Microsoft Intune の新機能

  • [アーティクル]

週ごとの Microsoft Intune の新機能について説明します。

次の情報も読むことができます。

注:

月例更新プログラムのロールアウトには最大 3 日かかる場合があり、次の順序で行われます。

  • 1 日目: アジア太平洋 (APAC)
  • 2 日目: ヨーロッパ、中東、アフリカ (EMEA)
  • 3 日目: 北米
  • 4 日目以降: 政府機関向け Intune

一部の機能は数週間にわたってロールアウトされる場合があり、すべてのお客様が最初の週にご利用いただけるとは限りません。

今後の Intune 機能リリースのリストについては、「Microsoft Intune の開発中の機能」を参照してください。 Autopilot の新しい情報については、「 Windows Autopilot の新機能」を参照してください。

RSS を使用して、このページが更新されたときに通知を受け取ることができます。 詳細については、「ドキュメントの 使い方」を参照してください。

2023 年 5 月 22 日の週 (サービス リリース 2305)

アプリ管理

macOS シェル スクリプトの最大実行時間制限に更新する

お客様からのフィードバックに基づいて、macOS 用のIntune エージェント (バージョン 2305.019) を更新して、スクリプトの最大実行時間を 60 分に延長します。 以前は、macOS 用のIntune エージェントでは、エラーとしてスクリプトを報告する前に、シェル スクリプトの実行を最大 15 分間許可しました。 macOS 2206.014 以降の Intune エージェントでは、60 分のタイムアウトがサポートされています。

割り当てフィルターは、アプリ保護ポリシーとアプリ構成ポリシーをサポートします

割り当てフィルターは、MAM アプリ保護ポリシーとアプリ構成ポリシーをサポートします。 新しいフィルターを作成するときに、次のプロパティを使用して MAM ポリシー ターゲットを微調整できます。

  • デバイス管理型
  • デバイスの製造元
  • デバイス モデル
  • OS のバージョン
  • アプリケーションのバージョン
  • MAM クライアント バージョン

重要

デバイスの種類のターゲット設定を使用するすべての新しく編集されたアプリ保護ポリシーは、割り当てフィルターに置き換えられます。

フィルターの詳細については、「Microsoft Intuneでアプリ、ポリシー、プロファイルを割り当てるときにフィルターを使用する」を参照してください

Intuneで MAM レポートに更新する

MAM レポートは簡素化され、オーバーホールされ、Intuneの最新のレポート インフラストラクチャを活用できるようになりました。 この利点には、データの精度の向上と即時更新が含まれます。 これらの合理化された MAM レポートは、Microsoft Intune管理センターで [アプリ>モニター] を選択することで確認できます。 使用可能なすべての MAM データは、新しいアプリ保護状態レポートとアプリ構成状態レポートに含まれます。

グローバルな静音時間アプリ ポリシー設定

グローバルな静音時間設定を使用すると、エンド ユーザーの静かな時間をスケジュールするポリシーを作成できます。 これらの設定は、iOS/iPadOS および Android プラットフォームで Microsoft Outlook のメールと Teams の通知を自動的にミュートします。 これらのポリシーを使用して、勤務時間後に受け取ったエンド ユーザー通知を制限できます。 詳細については、「 静かな時間通知ポリシー」を参照してください。

デバイス構成

リモート ヘルプ管理者は監査ログ セッションを参照できます

リモート ヘルプの場合、管理者は、既存のセッション レポートに加えて、Intuneで作成された監査ログ セッションを参照できるようになりました。 これにより、管理者はログ アクティビティのトラブルシューティングと分析のために過去のイベントを参照できます。

リモート ヘルプの詳細については、「リモート ヘルプ」を参照してください。

適用対象:

  • Windows 10
  • Windows 11

設定カタログを使用してWindows 11デバイスの個人データ暗号化をオンまたはオフにする

設定カタログには、デバイスを構成して展開できる何百もの設定が含まれています。

設定カタログでは、 個人データ暗号化 (PDE) のオン/オフを切り替えることができます。 PDE は、Windows 11 バージョン 22H2 で導入されたセキュリティ機能であり、Windows に対してより多くの暗号化機能を提供します。

PDE は BitLocker とは異なります。 PDE は、ボリュームとディスク全体ではなく、個々のファイルとコンテンツを暗号化します。 PDE は、BitLocker などの他の暗号化方法と共に使用できます。

設定カタログの詳細については、次のページを参照してください。

この機能は、以下に適用されます。

  • Windows 11

Visual Studio ADMX の設定は、[設定カタログ] と [管理用テンプレート] にあります

Visual Studio の設定は、設定カタログと管理用テンプレート (ADMX) に含まれています。 以前は、Windows デバイスで Visual Studio 設定を構成するために、ADMX インポートでインポートしました。

これらのポリシーの種類の詳細については、次のページを参照してください。

適用対象:

  • Windows 10
  • Windows 11

グループ ポリシー分析ではスコープ タグがサポートされます

グループ ポリシー分析では、オンプレミスの GPO をインポートします。 このツールは GPO を分析し、Intuneで使用できる (および使用できない) 設定を表示します。

Intuneで GPO XML ファイルをインポートするときに、既存のスコープ タグを選択できます。 スコープ タグを選択しない場合は、 既定 のスコープ タグが自動的に選択されます。 以前は、GPO をインポートしたときに、割り当てられたスコープ タグが GPO に自動的に適用されていました。

インポートされたポリシーを表示できるのは、そのスコープ タグ内の管理者のみです。 そのスコープ タグに含まれていない管理者は、インポートされたポリシーを表示できません。

また、スコープ タグ内の管理者は、表示するアクセス許可を持つインポートされたポリシーを移行できます。 インポートした GPO を設定カタログ ポリシーに移行するには、インポートされた GPO にスコープ タグを関連付ける必要があります。 スコープ タグが関連付けられていない場合は、設定カタログ ポリシーに移行できません。 スコープ タグが選択されていない場合、既定のスコープ タグが自動的に適用されます。

スコープ タグとグループ ポリシー分析の詳細については、次を参照してください。

Zebra Lifeguard Over-the-Air サービスとの統合Intune導入 (パブリック プレビュー)

パブリック プレビューで利用できるようになりました。Microsoft Intune では、Zebra Lifeguard Over-the-Air サービスとの統合がサポートされています。これにより、OS の更新プログラムとセキュリティ パッチを、Intuneに登録されている対象の Zebra デバイスに対して、空中で配信できます。 展開するファームウェア バージョンを選択し、スケジュールを設定し、更新プログラムのダウンロードとインストールをずらすことができます。 また、更新プログラムが発生する可能性がある場合の最小バッテリー、充電状態、およびネットワーク条件の要件を設定することもできます。

Android 8 以降を実行しており、Zebra を使用するアカウントが必要な Android Enterprise Dedicated デバイスとフル マネージド Zebra デバイスで使用できます。

仕事用プロファイルを持つ Android Enterprise 個人所有デバイスの新しい Google ドメイン許可リスト設定

仕事用プロファイルを持つ個人所有の Android Enterprise デバイスでは、デバイスの機能と設定を制限する設定を構成できます。

現在、[ アカウントの追加と削除] 設定があり、Google アカウントを仕事用プロファイルに追加できます。 この設定では、[ すべてのアカウントの種類を許可する] を選択すると、次の構成も行うことができます。

  • Google ドメイン許可リスト: ユーザーが仕事用プロファイルに特定の Google アカウント ドメインのみを追加するように制限します。 許可されているドメインの一覧をインポートするか、管理センターで形式を使用して contoso.com 追加できます。 空白のままにすると、既定では、OS によって仕事用プロファイルにすべての Google ドメインの追加が許可される場合があります。

構成できる設定の詳細については、「Android Enterprise デバイス設定の一覧」を参照して、Intuneを使用して個人所有のデバイスの機能を許可または制限します。

適用対象:

  • 仕事用プロファイルがある個人所有の Android Enterprise デバイス

プロアクティブ修復の名前を修復に変更し、新しい場所に移動する

プロアクティブな修復が修復され、デバイス>の修復から利用できるようになりました。 次のIntuneサービスの更新まで、新しい場所と既存のレポート>エンドポイント分析の場所の両方で修復を引き続き見つけることができます。

修復は現在、新しい デバイス エクスペリエンス プレビューでは使用できません。

適用対象:

  • Windows 10
  • Windows 11

米国政府機関 GCC High と DoD のIntuneで修復を利用できるようになりました

米国政府機関 GCC High と DoD のMicrosoft Intuneで修復 (以前はプロアクティブ修復と呼ばれる) を使用できるようになりました

適用対象:

  • Windows 10
  • Windows 11

Windows デバイス上の VPN プロファイルの受信および送信ネットワーク トラフィックルールを作成する

デバイスへの VPN 接続を展開するデバイス構成プロファイルを作成できます (デバイス>構成プロファイル>プロファイル>の作成Windows 10以降のプラットフォーム>のプロファイルの種類のテンプレート>VPN)。

この VPN 接続では、 アプリとトラフィックルール の設定を使用して、ネットワーク トラフィック ルールを作成できます。

構成できる新しい [方向 ] 設定があります。 VPN 接続からの受信トラフィックと送信トラフィックを許可するには、次の設定を使用します。

  • 送信 (既定値): VPN を使用してフローする外部ネットワーク/宛先へのトラフィックのみを許可します。 受信トラフィックが VPN に入り込むのがブロックされます。
  • 受信: VPN を使用してフローする外部ネットワーク/ソースからのトラフィックのみを許可します。 送信トラフィックは VPN への入り込みからブロックされます。

ネットワーク トラフィック ルールの設定など、構成できる VPN 設定の詳細については、「Windows デバイスの設定」を参照して、Intuneを使用して VPN 接続を追加します。

適用対象:

  • Windows 10 以降

macOS 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[設定カタログ] で新しい設定を使用できます。 Microsoft Intune管理センターでは、[デバイス>の構成] プロファイル>でこれらの設定を確認できます。プロファイルの種類のプラットフォーム>設定カタログプロファイル> macOS を作成します。

> Microsoft Defenderウイルス対策エンジン:

  • アーカイブ ファイル内のスキャン
  • ファイル ハッシュ計算を有効にする

適用対象:

  • macOS

Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

macOS で使用できるデバイス アクションと新しい消去動作設定をワイプする

macOS デバイスの [消去] の代わりに [ デバイスのワイプ ] アクションを使用できるようになりました。 さらに、[ワイプ] アクションの一部として [Obliteration Behavior] 設定を構成できます。

この新しいキーを使用すると、Apple シリコンまたは T2 セキュリティ チップを持つ Mac のワイプ フォールバック動作を制御できます。 この設定を見つけるには、[デバイス>][macOS>] [デバイスの選択] [デバイスの操作] 領域の [概要>ワイプ] > に移動します。

Obliteration Behavior 設定の詳細については、Apple のプラットフォーム展開サイト「 Apple デバイスの消去 - Apple サポート」を参照してください

適用対象:

  • macOS

デバイスの登録

iOS/iPadOS 15 以降のデバイスで利用できるアカウント駆動型 Apple ユーザー登録 (パブリック プレビュー)

Intuneでは、iOS/iPadOS 15 以降のデバイスに対する Apple ユーザー登録の新しく改良されたバリエーションである、アカウント駆動型のユーザー登録がサポートされます。 パブリック プレビューで使用できるようになりました。この新しいオプションでは、Just-In-Time 登録が使用されるため、登録中にポータル サイト アプリが不要になります。 デバイス ユーザーは、設定アプリで直接登録を開始できるため、オンボード エクスペリエンスが短く効率的になります。 引き続き、ポータル サイトを使用する既存のプロファイル ベースのユーザー登録方法を使用して、iOS/iPadOS デバイスをターゲットにすることができます。 iOS/iPadOS バージョン 14.8.1 以前を実行しているデバイスは、この更新プログラムの影響を受けず、既存のメソッドを引き続き使用できます。 詳細については、「 アカウント駆動型 Apple ユーザー登録の設定」を参照してください。

デバイスのセキュリティ

Microsoft 356 Office Apps の新しいセキュリティ ベースライン

M365 Office Apps のセキュリティ構成の管理に役立つ新しいセキュリティ ベースラインがリリースされました。 この新しいベースラインでは、Intune設定カタログに表示される統合設定プラットフォームを利用する、更新されたテンプレートとエクスペリエンスが使用されます。 新しいベースラインの設定の一覧は、「エンタープライズ ベースライン設定 (Office)のMicrosoft 365 Apps」で確認できます。

新しいIntuneセキュリティ ベースライン形式は、Intune設定カタログにある設定の表示に合わせて調整されます。 この配置は、競合が発生する可能性がある設定の名前と実装を設定するための過去の問題を解決するのに役立ちます。 新しい形式では、Intune管理センターのベースラインのレポート エクスペリエンスも向上します。

M365 Office Apps ベースラインは、Microsoft の Office およびセキュリティ チームのセキュリティに関する推奨事項を満たす構成を Office Apps に迅速に展開するのに役立ちます。 すべてのベースラインと同様に、既定のベースラインは推奨される構成を表し、organizationの要件を満たすように既定のベースラインを自由に変更できます。

詳細については、「 セキュリティ ベースラインの概要」を参照してください。

適用対象:

  • Windows 10
  • Windows 11

Microsoft Edge バージョン 112 のセキュリティ ベースライン更新プログラム

Microsoft Edge バージョン 112 のIntune セキュリティ ベースラインの新しいバージョンをリリースしました。 新しいベースラインでは、Microsoft Edge 用のこの新しいバージョンのリリースに加えて、Intune設定カタログに表示される統合設定プラットフォームを利用する更新されたテンプレート エクスペリエンスが使用されます。 新しいベースラインの設定の一覧は、 Microsoft Edge ベースライン設定 (バージョン 112 以降) で確認できます。

新しいIntuneセキュリティ ベースライン形式は、Intune設定カタログにある設定の表示に合わせて調整されます。 この配置は、競合が発生する可能性がある設定の名前と実装を設定するための過去の問題を解決するのに役立ちます。 新しい形式では、Intune管理センターのベースラインのレポート エクスペリエンスも向上します。

新しいベースライン バージョンが利用可能になったので、Microsoft Edge 用に作成するすべての新しいプロファイルで、新しいベースラインの形式とバージョンが使用されます。 新しいバージョンは既定のベースライン バージョンになりますが、以前のバージョンの Microsoft Edge 用に以前に作成したプロファイルを引き続き使用できますが、古いバージョンの Microsoft Edge 用の新しいプロファイルは作成できません。

詳細については、「 セキュリティ ベースラインの概要」を参照してください。

適用対象:

  • Windows 10
  • Windows 11

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

  • アチーバーズ・バイ・アチーバーズ
  • Board.Vision for iPad by Trusted Services PTE. 株式 会社。
  • グローバルリレーコミュニケーションズ株式会社
  • Incorta (BestBuy) by Incorta, Inc. (iOS)
  • Island Enterprise Browser by Island (iOS)
  • Klaxoon (iOS) によるIntune用 Klaxoon

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

2023 年 5 月 8 日の週

デバイス構成

デバイス ファームウェア構成インターフェイス (DFCI) では、Dynabook デバイスがサポートされます

Windows 10/11 デバイスの場合は、DFCI プロファイルを作成して UEFI (BIOS) 設定を管理できます。 管理センター Microsoft Intuneで、[デバイス>の構成プロファイル>] [プロファイル>の作成Windows 10以降のプロファイルの種類のプラットフォーム >テンプレート>デバイス ファームウェア構成インターフェイス] を選択します。

WINDOWS 10/11 を実行している一部の Dynabook デバイスは、DFCI で有効になっています。 対象となるデバイスについては、デバイス ベンダーまたはデバイスの製造元にお問い合わせください。

DFCI プロファイルの詳細については、以下を参照してください。

適用対象:

  • Windows 10
  • Windows 11

ダウンロード サーバーを使用した Windows PC の eSIM 一括ライセンス認証が設定カタログで利用できるようになりました

設定カタログを使用して、Windows eSIM PC の大規模な構成を実行できるようになりました。 ダウンロード サーバー (SM-DP+) は、構成プロファイルを使用して構成されます。

デバイスが構成を受け取ると、eSIM プロファイルが自動的にダウンロードされます。 詳細については、 ダウンロード サーバーの eSIM 構成に関するページを参照してください

適用対象:

  • Windows 11
  • eSIM 対応デバイス

2023 年 5 月 1 日の週

アプリ管理

macOS シェル スクリプトの最大実行時間制限

実行時間の長いシェル スクリプトを使用Intuneテナントがスクリプトの実行状態を報告しない問題を修正しました。 15 分を超える間実行されている macOS シェル スクリプトは、macOS Intune エージェントによって停止され、失敗として報告されます。 新しい動作は、macOS Intune エージェント バージョン 2305.019 から適用されます。

macOS 用 DMG アプリのインストール

macOS 用 DMG アプリのインストール機能が一般公開されました。 Intuneでは、DMG アプリの必要な割り当てとアンインストールの割り当ての種類がサポートされています。 macOS 用のIntune エージェントは、DMG アプリのデプロイに使用されます。 関連情報については、「 マネージド macOS デバイスへの DMG 型アプリケーションのデプロイ」を参照してください。

ビジネス向け Microsoft Storeと教育の廃止

Microsoft Intune管理センターでビジネス向け Microsoft Store コネクタにアクセスできなくなりました。 ビジネス向け Microsoft Storeまたは教育機関向け Microsoft Storeから追加されたアプリは、Intuneと同期されなくなります。 以前に同期されたアプリは引き続き使用でき、デバイスとユーザーに展開されます。

Microsoft Intune管理センターの [アプリ] ウィンドウからビジネス向け Microsoft Storeアプリを削除して、新しい Microsoft Store アプリの種類に移行するときに環境をクリーンすることもできるようになりました。

関連情報については、「プラン for Change: Ending support for ビジネス向け Microsoft Store and Education apps for upcoming dates for ビジネス向け Microsoft Store apps will longer deploy and ビジネス向け Microsoft Store apps will be removed」を参照してください。

デバイス構成

リモート ヘルプで条件付きアクセス機能がサポートされるようになりました

管理者は、リモート ヘルプのポリシーと条件を設定するときに条件付きアクセス機能を利用できるようになりました。 たとえば、多要素認証、セキュリティ更新プログラムのインストール、特定のリージョンまたは IP アドレスのリモート ヘルプへのアクセスのロックなどです。

詳細については、以下をご覧ください。

デバイスのセキュリティ

エンドポイント セキュリティウイルス対策ポリシーのMicrosoft Defenderの設定を更新しました

エンドポイント セキュリティウイルス対策ポリシーのMicrosoft Defenderウイルス対策プロファイルで使用可能な設定が更新されました。 このプロファイルは、Intune管理センターのエンドポイント セキュリティ>ウイルス対策>プラットフォーム:Windows 10、Windows 11、および Windows Server>Profile:Microsoft Defender ウイルス対策にあります。

  • 次の設定が追加されました

    • 従量制課金接続更新
    • Tls 解析を無効にする
    • Http 解析を無効にする
    • Dns 解析を無効にする
    • Dns over Tcp 解析を無効にする
    • Ssh 解析を無効にする
    • プラットフォーム 更新 チャネル
    • エンジン 更新 チャネル
    • セキュリティ インテリジェンス 更新 チャネル
    • ネットワーク保護のダウン レベルを許可する
    • Win Server でデータグラム処理を許可する
    • Dns シンクホールを有効にする

    これらの設定の詳細については、 Defender CSP に関するページを参照してください。 新しい設定は、Intune設定カタログからも使用できます。

  • 次の設定は非推奨になりました

    • 侵入防止システムを許可する

    この設定が非推奨タグと共 表示されるようになりました。 この非推奨の設定が以前にデバイスに適用されていた場合、設定値は NotApplicable に更新され、デバイスには影響しません。 この設定が後でデバイスに設定されている場合、デバイスには影響しません。

適用対象:

  • Windows 10
  • Windows 11

2023 年 4 月 17 日の週 (サービス リリース 2304)

アプリ管理

iOS/iPadOS および macOS デバイスでの iCloud アプリのバックアップと復元の動作の変更

アプリ設定として、[iOS/iPadOS および macOS デバイスの iCloud アプリバックアップを禁止 する] を選択できます。 iOS/iPadOS 上のマネージド App Store アプリと基幹業務 (LOB) アプリをバックアップしないオプションと、macOS デバイス上のマネージド App Store アプリ (macOS LOB アプリはこの機能をサポートしません) を、ユーザーとデバイスのライセンスが付与された VPP/非 VPP アプリの両方に対してバックアップしないオプションがあります。 この更新プログラムには、Intuneに追加され、ユーザーとデバイスを対象とする VPP の有無に関係なく送信される新規および既存の App Store/LOB アプリの両方が含まれます。

指定したマネージド アプリのバックアップを防ぐと、デバイスが登録され、バックアップから復元されたときに、これらのアプリをIntune経由で適切に展開できるようになります。 管理者がテナント内の新規または既存のアプリに対してこの新しい設定を構成した場合、管理対象アプリはデバイスに対して再インストールできますが、Intuneではバックアップできなくなります。

この新しい設定は、アプリのプロパティMicrosoft Intune変更することで管理センターに表示されます。 既存のアプリの場合は、[アプリ>] [iOS/iPadOS] を選択するか、macOS>でアプリ>の[プロパティ>] [割り当ての編集] を選択できます。 グループの割り当てが設定されていない場合は、[ グループの追加 ] をクリックしてグループを追加します。 [VPN]、[デバイスの削除時にアンインストール]、または [リムーバブルとしてインストール] のいずれかの設定を変更します。 次に、[ iCloud アプリのバックアップを禁止する] を選択します。 [ iCloud アプリのバックアップを禁止 する] 設定は、アプリケーションのアプリ データのバックアップを防ぐために使用されます。 [ いいえ] に設定すると、アプリを iCloud でバックアップできます。

詳細については、「iOS/iPadOS および macOS デバイスでのアプリケーションのバックアップと復元の動作の変更」およびMicrosoft Intuneを使用してアプリをグループに割り当てる」を参照してください。

Apple VPP アプリの自動更新を禁止する

Apple VPP の自動更新動作は、アプリごとの割り当てレベルで [ 自動更新の禁止 ] 設定を使用して制御できます。 この設定は、[アプリ>Microsoft Intune] [iOS/iPadOS] または [macOS>] [ボリューム購入プログラム アプリ>の選択][プロパティ>の割り当て]>[AAD グループ>の選択] [アプリ設定] の順に選択することで、管理センターで使用できます。

適用対象:

  • iOS/iPadOS
  • macOS

デバイス構成

macOS 設定カタログへの更新

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[設定カタログ] で新しい設定を使用できます。 Microsoft Intune管理センターでは、[デバイス>の構成] プロファイル>でこれらの設定を確認できます。プロファイルの種類のプラットフォーム>設定カタログプロファイル> macOS を作成します。

新しい設定は、次の場所にあります。

Microsoft AutoUpdate (MAU) > [対象アプリ]:

  • チャネルのオーバーライドを更新する

次の設定は非推奨になりました。

Microsoft AutoUpdate (MAU) > [対象アプリ]:

  • チャネル名 (非推奨)

プライバシー > プライバシー設定 ポリシー コントロール > サービス > のリッスン イベントまたはスクリーン キャプチャ:

適用対象:

  • macOS

Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

Apple デバイス用の Microsoft Enterprise SSO プラグインが一般公開されました

Microsoft Intuneには、Microsoft Enterprise SSO プラグインがあります。 このプラグインは、認証にMicrosoft Azure ADを使用する iOS/iPadOS および macOS アプリおよび Web サイトへのシングル サインオン (SSO) を提供します。

このプラグインは現在一般公開されています (GA)。

Intuneで Apple デバイス用の Microsoft Enterprise SSO プラグインを構成する方法の詳細については、Microsoft Intuneの Microsoft Enterprise SSO プラグインに関するページを参照してください。

適用対象:

  • iOS/iPadOS
  • macOS

監視対象 macOS デバイスのアクティブ化ロック デバイス アクションを無効にする

現在のユーザー名やパスワードを必要とせずに、Intuneのアクティブ化ロックデバイスの無効化アクションを使用して、Mac デバイスのアクティベーション ロックをバイパスできるようになりました。 この新しいアクションは、[デバイス>] macOS> で、表示されているデバイス>の 1 つを選択してアクティブ化ロックを無効にします

アクティブ化ロックの管理の詳細については、「Intuneによる iOS/iPadOS アクティベーション ロックのバイパス」または「iPhone、iPad、iPod touch のアクティベーション ロック - Apple サポート」の Apple の Web サイトを参照してください。

適用対象:

  • macOS 10.15 以降

ServiceNow 統合が一般公開されました (GA)

一般公開されたので、[トラブルシューティング] ワークスペースで選択したユーザーに関連付けられている ServiceNow インシデントの一覧Intune表示できます。 この新機能は、[ トラブルシューティングとサポート> ] でユーザー >の ServiceNow インシデントを選択して使用できるようになります。 表示されるインシデントの一覧には、ソース インシデントへの直接リンクが表示され、インシデントの重要な情報が表示されます。 一覧表示されているすべてのインシデントは、インシデントで識別された "発信者" を[トラブルシューティング] で選択したユーザーとリンクします。

詳細については、「 トラブルシューティング ポータルを使用して会社のユーザーを支援する」を参照してください

organization メッセージの配信を制御する管理者をサポートするための追加のアクセス許可

追加のアクセス許可を持つ管理者は、組織のメッセージから作成および展開されたコンテンツの配信と、Microsoft からユーザーへのコンテンツの配信を制御できます。

組織のメッセージに対する組織のメッセージ制御 RBAC の更新アクセス許可は、組織のメッセージトグルを変更して Microsoft ダイレクト メッセージを許可またはブロックできるユーザーを決定します。 このアクセス許可は、 組織メッセージ マネージャー の組み込みロールにも追加されます。

組織メッセージを管理するための既存のカスタム ロールは、ユーザーがこの設定を変更するためにこのアクセス許可を追加するように変更する必要があります。

デバイス管理

ICMP の種類に対するエンドポイント セキュリティ ファイアウォール規則のサポート

IcmpTypesAndCodes 設定を使用して、ファイアウォール規則の一部としてインターネット制御メッセージ プロトコル (ICMP) の受信規則と送信規則を構成できるようになりました。 この設定は、Windows 10、Windows 11、および Windows Server プラットフォームの Microsoft Defender ファイアウォール規則プロファイルで使用できます。

適用対象:

  • Windows 11 以降

Intune ポリシーを使用して Windows LAPS を管理する (パブリック プレビュー)

パブリック プレビューで、Microsoft Intune アカウント保護ポリシーを使用して Windows ローカル管理者パスワード ソリューション (Windows LAPS) を管理できるようになりました。 開始するには、Windows LAPS Intuneサポートに関するページを参照してください。

Windows LAPS は、Azure Active Directory に参加しているデバイスまたはWindows Server Active Directory参加しているデバイスでローカル管理者アカウントのパスワードを管理およびバックアップできる Windows 機能です。

LAPS を管理するために、Intuneは Windows デバイスに組み込まれている Windows LAPS 構成サービス プロバイダー (CSP) を構成し、GPO や Microsoft レガシ LAPS ツールなどの Windows LAPS 構成の他のソースよりも優先されます。 Windows LAPS を管理するためにIntuneするときに使用できる機能には、次のようなものがあります。

  • デバイス上のローカル管理者アカウントに適用される複雑さと長さなどのパスワード要件を定義します。
  • スケジュールに従ってローカル管理者アカウントのパスワードをローテーションするようにデバイスを構成し、Azure Active Directory またはオンプレミスの Active Directoryでアカウントとパスワードをバックアップします。
  • 管理センターの Intune デバイス アクションを使用して、自分のスケジュールでアカウントのパスワードを手動でローテーションします。
  • アカウント名やパスワードなど、Intune管理センター内からアカウントの詳細を表示します。 これは、アクセスできないデバイスを回復するのに役立ちます。
  • Intuneレポートを使用して、LAPS ポリシーを監視し、デバイスが最後にパスワードを手動またはスケジュールでローテーションしたタイミングを監視します。

適用対象:

  • Windows 10
  • Windows 11

macOS ソフトウェア更新ポリシーで使用できる新しい設定

MacOS ソフトウェアの更新ポリシーには、デバイスに更新プログラムがインストールされるタイミングの管理に役立つ次の設定が含まれるようになりました。 これらは、 他のすべての更新プログラム の更新プログラムの種類が 後でインストールするように構成されている場合に使用できます。

  • 最大ユーザー遅延: 他のすべての更新プログラム の更新の種類が 後でインストールするように構成されている場合、この設定では、ユーザーがマイナー OS 更新プログラムをインストールする前に延期できる最大回数を指定できます。 1 日に 1 回、ユーザーにメッセージが表示されます。 macOS 12 以降を実行しているデバイスで使用できます。

  • 優先度: [他のすべての更新プログラムの更新の 種類] が [後でインストール] に構成されている場合、この設定を使用すると、マイナー OS 更新プログラムをダウンロードして準備するためのスケジュール設定の優先順位として Low または High の値を指定できます。 macOS 12.3 以降を実行しているデバイスで使用できます。

詳細については、「Microsoft Intune ポリシーを使用して macOS ソフトウェア更新プログラムを管理する」を参照してください。

適用対象:

  • macOS

新しいパートナー ポータル ページの概要

パートナー ポータル ページから、HP または Surface デバイスでハードウェア固有の情報を管理できるようになりました。

HP リンクをクリックすると、HP Connect にアクセスし、HP デバイス上の BIOS を更新、構成、セキュリティで保護できます。 Microsoft Surface リンクを使用すると、Surface 管理ポータルに移動し、デバイスのコンプライアンス、サポート アクティビティ、保証範囲に関する分析情報を取得できます。

[パートナー ポータル] ページにアクセスするには、[デバイス] ウィンドウプレビューを有効にし、[ デバイス>パートナー ポータル] に移動する必要があります。

アプリとドライバーのWindows Update互換性レポートが一般公開されました

Windows Updateの互換性に関する次のMicrosoft Intune レポートはプレビュー段階から外れ、一般公開されています。

  • Windows 機能更新プログラムデバイスの準備レポート - このレポートは、選択したバージョンの Windows へのアップグレードまたは更新に関連付けられている互換性リスクに関するデバイスごとの情報を提供します。

  • Windows 機能更新プログラムの互換性リスク レポート - このレポートでは、選択したバージョンの Windows について、organization全体の上位互換性リスクの概要を示します。 このレポートを使用すると、組織内で最も多くのデバイスに影響を与える互換性リスクを把握できます。

これらのレポートは、Windows 10 から 11 へのアップグレードを計画したり、最新の Windows 機能更新プログラムをインストールしたりするのに役立ちます。

デバイスのセキュリティ

Microsoft Intune エンドポイント特権管理は一般公開されています

Microsoft Endpoint Privilege Management (EPM) が一般公開され、プレビューではなくなりました。

Endpoint Privilege Management を使用すると、管理者は、標準ユーザーが通常管理者用に予約されたタスクを実行できるようにするポリシーを設定できます。 これを行うには、選択したアプリまたはプロセスの実行時アクセス許可を昇格させる 自動 ワークフローと ユーザー確認 ワークフローのポリシーを構成します。 次に、管理者特権なしでエンド ユーザーが実行されているユーザーまたはデバイスにこれらのポリシーを割り当てます。 デバイスがポリシーを受け取った後、EPM はユーザーに代わって昇格を仲介し、完全な管理者権限を必要とせずに承認済みアプリケーションを昇格できるようにします。 EPM には、組み込みの分析情報とレポートも含まれています。

EPM のプレビューが切れたので、使用するには追加のライセンスが必要です。 EPM のみを追加するスタンドアロン ライセンスと、Microsoft Intune Suiteの一部としてライセンス EPM のどちらかを選択できます。 詳細については、「Intune Suite アドオン機能を使用する」を参照してください。

Endpoint Privilege Management が一般公開されましたが、 EPM のレポート はプレビューの機能に移行され、 プレビューから削除される前にいくつかの追加の拡張機能が提供されます。

Intune ファイアウォール規則ポリシーを使用した WDAC アプリケーション ID のタグ付けのサポート

エンドポイント セキュリティ ファイアウォール ポリシーの一部として使用できるIntuneのMicrosoft Defender ファイアウォール規則プロファイルに、ポリシー アプリ ID 設定が含まれるようになりました。 この設定は MdmStore/FirewallRules/{FirewallRuleName}/PolicyAppId CSP によって説明され、Windows Defender アプリケーション制御 (WDAC) アプリケーション ID タグの指定がサポートされています。

この機能を使用すると、ファイアウォール規則をアプリケーションまたはアプリケーションのグループにスコープを設定し、WDAC ポリシーに依存してこれらのアプリケーションを定義できます。 タグを使用して WDAC ポリシーにリンクしたり、WDAC ポリシーに依存したりすることで、ファイアウォール規則ポリシーは、絶対ファイル パスのファイアウォール 規則オプションや、規則のセキュリティを低下させる可能性がある可変ファイル パスの使用に依存する必要はありません。

この機能を使用するには、Intune Microsoft Defender ファイアウォール規則で指定できる AppId タグを含む WDAC ポリシーを設定する必要があります。

詳細については、Windows Defender アプリケーション制御に関するドキュメントの次の記事を参照してください。

適用対象:

  • Windows 10 または 11

Intuneのエンドポイント セキュリティ攻撃 Surface の削減ポリシーの新しいアプリとブラウザーの分離プロファイル

エンドポイント セキュリティの攻撃面の削減ポリシー用の新しい アプリとブラウザーの分離 プロファイルを作成する新しいエクスペリエンスをリリースしました。 以前に作成したアプリとブラウザーの分離ポリシーを編集するエクスペリエンスは変わらず、引き続き使用できます。 この更新プログラムは、Windows 10 以降のプラットフォーム用に作成した新しいアプリとブラウザーの分離ポリシーにのみ適用されます。

この更新プログラムは、2022 年 4 月に開始された エンドポイント セキュリティ ポリシーの新しいプロファイルの継続的なロールアウトの一部です。

さらに、新しいプロファイルには、含まれる設定に対して次の変更が含まれます。

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

  • ixArma by INAX-APPS (iOS)
  • myBLDNG by Bldng.ai (iOS)
  • RICOH Spaces V2 by Ricoh Digital Services
  • Firstup - Intune by Firstup, Inc. (iOS)

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

役割ベースのアクセス制御

組織のメッセージに対する新しい割り当て (RBAC) アクセス許可

[組織のメッセージに RBAC アクセス許可を 割り当てる ] によって、ターゲット Azure AD グループを組織のメッセージに割り当てることができるユーザーが決まります。 RBAC のアクセス許可にアクセスするには、Microsoft Intune管理センターにサインインし、[テナント管理>ロール] に移動します

このアクセス許可は、 組織メッセージ マネージャー の組み込みロールにも追加されます。 組織メッセージを管理するための既存のカスタム ロールは、ユーザーがこの設定を変更するためにこのアクセス許可を追加するように変更する必要があります。

テナント管理

組織のメッセージを削除する

Microsoft Intuneから組織のメッセージを削除できるようになりました。 メッセージを削除すると、Intuneから削除され、管理センターに表示されなくなります。 メッセージの状態に関係なく、いつでもメッセージを削除できます。 Intuneは、アクティブなメッセージを削除すると自動的に取り消されます。 詳細については、「 組織のメッセージを削除する」を参照してください。

組織のメッセージの監査ログを確認する

監査ログを使用して、Microsoft Intuneの組織のメッセージ イベントを追跡および監視します。 ログにアクセスするには、Microsoft Intune管理センターにサインインし、[テナント管理>監査ログ] に移動します。 詳細については、「Intune アクティビティの監査ログ」を参照してください。

2023 年 4 月 10 日の週

デバイス構成

Windows 10マルチセッション VM のユーザー構成のサポートが GA になりました

今後は次のことができるようになりました。

  • [設定カタログ] を使用してユーザー スコープ ポリシーを構成し、ユーザーのグループに割り当てます。
  • ユーザー証明書を構成し、ユーザーに割り当てます。
  • ユーザー コンテキストにインストールし、ユーザーに割り当てるために PowerShell スクリプトを構成します。

適用対象:

2023 年 4 月 3 日の週

デバイス構成

仕事用プロファイルを使用して Android Enterprise 個人所有のデバイスに Google アカウントを追加する

仕事用プロファイルを持つ個人所有の Android Enterprise デバイスでは、デバイスの機能と設定を制限する設定を構成できます。 現在、[ アカウントの追加と削除] 設定があります 。 この設定により、Google アカウントの禁止など、アカウントが仕事用プロファイルに追加されなくなります。

この設定が変更されました。 Google アカウントを追加できるようになりました。 [ アカウントの追加と削除 ] 設定オプションは次のとおりです。

  • [すべてのアカウントの種類をブロックする]: ユーザーが作業プロファイルでアカウントを手動で追加または削除できないようにします。 たとえば、Gmail アプリを仕事用プロファイルに展開すると、ユーザーがこの仕事用プロファイルでアカウントを追加または削除できないようにすることができます。

  • [すべてのアカウントの種類を許可する]: Google アカウントを含むすべてのアカウントを許可します。 これらの Google アカウントは、 マネージド Google Play ストアからのアプリのインストールがブロックされます。

    この設定には、次のものが必要です。

    • Google Play アプリのバージョン 80970100 以上

  • Google アカウント (既定値) を除くすべてのアカウントの種類を許可する: Intuneはこの設定を変更または更新しません。 既定では、OS では、仕事用プロファイルへのアカウントの追加が許可される場合があります。

構成できる設定の詳細については、「Android Enterprise デバイス設定の一覧」を参照して、Intuneを使用して個人所有のデバイスの機能を許可または制限します。

適用対象:

  • 仕事用プロファイルがある個人所有の Android Enterprise デバイス

2023 年 3 月 27 日の週

アプリ管理

macOS DMG アプリを更新する

Intuneを使用してデプロイされた macOS アプリ (DMG) の種類のアプリを更新できるようになりました。 元の DMG アプリと同じバンドル識別子を持つアプリの更新プログラムをアップロードして、Intuneで既に作成されている DMG アプリを編集します。 関連情報については、「macOS DMG アプリを Microsoft Intune に追加する」を参照してください。

事前プロビジョニング中に必要なアプリをインストールする

[登録状態] ページ (ESP) プロファイルで新しいトグルを使用できます。これにより、事前プロビジョニング (ホワイト グローブ) 技術者フェーズで必要なアプリケーションのインストールを試みるかどうかを選択できます。 エンド ユーザーのセットアップ時間を短縮するために、事前プロビジョニング中にできるだけ多くのアプリケーションをインストールすることが望ましいことを理解しています。 アプリのインストールエラーが発生した場合、ESP プロファイルで指定されたアプリを除き、ESP は続行されます。 この機能を有効にするには、新しい設定の [技術者フェーズで選択したアプリのみを失敗させる][はい] を選択して、登録状態ページプロファイルを編集する必要があります。 この設定は、ブロックしているアプリが選択されている場合にのみ表示されます。 ESP の詳細については、「 登録状態の設定」ページを参照してください

2023 年 3 月 20 日の週 (サービス リリース 2303)

アプリ管理

Win32 アプリの追加の最小 OS バージョン

Intuneでは、Win32 アプリをインストールするときに、Windows 10 と 11 の追加のオペレーティング システムの最小バージョンがサポートされます。 管理センター Microsoft Intuneで、[アプリ] [Windows>アプリ>の追加>(Win32)] を選択します。 [最小オペレーティング システム] の横にある [要件] タブで、使用可能なオペレーティング システムのいずれかを選択します。 その他の OS オプションは次のとおりです。

  • Windows 10 21H2
  • Windows 10 22H2
  • Windows 11 21H2
  • Windows 11 22H2

VPP アプリを管理するためにマネージド アプリのアクセス許可が不要になりました

モバイル アプリのアクセス許可のみが割り当てられている VPP アプリを表示および管理できます。 以前は、VPP アプリを表示および管理するには、 マネージド アプリのアクセス許可が必要でした。 この変更は、引き続きマネージド アプリのアクセス許可を割り当てる必要がある Education テナントのIntuneには適用されません。 Intuneのアクセス許可の詳細については、「カスタム ロールのアクセス許可」を参照してください

デバイス構成

macOS 設定カタログで使用できる新しい設定と設定オプション

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[設定カタログ] で新しい設定を使用できます。 Microsoft Intune管理センターでは、[デバイス>の構成] プロファイル>でこれらの設定を確認できます。プロファイルの種類のプラットフォーム>設定カタログプロファイル> macOS を作成します。

新しい設定には、次のものが含まれます。

> Microsoft Defender改ざん防止:

  • 実施レベル

Microsoft Office > Microsoft OneDrive:

  • 自動アップロード帯域幅の割合
  • フォルダー バックアップ機能 (既知のフォルダー移動とも呼ばれます) を自動的かつサイレントで有効にする
  • アプリがオンライン限定のファイルをダウンロードしないようにします
  • 外部同期をブロックする
  • 自動サインインを無効にする
  • ダウンロード トーストを無効にする
  • 個人用アカウントを無効にする
  • チュートリアルを無効にする
  • フォルダーがリダイレクトされたら、ユーザーに通知を表示する
  • ファイル オンデマンドを有効にする
  • Office アプリの同時編集を有効にする
  • ユーザーにフォルダー バックアップ機能 (既知のフォルダー移動) の使用を強制する
  • ドック アイコンを非表示にする
  • 名前付きファイルを無視する
  • フォルダー バックアップに ~/Desktop を含める (既知のフォルダー移動とも呼ばれます)
  • フォルダー バックアップに ~/ドキュメントを含める (既知のフォルダー移動とも呼ばれます)
  • ログイン時に開く
  • ユーザーがフォルダー バックアップ機能 (既知のフォルダー移動) を使用できないようにする
  • フォルダー バックアップ機能 (既知のフォルダー移動) を有効にするようにユーザーに求める
  • 最大ダウンロード スループットを設定する
  • 最大アップロード スループットを設定する
  • SharePoint の優先順位付け
  • SharePoint Server フロント ドア URL
  • SharePoint Server テナント名

適用対象:

  • macOS

Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

Linux デバイスを構成するためのカスタム Bash スクリプトを追加する

Intuneでは、既存の Bash スクリプトを追加して Linux デバイス (デバイス>Linux>構成スクリプト) を構成できます。

このスクリプト ポリシーを作成するときに、スクリプトが実行されるコンテキスト (ユーザーまたはルート)、スクリプトの実行頻度、および実行を再試行する回数を設定できます。

この機能の詳細については、「カスタム Bash スクリプトを使用してMicrosoft Intuneで Linux デバイスを構成する」を参照してください。

適用対象:

  • Linux Ubuntu Desktops

デバイスの登録

iOS/iPadOS 自動デバイス登録の待機最終構成設定のサポート (パブリック プレビュー)

パブリック プレビューでは、Intuneは、対象となる新規および既存の iOS/iPadOS 自動デバイス登録プロファイルで、Await final configuration という新しい設定をサポートしています。 この設定により、セットアップ アシスタントですぐにロックされたエクスペリエンスが有効になり、ほとんどのデバイス構成ポリシーがインストールされるまで、デバイス ユーザーが制限されたコンテンツにアクセスしたり、デバイスの設定 Intuneを変更したりできなくなります。 設定は、既存の自動デバイス登録プロファイルまたは新しいプロファイル (デバイス>iOS/iPadOS iOS/iPadOS>登録>プログラム トークンプロファイルの>作成) で構成できます。 詳細については、「 Apple 登録プロファイルを作成する」を参照してください。

新しい設定により、Intune管理者はデバイスからカテゴリへのマッピングを制御できます

Intune ポータル サイトでのデバイス カテゴリ プロンプトの表示を制御します。 エンド ユーザーからプロンプトを非表示にし、デバイスからカテゴリへのマッピングを管理者にIntuneしたままにできるようになりました。 新しい設定は、管理センターの [ テナント管理>カスタマイズ>デバイス カテゴリ] で使用できます。 詳細については、「 デバイス カテゴリ」を参照してください。

フル マネージド デバイスの複数の登録プロファイルとトークンのサポート

Android Enterprise フル マネージド デバイスの複数の登録プロファイルとトークンを作成および管理します。 この新機能により、 EnrollmentProfileName 動的デバイス プロパティを使用して、フル マネージド デバイスに登録プロファイルを自動的に割り当てることができます。 テナントに付属する登録トークンは、既定のプロファイルに残ります。 詳細については、「Android Enterprise フル マネージド デバイスのIntune登録を設定する」を参照してください。

iPad 用の新しい Azure AD 現場担当者エクスペリエンス (パブリック プレビュー)

この機能は、4 月中旬にテナントへのロールアウトを開始します。

Intuneでは、Apple の自動デバイス登録を使用した iPhone と iPad の現場担当者エクスペリエンスがサポートされるようになりました。 ゼロタッチで Azure AD 共有モードで有効になっているデバイスを登録できるようになりました。 共有デバイス モードの自動デバイス登録を構成する方法の詳細については、「Azure AD 共有デバイス モード でデバイスの登録を設定する」を参照してください。

適用対象:

  • iOS/iPadOS

デバイス管理

ログ構成に対するエンドポイント セキュリティ ファイアウォール ポリシーのサポート

ファイアウォール ログ オプションを構成する エンドポイント セキュリティ ファイアウォール ポリシー で設定を構成できるようになりました。 これらの設定は、Windows 10 以降のプラットフォームのMicrosoft Defender ファイアウォール プロファイル テンプレートにあり、そのテンプレートのドメインプライベートおよびパブリック プロファイルで使用できます。

ファイアウォール構成サービス プロバイダー (CSP) で見つかった新しい設定を次に示します。

  • ログの成功接続を有効にする
  • ログ ファイル のパス
  • ログドロップされたパケットを有効にする
  • ログ無視ルールを有効にする

適用対象:

  • Windows 10
  • Windows 11

モバイル ブロードバンド (MBB) のエンドポイント セキュリティ ファイアウォール規則のサポート

エンドポイント セキュリティ ファイアウォール ポリシー[インターフェイスの種類] 設定に、Mobile ブロードバンドのオプションが含まれるようになりました。 インターフェイスの種類は、Windows をサポートするすべてのプラットフォームのMicrosoft Defender ファイアウォール規則プロファイルで使用できます。 この設定とオプションの使用については、「 ファイアウォール構成サービス プロバイダー (CSP)」を参照してください。

適用対象:

  • Windows 10
  • Windows 11

ネットワーク リスト マネージャー設定に対するエンドポイント セキュリティ ファイアウォール ポリシーのサポート

エンドポイント セキュリティ ファイアウォール ポリシーにネットワーク リスト マネージャー設定のペアを追加しました。 ネットワーク リスト マネージャーの設定を使用すると、ファイアウォール規則を適切に適用できるように、Azure AD デバイスがオンプレミスのドメイン サブネット上にあるか、または存在しないかを判断するのに役立ちます。

次の設定は、ネットワーク リスト マネージャーという名前の新しいカテゴリにあります。これは、Windows 10、Windows 11、および Windows Server プラットフォームのMicrosoft Defender ファイアウォール プロファイル テンプレートで使用できます。

  • 許可される Tls 認証エンドポイント
  • 構成された Tls 認証ネットワーク名

ネットワーク分類設定の詳細については、「 NetworkListManager CSP」を参照してください。

適用対象:

  • Windows 10
  • Windows 11

管理センターの [デバイス] 領域の機能強化 (パブリック プレビュー)

管理センターの [デバイス] 領域に一貫性のある UI が追加され、より機能の高いコントロールとナビゲーション構造が改善され、必要な情報をより迅速に見つけることができます。 パブリック プレビューにオプトインして新しいエクスペリエンスを試すには、[ デバイス] に移動し、ページの上部にあるトグルを反転します。 改善点は次のとおり:

  • シナリオに焦点を当てた新しいナビゲーション構造。
  • より一貫性のあるナビゲーション モデルを作成するためのプラットフォーム ピボットの新しい場所。
  • 旅を減らすことで、目的地へのアクセスを迅速に行うことができます。
  • 監視とレポートは管理ワークフロー内にあり、ワークフローから離れることなく主要なメトリックとレポートに簡単にアクセスできます。
  • リスト ビュー間で一貫した方法で、データを検索、並べ替え、フィルター処理できます。

更新された UI の詳細については、「Microsoft Intuneで新しいデバイス エクスペリエンスを試す」を参照してください。

デバイスのセキュリティ

Microsoft Intune エンドポイント特権管理 (パブリック プレビュー)

パブリック プレビューとして、Microsoft Intune エンドポイント特権管理を使用できるようになりました。 Endpoint Privilege Management を使用すると、管理者は、標準ユーザーが通常管理者用に予約されたタスクを実行できるようにするポリシーを設定できます。 エンドポイント特権管理は、エンドポイント セキュリティ> エンドポイント特権管理Intune管理センターで構成できます。

パブリック プレビューでは、選択したアプリまたはプロセスの実行時アクセス許可を昇格させる 自動 ワークフローと ユーザー確認 ワークフローのポリシーを構成できます。 次に、管理者特権なしでエンド ユーザーが実行されているユーザーまたはデバイスにこれらのポリシーを割り当てます。 ポリシーを受け取ると、Endpoint Privilege Management はユーザーに代わって昇格を仲介し、完全な管理者特権を必要とせずに承認されたアプリケーションを昇格できるようにします。 プレビューには、Endpoint Privilege Management の組み込みの分析情報とレポートも含まれています。

パブリック プレビューをアクティブ化し、エンドポイント特権管理ポリシーを使用する方法については、「Microsoft Intuneでエンドポイント特権管理を使用する」を参照してください。 Endpoint Privilege Management は、Intune Suite オファリングの一部であり、パブリック プレビューのままで無料で試すことができます。

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

  • EVALARM by GroupKom GmbH (iOS)
  • ixArma by INAX-APPS (Android)
  • 地震 |Intune・バイ・地震ソフトウェア株式会社
  • Microsoft によるMicrosoft Viva Engage (正式には Microsoft Yammer)

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

監視とトラブルシューティング

Endpoint Privilege Management の診断データ収集

エンドポイント特権管理のリリースをサポートするために、Windows デバイスから診断収集を更新し、エンドポイント特権管理が有効になっているデバイスから収集される次のデータを含めます。

  • レジストリ キー:

    • HKLM\SOFTWARE\Microsoft\EPMAgent

  • コマンド:

    • %windir%\system32\pnputil.exe /enum-drivers

  • ログ ファイル:

    • %ProgramFiles%\Microsoft EPM Agent\Logs\*.*
    • %windir%\system32\config\systemprofile\AppData\Local\mdm\*.log

保留中および失敗した組織のメッセージの状態を表示する

管理センターで保留中のメッセージと失敗したメッセージを簡単に追跡できるように、組織のメッセージ レポートの詳細にさらに 2 つの状態を追加しました。

  • 保留中: メッセージはまだスケジュールされておらず、現在進行中です。
  • 失敗: サービス エラーが原因でメッセージのスケジュールが失敗しました。

レポートの詳細については、「 組織のメッセージのレポートの詳細を表示する」を参照してください。

エンドポイント セキュリティ ワークロードの下にある既存のウイルス対策レポートで、テナント接続デバイスの情報を表示できるようになりました。 新しい列では、Intuneによって管理されるデバイスと、Configuration Managerによって管理されるデバイスが区別されます。 このレポート情報は、[エンドポイント セキュリティ>ウイルス対策] を選択Microsoft Intune管理センターで使用できます。

2023 年 3 月 13 日の週

デバイス管理

Meta Quest 2 と Quest Pro は、Android オープン ソース デバイスのMicrosoft Intuneでオープン ベータ (米国のみ) になりました

Android オープンソース プロジェクト デバイス (AOSP) 用のMicrosoft Intuneは、Meta Quest 2 と Quest Pro を米国市場向けのオープン ベータ版に迎えています。

詳細については、Microsoft Intuneでサポートされているオペレーティング システムとブラウザーに関するページを参照してください。

適用対象:

  • Microsoft Intune (AOSP)

アプリ管理

Intune App SDK for Android 用の信頼されたルート証明書管理

Android アプリケーションで、内部 Web サイトやアプリケーションへのセキュリティで保護されたアクセスを提供するために、オンプレミスまたはプライベート証明機関によって発行された SSL/TLS 証明書が必要な場合、Intune App SDK for Android では証明書の信頼管理がサポートされるようになりました。 詳細と例については、「 信頼されたルート証明書の管理」を参照してください。

UWP アプリのシステム コンテキストのサポート

ユーザー コンテキストに加えて、システム コンテキストで Microsoft Store アプリ (新規) からユニバーサル Windows プラットフォーム (UWP) アプリを展開できます。 プロビジョニングされた .appx アプリがシステム コンテキストでデプロイされている場合、ログインするユーザーごとにアプリが自動インストールされます。 個々のエンド ユーザーがユーザー コンテキスト アプリをアンインストールした場合、アプリは引き続きプロビジョニングされているため、インストール済みとして表示されます。 さらに、デバイス上のユーザーにアプリをまだインストールしないでください。 一般的な推奨事項は、アプリのデプロイ時にインストール コンテキストを混在しないようにすることです。 Microsoft Store アプリ (新規) の Win32 アプリは、既にシステム コンテキストをサポートしています。

2023 年 3 月 6 日の週

アプリ管理

Win32 アプリをデバイス グループに展開する

使用可能な意図を持つ Win32 アプリをデバイス グループに展開できるようになりました。 詳細については、「Microsoft Intune での Win32 アプリの管理」を参照してください。

デバイス管理

Microsoft Intune管理センターの新しい URL

Microsoft Intune管理センターには、 という新しい URL がありますhttps://intune.microsoft.com。 以前に使用した URL は引き続き機能しますが、 https://endpoint.microsoft.com2023 年後半に新しい URL にリダイレクトされます。 Intuneアクセスと自動スクリプトに関する問題を回避するには、次のアクションを実行することをお勧めします。

  • をポイントするようにログインまたは自動化を更新します https://intune.microsoft.com
  • 必要に応じてファイアウォールを更新して、新しい URL へのアクセスを許可します。
  • お気に入りとブックマークに新しい URL を追加します。
  • ヘルプデスクに通知し、IT 管理者のドキュメントを更新します。

テナント管理

CMPivot クエリを Favorites フォルダーに追加する

よく使用するクエリを CMPivot の [お気に入り ] フォルダーに追加できます。 CMPivot を使用すると、テナントアタッチを使用してConfiguration Managerによって管理されるデバイスの状態をすばやく評価し、アクションを実行できます。 この機能は、Configuration Manager コンソールに既に存在する機能と似ています。 この追加は、最も使用されているすべてのクエリを 1 か所に保持するのに役立ちます。 クエリにタグを追加して、クエリの検索と検索に役立てることもできます。 Configuration Manager コンソールに保存されたクエリは、お気に入りフォルダーに自動的に追加されません。 新しいクエリを作成し、このフォルダーに追加する必要があります。 CMPivot の詳細については、「 テナントアタッチ: CMPivot の使用状況の概要」を参照してください。

デバイスの登録

登録状態ページで新しい Microsoft Store アプリがサポートされるようになりました

登録状態ページ (ESP) では、Windows Autopilot 中に新しい Microsoft ストア アプリケーションがサポートされるようになりました。 この更新プログラムにより、新しい Microsoft Store エクスペリエンスのサポートが向上し、Intune 2303 以降のすべてのテナントにロールアウトする必要があります。 関連情報については、「 登録の状態ページを設定する」を参照してください。

2023 年 2 月 27 日の週

デバイス構成

Android Enterprise 企業所有のフル マネージドおよび Android Enterprise 企業所有の仕事用プロファイル デバイスでのデバイスの検索のサポート

Android Enterprise 企業所有のフル マネージドおよび Android Enterprise 企業所有の仕事用プロファイル デバイスで "デバイスの検索" を使用できるようになりました。 この機能を使用すると、管理者は必要に応じて紛失または盗難にあった企業デバイスを見つけることができます。

管理センター Microsoft Intune、Android Enterprise のデバイス構成デバイス制限を使用する機能をオンにする必要があります。

フル マネージドおよび企業所有の仕事用プロファイル デバイスの [デバイスの検索] トグルで [許可] を選択し、該当するグループを選択します。 [デバイス] を選択し、[すべてのデバイス] を選択すると、デバイスを見つけることができます。 管理するデバイスの一覧から、サポートされているデバイスを選択し、[デバイスの リモートの検索 ] アクションを選択します。

Intuneで紛失または盗難にあったデバイスを見つける方法については、次のページを参照してください。

適用対象:

  • 会社所有 Android Enterprise フル マネージド
  • 会社所有 Android Enterprise 専用デバイス
  • Android Enterprise の会社所有の仕事用プロファイル

Intune アドオン

Microsoft Intune Suiteは、ミッション クリティカルな高度なエンドポイント管理機能とセキュリティ機能をMicrosoft Intuneに提供します。

Intuneするアドオンは、Microsoft Intune管理センターの [テナント管理>Intuneアドオン] にあります。

詳細については、「Intune Suite アドオン機能を使用する」を参照してください。

Intuneトラブルシューティング ワークスペースで ServiceNow インシデントを表示する (プレビュー)

パブリック プレビューでは、[トラブルシューティング] ワークスペースで選択したユーザーに関連付けられている ServiceNow インシデントの一覧Intune表示できます。 この新機能は、[ トラブルシューティングとサポート> ] でユーザー >の ServiceNow インシデントを選択して使用できます。 表示されるインシデントの一覧には、ソース インシデントへの直接リンクが表示され、インシデントの重要な情報が表示されます。 一覧表示されているすべてのインシデントは、インシデントで識別された "発信者" を、トラブルシューティング用に選択されたユーザーとリンクします。

詳細については、「 トラブルシューティング ポータルを使用して会社のユーザーを支援する」を参照してください

デバイスのセキュリティ

MAM 用 Microsoft Tunnelが一般公開されました

プレビューが提供され、一般公開されなくなっているので、 Microsoft Tunnel for Mobile Application Management をテナントに追加できます。 MAM 用トンネルでは、登録されていない Android デバイスと iOS デバイスからの接続がサポートされています。 このソリューションは、モバイル デバイスがセキュリティ ポリシーに従いながら企業リソースにアクセスできるようにする軽量 VPN ソリューションをテナントに提供します。

さらに、iOS 用 MAM Tunnel で Microsoft Edge がサポートされるようになりました。

以前は、Android および iOS 用の MAM 用 Tunnel はパブリック プレビュー段階にあり、無料で使用されていました。 一般公開されているこのリリースでは、このソリューションで使用するためにアドオン ライセンスが必要になりました。

ライセンスの詳細については、「Intuneアドオン」を参照してください。

適用対象:

  • Android
  • iOS

テナント管理

組織のメッセージでカスタム宛先 URL がサポートされるようになりました

タスク バー、通知領域、および作業開始アプリで、組織のメッセージに任意のカスタム宛先 URL を追加できるようになりました。 この機能は、Windows 11に適用されます。 スケジュールされた状態またはアクティブな状態の Azure AD 登録済みドメインで作成されたメッセージは引き続きサポートされます。 詳細については、「 組織のメッセージを作成する」を参照してください。

2023 年 2 月 20 日の週 (サービス リリース 2302)

アプリ管理

LOB およびストア アプリの最小 OS 要件として利用可能な最新の iOS/iPadOS バージョン

基幹業務およびストア アプリの展開の最小オペレーティング システムとして iOS/iPadOS 16.0 を指定できます。 この設定オプションは、iOS/iPadOS> iOS ストア アプリ>または基幹業務アプリを選択Microsoft Intune管理センターで使用できます。 アプリの管理の詳細については、「アプリをMicrosoft Intuneに追加する」を参照してください。

Intune 用に新しく利用可能になった保護されたアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

  • Egnyte によるIntuneのための Egnyte

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

デバイス構成

エンドポイント マネージャー管理センターの名前が管理センター Intuneに変更されました

Microsoft エンドポイント マネージャー管理センターは、Microsoft Intune管理センターと呼ばれるようになりました。

フィルターの新しい [関連付けられた割り当て] タブ

アプリまたはポリシーを割り当てると、デバイスの製造元、モデル、所有権など、さまざまなデバイス プロパティを使用して割り当てをフィルター処理できます。 フィルターを作成して割り当てに関連付けることができます。

フィルターを作成すると、新しい [ 関連付けられた割り当て] タブが表示されます。このタブには、すべてのポリシーの割り当て、フィルター割り当てを受け取るグループ、フィルターで Exclude または Include が使用されている場合が 表示されます。

  1. Microsoft Intune管理センターにサインインします。
  2. [デバイス>フィルター]> [既存のフィルター>の選択] [関連付けられた割り当て] タブに移動します

フィルターの詳細については、次のページを参照してください。

iOS/iPadOS モデル情報に含まれるサイズと生成

ハードウェア デバイスの詳細」の Model 属性の一部として、登録済みの iOS/iPadOS デバイスのサイズと世代を表示できます。

[ デバイス > ] [すべてのデバイス> ] の順に選択し、表示されているデバイスのいずれかを選択し、[ ハードウェア ] を選択して詳細を開きます。 たとえば、iPad Pro 3 の代わりにデバイス モデルの iPad Pro 11 インチ (第 3 世代) ディスプレイが表示されます。 詳細については、「Intuneでデバイスの詳細を確認する」を参照してください

適用対象:

  • iOS/iPadOS

監視対象の iOS/iPadOS デバイスのアクティブ化ロック デバイス アクションを無効にする

現在のユーザー名またはパスワードを必要とせずに、Intuneの [アクティブ化ロック デバイスの無効化] アクションを使用して、iOS/iPadOS デバイスのアクティブ化ロックをバイパスできます。

この新しいアクションは、[デバイス>] [iOS/iPadOS>] で、一覧表示されているデバイス>のいずれかを選択して [アクティブ化ロックを無効にする] で使用できます。

アクティブ化ロックの管理の詳細については、「iOS/iPadOS アクティベーション ロックをIntuneでバイパスする」または Apple の Web サイトの「iPhone、iPad、iPod touch のアクティベーション ロック - Apple サポート」を参照してください。

適用対象:

  • iOS/iPadOS

[設定カタログ] で [一時的なエンタープライズ機能制御を許可する] を使用できます

オンプレミスのグループ ポリシーには、 サービスによって導入された機能を有効にする機能が既定でオフ になっています。

Intuneでは、この設定は [一時的なエンタープライズ機能制御を許可する] と呼ばれ、[設定カタログ] で使用できます。 このサービスにより、既定でオフになっている機能が追加されます。 [許可] に設定すると、これらの機能が有効になり、オンになります。

この機能の詳細については、次のページを参照してください。

このポリシー設定で有効になっている Windows 機能は、2023 年後半にリリースされる予定です。 Intuneは、認識と準備のために、このポリシー設定をリリースしています。これは、今後のWindows 11リリースで設定を使用する必要がある前です。

設定カタログの詳細については、「 Windows、iOS/iPadOS、macOS デバイスで設定カタログを使用して設定を構成する」を参照してください。

適用対象:

  • Windows 11

デバイス管理

プリンター保護のデバイス制御のサポート (プレビュー)

パブリック プレビューでは、Attack Surface Reduction ポリシーのデバイス制御プロファイルで 、プリンター保護の再利用可能な設定グループがサポートされるようになりました。

Microsoft Defender for Endpoint デバイス制御プリンター保護を使用すると、Intune内の除外の有無にかかわらず、プリンターを監査、許可、または防止できます。 これにより、企業以外のネットワーク プリンターまたは承認されていない USB プリンターを使用して、ユーザーの印刷をブロックできます。 この機能により、自宅やリモートの作業シナリオで作業するためのセキュリティとデータ保護のレイヤーが追加されます。

適用対象:

  • Windows 10
  • Windows 11

Microsoft Defender for Endpointのセキュリティ管理を使用して管理されている古いデバイスを削除するサポート

Microsoft Intune管理センター内から、Microsoft Defender for Endpoint ソリューションのセキュリティ管理を使用して管理されているデバイスを削除できるようになりました。 デバイスの [概要] の詳細を表示すると、削除オプションが他のデバイス管理オプションと共に表示されます。 このソリューションによって管理されるデバイスを見つけるには、管理センターで [デバイス>] [すべてのデバイス] の順に移動し、[管理対象] 列に MDEJoined または MDEManaged を表示するデバイスを選択します。

Apple 設定カタログで使用できる新しい設定と設定オプション

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[設定カタログ] で新しい設定を使用できます。 Microsoft Intune管理センターでは、これらの設定を [デバイス>の構成プロファイル>] [プロファイルの作成>] iOS/iPadOS または macOS for platform >の [プロファイルの種類] [設定カタログ] で確認できます。

新しい設定には、次のものが含まれます。

ログイン > サービス管理 - マネージド ログイン 項目:

  • Team 識別子

Microsoft Office > Microsoft Office:

  • Office ライセンス認証のEmailアドレス

適用対象:

  • macOS

ネットワーク > ドメイン:

  • クロス サイト追跡防止の緩和されたドメイン

適用対象:

  • iOS/iPadOS

Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

デバイスのセキュリティ

エンドポイント セキュリティウイルス対策ポリシーを使用してMicrosoft Defender更新動作を管理する (プレビュー)

エンドポイント セキュリティ ウイルス対策ポリシーのパブリック プレビューの一環として、Windows 10以降のプラットフォームの新しいプロファイル Defender Update コントロールを使用して、Microsoft Defenderの更新設定を管理できます。 新しいプロファイルには、デバイスとユーザーが Defender 更新を受け取るロールアウト リリース チャネルの設定が含まれています。これは、毎日のセキュリティ インテリジェンス更新プログラム、毎月のプラットフォーム更新プログラム、月次エンジン更新プログラムに関連します。

このプロファイルには、 Defender CSP - Windows クライアント管理から直接取得される次の設定が含まれています。

  • エンジン 更新 チャネル
  • プラットフォーム 更新 チャネル
  • セキュリティ インテリジェンス 更新 チャネル

これらの設定は、Windows 10以降のプロファイルの設定カタログからも使用できます。

適用対象:

  • Windows 10
  • Windows 11

2023 年 2 月 6 日の週

テナント管理

推奨事項と分析情報を適用して、Configuration Managerサイトの正常性とデバイス管理エクスペリエンスを強化する

Microsoft Intune管理センターを使用して、Configuration Manager サイトの推奨事項と分析情報を表示できるようになりました。 これらの推奨事項は、サイトの正常性とインフラストラクチャを改善し、デバイス管理エクスペリエンスを強化するのに役立ちます。

推奨事項は次のとおりです。

  • インフラストラクチャを簡素化する方法
  • デバイス管理を強化する
  • デバイスの分析情報を提供する
  • サイトの正常性を向上させる

推奨事項を表示するには、Microsoft Intune管理センターを開き、[テナント管理>コネクタとトークン>Microsoft Endpoint Configuration Manager] に移動し、サイトを選択してそのサイトの推奨事項を表示します。 選択すると、[ 推奨事項 ] タブに各分析情報と [詳細情報 ] リンクが表示されます。 このリンクは、その推奨事項を適用する方法の詳細を開きます。

詳細については、「テナントアタッチMicrosoft Intune有効にする - Configuration Manager」を参照してください。

2023 年 1 月 30 日の週

デバイス管理

Android オープンソース デバイスのMicrosoft Intuneでサポートされている HTC Vive Focus 3

Android オープンソース プロジェクト デバイス (AOSP) 用のMicrosoft Intuneで HTC Vive Focus 3 がサポートされるようになりました。

詳細については、Microsoft Intuneでサポートされているオペレーティング システムとブラウザーに関するページを参照してください。

適用対象:

  • Microsoft Intune (AOSP)

リモート ヘルプでのレーザー ポインターのサポートの概要

リモート ヘルプでは、Windows で支援を提供するときにレーザー ポインターを使用できるようになりました。

リモート ヘルプの詳細については、「リモート ヘルプ」を参照してください。

適用対象:

  • Windows 10 または 11

2023 年 1 月 23 日の週 (サービス リリース 2301)

アプリ管理

Windows ポータル サイトでConfiguration Manager アプリを表示するかどうかを構成する

Intuneでは、Windows ポータル サイトにConfiguration Managerアプリを表示または非表示にするかどうかを選択できます。 このオプションは、[テナント>管理のカスタマイズ] を選択Microsoft Intune管理センターで使用できます。 [設定] の横にある [編集] を選択します。 [Configuration Manager アプリケーションを表示または非表示にする] オプションは、ウィンドウの [アプリ ソース] セクションにあります。 ポータル サイト アプリの構成に関する関連情報については、「Intune ポータル サイト アプリ、ポータル サイト Web サイト、Intune アプリを構成する方法」を参照してください。

Web ページをアプリにピン留めマネージド ホーム スクリーンブロックする

マネージド ホーム スクリーンを使用する Android Enterprise 専用デバイスでは、アプリ構成を使用して、ブラウザー Web ページのマネージド ホーム スクリーンへのピン留めをブロックするようにマネージド ホーム スクリーン アプリを構成できるようになりました。 新しい key 値は です block_pinning_browser_web_pages_to_MHS。 詳細については、「Android Enterprise 用の Microsoft マネージド ホーム スクリーン アプリを構成する」を参照してください。

デバイス管理

Android 用アプリで表示される猶予期間の状態Microsoft Intune

Android 用のMicrosoft Intune アプリに、コンプライアンス要件を満たしていないが、指定された猶予期間内にあるデバイスに対して、猶予期間の状態が表示されるようになりました。 ユーザーは、デバイスが準拠している必要がある日付と、準拠する方法の手順を確認できます。 指定された日付までにデバイスを更新しない場合、デバイスは非準拠としてマークされます。 詳細については、次のドキュメントを参照してください。

macOS のソフトウェア更新プログラム ポリシーが一般公開されました

macOS デバイスのソフトウェア更新ポリシーが一般公開されました。 この一般提供は、macOS 12 (モントレー) 以降を実行している監視対象デバイスに適用されます。 今後もこの機能に改善を加えていきます。

詳細については、「Microsoft Intune ポリシーを使用して macOS ソフトウェア更新プログラムを管理する」を参照してください。

Windows Autopilot デバイス 診断

Windows Autopilot 診断は、個々のデバイスの Autopilot 展開モニターまたはデバイス診断モニターから、管理センター Microsoft Intuneダウンロードできます。

デバイスの登録

登録通知の一般公開

登録通知は一般公開され、Windows、Apple、Android デバイスでサポートされています。 この機能は、ユーザー主導の登録方法でのみサポートされます。 詳細については、「 登録通知を設定する」を参照してください。

セットアップ アシスタントで [住所の用語] ウィンドウをスキップまたは表示する

Microsoft Intuneを構成して、Apple 自動デバイス登録中に [アドレスの条件] という新しいセットアップ アシスタント ウィンドウをスキップまたは表示します。 [アドレスの条件] ウィンドウを使用すると、iOS/iPadOS および macOS デバイスのユーザーは、システムがそれらに対処する方法 (女性、中立、男性的) を選択して、デバイスをカスタマイズできます。 このウィンドウは既定で登録中に表示され、選択した言語で使用できます。 iOS/iPadOS 16 以降、および macOS 13 以降を実行しているデバイスでは非表示にすることができます。 Intuneでサポートされているセットアップ アシスタント画面の詳細については、次を参照してください。

デバイスのセキュリティ

Microsoft Tunnel for Mobile Application Management for iOS/iPadOS (プレビュー)

パブリック プレビューとして、モバイル アプリケーション管理 (MAM) を使用して、iOS/iPadOS 用の Microsoft Tunnel VPN ゲートウェイを使用できます。 Intuneに登録されていない iOS デバイスのこのプレビューでは、登録されていないデバイスでサポートされているアプリは、Microsoft Tunnel を使用して、企業のデータとリソースを操作するときにorganizationに接続できます。 この機能には、次の VPN ゲートウェイのサポートが含まれます。

  • 先進認証を使用してオンプレミスのアプリとリソースへのアクセスをセキュリティで保護する
  • シングル サインオンと条件付きアクセス

詳細については、以下をご覧ください。

適用対象:

  • iOS/iPadOS

Microsoft Defender for Endpointのセキュリティ設定管理に対する攻撃面の縮小ポリシーのサポート

攻撃面の縮小ポリシーは、 MDE セキュリティ構成 シナリオで管理されるデバイスによってサポートされます。 Microsoft Defender for Endpointを使用しているが、Intuneに登録されていないデバイスでこのポリシーを使用するには:

  1. [エンドポイント セキュリティ] ノードで、新しい 攻撃面の削減 ポリシーを作成します。
  2. Windows 10、Windows 11、および Windows Server をプラットフォームとして選択します。
  3. プロファイル の [攻撃面の縮小ルール ] を選択 します

適用対象:

  • Windows 10
  • Windows 11

SentinelOne – 新しいモバイル脅威防御パートナー

SentinelOne を、Intuneと統合された Mobile Threat Defense (MTD) パートナーとして使用できるようになりました。 Intuneで SentinelOne コネクタを構成することで、コンプライアンス ポリシーのリスク評価に基づく条件付きアクセスを使用して、企業リソースへのモバイル デバイス アクセスを制御できます。 SentinelOne コネクタは、リスク レベルをアプリ保護ポリシーに送信することもできます。

デバイス構成

デバイス ファームウェア構成インターフェイス (DFCI) は、富士通デバイスをサポートしています

Windows 10/11 デバイスの場合は、DFCI プロファイルを作成して UEFI (BIOS) 設定を管理できます (デバイス>構成プロファイル>の作成>Windows 10以降のプラットフォーム>用テンプレート> プロファイルの種類のデバイス ファームウェア構成インターフェイス)。

DFCI では、Windows 10/11 を実行している一部の富士通 デバイスが有効になっています。 対象となるデバイスについては、デバイス ベンダーまたはデバイスの製造元にお問い合わせください。

DFCI プロファイルの詳細については、以下を参照してください。

適用対象:

  • Windows 10
  • Windows 11

Android AOSP を実行しているデバイスでの一括デバイス アクションのサポート

Android AOSP を実行しているデバイスの "一括デバイス アクション" を完了できるようになりました。 AOSP を実行しているデバイスでサポートされる一括デバイス アクションは、削除、ワイプ、再起動です。

適用対象:

  • Aosp

設定カタログの iOS/iPadOS および macOS 設定の説明を更新しました

設定カタログには、構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。 iOS/iPadOS と macOS の設定では、設定カテゴリごとに説明が更新され、より詳細な情報が含まれます。

設定カタログの詳細については、次のページを参照してください。

適用対象:

  • iOS/iPadOS
  • macOS

Apple 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[設定カタログ] で新しい設定を使用できます。 Microsoft Intune管理センターでは、これらの設定を [デバイス>の構成プロファイル>] [プロファイルの作成>] iOS/iPadOS または macOS for platform >の [プロファイルの種類] [設定カタログ] で確認できます。

新しい設定には、次のものが含まれます。

アカウント > サブスクライブされた予定表:

  • アカウントの説明
  • アカウント ホスト名
  • アカウントパスワード
  • アカウント SSL を使用する
  • アカウントユーザー名

適用対象:

  • iOS/iPadOS

ネットワーク > ドメイン:

  • クロス サイト追跡防止の緩和されたドメイン

適用対象:

  • macOS

次の設定は、設定カタログにも含まれます。 以前は、テンプレートでのみ使用できました。

File Vault:

  • ユーザーが不足している情報を入力する

適用対象:

  • macOS

制限事項:

  • レーティングリージョン

適用対象:

  • iOS/iPadOS

Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

デバイスの Azure AD Join の種類でアプリとポリシーの割り当てをフィルター処理する (deviceTrustType)

アプリまたはポリシーを割り当てるときに、デバイスの製造元、オペレーティング システム SKU など、さまざまなデバイス プロパティを使用して割り当てをフィルター処理できます。

新しいデバイス フィルター プロパティdeviceTrustTypeは、Windows 10以降のデバイスで使用できます。 このプロパティを使用すると、Azure AD Join の種類に応じてアプリとポリシーの割り当てをフィルター処理できます。値は "Azure AD Joined"、"Hybrid Azure AD Joined"、"Azure AD Registered" です。

フィルターと使用できるデバイス プロパティの詳細については、次のページを参照してください。

適用対象:

  • Windows 10 以降

監視とトラブルシューティング

Microsoft Intune管理センターでモバイル アプリの診断をダウンロードする (パブリック プレビュー)

パブリック プレビューでは、管理センターでユーザーが送信したモバイル アプリ 診断にアクセスします。これには、Android、AOSP、または Windows 用ポータル サイトアプリを介して送信されたアプリ ログが含まれます。iOS、macOS、Microsoft Edge for iOS は後日サポートされます。 ポータル サイト用のモバイル アプリ 診断へのアクセスの詳細については、「ポータル サイトの構成」を参照してください。

診断ファイルを使用した WinGet のトラブルシューティング

WinGet は、Windows 10デバイスとWindows 11 デバイスでアプリケーションを検出、インストール、アップグレード、削除、構成できるコマンド ライン ツールです。 Intuneで Win32 アプリ管理を使用するときに、次のファイルの場所を使用して WinGet のトラブルシューティングに役立つようになりました。

  • %TEMP%\winget\defaultstate*.log
  • Microsoft-Windows-AppXDeployment/Operational
  • Microsoft-Windows-AppXDeploymentServer/Operational

Intuneトラブルシューティング ウィンドウの更新

[Intuneトラブルシューティング] ウィンドウの新しいエクスペリエンスでは、ユーザーのデバイス、ポリシー、アプリケーション、および状態に関する詳細が提供されます。 トラブルシューティング ウィンドウには、次の情報が含まれています。

  • ポリシー、コンプライアンス、アプリケーションの展開状態の概要。
  • すべてのレポートのエクスポート、フィルター処理、並べ替えをサポートします。
  • ポリシーとアプリケーションを除外してフィルター処理するサポート。
  • ユーザーの 1 台のデバイスにフィルター処理するサポート。
  • 使用可能なデバイスの診断と無効なデバイスの詳細。
  • 3 日以上サービスにチェックインしていないオフライン デバイスの詳細。

[トラブルシューティングとサポート>のトラブルシューティング] を選択すると、管理センター Microsoft Intuneトラブルシューティング ウィンドウが表示されます。 プレビュー中に新しいエクスペリエンスを表示するには、[ トラブルシューティングの今後の変更をプレビューする ] を選択し、フィードバックを提供して [ トラブルシューティング] プレビュー ウィンドウを 表示し、[ 今すぐ試す] を選択します。

コンプライアンス ポリシーのないデバイスの新しいレポート (プレビュー)

コンプライアンス ポリシーのないデバイスという名前の新しいレポートが、Microsoft Intune管理センターの [レポート] ノードからアクセスできるデバイス コンプライアンス レポートに追加されました。 プレビュー段階のこのレポートでは、より多くの機能を提供する新しいレポート形式が使用されます。

この新しい組織レポートについては、「 コンプライアンス ポリシーのないデバイス (組織)」を参照してください。

このレポートの古いバージョンは、管理センターの [デバイス > モニター ] ページから引き続き使用できます。 最終的には、古いレポート バージョンは廃止されますが、現時点では引き続き使用できます。

管理上の注意が必要なテナントの問題に関するメッセージをサービス正常性する

Microsoft Intune管理センターの [サービス正常性とメッセージ センター] ページに、アクションが必要な環境内の問題のメッセージを表示できるようになりました。 これらのメッセージは、解決するアクションが必要になる可能性がある環境内の問題について管理者に警告するためにテナントに送信される重要な通信です。

[テナント管理>] [テナントの状態] に移動し、[サービス正常性とメッセージ センター] タブを選択することで、Microsoft Intune管理センターでアクションを必要とする環境内の問題に関するメッセージを表示できます。

管理センターのこのページの詳細については、「Intune テナントの状態」 ページの「テナントの詳細を表示する」を参照してください。

テナント管理

複数の証明書コネクタの UI エクスペリエンスの向上

25 を超える 証明書コネクタ が構成されている場合のエクスペリエンスの向上に役立つページ分割コントロールが [証明書コネクタ] ビューに追加されました。 新しいコントロールを使用すると、コネクタ レコードの合計数を確認でき、証明書コネクタを表示するときに特定のページに簡単に移動できます。

証明書コネクタを表示するには、Microsoft Intune管理センターで、[テナント管理>コネクタとトークン>証明書コネクタ] に移動します。

Intune アプリ

Intune 用に新しく利用可能になった保護されたアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

  • 電圧セキュリティによる電圧セキュアメール

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

スクリプト

Endpoint Analytics で PowerShell スクリプト パッケージのコンテンツをプレビューする

管理者は、事前修復のために PowerShell スクリプトのコンテンツのプレビューを表示できるようになりました。 コンテンツは、スクロール機能を備えた灰色表示のボックスに表示されます。 管理者は、プレビューでスクリプトの内容を編集できません。 管理センター Microsoft Intuneレポート エンドポイント分析>プロアクティブ修復を選択します>。 関連情報については、「 プロアクティブ修復用の PowerShell スクリプト」を参照してください。

2023 年 1 月 16 日の週

アプリ管理

Win32 アプリの置き換え GA

Win32 アプリ置き換え GA の機能セットをロールアウトしました。これにより、ESP 中に置き換えのあるアプリのサポートが追加され、置き換えと依存関係の関係を同じアプリ サブグラフに追加することもできます。 詳細については、「 Win32 アプリの置き換えの機能強化」を参照してください。 Win32 アプリの置き換えについては、「 Win32 アプリの置き換えの追加」を参照してください。

2023 年 1 月 9 日の週

デバイス構成

ポータル サイト アプリは、仕事用プロファイルを持つ Android Enterprise 12 以降の個人所有デバイスにパスワードの複雑さの設定を適用します

仕事用プロファイルを持つ Android Enterprise 12 以降の個人所有デバイスでは、パスワードの複雑さを設定するコンプライアンス ポリシーやデバイス構成プロファイルを作成できます。 2211 リリース以降、この設定はIntune管理センターで使用できます。

  • デバイス>構成プロファイル>プロファイルの>作成仕事用プロファイルを使用して個人所有のプラットフォーム>用 Android Enterprise
  • デバイス>コンプライアンス ポリシー>ポリシーの>作成仕事用プロファイルを使用して個人所有のプラットフォーム>用 Android Enterprise

ポータル サイト アプリでは、[パスワードの複雑さ] 設定が適用されます。

この設定と、仕事用プロファイルを使用して個人所有のデバイスで構成できるその他の設定の詳細については、次のページを参照してください。

適用対象:

  • 仕事用プロファイルを持つ Android Enterprise 12 以降の個人所有デバイス

2022 年 12 月 19 日の週

Intune アプリ

Intune 用に新しく利用可能になった保護されたアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

  • Appian corporation (Android) によるIntuneの Appian

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

2022 年 12 月 12 日の週 (サービス リリース 2212)

デバイス構成

リモート ヘルプクライアント アプリには、[テナント レベル] 設定でチャット機能を無効にする新しいオプションが含まれています

リモート ヘルプ アプリでは、管理者は新しいテナント レベル設定からチャット機能を無効にすることができます。 [チャットの無効化] 機能をオンにすると、リモート ヘルプ アプリのチャット ボタンが削除されます。 この設定は、Microsoft Intuneの [テナント管理] の [リモート ヘルプ設定] タブにあります。

詳細については、「テナントのリモート ヘルプを構成する」を参照してください。

適用対象: Windows 10/11

macOS 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[設定カタログ] で新しい設定を使用できます。 Microsoft Intune管理センターでは、[デバイス>の構成] プロファイル>でこれらの設定を確認できます。プロファイルの種類のプラットフォーム>設定カタログプロファイル> macOS を作成します。

新しい設定には、次のものが含まれます。

File Vault > ファイル コンテナー のオプション:

  • FV が無効になるのをブロックする
  • FV の有効化をブロックする

制限事項:

  • Bluetooth の変更を許可する

適用対象:

  • macOS

Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

iOS、iPadOS、macOS デバイスでの SSO 拡張機能要求の既定の設定があります

シングル サインオン アプリ拡張機能の構成プロファイルを作成する場合は、いくつかの設定を構成します。 次の設定では、すべての SSO 拡張機能要求に次の既定値が使用されます。

  • AppPrefixAllowList キー

    • macOS の既定値: com.microsoft.,com.apple.
    • iOS/iPadOS の既定値: com.apple.

  • browser_sso_interaction_enabled キー

    • macOS の既定値: 1
    • iOS/iPadOS の既定値: 1

  • disable_explicit_app_prompt キー

    • macOS の既定値: 1
    • iOS/iPadOS の既定値: 1

既定値以外の値を構成すると、構成された値によって既定値が上書きされます。

たとえば、キーを構成 AppPrefixAllowList しません。 既定では、すべての Microsoft アプリ (com.microsoft.) とすべての Apple アプリ (com.apple.) が macOS デバイスで SSO に対して有効になっています。 この動作は、 などの com.contoso.別のプレフィックスをリストに追加することで上書きできます。

Enterprise SSO プラグインの詳細については、「iOS/iPadOS および macOS デバイスで Microsoft Enterprise SSO プラグインを使用する」Microsoft Intune

適用対象:

  • iOS/iPadOS
  • macOS

デバイスの登録

Android Enterprise 専用デバイスの登録トークンの有効期間が 65 年に増加

これで、最大 65 年間有効な Android Enterprise 専用デバイスの登録プロファイルを作成できるようになりました。 既存のプロファイルがある場合でも、プロファイルの作成時に選択した日付に登録トークンの有効期限が切れますが、更新中は有効期間を延長できます。 登録プロファイルの作成の詳細については、「Android Enterprise 専用デバイスのIntune登録を設定する」を参照してください。

デバイス管理

すべての監視対象デバイスで macOS のポリシーを更新できるようになりました

macOS デバイスのソフトウェア更新ポリシーが、すべての macOS 監視対象デバイスに適用されるようになりました。 以前は、自動デバイス登録 (ADE) を通じて登録されたデバイスのみが更新プログラムを受け取る資格があります。 macOS の更新ポリシーの構成の詳細については、「Microsoft Intune ポリシーを使用して macOS ソフトウェア更新プログラムを管理する」を参照してください。

適用対象:

  • macOS

Windows 機能更新プログラムと迅速な品質更新プログラムのポリシーとレポートが一般公開されました

Windows 10以降の機能更新プログラムと品質更新プログラム (迅速な更新プログラム) を管理するためのポリシーとレポートはどちらもプレビュー段階から外れ、一般公開されています。

これらのポリシーとレポートの詳細については、次を参照してください。

適用対象:

  • Windows 10 または 11

2022 年 11 月 28 日の週

アプリ管理

Intuneの Microsoft Store アプリ

これで、Intune内で Microsoft Store アプリを検索、参照、構成、デプロイできるようになりました。 新しい Microsoft Store アプリの種類は、Windows パッケージ マネージャーを使用して実装されます。 このアプリの種類は、UWP アプリと Win32 アプリの両方を含むアプリの拡張カタログを備えています。 この機能のロールアウトは、2022 年 12 月 2 日までに完了する予定です。 詳細については、「Microsoft Intuneに Microsoft Store アプリを追加する」を参照してください。

テナント管理

複数の管理者承認のアクセス ポリシー (パブリック プレビュー)

パブリック プレビューでは、Intuneアクセス ポリシーを使用して、変更が適用される前に 2 つ目の管理者承認アカウントを使用して変更を承認するように要求できます。 この機能は、複数の管理者承認 (MAA) と呼ばれます。

アクセス ポリシーを作成して、アプリのデプロイなどのリソースの種類を保護します。 各アクセス ポリシーには、ポリシーによって保護された変更の 承認者 であるユーザーのグループも含まれます。 アプリのデプロイ構成などのリソースがアクセス ポリシーによって保護されている場合、デプロイに加えられた変更 (既存のデプロイの作成、削除、変更など) は、そのアクセス ポリシーの承認者グループのメンバーがその変更を確認して承認するまで適用されません。

承認者は要求を拒否することもできます。また、変更を要求する個人と承認者の両方が、変更に関するメモ、または変更が承認または拒否された理由を示すことができます。

アクセス ポリシーは、次のリソースでサポートされています。

  • アプリ – アプリの デプロイには適用されますが、アプリ保護ポリシーには適用されません。
  • スクリプトmacOS または Windows を実行するデバイスへのスクリプトの展開に適用されます。

詳細については、「 アクセス ポリシーを使用して複数の管理承認を要求する」を参照してください。

デバイスのセキュリティ

Android 用モバイル アプリケーション管理用 Microsoft Tunnel (プレビュー)

パブリック プレビューとして、登録されていないデバイスで Microsoft Tunnel を使用できるようになりました。 この機能は、 Microsoft Tunnel for Mobile Application Management (MAM) と呼ばれます。 このプレビューでは Android がサポートされており、既存の Tunnel インフラストラクチャに変更を加えずに、次の場合に Tunnel VPN ゲートウェイがサポートされます。

  • 先進認証を使用してオンプレミスのアプリとリソースへのアクセスをセキュリティで保護する
  • シングル サインオンと条件付きアクセス

Tunnel MAM を使用するには、登録されていないデバイスで Microsoft Edge、Microsoft Defender for Endpoint、ポータル サイトをインストールする必要があります。 その後、Microsoft Intune管理センターを使用して、登録されていないデバイスの次のプロファイルを構成できます。

  • Tunnel クライアント アプリとして使用するデバイスでMicrosoft Defenderを構成するための、マネージド アプリのアプリ構成プロファイル。
  • Tunnel に接続するように Microsoft Edge を構成するための、マネージド アプリ用の 2 つ目のアプリ構成プロファイル。
  • Microsoft Tunnel 接続の自動開始を有効にするアプリ保護 プロファイル。

適用対象:

  • Android Enterprise

アーカイブの新機能

前の月については、 新着情報のアーカイブに関するページを参照してください。

通知

この通知では、今後の Intune の変更と機能に備えるために役立つ重要な情報が提供されます。

変更の計画: ビジネス向け Microsoft Store および Education アプリのサポートを終了する

2023 年 4 月には、Intuneでのビジネス向け Microsoft Store エクスペリエンスのサポートを終了します。 これはいくつかの段階で発生します。 詳細については、「Intuneの Microsoft Store にビジネス向け Microsoft Storeおよび Education アプリを追加する」を参照してください。

これは自分やユーザーにどのような影響を与えますか?

ビジネス向け Microsoft Storeと Education アプリを使用している場合:

  1. 2023 年 4 月 30 日、Intuneはビジネス向け Microsoft Store サービスを切断します。 ビジネス向け Microsoft Storeと Education アプリはIntuneと同期できず、コネクタ ページはIntune管理センターから削除されます。
  2. 2023 年 6 月 15 日、Intuneは、デバイス上のオンラインおよびオフラインのビジネス向け Microsoft Storeと Education アプリの適用を停止します。 ダウンロードしたアプリケーションは、サポートが制限されたデバイスに残ります。 ユーザーは引き続きデバイスからアプリにアクセスできますが、アプリは管理されません。 既存の同期されたIntuneアプリ オブジェクトは、管理者が同期されたアプリとその割り当てを表示できるようにするために残ります。 さらに、Microsoft Graph API syncMicrosoftStoreForBusinessApps を使用してアプリを同期することはできず、関連する API プロパティには古いデータが表示されます。
  3. 2023 年 9 月 15 日に、Intune管理センターから ビジネス向け Microsoft Store および Education アプリが削除されます。 デバイス上のアプリは、意図的に削除されるまで保持されます。 Microsoft Graph API microsoftStoreForBusinessApp は、約 1 か月後に使用できなくなります。

ビジネス向け Microsoft Storeと教育の廃止は2021年に発表されたことに注意してください。 ビジネス向け Microsoft Storeポータルと Education ポータルが廃止されると、管理者は、同期されたビジネス向け Microsoft Storeアプリと Education アプリの一覧を管理したり、ビジネス向け Microsoft Storeポータルと Education ポータルからオフライン コンテンツをダウンロードしたりできなくなります。

どのように準備できますか?

Intuneの新しい Microsoft Store アプリ エクスペリエンスを通じてアプリを追加することをお勧めします。 Microsoft Store でアプリを利用できない場合は、ベンダーからアプリ パッケージを取得し、基幹業務 (LOB) アプリまたは Win32 アプリとしてインストールする必要があります。 手順については、次の記事を参照してください。

関連情報

変更の計画: Windows Information Protectionのサポートを終了する

Microsoft Windows は、Windows Information Protection (WIP) のサポートを終了すると発表しました。 製品のMicrosoft Intuneファミリは、WIP の管理と展開に対する将来の投資を中止する予定です。 将来の投資を制限することに加えて、2022 年の年末に 登録シナリオのない WIP のサポートを削除しました。

これは自分やユーザーにどのような影響を与えますか?

WIP ポリシーを有効にしている場合は、これらのポリシーをオフまたは無効にする必要があります。

どのように準備できますか?

WIP ポリシーによって保護されているドキュメントへのアクセス権をorganizationのユーザーが失われないように、WIP を無効にすることをお勧めします。 デバイスから WIP を削除するための詳細とオプションについては、Windows Information Protectionのサポート 終了ガイダンスに関するブログのサポート ヒントを参照してください。

変更の計画: Windows 8.1のサポートを終了する

Microsoft Intuneは、2022 年 10 月 21 日にWindows 8.1を実行しているデバイスのサポートを終了する予定です。 さらに、基幹業務アプリのサイドローディング キー シナリオは、Windows 8.1 デバイスにのみ適用されるため、サポートを停止します。

Microsoft では、サポートされているバージョンのWindows 10またはWindows 11に移行することを強くお勧めします。サービスまたはサポートが不要になったシナリオを回避してください。

これは自分やユーザーにどのような影響を与えますか?

Windows 8.1デバイスを管理している場合は、それらのデバイスをサポートされているバージョンのWindows 10またはWindows 11にアップグレードする必要があります。 既存のデバイスとポリシーに影響はありませんが、Windows 8.1を実行している場合、新しいデバイスを登録することはできません。

どのように準備できますか?

必要に応じて、Windows 8.1 デバイスをアップグレードします。 実行中のユーザーのデバイスを特定するにはWindows 8.1管理センター>の [Windows Windows>デバイス>] Microsoft Intune移動し、OS でフィルター処理します。

追加情報

Microsoft Intuneの証明書コネクタを更新する

2022 年 6 月 1 日の時点で、バージョン 6.2101.13.0 より前のIntune証明書コネクタが想定どおりに動作しなくなり、Intune サービスへの接続が停止する可能性があります。 証明書コネクタのライフサイクルとサポートの詳細については、「証明書コネクタ for Microsoft Intune」を参照してください。

これは自分やユーザーにどのような影響を与えますか?

この変更の影響を受けた場合は、メッセージ センターの MC393815 を参照してください。

どのように準備できますか?

最新の証明書コネクタをダウンロード、インストール、構成します。 詳細については、「Microsoft Intune用の証明書コネクタをインストールする」を参照してください。

使用している証明書コネクタのバージョンをチェックするには、次の手順に従います。

  1. Intune証明書コネクタを実行している Windows Server で、[プログラムの追加と削除] を起動します。
  2. インストールされているプログラムとアプリケーションの一覧が表示されます。
  3. Microsoft Intune証明書コネクタに関連するエントリを探します。 コネクタに "バージョン" が関連付けられます。 古いコネクタの名前は異なる場合があることに注意してください。

変更の計画: Intuneは、今年後半に macOS 11.0 以降をサポートする予定です

Apple は今年後半に macOS 13 (Ventura) をリリースする予定です。Microsoft Intune、ポータル サイト アプリとIntuneモバイル デバイス管理エージェントは、macOS 11.0 以降をサポートするように移行します。 iOS と macOS 用のポータル サイト アプリは統合アプリであるため、この変更は iOS/iPadOS 16 のリリース直後に行われます。

これは自分やユーザーにどのような影響を与えますか?

この変更は、現在、Intuneを使用して macOS デバイスを管理している場合、または管理を計画している場合にのみ影響します。 ユーザーが既に macOS デバイスをアップグレードしている可能性が高いので、この変更は影響を受けない可能性があります。 サポートされているデバイスの一覧については、「 macOS Big Sur とこれらのコンピューターとの互換性」を参照してください。

注:

macOS 10.15 以前に現在登録されているデバイスは、それらのバージョンがサポートされなくなった場合でも、引き続き登録されたままになります。 macOS 10.15 以前を実行している場合、新しいデバイスは登録できません。

どのように準備できますか?

Intune レポートをチェックして、影響を受ける可能性のあるデバイスまたはユーザーを確認してください。 [デバイス]>[すべてのデバイス] に移動し、macOS でフィルター処理します。 さらに列を追加して、macOS 10.15 以前を実行しているデバイスをorganization内のユーザーを特定するのに役立ちます。 サポートされている OS バージョンにデバイスをアップグレードするようにユーザーに依頼します。

変更の計画: Intuneは iOS/iPadOS 14 以降をサポートするように移行しています

今年の後半には、Apple によって iOS 16 がリリースされる予定です。 Intune ポータル サイトとIntuneアプリ保護ポリシー (MAM とも呼ばれるアプリ) を含むMicrosoft Intuneには、iOS 16 のリリース直後に iOS 14/iPadOS 14 以降が必要になります。

これは自分やユーザーにどのような影響を与えますか?

iOS/iPadOS デバイスを管理している場合、サポートされている最小バージョン (iOS/iPadOS 14) にアップグレードできないデバイスがある可能性があります。

Office 365モバイル アプリは iOS/iPadOS 14.0 以降でサポートされているため、この変更は影響を受けない可能性があります。 OS またはデバイスを既にアップグレードしている可能性があります。

iOS 14 または iPadOS 14 をサポートするデバイスをチェックするには (該当する場合)、次の Apple ドキュメントを参照してください。

注:

自動デバイス登録 (ADE) を使用して登録されたユーザーレス iOS デバイスと iPadOS デバイスには、共有の使用のために少し微妙なサポート ステートメントがあります。 詳細については、「https://aka.ms/ADE_userless_support」を参照してください。

どのように準備できますか?

Intune レポートをチェックして、影響を受ける可能性のあるデバイスまたはユーザーを確認してください。 モバイル デバイス管理を備えたデバイスの場合は、[デバイス]>[すべてのデバイス] に移動し、OS でフィルター処理します。 アプリ保護ポリシーを使用しているデバイスの場合は、[アプリ]>[モニター]>[アプリの保護状態]>[アプリ保護レポート: iOS、Android] に移動します。

organizationでサポートされている OS バージョンを管理するには、モバイル デバイス管理と APP の両方にMicrosoft Intuneコントロールを使用できます。 詳細については、「Intune を使用したオペレーティング システムのバージョンの管理」を参照してください。

変更の計画: Intune は、2022 年 1 月に Android 8.0 以降をサポートするように移行しています

Microsoft Intune は、2022 年 1 月 7 日以降、モバイル デバイス管理 (MDM) に登録されたデバイスで Android バージョン 8.0 (Oreo) 以降をサポートするように移行されます。

これは自分やユーザーにどのような影響を与えますか?

2022 年 1 月 7 日以降、Android バージョン 7.x 以前を実行している MDM 登録デバイスは、Android ポータル サイトまたは Intune アプリの更新プログラムを受け取らなくなります。 登録済みデバイスには引き続き Intune ポリシーが適用されますが、Intune のシナリオではサポートされなくなります。 ポータル サイトと Intune アプリは、Android 7.x を実行しているデバイスでは使用できません。ただし、この変更の前に必要なアプリがインストールされている場合、これらのデバイスは登録の完了をブロックされません。 Android 7.x 以下を実行している MDM 登録済みデバイスがある場合は、Android バージョン 8.0 (Oreo) 以降に更新するか、Android バージョン 8.0 以降のデバイスに置き換えます。

注:

Microsoft Teams デバイス はこの発表の影響を受けず、Android OS のバージョンに関係なく引き続きサポートされます。

どのように準備できますか?

今後予定されているサポートの変更について、該当する場合は、御社のヘルプデスクにお知らせください。 現在 Android 7.x 以下を実行しているデバイスの数を特定するには、[デバイス]>[すべてのデバイス]>[フィルター] の順に移動します。 次に、OS でフィルターし、OS バージョンで並べ替えます。 ユーザーに通知したり、登録をブロックしたりするのに役立つ管理者オプションがあります。

ユーザーに警告する方法は次のとおりです。

  • アプリ保護ポリシーを作成し、ユーザーに警告する最小 OS バージョン要件を使用して、条件付き起動 を構成します。
  • Android デバイス管理者または Android Enterprise のデバイス コンプライアンス ポリシーを利用し、非準拠としてマークする前にユーザーに電子メールまたはプッシュ通知を送信するようにコンプライアンス違反のアクションを設定します。

Android 8.0 より前のバージョンで実行されているデバイスをブロックする方法を次に示します。

  • アプリ保護ポリシーを作成し、ユーザーのアプリへのアクセスをブロックする最小 OS バージョン要件を使用して、条件付き起動を構成します。
  • Android デバイス管理者または Android Enterprise のデバイス コンプライアンス ポリシーを利用して、Android 7.x 以前の非準拠を実行するデバイスを作成します。
  • Android 7.x 以前を実行しているデバイスの登録を禁止する登録制限を設定します。

注:

Intune アプリ保護ポリシーは、Android 9.0 以降を実行しているデバイスでサポートされています。 詳細については、MC282986 を参照してください。

変更の計画: Intune APP/MAM は Android 9 以降をサポートするように移行しています

Android 12 の次のリリースに伴い、Android 用の Intune アプリ保護ポリシー (APP、モバイル アプリケーション管理とも呼ばれます) は、2021 年 10 月 1 日以降に Android 9 (Pie) をサポートするように移行します。 この変更は、Android の最後の 4 つのメジャー バージョンの Android サポート用の Office モバイル アプリに合わせて行われます。

フィードバックに基づいて、サポート ステートメントを更新しました。 Microsoft アプリのライフサイクルに合わせて、組織を安全に保ち、ユーザーとデバイスを保護するために最善を尽くしています。

注:

このアナウンスは、Microsoft Teams Android デバイスには影響しません。 これらのデバイスは、Android OS のバージョンに関係なく引き続きサポートされます。

これは自分やユーザーにどのような影響を与えますか?

Android バージョン 8.x 以前を実行しているデバイスでアプリ保護ポリシー (APP) を使用している場合、または Android バージョン 8.x 以前を実行しているデバイスを登録することにした場合、これらのデバイスは APP でサポートされなくなります 。

APP ポリシーは、Android 6.x から Android 8.x を実行しているデバイスに引き続き適用されます。 ただし、Office アプリと APP に問題がある場合、サポートはトラブルシューティングのためにサポートされている Office バージョンに更新するよう要求します。 APP のサポートを継続するには、デバイスを Android バージョン 9 (Pie) 以降に更新するか、2021 年 10 月 1 日より前に Android バージョン 9.0 以降のデバイスと交換してください。

どのように準備できますか?

該当する場合は、この更新されたサポート ステートメントについてヘルプデスクに通知します。 また、ユーザーに警告する 2 つの管理オプションがあります。

Microsoft Intune 管理拡張機能へのアップグレード

Windows 10 デバイスでのトランスポート層セキュリティ (TLS) エラーの処理を改善するために、Microsoft Intune 管理拡張機能へのアップグレードがリリースされました。

Microsoft Intune管理拡張機能の新しいバージョンは、1.43.203.0 です。 Intune は、1.43.203.0 より前の拡張機能のすべてのバージョンをこの最新バージョンに自動的にアップグレードします。 デバイス上の拡張機能のバージョンをチェックするには、プログラムの一覧の [アプリ&の機能] でMicrosoft Intune管理拡張機能のバージョンを確認します。

詳細については、Microsoft Security Response Center のセキュリティの脆弱性 CVE-2021-31980 に関する情報を参照してください。

これは自分やユーザーにどのような影響を与えますか?

何もする必要はありません。 クライアントがサービスに接続されるとすぐに、アップグレードのメッセージが自動的に表示されます。

エンドポイント セキュリティ ウイルス対策の Windows 10 プロファイルの更新

Windows 10 用ウイルス対策プロファイル エクスペリエンスを向上させるために、マイナー変更を行いました。 この変更は UI に表示される内容にのみ影響するため、ユーザーへの影響はありません。

これは自分やユーザーにどのような影響を与えますか?

以前は、Endpoint Security ウイルス対策ポリシーの Windows セキュリティ プロファイルを構成するときに、ほとんどの設定に 2 つのオプション [はい][未構成] がありました。 これらの設定には、[はい][未構成]、および [いいえ] の新しいオプションが含まれるようになりました。

[未構成] に設定された以前に構成された設定は、[未構成] のままです。 新しいプロファイルを作成したり、既存のプロファイルを編集したりするときに、明示的に [いいえ] を指定できるようになりました。

さらに、[Windows セキュリティ アプリの [ウイルスと脅威の防止] 領域を非表示にする] 設定には、[Windows セキュリティ アプリの [ランサムウェア攻撃後のデータ回復] オプションを非表示にする] という子設定があります。 親設定が [未構成] に設定され、子設定が [はい] に設定されている場合、親設定と子設定の両方が [未構成] に設定されます。 この変更は、プロファイルを編集するときに有効になります。

どのように準備できますか?

操作は必要ありません。 しかし、この変更についてヘルプデスクに通知することをお勧めします。

変更の計画: Intune は、サポートされていないバージョンの Windows に対するポータル サイトのサポートを終了します

Intune は、サポートされている Windows 10 バージョンの Windows 10 ライフサイクルに従います。 現在、Modern Support ポリシーの対象外である Windows バージョン用の関連する Windows 10 ポータル サイトのサポートを削除しています。

これは自分やユーザーにどのような影響を与えますか?

Microsoft はこれらのオペレーティング システムをサポートしなくなったため、この変更による影響はない可能性があります。 OS またはデバイスを既にアップグレードしている可能性があります。 この変更は、サポートされていないWindows 10バージョンをまだ管理している場合にのみ影響します。

この変更が影響する Windows およびポータル サイトのバージョンは次のとおりです。

  • Windows 10 バージョン 1507、ポータル サイト バージョン 10.1.721.0
  • Windows 10 バージョン 1511、ポータル サイト バージョン 10.1.1731.0
  • Windows 10 バージョン 1607、ポータル サイト バージョン 10.3.5601.0
  • Windows 10 バージョン 1703、ポータル サイト バージョン 10.3.5601.0
  • Windows 10 バージョン 1709、すべてのポータル サイト バージョン

これらのポータル サイトのバージョンはアンインストールしませんが、Microsoft Store から削除し、サービス リリースのテストを停止します。

サポートされていないバージョンの Windows 10 を引き続き使用すると、ユーザーは、最新のセキュリティ更新プログラム、新機能、バグ修正、遅延の改善、アクセシビリティの改善、およびパフォーマンスへの投資を利用できなくなります。 System Center Configuration Manager と Intune を使用してユーザーを共同管理することはできません。

どのように準備できますか?

Microsoft Intune管理センターで、検出されたアプリ機能を使用して、これらのバージョンのアプリを検索します。 ユーザーのデバイスでは、ポータル サイトのバージョンがポータル サイトの [設定] ページに表示されます。 サポートされている Windows およびポータル サイトのバージョンに更新します。