新の状態に保ち、ユーザーに最新の生産性ツールを提供し、オンプレミスのインフラストラクチャを最小限に抑え、IT 管理者が他のプロジェクトに集中できるように支援します。 Windows Autopatch では、Microsoft Intuneを使用して、共同管理 (Intune + Configuration Manager) を使用して、Intune登録されたデバイスまたはデバイスのパッチ適用を管理します。

    詳細については、次のページを参照してください。

サード パーティのパートナー デバイスとアプリとの統合

エンドポイント マネージャー管理センターを使用すると、次のようなさまざまなパートナー サービスに簡単に接続できます。

これらのサービスを使用して、次をIntuneします。

  • 管理者にサード パーティのパートナー アプリ サービスへの簡単なアクセスを提供します。
  • 何百ものサード パーティのパートナー アプリを管理できます。
  • パブリック 小売店アプリ、基幹業務 (LOB) アプリ、パブリック ストアで使用できないプライベート アプリ、カスタム アプリなどをサポートします。

サード パーティのパートナー デバイスをIntuneに登録するためのプラットフォーム固有の要件の詳細については、次のページを参照してください。

デバイス管理、アプリケーション管理、またはその両方に登録する

組織所有のデバイスは、モバイル デバイス管理 (MDM) のIntuneに登録されます。 MDM はデバイス中心であるため、デバイス機能は必要なユーザーに基づいて構成されます。 たとえば、Wi-Fi へのアクセスを許可するようにデバイスを構成できますが、サインインしているユーザーが組織のアカウントの場合に限られます。

Intuneでは、機能&設定を構成し、セキュリティ&保護を提供するポリシーを作成します。 デバイスは、サインインするユーザー ID、インストールされているアプリ、アクセスされるデータなど、組織によって完全に管理されます。

デバイスが登録されると、登録プロセス中にポリシーを展開できます。 登録が完了すると、デバイスを使用する準備が整います。

Bring-your-own-device (BYOD) シナリオの個人用デバイスの場合は、モバイル アプリケーション管理 (MAM) にIntuneを使用できます。 MAM はユーザー中心であるため、アプリ データは、このデータへのアクセスに使用されるデバイスに関係なく保護されます。 アプリへの安全なアクセスやアプリ内のデータの保護など、アプリに焦点を当てています。

MAM を使用すると、次のことができます。

  • モバイル アプリをユーザーに発行する。
  • アプリを構成し、アプリを自動的に更新します。
  • アプリ インベントリとアプリの使用状況に焦点を当てたデータ レポートを表示します。

MDM と MAM を一緒に使用することもできます。 デバイスが登録されていて、追加のセキュリティが必要なアプリがある場合は、MAM アプリ保護ポリシーを使用することもできます。

詳細については、以下をご覧ください。

任意のデバイス上のデータを保護する

Intuneを使用すると、マネージド デバイス (Intune に登録) 上のデータを保護し、非管理対象デバイス (Intune に登録されていない) 上のデータを保護できます。 Intuneは、組織データを個人データから分離できます。 アイデアは、ユーザーが情報にアクセスして共有する方法を制御することで、会社の情報を保護することです。

組織所有のデバイスの場合は、デバイス、特にセキュリティを完全に制御する必要があります。 デバイスが登録されると、セキュリティ規則と設定を受け取ります。

Intuneに登録されているデバイスでは、次のことができます。

  • セキュリティ設定の構成、パスワード要件の設定、証明書の展開などを行うポリシーを作成して展開します。
  • モバイル脅威防御サービスを使用して、デバイスのスキャン、脅威の検出、脅威の修復を行います。
  • セキュリティ設定とルールのコンプライアンスを測定するデータとレポートを表示します。
  • 条件付きアクセスを使用して、組織のリソース、アプリ、データへのアクセスをマネージド デバイスと準拠デバイスのみに許可します。
  • デバイスが紛失または盗難にあった場合は、組織データを削除します。

個人のデバイスの場合、ユーザーは IT 管理者が完全に制御することを望まない場合があります。 ハイブリッド作業環境をサポートするには、ユーザーにオプションを指定します。 たとえば、組織のリソースにフル アクセスする場合は、ユーザーが自分のデバイスを登録します。 または、これらのユーザーが Outlook または Microsoft Teams へのアクセスのみを必要とする場合は、多要素認証 (MFA) を必要とするアプリ保護ポリシーを使用します。

アプリケーション管理を使用するデバイスでは、次のことができます。

  • モバイル脅威防御サービスを使用して、デバイスのスキャン、脅威の検出、リスクの評価によってアプリ データを保護します。
  • 組織のデータが個人用アプリにコピーおよび貼り付けされないようにします。
  • アプリと、サード パーティまたはパートナー MDM に登録されている管理されていないデバイスでアプリ保護ポリシーを使用します。
  • 条件付きアクセスを使用して、組織のメールやファイルにアクセスできるアプリを制限します。
  • アプリ内の組織データを削除します。

詳細については、以下をご覧ください。

アクセスを簡略化する

Intuneは、組織がどこからでも働くことができる従業員をサポートするのに役立ちます。 ユーザーがどこにいても組織に接続できるようにする機能を構成できます。

このセクションには、Intuneで構成できる一般的な機能がいくつか含まれています。

パスワードの代わりにWindows Hello for Businessを使用する

Windows Hello for Businessは、フィッシング攻撃やその他のセキュリティ上の脅威から保護するのに役立ちます。 また、ユーザーがデバイスやアプリにすばやく簡単にサインインするのにも役立ちます。

Windows Hello for Businessは、PIN や生体認証 (指紋、顔認識など) を使用してパスワードを置き換えます。 この生体認証情報はデバイスにローカルに保存され、外部デバイスやサーバーに送信されることはありません。

詳細については、以下をご覧ください。

リモート ユーザー用の VPN 接続を作成する

VPN ポリシーを使用すると、ユーザーは組織ネットワークへの安全なリモート アクセスを提供します。

Check Point、Cisco、Microsoft Tunnel、NetMotion、Pulse Secure などの一般的な VPN 接続パートナーを使用して、ネットワーク設定で VPN ポリシーを作成できます。 ポリシーの準備ができたら、ネットワークにリモートで接続する必要があるユーザーとデバイスにこのポリシーを展開します。

VPN ポリシーでは、証明書を使用して VPN 接続を認証できます。 証明書を使用する場合、エンド ユーザーはユーザー名とパスワードを入力する必要はありません。

詳細については、以下をご覧ください。

オンプレミス ユーザーのWi-Fi接続を作成する

オンプレミスの組織ネットワークに接続する必要があるユーザーの場合は、ネットワーク設定を使用してWi-Fi ポリシーを作成できます。 特定の SSID に接続したり、認証方法を選択したり、プロキシを使用したりできます。 デバイスが範囲内にあるときにWi-Fiに自動的に接続するようにポリシーを構成することもできます。

Wi-Fi ポリシーでは、証明書を使用してWi-Fi接続を認証できます。 証明書を使用する場合、エンド ユーザーはユーザー名とパスワードを入力する必要はありません。

ポリシーの準備ができたら、オンプレミス のネットワークに接続する必要があるオンプレミスのユーザーとデバイスにこのポリシーを展開します。

詳細については、以下をご覧ください。

アプリとサービスへのシングル サインオン (SSO) を有効にする

SSO を有効にすると、ユーザーは、一部のモバイル脅威防御パートナー アプリを含め、自分の Azure AD 組織アカウントを使用してアプリやサービスに自動的にサインインできます。

特に次のような場合です。

次の手順