Microsoft Intuneの新機能 - 前の月

2022 年 6 月 13 日の週

デバイスのセキュリティ

Red Hat Enterprise Linux 8.6 に対する Microsoft Tunnel のサポート

これで、Microsoft Tunnel で Red Hat Enterprise Linux (RHEL) 8.6 を使用できます。 RHEL 8.5 のサポートに必要な要件を超える追加の要件はありません。

RHEL 8.5 のように、Linux カーネルに ip_tables モジュールが存在するかどうかをチェックする 準備ツール (mst-readiness) が使用できます。 既定では、RHEL 8.6 は ip_tables モジュールをロードしません。

モジュールをロードしない Linux サーバーについては、モジュールをすぐにロードし、起動時に自動的にロードするように Linux サーバーを構成する手順を示しました。

2022 年 6 月 6 日の週

アプリ管理

アプリ保護ポリシーを介したフォト ライブラリ データ転送のサポート

これで、サポートされているアプリケーション ストレージ サービスとして フォト ライブラリを含められるようになりました。 Intune 内の [ユーザーが選択したサービスからデータを開くことができるようにする]、または [ユーザーがデータを選択したサービスに保存できるようにする][フォト ライブラリ] を選択すると、管理対象アカウントがデバイスのフォト ライブラリから iOS および Android プラットフォームの管理対象アプリに [受信] および [送信] を許可できるようになります。 Microsoft エンドポイント マネージャー管理センターで、[アプリ]>[アプリ保護ポリシー]>[ポリシーの作成] を選択します。 iOS/iPadOS または Android のいずれかを選択します。 この設定は、データ保護手順の一環として、特にポリシー管理アプリで使用できます。 関連情報については、「データの保護」を参照してください。

UI の改善により、Android の登録が利用できることを示しています。必須ではありません

Android アプリのポータル サイトのアイコンを更新し、ユーザーがデバイス登録を利用できるが必須ではない場合を認識しやすくしました。 新しいアイコンは、デバイス登録の可用性が [使用可能] に設定され、管理センターにプロンプトが表示されないシナリオで表示されます (テナント管理者>のカスタマイズ> ポリシー>設定作成または編集)。

変更内容には、次のものが含まれます。

  • [デバイス] 画面で、登録されていないデバイスの横に赤い感嘆符が表示されなくなります。
  • [デバイスの詳細] 画面で、登録メッセージの横に赤い感嘆符が表示されなくなります。 代わりに、情報 (i) アイコンが表示されます。

変更のスクリーンショットを表示するには、「Intune エンド ユーザー アプリの UI 更新プログラム」 を参照してください。

デバイス管理

アプリケーションとドライバの Windows Update 互換性レポート(パブリック プレビュー)

パブリック プレビューでは、Windows のアップグレードまたは更新プログラムの準備に役立つ 2 つの Windows Update 互換性レポートを利用できるようになりました。 これらのレポートは、現在、2022 年 11 月 30 日に 廃止を予定 している Desktop Analytics でカバーされているギャップを埋めるものです。

Windows 10から 11 へのアップグレードを計画する場合、または最新の Windows 機能更新プログラムをインストールする場合は、次のレポートを参考にしてください。

  • Windows 機能更新プログラムデバイス準備レポート (プレビュー) - このレポートは、選択したバージョンの Windows へのアップグレードまたは更新に関連する互換性リスクに関するデバイスごとの情報を提供します。
  • Windows 機能更新プログラムの互換性リスク レポート (プレビュー) - このレポートには、選択したバージョンの Windows について、組織全体の上位互換性リスクの概要が表示されます。 このレポートを使用すると、組織内で最も多くのデバイスに影響を与える互換性リスクを把握できます。

これらのレポートは、次の週にテナントにロールアウトされます。 まだ表示されていない場合は、1 日後あたりでもう一度ご確認ください。 前提条件、ライセンス、およびこれらのレポートで使用できる情報については、「Windows Update 互換性レポート」 を参照してください。

2022 年 5 月 30 日の週 (サービス リリース 2205)

アプリ管理

iOS ポータル サイトに必要な最小バージョン

2022 年 6 月 1 日から、サポートされる iOS ポータル サイトの最小バージョンは v5.2205 になります。 v5.2204 以前を使用している場合は、ログイン時に更新プログラムに関するプロンプトが表示されます。 [App Store を使用してアプリのインストールをブロックする] デバイス制限設定を有効にしている場合は、この設定を使用する関連するデバイスに更新をプッシュする必要があります。 それ以外の場合、アクションは必要ありません。 ヘルプデスクがある場合は、ポータル サイト アプリを更新するためのプロンプトを通知することをお勧めします。 ほとんど場合、ユーザーはアプリの更新を自動に設定しているため、何もしなくても更新されたポータル サイト アプリを受け取ります。 関連情報については、「Intune ポータル サイト」を参照してください。

デバイスの所有権が [個人] から [企業] に変更されると、プッシュ通知が自動的に送信されます

iOS/iPad および Android デバイスで、デバイスの所有権の種類が [個人] から [企業] に変更されたときにプッシュ通知が自動的に送信されるようになりました。 通知は、デバイス上のポータル サイト アプリを介してプッシュされます。

この変更に伴い、この通知動作を管理するために従来使用されていたポータル サイト構成設定が削除されました。

iOS/iPadOS の通知には 3 月のポータル サイトまたはそれ以降が必要です

Intune の 5 月 (2205) のサービス リリースでは、iOS/iPadOS の通知に対するサービス側の更新が行われています。これを利用するには、3 月のポータル サイト アプリ (バージョン 5.2203.0) またはそれ以降が必要です。 iOS/iPadOS でポータル サイトのプッシュ通知を生成できる機能を使用している場合は、引き続きプッシュ通知を受け取るために iOS/iPadOS ポータル サイトを更新するようユーザーに伝える必要があります。 機能に追加の変更はありません。 関連情報については、「ポータル サイト アプリの更新」を参照してください。

PKG タイプのインストーラー ファイルのアップロードによる macOS LOB アプリの展開が一般公開されました

PKG タイプのインストーラー ファイルを Intune にアップロードすることで、macOS 基幹業務 (LOB) アプリを展開できるようになりました。 この機能はパブリック プレビューから外れ、現在一般公開されています。

Microsoft エンドポイント マネージャー管理センターから macOS LOB アプリを追加するには、[アプリ]>[macOS]>[追加]>[基幹業務アプリ] を選択します。 さらに、macOS LOB アプリを展開するのに macOS 用アプリ ラッピング ツールは不要になりました。 関連情報については、「macOS の基幹業務 (LOB) アプリを Microsoft Intune に追加する方法」を参照してください。

[管理対象アプリ] ウィンドウでのレポート エクスペリエンスの向上

[管理対象アプリ] ウィンドウが更新され、デバイスの管理対象アプリの詳細表示が改善されました。 プライマリ ユーザーとデバイス上の他のユーザーのマネージド アプリの詳細の表示を切り替えたり、ユーザーなしでデバイスのアプリの詳細を表示したりできます。 生成されたアプリの詳細は、レポートが最初に読み込まれるときにデバイスのプライマリ ユーザーを使用して表示されるか、存在しない場合はプライマリ ユーザーなしで表示されます。 詳細については、「管理対象アプリ レポート」を参照してください。

MSfB ライセンスと Apple VPP ライセンス

ユーザーから Intune ライセンスを削除しても、ビジネス向け Microsoft Store または Apple VPP を通じて付与されたアプリ ライセンスは取り消されなくなります。 関連情報については、「Microsoft Intune を使用してビジネス向け Microsoft Store から大量購入したアプリを管理する方法」、「アプリのライセンスを取り消す」、「Microsoft Intune のライセンス」を参照してください。

ライセンス未付与のユーザーのレポート

Intune では、ユーザーにライセンスが付与されていない場合、そのユーザーはすべての Intune レポートから削除されなくなります。 ユーザーが Azure AD から削除されるまでは、Intune は最も一般的なシナリオで引き続きユーザーをレポートに含めます。 関連情報については、「Intune レポート」を参照してください。

デバイスのセキュリティ

Intune のエンドポイント セキュリティにおける攻撃面の減少ポリシー用の新しいデバイス制御プロファイル

2022 年 4 月に開始されたエンドポイント セキュリティ ポリシーにおける新しいプロファイルの継続的なロールアウトの一環として、Intune のエンドポイント セキュリティにおける攻撃面の減少ポリシー用の新しいデバイス制御プロファイル テンプレートをリリースしました。 このプロファイルは、Windows 10 以降のプラットフォームで以前に提供されていた同名のプロファイルを置き換えます。

この置き換えにより、作成できるのは新しいプロファイルのインスタンスのみとなります。 ただし、古いプロファイル構造を使用して以前に作成したプロファイルは、引き続き使用、編集、展開できます。

新しいデバイス制御プロファイル:

  • 元のプロファイルで使用できたすべての設定が含まれます。
  • 以前のプロファイルでは使用できない 5 つの新しい設定が導入されています。

新しい 5 つの設定は、USB デバイスなどのリムーバブル デバイスに重点を置いたものです。

デバイス構成

設定した時間の経過後に、パスワード、PIN、パターンを使用して Android Enterprise デバイスのロックを解除する

Android Enterprise デバイスでは、デバイス設定を管理するデバイス制限構成プロファイルを作成できます (デバイス>構成プロファイル>プロファイル>Android Enterprise>フル マネージド、専用、および企業所有の仕事用プロファイルをプラットフォーム>用に作成プロファイルの種類のデバイス制限)。

[デバイスのパスワード][仕事用プロファイルのパスワード] には、新しい [必要なロック解除頻度] 設定があります。 ユーザーが強力な認証方法 (パスワード、PIN、パターン) を使用してデバイスのロックを解除しなければならなくなるまでの時間を選択します。 次のようなオプションがあります。

  • 最後の PIN、パスワード、パターンのロック解除から 24 時間: ユーザーが最後に強力な認証方法を使用してデバイスまたは仕事用プロファイルのロックを解除した後、画面は 24 時間ロックされます。
  • デバイスの既定値 (既定値): デバイスの既定の時刻を使用して画面がロックされます。

2.3.4. 高度なパスコード管理 (Android の Web サイトが開きます)

構成できる設定の一覧については、「Intune を使用して機能を許可または制限するための Android Enterprise デバイスの設定」を参照してください。

適用対象:

  • Android 8.0 以降
  • 会社所有 Android Enterprise フル マネージド (COBO)
  • 会社所有 Android Enterprise 専用デバイス (COSU)
  • Android Enterprise の会社所有の仕事用プロファイル (COPE)

設定カタログを使用して Windows 11 デバイスにユニバーサル プリント ポリシーを作成する

多くの組織は、ユニバーサル プリントを使用してプリンター インフラストラクチャをクラウドに移行しています。

エンドポイント マネージャー管理センターでは、設定カタログを使用して、ユニバーサル印刷ポリシー (デバイス構成>プロファイル>の作成Windows 10以降のプラットフォーム>のプロファイルの設定カタログの種類>プリンター プロビジョニング) を作成できます。 ポリシーを展開すると、ユーザーはユニバーサル プリントの登録済みプリンター一覧からプリンターを選択します。

詳細については、「Microsoft Intune でユニバーサル プリント ポリシーを作成する」を参照してください。

適用対象:

  • Windows 11

新しい macOS 設定 (設定 カタログ)

設定カタログには、構成できる新しい macOS 設定があります (デバイス>構成プロファイル> プラットフォーム>用プロファイル >macOSの作成プロファイルの種類の設定カタログ)。

アカウント > アカウント:

  • ゲスト アカウントを無効にする
  • ゲスト アカウントを有効にする

ネットワーク > ファイアウォール:

  • 署名済みを許可する
  • 署名済みアプリを許可する
  • ログ収集を有効にする
  • ログ オプション

ペアレンタル コントロール > ペアレンタル コントロールの時間制限:

  • 家族向けコントロールが有効になっている
  • 時間制限

プロキシ > ネットワーク プロキシの構成:

  • プロキシ
  • 例外の一覧
  • フォールバックを許可
  • FTP を有効にする
  • FTP パッシブ
  • FTP ポート
  • FTP プロキシ
  • Gopher を有効にする
  • Gopher ポート
  • Gopher プロキシ
  • HTTP を有効にする
  • HTTP ポート
  • HTTP プロキシ
  • HTTPS を有効にする
  • HTTPS ポート
  • HTTPS プロキシ
  • プロキシの自動構成を有効にする
  • プロキシの自動構成 URL 文字列
  • プロキシ キャプティブ ログイン許可
  • RTSP を有効にする
  • RTSP ポート
  • RTSP プロキシ
  • SOCKS を有効にする
  • SOCKS ポート整数
  • SOCKS プロキシ

セキュリティ > スマート カード:

  • スマート カードを許可する
  • 証明書信頼を確認する
  • スマート カードを適用する
  • ユーザーごとに 1 枚のカード
  • トークンの削除アクション
  • ユーザーペアリング

ソフトウェア更新プログラム:

  • プレリリース インストールを許可する
  • 自動チェックが有効
  • 自動ダウンロード
  • アプリの更新プログラムを自動的にインストールする
  • macOS の更新プログラムを自動的にインストールする
  • 構成データのインストール
  • 重要な更新プログラムのインストール
  • ソフトウェア更新プログラムを制限して管理者によるインストールを必須にする

ユーザー エクスペリエンス > Screensaver ユーザー:

  • アイドル時間
  • Module Name/モジュール名
  • モジュールのパス

設定カタログを使用して作成されたポリシーとテンプレートを使用して作成されたポリシーの間には、競合の解決はありません。 設定カタログで新しいポリシーを作成する場合は、現在のポリシーと競合する設定がないことを確認してください。

Intune でのカタログ プロファイルの構成設定詳細については、「Microsoft Intune の設定カタログを使用してポリシーを作成する」を参照してください。

適用対象:

  • macOS

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

  • F2 Manager Intune (cBrain A/S 提供)
  • F2 Touch Intune (Android) (cBrain A/S 提供)
  • Microsoft Lists (Android) (Microsoft 提供)
  • Microsoft Lens - PDF スキャナー (Microsoft 提供)
  • Diligent Boards (Diligent Corporation 提供)
  • Secure Contacts (Provectus Technologies GmbH 提供)
  • My Portal by MangoApps (MangoSpring Inc 提供)

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

デバイス管理

テナントに接続されたデバイスの [ソフトウェア更新プログラム] ページ

テナントに接続されたデバイス用の新しい [ソフトウェア更新プログラム] ページがあります。 このページには、デバイス上のソフトウェア更新プログラムの状態が表示されます。 更新プログラムについて、正常にインストールされたもの、失敗したもの、割り当て済みだがまだインストールされていないものを確認できます。 更新プログラムの状態のタイムスタンプを使用すると、トラブルシューティングに役立ちます。 詳細については、「Tenant attach: 管理センターのソフトウェア更新プログラム」 を参照してください。

iOS/iPadOS での App Sync のMicrosoft Defender for Endpoint サポート

この機能を使用するには、MDE プレビューをオプトインする必要があります。 オプトインするには、 にお問い合わせください mdatpmobile@microsoft.com

Microsoft Defender for Endpoint (MDE) をモバイル脅威防御アプリケーションとして使用する場合は、iOS/iPadOS デバイスで Intune からアプリケーション インベントリ データを要求するように MDE を構成できます。 次の 2 つの設定を使用できるようになりました。

  • iOS デバイスのアプリ同期を有効にする: MDE が脅威分析のために使用する iOS アプリケーションのメタデータをIntuneから要求できるようにするには、[オン] に設定します。 iOS デバイスは、MDM に登録されている必要があり、デバイスのチェックイン中に更新されたアプリ データが提供されます。

  • 個人所有の iOS/iPadOS デバイスで完全なアプリケーション インベントリ データを送信する: この設定は、MDE がアプリ データを同期してアプリ インベントリ リストを要求するときに、Intune が MDE と共有するアプリケーション インベントリ データを制御します。

    [オン] に設定すると、MDE は個人所有の iOS/iPadOS デバイスの Intune からアプリケーションのリストを要求できます。 これには、アンマネージド アプリだけでなく、Intune を介して展開されたアプリも含まれます。

    [Off] に設定すると、アンマネージド アプリに関するデータは提供されません。 Intune は、Intune を介して展開されるアプリのデータを共有します。

仕事用プロファイルを設定した会社所有の Android Enterprise デバイスでの廃止のサポート

Microsoft Endpoint Manager 管理センターの [管理者の削除] アクションを使用して、Android Enterprise 企業所有の仕事用プロファイル デバイスからすべての企業アプリ、データ、ポリシーを含む仕事用プロファイルを削除できるようになりました。 エンドポイント マネージャー管理センター>の [デバイス] ウィンドウ [すべてのデバイス>] > に移動し、廃止するデバイスの名前を選択し、[廃止] を選択します。

[廃止] を選択すると、そのデバイスは Intune の管理対象から登録解除されます。 ただし、個人プロファイルに関連付けられているすべてのデータとアプリは、デバイスにそのまま残ります。 詳細については、「Microsoft Intune を使用してデバイスを廃止またはワイプする」を参照してください。

デバイスの登録

Apple 自動デバイス登録用の登録プロファイルの機能強化

Intune でパブリック プレビューとして以前にリリースされた、セットアップ アシスタントの 2 つのスキップ ウィンドウが、Intune で一般公開されるようになりました。 これらの画面は通常、Apple 自動デバイス登録 (ADE) の間にセットアップ アシスタントに表示されます。 Intune で登録プロファイルを設定している間に、画面の可視性を構成できます。 Intuneサポートされている画面設定は、デバイス登録プロファイルの [セットアップ アシスタント] タブで使用できます。新しいスキップ ウィンドウは次のとおりです。

  • ウィンドウ名: 概要

    • iOS/iPadOS 13 以降で使用できます。
    • このウィンドウは、既定では ADE 中にセットアップ アシスタントに表示されます。
  • ウィンドウ名: Apple Watch による自動ロック解除

    • macOS 12 以降で使用できます。
    • このウィンドウは、既定では ADE 中にセットアップ アシスタントに表示されます。

パブリック プレビュー リリースでの機能に変更はありません。

Windows Autopilot から共同管理に登録する

Intune でデバイス登録を構成して共同管理を有効にできます。これは、Windows Autopilot プロセス中に行われます。 この動作で、Configuration Manager と Intune の間で調整された方法により、ワークロードの管理機関が指示されます。

デバイスが Autopilot 登録状態ページ (ESP) ポリシーの対象になっている場合、デバイスは Configuration Manager を待機します。 Configuration Manager クライアントは、サイトをインストールして登録し、実稼働の共同管理ポリシーを適用します。 その後、Autopilot ESP が続行されます。

詳細については、「Autopilot を使用して共同管理に登録する方法」を参照してください。

2022 年 5 月 9 日の週

デバイスのセキュリティ

Defender for Endpoint を使用したセキュリティ管理が一般的に利用可能です

Microsoft エンドポイント マネージャーと Microsoft Defender for Endpoint (MDE) チームは、MDE デバイスのセキュリティ管理の一般提供を発表できることを嬉しく思います。 この一般提供の一環として、ウイルス対策、エンドポイントでの検出と対応、およびファイアウォールとファイアウォール ルールのサポートが一般的に利用可能になりました。 この一般提供は、Windows Server 2012 R2 以降、および Windows 10 と Windows 11 のクライアントに適用されます。 今後、プレビュー機能で追加のプラットフォームとプロファイルのサポートを追加する予定です。

詳細については、「Microsoft エンドポイント マネージャーを使用してデバイス上の Microsoft Defender for Endpoint を管理する」を参照してください。

デバイス管理

リモート ヘルプの昇格の機能強化

セッションの開始時に、昇格のアクセス許可は割り当てられなくなります。 昇格のアクセス許可は、JIT (Just-In-Time) アクセスが要求された場合にのみ適用されるようになりました。 ツール バーのボタンをクリックすると、アクセスが要求されます。 昇格のアクセス許可が割り当てられている場合、共有者のログオフ動作が次のように変更されました。

  • 管理者 (ヘルパー) がリモート ヘルプ セッションを終了した場合、ユーザー (sharer) はログオフされません。
  • 共有者がセッションを終了しようとすると、続行するとログオフするように求められます。
  • 共有者がデバイスのローカル管理者の場合、ヘルパーはアクセス UAC プロンプト オプションを使用できません。共有者は、自分のプロファイルで管理者特権での操作を実行するように指示できるからです。 リモート ヘルプの詳細については、「リモート ヘルプを使用する」を参照してください。

2022 年 5 月 2 日の週

アプリ管理

マネージド Google Play アプリの優先度を更新する

専用、フルマネージド、または職場プロファイルを持つ企業所有の Android Enterprise デバイスで、マネージド Google Play アプリの更新優先度を設定できます。 [更新の優先度] アプリ設定として [延期] を選択すると、新しいバージョンのアプリが検出されてから 90 日間待ってからアプリの更新プログラムをインストールします。 関連情報は、「Intune で マネージド Google Play アプリを Android エンタープライズ デバイスに追加する」を参照してください。

2022 年 4 月 25 日の週 (サービス リリース 2204)

アプリ管理

更新されたアプリ構成ポリシーの一覧

Intune でアプリ構成ポリシーの一覧が変更されました。 この一覧に [割り当て済み] 列は含まれなくなります。 アプリ構成ポリシーが割り当てられているかどうかを確認するには、[Microsoft エンドポイント マネージャー管理センター]>[アプリ]>[アプリ構成ポリシー]>[ポリシーの選択]>[プロパティ] の順に移動します。

Android デバイスのパスワードの複雑さ

Intune でデバイス ロックが必須設定が拡張され、値 (複雑度 - 低複雑度 - 中複雑度 - 高) が含まれます。 デバイス ロックがパスワードの最小要件を満たしていない場合、エンド ユーザーが管理対象アプリで管理アカウントにアクセスすることを警告データを消去ブロックすることができます。 この機能は、Android 11 以降で動作するデバイスを対象としています。 Android 11 以前で動作するデバイスの場合、複雑度の値を [低][中][高] に設定すると、既定では [複雑度 - 低] が想定される動作に設定されます。 関連情報については、「Microsoft Intune で利用可能な Android アプリ保護ポリシー設定」を参照してください。 管理

Win32 アプリ ログ コレクションの機能強化

Intune 管理拡張機能を介した Win32 アプリ ログの収集は、Windows 10 デバイス診断プラットフォームに移行され、ログの収集時間が 1 ~ 2 時間かかっていたのが 15 分に短縮されました。 また、ログ サイズも 60 mb から 250 mb に増やしました。 パフォーマンスの向上に加えて、アプリ ログは、デバイスごとの デバイス診断モニター アクションと管理対象アプリ モニターで使用できます。 診断を収集する方法については、「Windows デバイスから診断を収集する」および「Intune を使用した Win32 アプリのインストールのトラブルシューティング」を参照してください。

デバイス管理

Windows 10 と Windows 11 Enterprise のマルチセッションが一般公開されました

既存の機能に加えて、次のことができるようになりました。

  • プラットフォームに Windows 10、Windows 11、Windows Server 選択したときに、エンドポイント セキュリティのプロファイルを構成できます。
  • 米国政府コミュニティ (GCC) High および DoD の Azure Government Cloud で作成された Windows 10 および Windows 11 Enterprise マルチセッション VM を管理できます。

詳細については、「Windows 10/11 Enterprise マルチセッション リモート デスクトップ」を参照してください。

Microsoft Intune アプリで Android (AOSP) ユーザーが使用できるデバイス アクション

AOSP デバイス ユーザーは、Microsoft Intune アプリで登録済みデバイスの名前を変更できるようになりました。 この機能は、Intune にユーザー関連 (Android) AOSP デバイスとして登録されているデバイスで使用できます。 Android (AOSP) 管理の詳細については、「企業所有のユーザーに関連する Android (AOSP) デバイスの Intune 登録を設定する」を参照してください。

Andriod 企業所有の職場用プロファイルとフル マネージド (COBO および COPE) デバイスでのオーディオ アラートのサポート

デバイス アクション [紛失したデバイス サウンドを再生 する] を使用して、紛失または盗難にあった Android Enterprise 企業所有の仕事用プロファイルとフル マネージド デバイスを見つけるのに役立つアラーム サウンドをデバイス上でトリガーできるようになりました。 詳細については、「紛失したまたは盗まれたデバイスを検索する」を参照してください。

デバイスの登録

Apple 自動デバイス登録用の新しい登録プロファイルの設定 (パブリック プレビュー)

Apple 自動デバイス登録で使用できる 2 つの新しいセットアップ アシスタント設定が追加されました。 各設定は、登録中に表示されるセットアップ アシスタント ウィンドウの可視性を制御します。 セットアップ アシスタント ウィンドウは、既定では登録中に表示されるため、非表示にする場合は、Microsoft Intune で設定を調整する必要があります。 新しいセットアップ アシスタントの設定は次のとおりです。

  • 作業の開始 (プレビュー): 登録中に [作業の開始] ウィンドウを表示または非表示にします。 iOS/iPadOS 13 以降を実行しているデバイスに適用されます。
  • Apple Watch による自動ロック解除 (プレビュー): 登録中に [Apple Watch で Mac のロックを解除] ウィンドウを表示または非表示にします。 macOS 12 以降を実行しているデバイスに適用されます。

自動デバイス登録のセットアップ アシスタント設定を構成するには、Microsoft Intune で iOS/iPadOS 登録プロファイルまたは macOS 登録プロファイルを作成します。

デバイスのセキュリティ

iOS 用の Tunnel クライアント アプリとして Microsoft Defender for Endpoint の一般公開を開始

iOS/iPadOS 上で Microsoft Tunnel をサポートする Microsoft Defender for Endpoint の使用のプレビューが終了し、一般公開が開始されました。 一般提供に伴い、新しいバージョンの iOS 用 Defender for Endpoint アプリが App Store から入手可能になっているので、ダウンロードして展開できます。 プレビュー版を iOS 用の Tunnel クライアント アプリとして使用してきた場合は、すぐに iOS 用の最新の Defender for Endpoint アプリにアップグレードして、最新の更新プログラムと修正プログラムの恩恵を受けることをお勧めします。

2022 年 8 月 30 日の時点で、接続の種類は Microsoft Tunnel という名前です。

このリリースに伴い、6 月の終わりまでに、スタンドアロン Tunnel クライアント アプリと、Tunnel クライアント アプリとしての Defender for Endpoint のプレビュー版が両方とも iOS では非推奨になり、サポートから削除されます。 非推奨になった直後に、スタンドアロン Tunnel クライアント アプリは機能しなくなり、Microsoft Tunnel への接続のオープンはサポートされなくなります。

まだ iOS 用にスタンドアロン トンネル アプリを使用している場合は、スタンドアロン アプリのサポートが終了して Tunnel への接続のサポートが機能しなくなる前に Microsoft Defender for Endpoint アプリに移行することを計画してください。

攻撃面の減少ルール プロファイル

テナント接続済みデバイスの 攻撃面の減少ルール (ConfigMgr) プロファイルがパブリック プレビューになりました。 詳細については、「テナントのアタッチ: 攻撃面の減少ポリシーを作成して展開する」を参照してください。

デバイス構成

エンドポイント セキュリティ プロファイルは、フィルターをサポートします

フィルター使用時の新機能がいくつかあります。

  • Windows デバイスのデバイス構成プロファイルを作成すると、ポリシーごとのレポートに、 デバイスとユーザーのチェックイン状態 (デバイス>構成プロファイル> 既存のポリシーを選択) のレポート情報が表示されます。

    [レポート表示] を選択すると、レポートには [割り当てフィルター] 列が表示されます。 この列を使用して、フィルターがポリシーに正常に適用されたかどうかを判断します。

  • エンドポイント セキュリティ ポリシーは、フィルターをサポートします。 そのため、エンドポイント セキュリティ ポリシーを割り当てるときは、フィルターを使用して、作成したルールに基づいてポリシーを割り当てることができます。

  • 新しいエンドポイント セキュリティ ポリシーを作成すると、新しいデバイス構成プロファイル レポートが自動的に使用されます。 ポリシーごとのレポートを見ると、 割り当てフィルター 列もあります (デバイス>構成プロファイル> 既存のエンドポイント セキュリティ ポリシー >の表示レポートを選択します)。 この列を使用して、フィルターがポリシーに正常に適用されたかどうかを判断します。

フィルターの詳細については、以下を参照してください。

適用対象:

  • すべてのプラットフォーム

以下には適用されません。

  • 管理用テンプレート (Windows 10/11)
  • デバイス ファームウェア構成インターフェイス (DFCI) (Windows 10/11)
  • OEMConfig (Android エンタープライズ)

グループ ポリシー分析でインポートした GPO を使用して設定 カタログ ポリシーを作成する (パブリック プレビュー)

グループ ポリシー分析を使用すると、グループ ポリシー オブジェクト (GPO) をインポートして、Microsoft Intune でサポートされている設定を確認できます。 また、非推奨の設定や、MDM プロバイダーで使用できない設定も示されます。

分析を実行すると、移行の準備ができている設定が表示されます。 インポートした設定を使用して設定カタログ プロファイルを作成する [移行] オプションがあります。 次に、このプロファイルをグループに割り当てることができます。

詳細については、「Microsoft エンドポイント マネージャーでインポートした GPO を使用して設定 カタログ ポリシーを作成する」を参照してください。

適用対象:

  • Windows 11
  • Windows 10

Windows デバイスの新しいワイヤード (有線) ネットワーク デバイス構成プロファイル

Windows 10/11 デバイス用の新しい有線ネットワーク デバイス構成プロファイルがあります (デバイス>構成プロファイル>の作成>Windows 10以降のプロファイルの種類のプラットフォーム>テンプレート>有線ネットワーク)。

このプロファイルを使用して、認証、EAP の種類、サーバーの信頼性など、一般的なワイヤード (有線) ネットワーク設定を構成します。 構成できる設定の詳細については、「Microsoft Intune の Windows デバイスのワイヤード (有線) ネットワーク設定の追加」を参照してください。

適用対象:

  • Windows 11
  • Windows 10

管理用テンプレートと設定カタログの "ADMX_" ポリシー CSP 設定が Windows Professional エディションに適用されます

"ADMX_" で始まる Windows ポリシー CSP 設定は、Windows Professional エディションを実行している Windows デバイスに適用されます。 以前は、Windows Professional エディションを実行するデバイスでは、これらの設定は [該当なし] と表示されていました。

管理用テンプレートと設定カタログを使用して、ポリシーでこれらの "ADMX_" 設定を構成し、デバイスにポリシーを展開できます (デバイス>構成プロファイル> プロファイルの作成>Windows 10以降のプラットフォーム>テンプレート>設定カタログまたは管理用テンプレートまたはプロファイルの種類)。

この一連の "ADMX_" 設定を使用するには、Windows 10/11 デバイスに次の更新プログラムをインストールする必要があります。

これらの機能の詳細については、次を参照してください。

Windows Professional エディションをサポートするすべての ADMX 設定の一覧を表示するには、Windows ポリシー CSP 設定に移動します。 "ADMX_" で始まる設定では、Windows Professiona エディションがlサポートされます。

適用対象:

  • Windows 11
  • Windows 10

設定カタログでの新しい macOS 設定

設定カタログには、構成できる新しい macOS 設定があります (デバイス>構成プロファイル> プラットフォーム>用プロファイル >macOSの作成プロファイルの種類の設定カタログ)。

アカウント > モバイル アカウント:

  • 安全なトークン認証バイパスを依頼する
  • ログイン時に作成
  • 有効期限切れ 削除 不要な秒数
  • 作成時の警告
  • 警告 作成時 許可 許可しない

App Management > 自律シングル アプリ モード:

  • バンドル識別子
  • Team 識別子

App Management > NS 拡張機能管理:

  • 許可される拡張機能
  • 拒否された拡張点
  • 拒否された拡張機能

アプリ ストア:

  • ソフトウェア更新プログラムの通知を無効にする
  • ストア ソフトウェア更新プログラムのみを制限する
  • restrict-store-disable-app-adoption

認証 > ディレクトリ サービス:

  • AD マルチ ドメイン認証の許可
  • AD マルチ ドメイン認証許可フラグ
  • AD ログイン時にモバイル アカウントを作成する
  • AD ログイン フラグでモバイル アカウントを作成する
  • AD の既定のユーザー シェル
  • AD の既定のユーザー シェル フラグ
  • AD ドメイン管理者グループの一覧
  • AD ドメイン管理者グループ リスト フラグ
  • AD Force Home Local
  • AD Force Home Local Flag
  • AD Map GGID 属性
  • AD Map GGID 属性フラグ
  • AD Map GID 属性
  • AD Map GID 属性フラグ
  • AD マップ UID 属性
  • AD マップ UID 属性フラグ
  • AD マウント スタイル
  • AD 名前空間
  • AD 名前空間フラグ
  • AD 組織単位
  • AD パケット暗号化
  • AD パケット暗号化フラグ
  • AD パケット署名
  • AD パケット署名フラグ
  • AD 優先 DC サーバー
  • AD 優先 DC サーバー フラグ
  • AD 制限 DDNS
  • AD 制限 DDNS フラグ
  • AD 信頼変更パス間隔日数
  • AD 信頼変更パス間隔日数フラグ
  • AD Windows UNC パスを使用する
  • AD Windows UNC パス フラグを使用する
  • MA フラグ作成前の AD 警告ユーザー
  • クライアント ID
  • 説明
  • Password
  • ユーザー名

認証 > 識別:

  • プロンプト
  • メッセージを表示する

ログイン > ログイン ウィンドウログイン項目:

  • ログイン項目の抑制を無効にする

メディア管理ディスクの書き換え:

  • 書き換えサポート

ペアレンタル コントロール > 保護者による制御アプリケーションの制限:

  • 家族向けコントロールが有効になっている

ペアレンタル コントロール > 保護者によるコントロールのコンテンツ フィルター:

  • Allowlist が有効になりました
  • Allowlist のフィルター
  • Blocklist のフィルター
  • サイト Allowlist
  • Address
  • ページ タイトル
  • コンテンツ フィルターを使用する

ペアレンタル コントロール > ペアレンタルコントロール辞書:

  • 保護者による制限

ペアレンタル コントロール > ペアレンタル コントロール ゲーム センター:

  • GK 機能アカウントの変更が許可されている

システム構成 > ファイル プロバイダー:

  • 属性を要求するためにマネージド ファイル プロバイダーを許可する

システム構成 > Screensaver:

  • パスワードを要求する
  • パスワードの遅延を要求する
  • ログイン ウィンドウのアイドル時間
  • ログイン ウィンドウ モジュールのパス

ユーザー エクスペリエンス > Finder:

  • 書き換え禁止
  • 接続の禁止
  • 取り出しの禁止
  • フォルダーへの移動の禁止
  • デスクトップに外付けハード ドライブを表示する
  • デスクトップにハード ドライブを表示する
  • デスクトップにマウントされたサーバーを表示する
  • デスクトップにリムーバブル メディアを表示する
  • 空のごみ箱で警告する

ユーザー エクスペリエンス > 管理メニューの追加:

  • 空港
  • バッテリー
  • Bluetooth
  • 時計
  • CPU
  • 遅延秒数
  • 表示される内容
  • 取り出す
  • FAX
  • HomeSync
  • iChat
  • インク
  • IrDA
  • 最大待機時間 (秒)
  • PCCard
  • PPP
  • PPPoE
  • リモート デスクトップ
  • スクリプト メニュー
  • スペース
  • 同期
  • テキスト入力
  • TimeMachine
  • ユニバーサル アクセス
  • User
  • 容量
  • VPN
  • WWAN

ユーザー エクスペリエンス > 通知:

  • アラートの種類
  • バッジが有効になっています
  • 重要な通知が有効になっています
  • 通知が有効になっています
  • ロック画面に表示する
  • 通知センターに表示する
  • サウンドが有効になっています

ユーザー エクスペリエンス > タイム マシン:

  • 自動バックアップ
  • すべてのボリュームをバックアップする
  • バックアップ サイズ MB
  • スキップ システムのバックアップ
  • 基本パス
  • モバイル バックアップ
  • パスをスキップする

Xsan:

  • San 認証方法

Xsan > Xsan の基本設定:

  • DLC を拒否する
  • マウントを拒否する
  • マウントのみ
  • DLC を優先する
  • DLC を使用する

次の設定は、設定カタログにも含まれます。 以前は、テンプレートでのみ使用できました。

App Management > 関連付けられたドメイン:

  • 直接ダウンロードを有効にする

ネットワーク > コンテンツ キャッシュ:

  • キャッシュの削除を許可する
  • 個人用キャッシュを許可する
  • キャッシュの共有を許可する
  • 自動アクティブ化
  • テザリング キャッシュを自動的に有効にする
  • キャッシュの制限
  • データ パス
  • テザリング キャッシュを拒否する
  • アラートを表示する
  • 起動したままにする
  • 範囲をリッスンする
  • リッスン範囲のみ
  • 仲間と親でリッスンする
  • ローカル サブネットのみ
  • ログ クライアント ID
  • 親選択ポリシー
  • 父母
  • ピア フィルター範囲
  • ピア リッスン範囲
  • ピア ローカル サブネットのみ
  • ポート
  • パブリック範囲

制限事項:

  • アクティビティの継続を許可する
  • ゲーム センターのフレンドを追加できるようにする
  • エア ドロップを許可する
  • 自動ロック解除を許可する
  • カメラを許可する
  • クラウド アドレス帳を許可する
  • クラウド ブックマークを許可する
  • クラウド カレンダーを許可する
  • クラウド デスクトップとドキュメントを許可する
  • クラウド ドキュメント同期を許可する
  • クラウド キーチェーン同期を許可する
  • クラウド メールを許可する
  • クラウド メモを許可する
  • クラウド フォト ライブラリを許可する
  • クラウド プライベート リレーを許可する
  • クラウド アラームを許可する
  • コンテンツ キャッシュを許可する
  • 診断の送信を許可する
  • ディクテーションを許可する
  • コンテンツと設定の消去を許可する
  • 指紋でロック解除できるようにする
  • ゲーム センターを許可する
  • iTunes のファイル共有を許可する
  • マルチプレイヤー ゲームを許可する
  • ミュージック サービスを許可する
  • パスコードの変更を許可する
  • パスワードの自動入力を許可する
  • パスワード近接要求を許可する
  • パスワード共有を許可する
  • リモート画面の観察を許可する
  • スクリーンショットを許可する
  • スポットライト インターネットの結果を許可する
  • 壁紙の変更を許可する
  • 強制フィンガープリント タイムアウト
  • 適用されたソフトウェア更新プログラムの遅延
  • 適用されたソフトウェア更新プログラムのメジャー OS 遅延インストール遅延
  • 強制ソフトウェア更新プログラムのマイナー OS 遅延インストール遅延
  • 適用されたソフトウェア更新プログラムの OS 以外の遅延インストールの遅延
  • クラスルームの自動参加を強制する
  • クラスを離れるためにクラスルームにアクセス許可の要求を強制する
  • クラスルームでアプリとデバイス ロックのプロンプトを表示しないように強制する
  • アプリ ソフトウェア更新プログラムの強制遅延
  • メジャー ソフトウェア更新プログラムの強制遅延
  • ソフトウェア更新プログラムの強制遅延
  • Safari にオートフィルを許可する

設定カタログを使用して作成されたポリシーとテンプレートを使用して作成されたポリシーの間には、競合の解決はありません。 設定カタログで新しいポリシーを作成する場合は、現在のポリシーと競合する設定がないことを確認してください。

Intune でのカタログ プロファイルの構成設定詳細については、「Microsoft Intune の設定カタログを使用してポリシーを作成する」を参照してください。

適用対象:

  • macOS

2022 年 4 月

アプリ管理

マネージド macOS デバイスで DMG 型アプリケーションをアンインストールする (パブリック プレビュー)

アンインストール割り当ての種類を使用して、マネージド macOS デバイス上の DMG 型アプリケーションを Microsoft エンドポイント マネージャーから削除できます。 Microsoft エンドポイント マネージャー管理センターで macOS DMG アプリを見つけるには、[アプリ]>[macOS]>[macOS アプリ (.DMG)] の順に選択します。 関連情報については、「macOS DMG アプリを Microsoft Intune に追加する」を参照してください。

デバイスの管理

デバイス診断フォルダー構造の更新

Intune Windows デバイス診断データ が更新された形式でエクスポートされるようになりました。 更新された形式では、収集されたログは収集されたデータと一致するように名前が付けられ、複数のファイルが収集されるとフォルダーが作成されます。 以前の形式では、zip ファイルは、コンテンツを識別しない番号付きフォルダーによるフラットな構造を使用しました。

この診断ログ更新プログラムを利用するには、デバイスで次のいずれかの更新プログラムをインストールする必要があります:

  • Windows 11 - KB5011563
  • Windows 10 - KB5011543

これらの更新プログラムは、2022 年 4 月 12 日の Windows Update を通じて入手できます。

Microsoft エンドポイント マネージャー プレミアム アドオン

Microsoft エンドポイント マネージャー では、IT 管理者がプレミアム アドオン機能を特定できるように、新しい一元化されたエクスペリエンスを導入しています。 これらの機能は、Intune を使用する Microsoft エンドポイント マネージャーで利用できる追加のライセンス コストとして、追加できます。 最初のプレミアム アドオンはリモート ヘルプです。

Intune のプレミアム アドオンは、[テナント管理]>[プレミアム アドオン] の下にあります。 サマリー ブレードには、リリースされたすべてのプレミアム アドオン、簡単な説明、およびアドオンの状態が表示されます。 各アドオンの状態は、[アクティブ] または [試用または購入が可能]として表示できます。 プレミアム アドオン機能は、グローバル管理者と課金管理者がプレミアム アドオンの試用版を開始したり、ライセンスを購入したりするために使用できます。

プレミアム アドオンの詳細については、「Intune でプレミアム アドオン機能を使用する」を参照してください。

デバイスのセキュリティ

エンドポイント セキュリティ ポリシーのための新しいプロファイル テンプレートと設定の構造

設定カタログにある設定形式を使用する、新しいエンドポイント セキュリティ プロファイル テンプレートのリリースを開始しました。 新しくなった各プロファイル テンプレートには、置き換わる以前のプロファイルと同じ設定が含まれる一方で、次の機能強化が行われます:

  • 設定名は Windows CSP 名と一致します: ほとんどの場合、新しいプロファイルの各設定名は、設定が構成する CSP の名前と一致します。 ただし、Intune UI では設定名を読みやすくするために、その名前にスペースを追加しました。 たとえば、Intune UI の[USB 接続を許可する] という名前の設定は、AllowUSBConnection という名前の CSP を構成します。

  • 設定オプションは、Windows CSP のオプションに合わせて調整されます: 設定のオプションは、Windows CSP で説明およびサポートされているオプション、及び追加の 1 オプションとともに、直接一致するようになりました。 追加には、[未構成] オプションが含まれています。 設定が [未構成] に設定されている場合、その Intune プロファイルはその設定をアクティブに管理しません。 プロファイルが設定 [未構成] のアクティブな構成から移動するように変更されると、Intuneはデバイスでその設定の構成のアクティブな適用を停止します。

  • 設定のガイダンスは、Windows CSP から取得されます: Intune UI で見つかった設定に関する情報は、Windows CSP コンテンツから直接取得されます。詳細については、関連する CSP のドキュメントを開くリンク、またはその CSP を含むコンテンツ ページを参照してください。 CSP は、設定の動作を定義および管理します。

新しいプラットフォームとプロファイル テンプレートをポリシーの種類で使用できる場合、同じ名前の以前のプロファイルを使用して新しいプロファイルを作成できなくなります。 代わりに、新しいプロファイルで新しいプロファイルと設定の形式を使用する必要があります。 最終的には、以前のプロファイルが新しいプロファイル形式への変換でサポートされます。 変換が可能になるまでは、既存のプロファイルを使用、編集、デプロイできます。

次のプロファイル テンプレートが新しい設定形式で使用できるようになりました:

ポリシーの種類 プラットフォーム プロファイル (テンプレート) 名
ウイルス対策 Windows 10、Windows 11 および Windows Server Windows セキュリティ エクスペリエンス
ウイルス対策 Windows 10、Windows 11 および Windows Server Windows Defender ウイルス対策
ウイルス対策 Windows 10、Windows 11 および Windows Server Windows Defender ウイルス対策の除外
ファイアウォール Windows 10、Windows 11 および Windows Server Microsoft Defender ファイアウォール
ファイアウォール Windows 10、Windows 11 および Windows Server Microsoft Defender ファイアウォール ルール
エンドポイントの検出および応答 Windows 10、Windows 11 および Windows Server エンドポイントの検出および応答
攻撃面の縮小 Windows 10 以降 攻撃面の減少ルール
攻撃面の縮小 Windows 10 以降 エクスプロイト保護

2022 年 3 月

アプリ管理

Intune 用に新しく利用可能になった保護されたアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

  • インクスクリーン LLC によるIntune用 CAPTOR™

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

iOS/iPadOS の通知には、3 月ポータル サイト更新プログラムが必要です

iOS/iPadOS ポータル サイト プッシュ通知を生成できる機能を使用している場合は、ユーザーが 2022 年 3 月または 4 月に iOS/iPadOS ポータル サイトを更新することを確認する必要があります。 機能に追加の変更はありません。 Intune の 5 月 (2205) のサービス リリースで、iOS/iPadOS 通知のサービス側の更新を行う予定です。 ポータル サイト更新プログラムはサービスの変更前にリリースされるため、ほとんどのユーザーはアプリを更新している可能性が高く、影響を受けることはありません。 ただし、組織から送信されたプッシュ通知をすべてのユーザーが引き続き受信できるように、この変更をユーザーに通知することをお勧めします。 関連情報については、「ポータル サイト アプリの更新」を参照してください。

ポータル サイトアプリと Microsoft Intune アプリのフィードバック設定

フィードバック設定は、現在ログインしているユーザーの M365 エンタープライズ フィードバック ポリシーに対応するために、Microsoft 365 Apps 管理センターを介して提供されます。 この設定は、フィードバックを有効にできるかどうか、またはユーザーに対して無効にする必要があるかどうかを判断するために使用されます。 この機能は、Intune ポータル サイトと Microsoft Intune アプリで使用できます。 詳細については、「ポータル サイト アプリと Microsoft Intune アプリのフィードバック設定を構成する」を参照してください。

PKG タイプのインストーラー ファイルをアップロードして、macOS LOB アプリを展開する (パブリック プレビュー)

macOS 基幹業務アプリとして PKG タイプのインストーラー ファイルをアップロードして展開できるようになりました。 [アプリ]>[macOS]>[追加]>[基幹業務アプリ] を選択すると、Microsoft エンドポイント マネージャー管理センターから macOS LOB アプリを追加できます。 macOS LOB アプリの詳細については、「macOS 基幹業務アプリを Microsoft Intune に追加する方法」を参照してください。

Android 12L OS を使用する場合のアプリ UI

Android 12L OS には、大型の折りたたみ式デュアルスクリーン デバイスでの Android 12 エクスペリエンスを向上させるために設計された新機能が含まれています。 Intune アプリでは、Android デュアルスクリーン デバイスの Android 12L OS がサポートされるようになりました。

Managed Home Screen アプリを使用して Android Enterprise デバイスのシリアル番号を表示する

Managed Home Screen を使用する Android Enterprise 専用デバイスでは、アプリ構成を使用して、サポートされているすべての OS バージョン (8 以上) でデバイスのシリアル番号を表示するように Managed Home Screen アプリを構成できるようになりました。 Managed Home Screen アプリに関連する情報については、「Microsoft Managed Home Screen app for Android Enterprise の構成を参照してください。

デバイス管理

Android エンタープライズ デバイスの IPv4 アドレスと Wi-Fi サブネット ID を確認する

お客様は、Android エンタープライズ企業所有のフル マネージド、専用、および仕事用プロファイル デバイスについて報告された IPv4 アドレスと Wi-Fi サブネット ID を表示できます。

Android (AOSP) ユーザーは Intune アプリですべてのデバイスを表示できます

AOSP デバイス ユーザーは、Microsoft Intune アプリで管理対象デバイスとデバイス プロパティのリストを表示できるようになりました。 この機能は、Intune にユーザー関連 (Android) AOSP デバイスとして登録されているデバイスで使用できます。

iOS/iPadOS の eSim 携帯データ 通信プランを一括更新する (パブリック プレビュー)

デバイスの一括操作 ([デバイス]>[デバイスの一括操作]>[携帯データネットワークの更新]) を実行して、携帯データネットワーク プランをサポートしている iOS/iPadOS デバイスで、プランをリモートでアクティブ化または更新できるようになりました。 この機能は現在パブリック プレビューの段階です。 関連情報については、「デバイスの一括操作を使用する」を参照してください。

iOS/iPadOS デバイスの一括ワイプ時に携帯データネットワーク プランを保持する

デバイスの一括操作 ([デバイス]>[デバイスの一括操作]>[ワイプ]) を実行して、Intune から iOS/iPadOS デバイスをリモートでワイプすると、デバイス上のすべての携帯データネットワーク プランが保持されます。 ただし、デバイスのデータプランを削除する場合は、デバイスをワイプするときに、チェックボックスをオンにして、携帯データネットワーク プランを削除するオプションがあります。 関連情報については、「デバイスの一括操作を使用する」を参照してください。

Android エンタープライズ企業所有デバイスのシステム更新プログラムのインストールを凍結する

バージョン 9.0 以降を実行する Android エンタープライズ企業所有のデバイスの場合、システムまたはセキュリティ更新プログラムをインストールできない凍結期間を構成できます。

凍結を構成するには、Intune デバイス制限プロファイルを使用して、毎年繰り返すことができる 1 つ以上のブロックを設定します。 各ブロックは最大 90 日間使用できますが、システム更新プログラムのインストールが許可されている場合は、凍結期間の間に最低 60 日の間隔が必要です。

凍結期間の構成の詳細については、「Intune を使用して機能を許可または制限する Android エンタープライズ デバイス設定でのシステム更新プログラムの凍結期間」を参照してください。

凍結を実装するための Android の要件については、Google 開発者ドキュメントの「FreezePeriod」を参照してください。

デバイスのセキュリティ

テナントのアタッチ: ウイルス対策プロファイル

エンドポイント セキュリティの Microsoft Defender ウイルス対策プロファイルの一般提供が開始されました。 詳細については、「テナントのアタッチ: 管理センターからウイルス対策ポリシーを作成して展開する」を参照してください。

監視とトラブルシューティング

AppxPackaging イベント ビューアーは、診断の収集の一部です

診断を収集するための Intune リモート アクションは、Windows デバイスから追加の詳細を収集します。  ([デバイス]>[Windows]>[Windows デバイスを選択]>[診断の収集])

新しい詳細には、Microsoft-Windows-AppxPackaging/Operational イベント ビューアーと、Office のインストールに関する問題のトラブルシューティングに役立つ次の Office ログ ファイルが含まれます。

%windir%\temp\%computername%*.log
%windir%\temp\officeclicktorun*.log

デバイス構成

デバイス構成プロファイルの新しいレポート エクスペリエンス

デバイス構成プロファイルの新しいレポート エクスペリエンスが提供されるようになりました。 このレポートエクスペリエンスでは、Windows 管理テンプレート (ADMX)、OEMConfig を使用する Android エンタープライズ デバイス、およびデバイス ファームウェア構成インターフェイス (DFCI) プロファイル タイプは除外されます。

一貫性、精度、組織、およびデータ表現を強化するために、Intune のレポート エクスペリエンスを更新し続けています。これにより、ポリシーごとの Intune のレポートの全体的な "改修" が可能になります。 新しいエクスペリエンスでは、ポリシーごとの概要ページが更新され、ドーナツ グラフから、デバイス/ユーザーのチェックイン時にすばやく更新される洗練された概要グラフに移行します。

ポリシー ビューでは、次の 3 つのレポートを使用できます。

  • デバイスとユーザーのチェックイン状態 - このレポートは、以前にデバイスの状態レポートとユーザーの状態レポートに分かれていた情報を統合したものです。 このレポートには、デバイス構成プロファイルのデバイスとユーザーのチェックインのリストと、チェックインの状態と最後のチェックイン時刻が表示されます。 レポートを開くと、集計グラフはページの上部に残り、データはリスト データと一致します。 割り当てフィルター オプションを表示するには、フィルター列を使用します。
  • デバイスの割り当て状態 - このレポートは、デバイス構成プロファイルからの、割り当てられたデバイスの最新の状態に関するデータを表示します。 Intune レポートには、保留中の状態情報が含まれます。
  • 設定ごとの状態 - このレポートには、デバイス構成プロファイル内の詳細な設定レベルで、成功競合エラー状態にあるデバイスとユーザーのチェックインの概要が表示されます。 このレポートでは、他のレポートで使用できるようにしたのと同じ整合性とパフォーマンスの更新とナビゲーション ツールが利用されます。

さらに多くのドリルダウンを使用でき、各レポートで追加の割り当てフィルターがサポートされています。 各レポートの詳細については、「Intune レポート」を参照してください。

Google Chrome の設定は、設定カタログと管理用テンプレートにある

Google Chrome の設定は、設定カタログと管理用テンプレート (ADMX) に含まれています。 以前は、Windows デバイスで Google Chrome の設定を構成するために、カスタムの OMA-URI デバイス構成ポリシーを作成しました。

これらのポリシーの種類の詳細については、以下を参照してください。

適用対象:

  • Windows 10 または 11

新しい macOS 設定 (設定 カタログ)

設定カタログには、構成できる新しい macOS 設定があります (デバイス>構成プロファイル> プラットフォーム>用プロファイル >macOSの作成プロファイルの種類の設定カタログ)。

ユーザー エクスペリエンス > アクセシビリティ:

  • 遠点のビューを閉じる
  • ホットキーが有効なビューを閉じる
  • 近点のビューを閉じる
  • スクロール ホイール トグルのビューを閉じる
  • 滑らかな画像のビューを閉じる
  • コントラスト
  • フラッシュ画面
  • マウス ドライバー
  • マウス ドライバーのカーソル サイズ
  • マウス ドライバーのトラックパッド無視
  • マウス ドライバーの初期遅延
  • マウス ドライバーの最大速度
  • スロー キー機能
  • スロー キーのビープ音オン
  • スロー キーの遅延
  • モノラルとしてのステレオ
  • 固定キー機能
  • 修飾子の固定キーのビープ音
  • 固定キーの表示ウィンドウ
  • ボイス オーバー オン オフ キー
  • 黒の上に白

エア プレイ:

  • 許可リスト
  • Password

ユーザー エクスペリエンス > デスクトップ:

  • 画像のパスをオーバーライドする

設定 > グローバル基本設定:

  • 自動ログアウトの遅延
  • 複数のセッションが有効

印刷 > 印刷:

  • 管理者にローカルでの印刷を要求する

セキュリティ > セキュリティ設定:

  • ファイアウォール UI を許可しない
  • ロック メッセージ UI を許可しない
  • パスワード リセット UI を許可しない

設定 > システム環境設定:

  • 無効なユーザー設定ウィンドウ
  • 有効なユーザー設定ウィンドウ

設定 > ユーザー設定:

  • クラウド パスワードの使用を無効にする

次の設定は、設定カタログにも含まれます。 以前は、テンプレートでのみ使用できました。

印刷 > エアプリント:

  • IP アドレス
  • リソース パス

ネットワーク > ファイアウォール:

  • バンドル ID
  • すべての受信をブロックする
  • ファイアウォールを有効にする
  • ステルス モードを有効にする

ログイン > ログイン 項目:

  • 非表示

ログイン > ログイン ウィンドウの動作:

  • 管理者ホスト情報
  • 許可リスト
  • 拒否リスト
  • コンソール アクセスを無効にする
  • 即時画面ロックを無効にする
  • 管理者ユーザーを非表示にする
  • ローカル ユーザーを非表示にする
  • ネットワーク ユーザーを含める
  • ログイン中にログアウトが無効になりました
  • ログイン ウィンドウのテキスト
  • ログイン中に電源オフが無効になりました
  • 再起動が無効になりました
  • ログイン中に再起動が無効になりました
  • フル ネームの表示
  • 管理されている他のユーザーを表示する
  • シャットダウンが無効になりました
  • ログイン中にシャットダウンが無効になりました
  • スリープが無効になりました

システム ポリシー > システム ポリシー制御:

  • 特定された開発者を許可する
  • 評価を有効にする

システム ポリシー>システム ポリシー管理:

  • オーバーライドを無効にする

設定カタログを使用して作成されたポリシーとテンプレートを使用して作成されたポリシーの間には、競合の解決はありません。 設定カタログで新しいポリシーを作成する場合は、現在のポリシーと競合する設定がないことを確認してください。

Intune でのカタログ プロファイルの構成設定詳細については、「Microsoft Intune の設定カタログを使用してポリシーを作成する」を参照してください。

適用対象:

  • macOS

デバイスの登録

登録済みの macOS デバイスでブートストラップ トークンを利用する (パブリック プレビュー)

Intune では、macOS バージョン 10.15 以降を実行している登録済みデバイスでのブートストラップ トークンの使用がサポートされるようになりました。 ブートストラップ トークンを使用すると、管理者以外のユーザーが MDM アクセス許可を増やし、IT 管理者に代わって特定のソフトウェア機能を実行できます。トークンは、次の場合にサポートされます。

  • 監視対象デバイス (Intune では、ユーザーが承認したすべての登録が対象)
  • Apple 自動デバイス登録を介して Intune に登録されたデバイス

ブートストラップ トークンは 2022 年 3 月 26 日までに機能を開始しますが、すべてのテナントで機能を開始するまでには時間がかかる場合があります。

Intune でのブートストラップ トークンのしくみの詳細については、「macOS デバイスの登録を設定する」を参照してください。

Apple シリコンを実行している macOS 仮想マシンを登録する

macOS 用のポータル サイト アプリを使用して、Apple シリコンで実行されている仮想マシンを登録します。 Intune では、テスト目的でのみ macOS 仮想マシンの使用がサポートされています。 Intune での仮想マシンの登録の詳細については、「macOS デバイスの登録を設定する」を参照してください。

役割ベースのアクセス制御

Android (AOSP) では、スコープ タグと RBAC 設定がサポートされる

Android (AOSP) のポリシーを作成するときに、ロールベースのアクセス制御 (RBAC) とスコープ タグを使用できます。

これらの機能の詳細については、以下を参照してください。

適用対象:

  • Android Open Source Project (AOSP)

2022 年 2 月

アプリ管理

ポータル サイト アプリの高度なログ設定

[高度なログを有効にする] 設定は、iOS/iPadOS および macOS の Intune ポータル サイト アプリ バージョン v5.2202 以降で使用できます。 デバイス ユーザーは、デバイスの高度なログを有効または無効にできます。 高度なログを有効にすると、問題のトラブルシューティングのために詳細なログ レポートが Microsoft に送信されます。 既定では、[高度なログを有効にする] 設定はオフになっています。 デバイス ユーザーは、組織の IT 管理者から特に指示がない限り、この設定をオフにしておく必要があります。関連情報については、「Microsoft とポータル サイトの使用状況データを共有する」および「macOS のポータル サイトの設定を管理する」を参照してください。

デバイス構成

Apple の自動デバイス登録のためのセルラー データ プラン

自動デバイス登録(ADE)を構成する際の iOS/iPadOS 登録プロファイルの一部として、セルラー データをアクティブ化するようにデバイスを構成できるようになりました。 このオプションを構成すると、組織の eSIM 対応の携帯電話デバイスの携帯電話データ プランをアクティブ化するコマンドが送信されます。 このコマンドを使用してデータ プランをアクティブ化するには、通信事業者がデバイスのライセンス認証を準備する必要があります。 この設定は、ADE に登録している iOS/iPadOS 13.0 以降を実行しているデバイスに適用されます。 詳細については、「Apple の自動デバイス登録を使用して iOS または iPadOS デバイスを自動登録する」を参照してください。

デバイス管理

Android 専用 (COSU) デバイスでのオーディオ アラートのサポート

紛失または盗難にあった Android Enterprise 専用デバイスの場所を特定するために、紛失または盗難にあったデバイスの再生アクションを使用して、デバイスでアラーム音をトリガーできるようになりました。 詳細については、「紛失したまたは盗まれたデバイスを検索する」を参照してください。

iOS/iPadOS デバイスでオンデマンド VPN デバイス構成ポリシーを作成する際の UI の更新

iOS/iPadOS デバイス用のオンデマンド VPN 接続を作成できます (デバイス>構成プロファイル>プロファイル>プロファイルiOS/iPadOS for platform >VPN for profile type >Automatic VPN>On-demand VPN) を作成します。

UI は、Apple の技術的な命名に厳密に一致するように更新されています。 構成できるオンデマンド VPN 設定を確認するには、「iOSおよび iPadOSデ バイスの自動 VPN 設定」に移動します。

適用対象:

  • iOS/iPadOS

Android Enterprise では、エンタープライズ Wi-Fiプ ロファイルの [自動的に接続] 設定を使用します

Android Enterprise デバイスでは、一般的なエンタープライズ Wi-Fi設定を含む Wi-Fi プロファイルを作成>できます (デバイス>構成プロファイル> プロファイルAndroid Enterprise for platform >フル マネージド、Dedicated、Corporate-Owned 仕事用プロファイル>Wi-Fi for profile type >Enterprise for Wi-Fi type)。

デバイスが範囲内にあるときに Wi-Fi ネットワークに自動的に接続する [自動接続] 設定を構成できます。

構成できる設定を確認するには、「Android Enterprise 専用の完全に管理されたデバイスに Wi-Fi 設定を追加する」に移動します。

適用対象:

  • 会社所有 Android Enterprise フル マネージド (COBO)
  • 会社所有 Android Enterprise 専用デバイス (COSU)

グループ ポリシー分析の移行準備レポートの非推奨ステータスは、GPO を自動的に再評価します

グループ ポリシー分析を使用すると、グループ ポリシー オブジェクト (GPO) をインポートして、Microsoft Intune などの MDM プロバイダーでサポートされている設定を確認できます。 また、非推奨の設定や、MDM プロバイダーで使用できない設定も示されます。

Intune 製品チームは、マッピング ロジックを更新します。 更新が行われると、非推奨の設定が自動的に再評価されます。 以前は、GPO を再インポートする必要がありました。

グループ ポリシー分析とレポートの詳細については、「Microsoft Endpoint Manager のグループ ポリシー分析を使用してオンプレミスのグループ ポリシー オブジェクト (GPO) を分析する」を参照してください。

適用対象:

  • Windows 11
  • Windows 10

Android (AOSP)ユーザー関連デバイスの利用規約を作成する

Android (AOSP) ユーザーに、デバイスを登録する前に Intune ポータル サイト アプリの利用規約に同意するように要求します。 この機能は、企業所有のユーザー関連デバイスでのみ使用できます。 Intune での使用条件の作成の詳細については、「ユーザー アクセスの使用条件」を参照してください。

Microsoft Intune または Microsoft Intune Enrollment クラウド アプリで Azure AD の利用規約を適用する

Microsoft Intune クラウド アプリや Microsoft Intune Enrollment クラウド アプリを使用して、自動デバイス登録中に iOS および iPadOS デバイスに条件付きアクセスである Azure AD 利用規約の承認ポリシーを適用します。 この機能は、認証方法として最新の認証を使用するセット アップ アシスタントを選択した場合に使用できます。 どちらのクラウド アプリも、条件付きアクセス ポリシーで必要な場合、ユーザーが登録中またはポータル サイトのサインイン中に利用規約に同意することを保証します。

新しい macOS 設定 (設定 カタログ)

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。 設定カタログ ポリシーを作成すると、macOS デバイスで使用できる新しい設定があります (デバイス>構成プロファイル>プロファイル>macOS for platform >Settings catalog for profile type)。

新しい設定には、次のものが含まれます。

  • > ドメイン Email ドメイン

  • 印刷 > :

    • ローカル プリンターを許可する
    • 既定のプリンター
      • デバイス URI
      • 表示名
    • フッター のフォント名
    • フッターのフォント サイズ
    • 印刷フッター
    • MAC アドレスの印刷
    • プリンターの追加に管理者を要求する
    • 管理されたプリンターのみを表示する
    • ユーザー プリンターの一覧
      • デバイス URI
      • 表示名
      • 場所
      • モデル
      • PPD URL
      • プリンターがロックされている
  • プロファイルの削除 パスワード > の削除 パスワード

  • グローバル HTTP プロキシ:

    • プロキシ キャプティブ ログイン許可
    • プロキシ PAC フォールバックの許可
    • プロキシ PAC URL
    • プロキシ パスワード
    • プロキシ サーバー
    • プロキシ サーバー ポート
    • プロキシの種類
    • プロキシ ユーザー名

Intune でのカタログ プロファイルの構成設定詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

デバイスのセキュリティ

Red Hat Enterprise Linux 8.5 に対する Microsoft Tunnel のサポート

これで、Microsoft Tunnel で Red Hat Enterprise Linux (RHEL) 8.5 を使用できます。

RHEL 8.5 をサポートするために、Linux カーネルに ip_tables モジュールが存在するかどうかの新しいチェックで、準備ツール (mst-readiness) も更新しました。 既定では、RHEL 8.5 は ip_tables モジュールをロードしません。

モジュールをロードしない Linux サーバーについては、モジュールをすぐにロードし、起動時に自動的にロードするように Linux サーバーを構成する手順を示しました。

モバイル脅威防御パートナーの Zimperium が GCC High テナントで利用可能になりました

Zimperium は、米国の GCC High 環境でモバイル脅威防御 (MTD) パートナーとして利用できるようになりました。

このサポートにより、GCC High テナントで有効にできる MTD コネクタのリストで、Zimperium 用の Intune コネクタを利用できるようになります。

GCC High 環境はより規制された環境であり、GCC High 環境でサポートされている MTD パートナー用のコネクタのみが使用可能です。 GCC High テナントでのサポートの詳細については、「Microsoft Intune for US Government GCC High および DoD サービスの説明」を参照してください。

Intune がサード パーティの MTD パートナーに送信する iOS/iPadOS デバイスのアプリ インベントリ データを管理する

Intune が選択したサード パーティのモバイル脅威防御 (MTD) パートナーに送信する、個人所有の iOS/iPadOS デバイスのアプリケーション インベントリ データの種類を構成できるようになりました。

アプリのインベントリデータを制御するには、パートナーの モバイルの脅威保護コネクタMDM コンプライアンス ポリシー設定の一部として次の設定を構成します。

  • 個人所有の iOS/iPadOS デバイスで完全なアプリケーション インベントリ データを送信する

    この設定のオプションは次のとおりです。

    • On - MTD パートナーがアプリ データを同期し、Intune から iOS/iPadOS アプリケーションのリストを要求した場合、そのリストには、Intune を介して展開されたアプリに加えて、管理されていないアプリ (Intune を介して展開されていないアプリ) が含まれます。 これが現在の動作です。
    • オフ - 管理されていないアプリに関するデータは提供されず、MTD パートナーは Intune を介してデプロイされたアプリに関する詳細のみを受け取ります。

企業デバイスの場合、マネージド アプリとアンマネージド アプリに関するデータは、MTD ベンダーによるアプリ データのリクエストに引き続き含まれます。

監視とトラブルシューティング

Microsoft エンドポイント マネージャー管理センターでリモート ヘルプを移動する

Microsoft エンドポイント マネージャー管理センターの [リモート ヘルプ] ページが移動し、コネクタとトークンの代わりにテナント管理の下で直接使用できるようになりました。 リモート ヘルプの詳細については、「リモート ヘルプを使用する」を参照してください。

2022 年 1 月

アプリ管理

管理対象の macOS デバイスに DMG タイプのアプリケーションを展開する

必要な割り当ての種類を使用して、Microsoft エンドポイント マネージャーから管理対象 Mac に DMG タイプのアプリケーションをアップロードして展開できます。 DMG は、Apple ディスク イメージ ファイルのファイル拡張子です。 DMG タイプのアプリは、macOS 用の Microsoft Intune MDM エージェントを使用して展開されます。 [アプリ]>[macOS]>[追加]>[macOS アプリ (DMG)] を選択すると、Microsoft エンドポイント マネージャー管理センターから DMG アプリを追加できます。 詳細については、「macOS DMG アプリを Microsoft Intune に追加する」を参照してください。

デバイスの管理

Windows VPN プロファイルを作成するときに、ユーザーまたはデバイスのスコープを選択する

VPN 設定を構成する Windows デバイス用の VPN プロファイルを作成できます (デバイス>構成プロファイル>プロファイル>の作成Windows 10以降のプラットフォーム>用テンプレート>VPN for profile)。

プロファイルを作成するときは、[この VPN プロファイルをユーザー/デバイス スコープで使用する] 設定を使用して、プロファイルをユーザー スコープまたはデバイス スコープに適用します。

  • ユーザー スコープ: VPN プロファイルは、デバイスのユーザーのアカウント内にインストールされます。
  • デバイス スコープ: VPN プロファイルはデバイス コンテキストにインストールされ、デバイス上のすべてのユーザーに適用されます。

既存の VPN プロファイルは既存のスコープに適用され、この変更による影響を受けません。 デバイス スコープが必要なデバイス トンネルが有効になっているプロファイルを除いて、すべての VPN プロファイルがユーザー スコープにインストールされます。

現在構成できる VPN 設定の詳細については、「Intune を使用して VPN 接続を追加するための Windows デバイス設定」を参照してください。

適用対象:

  • Windows 11
  • Windows 10

フィルターは一般提供されています (GA)

フィルターを使用して、さまざまなデバイス プロパティに基づいて、ワークロードの割り当て (ポリシーやアプリなど) にデバイスを含めたり除外したりできます。 フィルターが一般公開されました (GA)。

フィルターの詳細については、「アプリ、ポリシー、プロファイルを割り当てるときにフィルター (プレビュー) を使用する」を参照してください。

Android Enterprise デバイスの自動デバイス クリーンアップ ルールのサポート

Intune は、非アクティブ、古い、または応答していないように見えるデバイスを自動的に削除するルールの作成をサポートしています。 これらのクリーンアップ ルールは、以前はサポートされていなかった Android Enterprise デバイスで使用できるようになりました。 これらのルールは現在、次の場合にサポートされています。

  • Android Enterprise のフル マネージド
  • Android Enterprise 専用
  • Android Enterprise の会社所有の仕事用プロファイル

クリーンアップ ルールの詳細については、「クリーンアップ ルールを使用してデバイスを自動的に削除する」を参照してください。

診断の収集を使用して、Intune リモート アクションを通じて Windows 365 デバイスから追加の詳細を収集する

診断を収集するための Intune リモート アクションは、Windows 365 (Cloud-PC) デバイスから追加の詳細を収集するようになりました。 Windows 365 デバイスの新しい詳細には、次のレジストリ データが含まれます。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\AddIns\WebRTC Redirector
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Teams\

Windows 365 デバイスでサポートされているリモート アクションについては、「Windows 365 デバイスのリモート管理」を参照してください。

テナント接続機能は一般提供されています (GA)

次のテナント接続機能が一般提供されています。

  • クライアントの詳細
  • アプリケーション
  • デバイスのタイムライン
  • リソース エクスプローラー
  • CMPivot
  • スクリプト
  • BitLocker 回復キー
  • コレクション

展開前にフィルター処理されたデバイスのリストをプレビューする

Microsoft Intune でフィルターを作成または編集すると、フィルター処理されたデバイスのリストをプレビューできるようになります。 新しいビューでは、フィルターがデバイスに与える影響をすぐにプレビューし、フィルター ルールを調整して目的の結果を達成できるため、テスト フィルターを適用する必要がなくなります。 Microsoft Intuneでフィルターを使用する方法の詳細については、「フィルターを作成する」を参照します。

デバイスのセキュリティ

iOS/iPadOS 用 Microsoft Defender for Endpoint アプリの Tunnel クライアント機能のパブリック プレビュー

iOS/iPadOS 用の Microsoft Tunnel クライアント機能は、Microsoft Defender for Endpoint アプリに移行しています。 このプレビューでは、サポートされているデバイスの Tunnel アプリとして、Microsoft Defender for Endpoint のプレビュー バージョンの使用を開始できます。 既存の Tunnel クライアントは引き続き利用できますが、最終的には Defender for Endpoint アプリに移行されます。

このパブリック プレビューの適用対象:

  • iOS/iPadOS

このプレビューでは、Microsoft Defender for Endpoint のプレビュー バージョンを Apple App Store でダウンロードし、サポートされているデバイスをスタンドアロンの Tunnel クライアント アプリからプレビュー アプリに移行します。 詳細については、Microsoft Defender For Endpoint アプリへの移行に関する記事を参照してください。

パブリック プレビューのデバイスでローカル グループのユーザーを構成するための新しいアカウント保護ポリシー

パブリック プレビューでは、Intune アカウント保護ポリシーの新しいプロファイルを使用して、Windows 10 および 11 デバイスの組み込みローカル グループのメンバーシップを管理できます。

各 Windows デバイスには、一連の組み込みローカル グループが付属しています。 各ローカル グループには、そのグループ内で権限を持つユーザーのセットが含まれています。 エンドポイント セキュリティ アカウント保護ポリシーの新しいローカル ユーザー グループ メンバーシップ (プレビュー) プロファイルを使用すると、これらのローカル グループのメンバーであるユーザーを管理できます。

ローカル グループのメンバーシップを構成するには、変更する組み込みのローカル アカウントを選択し、次に、グループ内で追加、削除、または他のユーザーと置き換えるユーザーを選択します。 ポリシーを受信する各デバイスは、それらのローカル グループのメンバーシップを更新します。 各デバイスのグループ メンバーシップの変更は、ポリシー CSP - LocalUsersAndGroups を使用して行われます。

詳細については、「Windows デバイスでのローカル グループの管理」を参照してください。

スクリプト/開発者

Intune Data Warehouse の更新プログラム

applicationInventoryエンティティがIntune Data Warehouseから削除されました。 UI と Intune のエクスポート API を使用して、新しいデータセットを使用できるようになりました。 詳細情報については、「Graph API を使用して Intune レポートをエクスポートする」を参照してください。

2021 年 12 月

アプリ管理

Microsoft Managed Home Screen アプリで使用できる追加のセッション PIN 制限

Android Enterprise 用の Managed Home Screen アプリに、ユーザーのセッション PIN に追加の制限を適用するオプションが追加されました。 具体的には、Managed Home Screen で次の機能が提供されています。

  • セッション PIN の最小長を定義する機能。
  • Managed Home Screen からログアウトする前に、ユーザーがセッション PIN を正常に入力する必要がある試行の最大数を定義する機能。
  • 繰り返し (444) または順序付き (123、321、246) パターンを使用して PIN を作成することをユーザーに制限する複雑さの値を定義する機能。

詳細については、「Microsoft Managed Home Screen app for Android Enterprise の構成」 および 「Android Enterprise デバイス設定を参照して、Intune を使用した機能を許可または制限する」 を参照してください。

デバイス構成

デバイス構成プロファイルでエラーまたは競合が発生したプロファイルの数を表示する新しいオプション

Endpoint Manager 管理センターには、新しい [エラーまたは競合のある X ポリシー] オプションがあります。 このオプションを選択すると、[デバイス]>[モニター]>[割り当て失敗] レポートに自動的に移動します。 このレポートは、エラーと競合のトラブルシューティングに役立ちます。

この新しいオプションは、Endpoint Manager 管理センターの次の場所で使用できます:

  • ホーム ページ
  • ダッシュボード

詳細については、「Microsoft Intune のデバイス プロファイルの監視」および「割り当て失敗レポート」を参照してください。

適用対象:

  • Windows 11
  • Windows 10

iOS/iPadOS および macOS デバイス用の新しいタイムアウトと iCloud プライベート リレーをブロックする設定

iOS/iPadOS デバイスと macOS デバイスでは、デバイス上の機能を管理するデバイス制限ポリシーを作成できます (デバイス>構成プロファイル> プラットフォームのiOS/iPadOS または macOS の>プロファイル>を作成するデバイスの制限)。

新しい設定があります:

  • iOS/iPadOS:
    • iCloud プライベート リレーをブロックする: 監視対象デバイスでは、この設定により、ユーザーは iCloud プライベート リレーを使用できなくなります (Apple の Web サイトを開きます)。
  • macOS
    • iCloud プライベート リレーをブロックする: 監視対象デバイスでは、この設定により、ユーザーは iCloud プライベート リレーを使用できなくなります (Apple の Web サイトを開きます)。
    • タイムアウト: ユーザーは、指紋などの Touch ID を使用してデバイスのロックを解除できます。 この設定を使用して、ユーザーが一定期間操作を行わなかった後にパスワードを入力するように要求します。 既定の非アクティブ期間は 48 時間です。 48 時間操作がないと、デバイスは Touch ID の代わりにパスワードの入力を求めます。

適用対象:

  • iOS/iPadOS 15 以降
  • macOS 12 以降

仕事用プロファイルを持つ Android Enterprise 企業所有デバイスの新しいデバイス制限設定

Android Enterprise デバイスでは、デバイス上の機能を制御する設定を構成できます (デバイス>構成プロファイル>プロファイルの作成プロファイル>Android Enterprise for platform > プロファイルの種類>のデバイス制限全般)。

仕事用プロファイルを備えた Android Enterprise の企業所有デバイスには、次の新しい設定があります:

  • 仕事用連絡先を検索し、仕事用連絡先の発信者 ID を個人用プロファイルに表示する
  • 仕事用プロファイルと個人用プロファイルの間でのコピー/貼り付け
  • 仕事用プロファイルと個人プロファイル間のデータ共有

現在構成できる設定の詳細については、「Intune を使用して機能を許可または制限するための Android Enterprise デバイスの設定」を参照してください。

適用対象:

  • 会社所有 Android Enterprise 仕事用プロファイル (COPE)

設定カタログは、米国政府の GCC High および DoD でサポートされています

設定カタログは、米国政府の GCC High および DoD で利用およびサポートされています。

設定カタログとその内容の詳細については、「設定カタログを使用して Windows および macOS デバイスの設定を構成する」を参照してください。

適用対象:

  • macOS
  • Windows 11
  • Windows 10

Android Enterprise のフル マネージド、専用、および企業所有の仕事用プロファイル デバイスの Wi-Fi プロファイルに証明書共通名を入力する

Android Enterprise デバイスでは、エンタープライズ Wi-Fi設定を構成するWi-Fi プロファイルを作成できます (デバイス>構成プロファイル> プロファイルAndroid Enterprise for platform >フル マネージド、Dedicated、および Corporate-Owned プロファイルの種類の仕事用プロファイル >Wi-Fi作成>します)。

[Enterprise] を選択すると、新しい Radius サーバー名の設定があります。 この設定は、Wi-Fi アクセス ポイントへのクライアント認証中に Radius サーバーによって提示される証明書で使用される DNS 名です。 たとえば、「Contoso.com」、「uk.contoso.com」、または「jp.contoso.com」と入力します。

完全修飾ドメイン名に同じ DNS サフィックスを持つ複数の Radius サーバーがある場合は、サフィックスのみを入力できます。 たとえば、「contoso.com」と入力できます。

この値を入力すると、ユーザー デバイスは、Wi-Fi ネットワークへの接続時に表示されることがある動的信頼ダイアログをバイパスできます。

知っておく必要がある情報:

  • Android 11 以降を対象とする新しい Wi-Fi プロファイルでは、この設定を構成する必要がある場合があります。 そうしないと、デバイスが Wi-Fi ネットワークに接続できない場合があります。

現在構成できる設定の詳細については、「Android Enterprise のフル マネージド、専用、および企業所有の仕事用プロファイル Wi-Fi 設定」を参照してください。

適用対象:

  • 会社所有 Android Enterprise 仕事用プロファイル (COPE)
  • 会社所有 Android Enterprise フル マネージド (COBO)
  • Android Enterprise 専用デバイス (COSU)

Windows デバイス上の Microsoft Edge 96、97、および Microsoft Edge アップデーターの新しい管理用テンプレート設定

Intuneでは、管理用テンプレートを使用して Microsoft Edge 設定を構成できます (デバイス>構成プロファイル>プロファイル>の作成Windows 10以降のプラットフォーム>用テンプレート> プロファイルの種類の管理用テンプレート)。

Microsoft Edge 96、97、および Microsoft Edge アップデーターの新しい管理用テンプレート設定があります。 これには、ターゲット チャネルのオーバーライド のサポートが含まれます。 ターゲット チャネル オーバーライドを使用して、ユーザーが拡張安定リリース サイクル オプションを取得できるようにします。これは、グループ ポリシーまたは Intune を使用して設定できます。

関連情報については、以下を参照してください:

適用対象:

  • Windows 11
  • Windows 10
  • Microsoft Edge

デバイスの登録

Windows と Apple の登録制限ポリシーにデバイスの種類のフィルターを適用する (プレビュー)

登録制限の新しい割り当てフィルターを使用して、デバイスの種類に基づいてデバイスを含めるたり、除外したりします。 たとえば、operatingsystemSKU 割り当てフィルターを適用することで、Windows 10 Home を実行しているデバイスをブロックする一方で、個人用デバイスを許可できます。 フィルターは Windows、macOS、iOS の登録ポリシーに適用できます。Android のサポートは後日提供されます。 また、フィルターを使用することで、登録制限に対する新しいセットアップ エクスペリエンスが可能になります。 フィルターの作成方法の詳細については「フィルターの作成」を参照してください。 登録制限の作成方法に関する詳細については、「登録制限を設定する」をご覧ください。

Windows 登録の状態ページ プロファイルの割り当てでフィルターを使用する

フィルターを使用すると、さまざまなデバイス プロパティに基づいて、ポリシーまたはアプリの割り当てにデバイスを含めたり除外したりできます。 登録の状態ページ (ESP) プロファイルを作成すると、プロファイルを割り当てるときにフィルターを使用できるようになります。 [すべてのユーザー][すべてのデバイス] 割り当てオプションも使用できます。 Microsoft エンドポイント マネージャー 管理センターで、[デバイス] > [デバイスの登録] > [登録状態ページ] > [作成] の順に選択します。 フィルターの詳細については、「アプリ、ポリシー、プロファイルを割り当てるときにフィルター (プレビュー) を使用する」を参照してください。 ESP プロフィールの詳細については、「登録ステータス ページを設定する」を参照してください。

デバイス管理

管理センター内からリモート ヘルプを起動する

Microsoft エンドポイント マネージャー管理センター内からリモート ヘルプを起動できるようになりました。 これを行うには、管理センターで [すべてのデバイス] に移動し、支援が必要なデバイスを選択します。 次に、[ 新しいリモート ヘルプ セッション] を選択します。このセッションは、デバイス ビューの上部にあるリモート アクション バーから使用できます。

エンドポイント分析フィルタリング

エンドポイント分析レポートのテーブルにフィルターを追加できるようになりました。 フィルターを使用すると、環境の傾向を見つけたり、潜在的な問題を特定したりできます。

フィルターを使用して管理センターで Endpoint Analytics プロアクティブ修復スクリプトを割り当てる - パブリック プレビュー

エンドポイント マネージャー管理センターでは、フィルターを作成してから、アプリとポリシーを割り当てるときにこれらのフィルターを使用できます。 フィルターを使用して、次のポリシーを割り当てることができるようになります:

フィルターの詳細については、「アプリ、ポリシー、プロファイルを割り当てるときにフィルター (プレビュー) を使用する」を参照してください。

適用対象:

  • Windows 11
  • Windows 10

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

  • Groupdolists by Centrallo LLC

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

BlackBerry – 新しいモバイル脅威防御パートナー

BlackBerry Protect Mobile (Cylance AI を搭載) を Intune との統合モバイル脅威防御 (MTD) パートナーとして使用できるようになりました。 Intune で BlackBerry Protect Mobile MTD コネクタを接続することにより、リスク評価に基づく条件付きアクセスを使用して、企業リソースへのモバイル デバイス アクセスを制御できます。

詳細については、以下を参照してください。

監視とトラブルシューティング

Windows 10 診断用の新しいイベント ビューアー

Windows デバイス診断に、「高度なセキュリティ/ファイアウォールを備えた Microsoft - Windows - Windows ファイアウォール」 という新しいイベント ビューアーが追加されました。 「イベント ビューアー」は、ファイアウォールに関する問題のトラブルシューティングに役立ちます。 Windows デバイス診断の詳細については、「Windows デバイスからのCollect 診断」 を参照してください。

ポータル Web サイトでのデバイスの準拠状況

エンド ユーザーは、ポータル Web サイトでデバイスの準拠状況をより簡単に確認できます。 エンド ユーザーは、ポータル サイト Web サイトにアクセスし、[デバイス] ページを選択してデバイスの状態を確認できます。 デバイスは、"会社のリソースにアクセスできる""アクセスを確認中"、または "会社のリソースにアクセスできない" のいずれかの状態でリストされます。 関連情報については、「ポータル サイト Web サイトのアプリの管理」および「Intune ポータル サイト アプリ、ポータル サイト Web サイト、Intune アプリを構成する方法」を参照してください。

2021 年 11 月

アプリ管理

マネージド Google Play アプリのアプリ更新の優先度を有効にする

仕事用プロファイル Android Enterprise デバイスを使用して、専用、フル マネージド、企業所有のマネージド Google Play アプリの更新の優先度を設定できます。 デバイスでの課金状態、Wi-Fi 機能、エンド ユーザーアクティビティに関係なく、開発者が更新プログラムを公開するとすぐにアプリを更新するには、[高い優先度] を選択します。 関連情報は、「Intune で マネージド Google Play アプリを Android エンタープライズ デバイスに追加する」を参照してください。

共有デバイス モード (パブリック プレビュー) に登録されている Android Enterprise 専用デバイスのセッション間でアプリ データをクリアする

Intune を使用すると、共有デバイス モードと統合されていないアプリケーションのアプリ データをクリアして、サインイン セッション間のユーザー プライバシーを確保することができます。 IT 指定のアプリでデータをクリアするには、Azure AD の共有デバイス モードと統合されているアプリケーションからサインアウトを開始する必要があります。 この機能は、Android 9 以降で共有デバイス モードに登録されている Android Enterprise 専用デバイスで使用できます。

検出された基になるアプリの一覧データをエクスポートする

検出されたアプリの一覧データの概要をエクスポートできるだけでなく、さらに多くの基になるデータもエクスポートできるようになります。 現在の概要エクスポート エクスペリエンスでは要約された集計データが提供されますが、追加された新しいエクスペリエンスでは生データも提供されます。 生データのエクスポートによって、データセット全体が提供されます。これは、要約された集計レポートを作成するために使用します。 生データは、すべてのデバイスと、そのデバイスで検出された各アプリの一覧になります。 Intune データ ウェアハウス アプリケーション インベントリ データセットを置き換えるために、この機能が Intune コンソールに追加されました。 Microsoft エンドポイント マネージャー管理センターで、[アプリ]>[モニター]>[検出されたアプリ]>[エクスポート] を選択してエクスポート オプションを表示します。 関連情報については、「Intune で検出されたアプリ」と「Graph API を使用して Intune レポートをエクスポートする」を参照してください。

プラットフォーム固有のアプリ 一覧を表示するときのフィルターの機能強化

Microsoft エンドポイント マネージャー 管理センターでプラットフォーム固有のアプリ一覧を表示するときに、フィルターが改善されました。 以前は、プラットフォーム固有のアプリの一覧に移動するときに、一覧で アプリの種類 フィルターを使用できませんでした。 この変更により、プラットフォーム固有のアプリの一覧にフィルター ( アプリの種類割り当ての状態 フィルターを含む) を適用できます。 関連情報については、「Intune レポート」を参照してください。

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

  • PenPoint by Pen-Link, Ltd.

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

Win32 アプリの置き換えと依存関係に対する新しい RBAC アクセス許可

Win32 アプリの置き換えと他のアプリとの依存関係を作成および編集するための新しい Microsoft エンドポイント マネージャー アクセス許可が追加されました。 このアクセス許可は、Mobile アプリカテゴリの下で[関連付け]を選択すると使用できます。 2202 サービス リリース以降、MEM 管理者は、Microsoft エンドポイント マネージャー 管理センターで Win32 アプリを作成または編集するときに、置き換えおよび依存関係アプリを追加するためにこのアクセス許可が必要になります。 Microsoft エンドポイント マネージャー 管理センター で、[テナント管理]>[ロール]>[すべてのロール]>[作成] の順に選択します。 このアクセス許可は、次の組み込みロールに追加されました。

  • アプリケーション マネージャー
  • 学校の管理者

関連情報については、「 Intune でカスタム ロールを作成する」を参照してください。

適用できない状態エントリが [デバイスのインストール状態] レポートに表示されなくなりました

デバイスのインストール状態レポートには、選択したアプリに基づいて、特定のアプリに関連するデバイスと状態の情報の一覧が表示されます。 デバイスに関連するアプリのインストールの詳細には、[UPN][プラットフォーム][バージョン][状態][状態の詳細][最後のチェックイン] が含まれます。 デバイスのプラットフォームがアプリケーションのプラットフォームと異なる場合、エントリの[状態の詳細][該当なし] と表示されず、エントリは提供されません。 たとえば、Android アプリが選択され、アプリが iOS デバイスを対象としている場合、[該当なし] デバイスの状態値を提供するのではなく、そのエントリのデバイス状態は [デバイス インストールの状態] レポートに表示されません。 レポートを見つけるには、Microsoft エンドポイント マネージャー 管理センター で、[アプリ]>[すべてのアプリ]>[アプリを選択]>[デバイスのインストール状態] の順に選択します。 関連情報については、「アプリに関するデバイスのインストール状態レポート (運用)」 を参照してください。

Edge 95 および Edge アップデーターの新しい ADMX 設定

Edge 95 と Edge アップデータの ADMX 設定が管理用テンプレートに追加されました。 これには、お客様が グループ ポリシー または Intune を使用して任意の時点で 拡張安定 リリース サイクル オプションを選択できる "ターゲット チャネル オーバーライド" のサポートが含まれます。 Microsoft エンドポイント マネージャー 管理センター で、[デバイス]>[構成プロファイル]>[プロファイルの作成] の順に選択します。 次に、[プラットフォーム]>[Windows 10 以降]を選択し、[プロファイル]>テンプレート]>[管理用テンプレート]の順に選択します。 関連情報については、「Microsoft Edge チャネルの概要」、「Microsoft Edge Browser ポリシー ドキュメント」、および 「Microsoft Intune の Microsoft Edge ポリシー設定の構成」 を参照してください。

中国など、特定のアプリ ストアのプライバシー要件を満たすために、Android 用ポータル サイトに新しいプライバシーの同意画面を追加しました。 これらのストアから初めてポータル サイトをインストールすると、インストール中に新しい画面が表示されます。 画面には、Microsoft が収集する情報とその使用方法が説明されています。 ユーザーは、アプリを使用する前に条項に同意する必要があります。 このリリースより前にポータル サイトをインストールしたユーザーには、新しい画面は表示されません。

Android ポータル サイト アプリと Intune アプリをカスタム通知用に更新する

Intune の 11 月 (2111) サービス リリースのカスタム通知をサービス側で更新しました。これにより、ユーザーは最適なユーザー エクスペリエンスを得るために、最新バージョンの Android ポータル サイト (バージョン 5.0.5291.0、2021 年 10 月にリリース) または Android Intune アプリ (バージョン 2021.09.04、2021 年 9 月にリリース) に更新する必要がありました。 Intune の 11 月 (2111) サービスリリースより前にユーザーが更新せず、カスタム通知が送信された場合は、通知を表示するようにアプリを更新するように通知を受け取ります。 アプリを更新すると、アプリの [通知] セクションに組織から送信されたメッセージが表示されます。 詳細は、「Intune でカスタム通知を送信する」 を参照してください。

デバイス管理

エンドポイント分析のデバイスごとのスコアリング

Endpoint 分析デバイスごとのスコアはプレビュー段階から外れ、一般提供が開始されました。 デバイスごとのスコアは、ユーザー エクスペリエンスに影響を与える可能性のあるデバイスを特定するのに役立ちます。 デバイスごとのスコアを確認すると、ヘルプ デスクに電話をかける前に、エンドユーザーに影響を与える問題を見つけて解決できる場合があります。

[機能更新プログラムのエラー] レポートにセーフガード ホールドが表示されるようになりました

セーフガード ホールドが原因でデバイスが Windows 更新プログラムのインストールをブロックされた場合、Microsoft エンドポイント マネージャー管理センターの[機能更新プログラムのエラー] レポートでその保留に関する詳細を表示できるようになりました。

セーフガード ホールドを持つデバイスは、エラーがあるデバイスとしてレポートに表示されます。 このようなデバイスの詳細を表示すると、[警告メッセージ] 列にセーフガード ホールドが表示され、[展開エラー コード] 列にはセーフガード ホールドの ID が表示されます。

Microsoft では、更新後のエクスペリエンスが低下することがデバイスで検出された場合に、デバイスへの更新プログラムのインストールをブロックするためにセーフガード ホールドを設定する場合があります。 たとえば、ソフトウェアやドライバーは、セーフガード ホールドを設定する一般的な理由です。 根本的な問題が解決され、更新プログラムが安全にインストールされるようになるまで、保留は維持されます。

アクティブなセーフガード ホールドと解決の見込みに関する詳細については、https://aka.ms/WindowsReleaseHealth で Windows のリリースの正常性ダッシュボードを参照してください。

プレリリース ビルドの Windows Update を管理するための機能強化

Windows 10の更新リングを使用し、後でプレリリース ビルドの Windows 更新プログラムを管理するエクスペリエンスが向上しました。 また、次の改善点があります。

  • 更新リングの [Update リングの設定] ページで、プレリリース ビルドを新しいコントロールとして有効にするを追加しました。 この設定を使用して、プレリリース ビルドに更新するように割り当てられたデバイスを構成します。 次のプレリリース ビルドを選択できます。
    • ベータ チャンネル
    • 開発チャネル
    • Windows Insider - リリース プレビュー プレリリース ビルドの詳細については、「Windows Insider Web サイト」を参照してください。
  • Windows 10 以降の ポリシーの更新リングが割り当てられたデバイスでは、Autopilot 中に ManagePreviewBuilds設定が変更されなくなります。 Autopilot 中にこの設定を変更すると、デバイスの再起動が強制されました。

Windows 10 以降の更新リングを使用して Windows 11 にアップグレードする

Windows 10 以降の更新リング新しい設定が追加されました。Windows 10 から Windows 11 にアップグレードする準備ができたら、この設定を使用できます。

  • Windows 10 デバイスを最新の Windows 11 リリースにアップグレードする 既定では、この設定は [いいえ] に設定されています。 はいに設定すると、このポリシーを受け取る対象の Windows 10 デバイスが Windows 11 の最新ビルドに更新されます。

はいに設定すると、Intune には、この設定を展開することで、アップグレードするデバイスの Microsoft ライセンス条項に同意していることを確認する情報ボックスが表示されます。 情報ボックスには、 Microsoft ライセンス条項へのリンクも含まれています。

更新リングの詳細については、「Windows 10 以降の更新リング」を参照してください。

iOS/iPadOS のアクティブ化ロック リモート デバイスの無効化アクションが UI から削除されました

アクティブ化ロックを無効にするためのリモート デバイス アクションは Intune では使用できなくなりました。 「Intune を使用して監視対象の iOS/iPadOS デバイスでライセンス認証ロックを無効にする」で詳しく説明されているように、アクティブ化ロックをバイパスできます。

このリモート アクションは、iOS/iPadOS アクティベーション ロック機能を無効にする操作が意図したとおりに機能しなかったため、削除されます。

セキュリティ ベースラインの更新

セキュリティ ベースライン用の更新プログラムのペアがあります。これにより、次の設定が追加されます。

  • Windows 10 以降のセキュリティ ベースライン (Windows 10 および Windows 11 に適用されます) 新しいベースライン バージョンは2021 年 11 月で、Microsoft ブラウザーで使用される Scan スクリプトMicrosoft Defender カテゴリに追加されます このベースラインには、他の変更はありません。

  • Windows 365 セキュリティ ベースライン (プレビュー) 新しいベースライン バージョンはバージョン 2110で、次の 2 つの設定が追加され、他の変更はありません。

    • Microsoft ブラウザーで使用されるスキャン スクリプト は、Microsoft Defender カテゴリに追加されます。
    • 改ざん防止を有効にして、Microsoft Defender が無効にならないようにするWindows セキュリティに追加されます。これは、このベースライン バージョンで追加された新しいカテゴリです。

ベースラインの更新を最新のバージョンに更新することを計画します。 バージョン間の変更点について理解するために、「ベースラインのバージョンを比較する」を参照し、変更内容が示された .CSV ファイルのエクスポート方法を確認してください。

Windows 10/11 デバイスのデバイス コンプライアンスのカスタム設定を使用する (パブリック プレビュー)

パブリック プレビューとして、Windows 10 および Windows 11 デバイスのデバイス コンプライアンス ポリシーでは、デバイス コンプライアンス ポリシーへのカスタム設定の追加がサポートされています。 カスタム設定の結果は、他のコンプライアンス ポリシーの詳細と共に Microsoft エンドポイント マネージャー 管理センターに表示されます。

カスタム設定を使用するには、次を作成して管理センターに追加し、カスタム コンプライアンス設定を強化します。

  • JSON ファイル – JSON ファイルには、カスタム設定とそのコンプライアンス値の詳細が含まれます。 JSON には、非準拠の場合に設定を修復する方法についてユーザーに提供する情報も含まれています。
  • PowerShell スクリプト– PowerShell スクリプトは、JSON ファイルで定義されている設定の状態を判断するために実行されるデバイスに対して展開し、Intune に報告します。

JSON とスクリプトの準備ができたら、カスタム設定を含む標準のコンプライアンス ポリシーを作成できます。 カスタム設定を含めるオプションは、カスタム コンプライアンス. という名前の新しいコンプライアンス設定カテゴリにあります。

.JSON and PowerShell スクリプトの例など、詳細を確認するには、「カスタム コンプライアンス設定」 を参照してください。

Windows 10 以降の機能更新プログラムの新しいスケジュール オプション

Windows 10 以降の機能更新プログラムのポリシーからの更新プログラムがデバイスでインストール可能になるタイミングでスケジュールを改善するために、ロールアウト オプションが 3 つ追加されました。 これらの新しいオプションは次のとおりです。

  • 更新プログラムをできるだけ早く利用可能にする - このオプションを使用すると、以前とは異なり、ただちにデバイスで更新プログラムを利用できるようになります。
  • 特定の日付に更新プログラムを利用可能にする - このオプションを使用すると、このポリシーを受け取るデバイスに Windows Updateによってこの更新プログラムが提供される最初の日を選択します。
  • 更新プログラムを段階的に利用可能にする - このオプション使用すると、Windows Update により、このポリシーを受け取るデバイスが、開始グループ時間、終了グループ時間、およびグループ間の待機日数に基づいて計算される複数のグループに分割されます。 Windows Update では、最後のグループに更新プログラムが提供されるまで、これらのグループに更新プログラムが 1 つずつ提供されます。 この動作により、指定した時間の範囲にわたって更新プログラムが利用可能になり、すべてのデバイスに同時に更新プログラムを提供する場合と比較して、ネットワークへの影響を軽減できます。

段階的な可用性の詳細を含む情報については、「Windows Updatesのロールアウト オプション」を参照してください。

Microsoft エンドポイント マネージャー 管理センターで利用可能な Windows デバイスの新しい詳細

Windows 10 および Windows 11 デバイスの次の詳細が収集され、Microsoft エンドポイント マネージャー 管理センターの [デバイスの詳細] ウィンドウで表示できるようになりました。

  • システム管理 BIOS バージョン
  • TPM 製造元バージョン
  • TPM 製造元 ID

これらの詳細は、[すべてのデバイス] ウィンドウから詳細をエクスポートするときにも含まれます。

共有 iPad の設定の一般提供を開始

4 つの共有 iPad 設定がプレビューから外れ、Apple 登録プロファイルを作成するときに一般公開されています。 これらの設定は、自動デバイス登録 (ADE) 中に適用されます。

共有 iPad モードの iPadOS 14.5 以降の場合:

  • 共有 iPad の一時的な設定のみを必要とする (プレビュー): ユーザーがゲスト バージョンのサインイン エクスペリエンスのみを表示し、ゲスト ユーザーとしてサインインする必要があるデバイスを構成します。 管理対象の Apple ID でサインインすることはできません。
  • 一時セッションがログアウトするまでの非アクティブ時間の最大秒数: 指定した時間が経過してもアクティビティがない場合、一時セッションは自動的にサインアウトします。
  • ユーザー セッションがログアウトするまでの非アクティブ時間の最大秒数: 指定した時間が経過してもアクティビティがない場合、ユーザー セッションは自動的にサインアウトします。

共有 iPad モードの iPadOS 13.0 以降の場合:

  • 共有 iPad で画面ロック後にパスワードが要求されるまでの最大秒数: 画面ロックがこの時間を超えた場合は、デバイスのロックを解除するためにデバイス パスワードが必要になります。

共有 iPad モードでデバイスを設定する方法の詳細については、「Apple 登録プロファイルの作成」を参照してください。

設定カタログ プロファイルを複製する

設定カタログ プロファイルで重複がサポートされるようになりました。 既存のプロファイルのコピーを作成するには、[ 複製]を選択します。 コピーには元のプロファイルと同じ設定構成とスコープ タグが含まれていますが、それに割り当てはアタッチされていません。 設定カタログの詳細については、「設定カタログを使用した Windows と macOS のデバイスでの設定の構成」を参照してください。

[どこからでも作業] レポート

[どこからでも作業] レポートは、エンドポイント分析[推奨されるソフトウェア] レポートに変わりました。 [どこからでも作業] レポートには、Windows、クラウド管理、クラウド ID、およびクラウド プロビジョニングのメトリックが含まれています。 詳細については、[どこからでも作業] レポートに関する記事を参照してください。

Android デバイス管理者用の場所の廃止

2021 年 10 月、Android デバイス管理者として登録されているデバイス用のデバイス コンプライアンス ポリシーで場所を使用するサポートは廃止されました。 場所の使用は、多くの場合、ネットワーク フェンシングと呼ばれます。

Android デバイス管理者に対して、ネットワーク フェンス機能に依拠したポリシーと依存関係は機能しなくなりました。 既に発表したように、ネットワーク フェンスのサポートを再構想しており、利用可能になったときにそれらのプランに関する詳細情報を共有します。

デバイスのセキュリティ

テナントに接続されたデバイスの BitLocker 回復キーを表示する

Microsoft エンドポイント マネージャー管理センターで、テナントに接続されているデバイスの BitLocker 回復キーを表示できるようになりました。 回復キーは引き続きテナントに接続されたデバイスのオンプレミスに保存されますが、管理センターでの可視性は、管理センター内からヘルプデスクのシナリオを支援することを目的としています。

キーを表示するには、Intune アカウントに BitLocker キーを表示するための Intune RBAC アクセス許可が必要です。また、コレクション ロールの Configuration Manager で関連するオンプレミスのアクセス許可を持つオンプレミス ユーザーに、関連付けられている必要があり、BitLocker 回復キーの読み取りアクセス許可が付与されている必要があります。

適切なアクセス許可を持つユーザーは、[デバイス]>[Windows デバイス]>[デバイスの選択]>[回復キー]の順に選択します。

この機能は、バージョン 2107 以降を実行するConfiguration Manager サイトでサポートされています。 バージョン 2107 を実行するサイトでは、Azure AD に参加しているデバイスをサポートするために更新プログラムのロールアップインストールする必要があります。 詳細については、KB11121541を参照してください。

設定カタログに BitLocker 設定が追加されました

9 BitLocker 設定が、Microsoft Intune 設定カタログに追加されましたが、以前は グループ ポリシー (GP)でのみ使用できました。 設定にアクセスするには、[デバイス]>[構成プロファイル]に移動し、Windows 10 以降を実行しているデバイスの設定カタログ プロファイルを作成します。 次に、設定カタログで BitLocker を検索して、BitLocker に関連するすべての設定を表示します。 設定カタログの詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。 追加された設定は次のとおりです。

  • 組織の一意の識別子を指定する
  • 固定データ ドライブにドライブ暗号化の種類を適用する
  • InstantGo または HSTI に準拠しているデバイスにプリブート PIN のオプトアウトを許可する
  • 拡張スタートアップ PIN を許可する
  • 標準ユーザーが PIN またはパスワードのを変更できないようにする
  • スレートでプリブート キーボード入力を必要とする BitLocker 認証の使用を有効にする
  • オペレーティング システム ドライブにドライブ暗号化の種類を適用
  • リムーバブル ドライブでの BitLocker の使用を制御する
  • リムーバブル データ ドライブにドライブ暗号化の種類を強制する

Defender for Endpoint を使用したセキュリティ管理 (パブリック プレビュー)

この機能はパブリック プレビュー段階であり、今後数週間にわたってテナントに段階的にロールアウトされます。 Microsoft エンドポイント マネージャー管理センターとMicrosoft Defender for Endpointの両方に関連するトグルが表示されている場合は、テナントがこの機能を受け取ったかどうかを確認できます。

Microsoft Defender for Endpoint を使用したセキュリティ管理は、Microsoft エンドポイント マネージャーに登録されていないデバイス上の Microsoft Defender for Endpoint (MDE) のセキュリティ構成を管理するために使用する新しい構成チャネルです。 このシナリオでは、Microsoft エンドポイント マネージャーから展開する MDE のポリシーを取得、適用、およびレポートするデバイス上の Defender for Endpoint です。 デバイスは Azure AD に参加され、Intune と Configuration Manager で管理する他のデバイスと共に Microsoft エンドポイント マネージャー管理センターに表示されます。

詳細については、「Microsoft エンドポイント マネージャーを使用してデバイス上の Microsoft Defender for Endpoint を管理する」を参照してください。

監視とトラブルシューティング

リモート ヘルプ アプリはパブリック プレビューとして利用できます

パブリック プレビューとして、Intune テナントでリモート ヘルプ アプリを使用できます。 リモート ヘルプを使用すると、Azure Active に対して直接認証を行うユーザーは、デバイス間でリモート ヘルプ セッションを接続することで、他のユーザーをリモートで支援できます。

ロールベースのアクセス制御をIntuneして管理されるリモート ヘルプのアクセス許可を使用すると、他のユーザーを支援するためのアクセス許可を持つユーザーと、支援しながら実行できるアクションを制御できます。 リモート ヘルプの機能は次のとおりです。

  • テナントのリモート ヘルプを有効にする – リモート ヘルプを有効にした場合、その使用はテナント全体で有効になります。
  • 組織ログインが必要 - リモート ヘルプを使用するには、ヘルパーと共有者の両方が組織の Azure Active Directory (Azure AD) アカウントでサインインする必要があります。
  • 登録されていないデバイスでリモート ヘルプを使用する – Intuneに登録されていないデバイスにヘルプを許可することもできます。
  • コンプライアンスの警告 - デバイスに接続する前に、そのデバイスが割り当てられたポリシーに準拠していない場合、ヘルパーにはそのデバイスに関するコンプライアンス非準拠の警告が表示されます。 この警告はアクセスをブロックしませんが、セッション中に管理資格情報などの機密データを使用するリスクに関する透明性を提供します。
  • ロールベースのアクセス制御 – 管理者は、ヘルパーのアクセスの範囲と、支援を提供する際に実行できるアクションを決定する RBAC ルールを設定できます。
  • 特権の昇格 - 必要に応じて、適切な RBAC アクセス許可を持つヘルパーが共有者のマシンの UAC プロンプトを操作して資格情報を入力できます。
  • アクティブなリモート ヘルプ セッションを監視し、過去のセッションに関する詳細を表示 する – Microsoft エンドポイント マネージャー管理センターでは、誰が、どのデバイスで、どのくらいの期間、誰を支援したかに関する詳細を含むレポートを表示できます。 アクティブなセッションに関する詳細も表示されます。

この機能は次の週に展開され、まもなくテナントが利用できるようになります。 詳細については、「 リモート ヘルプを使用する」を参照してください。

グループ ポリシー分析ツールで自動的に更新する MDM サポート データ

Microsoft が Intune でマッピングに変更を加えるたびに、GP 分析ツールの MDM サポート 列が自動的に更新され、変更が反映されます。 自動化は以前の動作よりも改善されています。以前は、グループ ポリシー オブジェクト (GPO) を再インポートしてデータを更新する必要がありました。 グループ ポリシー分析の詳細については、「グループ ポリシー分析を使用する」 をご覧ください。

2021 年 10 月

アプリ管理

アプリケーション保護ポリシー (APP) 設定を使用して、iOS/IPadOS アプリの管理対象ユニバーサル リンクとユニバーサル リンク適用除外の両方を構成できます。 管理対象ユニバーサル リンクを使用すると、http/s リンクを、保護されたブラウザーではなく、登録済みの APP で保護されたアプリケーションで開くことができます。 ユニバーサル リンク適用除外では、http/s リンクを保護されたブラウザーではなく、登録済みの保護されていないアプリケーションで開くことができます。 詳細については、「データ転送」と「ユニバーサル リンク」を参照してください。

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されているアプリを Microsoft Intune で使用できるようになりました。

  • Appian for Intune (Appian Corporation 提供)
  • Space Connect (SpaceConnect Pty Ltd 提供)
  • AssetScan For Intune (Align 提供)

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

個人所有の Android および会社所有の仕事用プロファイルに対する接続アプリのサポート

サポートされているアプリの接続アプリ エクスペリエンスをユーザーが有効にできるようになりました。 このアプリ構成設定を使用すると、ユーザーは仕事用と個人用のアプリ インスタンス間でアプリ情報を接続できます。 Microsoft エンドポイント マネージャーで、[アプリ]>[アプリ構成ポリシー]>[追加]>[管理対象デバイス] の順に選択します。 詳細については、「管理対象 Android Enterprise デバイス用のアプリ構成ポリシーを追加する」を参照してください。

Android ポータル サイト アプリでログを保存するときのフローの改善

Android ポータル サイト アプリでは、ユーザーが Android ポータル サイト ログのコピーをダウンロードするとき、ログを保存するフォルダーを選択できるようになりました。 Android ポータル サイト ログを保存するには、[設定]>[診断ログ]>[ログの保存] を選択します。

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されているアプリを Microsoft Intune で使用できるようになりました。

  • iAnnotate for Intune/O365 (Branchfire, Inc. 提供)
  • Dashflow for Intune (Intellect Automation International Pty Limited 提供)
  • HowNow (Wonderush Limited 提供)

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

デバイスの登録

ユーザーの割り当て

先週、Autopilot のユーザー登録中の認証エクスペリエンスが変更されました。 この変更は、登録を行う前にユーザーが特定のデバイスに割り当てられているすべての Autopilot 展開に影響します。

1 回限りの自己展開と事前プロビジョニング

Windows Autopilot の自己展開モードと事前プロビジョニング モードのエクスペリエンスに変更を加え、デバイスの再利用プロセスの一部としてデバイス レコードを削除する手順を追加しました。 この変更は、Autopilot プロファイルが自己展開モードまたは事前プロビジョニング モードに設定されているすべての Windows Autopilot 展開に影響します。 この変更は、デバイスが再使用された場合、またはリセットされて再展開が試行された場合にのみ、デバイスに影響します。 詳細については、「Windows Autopilot のサインインと展開エクスペリエンスの更新」を参照してください。

デバイス管理

特定の Android Enterprise デバイスでの Wi-Fi MAC アドレスの削除

Intune では、新しく登録された個人所有の仕事用プロファイル デバイスと、Android 9 以降を実行しているデバイス管理者で管理されているデバイスの Wi-Fi MAC アドレスが表示されなくなります。 Google では、2021 年 11 月までに API 30 を対象とするすべてのアプリの更新を求めています。 この変更により、Android はデバイスで使用されている MAC アドレスをアプリが収集できないようにします。 関連情報については、「ハードウェア デバイスの詳細」を参照してください。

機能更新プログラムを使用してデバイスを Windows 11 にアップグレードする

Windows 10 以降向け機能更新プログラムのポリシーを使用して、Windows 11 の最小要件を満たすデバイスを Windows 11 にアップグレードできます。 新しい機能更新プログラムのポリシーを構成するのと同じくらい簡単に行えます。展開する機能更新プログラムとして利用可能な Windows 11 バージョンを指定します。

詳細については、「デバイスを Windows 11 にアップグレードする」を参照してください。

Windows 11 ハードウェアの準備に関する分析情報

エンドポイント分析[どこからでも作業] レポートでは、Windows 11 ハードウェアの準備分析情報が提供されるようになりました。 登録されているデバイスのうち、Windows 11 の最小システム要件を満たすデバイスの数と、組織内で最も阻害要因となる要件をすばやく特定できます。 Windows 11 ハードウェアの準備状態をデバイス レベルで把握できるように掘り下げます。 詳細については、「Windows 11 ハードウェアの準備」を参照してください。

Microsoft エンドポイント マネージャーの Microsoft Surface 管理ポータルの概要

商用のお客様に最高のエクスペリエンスを提供するという継続的な取り組みに照らして、Microsoft は Microsoft 全体のチームと提携し、Surface 管理を Microsoft エンドポイント マネージャー内の単一のビューに合理化しました。 何千ものデバイスを持つ大規模な組織をリードする場合でも、中小企業向け IT を管理する場合でも、すべての Surface デバイスの正常性に関する分析情報を取得して、デバイスの保証とサポート要求を 1 か所で監視できます。 Microsoft Surface 管理ポータルは、現在、米国のお客様が利用できます。今後グローバルに展開される予定です。 Microsoft Surface と新しい管理ポータルの最新情報については、Surface IT Pro Blog をフォローしてください。

Android Enterprise の会社所有の仕事用プロファイル デバイスの個人用アプリをブロックまたは許可する

デバイス構成では、デバイスでブロックまたは許可される個人用アプリの一覧を作成できます。 設定を未構成のままにしておくことも、個人用プロファイルでブロックまたは許可されているアプリの一覧を作成することもできます。 この設定は、Microsoft エンドポイント マネージャー管理センターで、[デバイス]>[Android]>[構成プロファイル]>[プロファイルの作成] を選択することで利用できます。 Android Enterprise の会社所有の仕事用プロファイル デバイスの設定の詳細については、「Intune を使用する機能を許可または制限するための Android Enterprise デバイスの設定」を参照してください。

iOS/iPadOS と macOS で Kerberos シングル サインオン拡張機能を構成する場合の新しい設定

iOS/iPadOS デバイスと macOS デバイスで Kerberos SSO 拡張機能を構成するときに使用できる新しいデバイス機能設定があります。 Microsoft Endpoint Manager 管理センターで、[デバイス>] [iOS/iPadOS] または [macOS>構成プロファイル>の作成] [プロファイルの作成]> [デバイス機能] の順に選択し、SSO アプリ拡張機能の>種類として [シングル サインオン アプリ拡張機能>Kerberos] を選択します。 関連情報については、「iOS/iPadOS デバイス機能の設定」と「Intune の macOS デバイス機能の設定」を参照してください。

パブリック プレビューの 4 つの新しい共有 iPad 登録設定

Intune では、パブリック プレビュー用の 4 つの新しい共有 iPad 設定を使用できます。 これらの設定は、デバイスの自動登録時に適用されます。

共有 iPad モードの iPadOS 14.5 以降の場合:
- [共有 iPad の一時的な設定のみを要求する]: ユーザーにサインイン エクスペリエンスのゲスト バージョンのみが表示されるようにデバイスを構成し、ゲスト ユーザーとしてサインインする必要があります。 管理対象の Apple ID でサインインすることはできません。 - 一時セッションがログアウトするまでの非アクティブ状態の最大秒数: 指定した時刻以降にアクティビティがない場合、一時セッションは自動的にサインアウトします。- ユーザー セッションがログアウトするまでの非アクティブ状態の最大秒数: 指定した時刻以降にアクティビティがない場合、ユーザー セッションは自動的にサインアウトします。

共有 iPad モードの iPadOS 13.0 以降の場合:
- 共有 iPad にパスワードが必要になるまでの画面ロックの最大秒数: 画面ロックがこの時間を超える場合は、デバイスのロックを解除するためにデバイス パスワードが必要です。

企業デバイスの Android (AOSP) 管理の概要

Microsoft Intuneを使用して、Android オープン ソース プロジェクト (AOSP) プラットフォームで実行される企業所有のデバイスを管理できます。 Microsoft Intune では現在、RealWear デバイス専用の新しいAndroid (AOSP)管理オプションをサポートしています。 管理機能は次のとおりです。

  • ユーザーに関連付けられたデバイスまたは共有デバイスとしてデバイスをプロビジョニングします。
  • デバイス構成とコンプライアンス プロファイルを展開します。

Android (AOSP) 管理を設定する方法の詳細については、「Android デバイスの登録」を参照してください。

デバイスのセキュリティ

Windows Autopilot 登録フローの MFA の変更

Azure Active Directory (Azure AD) のベースライン セキュリティを改善するために、デバイス登録中に行われる多要素認証 (MFA) に対する Azure AD の動作を変更しました。 以前は、ユーザーがデバイス登録の一部として MFA を完了した場合、登録が完了した後、MFA 要求はユーザーの状態に引き継がれていました。 今後、登録後は MFA 要求は保持されず、ユーザーはポリシーによって MFA が必要とされるすべてのアプリに対して MFA の再実行を求められます。 詳細については、「登録フローに対する Windows Autopilot MFA の変更」を参照してください。

Windows 10 Enterprise マルチセッション VM の Windows 10 セキュリティ更新プログラムを管理する

設定カタログを使用して、Windows Enterprise マルチセッション VM の品質 (セキュリティ) 更新プログラムの Windows Update 設定を管理できるようになりました。 設定カタログでマルチセッション VM で使用できる設定を見つけるには、次を実行します。

  1. 設定カタログを使用する Windows 10 のデバイス構成ポリシーを作成し、Enterprise マルチセッション設定フィルターを構成します。

  2. 次に、Windows Update for Business カテゴリを展開して、マルチセッション VM で使用できる更新設定から選択します。

設定には以下が含まれます。

2021 年 9 月

アプリ管理

アプリ保護ポリシーをより的確にターゲットにするために利用可能な新しいアプリ カテゴリ

アプリ保護ポリシーをより簡単かつ迅速にターゲットにするために使用できるアプリのカテゴリを作成することによって、Microsoft エンドポイント マネージャーの UX が改良されました。 これらのカテゴリとは、すべてのパブリック アプリMicrosoft アプリコア Microsoft アプリです。 ターゲットのアプリ保護ポリシーを作成した後、[View a list of the apps that will be targeted]\(ターゲットになるアプリの一覧を表示する\) を選択して、このポリシーの影響を受けるアプリの一覧を表示することができます。 新しいアプリがサポートされると、これらのアプリが必要に応じて含まれるようにこれらのカテゴリが動的に更新され、選択したカテゴリのすべてのアプリにポリシーが自動的に適用されます。 必要に応じて、個々のアプリのポリシーも引き続きターゲットにすることができます。 詳細については、「アプリ保護ポリシーを作成して割り当てる方法」と「Intune を使用して Windows 情報保護 (WIP) ポリシーを作成して展開する」を参照してください。

iOS/iPadOS/macOS ポータル サイト バージョンの同期

iOS/iPadOS ポータル サイトと macOS ポータル サイトのバージョンは、次のリリースでバージョン 5.2019 に同期されます。 今後、iOS/iPadOS と macOS ポータル サイト アプリのバージョン番号は同じになります。 関連情報については、「Intune ポータル サイト アプリ、ポータル サイト Web サイト、および Intune アプリを構成する方法」を参照してください。

デバイス構成

組み込みアプリの新しい iOS デバイス制限設定、ドキュメント表示

iOS デバイスで構成できる新しいデバイス制限設定は、Intuneに 2 つあります (デバイス>iOS/iPadOS>構成プロファイル>プロファイルプロファイルを作成し、[プロファイルのデバイス制限] を選択します)。

  • Siri の翻訳をブロックする (組み込みアプリ): Siri サーバーへの接続を無効にして、ユーザーが Siri を使用してテキストを翻訳できないようにします。 iOS と iPadOS バージョン 15 以降に適用されます。
  • マネージド オープンイン (App Store、ドキュメント表示、ゲームの影響を受けるコピー/貼り付けを許可する): 管理されていないアプリでの企業ドキュメントの表示をブロックする方法と、企業アプリでの非企業ドキュメントの表示をブロックする方法に基づいて、コピー/貼り付けの制限を適用します。

Intune の iOS デバイス制限プロファイルの詳細については、「Intune を使用する機能を許可または制限するための iOS および iPadOS デバイスの設定」を参照してください。

新しい macOS デバイス制限設定により、ユーザーはデバイス上のすべてのコンテンツと設定を消去できなくなります

Intuneには、新しい macOS デバイス制限設定 ([デバイス>macOS>構成プロファイル>] [プロファイル>の作成]、[プロファイルのデバイス制限のテンプレート>] の順に選択) があります。

ユーザーがデバイス上のすべてのコンテンツと設定を消去することを禁止します (全般): ユーザーがデバイスを出荷時の設定にリセットできないように、監視対象デバイスのリセット オプションを無効にします。

Intune の macOS デバイス制限プロファイルの詳細については、「Intune を使用する機能を許可または制限するための macOS デバイスの設定」を参照してください。

適用対象:

  • macOS バージョン 12 以降

macOS の新しいソフトウェア更新プログラムの制限設定

macOS デバイス制限プロファイルを構成するときに使用できる新しいソフトウェア更新プログラムの設定は 5 つあります (デバイス>macOS>構成プロファイル>プロファイル>を作成し、プロファイルの [テンプレート>] [デバイスの制限] を選択します)。Intune。

  • ソフトウェア更新プログラムの延期 (全般): 延期期間が経過するまで、ユーザーが特定の種類の新しくリリースされた更新プログラムを表示できないようにします。 ソフトウェア更新プログラムを延期しても、スケジュールされた更新プログラムは停止または変更されません。 延期できるソフトウェア更新プログラムの種類には、メジャーの OS ソフトウェア更新プログラムマイナーの OS ソフトウェア更新プログラムOS 以外のソフトウェア更新プログラム、またはこれら 3 つの任意の組み合わせが含まれます。
  • ソフトウェア更新プログラムの既定の表示を遅らせる (全般): すべてのソフトウェア更新プログラムの既定の表示を最大 90 日間延期します。 延期期間が過ぎると、更新プログラムがユーザーに提供されます。 この値は、既定の表示設定の値よりも優先されます。 macOS バージョン 10.13.4 以降に適用されます。
  • 主要な OS ソフトウェア更新プログラムの可視性の遅延 (全般): 主要な OS ソフトウェア更新プログラムの可視性を最大 90 日間遅延します。 延期期間が過ぎると、更新プログラムがユーザーに提供されます。 この値は、既定の表示設定の値よりも優先されます。 macOS バージョン 11.3 以降に適用されます。
  • マイナーの OS ソフトウェア更新プログラムの表示を遅らせる (全般): マイナーの OS ソフトウェア更新プログラムの表示を最大 90 日間遅らせます。 延期期間が過ぎると、更新プログラムがユーザーに提供されます。 この値は、既定の表示設定の値よりも優先されます。 macOS バージョン 11.3 以降に適用されます。
  • OS 以外のソフトウェア更新プログラムの表示を遅らせる (全般): OS 以外のソフトウェア更新プログラム (Safari 更新プログラムなど) の表示を最大 90 日間遅らせます。 延期期間が過ぎると、更新プログラムがユーザーに提供されます。 この値は、既定の表示設定の値よりも優先されます。 macOS バージョン 11.0 以降に適用されます。

Intune の macOS デバイス制限プロファイルの詳細については、「Intune を使用する機能を許可または制限するための macOS デバイスの設定」を参照してください。

Android Enterprise の新しいデバイス制限設定: 開発者向け設定

Intuneには、Android Enterprise デバイスの新しいデバイス制限設定があります (デバイス>Android Enterprise>Configuration プロファイル>プロファイルを作成し、[プロファイルのデバイス制限] を選択します)。

  • 開発者設定: [許可] に設定すると、ユーザーはデバイスの開発者設定にアクセスできます。 既定では、[未構成] に設定されています。 フル マネージド、専用、会社所有の仕事用プロファイル デバイスに適用されます。

Android Enterprise 制限プロファイルの詳細については、「Intune を使用する機能を許可または制限するための Android Enterprise デバイスの設定」を参照してください。

新しいデバイス制限設定により、仕事用プロファイルの連絡先をペアリングされた Bluetooth デバイスと共有できなくなります

会社所有の仕事用プロファイル デバイスの新しいデバイス制限設定を使用すると、ユーザーは、車やモバイル デバイスなどのペアリングされた Bluetooth デバイスと仕事用プロファイルの連絡先を共有できなくなります。 設定を構成するには、[デバイス>の構成プロファイル>] [プロファイルの作成]>[Android Enterprise for platform] [>プロファイルのデバイス制限] の順に移動します。

  • 設定名: Bluetooth 経由の連絡先共有 (仕事用プロファイル レベル)
  • 設定の切り替え:
  • ブロック: ユーザーが Bluetooth 経由で仕事用プロファイルの連絡先を共有できないようにします。
  • 未構成: デバイスに制限が適用されないため、ユーザーは Bluetooth 経由で仕事用プロファイルの連絡先を共有できる可能性があります。

デバイス管理

Intune で iOS/iPadOS 13 以降がサポートされるようになりました

Intune ポータル サイトおよび Intune アプリ保護ポリシーを含む Microsoft Intune では、iOS/iPadOS 13 以降が必要になりました。

Intune で macOS 10.15 以降がサポートされるようになりました

Intune の登録とポータル サイトで、macOS 10.15 以降がサポートされるようになりました。 以前のバージョンはサポートされていません。

新しい Android デバイス フィルター オプション

Intune の [すべてのデバイス]一覧で、OS でフィルター処理するときに、次の Android 登録の種類を選択できるようになりました。

  • Android (個人所有の仕事用プロファイル)
  • Android (会社所有の仕事用プロファイル)
  • Android (フル マネージド)
  • Android (専用)
  • Android (デバイス管理者)

Microsoft エンドポイント マネージャー管理センターで、[デバイス]>[すべてのデバイス] を選択し、[OS] 列で特定の Android 登録の種類を表示します。 Android 登録の種類の詳細については、「Intune レポート」を参照してください。

ポリシー セットの設定カタログ ポリシー

テンプレートに基づくプロファイルに加えて、設定カタログに基づくプロファイルをポリシー セットに追加できます。 設定カタログは、構成できるすべての設定の一覧です。 Microsoft Endpoint Manager admin center でポリシー セットを作成するには、[デバイス]>[ポリシー セット]>[ポリシー セット]>[作成] の順に選択します。 詳細については、「ポリシー セットを使用して管理オブジェクトのコレクションをグループ化する」と「設定カタログを使用して Windows と macOS のデバイスで設定を構成する」を参照してください。

Android Enterprise 専用デバイス用の管理されたホーム画面のサインイン設定を構成する

Azure AD 共有デバイス モードを使用して登録された Android Enterprise 専用デバイスを使用する場合は、デバイス構成で管理されたホーム画面のサインイン設定を構成できるようになりました。 これらの設定にアプリ構成を使用する必要はなくなりました。 関連情報については、「Android Enterprise 用の Microsoft 管理されたホーム画面アプリを構成する」を参照してください。

機能更新プログラムを使用してデバイスを Windows 11 にアップグレードする

Windows 10 以降向け機能更新プログラムのポリシーを使用して、Windows 11 の最小要件を満たすデバイスを Windows 11 にアップグレードできます。 新しい機能更新プログラムのポリシーを構成するのと同じくらい簡単に行えます。展開する機能更新プログラムとして利用可能な Windows 11 バージョンを指定します。

Windows デバイス用のデバイスの一括操作として診断の収集リモート操作を使用する

Windows デバイスに対して実行できる一括デバイス アクションとして、診断の収集リモート アクションが追加されました。 Windows デバイス用のデバイスの一括操作として、診断の収集を使用して、デバイス ユーザーの作業を中断することなく、一度に最大 25 台のデバイスから Windows デバイス ログを収集できます。

Android Enterprise 専用デバイスでのデバイスの検索リモート操作のサポート

デバイスの検索リモート操作を使用して、紛失したまたは盗難にあった Android Enterprise 専用デバイスの現在の場所をオンラインで取得できます。 現在オフラインのデバイスを探している場合、そのデバイスが過去 7 日以内に Intune でチェックインできていれば、代わりにそのデバイスの最後の既知の場所を確認できます。

詳細については、「紛失したまたは盗まれたデバイスを検索する」を参照してください。

Android Enterprise 専用デバイスで、名前の変更リモート操作がサポートされます

Android Enterprise 専用デバイスで名前の変更リモート操作を使用できるようになりました。 デバイスの名前を個別に、一括で変更できます。 名前の変更一括操作を使用する場合、デバイス名には、乱数またはデバイスのシリアル番号を追加する変数を含める必要があります。

詳細については、「Intune でデバイスの名前を変更する」を参照してください。

新しいAzure AD デバイス ID と Intune デバイス ID 検索パラメーターが追加されました

[デバイス]>[すべてのデバイス] でデバイスを検索するときに、Azure AD デバイス ID または Intune デバイス ID で検索できるようになりました。 Intune で使用可能なデバイスの詳細の一覧については、「Microsoft Intune でデバイスの詳細を確認する」を参照してください。

デバイスのセキュリティ

テナント接続: エンドポイント セキュリティ ポリシーのデバイスの状態

テナントに接続されたデバイスのエンドポイント セキュリティ ポリシーの状態を確認できます。 [デバイスの状態] ページには、テナントに接続されているクライアントのすべてのエンドポイント セキュリティ ポリシーの種類にアクセスできます。 エンドポイント セキュリティ ポリシーの種類については、「デバイスの状態」を参照してください。

Configuration Manager テナント接続の攻撃面の減少プロファイル

Configuration Manager テナント接続で管理するデバイスで使用できる、攻撃面の減少ポリシー用の 2 つのエンドポイント セキュリティ プロファイルが追加されました。 これらのプロファイルはプレビュー段階にあり、Intuneによって管理されるデバイスに使用する同様の名前のプロファイルと同じ設定を管理します。 これらの新しいプロファイルは、Windows 10 以降 (ConfigMgr) のプラットフォームの攻撃面の減少ポリシーを構成するときに確認できます。

テナント接続の新しいプロファイル:

  • Exploit Protection (ConfigMgr) (プレビュー) - Exploit Protection は、エクスプロイトを使用してデバイスに感染し、拡散するマルウェアから保護するのに役立ちます。 Exploit Protection は、オペレーティング システムまたは個々のアプリに適用できるさまざまな軽減策で構成されています。
  • Web 保護 (ConfigMgr) (プレビュー) - Microsoft Defender for Endpoint の Web 保護では、ネットワーク保護を使用して Web の脅威からコンピューターを保護します。 Web 保護では Web プロキシを使用せずに Web の脅威を停止し、遠隔であってもオンプレミスでもコンピューターを保護できます。 Web 保護によって、フィッシング サイト、マルウェア ベクトル、エクスプロイト サイト、信頼されていないサイトまたは低評判のサイト、およびカスタム インジケーター リストでブロックしたサイトへのアクセスを停止します。

テナント接続デバイスのWindows Defender Security Center のサポートが拡張されました

Configuration Manager テナント接続で管理するデバイスの追加設定をサポートするように、エンドポイント セキュリティのウイルス対策ポリシーの Windows セキュリティ エクスペリエンス (プレビュー) プロファイルを更新しました。

以前は、このプロファイルはテナント接続デバイスの改ざん保護に制限されていました。 更新されたプロファイルには、セキュリティ センターの Windows Defender が含まれています。 これらの新しい設定を使用して、Intune マネージド デバイスに類似した名前が付けられたプロファイルで既に管理しているテナント接続デバイス用に同じ詳細を管理できます。

このプロファイルの詳細については、「エンドポイントセキュリティのウイルス対策ポリシー」を参照してください。

Intune アプリ

iOS/iPadOS ポータル サイト アプリからの通知

iOS/iPadOS ポータル サイト アプリからの通知は、無音で配信されるのではなく、既定の Apple のサウンドを使用してデバイスに配信されるようになりました。 iOS/iPadOS ポータル サイト アプリから通知音をオフにするには、[設定]>[通知]>[Comp Portal]を選択し、[サウンド] トグルを選択します。 関連情報については、「ポータル サイト アプリの通知」を参照してください。

監視とトラブルシューティング

デバイスの構成に焦点を絞った組織レポート

新しい[デバイスの構成] 組織レポートがリリースされました。 このレポートは、Microsoft エンドポイント マネージャー管理センター[デバイス]>[監視] にある既存の[割り当ての状態] レポートに代わるものです。 [デバイスの構成] レポートを使用すると、テナント内にある、状態が成功、エラー、競合、または適用外のデバイスが含まれるプロファイルの一覧を生成できます。 プロファイルの種類、OS、状態にフィルターを使用できます。 返される結果には、検索、並べ替え、フィルター、改ページ、エクスポートの機能が用意されています。 このレポートには、デバイス構成の詳細に加えて、リソース アクセスの詳細と、新しい設定カタログ プロファイルの詳細が表示されます。 関連情報については、「Intune のレポート」を参照してください。

Microsoft エンドポイント マネージャー管理センターのサポート エクスペリエンスの更新

Intune と共同管理のサポート フローで利用できる、Microsoft エンドポイント マネージャー管理センターのサポート エクスペリエンスを改善しました。 新しいエクスペリエンスでは、問題固有のトラブルシューティングの分析情報と Web ベースのソリューションが提供され、より迅速に解決できるようになります。

この変更の詳細については、サポートのブログ投稿を参照してください。

[機能更新プログラムのエラー] レポートにセーフガード ホールドが表示されるようになりました

セーフガード ホールドが原因でデバイスが Windows 更新プログラムのインストールをブロックされた場合、Microsoft エンドポイント マネージャー管理センターの[機能更新プログラムのエラー] レポートでその保留に関する詳細を表示できるようになりました。

セーフガード ホールドを持つデバイスは、エラーがあるデバイスとしてレポートに表示されます。 このようなデバイスの詳細を表示すると、[警告メッセージ] 列にセーフガード ホールドが表示され、[展開エラー コード] 列にはセーフガード ホールドの ID が表示されます。

Microsoft では、更新後のエクスペリエンスが低下することがデバイスで検出された場合に、デバイスへの更新プログラムのインストールをブロックするためにセーフガード ホールドを設定する場合があります。 たとえば、ソフトウェアやドライバーは、セーフガード ホールドを設定する一般的な理由です。 根本的な問題が解決され、更新プログラムが安全にインストールされるようになるまで、保留は維持されます。

アクティブなセーフガード ホールドと解決の見込みに関する詳細については、https://aka.ms/WindowsReleaseHealth で Windows のリリースの正常性ダッシュボードを参照してください。

割り当てエラー運用レポートの更新

セキュリティ ベースラインとエンドポイント セキュリティ プロファイルが既存の[割り当てエラー] レポートに追加されました。 プロファイルの種類は、フィルター処理が可能な [ポリシーの種類] 列を使用して区別されます。 ロールベースのアクセス制御 (RBAC) アクセス許可がレポートに適用され、管理者が表示できるポリシーのセットをフィルター処理します。 これらの RBAC アクセス許可には、セキュリティ ベースラインのアクセス許可、デバイス構成アクセス許可、およびデバイス コンプライアンス ポリシーのアクセス許可が含まれます。 このレポートには、特定のプロファイルのエラーと競合の状態にあるデバイスの数が表示され、それらのデバイスまたはユーザーの詳細なリストをドリルダウンし、さらに設定の詳細を確認できます。 Microsoft エンドポイント マネージャー管理センター[割り当てエラー] レポートを確認するには、[デバイス]>[監視] を選択するか、[エンドポイント セキュリティ]>[監視] を選択します。 詳細については、「[割り当てエラー] レポート (運用)」を参照してください。

2021 年 8 月

Windows 365 の一般提供開始

Windows 365 は、エンド ユーザー向けにクラウド PC を自動的に作成する Microsoft の新しいサービスです。 クラウド PC は、クラウドのパワーとアクセス デバイスを使用して、完全でパーソナライズされた Windows 仮想マシンを提供する新しいハイブリッド パーソナル コンピューティング カテゴリです。 管理者は、Microsoft エンドポイント マネージャーを使用して、各ユーザーのクラウド PC に対してプロビジョニングされる構成とアプリケーションを定義できます。 エンド ユーザーは、任意のデバイス、任意の場所から各自のクラウド PC にアクセスできます。 Windows 365 では、エンド ユーザーのクラウド PC とデータが、デバイスではなくクラウドに格納されるため、セキュリティで保護されたエクスペリエンスが提供されます。

Windows 365 の詳細については、Windows 365 に関するページを参照してください。

組織で Windows 365 を管理する方法については、Windows 365 のドキュメントを参照してください。

アプリ管理

デバイス フィルター評価レポートへの割り当てられたアプリのフィルター結果の追加

アプリを使用可能として割り当てるためにフィルターを使用している場合、デバイスのフィルター評価レポートを使用して、アプリがインストール可能になっているかどうかを判断できるようになりました。 デバイスごとにこのレポートを表示できます。[ デバイス > ] [すべてのデバイス > ] で、デバイス > フィルターの評価 (プレビュー) を選択します。

適用対象:

  • Android デバイス管理者
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 11
  • Windows 10

条件付き起動ポリシーに追加された Android SafetyNet の評価の種類のサポート

条件付き起動で、[SafetyNet デバイスの構成証明] のサブ設定がサポートされるようになりました。 条件付き起動に必要な SafetyNet デバイス構成証明 を選択した場合は、特定の SafetyNet 評価の種類を使用するように指定できます。 この評価の種類は、ハードウェアによるキーです。 評価の種類としてハードウェアを利用するキーが存在することは、デバイスの整合性の向上を意味します。 ハードウェアによるキーがサポートされていないデバイスは、この設定で対象となる場合、MAM ポリシーによってブロックされます。 SafetyNet の評価とハードウェアを利用するキーのサポートの詳細については、Android 開発者向けドキュメントで評価の種類に関する記述をご確認ください。 Android の条件付き起動設定の詳細については、「条件付き起動」を参照してください。

iOS および Android デバイスの Outlook S/MIME 設定の更新

管理対象アプリのオプションを使用するときに、[Outlook S/MIME の設定] で、iOS および Android デバイスに対して常に署名したり、常に暗号化したりできるようになりました。 この設定は、管理対象アプリの使用時に Microsoft Endpoint Manager admin center で使用できます。それには [アプリ]>[アプリ構成ポリシー] を選択します。 また、管理対象アプリとマネージド デバイスの両方について、iOS および Android デバイスに対して Outlook S/MIME の LDAP (ライトウェイト ディレクトリ アクセス プロトコル) URL を追加できます。 関連情報については、「Microsoft Intune のアプリ構成ポリシー」を参照してください。

managed Google Play アプリのスコープ タグ

スコープ タグによって、特定の権限を持つ管理者が Intune で表示できるオブジェクトが決まります。 Intune で新しく作成された項目のほとんどでは、作成者のスコープ タグが使用されます。 これは managed Google Play ストア アプリには当てはまりません。 必要に応じて、[Managed Google Play コネクタ] ウィンドウで、新しく同期されたすべての管理対象の Google Play アプリに適用するスコープ タグを割り当てることができるようになりました。 選択したスコープ タグは新しい managed Google Play アプリにのみ適用されます。テナントで既に承認されている managed Google Play アプリには適用されません。 関連情報については、「Intune を使って managed Google Play アプリを Android Enterprise デバイスに追加する」と「分散 IT にロールベースのアクセス制御 (RBAC) とスコープ タグを使用する」を参照してください。

macOS LOB アプリの内容が Intune に表示される

Intune によって、macOS LOB アプリ (.intunemac ファイル) の内容がコンソールに表示されるようになりました。 Intune コンソールで、macOS LOB アプリを追加するときに .intunemac ファイルから取得されたアプリ検出の詳細を確認および編集できるようになりました。 PKG ファイルをアップロードすると、検出規則が自動作成されます。 Microsoft エンドポイント マネージャー管理センターで、[アプリ]>[すべてのアプリ]>[追加] の順に選択します。 続けて、基幹業務アプリの種類と、.intunemac ファイルを含む [アプリのパッケージ ファイル] を選択します。 詳細については、「macOS の基幹業務 (LOB) アプリを Microsoft Intune に追加する方法」を参照してください。

アプリ管理

macOS デバイス用の Intune ポータル サイトがユニバーサル アプリになりました

macOS デバイス用の Intune ポータル サイト バージョン 2.18.2107 以降をダウンロードすると、Apple Silicon Macs でネイティブ実行される、アプリの新しいユニバーサル バージョンがインストールされます。 同じアプリによって、Intel Macs コンピューターには x64 バージョンのアプリがインストールされます。 関連情報については、macOS 用ポータル サイト アプリの追加に関するページを参照してください。

デバイス構成

Certificate Connector for Microsoft Intune の新しいバージョン

Certificate Connector for Microsoft Intune の新しいバージョン 6.2108.18.0 をリリースしました。 この更新プログラムには、次の内容が含まれます。

  • Microsoft Endpoint Manager 管理センターで現在のコネクタ状態を正しく表示するための修正。
  • SCEP 証明書の配信エラーを正しく報告するための修正。

コネクタのリリースと更新プログラムの一覧を含む証明書コネクタの詳細については、「Certificate Connector for Microsoft Intune」を参照してください。

Windows 10/11 以降のデバイスの DFCI 構成プロファイルでフィルターを使用する

エンドポイント マネージャーでは、さまざまなプロパティに基づいてデバイスをターゲットとするフィルターを作成できます。 デバイスのファームウェア構成インターフェイス (DFCI) プロファイルを作成する場合、プロファイルを割り当てるときにフィルターを使用できるようになります。

適用対象:

  • サポートされている UEFI での Windows 11
  • サポートされている UEFI 上の Windows 10 RS5 (1809) 以降

macOS デバイス上のカスタム デバイス構成プロファイルの新しい展開チャネル設定

macOS デバイス用のカスタム デバイス制限ポリシーを作成するときに、新しい展開チャネル設定を使用できます (デバイス>構成プロファイル>プロファイル>macOS for platform >Templates>Custom for profile)。

展開チャネル設定を使用して、構成プロファイルをユーザー チャネルまたはデバイス チャネルに展開します。 プロファイルを間違ったチャネルに送信すると、展開が失敗する可能性があります。 デバイス プロファイルまたはユーザー プロファイルでペイロードを使用する方法の詳細については、「Profile-Specific Payload Keys (プロファイル固有のペイロード キー)」(Apple の開発者用 Web サイトが開きます) を参照してください。

Intune でのカスタム macOS プロファイルの詳細については、macOS デバイス用のカスタム設定の使用に関する記事を参照してください。

適用対象:

  • macOS

iOS および iPadOS 14.5 以降のデバイス用の構成プロファイル設定を使用して設定された Wi-Fi ネットワークを使用する

iOS/iPadOS デバイスのデバイス制限ポリシーを作成するときに、新しい設定が使用可能になります (デバイス>構成プロファイル> プラットフォームのiOS/iPadOSプロファイル>の>作成 プロファイルプロファイルのデバイス制限)。

  • [Require devices to use Wi-Fi networks set up via configuration profiles]\(構成プロファイルを使用して設定された Wi-Fi ネットワークを使用するようデバイスに要求する\): [はい] に設定すると、構成プロファイルを通じて設定された Wi-Fi ネットワークのみを使用するようデバイスに要求します。

現在構成できる設定を確認するには、「Intune を使用する機能を許可または制限するための iOS および iPadOS デバイスの設定」を参照してください。

適用対象:

  • iOS/iPadOS 14.5 以降

新しい macOS デバイス構成プロファイル設定と、iOS および iPadOS 設定名の変更

macOS 10.13 デバイス以降で構成できる新しい設定があります (デバイス>構成プロファイル> プラットフォーム用>プロファイル >macOSの作成テンプレート> プロファイルの種類のデバイス制限):

  • [Game Center の友達の追加をブロックする] ([アプリ ストア、ドキュメントの表示、ゲーム]): ユーザーが Game Center に友達を追加できないようにします。
  • [Game Center をブロックする] ([アプリ ストア、ドキュメントの表示、ゲーム]): Game Center が無効になり、Game Center アイコンが [ホーム] 画面から削除されます。
  • [Block multiplayer gaming in the Game Center]\(Game Center でマルチプレイヤー ゲームをブロックする\) ([アプリ ストア、ドキュメントの表示、ゲーム]): Game Center を使用するときに、マルチプレーヤー ゲームをブロックします。
  • [壁紙の変更をブロックする] ([全般]): 壁紙を変更できないようにします。

現在構成できる設定を確認するには、機能を許可または制限するための macOS デバイスの設定に関する記事を参照してください。

また、iOS/iPadOS の [マルチプレイヤー ゲームのブロック] 設定名は、ゲーム センターで [マルチプレイヤー ゲームをブロックする] に変更されています (デバイス>構成プロファイル> プラットフォーム>のプロファイル>を作成するiOS/iPadOS プロファイルの種類のデバイス制限)。

この設定の詳細については、機能を許可または制限するための iOS および iPadOS デバイスの設定に関する記事を参照してください。

適用対象:

  • iOS/iPadOS
  • macOS 10.13 以降

追加の iOS および iPadOS ホーム画面レイアウトのグリッド サイズ オプション

iOS/iPadOS デバイスでは、ホーム画面でグリッド サイズを構成できます (デバイス>デバイス構成>プロファイルを作成する>iOS/iPadOS for platform プロファイル>の>デバイス機能ホーム画面レイアウト)。 たとえば、グリッド サイズを 4 列 x 5 行に設定できます。

グリッド サイズに次のオプションが追加されます。

  • 4 列 x 5 行
  • 4 列 x 6 行
  • 5 列 x 6 行

現在構成できるホーム画面のレイアウト設定を確認するには、Intune で一般的な iOS および iPadOS 機能を使用するためのデバイスの設定に関する記事を参照してください。

適用対象:

  • iOS/iPadOS

仕事用プロファイルがある Android Enterprise の個人所有のデバイス上のエンタープライズ Wi-Fi プロファイルに証明書サーバー名を追加する

Android デバイスでは、仕事用プロファイルを持つ個人用デバイス上のWi-Fi ネットワークに証明書ベースの認証を使用できます (デバイス>構成プロファイル>Android Enterprise for platform >Personal owned Work Profile>Wi-Fi作成>)。

[Enterprise] Wi-Fi の種類を使用し、[EAP の種類] を選択すると、新しい [証明書サーバー名] 設定が表示されます。 この設定を使用して、証明書で使用される証明書サーバーのドメイン名の一覧を追加します。 たとえば、「srv.contoso.com」と入力します。

Android 11 以降のデバイスでは、[Enterprise] Wi-Fi の種類を使用する場合は、証明書サーバーの名前を追加する必要があります。 証明書サーバーの名前を追加しないと、ユーザーに接続の問題が発生します。

Android Enterprise デバイスに対して構成できる Wi-Fi 設定の詳細については、「Microsoft Intune で Android エンタープライズの専用デバイスおよびフル マネージド デバイス用の Wi-Fi 設定を追加する」を参照してください。

適用対象:

  • 仕事用プロファイルがある Android Enterprise の個人所有のデバイス

デバイスの登録

デバイスの自動登録に対して、Apple セットアップ アシスタントでの先進認証方法のプレビューが終了

デバイスの自動登録に対して、Apple セットアップ アシスタントでの先進認証方法のプレビューが終了し、一般提供が開始されました。

iOS/iPadOS デバイスでのこの認証方法の使い方については、「Apple の Automated Device Enrollment を使用して iOS/iPadOS デバイスを自動登録する」を参照してください。

macOS デバイスでのこの認証方法の使い方については、「Apple Business Manager または Apple School Manager を使用して macOS デバイスを自動登録する」を参照してください。

デバイス管理

エンドポイント分析のデバイスごとのスコアリング

ユーザー エクスペリエンスに影響する可能性があるデバイスの特定をサポートするために、エンドポイント分析ではいくつかのデバイスごとのスコアが表示されます。 デバイスごとのスコアを確認すると、ヘルプ デスクに電話をかける前に、エンドユーザーに影響を与える問題を見つけて解決できる場合があります。 各デバイスのエンドポイント分析、起動時のパフォーマンス、およびアプリケーションの信頼性スコアによって、表示と並べ替えを行うことが可能になります。 詳細については、「デバイスごとのスコア」を参照してください。

Windows 10 の診断への Windows Hello for Business の追加

Windows 10 のデバイス診断で収集されるデータに、Windows Hello for Business の Operational イベント ビューアーからの情報を追加しました。 「収集されるデータ」を参照してください。

デバイスのセキュリティ

macOS での Microsoft Defender for Endpoint の設定カタログの設定に対する変更

macOS 上の Microsoft Defender for Endpoint を管理するための 8 つの新しい設定が、Intune 設定カタログに追加されました。

新しい設定は、設定カタログの以下の 4 つのカテゴリの下に、次のように表示されます。 これらの設定の詳細については、Mac 用 Microsoft Defender for Endpoint ドキュメントの「macOS 用 Microsoft Defender for Endpoint の基本設定を設定する」を参照してください。

  • Microsoft Defender - ウイルス対策エンジン:

    • 許可されていない脅威アクション
    • 除外のマージ
    • スキャン履歴のサイズ
    • スキャン結果の保持期間
    • 脅威の種類の設定のマージ
  • Microsoft Defender - クラウドによる保護の基本設定:

    • セキュリティ インテリジェンスの自動更新
  • Microsoft Defender - ユーザー インターフェイスの基本設定:

    • ユーザーが行ったフィードバック
  • Microsoft Defender - ネットワーク保護 - これは、カタログの Microsoft Defender for Endpoint 用の新しいカテゴリです。

    • 実施レベル

Microsoft エンドポイント マネージャー管理センター内から Tunnel ゲートウェイ サーバーが内部ネットワークにアクセスできることを確認する

Tunnel ゲートウェイ サーバーが内部ネットワークにアクセスできることを、誰かがサーバーに直接アクセスすることなく確認できる機能が Microsoft Endpoint Manager admin center に追加されました。 これを有効にするには、各 Tunnel ゲートウェイ サイトのプロパティで、[URL for internal network access check]\(内部ネットワークのアクセス チェック用の URL\) という名前の新しいオプションを構成します。

Tunnel ゲートウェイ サイトに内部ネットワークの URL を追加すると、そのサイト内の各サーバーから定期的にアクセスが試みられ、結果が報告されます。

この内部ネットワークのアクセス チェックの状態は、サーバーの [正常性チェック] タブで "内部ネットワークのアクセス可能性" として報告されます。このチェックの状態の値は次のとおりです。

  • 正常 - サーバーがサイトのプロパティで指定された URL にアクセスできます。
  • 異常 - サーバーがサイトのプロパティで指定された URL にアクセスできません。
  • 不明 - この状態はサイトのプロパティで URL を設定していない場合に表示され、サイトの全体的な状態には影響しません。

この機能を動作させるには、サーバーを最新バージョンの Tunnel ゲートウェイ サーバー ソフトウェアにアップグレードする必要があります。

個人所有の Android Enterprise 仕事用プロファイル用の SafetyNet のハードウェアによるキー構成証明のコンプライアンス設定

Android Enterprise 個人所有の仕事用プロファイル デバイスの新しいデバイス コンプライアンス設定 [必要な SafetyNet 評価の種類](../protect/compliance-policy-create-android-for-work.md#google-play-protect---for-personal owned-work-profile)。 この新しい設定は、SafetyNet デバイスの構成証明を [基本的な整合性の確認] または [基本的&な整合性の確認] 認定デバイスに構成した後で使用できるようになります。 新しい設定:

[Required SafetyNet evaluation type]\(必須の SafetyNet の評価の種類\):

  • [未構成 (既定値は基本評価)] – これが既定の設定です。
  • [ハードウェアを利用するキー] – SafetyNet の評価にハードウェアを利用するキー構成証明が使用されている必要があります。 ハードウェアを利用するキー構成証明をサポートしていないデバイスは、非準拠としてマークされます。

SafetyNet とハードウェアを利用するキー構成証明をサポートしているデバイスの詳細については、Android 向けの SafetyNet ドキュメントで評価の種類に関する記述をご確認ください。

Intune アプリ

Intune 用に新しく利用可能になった保護されたアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

  • F2 Touch Intune (cBrain A/S 提供)

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

監視とトラブルシューティング

Windows クライアント デバイスでグループ ポリシー分析 (プレビュー) を使用する際に、エクスポートした GPO XML ファイルのサイズが 4 MB に増加する

Microsoft エンドポイント マネージャーでは、グループ ポリシー分析を使用してオンプレミスの GPO を分析し、GPO がクラウド内でどのように変換されるかを判断できます。 この機能を使用するには、GPO を XML ファイルとしてエクスポートします。 XML ファイルのサイズは、750 KB から 4 MB に増加しています。

グループ ポリシー分析の使用方法の詳細については、「Microsoft エンドポイント マネージャーでグループ ポリシー分析を使用してオンプレミスのグループ ポリシー オブジェクト (GPO) を分析する」を参照してください。

適用対象:

  • Windows 11
  • Windows 10

デバイス構成レポートの更新

すべてのデバイス構成およびエンドポイント セキュリティ プロファイルが 1 つのレポートにマージされました。 改善されたデータを含む新しい 1 つのレポートで、デバイスに適用されるすべてのポリシーを表示できます。 たとえば、新しい [ポリシーの種類] フィールドでは、プロファイルの種類を区別できます。 また、ポリシーを選択すると、デバイスに適用される設定とデバイスの状態に関する追加の詳細情報が表示されます。 ロールベースのアクセス制御 (RBAC) のアクセス許可が、アクセス許可に基づいてプロファイルの一覧をフィルター処理するために適用されています。 Microsoft Endpoint Manger admin center で [デバイス]>[すべてのデバイス]>"デバイスを選択">[デバイス構成] を選択すると、このレポートを表示できます (利用可能な場合)。 詳細については、Microsoft Intune のレポートに関する記事を参照してください。

Intune ウイルス対策レポートの新しい詳細

Windows 10 の異常なエンドポイント レポートとウイルス対策エージェント状態レポートの両方に、詳細の 2 つの新しい列が追加されました。

新しい詳細には以下が含まれます。

  • MDE オンボードの状態 - (HealthState/OnboardingState) は、デバイス上の Microsoft Defender for Endpoint エージェントの存在を識別します。
  • MDE センス実行状態 - (HealthState/SenseIsRunning) デバイス上の Microsoft Defender for Endpoint 正常性センサーの動作状態について報告します。

これらの設定の詳細については、「WindowsAdvancedThreatProtection CSP」を参照してください。

Microsoft Tunnel ゲートウェイ サーバーの正常性状態のしきい値をカスタマイズする

Microsoft Tunnel ゲートウェイの複数のメトリックの正常性状態を決定するしきい値をカスタマイズできるようになりました。

正常性状態メトリックには、状態が 正常警告、または異常として報告されるかどうかを決定する既定値 があります。 メトリックをカスタマイズするときは、メトリックの状態のパフォーマンス要件を変更します。 次のメトリックをカスタマイズできます。

  • CPU 使用率
  • メモリ使用量
  • ディスク領域の使用量
  • Latency

しきい値を変更すると、その変更はテナント内のすべての Tunnel サーバーに適用されます。 また、すべてのメトリックを既定値にリセットするオプションを選択することもできます。

しきい値を更新すると、[正常性チェック] タブの値は、更新されたしきい値に基づく状態を反映するように自動的に更新されます。

グラフの形式で、Microsoft Tunnel ゲートウェイのいくつかの正常性メトリックの正常性状態の傾向を表示できます。 正常性状態の傾向グラフは、[正常性状態] ページから選択した個々のサーバーについて利用できます。

傾向グラフがサポートされるメトリックは次のとおりです。

  • 接続
  • CPU 使用率
  • ディスク領域の使用量
  • メモリ使用量
  • 平均遅延時間
  • スループット

2021 年 7 月

デバイス構成

ビジネス向け共有 iPad として登録された iPadOS デバイスに対するポリシーのサポートの強化 (パブリック プレビュー)

ビジネス向け共有 iPad 用のユーザー割り当てデバイス構成ポリシーのサポートが追加されました。

この変更により、ホーム画面のレイアウトなどの設定や、ユーザー グループに割り当てられているほとんどのデバイス制限が共有 iPad デバイスに適用され、割り当てられたユーザー グループのユーザーがデバイス上でアクティブになります。

個別の証明書コネクタを組み合わせた Certificate Connector for Microsoft Intune

Certificate Connector for Microsoft Intune がリリースされました。 この新しいコネクタは、SCEP と PKCS 用の個別の証明書コネクタの使用に置き換わるもので、次の機能を備えています。

  • 次の機能の 1 つ以上をサポートするように、コネクタの各インスタンスを構成します。
    • SCEP
    • PKCS
    • PFX のインポートされた証明書
    • 証明書の失効
  • コネクタ サービスで通常の Active Directory アカウントまたはシステム アカウントを使用する。
  • テナントの場所に基づいて、政府機関または商用環境を選択する。
  • SCEP と NDES の統合に使用するクライアント証明書を選択する必要がなくなる。
  • 最新バージョンのコネクタに自動更新する。 このコネクタの手動更新もサポートされています。
  • 改善されたログ記録。

前のコネクタは引き続きサポートされていますが、ダウンロードすることはできません。 コネクタをインストールまたは再インストールする必要がある場合は、新しい Certificate Connector for Microsoft Intune をインストールしてください。

Windows Autopilot 診断ページ (パブリック プレビュー)

Windows 11 で提供される Windows Autopilot 診断ページをサポートするために、[登録ステータス ページ] で使用できる設定は、[インストール エラーに関するログ収集をユーザーに許可する] から [Turn on log collection and diagnostics page for end users]\(エンド ユーザーのログ収集と診断ページを有効にする\) に更新されました。 詳細については、「Windows Autopilot: 新機能」を参照してください。

デバイス管理

Endpoint Manager admin center でフィルターを使用して Windows クライアント更新リングを割り当てる - パブリック プレビュー

エンドポイント マネージャー管理センターでは、フィルターを作成してから、アプリとポリシーを割り当てるときにこれらのフィルターを使用できます。

Windows クライアント更新リング ポリシーを割り当てるときに、フィルター ([デバイス]>[Windows]>[Windows 10 更新リング]) を使用できます。 OS のバージョンやデバイスの製造元など、デバイスのプロパティに基づいて更新リング ポリシーが取得されるデバイスをフィルター処理できます。 フィルターを作成したら、更新リング ポリシーを割り当てるときにフィルターを使用します。

適用対象:

  • Windows 11
  • Windows 10

[診断情報の収集] リモート アクションが一般提供に移行

[診断情報の収集] リモート アクションを使用すると、エンド ユーザーに中断や待機を発生させることなく、企業のデバイスから診断情報を収集できます。 収集される診断情報には、MDM、オートパイロット、イベント ビューアー、レジストリ キー、構成マネージャー クライアント、ネットワーク、およびその他の重要なトラブルシューティング診断情報が含まれます。 詳細については、「Windows デバイスから診断情報を収集する」を参照してください。

Microsoft HoloLens 用オートパイロット サポートの一般公開

詳細については、「Windows Autopilot for HoloLens 2」を参照してください。

デバイスのセキュリティ

[どこからでも作業] レポート

エンドポイント分析[Work from anywhere]\(どこからでも作業する\)という名前の新しいレポートが追加されています。 [どこからでも作業] レポートは、[推奨されるソフトウェア] レポートの進化版です。 新しいレポートには、Windows 10、クラウド管理、クラウド ID、およびクラウド プロビジョニングのメトリックが含まれています。 詳細については、[どこからでも作業] レポートに関する記事を参照してください。

macOS 上の Microsoft Defender for Endpoint 用の設定カタログのサポート

macOS 上の Microsoft Defender for Endpoint を管理するための設定が Intune 設定カタログに追加され、macOS 上の Microsoft Defender for Endpoint を構成できるようになりました。

新しい設定は、設定カタログの以下の 4 つのカテゴリの下に、次のように表示されます。 これらの設定の詳細については、"Mac 上の Microsoft Defender for Endpoint" に関するドキュメントの「macOS 上の Microsoft Defender for Endpoint を設定する」を参照してください。

Microsoft Defender - ウイルス対策エンジン:

  • 許可される脅威
  • パッシブ モードを有効にする
  • リアルタイム保護を有効にする
  • 除外をスキャンする
  • 脅威の種類の設定

Microsoft Defender - クラウドによる保護の設定:

  • 診断収集のレベル
  • サンプルの自動送信を有効または無効にする
  • クラウドによる保護を有効または無効にする

Microsoft Defender - EDR の設定:

  • デバイス タグ
  • 早期プレビューを有効または無効にする

Microsoft Defender - ユーザー インターフェイスの設定:

  • [状態] メニュー アイコンの表示または非表示

Intune アプリ

macOS 用ポータル サイトのシングル サインオン アプリ拡張機能の画面の改善

macOS ユーザーに対してシングル サインオン (SSO) を使用した各自のアカウントへのログインを求める Intune ポータル サイトの認証画面が改善されました。 ユーザーは次のことができます。

  • SSO を要求しているアプリを確認する。
  • [今後このメッセージを表示しない] を選択して今後の SSO 要求をオプトアウトする。
  • [基本設定] をポータル サイト>し、[このアカウントのシングル サインオンでサインインするように求めない] の選択を解除して、SSO 要求に再度オプトインします。

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されているアプリを Microsoft Intune で使用できるようになりました。

  • Cisco Systems, Inc. による Intune 用 Webex
  • LumApps による Intune 用 LumApps
  • CEGB CO., Ltd. による ArchXtract (MDM)

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

2021 年 6 月

アプリ管理

Android ポータル サイト アプリと Intune アプリにポルトガルのポルトガル語のサポートを追加

Android ポータル サイト アプリと Android Intune アプリで、ポルトガルのポルトガル語 (言語コード pt-PT) がサポートされるようになりました。 Intune では既にブラジルのポルトガル語がサポートされています。

管理対象アプリの状態の表示に関する機能強化

ユーザーまたはデバイスに展開された管理対象アプリに関する状態情報を Intune で表示する方法に対して、いくつかの機能強化が追加されました。

Intune では、表示しているデバイスのプラットフォームに固有のアプリだけが表示されるようになりました。 また、Android および Windows プラットフォームに対するパフォーマンスの強化と追加のサポートも導入されました。

Apple VPP アプリに対する既定のライセンスの種類の更新

Apple Volume Purchase Program (VPP) アプリに対して新しい割り当てを作成する場合、既定のライセンスの種類は "device" になります。 既存の割り当ては変更されません。 Apple VPP アプリの詳細については、「Apple Business Manager で購入した iOS アプリと macOS アプリを Microsoft Intune で管理する方法」を参照してください。

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されているアプリを Microsoft Intune で使用できるようになりました。

  • Confidential File Viewer (Hitachi Solutions, Ltd. 提供)
  • AventX Mobile Work Orders (STR Software 提供)
  • Slack for Intune (Slack Technologies, Inc. 提供)
  • Dynamics 365 Sales (Microsoft 提供)
  • Leap Work for Intune (LeapXpert Limited 提供)
  • iManage Work 10 For Intune (iManage, LLC 提供)
  • Microsoft Whiteboard (Microsoft 提供) (Android バージョン)

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

デバイス構成

iOS および iPadOS デバイスの Safari で Cookie とクロス サイト トラッキングを管理する

iOS/iPadOS デバイスのデバイス制限ポリシーを作成する場合は、Safari アプリで Cookie を管理できます (デバイス>構成プロファイル> プラットフォーム>のプロファイル>iOS/iPadOS の作成プロファイル プロファイル>のデバイス制限組み込みアプリ)。

Cookie とクロス サイト トラッキングの管理を支援するために、[Safari の Cookie] 設定が更新されました。 この設定の詳細については、iOS および iPadOS デバイスの組み込みアプリに関する記事を参照してください。

適用対象:

  • iOS および iPadOS バージョン 4 以降

デバイスの登録

企業の Android の登録時にブラウザー アクセスが自動的に有効に

次のデバイスの新規登録時に、ブラウザー アクセスが自動的に有効になるようになりました。

  • Azure AD 共有デバイス モードで登録された Android Enterprise 専用デバイス
  • Android Enterprise のフル マネージド デバイス
  • Android Enterprise の会社所有の仕事用プロファイル デバイス

準拠デバイスでは、ブラウザーを使用して、条件付きアクセスによって保護されているリソースにアクセスできます。

この変更は、既に登録されているデバイスには影響しません。

仕事用プロファイルを備えた企業所有 Android Enterprise デバイスの Intune サポート

仕事用プロファイルを備えた企業所有 Android Enterprise デバイスの Intune サポートが一般提供になりました。 詳細については、「仕事用プロファイルを備えた企業所有 Android Enterprise デバイスの一般提供の発表」を参照してください

デバイス管理

設定カタログの構成プロファイルと、リスク スコアおよび脅威レベルのコンプライアンス ポリシー設定に対してフィルターを使用する

フィルターを使用してポリシーを割り当てる場合、次の操作を実行できます。

  • リスク スコア脅威レベルの設定を使用するコンプライアンス ポリシーに対してフィルターを使用する。
  • 設定カタログ プロファイルの種類を使用する構成プロファイルに対してフィルターを使用する。

実行できる操作の詳細については、フィルターでサポートされているプラットフォーム、ポリシー、アプリの種類の一覧に関する記事を参照してください。

適用対象:

  • Android デバイス管理者
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 11
  • Windows 10

Android Enterprise のフィルターを作成するときに EnrollmentProfileName プロパティを使用する

エンドポイント マネージャーで、デバイス名や製造元などのさまざまなプロパティに基づいてデバイスを対象とするフィルターを作成できます。 iOS および iPadOS と Windows 10/11 デバイスでは、登録プロファイル名を使用してフィルターを作成できます。 登録プロファイル名プロパティは、Android Enterprise デバイスで使用できます。

構成できるフィルター プロパティを確認するには、フィルターを作成するときのデバイスのプロパティ、演算子、ルールの編集に関する記事を参照してください。

適用対象:

  • Android Enterprise

新しい iOS/iPadOS リモート アクションを使用すると、eSIM 携帯ネットワーク プランを更新できます (パブリック プレビュー)

新しい [Update cellular data plan (preview)]\(携帯データネットワーク プランの更新 (プレビュー)\) アクションを使用すると、サポート対象の iOS および iPadOS デバイスで eSIM 携帯ネットワーク プランをリモートでアクティブ化できます。 この機能は現在パブリック プレビューの段階です。 詳細については、携帯データネットワーク プランの更新に関する記事を参照してください。

テナント接続: オフボード

テナントのアタッチを有効にすることで、非常に大きな価値を得ることができますが、まれに、階層のオンボードが必要になることがあります。 たとえば、オンプレミス環境が削除されたディザスター リカバリー シナリオの後に、オフボードが必要になる場合があります。 Microsoft Endpoint Manager admin center から Configuration Manager 階層を削除するには、[テナント管理][コネクタとトークン][Microsoft Endpoint Configuration Manager] の順に選択します。 オフボードするサイトの名前を選択し、[削除] を選択します。 詳細については、「テナントのアタッチの有効化」を参照してください。

デバイスのセキュリティ

Android 上の Microsoft Tunnel 用 Microsoft Defender for Endpoint のプレビューが終了

Android 上で Microsoft Tunnel の機能をサポートする Microsoft Defender for Endpoint アプリのプレビューが終了し、一般提供が開始されました。 この変更により:

  • Defender for Endpoint を Android 上のトンネル アプリとして使用するようにオプトインする必要がなくなりました。
  • Android 用のスタンドアロン アプリは現在非推奨となっており、2022 年 1 月 31 日にサポートが終了すると Google アプリ ストアから削除されます。

更新された Android 向けの Microsoft Tunnel アプリ用 Microsoft Defender for Endpoint アプリをダウンロードして使用することを計画してください。 プレビューに参加していた場合は、Google Play ストアの新しいバージョンの Defender for Endpoint を使用してデバイスを更新してください。 まだスタンドアロン トンネル アプリを使用している場合は、スタンドアロン アプリのサポートが終了する前に Microsoft Defender for Endpoint アプリに移行することを計画してください。

iOS 用のスタンドアロン トンネル アプリはプレビューのままです。

監視とトラブルシューティング

プロアクティブな修復のエクスポート オプション

プロアクティブな修復は、ユーザーのデバイスに関する一般的なサポートの問題を、ユーザーが問題の存在に気付く前に検出して修正することができるスクリプト パッケージです。 返された出力を簡単に分析できるように、出力を .csv ファイルとして保存できるエクスポート オプションが追加されました。 詳細については、「プロアクティブな修復」を参照してください。

更新された証明書レポート

現在使用されているデバイス証明書を示す [証明書] レポートが更新され、レポートを検索、ページング、並べ替え、エクスポートする機能が強化されました。 Microsoft Endpoint Manager admin center で、[デバイス]>[監視]>[証明書] の順に選択します。 Intune のレポートの詳細については、「Intune レポート」を参照してください。

2021 年 5 月

アプリ管理

Android と iOS および iPadOS ユーザー向けの条件付きアクセスのメッセージングの改善

Azure Active Directory では、アクセスとセットアップの要件をユーザーにより詳しく説明するために、条件付きアクセス画面の表現が更新されました。 Android および iOS/iPadOS ユーザーが Intune 管理に登録されていないデバイスから会社のリソースにアクセスしようとすると、この画面が表示されます。 この変更の詳細については、Azure Active Directory の新機能に関する記事を参照してください。

アプリ インストールの失敗数を表示する新しいタイル

[ホーム][ダッシュボード][アプリの概要] ペインに、テナントでのアプリ インストールのエラー数を示す更新されたタイルが表示されるようになりました。 Microsoft エンドポイント マネージャー管理センターで、[ホーム] を選択して [ホーム] ペインを表示するか、[ダッシュボード] を選択して [ダッシュボード] ペインを表示します。 [アプリ]>[概要] を選択して、[アプリの概要] ペインを表示します。 関連情報については、「Intune レポート」を参照してください。

デバイス構成

設定カタログの [設定ごとの状態] レポート

設定カタログ プロファイルを作成すると、成功、競合、エラーなど、各状態のデバイスの数を確認できます (デバイス>構成プロファイル>はポリシーを選択します)。 このレポートには、次のような [設定ごとの状態] が含まれます。

  • 特定の設定の影響を受けるデバイスの合計数が表示されます。
  • 検索、並べ替え、フィルター処理、エクスポート、前後のページへの移動を行うためのコントロールがあります。

設定カタログの詳細については、設定カタログを使用した Windows と macOS のデバイスでの設定の構成に関する記事を参照してください。

iOS/iPadOS 14.5 デバイス以降の新しい設定

iOS/iPadOS デバイスのデバイス制限ポリシーを作成するときに、新しい設定を使用できます (デバイス>構成プロファイル>プロファイルの作成プロファイル>iOS/iPadOS for platform プロファイル>のデバイス制限):

  • [Apple Watch によるロック自動解除を禁止する]: [はい] に設定すると、ユーザーは Apple Watch でデバイスのロックを解除できなくなります。
  • [Allow users to boot devices into recovery mode with unpaired devices]\(ペアリングされていないデバイスで回復モードにデバイスをブートすることをユーザーに許可する): [はい] に設定すると、ユーザーはペアリングされていないデバイスでデバイスを回復にブートできます。
  • [ディクテーションのために Siri ブロックする]: [はい] に設定すると、Siri サーバーへの接続が無効になり、ユーザーが Siri を使用してテキストをディクテーションできなくなります。

これらの設定を確認するには、「Intune を使用した機能を許可または制限するための iOS および iPadOS デバイスの設定」を参照してください。

適用対象:

  • iOS/iPadOS 14.5 以降

デバイス管理

仕事用プロファイルを備えた企業所有 Android Enterprise デバイスでの再起動リモート操作のサポート終了

仕事用プロファイルを備えた企業所有デバイスでの [再起動] リモート操作のサポートが終了しました。 [再起動] ボタンは、仕事用プロファイルを備えた企業所有デバイスの [デバイス] ページから削除されました。 デバイスの一括操作を使用してデバイスを再起動しようとしても、企業所有の仕事用プロファイル デバイスは再起動されず、それらのデバイス操作は [サポートされていません] とマークされて報告されます。 デバイスの一括操作に含まれるその他のデバイスの種類は、その操作に対して通常どおり再起動されます。

Windows 10/11 Enterprise マルチセッション サポート (パブリック プレビュー)

Windows 10/11 Enterprise マルチセッションは、Azure 上の Azure Virtual Desktop 専用の新しいリモート デスクトップ セッション ホストであり、複数のユーザー セッションを同時に実行できます。 これにより、ユーザーは使い慣れた Windows クライアント エクスペリエンスを利用することができ、一方 IT 部門ではマルチセッションのコスト上の利点を得て、既存のユーザーごとの Microsoft 365 ライセンスを使用することができます。

Microsoft Intune では、共有のユーザーレス Windows クライアントなどのデバイスベースの構成で、マルチセッション リモート デスクトップを管理することができます。 Hybrid Azure AD Join を使用した VM を Intune に自動的に登録し、OS スコープ ポリシーとアプリでターゲットにできるようになりました。

次の操作を行うことができます:

  • Azure の Azure Virtual Desktop 専用の Windows 10/11 Enterprise マルチセッション SKU を使用して、複数の同時実行ユーザー セッションをホストする。
  • 共有のユーザーレス Windows 10/11 Enterprise クライアントなどのデバイスベースの構成で、マルチセッション リモート デスクトップを管理する。
  • Hybrid Azure AD Join を使用した仮想マシンを Intune に自動的に登録し、デバイス スコープ ポリシーとアプリでそれらをターゲットにする。

詳細については、「Windows 10/11 Enterprise マルチセッション リモート デスクトップ」を参照してください。

フィルターを使用して Endpoint Manager admin center でポリシーを割り当てる

アプリまたはポリシーをグループに割り当てるときに使用できる新しい [フィルター] オプションがあります。 フィルターを作成するには、次の場所に移動します。

  • デバイス>フィルター>作成
  • アプリ>フィルター>作成
  • テナントの管理>フィルター>作成

デバイスのプロパティを使用して、影響を受けるデバイスのスコープをフィルター処理できます。 たとえば、OS のバージョン、デバイスの製造元などをフィルター処理できます。 フィルターを作成した後、ポリシーまたはプロファイルを割り当てるときにフィルターを使用できます。

詳細については、「Microsoft Endpoint Manager でアプリ、ポリシー、プロファイルを割り当てるときにフィルターを使用する」を参照してください。

適用対象:

  • Android デバイス管理者
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 11
  • Windows 10

Intune ポリシーを使用して Windows 10/11 更新プログラムのインストールを迅速化する

パブリック プレビューでは、Intune の Windows 10 品質更新プログラム ポリシーを使用して、Intune で管理するデバイスへの最新の Windows 10/11 セキュリティ更新プログラムのインストールを迅速化できます。

更新プログラムの適用を高速化すると、デバイスでの更新プログラムのダウンロードとインストールは可能な限り早く開始され、デバイスで更新プログラムがチェックインされるのを待つ必要がなくなります。 更新プログラムのインストールが高速化されることを除けば、このポリシーを使用しても、更新プログラムの展開に関する既存のポリシーとプロセスはそのまま残ります。

迅速化された更新を監視するのに役立つように、次のオプションを使用できます。

デバイスのセキュリティ

Windows セキュリティ エクスペリエンス プロファイルによる 3 つの状態の設定のサポート

Windows 10 デバイスに対して、エンドポイント セキュリティのウイルス対策ポリシーの Windows セキュリティ エクスペリエンス プロファイルで、2 つの状態の設定が 3 つの状態の設定に更新されました。

プロファイルのほとんどの設定で、以前は [はい][未構成] の 2 つのオプションのみがサポートされていました。 今後は、これらの同じ設定に [はい][未構成]、および新しいオプションである [いいえ] が含まれるようになりました。

  • 既存のプロファイルについては、[未構成] に設定された設定は [未構成] のままになります。 新しいプロファイルを作成したり、既存のプロファイルを編集したりするときに、明示的に [いいえ] を指定できるようになりました。

さらに、[Windows セキュリティ アプリの [ウイルスと脅威の防止] 領域を非表示にする] 設定とその子である [Windows セキュリティ アプリの [ランサムウェア攻撃後のデータ回復] オプションを非表示にする] 設定の構成に、以下が適用されます。

  • 親設定 ([Hide the Virus and threat protection area]\(ウイルスと脅威の防止領域を非表示にする\)) が [未構成] に設定され、子設定が [はい] に設定されていた場合、親と子の両方の設定は [未構成] に設定されます。

新しい Microsoft Tunnel Gateway バージョン

新しいバージョンの Microsoft Tunnel ゲートウェイがリリースされました。 これには、次の変更が含まれます。

  • 軽微なバグ修正。
  • すべての依存関係のセキュリティ更新プログラムを含むイメージの更新。

自動的に更新するように構成されているサイトの場合、Tunnel Gateway サーバーは自動的に新しいバージョンに更新されます。 手動で更新するように構成されているサイトの場合は、更新プログラムを承認する必要があります。

政府クラウド向けの Jamf で管理されている macOS デバイスの条件付きアクセスが利用可能に

Intune のコンプライアンス エンジンを使用して、政府クラウド向けの Jamf で管理されている macOS デバイスを評価できるようになりました。 これを行うには、Jamf 用コンプライアンス コネクタをアクティブにします。 詳細については、「コンプライアンスのために Jamf Pro を Intune と統合する」を参照してください。

Microsoft Tunnel Gateway の変更

今月は、Microsoft Tunnel Gateway について発表する更新プログラムが 2 つあります。

  • Microsoft Tunnel Gateway の一般提供が開始
    今回のサービス リリースでは、Microsoft Tunnel Gateway のプレビューが終了し、一般提供されています。 Microsoft Tunnel Gateway サーバー コンポーネントのプレビューは終了しましたが、次の Microsoft Tunnel クライアント アプリはプレビューのままです。

    • Android 用 Microsoft Tunnel スタンドアロン アプリ
    • iOS 用 Microsoft Tunnel スタンドアロン アプリ
    • Android 用 Microsoft Tunnel をサポートする Microsoft Defender for Endpoint
  • Android 用 Microsoft Defender for Endpoint の Microsoft Tunnel の VPN プロファイルでのカスタム設定のサポート

    Microsoft Defender for Endpoint を Android 用の Microsoft Tunnel クライアント アプリとして、および Mobile Threat Defense (MTD) アプリとして使用する場合、Microsoft Tunnel の VPN プロファイルでカスタム設定を使用して Microsoft Defender for Endpoint を構成できるようになりました。

    このシナリオでは、カスタム設定を使用して VPN プロファイルで Microsoft Defender for Endpoint を構成することにより、Microsoft Defender for Endpoint 用に個別のアプリ構成プロファイルを展開する必要がなくなります。

    次のプラットフォームでは、VPN プロファイルでカスタム設定を使用するか、Microsoft Defender for Endpoint 用の個別のアプリ構成プロファイルを使用するかを選択できます。

    • Android Enterprise のフル マネージド
    • Android Enterprise の企業所有の仕事用プロファイル

    ただし、Android Enterprise の個人所有の仕事用プロファイルの場合は、カスタム設定で VPN プロファイル "のみ" を使用してください。 Microsoft Tunnel VPN プロファイルに加えて、Microsoft Defender for Endpoint 用に個別のアプリ構成プロファイルを受け取る個人所有の仕事用プロファイル デバイスでは、Microsoft Tunnel に接続できない可能性があります。

監視とトラブルシューティング

アプリのインストール状態を提供する新しい運用レポート

新しい[アプリ インストールの状態] レポートには、アプリとバージョンおよびインストールの詳細の一覧が表示されます。 アプリのインストールの詳細は、一覧の個別の列として含まれています。 また、インストールの詳細では、デバイスとユーザーに関するアプリのインストールと失敗の合計が表示されます。 このレポートでは、並べ替えと検索を行うこともできます。 Microsoft Endpoint Manager admin center で、[アプリ]>[監視]>[アプリ インストールの状態] の順に選択します。 Intune のレポートの詳細については、「Intune レポート」を参照してください。

デバイスに基づくアプリのインストール状態を提供する新しい運用レポート

新しい[デバイスのインストール状態] レポートには、選択したアプリに基づいて、特定のアプリに関連するデバイスと状態の情報の一覧が表示されます。 デバイスに関連するアプリのインストールの詳細には、[UPN][プラットフォーム][バージョン][状態][状態の詳細][最後のチェックイン] が含まれます。 このレポートでは、並べ替え、フィルター、検索を行うこともできます。 Microsoft Endpoint Manager admin center で、[アプリ]>[すべてのアプリ]>"アプリを選択">[デバイスのインストール状態] の順に選択します。 Intune のレポートの詳細については、「Intune レポート」を参照してください。

ユーザーに基づくアプリのインストール状態を提供する新しい運用レポート

新しい[ユーザーのインストール状態] レポートには、選択したアプリに基づいて、特定のアプリに関連するユーザーと状態の情報の一覧が表示されます。 ユーザーに関連するアプリのインストールの詳細には、[名前][UPN][失敗数][インストール数][保留中][インストールされていません][該当なし] が含まれます。 このレポートでは、並べ替え、フィルター、検索を行うこともできます。 Microsoft Endpoint Manager admin center で、[アプリ]>[すべてのアプリ]>"アプリを選択">[ユーザーのインストール状態] の順に選択します。 Intune のレポートの詳細については、「Intune レポート」を参照してください。

Graph API v1.0 またはベータを使用して Intune レポートをエクスポートする

Intune のレポート エクスポート API が Graph v1.0 で使用できるようになりました。また、Graph ベータでも引き続き使用できます。 関連情報については、「Intune レポート」と「Graph API を使用して Intune レポートをエクスポートする」を参照してください。

スクリプト

Android オープンソース プロジェクト デバイスでサポートされる新しいプロパティ値

managementAgentType 列挙型で IntuneAosp プロパティ値がサポートされるようになりました。 このプロパティの ManagementAgentTypeID 値は 2048 です。 これは、Intune の AOSP (Android オープン ソース プロジェクト) デバイス用 MDM で管理されるデバイスの種類を表します。 関連情報については、Intune データ ウェアハウス API のベータ セクションの「managementAgentType」を参照してください。

2021 年 4 月

アプリ管理

iOS 用ポータル サイトのプライバシー画面を更新

ポータル サイトで収集されたデータを使用する方法を明確にするために、ポータル サイトのプライバシー画面にテキストをさらに追加しました。 これにより、デバイスが組織のポリシーに準拠しているかどうかを確認する場合にのみ収集されたデータが使用されることが、ユーザーに対して保証されます。

デバイスによって割り当てられた必須アプリのインストール状態

Windows ポータル サイトまたは Intune ポータル サイト Web サイトの [インストール済みアプリ] ページから、エンド ユーザーはデバイスによって割り当てられた必須アプリのインストール状態と詳細を表示できます。 この機能は、ユーザーによって割り当てられた必須アプリのインストール状態と詳細に加えて提供されます。 ポータル サイトの詳細については、「Intune ポータル サイト アプリ、ポータル サイト Web サイト、および Intune アプリを構成する方法」を参照してください。

コンソールに表示される Win32 アプリのバージョン

お使いの Win32 アプリのバージョンが、Microsoft エンドポイント マネージャー管理センターに表示されるようになりました。 アプリのバージョンは [すべてのアプリ] 一覧に表示されるようになります。ここで、Win32 アプリでフィルター処理して、オプションの [バージョン] 列を選択できます。 Microsoft エンドポイント マネージャー管理センターで、[アプリ]>[すべてのアプリ]>[列]>[バージョン] の順に選択して、アプリのバージョンをアプリ一覧に表示します。 関連情報については、「Microsoft Intune での Win32 アプリの管理」を参照してください。

iOS デバイスでのアプリの条件付き起動の最大 OS バージョン設定

Intune アプリ保護ポリシーを使用して新しい条件付き起動設定を追加し、エンド ユーザーが iOS デバイスでプレリリース版またはベータ版の OS ビルドを使用して職場または学校アカウントのデータにアクセスできないようにすることができます。 この設定により、エンド ユーザーが iOS デバイスで新しい OS 機能を活発に使用する前に、すべての OS リリースを詳しく調べることができます。 Microsoft エンドポイント マネージャー管理センターで、[アプリ]>[アプリ保護ポリシー] を選択します。 関連情報については、「アプリ保護ポリシーを作成して割り当てる方法」を参照してください。

デバイス構成

Apple セットアップ アシスタントでの新しい先進認証方法 (パブリック プレビュー)

自動デバイス登録プロファイルを作成するときに、新しい認証方法である先進認証を備えたセットアップ アシスタントを選択できます。 この方法を使用すると、セットアップ アシスタントのすべてのセキュリティが提供される一方で、Intune ポータル サイトによってデバイスへのインストールが行われている間はエンド ユーザーがデバイスを使用できない状態になるという問題が回避されます。 ユーザーは、セットアップ アシスタント画面の間に Azure AD 多要素認証を使用して認証を行う必要があります。 そのためには、条件付きアクセスによって保護された会社のリソースにアクセスするために、ポータル サイト アプリの登録後に追加の Azure AD ログインが必要です。 正しいポータル サイトのバージョンが、必要なアプリとして iOS/iPadOS デバイスに自動的に送信されます。 macOS の場合、デバイスで Intune ポータル サイトを取得するためのオプションが macOS アプリ用の Intune ポータル サイトの追加に関する記事にあります。

ユーザーがホーム画面に移動すると登録は完了し、ユーザーは条件付きアクセスによって保護されていないリソースにデバイスを自由に使用できます。 ユーザーがセットアップ画面の後のホーム画面に移動すると、ユーザー アフィニティが確立されますが、ポータル サイトにログインするまで、デバイスは Azure AD に完全に登録されません。 ポータル サイトにログインするまで、デバイスは Azure AD ポータルの特定のユーザーのデバイス一覧に表示されません。 テナントでこれらのデバイスまたはユーザーに対して多要素認証が有効になっている場合、セットアップ アシスタント中に登録中に多要素認証を完了するように求められます。 多要素認証は必要ありませんが、必要に応じて条件付きアクセス内のこの認証方法で使用できます。

この方法には、ポータル サイトのインストールに関して次のオプションがあります。

  • iOS/iPadOS の場合: iOS/iPadOS でこのフローを選択しても、[ポータル サイトのインストール] の設定は表示されません。 エンド ユーザーがホーム画面に移動した後、CP は、適切なアプリ構成ポリシーが設定されたデバイスで必須のアプリとなります。 ユーザーは、条件付きアクセスによって保護されたリソースにアクセスし、Azure AD に完全に登録されるには、登録後に Azure AD 資格情報で CP にサインインする必要があります。
  • macOS の場合: ユーザーは、Azure AD の登録を完了して、条件付きアクセスによって保護されたリソースにアクセスするには、ポータル サイトにサインインする必要があります。 エンド ユーザーは、ホーム ページに移動した後で CP にロックされることはありませんが、会社のリソースにアクセスし、準拠するためには、CP への追加ログインが必要になります。 詳細については、「macOS ポータル サイト アプリを追加する」を参照してください。

iOS/iPadOS デバイスでのこの認証方法の使い方については、「Apple の Automated Device Enrollment を使用して iOS/iPadOS デバイスを自動登録する」を参照してください。

macOS デバイスでのこの認証方法の使い方については、「Apple Business Manager または Apple School Manager を使用して macOS デバイスを自動登録する」を参照してください。

Android Enterprise デバイス用に更新された OEMConfig ポリシー レポート

Android Enterprise デバイスでは、OEMConfig ポリシーを作成して、OEM 固有の設定を追加、作成、カスタマイズすることができます。 ポリシー レポートが更新され、ユーザー、デバイス、およびポリシーの設定ごとに成功が表示されるようになりました。

詳細については、「Microsoft Intune で、OEMConfig を使って Android Enterprise デバイスを使用および管理する」を参照してください。

適用対象:

  • Android Enterprise

14.2 以降を実行している iOS/iPadOS デバイスで NFC ペアリングを無効にする

監視対象の iOS/iPadOS デバイスでは、NFC を無効にするデバイス制限プロファイルを作成できます (デバイス>構成プロファイル> プラットフォーム>のプロファイル>を作成するiOS/iPadOS プロファイル 接続>デバイス>のデバイス制限近距離通信 (NFC) を無効にします)。 この機能を無効にすると、デバイスは他の NFC 対応デバイスとペアリングできなくなり、NFC が無効になります。

この設定を確認するには、「Intune を使用した機能を許可または制限するための iOS および iPadOS デバイスの設定」を参照してください。

適用対象:

  • iOS/iPadOS 14.2 以降

デバイス管理

Windows クライアント デバイス用のデバイスの検索リモート操作

新しいデバイスの検索リモート アクションを使用して、デバイスの地理的な場所を取得できるようになりました。 サポートされているデバイスには以下が含まれます。

  • Windows 11
  • Windows 10 バージョン 20H2 (10.0.19042.789) 以降
  • Windows 10 バージョン 2004 (10.0.19041.789) 以降
  • Windows 10 バージョン 1909 (10.0.18363.1350) 以降
  • Windows 10 バージョン 1809 (10.0.17763.1728) 以降

新しいアクションを表示するには、Microsoft エンドポイント マネージャー管理センターにサインインし、[デバイス] [Windows>] [デバイス>>の検索] の順に選択します

この操作は、現在の Apple デバイス用のデバイスの検索操作と同じように機能します (ただし、紛失モードの機能は含まれません)。

このリモート アクションが機能するには、デバイスでロケーション サービスが有効になっている必要があります。 Intune でデバイスの場所をフェッチできず、ユーザーがデバイスの設定で既定の場所を設定している場合は、既定の場所が表示されます。

Microsoft エンドポイント マネージャーの Android 5.x サポートの終了

Microsoft エンドポイント マネージャーで、Android 5.x デバイスがサポートされなくなりました。

会社の Android Enterprise デバイス用の電話番号表示のサポート

企業の Android Enterprise デバイス (専用、フル マネージド、仕事用プロファイルを持つフル マネージド) の場合、関連付けられているデバイスの電話番号が Microsoft エンドポイント マネージャー管理センターに表示されるようになりました。 デバイスに複数の電話番号が関連付けられている場合は、1 つの電話番号だけが表示されます。

iOS および iPadOS デバイスでの EID プロパティのサポート

eSIM 識別子 (EID) は、埋め込み SIM (eSIM) の一意の識別子です。 iOS および iPadOS デバイスのハードウェアの詳細ページに、EID プロパティが表示されるようになりました。

Azure Active Directory 共有デバイスのプロビジョニングの Intune サポート

Microsoft Authenticator を自動的に Azure AD 共有デバイス モードに構成した Android Enterprise 専用デバイスをプロビジョニングする機能の一般提供が開始されました。 この登録の種類を使用する方法の詳細については、「Android Enterprise 専用デバイスの Intune 登録を設定する」を参照してください。

機能更新プログラム プロファイルのサポート終了の詳細を表示する

Intune で展開する Windows 10 の機能更新プログラムのサービス終了を計画しやすいよう、Microsoft エンドポイント マネージャー管理センターの機能更新プロファイルに 2 つの新しい情報列が追加されました。

最初の新しい列には、プロファイルの更新プログラムがサービス終了に近づいている、または達したことを示す状態が表示され、2 番目の列には、サービス終了日が表示されます。 更新プログラムがサービス終了に達すると、デバイスに展開されなくなり、Intune からポリシーを削除できます。

新しい列と詳細は次のとおりです。

  • [サポート] – この列には、機能更新プログラムの状態が表示されます。

    • [サポートされています] – 配布で更新プログラムがサポートされています。
    • [サポートの終了が近づいています] – 更新プログラムはサービス終了日の 2 か月以内です。
    • [サポートされていません] – 更新プログラムはサポートされなくなり、サービス終了日に到達しました。
  • [サポート終了日] – この列には、プロファイルの機能更新プログラムのサービス終了日が表示されます。

Windows 10 リリースのサービス終了日の詳細については、Windows リリースの正常性に関するドキュメントの「Windows 10 リリース情報」を参照してください。

デバイスのセキュリティ

ウイルス対策プロファイルを使用して、デバイス上のウイルス対策除外リストのマージを禁止または許可する

"Microsoft Defender ウイルス対策" プロファイルの設定として Defender ローカル管理者によるマージを構成して、Windows 10 デバイスで Microsoft Defender ウイルス対策のローカル除外リストのマージをブロックできるようになりました。

Microsoft Defender ウイルス対策の除外リストをデバイスでローカルに構成し、Intune ウイルス対策ポリシーによって指定できます。

  • 除外リストがマージされると、ローカルで定義された除外が Intune からそれらとマージされます。
  • マージがブロックされると、ポリシーからの除外のみがデバイスで有効になります。

この設定と関連設定の詳細については、「Windows Defender ウイルス対策の除外」を参照してください。

Surface Duo デバイスでの条件付きアクセスのフローの改善

Surface Duo デバイスでの条件付きアクセス フローが効率化されました。 これらの変更は自動的に行われるため、管理者による構成の更新は必要ありません。 ([エンドポイント セキュリティ]>[条件付きアクセス])

Duo デバイスの場合:

  • 条件付きアクセスによってリソースへのアクセスがブロックされると、ユーザーはデバイスにプレインストールされているポータル サイト アプリにリダイレクトされるようになります。 以前は、ポータル サイト アプリの Google Play ストアの一覧に送られていました。
  • 個人所有の仕事用プロファイルとして登録されているデバイスの場合、ユーザーが仕事用の資格情報を使用して個人用バージョンのアプリにサインインしようとすると、仕事用バージョンのポータル サイトに送信されて、ガイダンス メッセージが表示されます。 以前は、ユーザーは、Google Play ストアにある個人用バージョンのポータル サイト アプリの一覧に送信されました。そこでガイダンス メッセージを表示するには、個人用ポータル サイトを再度有効にする必要がありました。

Tunnel ゲートウェイ サーバーのアップグレードに適用されるオプションを構成する

Microsoft Tunnel ゲートウェイ サーバーのアップグレードの管理に役立つオプションが追加されました。 新しいオプションはサイトの構成に適用され、次のものが含まれます。

  • 各トンネル サイトのメンテナンス期間を設定します。 この期間により、そのサイトに割り当てられている Tunnel サーバーのアップグレードをいつ開始できるかが定義されます。

  • サイトのすべてのサーバーでアップグレードを続行する方法を決定する、サーバーのアップグレードの種類を構成します。 以下から選択できます。

    • 自動 - サイトのすべてのサーバーは、新しいバージョンのサーバーが使用可能になった後、できるだけ早くアップグレードされます。
    • 手動 - サイトのサーバーは、管理者が明示的にアップグレードの許可を選択した後でのみアップグレードされます。
  • [正常性チェック] タブに、サーバーのソフトウェア バージョンの状態が表示されるようになりました。これにより、Tunnel サーバー ソフトウェアが古くなったことがわかります。 状態には以下が含まれます。

    • 正常 - 最新のソフトウェア バージョンでの最新の状態。
    • 警告 - 1 つ前のバージョン
    • 異常 - 2 つ以上前のバージョン

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されているアプリを Microsoft Intune で使用できるようになりました。

  • Omnipresence Go (Omnipresence Technologies, Inc.)
  • Comfy (Building Robotics, Inc.)
  • M-Files for Intune (M-Files Corporation)

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

監視とトラブルシューティング

新しい運用レポートのデータをフィルター処理するための新しい UI

新しい運用レポートで、データ フィルターを追加するための新しい UI がサポートされるようになりました。 新しいフィルター ピルにより、レポート データのスライス、調整、表示に役立つエクスペリエンスが向上します。 Intune のレポートの詳細については、「Intune レポート」を参照してください。

エンドポイント分析での Windows 再起動頻度レポートの一般提供開始

現在、エンドポイント分析の [スタートアップ パフォーマンス] により、PC の起動時間を計測して最適化するための分析情報が IT 担当者に提供されます。 ただし、ブルー スクリーンが原因で毎日再起動するデバイスは、起動時間が速い場合でもユーザー エクスペリエンスが低下するため、再起動の頻度はユーザー エクスペリエンスに影響を与える可能性があります。 問題のあるデバイスを特定するのに役立つ、組織内の再起動頻度に関するレポートが追加されました。 詳細については、「エンドポイント分析での再起動頻度」を参照してください。

2021 年 3 月

アプリ管理

macOS デバイス用の Intune 管理エージェントがユニバーサル アプリに

Microsoft エンドポイント マネージャーから macOS デバイス用のシェル スクリプトまたはカスタム属性を展開すると、Apple シリコンを搭載した Mac コンピューターでネイティブに実行される新しいユニバーサル バージョンの Intune 管理エージェント アプリが展開されます。 同じ展開で、Intel Mac コンピューターには x64 バージョンのアプリがインストールされます。 Apple シリコンを搭載した Mac で x64 (Intel) バージョンのアプリを実行するには、Rosetta 2 が必要です。 Apple シリコンを搭載した Mac に Rosetta 2 を自動的にインストールするには、エンドポイント マネージャーでシェル スクリプトを展開します。 詳細については、「macOS 用の Microsoft Intune 管理エージェント」を参照してください。

macOS デバイス用の Microsoft 365 Apps がユニバーサル アプリになる

Microsoft エンドポイント マネージャーから macOS デバイス用の Microsoft 365 Apps をデプロイすると、Apple Silicon Macs でネイティブに実行される新しいユニバーサル バージョンのアプリがデプロイされるようになりました。 同じデプロイで、macOS 10.14 以降を実行する Intel Macs には x64 バージョンのアプリがインストールされます。 macOS 用の Microsoft 365 Apps を追加するには、Microsoft エンドポイント マネージャー管理センター>[アプリ]>[すべてのアプリ]>[追加] に移動します。 [Microsoft 365 Apps][アプリの種類] の一覧で、[macOS] を選択します。 関連情報については、「Microsoft Intune を使用して macOS デバイスに Microsoft 365 を割り当てる」を参照してください。

Microsoft Launcher アプリの追加の構成キー

Android Enterprise の会社所有フル マネージド デバイスで、Microsoft Launcher 用のフォルダー構成設定を設定できるようになりました。 アプリ構成ポリシーと構成キーの値を使用すると、フォルダーの形状、全画面で開かれるフォルダー、フォルダーのスクロール方向に関する値を設定できます。 また、アプリと Web リンクの配置に加えて、ホーム画面へのフォルダーの配置も可能です。 さらに、エンド ユーザーがアプリ内でフォルダーのスタイルの値を変更できるようにすることもできます。 Microsoft Launcher の詳細については、「Intune で Android Enterprise 用に Microsoft Launcher を構成する」を参照してください。

Intune での Win32 アプリの置き換えのサポート

Intune でのアプリの置き換えのパブリック プレビューが有効になりました。 アプリ間の置き換えの関係を作成できるようになりました。これにより、既存の Win32 アプリを更新して、同じアプリの新しいバージョンまたは完全に異なる Win32 アプリに置き換えることができます。 詳細については、Win32 アプリ管理に関するページを参照してください。

Android デバイスでのアプリの条件付き起動の最大 OS バージョン設定

Intune アプリ保護ポリシーを使用して新しい条件付き起動設定を追加し、エンド ユーザーが Android デバイスでプレリリース版またはベータ版の OS ビルドを使用して職場または学校アカウントのデータにアクセスできないようにすることができます。 この設定により、エンド ユーザーが Android デバイスで新しい OS 機能を活発に使用する前に、すべての OS リリースを詳しく調べることができます。 Microsoft エンドポイント マネージャー管理センター[アプリ]>[アプリ保護ポリシー] を選択すると、この設定が見つかります。 関連情報については、「アプリ保護ポリシーを作成して割り当てる方法」を参照してください。

デバイス構成

新しいバージョンの PFX 証明書コネクタ

PFX Certificate Connector の新しいバージョン (バージョン 6.2101.16.0) がリリースされました。 この更新では PFX の作成フローが改善され、コネクタをホストするオンプレミスのサーバー上での証明書要求ファイルの重複が防止されます。

両方の証明書コネクタのコネクタ リリースのリストを含む、証明書コネクタの詳細については、「証明書コネクタ」を参照してください。

Windows 10/11 および Windows Holographic for Business の VPN 接続の種類として Cisco AnyConnect を使用する

カスタム プロファイルを使用しなくても、接続タイプとして Cisco AnyConnect を使用して VPN プロファイルを作成できます (デバイス>構成> プロファイルの作成>Windows 10以降のプロファイルの場合>>は Cisco AnyConnect for connection type)。

このポリシーには、Microsoft Store で入手できる Cisco AnyConnect アプリが使用されます。 Cisco AnyConnect デスクトップ アプリケーションは使用されません。

Intune での VPN プロファイルの詳細については、「VPN プロファイルを作成して VPN サーバーに接続する」を参照してください。

適用対象:

  • Windows 11
  • Windows 10
  • Windows Holographic for Business

Windows 10/11 デバイスでシングル アプリ キオスク モードの Microsoft Edge バージョン 87 以降を実行する

Windows クライアント デバイスでは、1 つのアプリを実行するキオスクとして実行するようにデバイスを構成するか、多数のアプリを実行します (デバイス>構成プロファイル>プロファイルの作成>Windows 10以降のプラットフォーム >テンプレート>キオスク)。 シングル アプリ モードを選択すると、次のことができます。

  • Microsoft Edge バージョン 87 以降を実行します。
  • [Add Microsoft Edge legacy browser]\(Microsoft Edge レガシ ブラウザーを追加する\) を選択して、Microsoft Edge バージョン 77 以前を実行します。

キオスク モードで構成できる設定の詳細については、Windows クライアント デバイス用のキオスク設定に関するページを参照してください。

適用対象:

  • シングル アプリ キオスク モードの Windows 11
  • シングル アプリ キオスク モードの Windows 10
  • Microsoft Edge バージョン 87 以降
  • Microsoft Edge バージョン 77 以前

管理用テンプレートが設定カタログで使用可能になり、設定がさらに多くなった

Intuneでは、管理用テンプレートを使用してポリシーを作成できます (デバイス>構成プロファイル>プロファイルプロファイル>の作成Windows 10以降のプラットフォーム>のプロファイルの管理用テンプレート)。

[設定カタログ] では、管理用テンプレートも使用でき、さらに多くの設定 (デバイス>構成プロファイル>プロファイル>の作成Windows 10以降のプラットフォーム>の [プロファイルの設定カタログ] ) があります。

このリリースでは、管理者はオンプレミスのグループ ポリシーのみに存在していた、クラウドベースの MDM では利用できなかった追加の設定を構成できます。 このような設定は、Windows Insider クライアント エンドポイント ビルドで使用でき、1909、2004、2010 などの入手可能な Windows バージョンにバックポートできる場合があります。

管理用テンプレートを作成し、Windows によって公開されているすべての設定を使用する場合は、設定カタログを使用します。

詳細については、以下を参照してください。

適用対象:

  • Windows 11
  • Windows 10

Microsoft Edge の設定が増え、macOS の設定カタログで設定カテゴリが削除される

macOS デバイスでは、設定カタログを使用して Microsoft Edge バージョン 77 以降を構成できます (デバイス>構成プロファイル> プラットフォーム>設定カタログのプロファイル>macOS を作成します)。

今回のリリースの内容:

  • さらに Microsoft Edge の設定が追加されています。
  • 一時的に、設定カテゴリが削除されています。 特定の設定を検索するには、[Microsoft Edge - すべて] カテゴリを使用するか、設定名を検索します。 設定の一覧については、「 Microsoft Edge - ポリシー」を参照してください。

設定カタログの詳細については、「設定カタログを使用して設定を構成する」を参照してください。

適用対象:

  • macOS
  • Microsoft Edge

クラウド構成の Windows 10/11 は、ガイド付きシナリオとして利用可能

クラウド構成の Windows 10/11 は、Microsoft によって推奨される Windows 10/11 のデバイス構成です。 クラウド構成の Windows 10/11 はクラウド用に最適化されており、特化されたワークフロー ニーズを持つユーザー向けに設計されています。

自動的にアプリを追加し、クラウド構成の Windows 10/11 デバイスを構成するポリシーを作成する、ガイド付きシナリオがあります。

詳細については、クラウド構成の Windows 10/11 のガイド付きシナリオに関する記事を参照してください。

適用対象:

  • Windows 11
  • Windows 10

デバイスの登録

Enrollment Program トークンの同期状態

[Enrollment Program トークン] ペインに一覧表示される自動デバイス登録トークンの同期状態は、混乱を最小限に抑えるために削除されました。 トークンごとの情報は引き続き表示されます。 Enrollment Program トークンは、Apple Business Manager と Apple School Manager への自動デバイス登録を管理するために使用されます。 Microsoft エンドポイント マネージャー管理センターで、iOS および iPadOS デバイスのトークン リストを表示するには、[デバイス]>[iOS/iPadOS]>[iOS/iPadOS 登録]>[Enrollment Program トークン] を選択します。 macOS デバイスのトークン リストを表示するには、[デバイス]>[macOS]>[macOS 登録]>[Enrollment Program トークン] を選択します。 関連情報については、iOS/iPadOS デバイスの自動登録および macOS デバイスの自動登録に関するページを参照してください。

デバイス管理

以前は、自動デバイス登録 (ADE) トークンごとの iOS/iPadOS または macOS デバイスの数を 60,000 以下にすることが推奨されていました。 この推奨される制限は、トークンあたり 200,000 デバイスに引き上げられました。 ADE トークンの詳細については、「Apple の Automated Device Enrollment を使用して iOS/iPadOS デバイスを自動登録する」を参照してください。

[すべてのデバイス] ビューとエクスポート レポートの列名の更新

[すべてのデバイス] ビューとエクスポート レポートの列名が、その列のデータを正確に反映するように、[Primary User UPN]\(プライマリ ユーザーの UPN\)、[プライマリ ユーザーのメール アドレス]、[プライマリ ユーザーの表示名] に更新されました。

Internet Explorer 11 のサポートの終了

Intune は、管理ポータル Web アプリ UI への Internet Explorer 11 管理者アクセスのサポートを 2021 年 3 月 31 日に終了します。 Azure 上に構築されたお使いの Microsoft サービスを管理するには、それまでに Edge または他のサポートされているブラウザーに移行してください。

診断リモート アクションの収集

新しいリモート操作である [診断情報の収集] を使用すると、エンド ユーザーに中断や待機を発生させることなく、企業のデバイスからログを収集できます。 収集されるログには、MDM、オートパイロット、イベント ビューアー、キー、構成マネージャー クライアント、ネットワーク、その他の重要なトラブルシューティング ログが含まれます。 詳細については、「Windows デバイスから診断情報を収集する」を参照してください。

デバイス データをエクスポートするための新しいオプション

デバイス データをエクスポートするときに、次の新しいオプションを使用できます。

  • エクスポートされるファイルに、選択した列のみを含めます。
  • エクスポートされるファイルに、すべてのインベントリ データを含めます。 これらのオプションを表示するには、Microsoft エンドポイント マネージャー管理センター>[デバイス]>[すべてのデバイス]>[エクスポート] に移動します。

デバイスのセキュリティ

Android Enterprise デバイス用の SCEP および PKCS 証明書プロファイルのサブジェクトと SAN で変数 CN={{UserPrincipalName}} を使用する

Android デバイス用の PKCS 証明書プロファイルまたは SCEP 証明書プロファイルのサブジェクトまたは SAN で、ユーザー属性 CN={{UserPrincipalName}} 変数を使用できるようになりました。 このサポートを利用するには、次のように登録されたデバイスのように、デバイスにユーザーが存在する必要があります。

  • 完全に管理されている Android Enterprise
  • 個人所有 Android Enterprise の仕事用プロファイル。

ユーザー属性は、Android Enterprise 専用として登録されているデバイスなど、ユーザーが関連付けられていないデバイスではサポートされていません。 たとえば、サブジェクトまたは SAN に CN={{UserPrincipalName}} が使用されているプロファイルで、デバイスにユーザーが存在しないときに、ユーザー プリンシパル名を取得することはできません。

Android および iOS で Defender for Endpoint のアプリ保護ポリシーを使用する

Android または iOS を実行するデバイスを対象にしたアプリ保護ポリシーで Microsoft Defender for Endpoint を使用できるようになりました。

  • iOS デバイスと Android デバイスの Microsoft Defender for Endpoint からの許容される最大脅威レベルのシグナルを含めるように、MAM 条件付き起動ポリシーを構成します。
  • デバイスが予想される脅威レベルを満たしているかどうかに基づいて、アクセスのブロックまたはデータのワイプを選択します。

構成すると、エンド ユーザーは、適切なアプリ ストアから Microsoft Defender for Endpoint アプリをインストールしてセットアップするように求められます。 前提条件として、Microsoft Defender for Endpoint コネクタを設定し、トグルをオンにしてリスク データがアプリ保護ポリシーに送信されるようにする必要があります。 関連情報については、「アプリ保護ポリシーの概要」と、Microsoft Intune での Microsoft Defender for Endpoint の使用に関するページを参照してください。

マルウェアが WMI を介して永続化されるのをブロックするために攻撃面の減少ルールを構成する

エンドポイント セキュリティの攻撃面の減少ルール プロファイルの一部として、[WMI イベント サブスクリプションを使用した永続化をブロックする] という規則を構成できるようになりました。

この規則により、マルウェアが WMI を悪用してデバイスでの永続性を獲得するのを防ぎます。 ファイルレス脅威は、さまざまな戦術を採用して潜伏し、ファイル システムに見つからないようにして、定期的に実行制御を獲得します。 脅威の中には、WMI リポジトリとイベント モデルを悪用して、潜伏できるものがあります。

エンドポイント セキュリティの "攻撃面の減少" ポリシーの設定として構成する場合、次のオプションを使用できます。

  • 未構成 (既定値) – 設定が Windows の既定値であるオフに戻され、永続化はブロックされません。
  • ブロック – WMI による永続化をブロックします。
  • 監査 – 有効になっている場合 (ブロックに設定)、この規則が組織に与える影響を評価します。
  • 無効 - この規則をオフにします。 永続化はブロックされません。

この規則は、[警告] オプションをサポートしておらず、設定カタログにあるデバイス構成設定としても使用できます。

Microsoft Tunnel の更新プログラム

新しいバージョンの Microsoft Tunnel ゲートウェイがリリースされました。これには次の変更が含まれます。

  • さまざまなバグ修正と機能強化。

Tunnel ゲートウェイ サーバーは、新しいリリースに自動的に更新されます。

Microsoft Tunnel Gateway サーバーの正常性状態の詳細

Microsoft エンドポイント マネージャー管理センターで Tunnel Gateway サーバーの詳細な正常性状態情報を確認できる機能が追加されました。

新しい [正常性チェック] タブには、次の情報が表示されます。

  • 最後のチェックイン - サーバーが Intune で最後にチェックインされた日時。
  • 現在の接続数 - 最後のチェックイン時のアクティブな接続の数
  • スループット - 最後のチェックイン時に NIC を経由するメガビット/秒。
  • CPU 使用率 - CPU の平均使用率。
  • メモリ使用量 - メモリの平均使用量。
  • 待機時間 - IP パケットが NIC を通過する平均時間。
  • TLS 証明書の有効期限の状態と有効期限までの日数 - トンネルのクライアントからサーバーへの通信を保護する TLS 証明書が有効である期間。

Android 用 Microsoft Defender for Endpoint アプリの Tunnel クライアント機能のパブリック プレビュー

Ignite で発表されたように、Microsoft Tunnel クライアント機能は Microsoft Defender for Endpoint アプリに移行されつつあります。 このプレビューでは、サポートされているデバイスの Tunnel アプリとして、Microsoft Defender for Endpoint のプレビュー バージョンの使用を開始できます。 既存の Tunnel クライアントは引き続き利用できますが、最終的には Defender for Endpoint アプリに移行されます。

このパブリック プレビューの適用対象:

  • Android Enterprise
    • フル マネージド
    • 会社所有の仕事用プロファイル
    • 個人所有の仕事用プロファイル

このプレビューでは、Microsoft Defender for Endpoint のプレビュー バージョンにアクセスするためにオプトインし、サポートされているデバイスをスタンドアロンの Tunnel クライアント アプリからプレビュー アプリに移行する必要があります。 詳細については、Microsoft Defender For Endpoint アプリへの移行に関する記事を参照してください。

Intune アプリ

Microsoft Launcher の構成キー

Android Enterprise のフル マネージド デバイスの場合、Intune アプリ用の Microsoft Launcher で追加のカスタマイズが可能になりました。 Launcher では、表示されるアプリと Web リンクのセットだけでなく、これらのアプリと Web リンクの順序も構成できます。 ホーム画面のカスタマイズを簡単にするため、アプリの構成の表示されるアプリの一覧と位置 (順序) が統合されました。 詳細については、「Microsoft Launcher の構成」を参照してください。

macOS デバイス用の Microsoft Edge がユニバーサル アプリになる

Microsoft エンドポイント マネージャーから macOS デバイス用の Microsoft Edge アプリをデプロイすると、Apple Silicon Macs でネイティブに実行される新しいユニバーサル バージョンのアプリがデプロイされるようになりました。 同じ展開で、Intel Mac には x64 バージョンのアプリがインストールされます。 macOS 用の Microsoft Edge を追加するには、Microsoft エンドポイント マネージャー管理センター>[アプリ]>[すべてのアプリ]>[追加] に移動します。 Microsoft Edge バージョン 77 以降[アプリの種類] の一覧で、[macOS] を選択します。 関連情報については、「Microsoft Intune を使用して Microsoft Edge を macOS デバイスに追加する」を参照してください。

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されているアプリを Microsoft Intune で使用できるようになりました。

  • Cogosense Technology Inc. の FleetSafer
  • Mazrica Inc. の Senses
  • Fuze, Inc. の Fuze Mobile for Intune
  • Movius Interactive Corporation の MultiLine for Intune

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

iOS/iPadOS ポータル サイト アプリでの通知エクスペリエンスの改善

ポータル サイト アプリでは、Microsoft エンドポイント マネージャー管理センターからユーザーの iOS および iPadOS デバイスに送信されたプッシュ通知を格納できるだけでなく、表示することもできるようになりました。 ポータル サイトのプッシュ通知の受信をオプトインしているユーザーは、お客様がポータル サイトの [通知] タブでユーザーのデバイスに送信した、カスタマイズされた保存済みメッセージを表示および管理できます。 関連情報については、「Intune ポータル サイト アプリ、ポータル サイト Web サイト、および Intune アプリをカスタマイズする方法」を参照してください。

ポータル サイト Web サイトの読み込みパフォーマンスの改善

ページ読み込みのパフォーマンスを向上させるため、アプリ アイコンがバッチで読み込まれるようになりました。 エンド ユーザーがポータル サイト Web サイトにアクセスすると、一部のアプリケーションでプレースホルダー アイコンが表示されることがあります。 関連するアイコンは、そのすぐ後に読み込まれます。 ポータル サイトの詳細については、「Intune ポータル サイト アプリ、ポータル サイト Web サイト、および Intune アプリをカスタマイズする方法」と「ポータル サイト Web サイトからアプリを管理する」を参照してください。

監視とトラブルシューティング

Microsoft 導入スコアのエンドポイント分析

Microsoft 導入スコアには、組織レベルの分析情報を Microsoft エンドポイント マネージャー以外の他のロールと共有する新しい Endpoint Analytics ページがあります。 ユーザーが目標を達成できるようにするには、デバイスがエンド ユーザーのエクスペリエンスにどのように影響しているかを理解することが重要です。 詳細については、「 Microsoft 導入スコアのエンドポイント分析」を参照してください。

エンドポイント分析のアプリケーションの信頼性レポート

エンドポイント分析で新しいアプリケーションの信頼性レポートを使用できるようになります。 このレポートには、管理対象 PC 上のデスクトップ アプリケーションの潜在的な問題に関する分析情報が提供されます。 エンド ユーザーの生産性に影響している上位のアプリケーションをすばやく特定できるだけでなく、これらのアプリケーションの全体的なアプリ使用状況とアプリのエラー メトリックを確認することもできます。 特定のデバイスにドリルダウンし、アプリの信頼性イベントのタイムラインを表示することで、トラブルシューティングを行うことができます。 このレポートは、2021 年 3 月中にパブリック プレビューで提供される予定です。 詳細については、「エンドポイント分析のアプリケーションの信頼性」を参照してください。

エンドポイント分析での再起動頻度 (プレビュー)

現在、エンドポイント分析の [スタートアップ パフォーマンス] により、PC の起動時間を計測して最適化するための分析情報が IT 担当者に提供されます。 ただし、再起動の頻度も同様にユーザー エクスペリエンスに影響する可能性があります。なぜなら、ブルー スクリーンが原因でデバイスが毎日再起動されたら、起動時間が高速であったとしても、ユーザー エクスペリエンスは低下するからです。 問題のあるデバイスを特定するのに役立つ、組織内の再起動頻度に関するプレビュー レポートが追加されました。 詳細については、「エンドポイント分析での再起動頻度 (プレビュー)」を参照してください。

役割ベースのアクセス制御

Microsoft Tunnel ゲートウェイ用のロールベースのアクセス許可の更新

Microsoft Tunnel を管理する権限をだれが持つかを制御するために、Intune のロールベースのアクセス制御に新しいアクセス許可グループとして Microsoft Tunnel ゲートウェイを追加しました。 この新しいグループには、次のアクセス許可が含まれます。

  • 作成 - Microsoft Tunnel ゲートウェイ サーバー、サーバー構成、およびサイトを構成します。
  • 更新 (変更) - Microsoft Tunnel ゲートウェイ サーバー、サーバー構成、およびサイトを更新します。
  • 削除 - Microsoft Tunnel ゲートウェイ サーバー、サーバー構成、およびサイトを削除します。
  • 読み取り - Microsoft Tunnel ゲートウェイ サーバー、サーバー構成、およびサイトを表示します。

既定では、Intune 管理者と Azure Active Directory 管理者には、これらのアクセス許可があります。 Intune テナント用にご自身で作成したカスタム ロールにこれらのアクセス許可を追加することもできます。

政府機関向け Intune および 21Vianet 用のカスタマイズ ポリシーでのスコープ タグのサポート

政府機関向け Intune および 21Vianet で運用されている Intune のカスタマイズ ポリシーにスコープ タグを割り当てることができるようになりました。 これを行うには、Microsoft エンドポイント マネージャー管理センター>[テナント管理]>[カスタマイズ] に移動します。ここに、スコープ タグの構成オプションが表示されます。

スクリプト

Graph API を使用して、ローカライズされた Intune レポート データをエクスポートする

Microsoft エンドポイント マネージャー レポートのエクスポート API を使用してエクスポートしたレポート データに、ローカライズされた列のみ、またはローカライズされた列とローカライズされていない列を含めることができるように指定できるようになりました。 ほとんどのレポートでは、ローカライズされた列とローカライズされていない列のオプションが既定で選択されます。これにより、重大な変更を防ぐことができます。 レポートの関連情報については、「Graph API を使用して Intune レポートをエクスポートする」および Graph API をして利用できる Intune レポートとプロパティに関する記事を参照してください。

2021 年 2 月

アプリ管理

エンド ユーザーは、Windows ポータル サイトからアプリのインストールを再開可能

エンド ユーザーは、進行状況が停滞している、または停止していると思われる場合、Windows ポータル サイトを使用してアプリのインストールを再開できます。 この機能は、アプリのインストールの進行状況が 2 時間以内に変化していない場合に使用できます。 関連情報については、「Microsoft Intune にアプリを追加する」をご覧ください。

必須の iOS または iPadOS アプリを削除可能にするかどうかを構成する

必須の iOS または iPadOS アプリをエンド ユーザーが削除できるアプリとしてインストールするかどうかを構成できるようになりました。 この新しい設定は、iOS ストア、LOB、および組み込みアプリに適用されます。 この設定は、Microsoft Endpoint Manager admin center で、[アプリ]>[iOS/iPadOS]>[追加] を選択すると表示されます。 アプリの割り当てを設定する際に、[Install as removable]\(削除可能としてインストールする\) を選択できます。 既定値は [はい] で、アプリが削除可能であることを意味します。 iOS 14 上の既存の必須インストールが、既定の (削除可能な) 設定値に更新されました。 iOS または iPadOS アプリの詳細については、Microsoft Intune アプリの管理に関する記事を参照してください。

共有 iPad デバイスでサポートされている基幹業務アプリ

共有 iPad デバイスに基幹業務 (LOB) アプリを展開できるようになりました。 基幹業務アプリは、Microsoft エンドポイント マネージャー管理センターから共有 iPad デバイスを含むデバイス グループに必須として割り当てられている必要があります。 Microsoft エンドポイント マネージャー管理センターで、[アプリ]>[すべてのアプリ]>[追加] の順に選択します。 関連情報については、「iOS/iPadOS の基幹業務アプリを Microsoft Intune に追加する」を参照してください。

Microsoft Endpoint Configuration Manager コネクタ

Microsoft Endpoint Configuration Manager のコネクタが管理センターに表示されるようになりました。 コネクタを確認するには、[テナントの管理]>[コネクタとトークン]>[Microsoft Endpoint Configuration Manager] にアクセスします。 バージョン 2006 以降を実行する Configuration Manager 階層を選択して、その追加情報を表示します。

デバイス構成

キオスク モードで実行している Android Enterprise 9.0 以降の専用デバイスでは、Google のコンプライアンス画面が自動的に表示されます

Intune で、Android Enterprise デバイスに対するデバイス構成パスワード ポリシーとデバイス コンプライアンス パスワード ポリシーを作成できます。

ポリシーを作成すると、キオスク モードで実行している Android Enterprise 専用デバイスでは、自動的に Google のコンプライアンス画面が使用されます。 これらの画面により、ユーザーはポリシーの規則を満たすパスワードを設定するように強制的にガイドされます。

パスワードとキオスク ポリシーの作成の詳細については、以下を参照してください。

適用対象:

  • キオスク モードの Android Enterprise 9 以降

新しいバージョンの PFX 証明書コネクタ

PFX Certificate Connector の新しいバージョン (バージョン 6.2101.13.0) がリリースされました。 この新しいコネクタ バージョンでは、次に示すログに関する機能強化が PFX コネクタに加えられます。

  • イベント ログの新しい場所。ログは 管理 に分割され、運用&デバッグ
  • &管理操作ログの既定値は 50 MB です。自動アーカイブが有効になっています。
  • PKCS インポート、PKCS 作成、および取り消しの EventID。

両方の証明書コネクタのコネクタ リリースのリストを含む、証明書コネクタの詳細については、「証明書コネクタ」を参照してください。

新しいバージョンの PFX 証明書コネクタ

PFX Certificate Connector の新しいバージョン (バージョン 6.2009.2.0) がリリースされました。 この新しいコネクタのバージョンの内容:

  • コネクタ サービスを実行するアカウントを保持するようにコネクタのアップグレードを改善します。

両方の証明書コネクタのコネクタ リリースのリストを含む、証明書コネクタの詳細については、「証明書コネクタ」を参照してください。

デバイス構成を使用して、Managed Home Screen でフォルダーの作成やグリッド サイズの設定を行う

Android Enterprise 専用デバイスでは、マネージド ホーム スクリーン設定を構成できます (デバイス>の構成>プロファイル>Android Enterprise for platform >フル マネージド、Dedicated、および Corporate-Owned プロファイル デバイスエクスペリエンスの仕事用プロファイル >> デバイスの制限を作成します)。

マルチ アプリ キオスク モードで Managed Home Screen を使用する場合は、[Custom app layout]\(カスタム アプリ レイアウト\) 設定が存在します。 この設定を使用すると、次のことができます。

  • フォルダーを作成し、それらのフォルダーにアプリを追加し、Managed Home Screen にフォルダーを配置します。 各フォルダーを順序付けする必要はありません。

  • Managed Home Screen でアプリとフォルダーを順序付けするかどうかを選択します。 順序付けする場合、次のことも行えます。

    • グリッドのサイズを設定する。
    • グリッド上の別の場所にアプリとフォルダーを追加する。

以前は、アプリ構成ポリシーを使用する必要がありました。

詳細については、Android Enterprise 専用デバイスのデバイス エクスペリエンス設定に関する記事を参照してください。

適用対象:

  • Android Enterprise 専用デバイス

設定カタログを使用して macOS デバイスで Microsoft Edge ブラウザーを構成する

現在、macOS デバイスでは、ユーザー設定ファイルを使用して Microsoft Edge ブラウザーを .plist 構成します (デバイス>構成プロファイル>プラットフォーム用プロファイル>macOS プロファイル用 >の基本設定ファイル を作成します)。

Microsoft Edge ブラウザーを構成するための更新された UI があります。デバイス>構成プロファイル>プロファイルプラットフォームの macOS> プロファイルの>設定カタログを作成します。 必要な Microsoft Edge 設定を選択した後、それらを構成します。 プロファイルでは、設定を追加したり、既存の設定を削除したりすることもできます。

構成できる設定の一覧を確認するには、「Microsoft Edge - ポリシー」を参照してください。 macOS がサポート対象プラットフォームとして一覧に表示されていることを確認してください。 一部の設定が設定カタログで使用できない場合は、引き続き基本設定ファイルのみを使用することをお勧めします。

詳細については、以下を参照してください。

構成したポリシーを確認するには、Microsoft Edge を開き、edge://policyに移動します。

適用対象:

  • Microsoft Edge ブラウザー バージョン 77 以降 (macOS)

Android Enterprise デバイスの VPN 接続の種類として NetMotion Mobility を使用する

VPN プロファイルを作成する場合、Android Enterprise 用の VPN 接続の種類として NetMotion Mobility を使用できます。

  • デバイス>デバイス構成>プロファイルの>作成Android Enterprise>フル マネージド、専用、Corporate-Owned作業プロファイル>接続の種類のプロファイル >NetMotion MobilityVPN
  • デバイス>デバイス構成>プロファイルの>作成Android Enterprise>個人所有の仕事用プロファイル>接続の種類のプロファイル >NetMotion MobilityVPN

Intune での VPN プロファイルの詳細については、「VPN プロファイルを作成して VPN サーバーに接続する」を参照してください。

適用対象:

  • Android Enterprise の個人所有の仕事用プロファイル
  • Android Enterprise のフル マネージド、専用、会社所有の仕事用プロファイル

macOS および Windows クライアント デバイスのデバイス構成プロファイルを作成する場合の設定カタログとテンプレート

macOS および Windows 10/11 デバイスのデバイス構成プロファイルを作成する場合の UI が更新されます ([デバイス]>[構成プロファイル]>[プロファイルの作成]>[macOS] または [Windows 10 以降] (プラットフォームとして))。

プロファイルには、設定カタログテンプレートが表示されます。

  • 設定カタログ: このオプションを使用して、最初から開始し、使用可能な設定のライブラリから必要な設定を選択します。 macOS の場合、設定カタログには、Microsoft Edge バージョン 77 以降を構成するための設定が含まれています。 Windows クライアントの設定カタログには、多数の既存の設定と新しい設定が、すべて 1 か所にまとめて含まれています。
  • テンプレート: デバイスの制限、デバイス機能、VPN、Wi-Fi など、既存のすべてのプロファイルを構成するには、このオプションを使用します。

これは UI の変更のみで、既存のプロファイルには影響しません。

詳細については、「設定カタログ」を参照してください。

適用対象:

  • macOS
  • Windows 11
  • Windows 10

監視下にある iOS/iPadOS デバイスのホーム画面のレイアウト更新

iOS/iPadOS デバイスでは、ホーム画面レイアウトを構成できます (デバイス>デバイス構成>プロファイルを作成する>iOS/iPadOS for platform プロファイル>のデバイス機能>ホーム画面レイアウト)。 Intune のホーム画面のレイアウト機能が更新されます。

- ホーム画面のレイアウトに新しいデザインが追加されています。 この機能により、管理者は、アプリとアプリ アイコンがページ、ドック、およびフォルダー内でどのように表示されるかをリアルタイムで確認できます。 この新しいデザイナーでアプリを追加する場合、別のページを追加することはできません。 ただし、フォルダーに 9 つ以上のアプリを追加すると、それらのアプリは自動的に次のページに移動します。 既存のポリシーに影響はなく、変更する必要はありません。 設定値は、悪影響を及ぼすことなく新しい UI に転送されます。 デバイス上での設定の動作は同じです。 - Web リンク (Web アプリ) をページまたはドックに追加します。 Web リンクの特定の URL は、必ず 1 回だけ追加するようにしてください。 既存のポリシーに影響はなく、変更する必要はありません。

ホーム画面のレイアウトを含め、構成できる設定の詳細については、「Intune で一般的な iOS および iPadOS 機能を使用するための iOS および iPadOS デバイスの設定」を参照してください。

適用対象:

  • 監視下にある iOS/iPadOS デバイス

iOS/iPadOS デバイスで Apple の個人用広告を制限する

iOS/iPadOS デバイスでは、Apple の個人用広告を構成できます。 有効にすると、個人用設定された広告は、App Store、Apple News、および株式アプリで制限されます (デバイス>デバイス構成>プロファイルを作成する>iOS/iPadOS for platform プロファイル>の>デバイス制限一般>Apple パーソナライズド広告を制限します)。

この設定は、パーソナライズされた広告にのみ影響します。 この設定を構成すると、[設定]>[プライバシー]>[Apple の広告][オフ] に設定されます。 これは、App Store、Apple News、Stocks アプリ内のパーソナライズされていない広告には影響しません。 Apple の広告ポリシーの詳細については、「 Apple Advertising & Privacy (Apple の Web サイトを開く)」を参照してください。

Intune で構成できる現在の設定を確認するには、機能を許可または制限するための iOS および iPadOS デバイスの設定に関する記事を参照してください。

適用対象:

  • デバイス登録またはデバイスの自動登録で登録された iOS/iPadOS 14.0 以降のデバイス

管理用テンプレートに Microsoft Edge バージョン 88 用の新しいポリシーを追加

Microsoft Edge バージョン 88 に適用される新しい ADMX 設定を構成して展開することができます。 新しいポリシーを確認するには、Microsoft Edge のリリース ノートにアクセスしてください。

Intune でのこの機能の詳細については、Microsoft Edge のポリシー設定の構成に関する記事を参照してください。

適用対象:

  • Windows 11
  • Windows 10

コンプライアンス違反のメール通知でのロケールのサポート

コンプライアンス ポリシーにより、異なるロケールごとに別のメッセージが含まれる通知メッセージ テンプレートがサポートされるようになりました。 複数の言語をサポートするために、ロケールごとに個別のテンプレートおよびポリシーを作成する必要がなくなりました。

テンプレートでロケール固有のメッセージを構成すると、準拠していないエンド ユーザーが、各自の O365 の優先言語に基づいて、ローカライズされた適切な電子メール通知メッセージを受信します。 また、テンプレートでは、"既定の" メッセージとして、ローカライズされたメッセージを 1 つ指定します。 既定のメッセージは、優先言語を設定していないユーザーに送信されるか、テンプレートにユーザーのロケール固有のメッセージが含まれていない場合に送信されます。

デバイスの登録

Apple 自動デバイス登録セットアップ アシスタントのさらに多くの画面を非表示にする

iOS および iPadOS 14.0 以降、および macOS 11 以降のデバイスに対して、以下の設定アシスタント画面が表示されないように、自動デバイス登録 (ADE) プロファイルを設定できるようになりました。

  • 復元完了、iOS/iPadOS 14.0 以降の場合。
  • ソフトウェア更新完了、iOS/iPadOS 14.0 以降の場合。
  • アクセシビリティ、macOS 11 以降の場合 (Mac デバイスがイーサネットに接続されている必要があります)。

デバイス管理

デバイス セキュリティ ポリシーを基本的なモビリティとセキュリティから Intune に移行する

ポリシー移行ツールを使用すると、Basic Mobility and Security (以前の MDM for Office 365 または Office MDM) によって展開されたモバイル デバイス管理 (MDM) デバイス セキュリティ ポリシーを、標準の Intune MDM 構成プロファイルおよびコンプライアンス ポリシーに完全に移行できます。 このツールを使用すると、Basic Mobility and Security デバイス セキュリティ ポリシーで今後行われるポリシーの作成と編集がすべて無効になります。

このツールを使用するには、次のことが必要です。

  • Basic Mobility and Security によって管理されるデバイスのすべてのユーザーの Intune ライセンスを既に購入している (ただし、まだ割り当てられていない)。
  • Intune for Education サブスクリプションを購入している場合、サポートに連絡して資格を確認する。

詳細については、「モバイル デバイス管理を基本的なモビリティとセキュリティから Intune に移行する」を参照してください。

会社所有の Windows デバイスの [プロパティ] ページのサブネット ID と IP アドレス

会社所有の Windows デバイス用の [プロパティ] ページに、サブネット ID と IP アドレスが表示されるようになりました。 それらを表示するには、エンドポイント マネージャー管理センター>の[デバイス>] [すべてのデバイス>] の順に移動し、企業所有の Windows デバイス>のプロパティを選択します。

デバイスのセキュリティ

Microsoft Defender Application Guard の Intune サポートに分離 Windows 環境が追加された

エンドポイント セキュリティ攻撃面の縮小ポリシーでIntune アプリとブラウザーの分離プロファイルで [Application Guardを有効にする] を構成する場合は、Application Guardを有効にするときに、次のオプションから選択できます。

  • Microsoft Edge - "以前から使用可能"
  • 分離 Windows 環境 - "今回の更新の新機能"
  • Microsoft Edge分離された Windows 環境 - この更新プログラムを使用した新機能

今回より前のリリースでは、この設定の名前は、[Turn on Application Guard for Edge (Options)]\(Edge に対して Application Guard を有効にする (オプション)\) でした。

この設定の新しいオプションは、Application Guardサポートを Edge の URL 以外にも拡張します。 Application Guard を有効にして、ハードウェアの分離 Windows VM 環境 (コンテナー) で潜在的な脅威を開くことで、デバイスを保護できるようになりました。 たとえば、分離された Windows 環境がサポートされている場合、Application Guard により、分離された Windows VM で信頼されていない Office ドキュメントを開くことができます。

この変更により:

  • Intune で、Windows MDM CSP で見つかるすべての値がサポートされるようになりました: AllowWindowsDefenderApplicationGuard
  • 分離された Windows 環境を使用する場合のデバイス ユーザーへの影響について理解を深めるには、Windows セキュリティ ドキュメントの「Application Guard のテスト シナリオ」を参照してください。
  • Application Guard および Office アプリのサポートの詳細については、Microsoft 365 のドキュメントの Office 用 Application Guard に関する記事を参照してください。

攻撃面の減少ポリシーの新しい Application Guard 設定

Intune のエンドポイント セキュリティの攻撃面の減少ポリシーにあるアプリとブラウザーの分離プロファイルに、2 つの新しい設定が追加されました。

  • [Application Guard allow camera and microphone access]\(Application Guard でカメラとマイクへのアクセスを許可する\) – Application Guard アプリによるデバイスのカメラとマイクへのアクセスを管理します。
  • [Application Guard allow use of Root Certificate Authorities from the user's device]\(Application Guard でユーザーのデバイスからのルート証明機関の使用を許可する\) – 1 つ以上のルート証明書の拇印を指定すると、一致する証明書が Microsoft Defender Application Guard コンテナーに転送されます。

詳細については、「アプリとブラウザーの分離」の設定を参照してください。

セキュリティ ベースラインの更新

次のセキュリティ ベースラインでは新しいバージョンを使用できます。

ベースライン バージョンが更新されて、各製品チームが推奨するベスト プラクティス構成を維持するのに役立つ最新の設定がサポートされます。

バージョン間の変更点について理解するために、「ベースラインのバージョンを比較する」を参照し、変更内容が示された .CSV ファイルのエクスポート方法を確認してください。

エンドポイント セキュリティ ファイアウォール レポート

エンドポイント セキュリティのファイアウォール ポリシー専用として 2 つの新しいレポートが追加されました。

  • ファイアウォールがオフになっている Windows 10 MDM デバイスはエンドポイント セキュリティ ノードにあり、ファイアウォールがオフになっている Windows 10 デバイスの一覧が表示されます。 このレポートでは、デバイス名、デバイス ID、ユーザー情報、ファイアウォールの状態によって各デバイスが識別されます。
  • Windows 10 MDM ファイアウォールの状態[レポート] ノードにある組織レポートであり、Windows 10 デバイスのファイアウォールの状態が一覧表示されます。 このレポートには、ファイアウォールが有効か、無効か、制限付きか、または一時的に無効か、などの状態情報が表示されます。

Defender ウイルス対策レポートの [概要] ビュー

Microsoft Endpoint Manager admin center の [レポート] ノードにある Microsoft Defender ウイルス対策レポートのビューが更新されました。 現在、[レポート] ノードで [Microsoft Defender ウイルス対策] を選択すると、[概要] タブの既定のビューと、[レポート] の 2 つ目のタブが表示されます。 [レポート] タブには、以前に使用可能だった [Antivirus agent status]\(ウイルス対策エージェントの状態\) および [Detected malware]\(検出されたマルウェア\) 組織レポートが表示されます。

新しい [概要] タブには、以下の情報が表示されます。

  • ウイルス対策レポートの集計の詳細が表示される。
  • 各ウイルス対策状態のデバイス数を更新する、更新オプションが含まれている。
  • [Antivirus agent status]\(ウイルス対策エージェントの状態\) 組織レポートに含まれるものと同じデータが反映されます。これは、[レポート] タブからアクセスできるようになりました。

追加のモバイル脅威防御パートナー向けの Android および iOS/iPadOS でのアプリ保護ポリシーのサポート

2019 年 10 月に、Intune アプリ保護ポリシーに、Microsoft の脅威防御パートナーのデータを使用する機能が追加されました。

この更新により、アプリ保護ポリシーを使用することでデバイスの正常性に基づいてユーザーの企業データをブロックまたは選択的に消去できるように、次のパートナーに対してこのサポートを拡張しています。

  • Android、iOS、iPadOS の McAfee MVision Mobile

詳細については、「Intune でモバイル脅威防御アプリ保護ポリシーを作成する」を参照してください。

SCEP および PKCS プロファイルの証明書の有効期間の延長

Intune では、Simple Certificate Enrollment Protocol (SCEP) および公開キー暗号化標準 (PKCS) の証明書プロファイルで、最長 24 か月の証明書の有効期間がサポートされるようになりました。 これは、最長 12 か月という以前のサポート期間からの延長です。

このサポートは、Windows および Android に適用されます。 iOS/iPadOS および macOS では、証明書の有効期間は無視されます。

監視とトラブルシューティング

新しい [共同管理の適格性] 組織レポート

共同管理適格性レポートでは、共同管理可能なデバイスの適格性評価が提供されます。 共同管理により、Configuration Manager と Microsoft Intune の両方を使用して、Windows 10 デバイスを同時に管理できます。 [レポート>クラウド接続デバイス>] タブの [>共同管理の適格性] を選択すると、Microsoft エンドポイント マネージャー管理センターでこのレポートの概要を表示できます。 関連するレポートの情報については、「Intune レポート」を参照してください。

新しい共同管理されたワークロード組織レポート

[Co-Managed Workloads]\(共同管理されたワークロード\) レポートでは、現在共同管理されているデバイスのレポートが提供されます。 共同管理により、Configuration Manager と Microsoft Intune の両方を使用して、Windows 10 デバイスを同時に管理できます。 Microsoft エンドポイント マネージャー管理センターでこのレポートを表示するには、[クラウドに接続されたデバイス>のレポート>] タブの [共同管理されたワークロード] を>選択します。 詳細については、「Intune レポート」を参照してください。

Log Analytics にデバイスの詳細ログが含まれる

Intune デバイスの詳細ログを利用できるようになりました。 Microsoft Endpoint Manager admin center で、[レポート]>[Log Analytics] の順に選択します。 デバイスの詳細のセットを相互に関連付けて、カスタム クエリと Azure ブックを作成することができます。 詳細については、「Azure Monitor 統合レポート (スペシャリスト)」を参照してください。

役割ベースのアクセス制御

[登録ステータス] ページの [スコープ] タグのサポート

[登録ステータス] ページにスコープ タグを割り当てて、定義したロールのみがそれを表示できるようにすることが可能になりました。 詳細については、「登録ステータス ページのプロファイルを作成してグループに割り当てる」を参照してください。

スクリプト

追加のデータ ウェアハウス ベータ プロパティ

Intune データ ウェアハウス ベータ API を使って、追加のプロパティを使用できるようになりました。 次のプロパティは、ベータ API でデバイス エンティティを介して公開されます。

  • SubnetAddressV4Wifi - IPV4 Wi-Fi 接続のサブネット アドレス。
  • IpAddressV4Wifi - IPV4 Wi-Fi 接続の IP アドレス。

関連情報については、「Microsoft Intune データ ウェアハウス API」を参照してください。

2021 年 1 月

アプリ管理

iOS、macOS、Web ポータル サイト用のアプリケーション アイコンの更新

iOS、macOS、および Web 用のポータル サイトのアプリ アイコンが更新されました。 このアイコンは、Windows のポータル サイトでも使用されています。 エンド ユーザーに対して、デバイスのアプリケーション ランチャーとホーム画面、Apple の App Store、およびポータル サイト アプリ内のエクスペリエンスに新しいアイコンが表示されます。

個人所有の仕事用プロファイルでの Android Enterprise システム アプリのサポート

個人所有 Android Enterprise 仕事用プロファイル デバイスに Android Enterprise システム アプリを展開できるようになりました。 システム アプリは、managed Google Play ストアには表示されず、多くの場合デバイスにプレインストールされているアプリです。 システム アプリを展開すると、システム アプリをアンインストールしたり、非表示にしたり、削除したりすることはできなくなります。 システム アプリの関連情報については、「Android Enterprise システム アプリを Microsoft Intune に追加する」を参照してください。

依存関係のある Win32 アプリの削除

Intune に追加された Win32 アプリに依存関係がある場合は、削除できません。 そのようなアプリは、依存関係を削除した後にのみ削除できます。 この要件は、依存関係にある親アプリと子アプリの両方に適用されます。 また、この要件によって、依存関係が適切に適用され、依存関係の動作をより予測しやすくなります。 詳細については、「Microsoft Intune での Win32 アプリの管理」を参照してください。

カスタマイズ ポリシーのスコープ タグのサポート

スコープ タグをカスタマイズ ポリシーに割り当てられるようになりました。 これを行うには、Microsoft エンドポイント マネージャー管理センター>[テナント管理]>[カスタマイズ] に移動します。ここに、スコープ タグの構成オプションが表示されます。 政府機関向け Intune または 21Vianet が運用している Intuneで、この機能が使用できるようになりました。

Android 仕事用プロファイルの登録時にブラウザー アクセスが自動的に有効化される

Android Enterprise の個人所有の仕事用プロファイルの新規登録時に、ブラウザー アクセスが自動的に有効化されるようになりました。 この変更により、準拠デバイスはブラウザーを使用して、追加の操作を行うことなく、条件付きアクセスによって保護されているリソースにアクセスできます。 この変更の前には、ユーザーがポータル サイトを起動し、[設定]>[ブラウザー アクセスを有効にする] を選択してから [有効にする] をクリックする必要がありました。

この変更は、既に登録されているデバイスには影響しません。

Win32 アプリのダウンロード進行状況バー

Win32 アプリのダウンロード中、Windows ポータル サイトで、エンド ユーザーに進行状況バーが表示されるようになります。 この機能を使用すると、アプリのインストールの進行状況をより深く理解するのに役立ちます。

Android 用ポータル サイト アプリ アイコンの更新

Android 用ポータル サイト アプリ アイコンを更新し、デバイス ユーザー向けのより新しい外観を作成しました。 新しいアイコンの外観を確認するには、Google Play の Intune ポータル サイトの掲載ページにアクセスしてください。

デバイス構成

Microsoft Tunnel で Red Hat Enterprise Linux 8 がサポートされるようになりました

Microsoft Tunnel で Red Hat Enterprise Linux (RHEL) 8 を使用できるようになりました。 RHEL 8 を使用するために、何らかの操作を行う必要はありません。 自動的に更新される Docker コンテナーにサポートが追加されました。 さらに、この更新によって余分なログも抑制されます。

新しいバージョンの PFX 証明書コネクタ

PFX Certificate Connector の新しいバージョン (バージョン 6.2009.1.9) がリリースされました。 この新しいコネクタのバージョンの内容:

  • コネクタ証明書の更新の改善。

両方の証明書コネクタのコネクタ リリースのリストを含む、証明書コネクタの詳細については、「証明書コネクタ」を参照してください。

監視とトラブルシューティング

Graph API を使用して Intune レポートをエクスポートするときの更新

デバイス レポートの列を選択しないで exportJobs Graph API を使用して Intune レポートをエクスポートすると、既定の列セットが提供されます。 混乱を軽減するために、既定の列セットから列が削除されました。 削除された列は、PhoneNumberE164Format_ComputedComplianceState_OS、および OSDescription です。 これらの列は引き続き、必要に応じて選択できます。ただし、明示的にのみ選択でき、既定では選択されません。 デバイスのエクスポートの既定の列に関する自動化を作成し、その自動化でこれらの列のいずれかを使用する場合、プロセスをリファクタリングして、これらの列とその他の関連する列を明示的に選択する必要があります。 関連情報については、「Graph API を使用して Intune レポートをエクスポートする」を参照してください。

2020 年 12 月

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

  • Dynamics 365 Remote Assist
  • Box - Cloud Content Management
  • STid Mobile ID
  • FactSet 3.0
  • Notate for Intune
  • Field Service (Dynamics 365)

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

2020 年 11 月

アプリ管理

Android 用ポータル サイトでの仕事用プロファイルのメッセージの機能強化

仕事用プロファイルの動作の紹介と説明がいっそうわかりやすいように、Android 用ポータル サイトのメッセージを更新しました。 新しいメッセージングが表示されます。

  • 作業プロファイルの設定フローの後。 ユーザーには、作業アプリを検索する場所を説明する新しい情報画面と、ヘルプ ドキュメントへのリンクが表示されます。
  • ユーザーが誤って個人用プロファイルでポータル サイト アプリを再度有効にした場合。 ユーザーを仕事用アプリに誘導するためのより明確な説明と新しいイラストを含む画面 (お使いのデバイスには仕事用のプロファイルが追加されました) が再設計されました。ヘルプ ドキュメントへのリンクが含まれています。
  • [ヘルプ] ページ。 [ よく寄せられる質問 ] セクションには、仕事用プロファイルを設定してアプリを見つける方法に関するドキュメントに役立つ新しいリンクがあります。

PowerShell スクリプトはアプリの前に実行され、タイムアウトが減ります

PowerShell スクリプトには、いくつかの更新プログラムがあります。

  • Microsoft Intune管理拡張機能の実行フローは、最初に PowerShell スクリプトの処理に戻り、次に Win32 アプリを実行します。
  • 登録状態ページ (ESP) のタイムアウトの問題を解決するために、PowerShell スクリプトは 30 分後にタイムアウトします。 以前は、60 分後にタイムアウトしました。

詳細については、「Intune の Windows 10 デバイスで PowerShell スクリプトを使用する」を参照してください。

デバイス構成

Android Enterprise 専用デバイスで使用できる電源メニュー、ステータス バーの通知、さらに制限の厳しい設定

シングル またはマルチアプリ キオスク モードを実行している登録済み Android Enterprise 専用デバイスIntuneでは、次のことができます。

  • 電源メニュー、システム エラー警告、および設定アプリへのアクセスを制限します。
  • ユーザーがホームボタンと概要ボタンと通知を表示できるかどうかを選択します。

これらの設定を構成するには、デバイス制限構成プロファイルを作成します。デバイス>構成プロファイル> プラットフォーム>用プロファイル>Android Enterprise を作成フル マネージド、専用、および企業所有の仕事用プロファイル > デバイスの制限>全般

これらの設定と構成できるその他の設定の詳細については、「Android Enterprise デバイス設定」を参照して、Intuneを使用して機能を許可または制限します。

適用対象:

  • Android Enterprise 専用デバイス

iOS/iPadOS デバイスでのアプリ通知の新しい表示プレビュー設定

iOS/iPadOS デバイスでは、[プレビューの表示] 設定があります ([デバイス>の構成] プロファイル>プラットフォーム用>のプロファイル> iOS/iPadOS を作成プロファイル>アプリ通知のデバイス機能)。 この設定を使用して、最近のアプリ通知プレビューをデバイスに表示するタイミングを選択します。

アプリ通知の設定と構成できるその他の設定の詳細については、「 iOS/iPadOS の一般的な機能を使用するためのデバイス設定」を参照してください。

Microsoft Tunnel for iOS のオンデマンド ルール

Microsoft Tunnel では、 iOS/iPad デバイスのオンデマンド ルールがサポートされるようになりました。 オンデマンド ルールを使用すると、特定の FQDN または IP アドレスに対して条件が満たされた場合に VPN の使用を指定できます。

Microsoft Tunnel を使用して iOS/iPadOS のオンデマンド 規則を構成するには、デバイス構成ポリシーの一部として iOS/iPadOS 用の VPN プロファイルを構成します。 [プロファイルの構成設定] ページで、[接続の種類] として [Microsoft Tunnel] を選択し、オンデマンド VPN 規則を構成するためのアクセス権を持つようになります。

構成できるオンデマンド VPN 規則の詳細については、「 自動 VPN 設定」を参照してください。

適用対象:

  • iOS/iPadOS

Windows 10 以降のデバイスでのWi-Fi プロファイルのその他の認証設定

Windows 10 以降を実行しているデバイス上のWi-Fi プロファイルの新しい設定と機能 (デバイス>デバイス構成>プロファイルの作成>Windows 10以降のプラットフォーム >Wi-Fi for profile >Enterprise):

  • 認証モード: ユーザー、デバイスを認証するか、ゲスト認証を使用します。

  • ログオンごとに資格情報を記憶する: VPN に接続するたびに、ユーザーに資格情報の入力を強制します。 または、ユーザーが資格情報を 1 回だけ入力できるように、資格情報をキャッシュします。

  • 次のような認証動作をより詳細に制御します。

    • 認証期間
    • 認証再試行の遅延期間
    • 開始期間
    • 最大EAPOL-Startメッセージ数
    • 最大認証エラー数
  • デバイスとユーザーの認証に個別の VLAN を使用する: シングル サインオンを使用する場合、Wi-Fi プロファイルでは、ユーザーの資格情報に基づいて別の仮想 LAN を使用できます。 Wi-Fi サーバーがこの機能をサポートしている必要があります。

これらの設定と構成できるすべての設定を表示するには、Intuneの [Windows 10 以降のデバイスのWi-Fi設定を追加する] に移動します。

適用対象:

  • Windows 10 以降

デバイス管理

個人所有の仕事用プロファイルの用語

混乱を避けるために、仕事用プロファイルの Android Enterprise 管理シナリオの用語は、Intuneドキュメントとユーザー インターフェイス全体を通じて、"仕事用プロファイルを持つ個人所有のデバイス" または個人所有の仕事用プロファイルに変更されます。 これは、"企業所有の仕事用プロファイル" (COPE) 管理シナリオと区別するためです。

windows Autopilot for HoloLens 2 (プレビュー)

HoloLens 2 デバイスの Windows Autopilot がパブリック プレビューになりました。 管理者は、フライティングのためにテナントを登録する必要がなくなりました。 HoloLens の Autopilot の使用方法の詳細については、「Windows Autopilot for HoloLens 2」を参照してください。

iOS 11 のサポートを終了する

Intune登録とポータル サイトでは、iOS バージョン 12 以降がサポートされるようになりました。 以前のバージョンはサポートされていませんが、引き続きポリシーを受け取ります。

macOS 10.12 のサポートを終了する

macOS Big Sur がリリースされたので、Intune登録とポータル サイトでは macOS バージョン 10.13 以降がサポートされるようになりました。 以前のバージョンはサポートされていません。

デバイスのセキュリティ

エンドポイント セキュリティのデバイス制御プロファイルの新しい設定

新しい設定である [ リムーバブル ストレージへの書き込みアクセスをブロック する] を追加しました。エンドポイント セキュリティの攻撃面の削減ポリシーの デバイス制御プロファイル[はい] に設定すると、リムーバブル 記憶域への書き込みアクセスがブロックされます。

攻撃面の縮小ルール プロファイルの設定の機能強化

エンドポイント証券の 攻撃面縮小ポリシーの一部である攻撃面の縮小ルール プロファイルで 、適用可能な設定のオプションが更新されました。

[無効][有効] などの既存のオプションに対する設定間の一貫性が強化され、新しいオプション [警告] が追加されました。

  • 警告 - バージョン 1809 以降Windows 10実行されているデバイスでは、デバイス ユーザーは設定をバイパスできることを示すメッセージを受け取ります。 たとえば、[ Adobe Reader の子プロセスの作成をブロックする] の設定で、[ 警告 ] のオプションを使用すると、そのブロックをバイパスし、Adobe Reader で子プロセスを作成できるようにするオプションがユーザーに表示されます。 以前のバージョンのWindows 10を実行するデバイスでは、ルールによって動作が適用され、バイパスするオプションはありません。

エンドポイント セキュリティのデバイス制御プロファイルでの USB デバイス ID のポリシー マージのサポート攻撃面の縮小ポリシー

エンドポイント セキュリティ攻撃面の縮小ポリシーのデバイス制御プロファイルに USB デバイス ID のポリシー マージのサポートが追加されました。 デバイス制御プロファイルの次の設定は、ポリシーのマージに対して評価されます。

  • デバイス識別子によるハードウェア デバイスのインストールを許可する
  • デバイス識別子によってハードウェア デバイスのインストールをブロックする
  • セットアップ クラスによるハードウェア デバイスのインストールを許可する
  • セットアップ クラスによるハードウェア デバイスのインストールをブロックする
  • デバイス インスタンス識別子によるハードウェア デバイスのインストールを許可する
  • デバイス インスタンス識別子によってハードウェア デバイスのインストールをブロックする

ポリシーのマージは、デバイスに適用される異なるプロファイル全体の各設定の構成に適用されます。 2 つの設定が密接に関連している場合でも、異なる設定間の評価は含まれません。

マージする内容の詳細な例と、サポートされている各設定の許可とブロックリストをデバイスにマージして適用する方法については、「デバイス制御プロファイルの 設定のポリシーのマージ 」を参照してください。

エンドポイント セキュリティのウイルス対策状態操作レポートの改善

Windows Defenderウイルス対策のウイルス対策状態操作レポートに新しい詳細が追加されました。これはエンドポイント セキュリティ ポリシー レポートです。

デバイスごとに、次の新しい情報列を使用できます。

  • 製品の状態 – デバイス上のWindows Defenderの状態。
  • 改ざん防止 – 改ざん防止が有効または無効になっています。
  • 仮想マシン – デバイスを仮想マシンまたは物理デバイスにします。

攻撃面の縮小ルールのルールマージの改善

攻撃表面の縮小ルールでは、デバイスごとにポリシーのスーパーセットを作成するために、さまざまなポリシーの設定を統合するための新しい動作がサポートされるようになりました。 競合していない設定のみがマージされますが、競合している設定はルールのスーパーセットには追加されません。 以前は、2 つのポリシーに 1 つの設定の競合が含まれている場合、両方のポリシーが競合しているとフラグが設定され、どちらのプロファイルの設定も展開されません。

攻撃面の縮小ルールのマージ動作は次のとおりです。

  • 次のプロファイルの攻撃面縮小ルールは、ルールが適用されるデバイスごとに評価されます。
  • 競合のない設定は、デバイスのポリシーのスーパーセットに追加されます。
  • 2 つ以上のポリシーに競合する設定がある場合、競合する設定は結合ポリシーに追加されませんが、競合しない設定はデバイスに適用されるスーパーセット ポリシーに追加されます。
  • 競合する設定の構成のみが保留されます。

MVISION Mobile – 新しいモバイル脅威防御パートナー

MVISION Mobile (Microsoft Intune と統合された McAfee の Mobile Threat Defense ソリューション) によって行われたリスク評価に基づいて、条件付きアクセスを使用して、企業リソースへのモバイル デバイス アクセスを制御できます。

監視とトラブルシューティング

構成プロファイルの問題のトラブルシューティングに役立つ新しいIntune運用レポート

新しい 割り当てエラー 操作レポートは、デバイスを対象とした構成プロファイルのエラーと競合のトラブルシューティングに役立つパブリック プレビューで使用できます。 このレポートには、テナントの構成プロファイルの一覧と、エラーまたは競合の状態にあるデバイスの数が表示されます。 この情報を使用して、プロファイルにドリルダウンし、プロファイルに関連するエラー状態のデバイスとユーザーの一覧を表示できます。 また、さらにドリルダウンして、設定の一覧や、エラーの原因に関連する設定の詳細を表示できます。 レポート全体のすべてのレコードをフィルター処理、並べ替え、検索できます。 Microsoft エンドポイント マネージャー管理センターで、[デバイス>モニター>の割り当てエラー (プレビュー)] を選択すると、このレポートを見つけることができます。 Intune のレポートの詳細については、「Intune レポート」を参照してください。

Azure Virtual Desktop VM の更新プログラムを報告する

次の設定は、ポリシー レポートで [適用なし ] としてマークされます。

  • BitLocker 設定
  • デバイスの暗号化
  • Defender Application Guard設定
  • Defender 改ざん防止
  • Wi-Fi プロファイル

非準拠ポリシーは、エラーまたは非準拠のデバイスのトラブルシューティングを行うためにレポートします

プレビューでは、新しい 非準拠ポリシー レポートは、デバイスを対象とするコンプライアンス ポリシーのエラーと競合のトラブルシューティングに使用できる運用レポートです。 非準拠ポリシー レポートには、1 つ以上のデバイスにエラーがある、またはポリシーに準拠していない状態にあるコンプライアンス ポリシーの一覧が表示されます。

このレポートを使用して、次の操作を行います。

  • 非準拠状態またはエラー状態のデバイスに対するデバイス コンプライアンス ポリシーを表示し、ドリルインして、失敗した状態のデバイスとユーザーの一覧を表示します。
  • さらにドリルダウンして、失敗の原因となっている設定と設定情報の一覧を表示します。
  • レポート内のすべてのレコードをフィルター処理、並べ替え、検索します。 ページング コントロールを追加し、csv ファイルへのエクスポート機能を強化しました。
  • 問題が発生しているタイミングを特定し、トラブルシューティングを効率化します。

デバイス コンプライアンスの監視の詳細については、「デバイス コンプライアンス ポリシー Intune監視する」を参照してください。

2020 年 10 月

アプリ管理

登録が [使用不可] に設定されている場合、登録が必要なアプリは非表示になります

[登録済みデバイスで使用可能][必須の意図] で割り当てられたアプリは、デバイス登録設定が [使用不可] に設定されているユーザーのポータル サイトには表示されません。 この変更は、登録されていないデバイスからポータル サイト アプリまたは Web サイトを表示する場合にのみ適用されます (MAM マネージド アプリケーションを使用した登録解除されたデバイスを含む)。 [デバイス登録] 設定の値に関係なく、登録済みデバイスからポータル サイトを表示するユーザーには、アプリが引き続き表示されます。 詳細については、「デバイス登録設定のオプション」を参照してください。

iOS ポータル サイトプライバシー メッセージのカスタマイズの機能強化

これで、iOS ポータル サイトでプライバシー メッセージングをカスタマイズする機能が強化されました。 組織で表示できない内容をカスタマイズできることに関する以前のサポートに加えて、iOS ポータル サイトのエンド ユーザーに表示されるプライバシー メッセージで組織が表示できる内容をカスタマイズできるようになりました。 この機能をサポートするには、デバイスが少なくともバージョン 4.11 ポータル サイト実行され、表示される内容に関するカスタマイズされたメッセージングを確認する必要があります。 この機能は、[テナント管理>のカスタマイズ] を選択することで、Microsoft エンドポイント マネージャー管理センターで使用できます。 関連情報については、「ポータル サイト プライバシー」メッセージ参照してください。

COPE デバイス上の Android アプリ保護ポリシー (MAM)

新しく追加されたモバイル アプリケーション管理 (MAM) サポートにより、仕事用プロファイル (COPE) を持つ Android Enterprise 企業所有のデバイスで Android アプリ保護ポリシーが有効になります。 アプリ保護ポリシーの詳細については、「アプリ保護 ポリシーの概要」を参照してください。

Android デバイスの最大ポータル サイトバージョンの有効期間

年齢制限は、Android デバイスのポータル サイト (CP) バージョンの最大日数として設定できます。 この設定により、エンド ユーザーが CP リリースの一定の範囲内 (日数) に収まるようにします。 デバイスの設定が満たされていない場合、この設定に対して選択したアクションがトリガーされます。 アクションには、 アクセスのブロックデータのワイプ、または 警告が含まれます。 この設定は、Microsoft Endpoint Manager 管理センターで [アプリ>アプリ保護 ポリシー作成]> を選択することで確認できます。 [最大ポータル サイトバージョンの有効期間 (日数)] 設定は、[条件付き起動] ステップの [デバイスの条件] セクションで使用できます。 詳細については、「 Android アプリ保護ポリシー設定 - 条件付き起動」を参照してください。

Mac LOB アプリは、macOS 11 以降のマネージド アプリとしてサポートされます

Intuneでは、macOS 11 以降に展開された Mac 基幹業務 (LOB) アプリ用に構成できる [管理対象アプリとしてインストール] プロパティがサポートされています。 この設定がオンの場合、Mac LOB アプリは、サポートされているデバイス (macOS 11 以降) にマネージド アプリとしてインストールされます。 管理された基幹業務アプリは、サポートされているデバイス (macOS 11 以降) の アンインストール 割り当ての種類を使用して削除できます。 さらに、MDM プロファイルを削除すると、すべての管理対象アプリがデバイスから削除されます。 Microsoft エンドポイント マネージャー管理センターで、[アプリ]>[macOS>追加] の順に選択します。 アプリの追加の詳細については、「アプリをMicrosoft Intuneに追加する」を参照してください。

Outlook S/MIME メールを常に署名または暗号化できるようにする

iOS/iPadOS および Android Enterprise デバイスのアプリ構成で Outlook 電子メール プロファイルを作成するときに、Outlook S/MIME メールを常に署名または暗号化できるようにします。 この設定は、Outlook アプリ構成ポリシーの作成時に [管理対象デバイス ] を選択したときに使用できます。 この設定は、Microsoft Endpoint Manager 管理センターで [アプリ] [>アプリの構成ポリシー] [管理対象デバイス追加]> の順に>選択することで確認できます。 関連情報については、「Microsoft Intune のアプリ構成ポリシー」を参照してください。

Workplace Join (WPJ) デバイスの Win32 アプリのサポート

既存の Win32 アプリは、Workplace Join (WPJ) デバイスでサポートされています。 以前は WPJ デバイスでサポートされなかった PowerShell スクリプトを WPJ デバイスにデプロイできるようになりました。 具体的には、デバイス コンテキストの PowerShell スクリプトは WPJ デバイスで機能しますが、ユーザー コンテキストの PowerShell スクリプトは設計上、無視されます。 ユーザー コンテキスト スクリプトは WPJ デバイスで無視され、Microsoft Endpoint Manager コンソールに報告されません。 PowerShell の詳細については、「Intuneのデバイスで PowerShell スクリプトWindows 10使用する」を参照してください。

デバイス構成

デバイス ファームウェア構成インターフェイス (DFCI) の一般公開

DFCI は、オープンソースの統合拡張ファームウェア インターフェイス (UEFI) フレームワークです。 これにより、Microsoft エンドポイント マネージャーを使用して、Windows Autopilot デバイスの UEFI (BIOS) 設定を安全に管理できます。 また、ファームウェア構成に対するエンド ユーザーの制御も制限されます。

従来の UEFI 管理とは異なり、DFCI を使用すると、サード パーティのソリューションを管理する必要がなくなります。 また、クラウド管理に Microsoft Endpoint Manager を使用して、ゼロタッチ ファームウェア管理も提供します。 DFCI は、承認のために既存の Windows Autopilot デバイス情報にもアクセスします。

この機能の詳細については、「Intuneの Windows デバイスで DFCI プロファイルを使用する」を参照してください。

重要

エンドポイント マネージャー管理センターの DFCI ポリシー レポートが期待どおりに機能していませんでした。 すべてのポリシーで "保留中" 状態が報告されました。 この動作は修正されています。

Android Enterprise Basic Wi-Fi プロファイルで [Connect Automatically]\(自動的に接続\) 設定を使用する

Android Enterprise デバイスでは、接続名などの一般的なWi-Fi設定を含む基本的なWi-Fi プロファイルを作成できます。 デバイスが範囲内にあるときに Wi-Fi ネットワークに自動的に接続する [自動接続] 設定を構成できます。

これらの設定を表示するには、[ Android Enterprise 専用およびフル マネージド デバイスのWi-Fi設定を追加する] に移動します。

適用対象:

  • Android Enterprise のフル マネージド、専用、会社所有の仕事用プロファイル

関連付けられたドメインを使用して macOS デバイスで新しいユーザー エクスペリエンスと新しい [直接ダウンロードを有効にする] 設定

macOS デバイスで関連ドメイン構成プロファイルを作成すると、ユーザー エクスペリエンスが更新されます (デバイス>構成プロファイル>プロファイル プロファイル>macOS をプラットフォーム用に作成する プロファイル >> 関連ドメインデバイス機能)。 引き続き、アプリ ID とドメインを入力します。

ユーザーが承認したデバイス登録または自動デバイス登録で登録された macOS 11 以降の監視対象デバイスでは、[ 直接ダウンロードを有効にする] 設定を使用できます。 直接ダウンロードを有効にすると、コンテンツ配信ネットワーク (CDN) を介してダウンロードするのではなく、ドメイン データをデバイスから直接ダウンロードできます。

詳細については、「 macOS デバイス上の関連ドメイン」を参照してください。

適用対象:

  • macOS 11 以降 (監視対象)

macOS デバイスの新しいロックアウト パスワード設定

macOS パスワード プロファイルを作成するときに新しい設定を使用できます (デバイス>構成プロファイル> プラットフォーム>のプロファイル>macOS を作成する プロファイル>パスワードデバイス制限):

  • [許可される最大サインイン試行回数]: ユーザーが連続してサインインしてからデバイスがロックされるまでに試行できる最大回数は、2 から 11 です。 この値を大きい数値に設定します。 間違いがよくあるので、この値を 2 または 3 に設定することはお勧めしません。

    すべての登録の種類に適用されます。

  • ロックアウト期間: ロックアウトの継続時間を分単位で選択します。 デバイスのロックアウト中、サインイン画面は非アクティブであり、ユーザーはサインインできません。 ロックアウト期間が終了すると、ユーザーは再びサインインできます。 この設定を使用するには、[ 最大サインイン試行回数 ] 設定を構成します。

    macOS 10.10 以降およびすべての登録の種類に適用されます。

これらの設定を表示するには、 macOS パスワード デバイスの制限に関するページを参照してください

適用対象:

  • macOS

必要なパスワードの種類の既定の設定が Android Enterprise デバイスで変更されています

Android Enterprise デバイスでは必要なパスワードの種類を設定するデバイス パスワード プロファイルを作成できます (デバイス>構成プロファイル>> Android Enterprise for platform> フル マネージド、Dedicated、Corporate-Owned 仕事用プロファイル> デバイスパスワードの制限)。>

[必須のパスワードの種類] 設定の既定値は、[数値] から [デバイスの既定値] に変更されます。

既存のプロファイルには影響しません。 新しいプロファイルでは、 デバイスの既定値が自動的に使用されます。

[デバイスの既定値] が選択されている場合、ほとんどの デバイス ではパスワードは必要ありません。 ユーザーにデバイスでパスコードの設定を要求する場合は、[ 必須のパスワードの種類 ] 設定をデバイスの既定値よりも安全なものに構成 します

制限できる設定を確認するには、 Android Enterprise デバイスの設定に移動して、機能を許可または制限します。

適用対象:

  • Android Enterprise

macOS Microsoft Enterprise SSO プラグインを構成する

重要

macOS の場合、Microsoft Azure AD SSO 拡張機能は Intune ユーザー インターフェイスに表示されますが、期待どおりに機能していませんでした。 この機能は現在機能しており、パブリック プレビューで使用できます。

Microsoft Azure AD チームは、リダイレクト シングル サインオン (SSO) アプリ拡張機能を作成しました。 このアプリ拡張機能を使用すると、macOS 10.15 以降のユーザーは、Apple の SSO 機能をサポートする Microsoft アプリ、組織のアプリ、Web サイトにアクセスできます。 1 つのサインオンで Azure AD を使用して認証されます。

Microsoft Enterprise SSO プラグイン リリースでは、Intuneで新しい Microsoft Azure AD アプリ拡張機能の種類を使用して SSO 拡張機能を構成できます (デバイス>構成プロファイル> プラットフォーム用プロファイルmacOS作成する> プロファイル>用>のデバイス機能シングル サインオン アプリ拡張機能> SSO アプリ拡張機能の種類>Microsoft Azure AD)。

Microsoft Azure AD SSO アプリ拡張機能の種類で SSO を取得するには、ユーザーが macOS デバイスにポータル サイト アプリをインストールしてサインインする必要があります。

macOS SSO アプリ拡張機能の詳細については、「 シングル サインオン アプリ拡張機能」を参照してください。

適用対象:

  • macOS 10.15 以降

Android デバイス管理者のデバイス制限プロファイルのパスワード設定の変更

最近、Android デバイス管理者デバイス コンプライアンス ポリシーとデバイス制限の新しい設定として、パスワードの複雑さを追加しました。 Android バージョン 10 以降のパスワードの変更に対応できるように、両方のポリシーの種類の設定に対する追加の変更を UI に追加Intuneしました。 これらの変更は、パスワードの設定が期待どおりにデバイスに適用され続けるのに役立ちます。

既存のプロファイルには影響を与えない、2 つのポリシーの種類のパスワード設定のIntune UI に対する次の変更があります。

  • 設定は、Android 9 以前や Android 10 以降など、設定が適用されるデバイスのバージョンに基づくセクションに再構成されます。
  • UI のラベルとテキストの例に更新します。
  • PIN への参照を数値またはアルファベットまたは英数字で説明します。

適用対象:

  • Android デバイス管理者

新しいバージョンの PFX 証明書コネクタ

PFX Certificate Connector バージョン 6.2008.60.612 の新しいバージョンをリリースしました。 この新しいコネクタのバージョンの内容:

  • Android Enterprise フル マネージド デバイスへの PKCS 証明書の配信に関する問題を修正しました。 この問題では、暗号化キー格納プロバイダー (KSP) がレガシ プロバイダーである必要がありました。 Cryptographic Next Generation (CNG) キー格納プロバイダーも使用できるようになりました。
  • PFX Certificate Connector の [CA アカウント] タブに対する変更: 指定したユーザー名とパスワード (資格情報) は、証明書の発行と証明書の失効に使用されるようになりました。 以前は、これらの資格情報は証明書の失効のみに使用されていました。

両方の証明書コネクタのコネクタ リリースのリストを含む、証明書コネクタの詳細については、「証明書コネクタ」を参照してください。

デバイスの登録

Azure Active Directory 共有デバイスのプロビジョニングの Intune サポート

Intuneを使用すると、Microsoft Authenticator が Azure AD 共有デバイス モードに自動的に構成された Android Enterprise 専用デバイスをプロビジョニングできるようになりました。 この登録の種類を使用する方法の詳細については、「Android Enterprise 専用デバイスのIntune登録を設定する」を参照してください。

新規および更新された計画、セットアップ、および登録の展開ガイド

既存の計画と移行のガイドが書き換えられ、新しいガイダンスで更新されます。 また、Intuneセットアップ、Android、iOS/iPadOS、macOS、Windows デバイスの登録に焦点を当てた新しい展開ガイドもあります。

詳細については、「概要」を参照 してください

デバイスのセキュリティ

Microsoft Tunnel の更新プログラム

新しいバージョンの Microsoft Tunnel ゲートウェイがリリースされました。これには次の変更が含まれます。

Tunnel ゲートウェイ サーバーは、新しいリリースに自動的に更新されます。

Android および iOS/iPadOS での追加パートナー向けのアプリ保護ポリシー のサポート

2019 年 10 月に、Intune アプリ保護ポリシーに、Microsoft の脅威防御パートナーのデータを使用する機能が追加されました。

この更新プログラムでは、アプリ保護ポリシーを使用してデバイスの正常性に基づいてユーザーの企業データをブロックまたは選択的にワイプするために、このサポートを次の 2 つのパートナーに拡張します。

  • Android、iOS、iPadOS でのサンドブラストのCheck Point
  • Android、iOS、iPadOS での Symantec エンドポイント セキュリティ

詳細については、「Intune でモバイル脅威防御アプリ保護ポリシーを作成する」を参照してください。

エンドポイント マネージャーのセキュリティ タスクには、Microsoft Defender for Endpoint TVM からの正しく構成されていない設定に関する詳細が含まれています

Microsoft Endpoint Manager のセキュリティ タスクで、脅威の脆弱性管理 (TVM) によって検出された構成の誤りについて、修復の詳細が報告され、提供されるようになりました。 Intuneに報告される構成ミスは、修復ガイダンスを提供できる問題に限定されます。

TVM はMicrosoft Defender for Endpointの一部です。 この更新プログラムの前に、TVM からの詳細には、アプリケーションの詳細と修復手順のみが含まれていました。

セキュリティ タスクを表示すると、問題の種類を識別する [修復の種類 ] という名前の新しい列が表示されます。

  • アプリケーション – 脆弱なアプリケーションと修復手順。 これは、この更新プログラムの前のセキュリティ タスクで使用できるようになりました。
  • 構成 – 構成の誤りを特定し、修復に役立つ手順を提供する、TVM からの新しいカテゴリの詳細。

セキュリティ タスクの詳細については、「Intuneを使用してMicrosoft Defender for Endpointによって識別された脆弱性を修復する」を参照してください。

テナント接続デバイスのエンドポイント セキュリティ ファイアウォール ポリシー

パブリック プレビューとして、Configuration Managerで管理するデバイスにファイアウォールのエンドポイント セキュリティ ポリシーを展開できます。 このシナリオでは、サポートされているバージョンのConfiguration ManagerとIntune サブスクリプションの間でテナントアタッチを構成する必要があります。

テナント接続デバイスのファイアウォール ポリシーは、Windows 10 以降を実行するデバイスでサポートされており、コンソール内修正プログラム KB4578605で現在のブランチ 2006 Configuration Manager実行する環境が必要です。

詳細については、テナントアタッチをサポートIntuneエンドポイント セキュリティ ポリシーの要件に関するページを参照してください。

ブロックと許可リストを使用してハードウェア デバイスのインストールを管理するための設定を拡張しました

エンドポイント セキュリティ攻撃面の縮小ポリシーの一部であるデバイス制御プロファイルでは、ハードウェア デバイスのインストールを管理するための設定を変更し、拡張しました。 デバイス ID、セットアップ クラスインスタンス識別子を使用してブロックリストと個別許可リストを定義する設定が見つかります。 次の 6 つの設定を使用できるようになりました。

  • デバイス識別子によるハードウェア デバイスのインストールを許可する
  • デバイス識別子によってハードウェア デバイスのインストールをブロックする
  • セットアップ クラスによるハードウェア デバイスのインストールを許可する
  • セットアップ クラスでハードウェア デバイスのインストールをブロックする
  • デバイス インスタンス識別子によるハードウェア デバイスのインストールを許可する
  • デバイス インスタンス識別子によってハードウェア デバイスのインストールをブロックする

これらの各設定では、[ はい]、[ いいえ]、[ 未構成] のオプションがサポートされています。 [はい] を構成すると、その設定のブロックまたは許可リストを定義できます。 デバイスでは、許可リストで指定されたハードウェアをインストールまたは更新できます。 ただし、ブロックリストに同じハードウェアが指定されている場合、ブロックは許可リストをオーバーライドし、ハードウェアのインストールまたは更新は禁止されます。

エンドポイント セキュリティファイアウォール規則の機能強化

エンドポイント セキュリティ ファイアウォール ポリシーのMicrosoft Defender ファイアウォール規則プロファイルでファイアウォール規則を構成するエクスペリエンスを向上させるために、いくつかの変更を加えています。

改善点は次のとおり:

  • ビューを整理するためのセクション ヘッダーなど、UI のレイアウトが改善されました。
  • 説明フィールドの文字数制限を増やす。
  • IP アドレス エントリの検証。
  • IP アドレス 一覧の並べ替え。
  • IP アドレス一覧からエントリをクリアするときに 、すべての アドレスを選択するオプション。

iOS のコンプライアンス ポリシーでMicrosoft Defender for Endpointを使用する

パブリック プレビューとして、Intuneデバイス コンプライアンス ポリシーを使用して、iOS デバイスをMicrosoft Defender for Endpointにオンボードできるようになりました。

登録済みの iOS/iPadOS デバイスをオンボードした後、iOS のコンプライアンス ポリシーでは、Microsoft Defenderからの脅威レベルのシグナルを使用できます。 これらは、Android デバイスと Windows 10 デバイスで使用できるのと同じ信号です。

Defender for iOS アプリは、年末までにパブリック プレビューから一般公開に移行する必要があります。

エンドポイント セキュリティ ウイルス対策ポリシーのセキュリティ エクスペリエンス プロファイルにトライステート オプションが追加されました

エンドポイント セキュリティウイルス対策ポリシーの Windows セキュリティ エクスペリエンス プロファイルに、設定の構成の 3 番目の状態が追加されました。 この更新プログラムは、Windows 10 以降のWindows セキュリティ エクスペリエンスに適用されます)。

たとえば、以前に [ 未構成] と [ はい] が提供されていた設定がプラットフォームでサポートされている場合は、[ いいえ] の追加オプションが追加されました。

Edge セキュリティ ベースラインの更新バージョン

2020 年 9 月 (Edge バージョン 85 以降) に、Edge の新しいセキュリティ ベースラインをIntuneに追加しました。

ベースライン バージョンが更新されて、各製品チームが推奨するベスト プラクティス構成を維持するのに役立つ最新の設定がサポートされます。

バージョン間の変更点について理解するために、「ベースラインのバージョンを比較する」を参照し、変更内容が示された .CSV ファイルのエクスポート方法を確認してください。

新しい Microsoft Tunnel バージョン

新しいバージョンの Microsoft Tunnel ゲートウェイがリリースされました。 新しいバージョンには、次の変更が含まれています。

  • Microsoft Tunnel によって、syslog 形式で Linux サーバー ログに操作および監視の詳細が記録されるようになりました。 トンネル サーバーでコマンド ラインを実行すると、journalctl -tMicrosoft Tunnel システム ログを表示できます。
  • さまざまなバグ修正。

監視とトラブルシューティング

新しいWindows 10機能更新エラー レポート

機能更新プログラムのエラー操作レポートには、Windows 10機能更新ポリシーを対象とし、更新を試みたデバイスのエラーの詳細が表示されます。 Microsoft エンドポイント マネージャー管理センターで、[デバイス>モニター>機能の更新エラー] を選択して、このレポートを表示します。 詳細については、「 機能更新エラー レポート」を参照してください。

ウイルス対策レポートへの更新

ウイルス対策エージェントの状態レポート検出されたマルウェア レポートの両方が更新されました。 これらのレポートでは、データの視覚化が表示され、追加の情報列 (SignatureUpdateOverdueMalwareIDdisplayNameInitialDetectionDateTime) が提供されるようになりました。 さらに、リモート アクションはウイルス対策エージェントの状態レポートに含まれます。 詳細については、「 ウイルス対策エージェントの状態レポート 」および 「検出されたマルウェア」レポートを参照してください。

Microsoft エンドポイント マネージャーのヘルプとサポートを更新しました

ヘルプとサポート エクスペリエンスでは、機械学習を使用して、問題の解決に役立つソリューション、診断、分析情報を表示します。 Microsoft Endpoint Manager 管理センターのヘルプとサポート ページが、移動しやすく、一貫性のある一貫性のある新しい UX エクスペリエンスで更新されました。 新しい UX はコンソールのすべてのブレードでロールアウトされ、より関連性の高いヘルプを得るのに役立ちます。

管理センター内から、次のクラウドベースのオファリングの 更新された統合されたサポート エクスペリエンス が見つかります。

  • Intune
  • Configuration Manager
  • 共同管理
  • Microsoft マネージド デスクトップ

スクリプト

[Intuneトラブルシューティング] ウィンドウで PowerShell スクリプトを表示する

[トラブルシューティング] ウィンドウで、割り当てられた PowerShell スクリプトを表示できるようになりました。 PowerShell スクリプトは、高度なデバイス構成やトラブルシューティングなどのエンタープライズ管理タスクを実行するために、Intuneとのクライアント通信Windows 10提供します。 詳細については、「Intune の Windows 10 デバイスで PowerShell スクリプトを使用する」を参照してください。

マネージド Mac 上のシェル スクリプトを使用してカスタム デバイスまたはユーザー プロパティを収集する

シェル スクリプトを使用してマネージド macOS デバイスからカスタム プロパティを収集できるカスタム属性プロファイルを作成できます。 この機能は、 Microsoft Endpoint Manager 管理センター で [ デバイス>] [macOS>カスタム属性] を選択することで確認できます。 関連情報については、「Intuneで macOS デバイスでシェル スクリプトを使用する」を参照してください。

2020 年 9 月

アプリ管理

Android 用ポータル サイトでの仕事用プロファイル メッセージングの改善

以前に "You're Halfway There!" というタイトルのポータル サイト画面が更新され、仕事用プロファイル管理のしくみの説明が改善されました。 ユーザーが仕事用プロファイルの登録を既に終了した後に、個人プロファイルでポータル サイトを再び有効にすると、この画面が表示されます。 また、Android 仕事用プロファイルを使用した登録に関するヘルプ ドキュメントに示されているように、Android OS のバージョンによっては、仕事用プロファイルの登録中にこの画面が表示されることもあります。

Windows ポータル サイトでの Azure AD Enterprise アプリケーションと Office Online アプリケーションの統合配信

2006 リリースでは、ポータル サイト Web サイトで Azure AD Enterprise アプリケーションと Office Online アプリケーションの統合配信を発表しました。 この機能は、Windows ポータル サイトでサポートされています。 Intuneの [カスタマイズ] ウィンドウで、Windows ポータル サイトで [Azure AD Enterprise アプリケーションOffice Online アプリケーションの両方を非表示または表示する] を選択します。 各エンド ユーザーには、選択した Microsoft サービスのアプリケーション カタログ全体が表示されます。 既定では、追加のアプリ ソースがそれぞれ [非表示] に設定されるようになります。 この構成設定を見つけるには、Microsoft Endpoint Manager 管理センターで、[テナント管理]>[カスタマイズ] の順に選択します。 関連情報については、「Intune ポータル サイト アプリ、ポータル サイト Web サイト、および Intune アプリをカスタマイズする方法」を参照してください。

リッチ テキストを使用した Windows ポータル サイト アプリの説明

markdown を使用して、Windows ポータル サイトでリッチ テキストを使用してアプリの説明を表示できるようになりました。 ポータル サイトの詳細については、「Intune ポータル サイト アプリ、ポータル サイト Web サイト、Intune アプリをカスタマイズする方法」を参照してください。

アプリ保護ポリシーを使用すると、管理者は受信組織のデータの場所を構成できます

これで、組織のドキュメントに対して開くことができる信頼されたデータ ソースを制御できるようになりました。 既存の [組織データ アプリ保護ポリシーのコピーを保存する] オプションと同様に、信頼される受信データの場所を定義できます。 この機能は、次のアプリ保護ポリシー設定に関連します。

  • 組織データのコピーを保存
  • 組織ドキュメントにデータを開く
  • 選択したサービスからデータを開くことをユーザーに許可する

Microsoft エンドポイント マネージャー管理センターで、[アプリ>アプリ保護ポリシー] [ポリシーの作成] の順に>選択します。 この機能を使用するには、ポリシーで管理Intuneアプリケーションがこのコントロールのサポートを実装する必要があります。 詳細については、「 iOS アプリ保護ポリシー設定 」と 「Android アプリ保護ポリシー設定」を参照してください。

デバイス構成

COPE プレビューの更新: 仕事用プロファイルを持つ Android Enterprise 企業所有デバイスの仕事用プロファイル パスワードの要件を作成するための新しい設定

新しい設定により、管理者は、仕事用プロファイルを持つ Android Enterprise 企業所有デバイスの仕事用プロファイル パスワードの要件を設定できるようになりました。

  • パスワードの入力が必要
  • パスワードの最小文字数
  • パスワードの有効期限が切れるまでの日数
  • ユーザーがあるパスワードを再使用できるようになるまでに必要なパスワード数
  • デバイスがワイプされるまでのサインイン失敗回数

詳細については、「Android Enterprise デバイスの設定」を参照して、Intuneを使用して機能を許可または制限します。

COPE プレビューの更新: 仕事用プロファイルを使用して Android Enterprise 企業所有デバイスの個人用プロファイルを構成するための新しい設定

仕事用プロファイルを持つ Android Enterprise 企業所有のデバイスの場合、個人用プロファイルにのみ適用される新しい設定があります (デバイス>構成プロファイル> プラットフォームのAndroid Enterprise>のフル マネージド、専用、およびCorporate-Ownedプロファイル>個人用プロファイル>のデバイス制限作成>します)。

  • カメラ: 個人的な使用中にカメラへのアクセスをブロックするには、この設定を使用します。
  • 画面キャプチャ: この設定を使用して、個人用使用時に画面キャプチャをブロックします。
  • ユーザーが個人用プロファイルの不明なソースからのアプリのインストールを有効にすることを許可する: この設定を使用して、ユーザーが個人用プロファイル内の不明なソースからアプリをインストールできるようにします。

適用対象:

  • 仕事用プロファイル、個人用に有効なデバイスを備えた Android Enterprise 企業所有のデバイス。

構成できるすべての設定を表示するには、 Android Enterprise デバイスの設定に移動して、機能を許可または制限します。

グループ ポリシー分析を使用してオンプレミスの GPO を分析する

デバイス>グループ ポリシー分析 (プレビュー) では、エンドポイント マネージャー管理センターでグループ ポリシー オブジェクト (GPO) をインポートできます。 インポートすると、Intuneは GPO を自動的に分析し、Intuneで同等の設定を持つポリシーを表示します。 また、非推奨の GPO、またはサポートされなくなった GPO も表示されます。 詳細については、「レポート>グループ ポリシー分析 (プレビュー) 移行準備レポート」>を参照してください。

この機能の詳細については、「グループ ポリシー分析」を参照してください。

適用対象:

  • Windows 10 以降

iOS/iPadOS でアプリ クリップをブロックし、macOS デバイスで OS 以外のソフトウェア更新プログラムを延期する

iOS/iPadOS デバイスと macOS デバイスでデバイス制限プロファイルを作成すると、いくつかの新しい設定があります。

iOS/iPadOS 14.0 以降のアプリ クリップのブロック

  • iOS/iPadOS 14.0 以降に適用されます。
  • デバイスは、デバイス登録または自動デバイス登録 (監視対象デバイス) で登録する必要があります。
  • [アプリ クリップのブロック] 設定では、管理対象デバイスのアプリ クリップがブロックされます (デバイス>構成プロファイル> プラットフォーム>のプロファイル>iOS/iPadOS を作成する プロファイル>のデバイス制限全般)。 ブロックされると、ユーザーはアプリ クリップを追加できないため、既存のアプリ クリップは削除されます。

macOS 11 以降のソフトウェア更新プログラムを延期する

  • macOS 11 以降に適用されます。 監視対象の macOS デバイスでは、デバイスにユーザーが承認したデバイス登録、または自動デバイス登録によって登録されている必要があります。
  • 既存の [ソフトウェア更新プログラムの延期] 設定で、OS と OS 以外の更新プログラムを遅延できるようになりました (デバイス>構成プロファイル> プラットフォーム>のプロファイル>macOS を作成する プロファイル>のデバイス制限全般)。 ソフトウェア 更新プログラムの既存の遅延可視性 設定は、OS および OS 以外の更新プログラムに適用されます。 OS 以外のソフトウェア更新プログラムを延期しても、スケジュールされた更新プログラムには影響しません。
  • 既存のポリシーの動作は、変更、影響を受ける、または削除されません。 既存のポリシーは、同じ構成で新しい設定に自動的に移行されます。

構成できるデバイス制限設定については、「 iOS/iPadOSmacOS」を参照してください。

iOS/iPadOS および macOS デバイスでアプリごとの VPN またはオンデマンド VPN を使用する新しい設定

自動 VPN プロファイルは、[デバイス>の構成プロファイル>] プロファイルの [プロファイルの作成>] iOS/iPadOS または macOS for platform >VPN for profile >自動 VPN で構成できます。 アプリごとの新しい VPN 設定を構成できます。

  • ユーザーが自動 VPN を無効にできないようにする: アプリごとの自動 VPN または オンデマンド VPN 接続を作成するときに、自動 VPN を有効にしたままにして実行するようにユーザーに強制できます。
  • 関連付けられたドメイン: アプリごとの自動 VPN 接続を作成するときに、VPN 接続を自動的に開始する関連ドメインを VPN プロファイルに追加できます。 関連するドメインの詳細については、「 関連するドメイン」を参照してください。
  • 除外ドメイン: アプリごとの VPN の自動接続を作成するときに、 アプリごとの VPN が接続されているときに VPN 接続をバイパスできるドメインを追加できます。

これらの設定と構成できるその他の設定については、 iOS/iPadOS VPN 設定macOS VPN 設定に関するページを参照してください。

iOS/iPadOS デバイス用にアプリごとの仮想プライベート ネットワーク (VPN) を設定します

適用対象:

  • iOS/iPadOS 14 以降
  • macOS Big Sur (macOS 11)

iOS/iPadOS デバイス上の IKEv2 VPN 接続の最大伝送単位を設定する

iOS/iPadOS 14 以降のデバイス以降では、IKEv2 VPN 接続を使用する場合にカスタム最大伝送ユニット (MTU) を構成できます (デバイス>構成プロファイル> 接続の種類については、プラットフォーム >VPN 用>のプロファイル>iOS/iPadOS を作成します)。

この設定の詳細と、構成できるその他の設定については、「 IKEv2 設定」を参照してください。

適用対象:

  • iOS/iPadOS 14 以降

iOS/iPadOS デバイス上の電子メール プロファイルのアカウントごとの VPN 接続

iOS/iPadOS 14 以降では、ネイティブメール アプリのメール トラフィックは、ユーザーが使用しているアカウントに基づいて VPN 経由でルーティングできます。 Intuneでは、アカウントごとの VPN プロファイルの VPN 設定を構成できます (デバイス>構成プロファイル プロファイル>>プロファイル iOS/iPadOS for platform >Emailプロファイル>Exchange ActiveSync電子メール設定用)。

この機能を使用すると、アカウントベースの VPN 接続に使用するアプリごとの VPN プロファイルを選択できます。 ユーザーがメール アプリで組織アカウントを使用すると、アプリごとの VPN 接続が自動的にオンになります。

この設定と構成できるその他の設定については、「 iOS および iPadOS デバイスの電子メール設定を追加する」に移動します。

適用対象:

  • iOS/iPadOS 14 以降

iOS/iPadOS デバイス上のWi-Fi ネットワークで MAC アドレスのランダム化を無効にする

iOS/iPadOS 14 以降では、既定では、デバイスはネットワークに接続するときに、物理 MAC アドレスではなくランダム化された MAC アドレスを表示します。 この動作は、MAC アドレスでデバイスを追跡するのが難しいため、プライバシーに推奨されます。 この機能は、ネットワーク アクセス制御 (NAC) を含む静的 MAC アドレスに依存する機能も中断します。

mac アドレスのランダム化は、Wi-Fi プロファイルでネットワークごとに無効にすることができます (デバイス>構成プロファイル>プロファイル>iOS/iPadOS プロファイル用 >プロファイルの作成 iOS /iPadOS プロファイル >Basic または Enterprise for Wi-Fi タイプ)。

この設定と構成できるその他の設定については、「 iOS および iPadOS デバイスのWi-Fi設定を追加する」を参照してください。

適用対象:

  • iOS/iPadOS 14 以降

デバイスコントロールプロファイルの新しい設定

Windows 10以降を実行するデバイスの攻撃面縮小ポリシーの [デバイス制御プロファイル] に設定のペアが追加されました。

  • リムーバブル記憶域
  • USB 接続 (HoloLens のみ)

攻撃面の縮小ポリシーは、Intuneのエンドポイント セキュリティの一部です。

デバイスの登録

[登録の状態] ページに重要なキオスク ポリシーが表示される

これで、[登録の状態] ページで次のポリシーが追跡されます

  • 割り当てられたアクセス
  • キオスク ブラウザーの設定
  • Edge ブラウザーの設定

他のすべてのキオスク ポリシーは現在追跡されていません。

デバイス管理

Zebra デバイスの PowerPrecision および PowerPrecision+ バッテリのサポート

デバイスのハードウェアの詳細ページで、PowerPrecision と PowerPrecision+ バッテリーを使用する Zebra デバイスに関する次の情報を確認できるようになりました。

  • Zebra によって決定される状態の正常性評価 (PowerPrecision+ バッテリーのみ)
  • 使用された完全な充電サイクルの数
  • デバイスで最後に見つかったバッテリーの最終チェックイン日
  • デバイスで最後に見つかったバッテリ パックのシリアル番号

COPE プレビューの更新: 仕事用プロファイルを使用して Android Enterprise 企業所有デバイスの仕事用プロファイル パスワードをリセットする

仕事用プロファイルを使用して、Android Enterprise 企業所有のデバイスで仕事用プロファイルのパスワードをリセットできるようになりました。 詳細については、「 パスコードをリセットする」を参照してください。

Azure Active Directory に参加している共同管理デバイスの名前を変更する

Azure AD に参加している共同管理デバイスの名前を変更できるようになりました。 詳細については、「Intuneでデバイスの名前を変更する」を参照してください。

テナントアタッチ: 管理センターのデバイス タイムライン

Configuration Managerテナントアタッチを使用してデバイスを Microsoft エンドポイント マネージャーに同期すると、イベントのタイムラインを表示できます。 このタイムラインには、問題のトラブルシューティングに役立つデバイス上の過去のアクティビティが表示されます。 詳細については、「 テナントアタッチ: 管理センターのデバイス タイムライン」を参照してください。

テナントアタッチ: 管理センターのリソース エクスプローラー

Microsoft Endpoint Management 管理センターでは、リソース エクスプローラーを使用して、アップロードされた構成マネージャーデバイスのハードウェア インベントリを表示できます。 詳細については、「 テナントアタッチ: 管理センターのリソース エクスプローラー」を参照してください。

テナントアタッチ: 管理センターからの CMPivot

CMPivot の機能を Microsoft エンドポイント マネージャー管理センターに持ち込みます。 ヘルプデスクなどの追加のペルソナが、個々の ConfigMgr マネージド デバイスに対してクラウドからリアルタイムのクエリを開始して、結果を管理センターに返すことができるようになりました。 これにより、CMPivot の従来の利点すべてを利用して、IT 管理者やその他の指定されたペルソナが環境内のデバイスの状態をすばやく評価し、アクションを実行することが可能になります。

管理センターからの CMPivot の詳細については、「 CMPivot の前提条件」、「 CMPivot の概要」、および 「CMPivot サンプル スクリプト」を参照してください。

テナントアタッチ: 管理センターからスクリプトを実行する

オンプレミスの Configuration Manager スクリプトの実行機能の機能を Microsoft エンドポイント マネージャー管理センターに提供します。 Helpdesk などの追加のペルソナが、Configuration Manager マネージド デバイスそれぞれに対してクラウドから PowerShell スクリプトをリアルタイムで実行できるようになります。 この機能は、Configuration Manager管理者によってこの新しい環境に対して既に定義および承認されている PowerShell スクリプトのすべての従来の利点を提供します。 詳細については、「 テナントアタッチ: 管理センターからスクリプトを実行する」を参照してください。

プレビューでのテナント接続デバイスの改ざん防止ポリシー

プレビューでは、Intune エンドポイント セキュリティウイルス対策ポリシーに新しいプロファイルが追加されました。このポリシーを使用して、テナントに接続されたデバイスの改ざん防止を管理できます。Windows セキュリティ エクスペリエンス (プレビュー))。

新しいウイルス対策ポリシーを作成すると、新しいプロファイルがWindows 10および Windows Server (ConfigMgr) プラットフォームの下にあります。

Intune エンドポイント セキュリティ ポリシーをテナント接続デバイスで使用するには、テナント接続Configuration Manager構成し、デバイスをIntuneと同期する必要があります。

また、Intune ポリシーで改ざん防止を使用してサポートするために必要な特定の前提条件にも注意してください。

デバイスのセキュリティ

プレビュー段階の Microsoft Tunnel Gateway VPN ソリューション

Microsoft Tunnel Gateway をデプロイして、iOS および Android Enterprise (フル マネージド、Corporate-Owned仕事用プロファイル、仕事用プロファイル) デバイス上のオンプレミス リソースへのリモート アクセスを提供できるようになりました。

Microsoft Tunnel では、最新の認証を使用したアプリごとの完全なデバイス VPN、スプリット トンネリング、条件付きアクセス機能がサポートされています。 トンネルでは、運用環境の準備のための高可用性のために複数のゲートウェイ サーバーをサポートできます。

Android デバイスの追加の生体認証のサポート

新しい Android デバイスでは、指紋以外の生体認証のより多様なセットが利用されています。 OEM が指紋以外の生体認証のサポートを実装する場合、エンド ユーザーはこの機能を使用して安全なアクセスとエクスペリエンスを向上させる可能性があります。 Intuneの 2009 リリースでは、Android デバイスでサポートされている内容に応じて、エンド ユーザーが指紋または Face Unlock を使用できるようになります。 認証に指紋以外のすべての種類の生体認証を使用できるようにするかどうかを構成できます。 詳細については、「Android デバイスのアプリ保護 エクスペリエンス」を参照してください。

デバイスのエンドポイント セキュリティ構成の新しい詳細

デバイス のエンドポイント セキュリティ構成の一部として、デバイスの追加の詳細を表示できるようになりました。 ドリル インして、デバイスに展開したポリシーに関する状態の詳細を表示すると、次の設定が表示されます。

  • UPN (ユーザー プリンシパル名): UPN は、デバイス上の特定のユーザーに割り当てられているエンドポイント セキュリティ プロファイルを識別します。 この情報は、デバイス上の複数のユーザーと、デバイスに割り当てられているプロファイルまたはベースラインの複数のエントリを区別するのに役立ちます。

詳細については、「 セキュリティ ベースラインの競合を解決する」を参照してください。

エンドポイント セキュリティ ロールの RBAC アクセス許可の拡張

Intuneの Endpoint Security Manager ロールには、リモート タスクに対するロールベースのアクセス制御 (RBAC) アクセス許可が追加されています。

このロールは Microsoft Endpoint Manager 管理センターへのアクセスを許可し、セキュリティ ベースライン、デバイス コンプライアンス、条件付きアクセス、Microsoft Defender for Endpointなど、セキュリティとコンプライアンスの機能を管理する個人が使用できます。

リモート タスクの新しいアクセス許可は次のとおりです。

  • 今すぐ再起動する
  • リモート ロック
  • BitLockerKeys のローテーション (プレビュー)
  • FileVault キーのローテーション
  • デバイスの同期
  • Microsoft Defender
  • 構成マネージャー アクションを開始する

Intune RBAC ロールのアクセス許可の完全なセットを表示するには、[(テナント管理者>Intuneロール>でロール>のアクセス許可を選択します) に移動します。

セキュリティ ベースラインの更新

次のセキュリティ ベースラインでは新しいバージョンを使用できます。

ベースライン バージョンが更新されて、各製品チームが推奨するベスト プラクティス構成を維持するのに役立つ最新の設定がサポートされます。

バージョン間の変更点について理解するために、「ベースラインのバージョンを比較する」を参照し、変更内容が示された .CSV ファイルのエクスポート方法を確認してください。

エンドポイント セキュリティ構成の詳細を使用して、デバイスのポリシー競合の原因を特定する

競合の解決を支援するために、セキュリティ ベースライン プロファイルをドリルインして、選択したデバイスの エンドポイント セキュリティ構成 を表示できるようになりました。 そこから、 競合 または エラー を表示する設定を選択し、さらにドリルインして、競合の一部であるプロファイルとポリシーを含む詳細の一覧を表示できます。

その後、競合の原因となるポリシーを選択した場合、Intuneそのポリシーの [概要] ウィンドウが開き、ポリシーの構成を確認または変更できます。

次のポリシーの種類は、セキュリティ ベースラインをドリルインするときに競合の原因として識別できます。

  • デバイス構成ポリシー
  • エンドポイント セキュリティ ポリシー

詳細については、「 セキュリティ ベースラインの競合を解決する」を参照してください。

iOS および macOS デバイスでのキー サイズが 4096 の証明書のサポート

iOS/iPadOS または macOS デバイスの SCEP 証明書プロファイルを構成するときに、4096 ビットのキー サイズ (ビット) を指定できるようになりました。

Intuneでは、次のプラットフォームで 4096 ビット キーがサポートされています。

  • iOS 14 以降
  • macOS 11 以降

SCEP 証明書プロファイルを構成するには、「 SCEP 証明書プロファイルの作成」を参照してください。

Android 11 では、デバイス管理者が登録したデバイスへの信頼されたルート証明書の展開が非推奨になりました

Android 11 以降では、信頼されたルート証明書は 、Android デバイス管理者として登録されているデバイスに信頼されたルート証明書をインストールできなくなります。 この制限は、Samsung Knox デバイスには影響しません。 Samsung 以外のデバイスの場合、ユーザーは信頼されたルート証明書をデバイスに手動でインストールする必要があります。

信頼されたルート証明書がデバイスに手動でインストールされたら、SCEP を使用してデバイスに証明書をプロビジョニングできます。 信頼された証明書ポリシーを作成してデバイスに展開し、そのポリシーを SCEP 証明書プロファイルにリンクする必要があります。

  • 信頼されたルート証明書がデバイス上にある場合、SCEP 証明書プロファイルは正常にインストールできます。
  • 信頼された証明書がデバイスで見つからない場合、SCEP 証明書プロファイルは失敗します。

詳細については、「Android デバイス管理者向けの信頼された証明書プロファイル」を参照してください。

エンドポイント セキュリティ ファイアウォール ポリシーのその他の設定のトライステート オプション

Windows 10のエンドポイント セキュリティ ファイアウォール ポリシーのいくつかの設定に、3 番目の構成状態が追加されました。

次の設定が更新されます。

  • ステートフル ファイル転送プロトコル (FTP) で、 未構成許可無効がサポートされるようになりました。
  • [未構成]、[有効]、[無効] の各サポートがサポートされるようになった認証スイートのみを無視するように、キーモジュールに要求します。

Android Enterprise の証明書の展開の改善

フル マネージド、専用、および Corporate-Owned 仕事用プロファイルとして登録されている Android Enterprise デバイスでの暗号化と署名に Outlook に S/MIME 証明書 を使用するサポートが強化されました。 以前は、S/MIME を使用するには、デバイス ユーザーがアクセスを許可する必要があります。 これで、S/MIME 証明書をユーザーの操作なしで使用できるようになりました。

サポートされている Android デバイスに S/MIME 証明書を展開するには、デバイス構成に PKCS インポートされた証明書プロファイル または SCEP 証明書プロファイル を使用します。 Android Enterprise 用のプロファイルを作成し、[フル マネージド]、[専用]、[作業プロファイル] のカテゴリから [PKCS インポート済み証明書] を選択Corporate-Owned。

セキュリティ ベースライン レポートの状態の詳細の改善

セキュリティ ベースラインの状態の詳細の多くを改善し始めました。 デプロイしたベースライン バージョンに関する情報を表示すると、より意味のある詳細な状態が表示されるようになります。

具体的には、ベースラインを選択し、[ バージョン] を選択し、そのベースラインのインスタンスを選択すると、最初の [概要] に次の情報が表示されます。

  • セキュリティ ベースラインのポスチャ チャート - このグラフには、次の状態の詳細が表示されるようになりました。
    • 既定のベースラインと一致する – この状態は ベースラインに一致 し、デバイス構成が既定の (変更されていない) ベースライン構成と一致するタイミングを識別します。
    • カスタム設定と一致する – この状態は、デバイスの構成が、構成 (カスタマイズ) してデプロイしたベースラインと一致するタイミングを識別します。
    • 正しく構成されていない – この状態は、デバイスの 3 つの状態条件 ( エラー保留中または競合) を表すロールアップです。 これらの個別の状態は、次に詳しく説明するように、他のビューから使用できます。
    • 適用できません - この状態は、ポリシーを受信できないデバイスを表します。 たとえば、最新バージョンの Windows に固有の設定はポリシーによって更新されますが、デバイスでは、その設定がサポートされていない古い (以前の) バージョンが実行されます。
  • カテゴリ別のセキュリティ ベースラインの体制 - これは、デバイスの状態をカテゴリ別に表示するリスト ビューです。 使用可能な列は 、セキュリティ ベースラインのポスチャ チャートの大部分を反映していますが、 誤って構成された 状態の代わりに、誤って構成された状態の 3 つの列が表示されます。
    • エラー: ポリシーを適用できませんでした。 メッセージは通常、説明のリンクを含むエラー コードと共に表示されます。
    • 競合: 2 つの設定が同じデバイスに適用されます。Intune では競合に対処できません。 管理者が確認する必要があります。
    • 保留中: デバイスはまだ、ポリシーを受信するために Intune でチェックインしていません。

Android 10 以降のデバイス管理者が登録したデバイスのパスワードの複雑さの新しい設定

Android デバイス管理者として登録されているデバイスで Android 10 以降の新しいオプションをサポートするために、デバイス コンプライアンス ポリシーとデバイス制限ポリシーの両方に「パスワードの複雑さ」という新しい設定が追加されました。 この新しい設定を使用して、パスワードの種類、長さ、品質を考慮したパスワード強度の 測定値 を管理します。

パスワードの複雑さは、Samsung Knox デバイスには適用されません。 これらのデバイスでは、パスワードの長さと種類の設定がパスワードの複雑さをオーバーライドします。

パスワードの複雑さは、次のオプションをサポートします。

  • なし - パスワードなし
  • - パスワードは次のいずれかを満たします。
    • パターン
    • 繰り返し (4444) または順序付き (1234、4321、2468) シーケンスを含む PIN
  • Medium - パスワードは次のいずれかを満たします。
    • 繰り返しのない PIN (4444) または順序付け (1234、4321、2468) シーケンス、長さ 4 以上
    • アルファベット、長さ 4 以上
    • 英数字、長さ 4 以上
  • High - パスワードは次のいずれかを満たします。
    • 繰り返し (4444) または順序付け (1234、4321、2468) シーケンスのない PIN、長さ 8 以上
    • アルファベット、長さ 6 以上
    • 英数字、長さ 6 以上

この新しい設定は、引き続き進行中です。 2020 年 10 月下旬に、パスワードの複雑さがデバイスで有効になります。

[パスワードの複雑さ][なし] 以外に設定した場合は、複雑さの要件を満たしていないパスワードを使用するエンド ユーザーがパスワードを更新するための警告を確実に受け取れるように、追加の設定も構成する必要があります。

  • [デバイスコンプライアンス]: [モバイル デバイスのロックを解除するためにパスワードを要求する] を [必須] に設定します。
  • デバイスの制限: [パスワード][必須] に設定します

追加の設定を [必須] に設定しないと、パスワードが弱いユーザーは警告を受け取りません。

監視とトラブルシューティング

エンドポイント分析の一般公開

エンドポイント分析は、ユーザー エクスペリエンスに関する分析情報を提供することで、ユーザーの生産性を向上させ、IT サポートのコストを削減することを目的としています。 これらの分析情報を使用すると、IT はプロアクティブ なサポートを使用してエンド ユーザー エクスペリエンスを最適化し、構成変更のユーザーの影響を評価することで、ユーザー エクスペリエンスへの回帰を検出できます。 詳細については、「 エンドポイント分析」を参照してください。

運用レポートに一覧表示されているデバイスの一括アクション

Microsoft Endpoint Manager セキュリティの下で提供される新しいウイルス対策レポートの一部として、検出されたWindows 10マルウェア運用レポートは、レポート内で選択されたデバイスに適用される一括アクションを提供します。 アクションには、 再起動クイック スキャンフル スキャンが含まれます。 詳細については、「検出されたマルウェア レポートWindows 10」を参照してください。

Graph API を使用してIntune レポートをエクスポートする

Intune レポート インフラストラクチャに移行されたすべてのレポートは、単一の最上位レベルのエクスポート API からエクスポートできます。 詳細情報については、「Graph API を使用して Intune レポートをエクスポートする」を参照してください。

Windows 10 以降の新しいMicrosoft Defenderウイルス対策レポート

Microsoft Endpoint Manager のWindows 10にMicrosoft Defender ウイルス対策の新しいレポートを 4 つ追加します。 これらのレポートには、次のものが含まれます。

  • 異常なエンドポイントと検出されたマルウェアWindows 10 Windows 10、2 つの運用レポート。 Microsoft エンドポイント マネージャーで、[ エンドポイント セキュリティ>ウイルス対策] を選択します。
  • ウイルス対策エージェントの状態検出されたマルウェアの 2 つの組織レポート。 Microsoft エンドポイント マネージャーで、[レポートMicrosoft Defenderウイルス対策] を選択します>。

詳細については、「Intune レポート」および「Microsoft Intuneでのエンドポイント セキュリティの管理」を参照してください。

新しいWindows 10機能更新レポート

Windows 10機能更新レポートは、Windows 10機能更新プログラム ポリシーを対象とするデバイスのコンプライアンスの全体像を提供します。 Microsoft エンドポイント マネージャー管理センターで、[レポート>] [Windows 更新プログラム] を選択して、このレポートの概要を表示します。 特定のポリシーのレポートを表示するには、 Windows 更新プログラム ワークロードから [ レポート ] タブを選択し、 Windows 機能更新プログラム レポートを開きます。 詳細については、「Windows 10機能更新プログラム」を参照してください。

2020 年 8 月

アプリ管理

Apple VPP トークンを削除する前に、関連付けられているライセンスが取り消されました

Microsoft Endpoint Manager で Apple VPP トークンを削除すると、そのトークンに関連付けられているIntune割り当てられたすべてのライセンスは、削除前に自動的に取り消されます。

Android 用アプリの [デバイス設定の更新] ページポータル サイト改善され、説明が表示される

Android デバイス上のポータル サイト アプリの [デバイス設定の更新] ページには、準拠するために更新する必要がある設定の一覧が表示されます。 ユーザーは問題を展開して詳細情報を確認し、[解決] ボタンを表示します。

このユーザー エクスペリエンスが改善されました。 一覧表示される設定が既定で展開されて、説明が表示され、[解決] ボタン (適用できる場合) が表示されるようになりました。 以前は、問題は既定では折りたたまれていました。 この新しい既定の動作によってクリック回数が減るため、ユーザーがより迅速に問題を解決できるようになります。

ポータル サイトでは、アプリケーションのサポートConfiguration Manager追加されます

ポータル サイトでは、Configuration Manager アプリケーションがサポートされるようになりました。 エンド ユーザーはこの機能によって、共同管理されている顧客に対して、ポータル サイト上で Configuration Manager および Intune の両方にデプロイされているアプリケーションを表示できるようになります。 この新しいバージョンのポータル サイトには、共同管理されているすべての顧客に対して、Configuration Manager にデプロイされているアプリが表示されます。 このサポートは、管理者がさまざまなエンド ユーザー ポータル エクスペリエンスを統合するのに役立ちます。 詳細については、「共同管理デバイスでポータル サイト アプリを使用する」を参照してください。

デバイス構成

iOS/iPadOS デバイスと macOS デバイスの VPN 接続の種類として NetMotion を使用する

VPN プロファイルを作成すると、NetMotion は VPN 接続の種類として使用できます (デバイス>の構成> 接続の種類に対するプラットフォーム >VPN 用>のプロファイル>iOS/iPadOS または macOS作成します)。

Intune での VPN プロファイルの詳細については、「VPN プロファイルを作成して VPN サーバーに接続する」を参照してください。

適用対象:

  • iOS/iPadOS
  • macOS

Windows 10 Wi-Fi プロファイルのその他の保護された拡張認証プロトコル (PEAP) オプション

Windows 10デバイスでは、拡張認証プロトコル (EAP) を使用してWi-Fi プロファイルを作成して、Wi-Fi接続を認証できます (デバイス>構成プロファイル>の作成>Windows 10以降のプロファイル>の Wi-Fi for profile >Enterprise)。

[保護された EAP (PEAP)] を選択すると、使用可能な新しい設定があります。

  • PEAP フェーズ 1 でサーバー検証を実行する: PEAP ネゴシエーション フェーズ 1 では、証明書の検証によってサーバーが検証されます。
    • PEAP フェーズ 1 でサーバー検証のユーザー プロンプトを無効にする: PEAP ネゴシエーション フェーズ 1 では、信頼された証明機関に対して新しい PEAP サーバーを承認するように求めるユーザー プロンプトは表示されません。
  • 暗号化バインドが必要: PEAP ネゴシエーション中に暗号化バインドを使用しない PEAP サーバーへの接続を禁止します。

構成できる設定を確認するには、[Windows 10 以降のデバイスのWi-Fi設定を追加する] に移動します。

適用対象:

  • Windows 10 以降

顔と虹彩のスキャンを使用して Android Enterprise 仕事用プロファイル デバイスのロックを解除できないようにする

ユーザーが顔スキャンまたは虹彩スキャンを使用して、デバイス レベルまたは仕事用プロファイル レベルで仕事用プロファイルで管理されているデバイスのロックを解除できないようにできるようになりました。 これは、[デバイス>の構成] プロファイル> [AndroidEnterprise for platform>] [仕事用プロファイルの作成] [プロファイル] [仕事用プロファイル>の設定] と [パスワード] セクションの> [デバイスの制限] で設定できます。>

詳細については、「Android Enterprise デバイスの設定」を参照して、Intuneを使用して個人所有のデバイスの機能を許可または制限します。

適用対象:

  • Android Enterprise の作業プロフィール

Microsoft Enterprise SSO プラグインを使用して、より多くの iOS/iPadOS アプリで SSO アプリ拡張機能を使用する

Apple デバイス用の Microsoft Enterprise SSO プラグインは、SSO アプリ拡張機能をサポートするすべてのアプリで使用できます。 Intuneでは、この機能は、Apple デバイス用の Microsoft 認証ライブラリ (MSAL) を使用しないモバイル iOS/iPadOS アプリでプラグインが機能することを意味します。 アプリは MSAL を使用する必要はありませんが、Azure AD エンドポイントで認証する必要があります。

プラグインで SSO を使用するように iOS/iPadOS アプリを構成するには、iOS/iPadOS 構成プロファイルにアプリ バンドル識別子を追加します (デバイス>構成プロファイル> プラットフォーム>用プロファイル >iOS/iPadOSを作成する プロファイル用デバイス機能 シングル >サインオン アプリ拡張機能>Microsoft Azure AD SSO アプリ拡張機能タイプ>のアプリ バンドル ID)。

構成できる現在の SSO アプリ拡張機能の設定を確認するには、[ シングル サインオン アプリ拡張機能] に移動します。

適用対象:

  • iOS/iPadOS

PFX 証明書コネクタの新しいバージョンと PKCS 証明書プロファイルのサポートの変更

PFX Certificate Connector バージョン 6.2008.60.607 の新しいバージョンをリリースしました。 この新しいコネクタのバージョンの内容:

  • サポートされているすべてのプラットフォームで PKCS 証明書プロファイルをサポートWindows 8.1

    PFX 証明書コネクタのすべての PCKS サポートを統合しました。 つまり、環境内で SCEP を使用せず、他の意図に NDES を使用しない場合は、Microsoft Certificate Connector を削除し、環境から NDES をアンインストールできます。

  • Microsoft Certificate Connector には機能が削除されていないため、それらを引き続き使用して PKCS 証明書プロファイルをサポートできます。

  • Outlook S/MIME の証明書失効をサポート

  • .NET Framework 4.7.2 が必要

両方の証明書コネクタのコネクタ リリースの一覧など、証明書コネクタの詳細については、「証明書コネクタ」を参照してください。

デバイス管理

テナントアタッチ: 管理センターからアプリケーションをインストールする

Microsoft Endpoint Manager 管理センターから、テナント接続デバイスのアプリケーション インストールをリアルタイムで開始できるようになりました。 詳細については、「 テナントのアタッチ: 管理センターからアプリケーションをインストールする」を参照してください。

デバイスのセキュリティ

エンドポイント セキュリティウイルス対策ポリシーをテナント接続デバイスに展開する (プレビュー)

プレビューとして、Configuration Managerで管理するデバイスにウイルス対策のエンドポイント セキュリティ ポリシーを展開できます。 このシナリオでは、サポートされているバージョンのConfiguration ManagerとIntune サブスクリプションの間でテナントアタッチを構成する必要があります。 次のバージョンのConfiguration Managerがサポートされています。

  • Configuration Manager current branch 2006

詳細については、「Intune エンドポイント セキュリティ ポリシーの要件」を参照してください。/protect/tenant-attach-intune.md# requirements-for-intune-endpoint-security-policies) テナントアタッチをサポートします。

エンドポイント セキュリティウイルス対策ポリシーの除外に関する変更

エンドポイント セキュリティ ウイルス対策ポリシーの一部として構成したMicrosoft Defenderウイルス対策除外リストを管理するための 2 つの変更が導入されました。 この変更は、さまざまなポリシー間の競合を防ぎ、以前にデプロイしたポリシーに存在する可能性がある除外リストの競合を解決するのに役立ちます。

どちらの変更も、次のMicrosoft Defenderウイルス対策構成サービス プロバイダー (CSP) のポリシー設定に適用されます。

  • Defender/ExcludedPaths
  • Defender/ExcludedExtensions
  • Defender/ExcludedProcesses

変更は次のとおりです。

  • 新しいプロファイルの種類: Microsoft Defenderウイルス対策の除外 - この新しいプロファイルの種類をWindows 10以降に使用して、ウイルス対策の除外のみに焦点を当てたポリシーを定義します。 このプロファイルは、除外リストを他のポリシー構成から分離することで、除外リストの管理を簡略化するのに役立ちます。

    構成できる除外には、Defender プロセスファイル拡張子、スキャンしないファイルフォルダー Microsoft Defender含まれます。

  • ポリシーのマージ – Intune、個別のプロファイルで定義した除外の一覧が、各デバイスまたはユーザーに適用される除外の 1 つのリストにマージされるようになりました。 たとえば、3 つの個別のポリシーを持つユーザーを対象とする場合、これらの 3 つのポリシーの除外リストは、Microsoft Defenderウイルス対策除外の単一のスーパーセットにマージされ、そのユーザーに適用されます。

Windows ファイアウォール規則のアドレス範囲の一覧をインポートおよびエクスポートする

.csv ファイルを使用してアドレス範囲の一覧をインポートまたはエクスポートするためのサポートが、エンドポイント セキュリティのファイアウォール ポリシーのMicrosoft Defender ファイアウォール規則プロファイルに追加されました。 次の Windows ファイアウォール規則の設定で、インポートとエクスポートがサポートされるようになりました。

  • ローカル アドレス範囲
  • リモート アドレス範囲

また、重複または無効なエントリを防ぐために、ローカルアドレスとリモートアドレス範囲の両方のエントリの検証も改善しました。

これらの設定の詳細については、Microsoft Defender ファイアウォール規則の設定に関するページを参照してください。

サード パーティの MDM プロバイダーからデバイス コンプライアンス状態を設定する

Intuneでは、デバイスコンプライアンスの詳細のソースとしてサードパーティの MDM ソリューションがサポートされるようになりました。 このサード パーティのコンプライアンス データを使用して、iOS および Android 上の Microsoft 365 アプリに対して、Microsoft Intuneとの統合を通じて条件付きアクセス ポリシーを適用できます。 Intuneは、サード パーティのプロバイダーからのコンプライアンスの詳細を評価して、デバイスが信頼されているかどうかを判断し、Azure AD で条件付きアクセス属性を設定します。 Microsoft エンドポイント マネージャー管理センターまたは Azure AD ポータル内から、引き続き Azure AD 条件付きアクセス ポリシーを作成します。

このリリースでは、パブリック プレビューとして、次のサードパーティ MDM プロバイダーがサポートされています。

  • VMware Workspace ONE UEM (以前は AirWatch と呼ばれる)

この更新プログラムは、世界中のお客様にロールアウトされています。 この機能は次の週内に表示されます。

Intune アプリ

Windows ポータル サイト プロファイル ページにカスタム ブランド イメージが表示されるようになりました

Microsoft Intune管理者は、カスタム ブランドイメージをIntuneにアップロードできます。この画像は、Windows ポータル サイト アプリのユーザーのプロファイル ページに背景画像として表示されます。 詳細については、「Intune ポータル サイト アプリ、ポータル サイト Web サイト、Intune アプリをカスタマイズする方法」を参照してください。

2020 年 7 月

アプリ管理

Android 上のポータル サイトアプリとIntune アプリのデバイス アイコンに更新する

Android デバイス上の ポータル サイト および Intune アプリのデバイス アイコンを更新し、よりモダンな外観を作成し、Microsoft Fluent Design Systemに合わせて調整しました。 関連情報については、「iOS/iPadOS および macOS 用ポータル サイトアプリのアイコンに更新する」を参照してください。

Exchange オンプレミス コネクタのサポート

Intuneでは、2007 (7 月) リリース以降のIntune サービスから Exchange オンプレミス コネクタ機能のサポートが削除されます。 アクティブなコネクタを使用している既存のお客様は、現時点では現在の機能を引き続き利用できます。 新規のお客様や、アクティブなコネクタをお持ちでない既存のお客様は、Intune での新しいコネクタの作成、または Exchange ActiveSync (EAS) デバイスの管理は実行できなくなります。 これらのお客様には、Exchange ハイブリッド 先進認証 (HMA) を使用して Exchange オンプレミスへのアクセスを保護することをお勧めします。 HMA を使用すると、Intune App Protection ポリシー (MAM とも呼ばれます) と Outlook Mobile を使用した条件付きアクセスの両方が Exchange On-Premises に対して有効になります。

登録なしの iOS および Android デバイス上の Outlook の S/MIME

管理対象アプリのアプリ構成ポリシーを使用して、iOS および Android デバイスで Outlook の S/MIME を有効にできるようになりました。 これにより、デバイスの登録状態に関係なく、ポリシーの配信が可能になります。 Microsoft Endpoint Manager 管理センターで、[アプリ]>[アプリの構成ポリシー] [管理対象アプリ追加]> の>順に選択します。 さらに、ユーザーが Outlook でこの設定を変更できるようにするかどうかを選択できます。 ただし、iOS および Android 用の Outlook に S/MIME 証明書を自動的に展開するには、デバイスを登録する必要があります。 S/MIME に関する一般的な情報については、「S/MIME の概要」を参照して、Intuneで電子メールに署名および暗号化します。 Outlook の構成設定の詳細については、「 Microsoft Outlook の構成設定 」および「 デバイス登録なしでマネージド アプリのアプリ構成ポリシーを追加する」を参照してください。 Outlook for iOS および Android の S/MIME 情報については、「 S/MIME シナリオ構成キー - S/MIME 設定」を参照してください。

デバイス構成

Windows 10および新しいデバイスの新しい VPN 設定

IKEv2 接続の種類を使用して VPN プロファイルを作成する場合、構成できる新しい設定があります (デバイス>構成プロファイル>プロファイルプロファイル>の作成Windows 10以降のプラットフォーム >VPN for profile >Base VPN)。

  • デバイス トンネル: ユーザーのログオンなど、ユーザー操作を必要とせずに、デバイスが VPN に自動的に接続できるようにします。 この機能では、Always Onを有効にし、認証方法としてマシン証明書を使用する必要があります。
  • 暗号化スイートの設定: IKE と子のセキュリティ アソシエーションをセキュリティで保護するために使用するアルゴリズムを構成します。これにより、クライアントとサーバーの設定を一致させることができます。

構成できる設定を確認するには、Windows デバイスの設定に移動して、Intuneを使用して VPN 接続を追加します。

適用対象:

  • Windows 10 以降

Android Enterprise デバイス (COBO) のデバイス制限プロファイルでより多くの Microsoft Launcher 設定を構成する

AndroidEnterprise フル マネージド デバイスでは、デバイス制限プロファイルを使用して、より多くの Microsoft Launcher 設定を構成できます (デバイス>構成プロファイル>> Android Enterprise for platform> Device Owneronly> Device restrictions> Device experience> フル マネージド)。

これらの設定を表示するには、 Android Enterprise デバイスの設定に移動して、機能を許可または制限します。

アプリ構成プロファイルを使用して Microsoft Launcher 設定を 構成することもできます。

適用対象:

  • Android Enterprise デバイス所有者フル マネージド デバイス (COBO)

Android Enterprise デバイス所有者専用デバイス (COSU) でのマネージド ホーム スクリーンの新機能

Android Enterprise デバイスでは、管理者はデバイス構成プロファイルを使用して、マルチアプリ キオスク モードを使用して専用デバイスのマネージド ホーム スクリーンをカスタマイズできます (デバイス>構成プロファイル> プラットフォーム用>のプロファイル>Android Enterpriseを作成する デバイス所有者専用>デバイスの制限 プロファイル >デバイス エクスペリエンス>専用デバイス>マルチアプリ)。

具体的には次のことができます。

  • アイコンをカスタマイズし、画面の向きを変更し、バッジ アイコンにアプリ通知を表示する
  • [管理設定] ショートカットを非表示にする
  • デバッグ メニューへのアクセスが容易
  • Wi-Fi ネットワークの許可リストを作成する
  • デバイス情報へのアクセスが容易

詳細については、「 Android Enterprise デバイスの設定」を参照して、機能を許可または制限しますこのブログを参照してください。

適用対象:

  • Android Enterprise デバイス所有者、専用デバイス (COSU)

Microsoft Edge 84 用に更新された管理用テンプレート

Microsoft Edge で使用できる ADMX 設定が更新されました。 エンド ユーザーは、Edge 84 で追加された新しい ADMX 設定を構成して展開できるようになりました。 詳細については、 Edge 84 リリース ノートを参照してください。

デバイスの登録

iOS ポータル サイトでは、ユーザー アフィニティなしで Apple の自動デバイス登録がサポートされます

iOS ポータル サイトは、割り当てられたユーザーを必要とせずに、Apple の自動デバイス登録を使用して登録されたデバイスでサポートされるようになりました。 エンド ユーザーは、iOS ポータル サイトにサインインして、デバイス アフィニティなしで登録された iOS/iPadOS デバイスのプライマリ ユーザーとして自分自身を確立できます。 自動デバイス登録の詳細については、「 iOS/iPadOS デバイスを Apple の自動デバイス登録に自動的に登録する」を参照してください。

企業所有の個人用に有効なデバイス (プレビュー)

Intuneでは、Android 8 以降の OS バージョンの仕事用プロファイルを持つ Android Enterprise 企業所有のデバイスがサポートされるようになりました。 仕事用プロファイルを持つ企業所有デバイスは、Android Enterprise ソリューション セットの企業管理シナリオの 1 つです。 このシナリオは、企業および個人での使用を目的としたシングル ユーザー デバイス用です。 この企業所有の個人用対応 (COPE) シナリオでは、次の機能が提供されます。

  • 仕事用および個人用プロファイルのコンテナー化
  • 管理者向けのデバイス レベルの制御
  • エンド ユーザーの個人データとアプリケーションがプライベートのままであることを保証する

最初のパブリック プレビュー リリースには、一般公開リリースに含まれる機能のサブセットが含まれます。 追加の機能は、ローリング ベースで追加されます。 最初のプレビューで使用できる機能は次のとおりです。

  • 登録: 管理者は、期限切れではない一意のトークンを持つ複数の登録プロファイルを作成できます。 デバイス登録は、NFC、トークン 入力、QR コード、ゼロ タッチ、または Knox モバイル登録を使用して行うことができます。
  • デバイス構成: 既存のフル マネージドおよび専用デバイス設定のサブセット。
  • デバイスのコンプライアンス: フル マネージド デバイスで現在使用できるコンプライアンス ポリシー。
  • デバイス アクション: デバイスの削除 (出荷時のリセット)、デバイスの再起動、デバイスのロック。
  • アプリ管理: アプリの割り当て、アプリ構成、および関連するレポート機能
  • 条件付きアクセス

企業所有の仕事用プロファイル プレビューの詳細については、 サポート ブログを参照してください。

デバイス管理

テナントアタッチ: 管理センターの ConfigMgr クライアントの詳細 (プレビュー)

Microsoft エンドポイント マネージャー管理センターで、特定のデバイスのコレクション、境界グループ メンバーシップ、リアルタイム クライアント情報など、ConfigMgr クライアントの詳細を確認できるようになりました。 詳細については、「 テナントのアタッチ: 管理センターの ConfigMgr クライアントの詳細 (プレビュー)」を参照してください。

macOS デバイスのリモート ロック アクションに更新する

macOS デバイスのリモート ロック アクションの変更点は次のとおりです。

  • 回復ピンは、削除前の 30 日間 (7 日間ではなく) 表示されます。
  • 管理者が 2 つ目のブラウザーを開き、別のタブまたはブラウザーからコマンドを再度トリガーしようとすると、Intuneコマンドが実行されます。 ただし、レポートの状態は、新しいピンを生成するのではなく、失敗に設定されます。
  • 前のコマンドがまだ保留中の場合、またはデバイスが再度チェックインされていない場合、管理者は別のリモート ロック コマンドを発行できません。 これらの変更は、複数のリモート ロック コマンドの後に正しいピンが上書きされないように設計されています。

デバイス アクション レポートでは、ワイプと保護されたワイプが区別されます

デバイス アクション レポートで、ワイプアクションと保護されたワイプアクションが区別されるようになりました。 レポートを表示するには、 Microsoft Endpoint Manager 管理センター>のデバイス>モニター>デバイス アクション ( [その他] の下) に移動します。

デバイスのセキュリティ

Microsoft Defender ファイアウォール規則移行ツールのプレビュー

パブリック プレビューとして、ファイアウォール規則を移行する PowerShell ベースのツールMicrosoft Defender取り組んでいます。 ツールをインストールして実行すると、Windows 10 クライアントの現在の構成に基づくIntuneのエンドポイント セキュリティ ファイアウォール規則ポリシーが自動的に作成されます。 詳細については、「 エンドポイント セキュリティ ファイアウォール規則移行ツールの概要」を参照してください。

テナント接続デバイスをMicrosoft Defender for Endpointにオンボードするためのエンドポイント検出と応答ポリシーが一般公開

Intuneのエンドポイント セキュリティの一環として、Configuration Managerによって管理されるデバイスで使用するためのエンドポイント検出と応答 (EDR) ポリシープレビュー段階ではなくなり、現在は一般公開されています。

サポートされているバージョンのConfiguration Managerのデバイスで EDR ポリシーを使用するには、Configuration Managerのテナントアタッチを構成します。 テナントのアタッチ構成を完了したら、EDR ポリシーを展開して、Microsoft Defender for EndpointにConfiguration Managerによって管理されるデバイスをオンボードできます。

Bluetooth 設定は、エンドポイント セキュリティ攻撃面の縮小ポリシーのデバイス制御プロファイルで使用できます

Windows 10 デバイスの Bluetooth を管理するための設定を、エンドポイント セキュリティ攻撃面の縮小ポリシーデバイス制御プロファイルに追加しました。 これらは、 デバイス構成のデバイス制限プロファイルで使用できる設定と同じです。

Windows 10 デバイスのエンドポイント セキュリティ ウイルス対策ポリシーを使用して定義更新プログラムのソースの場所を管理する

デバイスが更新プログラムの定義を取得する方法を管理するのに役立つ、Windows 10 デバイスのエンドポイント セキュリティ ウイルス対策ポリシーの更新 カテゴリに 2 つの新しい設定が追加されました。

  • 定義の更新プログラムをダウンロードするためのファイル共有を定義する
  • 定義更新プログラムをダウンロードするためのソースの順序を定義する

新しい設定では、定義の更新のダウンロード ソースの場所として UNC ファイル共有を追加し、異なるソースの場所に接続する順序を定義できます。

セキュリティ ベースライン ノードの改善

Microsoft Endpoint Manager 管理センターの セキュリティ ベースライン ノード の使いやすさを向上させるために、いくつかの変更を行いました。 エンドポイント セキュリティ セキュリティベースラインにドリル インし、MDM セキュリティ >ベースラインなどのセキュリティ ベースラインの種類を選択すると、[プロファイル] ウィンドウが表示されます。 [プロファイル] ウィンドウで、その基準計画の種類に対して作成したプロファイルを表示します。 以前は、コンソールに [概要] ウィンドウが表示されました。これには、個々のプロファイルのレポートで見つかった詳細と常に一致しない集計データ ロールアップが含まれていました。

[プロファイル] ペインから、ドリルインするプロファイルを選択して、プロファイルのプロパティと 、[モニター] で使用できるさまざまなレポートを表示できます。 同様に、プロファイルと同じレベルでは、[ バージョン ] を選択して、展開したプロファイルの種類のさまざまなバージョンを表示できます。 バージョンにドリルインすると、プロファイル レポートと同様にレポートにもアクセスできます。

Windows の派生資格情報のサポート

Windows デバイスで派生資格情報を使用できるようになりました。 これにより、iOS/iPadOS と Android の既存のサポートが拡張され、同じ派生資格情報プロバイダーで使用できるようになります。

  • Entrust
  • Intercede
  • DISA Purebred

Widows のサポートには、Wi-Fiまたは VPN プロファイルに対する認証に派生資格情報の使用が含まれます。 Windows デバイスの場合、派生資格情報は、使用する派生資格情報プロバイダーによって提供されるクライアント アプリから発行されます。

Intuneではなく、デバイス ユーザーによって暗号化されたデバイスの FileVault 暗号化を管理する

Intuneでは、Intune ポリシーではなく、デバイス ユーザーによって暗号化された macOS デバイスでの FileVault ディスク暗号化の管理を想定できるようになりました。 このシナリオでは、次のものが必要です。

  • FileVault を有効にするIntuneからディスク暗号化ポリシーを受信するデバイス。
  • ポータル サイト Web サイトを使用して、暗号化されたデバイスの個人用回復キーをIntuneにアップロードするデバイス ユーザー。 キーをアップロードするには、暗号化された macOS デバイスの [ストア回復キー ] オプションを選択します。

ユーザーが回復キーをアップロードした後、Intuneキーをローテーションして有効であることを確認します。 Intuneは、デバイスを直接暗号化するためにポリシーを使用したかのように、キーと暗号化を管理できるようになりました。 ユーザーがデバイスを回復する必要がある場合は、次の場所から任意のデバイスを使用して回復キーにアクセスできます。

  • ポータル サイト Web サイト
  • iOS/iPadOS 用ポータル サイト アプリ
  • Android 用ポータル サイト アプリ
  • Intune アプリ

macOS FileVault ディスク暗号化中にデバイス ユーザーから個人用回復キーを非表示にする

エンドポイント セキュリティ ポリシーを使用して macOS FileVault ディスク暗号化を構成する場合は、[ 回復キーを非表示にする] 設定を使用して、デバイスが暗号化されている間に 個人用回復キー がデバイス ユーザーに表示されないようにします。 暗号化中にキーを非表示にすると、デバイスの暗号化を待っている間にユーザーが書き留めることができないため、セキュリティを維持するのに役立ちます。

その後、回復が必要な場合、ユーザーはいつでも任意のデバイスを使用して、Intune ポータル サイト Web サイト、iOS/iPadOS ポータル サイト、Android ポータル サイト、またはIntune アプリを介して個人用回復キーを表示できます。

デバイスのセキュリティ ベースラインの詳細の表示の改善

これで、デバイスの詳細にドリルインして、デバイスに適用されるセキュリティ ベースラインの設定の詳細を表示できます。 設定は、設定カテゴリ、設定名、および状態を含む、シンプルでフラットな一覧に表示されます。 詳細については、「 デバイスごとのエンドポイント セキュリティ構成の表示」を参照してください。

監視とトラブルシューティング

英語でのデバイス コンプライアンス ログの表示

Intune DeviceComplianceOrg ログには、以前は ComplianceState、OwnerType、DeviceHealthThreatLevel の列挙のみが含まれています。 次に、これらのログには列に英語の情報が含まれています。

Power BI コンプライアンス レポート テンプレート V2.0

Power BI テンプレート アプリを使用すると、Power BI パートナーはコーディングがほとんどまたはまったくない Power BI アプリを構築し、Power BI のお客様にデプロイできます。 管理者は、Power BI コンプライアンス レポート テンプレートのバージョンを V1.0 から V2.0 に更新できます。 V2.0 には、改善された設計と、テンプレートの一部として表示される計算とデータの変更が含まれています。 詳細については、「Power BI を使用してData Warehouseに接続する」および「テンプレート アプリを更新する」を参照してください。 さらに、Intune Data Warehouseを使用した Power BI コンプライアンス レポートの新しいバージョンの発表に関するブログ記事を参照してください。

役割ベースのアクセス制御

プロファイルの割り当てとプロファイルのアクセス許可の変更の更新

自動デバイス登録フローのプロファイルと更新プロファイルの割り当てに対するロールベースのアクセス制御アクセス許可が変更されました。

プロファイルの割り当て: このアクセス許可を持つ管理者は、プロファイルをトークンに割り当て、自動デバイス登録のトークンに既定のプロファイルを割り当てることもできます。

プロファイルの更新: このアクセス許可を持つ管理者は、自動デバイス登録の既存のプロファイルのみを更新できます。

これらのロールを表示するには、[Microsoft エンドポイント マネージャー管理センター>] [テナント管理>ロール>] [すべてのロール] [アクセス許可ロール>の作成>] の順に>移動します

スクリプト

その他のData Warehouse v1.0 プロパティ

その他のプロパティは、Intune Data Warehouse v1.0 を使用して使用できます。 次のプロパティが devices エンティティを介して公開されるようになりました。

  • ethernetMacAddress - このデバイスの一意のネットワーク識別子。
  • office365Version - デバイスにインストールされている Microsoft 365 のバージョン。

devicePropertyHistories エンティティを介して、次のプロパティが公開されるようになりました。

  • physicalMemoryInBytes - 物理メモリ (バイト単位)。
  • totalStorageSpaceInBytes - ストレージ容量の合計 (バイト単位)。

詳細については、「Microsoft Intune Data Warehouse API」を参照してください。

2020 年 6 月

アプリ管理

マネージド アプリの通信データ転送保護

保護されたアプリでハイパーリンクされた電話番号が検出されると、Intuneは、その番号をダイヤラー アプリに転送できる保護ポリシーが適用されているかどうかを確認します。 この種類のコンテンツ転送は、ポリシーマネージド アプリから開始されたときに処理する方法を選択できます。 Microsoft Endpoint Manager でアプリ保護ポリシーを作成する場合は、[組織データを他のアプリ に送信する] からマネージド アプリ オプションを選択し、[ 通信データの転送先] からオプションを選択します。 このデータ保護設定の詳細については、「Microsoft Intuneおよび iOS アプリ保護ポリシー設定」の「Androidアプリ保護ポリシー設定」を参照してください。

Windows ポータル サイトでの Azure Active Directory Enterprise アプリケーションと Office Online アプリケーションの統合配信

Intuneの [カスタマイズ] ウィンドウで、ポータル サイトで [Azure AD Enterprise アプリケーションOffice Online アプリケーションの両方を非表示にする] または [表示] を選択できます。 各エンド ユーザーには、選択された Microsoft サービスによるアプリケーション カタログ全体が表示されます。 既定では、追加のアプリ ソースがそれぞれ [非表示] に設定されるようになります。 この機能は、最初にポータル サイト Web サイトで有効になり、Windows ポータル サイトのサポートが続く予定です。 この構成設定を見つけるには、Microsoft Endpoint Manager 管理センターで、[テナント管理]>[カスタマイズ] の順に選択します。 関連情報については、「Intune ポータル サイト アプリ、ポータル サイト Web サイト、および Intune アプリをカスタマイズする方法」を参照してください。

macOS 登録エクスペリエンスのポータル サイトの改善

macOS の登録エクスペリエンス用のポータル サイトには、よりシンプルな登録プロセスが備わっています。これにより、iOS の登録エクスペリエンス用のポータル サイトと、より厳密な一致がとれます。 デバイス ユーザーには、次の情報が表示されます。

  • より洗練されたユーザー インターフェイス。
  • 強化された登録チェックリスト。
  • デバイスの登録方法に関するより明確な説明。
  • 強化されたトラブルシューティング オプション。

ポータル サイトの詳細については、「Intune ポータル サイト アプリ、ポータル サイト Web サイト、Intune アプリをカスタマイズする方法」を参照してください。

iOS/iPadOS および macOS ポータル サイトの [デバイス] ページの機能強化

iOS/iPadOS および Mac ユーザーのアプリ エクスペリエンスを向上させるために、[デバイスのポータル サイト] ページに変更を加えた。 よりモダンな外観を作成するだけでなく、ユーザーがデバイスの状態を確認しやすくするために、セクション ヘッダーが定義された 1 つの列の下にデバイスの詳細を再構成しました。 また、デバイスがコンプライアンスから外れたユーザーに対して、より明確なメッセージングとトラブルシューティングの手順を追加しました。 ポータル サイトの詳細については、「Intune ポータル サイト アプリ、ポータル サイト Web サイト、Intune アプリをカスタマイズする方法」を参照してください。 デバイスを手動で同期するには、「 iOS デバイスを手動で同期する」を参照してください。

iOS/iPadOS ポータル サイト アプリのクラウド設定

iOS/iPadOS ポータル サイトの新しいクラウド設定を使用すると、ユーザーは組織に適したクラウドに認証をリダイレクトできます。 既定では、この設定は [自動] に構成されています。これにより、ユーザーのデバイスによって自動的に検出されたクラウドに認証が送信されます。 組織の認証を、自動的に検出されるクラウド以外のクラウド (パブリックや政府機関など) にリダイレクトする必要がある場合は、[設定] アプリ >ポータル サイト>Cloud を選択することで、ユーザーは適切なクラウドを手動で選択できます。 ユーザーは、別のデバイスからサインインしていて、適切なクラウドがデバイスによって自動的に検出されない場合にのみ、[ クラウド ] 設定を [自動 ] から変更する必要があります。

Apple VPP トークンを複製する

同じ トークンの場所 を持つ Apple VPP トークンは複製としてマークされ、 重複 したトークンが削除されたときに再び同期できます。 重複としてマークされたトークンのライセンスは、引き続き割り当ておよび取り消すことができます。 ただし、トークンが重複としてマークされると、購入した新しいアプリやブックのライセンスが反映されない場合があります。 テナントの Apple VPP トークンを見つけるには、Microsoft Endpoint Manager 管理センターから [テナント管理>コネクタ]を選択し、Apple VPP トークンを>トークンします。 VPP トークンの詳細については、「Microsoft Intuneを使用して Apple Volume Purchase Program を通じて購入した iOS アプリと macOS アプリを管理する方法」を参照してください。

iOS/iPadOS 用のポータル サイトの情報画面に更新する

iOS/iPadOS 用のポータル サイトの情報画面が更新され、管理者がデバイスで表示および実行できる内容をより適切に説明できるようになりました。 これらの説明は企業所有のデバイスのみに関するものです。 更新されたのはテキストのみです。管理者がユーザー デバイスで表示または実行できる内容は実際には変更されていません。 更新された画面を表示するには、エンド ユーザー アプリの UI 更新プログラムIntune参照してください

Android APP の条件付き起動のエンド ユーザー エクスペリエンスを更新しました

Android ポータル サイト の 2006 リリースには、2005 リリースからの更新プログラムに基づく変更があります。 2005 年に、アプリ保護ポリシーによって警告、ブロック、またはワイプが発行された Android デバイスのエンド ユーザーに、警告、ブロック、またはワイプの理由と、問題を修復するための手順を説明する完全なページ メッセージが表示される更新プログラムをロールアウトしました。 2006 年には、アプリ保護ポリシーが割り当てられた Android アプリの初めてのユーザーがガイド付きフローを通じて、アプリのアクセスがブロックされる原因となる問題を修復します。

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを使用できるようになりました。

  • BlueJeans ビデオ会議
  • Cisco Jabber for Intune
  • Tableau Mobile for Intune
  • Intuneの場合はゼロ

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

デバイス構成

macOS デバイスのWi-Fi プロファイルに EAP-TLS 認証用の複数のルート証明書を追加する

macOS デバイスでは、Wi-Fi プロファイルを作成し、拡張認証プロトコル (EAP) 認証の種類 (デバイス>構成プロファイル プロファイル>を作成するプロファイル>macOS for platform >Wi-Fi for profile >Wi-Fi type set to Enterprise) を選択できます。

EAP の種類EAP-TLS、EAP-TTLS、または PEAP 認証に設定すると、複数のルート証明書を追加できます。 以前は、ルート証明書を 1 つだけ追加できました。

構成できる設定の詳細については、「Microsoft Intuneで macOS デバイスのWi-Fi設定を追加する」を参照してください。

適用対象:

  • macOS

Windows 10以降のデバイスでWi-Fi プロファイルで PKCS 証明書を使用する

SCEP 証明書を使用して Windows Wi-Fi プロファイルを認証できます (デバイス構成>プロファイル>プロファイルの作成>Windows 10以降のプロファイルタイプのエンタープライズ>EAP タイプ>のプラットフォーム >Wi-Fi)。 これで、Windows Wi-Fi プロファイルで PKCS 証明書を使用できるようになりました。 この機能を使用すると、ユーザーはテナント内の新規または既存の PKCS 証明書プロファイルを使用してWi-Fiプロファイルを認証できます。

構成できるWi-Fi設定の詳細については、「IntuneでWindows 10以降のデバイスのWi-Fi設定を追加する」を参照してください。

適用対象:

  • Windows 10 以降

macOS デバイスの有線ネットワーク デバイス構成プロファイル

有線ネットワークを構成する新しい macOS デバイス構成プロファイルを使用できます (デバイス>構成プロファイル> プラットフォーム用>プロファイル>macOS プロファイル用ワイヤード ネットワークを作成します)。 この機能を使用して、802.1x プロファイルを作成して有線ネットワークを管理し、これらの有線ネットワークを macOS デバイスに展開します。

この機能の詳細については、「 macOS デバイス上の有線ネットワーク」を参照してください。

適用対象:

  • macOS

フル マネージド Android Enterprise デバイスの既定の起動ツールとして Microsoft Launcher を使用する

Android Enterprise デバイス所有者デバイスでは、Microsoft Launcher をフル マネージド デバイスの既定の起動ツールとして設定できます (デバイス>構成プロファイル>プラットフォーム用のプロファイル>Android Enterprise を作成する デバイス>所有者> プロファイル>デバイス エクスペリエンスデバイス制限)。 その他すべての Microsoft Launcher 設定を構成するには、 アプリ構成ポリシーを使用します

また、 専用デバイス の名前が デバイス エクスペリエンスに変更されるなど、その他の UI 更新プログラムもあります。

制限できるすべての設定を確認するには、「Android Enterprise デバイスの設定」を参照して、Intuneを使用して機能を許可または制限します。

適用対象:

  • Android Enterprise デバイス所有者フル マネージド デバイス (COBO)

自律シングル アプリ モード設定を使用して、iOS ポータル サイト アプリをサインイン/サインアウト アプリに構成する

iOS/iPadOS デバイスでは、自律シングル アプリ モード (ASAM) で実行するようにアプリを構成できます。 これで、ポータル サイト アプリは ASAM をサポートし、"サインイン/サインアウト" アプリとして構成できます。 このモードでは、他のアプリとデバイスの [ホーム画面] ボタンを使用するには、ポータル サイト アプリにサインインする必要があります。 アプリからサインアウトするとポータル サイト、デバイスは単一アプリ モードに戻り、アプリをロックポータル サイトします。

ASAM に含まれるポータル サイトを構成するには、[デバイス>の構成プロファイル>] [プロファイルの作成]>iOS/iPadOS for platform [>プロファイルのデバイス制限>] [自律シングル アプリ モード] の順に移動します。

詳細については、「 自律シングル アプリ モード (ASAM)シングル アプリ モード (Apple の Web サイトを開く)」を参照してください。

適用対象:

  • iOS/iPadOS

macOS デバイスでコンテンツ キャッシュを構成する

macOS デバイスでは、コンテンツ キャッシュを構成する構成プロファイルを作成できます (デバイス>構成プロファイル> プラットフォーム用>のプロファイル>macOS プロファイルを作成プロファイルのデバイス機能)。 これらの設定を使用して、キャッシュの削除、共有キャッシュの許可、ディスクのキャッシュ制限の設定などを行います。

コンテンツ キャッシュの詳細については、「 ContentCaching (Apple の Web サイトを開く)」を参照してください。

構成できる設定を確認するには、Intuneの macOS デバイス機能の設定に移動します。

適用対象:

  • macOS

新しいスキーマ設定を追加し、Android Enterprise で OEMConfig を使用して既存のスキーマ設定を検索する

Intuneでは、OEMConfig を使用して Android Enterprise デバイスの設定を管理できます (デバイス>構成プロファイル>プロファイル>Android Enterprise for platform >OEMConfig for profile) を作成します。 構成デザイナーを使用すると、アプリ スキーマのプロパティが表示されます。 次に、 構成デザイナーで次のことができます。

  • アプリ スキーマに新しい設定を追加します。
  • アプリ スキーマで新しい設定と既存の設定を検索します。

Intuneの OEMConfig プロファイルの詳細については、「Microsoft Intuneで OEMConfig を使用して Android Enterprise デバイスを使用して管理する」を参照してください。

適用対象:

  • Android Enterprise

共有 iPad デバイスでの共有 iPad 一時セッションのブロック

Intuneでは、共有 iPad デバイスの一時セッションをブロックする新しい [共有 iPad の一時セッションをブロックする] 設定があります (デバイス>構成プロファイル>プロファイルを作成する>iOS/iPadOS for platform プロファイル>の種類>のデバイス制限Shared iPad)。 有効にすると、エンド ユーザーはゲスト アカウントを使用できません。 マネージド Apple ID とパスワードを使用してデバイスにサインインする必要があります。

詳細については、「 iOS および iPadOS デバイスの設定」を参照して、機能を許可または制限します

適用対象:

  • iOS/iPadOS 13.4 以降を実行している共有 iPad デバイス

デバイスの登録

Bring-your-own-devices can use VPN to deploy

新しい Autopilot プロファイルの [ドメイン接続チェックのスキップ ] トグルを使用すると、独自のサード パーティの Win32 VPN クライアントを使用して、企業ネットワークにアクセスせずに Hybrid Azure AD Join デバイスをデプロイできます。 新しいトグルを表示するには、Microsoft Endpoint Manager 管理 Center>Devices>Windows>の登録>展開プロファイル>[プロファイル>の作成] [Out-of-box experience (OOBE)] に移動します。

登録状態ページ プロファイルをデバイス グループに設定できます

以前は、登録状態ページ (ESP) プロファイルはユーザー グループのみを対象とできました。 これで、ターゲット デバイス グループに設定することもできます。 詳細については、「 登録状態ページを設定する」を参照してください。

デバイス登録の自動同期エラー

iOS/iPadOS および macOS デバイスに関する新しいエラーが報告されます。

  • 電話番号に無効な文字が含まれているか、そのフィールドが空の場合は無効です。
  • プロファイルの構成名が無効または空です。
  • 無効/期限切れのカーソル値、またはカーソルが見つからない場合。
  • 拒否または期限切れのトークン。
  • 部署フィールドが空であるか、長さが長すぎます。
  • プロファイルは Apple によって見つからず、新しいプロファイルを作成する必要があります。
  • 削除された Apple Business Manager デバイスの数が概要ページに追加され、デバイスの状態が表示されます。

Shared iPads for Business

Intuneと Apple Business Manager を使用すると、複数の従業員がデバイスを共有できるように、共有 iPad を簡単かつ安全に設定できます。 Apple の Shared iPad は、ユーザー データを保持しながら、複数のユーザーにパーソナライズされたエクスペリエンスを提供します。 マネージド Apple ID を使用すると、ユーザーは組織内の共有 iPad にサインインした後、アプリ、データ、設定にアクセスできます。 共有 iPad はフェデレーション ID で動作します。

この機能を確認するには、Microsoft Endpoint Manager 管理センター>[デバイス>] [iOS iOS>登録>プログラム トークン>] の順に移動し、トークン>[プロファイルの作成]>>iOS を選択します。 [ 管理設定] ページで、[ ユーザー アフィニティなしで登録する ] を選択すると、[ 共有 iPad ] オプションが表示されます。

必要: iPadOS 13.4 以降。 このリリースでは、ユーザーがマネージド Apple ID を持たないデバイスにアクセスできるように、Shared iPad での一時的なセッションのサポートが追加されました。 ログアウト時に、デバイスはすべてのユーザー データを消去して、デバイスをすぐに使用する準備が整い、デバイスのワイプが不要になります。

Apple の自動デバイス登録のユーザー インターフェイスを更新しました

Apple の用語を反映するように、ユーザー インターフェイスが更新され、Apple のデバイス登録プログラムが自動デバイス登録に置き換えられました。

デバイス管理

macOS で使用できるデバイス リモート ロック ピン

macOS デバイスのリモート ロック ピンの可用性が 7 日から 30 日に増加しました。

共同管理デバイスのプライマリ ユーザーを変更する

共同管理 Windows デバイスのデバイスのプライマリ ユーザーを変更できます。 見つけて変更する方法の詳細については、「Intune デバイスのプライマリ ユーザーを検索する」を参照してください。 この機能は、今後数週間で段階的にロールアウトされます。

Intuneプライマリ ユーザーを設定すると、Azure AD 所有者プロパティも設定されます

この新機能では、新しく登録された Hybrid Azure AD 参加済みデバイスの所有者プロパティが、Intuneプライマリ ユーザーが設定されると同時に自動的に設定されます。 プライマリ ユーザーの詳細については、「Intune デバイスのプライマリ ユーザーを検索する」を参照してください。

これは登録プロセスの変更であり、新しく登録されたデバイスにのみ適用されます。 既存のハイブリッド Azure AD 参加済みデバイスの場合は、Azure AD 所有者プロパティを手動で更新する必要があります。 これを行うには、 プライマリ ユーザーの変更機能 または スクリプトを使用できます。

Windows 10デバイスが Hybrid Azure Active Directory Joined になると、デバイスの最初のユーザーが Endpoint Manager のプライマリ ユーザーになります。 現在、ユーザーは対応する Azure AD デバイス オブジェクトに設定されていません。 これにより、Azure AD ポータルの 所有者 プロパティと Microsoft エンドポイント マネージャー管理センターの プライマリ ユーザー プロパティを比較すると、不整合が発生します。 Azure AD 所有者プロパティは、BitLocker 回復キーへのアクセスをセキュリティで保護するために使用されます。 プロパティは、ハイブリッド Azure AD 参加済みデバイスには設定されません。 この制限により、Azure AD からの BitLocker 回復のセルフサービスを設定できなくなります。 この今後の機能により、この制限が解決されます。

デバイスのセキュリティ

macOS デバイスの FileVault 2 暗号化中に回復キーをユーザーから非表示にする

macOS Endpoint Protection テンプレート内の FileVault カテゴリに新しい設定が追加されました:回復キーを非表示にします。 この設定では、FileVault 2 暗号化中にエンド ユーザーから個人キーが非表示になります。

暗号化された macOS デバイスの個人用回復キーを表示するには、デバイス ユーザーは次のいずれかの場所に移動し、macOS デバイスの 回復キーを取得 をクリックします。

  • iOS/iPadOS ポータル サイト アプリ
  • Intune アプリ
  • ポータル サイト Web サイト
  • Android ポータル サイト アプリ

Android フル マネージドの Outlook での S/MIME 署名と暗号化証明書のサポート

Android Enterprise フル マネージドを実行するデバイスで、Outlook で S/MIME 署名と暗号化に証明書を使用できるようになりました。

これは、他の Android バージョンに対して先月追加されたサポート (Outlook on Android での S/MIME 署名と暗号化証明書のサポート) で拡張されます。 これらの証明書は、SCEP と PKCS インポートされた証明書プロファイルを使用してプロビジョニングできます。

このサポートの詳細については、Exchange ドキュメント の「Outlook for iOS および Android での秘密度のラベル付けと保護 」を参照してください。

非準拠の電子メール通知を送信するための通知メッセージ テンプレートを構成する場合は、Web サイト リンクポータル サイト新しい設定を使用して、ポータル サイト Web サイトへのリンクを自動的に含めます。 このオプションを [有効] に設定すると、このテンプレートに基づいてメールを受信する非準拠デバイスを持つユーザーは、リンクを使用して Web サイトを開き、デバイスが準拠していない理由の詳細を確認できます。

Android のコンプライアンス ポリシーでMicrosoft Defender for Endpointを使用する

Intuneを使用して、Android デバイスを Microsoft for Endpoint にオンボードできるようになりました。 登録済みのデバイスをオンボードした後、Android のコンプライアンス ポリシーでは、Microsoft Defender for Endpointからの脅威レベルのシグナルを使用できます。 これらは、Windows 10 デバイスで以前に使用できたのと同じ信号です。

Android デバイスの Defender for Endpoint Web 保護を構成する

Android デバイスにMicrosoft Defender for Endpointを使用する場合は、フィッシング スキャン機能を無効にしたり、スキャンで VPN を使用できないようにMicrosoft Defender for Endpoint Web 保護を構成したりできます。

Intuneを使用して Android デバイスを登録する方法に応じて、次のオプションを使用できます。

  • Android デバイス管理者 - カスタム OMA-URI 設定を使用して Web 保護機能を無効にするか、スキャン中に VPN の使用のみを無効にします。
  • Android Enterprise 仕事用プロファイル - アプリ構成プロファイルと構成デザイナーを使用して、すべての Web 保護機能を無効にします。

ライセンス

管理者が Microsoft Endpoint Manager 管理コンソールにアクセスするためにIntune ライセンスを必要としなくなりました

管理者が MEM 管理コンソールにアクセスし、グラフ API にクエリを実行するためのIntune ライセンス要件を削除するテナント全体のトグルを設定できるようになりました。 ライセンス要件を削除すると、元に戻すことはありません。

注:

Teamviewer Connector フローを含む一部のアクションでは、完了するには引き続きIntune ライセンスが必要です。

監視とトラブルシューティング

エンドポイント分析を使用してユーザーの生産性を向上させ、IT サポート コストを削減する

次の週には、この機能がロールアウトされます。エンドポイント分析は、ユーザー エクスペリエンスに関する分析情報を提供することで、ユーザーの生産性を向上させ、IT サポート コストを削減することを目的としています。 IT 部門は、この分析情報を使用して、プロアクティブなサポートによりエンド ユーザー エクスペリエンスを最適化したり、構成変更がもたらすユーザーへの影響を評価して、ユーザー エクスペリエンスの低下を検知したりすることができます。 詳細については、「 エンドポイント分析プレビュー」を参照してください。

スクリプト パッケージを使用してエンド ユーザー デバイスの問題を事前に修復する

エンド ユーザー デバイスでスクリプト パッケージを作成して実行すると、組織内の上位のサポートの問題を事前に見つけて修正できます。 スクリプト パッケージをデプロイすると、サポート呼び出しを減らすことができます。 独自のスクリプト パッケージを作成するか、環境で記述して使用したスクリプト パッケージの 1 つをデプロイして、サポート チケットを減らします。 Intuneを使用すると、デプロイされたスクリプト パッケージの状態を確認し、検出と修復の結果を監視できます。 Microsoft エンドポイント マネージャー管理センターで、[レポート>エンドポイント分析>][ プロアクティブ修復] を選択します。 詳細については、「プロアクティブな修復」を参照してください。

スクリプト

macOS デバイスでのシェル スクリプトの可用性

macOS デバイス用のシェル スクリプトが、Government Cloud および中国のお客様向けに使用できるようになりました。 シェル スクリプトの詳細については、「Intuneで macOS デバイスでシェル スクリプトを使用する」を参照してください。

2020 年 5 月

アプリ管理

ARM64 デバイス上の Windows 32 ビット (x86) アプリ

ARM64 デバイスで使用できるように展開された Windows 32 ビット (x86) アプリが、ポータル サイトに表示されるようになります。 Windows 32 ビット アプリの詳細については、「 Win32 アプリ管理」を参照してください。

Windows ポータル サイト アプリ アイコン

Windows ポータル サイト アプリのアイコンが更新されました。 ポータル サイトの詳細については、「Intune ポータル サイト アプリ、ポータル サイト Web サイト、Intune アプリをカスタマイズする方法」を参照してください。

iOS または iPadOS および macOS 用のポータル サイト アプリのアイコンの更新

より新しい外観を作成するために、ポータル サイトのアイコンが更新されました。これはデュアル スクリーン デバイスでサポートされ、Microsoft Fluent Design System と適合します。 更新されたアイコンを表示するには、エンド ユーザー アプリの UI 更新プログラムIntune移動します。

ポータル サイトでセルフサービス デバイスアクションをカスタマイズする

ポータル サイト アプリと Web サイトでエンド ユーザーに表示される使用可能なセルフサービス デバイス アクションをカスタマイズできます。 意図しないデバイス操作を防ぐために、[テナント管理>のカスタマイズ] を選択して、ポータル サイト アプリのこれらの設定を構成できます。 次の操作を実行できます。

利用可能な VPP アプリを自動更新する

ボリューム購入プログラム (VPP) 利用可能なアプリとして発行されたアプリは、自動アプリ 更新が VPP トークンに対して有効になっている場合に自動的に更新されます。 以前は、使用可能な VPP アプリは自動的に更新されませんでした。 代わりに、エンド ユーザーはポータル サイトに移動し、新しいバージョンが利用可能な場合はアプリを再インストールする必要がありました。 必要なアプリは自動更新を引き続きサポートします。

Android ポータル サイト ユーザー エクスペリエンス

Android ポータル サイト の 2005 リリースでは、アプリ保護ポリシーによって警告、ブロック、またはワイプが発行された Android デバイスのエンド ユーザーに新しいユーザー エクスペリエンスが表示されます。 現在のダイアログ エクスペリエンスの代わりに、エンド ユーザーには、警告、ブロック、またはワイプの理由と問題を修復するための手順を説明する完全なページ メッセージが表示されます。 詳細については、Microsoft Intuneの Android デバイスAndroid アプリ保護ポリシー設定のアプリ保護エクスペリエンスに関するページを参照してください。

macOS のポータル サイトでの複数のアカウントのサポート

macOS デバイスのポータル サイトによってユーザー アカウントがキャッシュされ、サインインが容易になりました。 ユーザーがアプリケーションを起動するたびに、ポータル サイトにサインインする必要がなくなりました。 さらに、複数のユーザー アカウントがキャッシュされている場合は、ユーザー名を入力する必要がないように、ポータル サイトにアカウント ピッカーが表示されます。

新しく利用可能な保護されたアプリ

次の保護されたアプリを使用できるようになりました。

  • Board Papers
  • Breezy for Intune
  • Hearsay Relate for Intune
  • ISEC7 Mobile Exchange Delegate for Intune
  • Intuneの Lexmark
  • Meetio Enterprise
  • Microsoft Whiteboard
  • 今すぐ®モバイル - Intune
  • Qlik Sense Mobile
  • ServiceNow® エージェント - Intune
  • ServiceNow® オンボード - Intune
  • Intune用 Smartcrypt
  • Intuneのタクト
  • ゼロ - 弁護士向けの電子メール

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

ポータル サイトからIntune ドキュメントを検索する

macOS アプリのポータル サイトからIntuneドキュメントを直接検索できるようになりました。 メニュー バーで [ ヘルプ>検索 ] を選択し、検索のキーワードを入力して、質問に対する回答をすばやく見つけます。

Android 用のポータル サイトは、ユーザーが仕事用プロファイル登録後にアプリを取得するようにガイドします

ユーザーがアプリをより簡単に見つけてインストールできるように、ポータル サイトのアプリ内ガイダンスが改善されました。 仕事用プロファイルの管理に登録した後、バッジ付きバージョンの Google Play でおすすめのアプリを見つける方法を説明するメッセージがユーザーに表示されます。 Android のプロファイルでデバイスを登録する方法に関する記事の最後の手順は、新しいメッセージを示すように更新されています。 また、ユーザーには、左側のポータル サイト ドロアーで新しい [アプリの取得] リンクが表示されます。 これらの新しいエクスペリエンスと改善されたエクスペリエンスを実現するために、[ アプリ ] タブが削除されました。 更新された画面を表示するには、エンド ユーザー アプリの UI 更新プログラムIntune参照してください

デバイス構成

Zebra Technologies デバイスの OEMConfig サポートの機能強化

Intuneは、Zebra OEMConfig によって提供されるすべての機能を完全にサポートします。 Android Enterprise と OEMConfig を使用して Zebra Technologies デバイスを管理しているお客様は、1 つのデバイスに複数の OEMConfig プロファイルを展開できます。 また、Zebra OEMConfig プロファイルの状態に関する豊富なレポートを表示することもできます。

詳細については、「Microsoft Intuneで Zebra デバイスに複数の OEMConfig プロファイルを展開する」を参照してください。

他の OEM の OEMConfig 動作に変更はありません。

適用対象:

  • Android Enterprise
  • OEMConfig をサポートする Zebra Technologies デバイス。 サポートの詳細については、Zebra にお問い合わせください。

macOS デバイスでシステム拡張機能を構成する

macOS デバイスでは、カーネル拡張機能プロファイルを作成して、カーネル レベルで設定を構成できます (デバイス>構成プロファイルでは>、macOS for platform Kernel >extensions for profile)。 Apple は最終的にカーネル拡張機能を非推奨にし、将来のリリースでシステム拡張機能に置き換えます。

システム拡張機能はユーザー空間で実行され、カーネルにアクセスできません。 目標は、セキュリティを強化し、カーネル レベルで攻撃を制限しながら、より多くのエンド ユーザー制御を提供することです。 カーネル拡張機能とシステム拡張機能の両方を使用すると、ユーザーはオペレーティング システムのネイティブ機能を拡張するアプリ拡張機能をインストールできます。

Intuneでは、カーネル拡張機能とシステム拡張機能の両方を構成できます (デバイス>構成プロファイル>macOS for platform >System extensions for profile)。 カーネル拡張機能は 10.13.2 以降に適用されます。 システム拡張機能は 10.15 以降に適用されます。 macOS 10.15 から macOS 10.15.4 まで、カーネル拡張機能とシステム拡張機能を並行して実行できます。

macOS デバイスでのこれらの拡張機能の詳細については、「 macOS 拡張機能を追加する」を参照してください。

適用対象:

  • macOS 10.15 以降

macOS デバイスでアプリとプロセスのプライバシー設定を構成する

macOS Catalina 10.15 のリリースにより、Apple は新しいセキュリティとプライバシーの強化を追加しました。 既定では、アプリケーションとプロセスは、ユーザーの同意なしに特定のデータにアクセスできません。 ユーザーが同意を提供しない場合、アプリケーションとプロセスが機能しなくなる可能性があります。 Intuneでは、IT 管理者が macOS 10.14 以降を実行しているデバイスでエンド ユーザーに代わってデータ アクセスの同意を許可または禁止できるようにする設定のサポートが追加されています。 これらの設定により、アプリケーションとプロセスが引き続き正常に機能し、プロンプトの数が減ります。

管理できる設定の詳細については、「 macOS のプライバシー設定」を参照してください。

適用対象:

  • macOS 10.14 以降

デバイスの登録

登録制限ではスコープ タグがサポートされます

登録制限にスコープ タグを割り当てることができるようになりました。 これを行うには、Microsoft Endpoint Manager 管理センター>の [デバイス>登録の制限][制限の>作成] に移動します。 いずれかの種類の制限を作成すると、[ スコープ タグ ] ページが表示されます。 詳細は、「登録制限を設定する」を参照してください。

HoloLens 2 デバイスの Autopilot サポート

Windows Autopilot でHoloLens 2デバイスがサポートされるようになりました。 HoloLens の Autopilot の使用方法の詳細については、「Windows Autopilot for HoloLens 2」を参照してください。

デバイス管理

iOS でリモート アクションを一括で同期する

一度に最大 100 台の iOS デバイスで同期リモート アクションを使用できるようになりました。 この機能を確認するには、 Microsoft Endpoint Manager 管理センター>の [デバイス>] [すべてのデバイス>] [デバイスの一括操作] に移動します。

自動デバイス同期間隔を 12 時間まで下げる

Apple の自動デバイス登録では、Intuneと Apple Business Manager の間の自動デバイス同期間隔が 24 時間から 12 時間に短縮されました。 同期の詳細については、「 管理対象デバイスの同期」を参照してください。

デバイスのセキュリティ

Android デバイスでの DISA Purebred の派生資格情報のサポート

Android Enterprise フル マネージド デバイスで、派生資格情報プロバイダーとして DISA Purebred を使用できるようになりました。 サポートには、DISA Purebred の派生資格情報の取得が含まれます。 アプリ認証、Wi-Fi、VPN、S/MIME 署名、および/またはそれをサポートするアプリとの暗号化に派生資格情報を使用できます。

コンプライアンス違反のアクションとしてプッシュ通知を送信する

デバイスがコンプライアンス ポリシーの条件を満たしていないときにプッシュ通知をユーザーに送信する 非準拠のアクション を構成できるようになりました。 新しいアクションは [ エンド ユーザーにプッシュ通知を送信する] で、Android および iOS デバイスでサポートされています。

ユーザーがデバイスでプッシュ通知を選択すると、ポータル サイトまたはIntune アプリが開き、非準拠である理由の詳細が表示されます。

エンドポイント セキュリティ コンテンツと新機能

Intune エンドポイント セキュリティに関するドキュメントが利用可能になりました。 Microsoft エンドポイント マネージャー管理センターのエンドポイント セキュリティ ノードでは、次のことができます。

  • マネージド デバイスに重点を置いたセキュリティ ポリシーを作成して展開する
  • Microsoft Defender for Endpointとの統合を構成し、セキュリティ タスクを管理すると、Defender for Endpoint チームによって識別される危険なデバイスのリスクを修復するのに役立ちます
  • セキュリティ 基準を構成する
  • デバイス コンプライアンスと条件付きアクセス ポリシーを管理する
  • Configuration Managerがクライアント接続用に構成されている場合は、IntuneとConfiguration Managerの両方から、すべてのデバイスのコンプライアンス状態を表示します。

コンテンツの可用性に加えて、今月のエンドポイント セキュリティの新機能は次のとおりです。

  • エンドポイント セキュリティ ポリシープレビュー段階から外れ、一般提供されている運用環境で使用する準備が整いましたが、次の 2 つの例外があります。

    • 新しいパブリック プレビューでは、Windows 10 ファイアウォール ポリシーにMicrosoft Defenderファイアウォール規則プロファイルを使用できます。 このプロファイルの各インスタンスで、Microsoft Defenderファイアウォール プロファイルを補完するために最大 150 個のファイアウォール規則を構成できます。
    • アカウント保護のセキュリティ ポリシーはプレビューのままです。
  • エンドポイント セキュリティ ポリシーの複製を作成できるようになりました。 複製は元のポリシーの設定構成を保持しますが、新しい名前を取得します。 その後、新しいポリシー インスタンスを編集して追加するまで、新しいポリシー インスタンスにはグループへの割り当てが含まれません。 次のポリシーを複製できます。

    • ウイルス対策
    • ディスク暗号化
    • ファイアウォール
    • エンドポイントの検出および応答
    • 攻撃面の縮小
    • アカウントの保護
  • セキュリティ ベースラインの複製を作成できるようになりました。 複製は元のベースラインの設定構成を保持しますが、新しい名前を取得します。 新しいベースライン インスタンスを編集して追加するまで、新しいベースライン インスタンスにはグループへの割り当てが含まれません。

  • エンドポイント セキュリティ ウイルス対策ポリシーの新しいレポートを使用できます。Windows 10異常なエンドポイントです。 このレポートは、エンドポイント セキュリティ ウイルス対策ポリシーを表示するときに選択できる新しいページです。 レポートには、MDM で管理されているWindows 10デバイスのウイルス対策の状態が表示されます。

Android 上の Outlook での S/MIME 署名と暗号化証明書のサポート

Android 上の Outlook で S/MIME 署名と暗号化に証明書を使用できるようになりました。 このサポートにより、SCEP、PKCS、PKCS インポートされた証明書プロファイルを使用して、これらの証明書をプロビジョニングできます。 次の Android プラットフォームがサポートされています。

  • Android Enterprise Work Profile
  • Android デバイス管理者

Android Enterprise フル マネージド デバイスのサポートは近日公開予定です。

このサポートの詳細については、Exchange ドキュメント の「Outlook for iOS および Android での秘密度のラベル付けと保護 」を参照してください。

エンドポイント検出と応答ポリシーを使用してデバイスを Defender for Endpoint にオンボードする

エンドポイントの検出と応答 (EDR) のエンドポイント セキュリティ ポリシーを使用して、Microsoft Defender for Endpointのデプロイ用にデバイスをオンボードおよび構成します。 EDR では、Intune (MDM) によって管理される Windows デバイスのポリシーと、Configuration Managerによって管理される Windows デバイス用の別のポリシーがサポートされています。

Configuration Manager デバイスのポリシーを使用するには、EDR ポリシーをサポートするようにConfiguration Managerを設定する必要があります。 セットアップには、次のものが含まれます。

  • テナントアタッチ用に構成マネージャーを構成します。
  • Configuration Managerのコンソール内更新プログラムをインストールして、EDR ポリシーのサポートを有効にします。 この更新プログラムは、 テナントアタッチが有効になっている階層にのみ適用されます。
  • 階層から Microsoft エンドポイント マネージャー管理センターにデバイス コレクションを同期します。

監視とトラブルシューティング

デバイス レポート UI の更新

[レポートの概要] ウィンドウに [ 概要] タブと [レポート] タブが 表示 されます。 Microsoft エンドポイント マネージャー管理センターで、[ レポート] を選択し、[ レポート ] タブを選択して、使用可能なレポートの種類を確認します。 関連情報については、「Intune レポート」を参照してください。

スクリプト

macOS スクリプトのサポート

macOS のスクリプト サポートが一般公開されました。 さらに、Apple の自動デバイス登録 (旧称デバイス登録プログラム) に登録されているユーザー割り当てスクリプトと macOS デバイスの両方のサポートが追加されました。 詳細については、「Intuneで macOS デバイスでシェル スクリプトを使用する」を参照してください。

アプリ管理

名前の変更Microsoft Office 365 ProPlus

Microsoft Office 365 ProPlusの名前が Microsoft 365 Apps for enterprise に変更されています。 詳細については、「Office 365 ProPlusの名前の変更」を参照してください。 このドキュメントでは、一般的にMicrosoft 365 Appsと見なします。 Microsoft エンドポイント マネージャー管理センターで、[アプリ] [Windows>の追加] を選択してアプリ> スイートを見つけることができます。 アプリの追加については、「アプリをMicrosoft Intuneに追加する」を参照してください。

Android Enterprise デバイスの Outlook の S/MIME 設定を管理する

アプリ構成ポリシーを使用して、Android Enterprise を実行するデバイスで Outlook の S/MIME 設定を管理できます。 また、デバイス ユーザーが Outlook 設定で S/MIME を有効または無効にするかどうかを選択することもできます。 Android 用のアプリ構成ポリシーを使用するには、Microsoft エンドポイント マネージャー管理センターの [アプリ][アプリ>構成ポリシー] [管理対象デバイスの>追加]> の順に移動します。 Outlook の設定の構成の詳細については、「 Microsoft Outlook の構成設定」を参照してください。

マネージド Google Play アプリのプレリリース テスト

アプリのプレリリース テストに Google Play のクローズド テスト トラックを使用している組織は、これらのトラックをIntuneで管理できます。 テストを実行するために、Google Play の運用前トラックに公開されているアプリをパイロット グループに選択的に割り当てることができます。 Intuneでは、アプリに公開されている実稼働前ビルド テスト トラックがあるかどうかを確認し、そのトラックを Azure AD ユーザーまたはデバイス グループに割り当てることができます。 この機能は、現在サポートされているすべての Android Enterprise シナリオ (仕事用プロファイル、フル マネージド、専用) で使用できます。 Microsoft エンドポイント マネージャー管理センターでは、[アプリ>][Android> の追加] を選択して、マネージド Google Play アプリを追加できます。 詳細については、「 Managed Google Play Closed Testing Tracks の操作」を参照してください。

Microsoft Teams が Microsoft 365 for macOS に含まれるようになりました

Microsoft エンドポイント マネージャーで macOS 用 Microsoft 365 が割り当てられているユーザーは、既存の Microsoft 365 アプリ (Word、Excel、PowerPoint、Outlook、OneNote) に加えて Microsoft Teams を受け取るようになりました。 Intuneは、他の Office for macOS アプリがインストールされている既存の Mac デバイスを認識し、次回デバイスが Intune でチェックインしたときに Microsoft Teams のインストールを試みます。 Microsoft エンドポイント マネージャー管理センターで、[アプリ>] [macOS追加] を選択すると、Office 365 Suite formacOS> を見つけることができます。 詳細については、「Microsoft Intuneを使用して macOS デバイスにOffice 365を割り当てる」を参照してください。

Android アプリ構成ポリシーに更新する

Android アプリ構成ポリシーが更新され、管理者はアプリ構成プロファイルを作成する前にデバイス登録の種類を選択できます。 この機能は、登録の種類 (仕事用プロファイルまたはデバイス所有者) に基づく証明書プロファイルのアカウントに追加されています。 この更新プログラムでは、次の情報が提供されます。

  1. 新しいプロファイルが作成され、デバイス登録の種類として [仕事用プロファイル] と [デバイス所有者プロファイル] が選択されている場合、証明書プロファイルをアプリ構成ポリシーに関連付けることはできません。
  2. 新しいプロファイルが作成され、仕事用プロファイルのみが選択されている場合は、[デバイス構成] の下に作成された仕事用プロファイル証明書ポリシーを利用できます。
  3. 新しいプロファイルが作成され、デバイス所有者のみが選択されている場合は、[デバイス構成] で作成されたデバイス所有者証明書ポリシーを利用できます。

重要

この機能のリリース前に作成された既存のポリシー (2020 年 4 月のリリース - 2004) で、ポリシーに関連付けられている証明書プロファイルがない場合、既定ではデバイス登録の種類として [仕事用プロファイル] と [デバイス所有者プロファイル] が使用されます。 また、証明書プロファイルが関連付けられているこの機能のリリース前に作成された既存のポリシーは、既定で [仕事用プロファイルのみ] になります。

さらに、両方のメール構成の種類で証明書プロファイルを使用するなど、仕事用プロファイルとデバイス所有者登録の種類の両方で機能する Gmail と 9 つの電子メール構成プロファイルを追加しています。 [仕事用プロファイルのデバイス構成] で作成した Gmail または 9 つのポリシーは引き続きデバイスに適用され、アプリ構成ポリシーに移動する必要はありません。

Microsoft エンドポイント マネージャー管理センターで、[アプリ] [アプリ構成ポリシー] を選択すると、アプリ>構成ポリシーを見つけることができます。 アプリ構成ポリシーの詳細については、「Microsoft Intuneのアプリ構成ポリシー」を参照してください。

デバイスの所有権の種類が変更されたときのプッシュ通知

デバイスの所有権の種類がプライバシーの提供として個人用から会社に変更されたときに、Android ユーザーと iOS ポータル サイト ユーザーの両方に送信するようにプッシュ通知を構成できます。 このプッシュ通知は既定でオフに設定されています。 この設定は、Microsoft エンドポイント マネージャーで [テナント管理>のカスタマイズ] を選択することで確認できます。 デバイスの所有権がエンド ユーザーに与える影響の詳細については、「 デバイスの所有権を変更する」を参照してください。

[カスタマイズ] ウィンドウのグループ ターゲットのサポート

[ カスタマイズ ] ウィンドウの設定をユーザー グループに設定できます。 Intuneでこれらの設定を見つけるには、Microsoft エンドポイント マネージャー管理センターに移動し、[テナント管理>のカスタマイズ] を選択します。 カスタマイズの詳細については、「Intune ポータル サイト アプリ、ポータル サイト Web サイト、Intune アプリをカスタマイズする方法」を参照してください。

デバイス構成

iOS、iPadOS、および macOS でサポートされている複数のオンデマンド VPN 規則 "各接続試行を評価する"

Intuneユーザー エクスペリエンスでは、同じ VPN プロファイル内の複数のオンデマンド VPN 規則を許可します。[各接続試行の評価] アクション (デバイス>構成プロファイル> プロファイルプロファイルの自動 VPN>オンデマンド用のプラットフォーム >VPN 用>のプロファイル>iOS/iPadOS または macOS の作成)。

リスト内の最初のルールのみを受け入れた。 この動作は修正され、Intuneリスト内のすべてのルールが評価されます。 各ルールは、オンデマンド ルールの一覧に表示される順序で評価されます。

注:

これらのオンデマンド VPN 規則を使用する既存の VPN プロファイルがある場合は、次回 VPN プロファイルを変更するときにこの修正プログラムが適用されます。 たとえば、接続の名前を変更するなど、軽微な変更を行い、プロファイルを保存します。

認証に SCEP 証明書を使用している場合、この変更により、この VPN プロファイルの証明書が再発行されます。

適用対象:

  • iOS/iPadOS
  • macOS

VPN プロファイルの詳細については、「VPN プロファイルの 作成」を参照してください。

iOS/iPadOS デバイスの SSO および SSO アプリ拡張機能プロファイルのその他のオプション

iOS/iPadOS デバイスでは、次のことができます。

  • SSO プロファイル (デバイス>構成プロファイル>プロファイル>のデバイス機能>用のプロファイル >iOS/iPadOS を作成するシングル サインオン) で、Kerberos プリンシパル名を SSO プロファイルのセキュリティ アカウント マネージャー (SAM) アカウント名に設定します。
  • SSO アプリ拡張機能プロファイル (デバイス>構成プロファイル> プラットフォーム>用のプロファイル>iOS/iPadOS を作成する プロファイル>用のデバイス機能シングル サインオン アプリ拡張機能)、新しい SSO アプリ拡張機能の種類を使用して、クリック数を減らして iOS/iPadOS Microsoft Azure AD拡張機能を構成します。 共有デバイス モードのデバイスに対して Azure AD 拡張機能を有効にし、拡張機能固有のデータを拡張機能に送信できます。

適用対象:

  • iOS/iPadOS 13.0 以降

iOS/iPadOS デバイスでシングル サインオンを使用する方法の詳細については、「 シングル サインオン アプリ拡張機能の概要 」と「 シングル サインオン設定の一覧」を参照してください。

macOS デバイスの新しいシェル スクリプト設定

macOS デバイス用のシェル スクリプトを構成するときに、次の新しい設定を構成できるようになりました。

  • デバイスでスクリプト通知を非表示にする
  • スクリプトの頻度
  • スクリプトが失敗した場合に再試行する最大回数

詳細については、「Intuneで macOS デバイスでシェル スクリプトを使用する」を参照してください。

デバイスの登録

既定のプロファイルが存在する場合に Apple 自動デバイス登録トークンを削除する

以前は、既定のプロファイルを削除できませんでした。つまり、関連付けられている自動デバイス登録トークンを削除できませんでした。 これで、次の場合にトークンを削除できます。

  • トークンにデバイスが割り当てられていない
  • 既定のプロファイルが存在します。これを行うには、既定のプロファイルを削除してから、関連付けられているトークンを削除します。 詳細については、「Intuneから ADE トークンを削除する」を参照してください。

Apple 自動デバイス登録と Apple Configurator 2 デバイス、プロファイル、トークンのスケールアップサポート

分散 IT 部門や組織を支援するために、Intuneでは、トークンあたり最大 1,000 個の登録プロファイル、Intune アカウントあたり 2000 個の自動デバイス登録 (旧称 DEP) トークン、およびトークンあたり 75,000 個のデバイスがサポートされるようになりました。 登録プロファイルごとのデバイスの制限は、トークンあたりのデバイスの最大数を下回っていません。

Intuneでは、最大 1,000 個の Apple Configurator 2 プロファイルがサポートされるようになりました。

詳細については、「 制限」を参照してください。

すべてのデバイス ページ列エントリの変更

[ すべてのデバイス ] ページで、[ 管理対象 ] 列のエントリが変更されました。

  • MDM の代わりにIntuneが表示されるようになりました
  • MDM/ConfigMgr エージェントの代わりに共同管理が表示されるようになりました

エクスポート値は変更されません。

デバイス管理

トラステッド プラットフォーム マネージャー (TPM) のバージョン情報が [デバイス ハードウェア] ページに表示されるようになりました

デバイスのハードウェア ページに TPM のバージョン番号が表示されるようになりました (Microsoft Endpoint Manager 管理センター>デバイス>は、デバイス>の [システム エンクロージャ] の下の [ハードウェア>の外観] を選択します)。

Microsoft Endpoint Manager テナントアタッチ: デバイス同期とデバイスアクション

Microsoft エンドポイント マネージャーは、Configuration ManagerとIntuneを 1 つのコンソールにまとめています。 Configuration Manager バージョン 2002 以降では、Configuration Manager デバイスをクラウド サービスにアップロードし、管理センターでそれらのデバイスに対してアクションを実行できます。 詳細については、「 Microsoft Endpoint Manager テナントアタッチ: デバイス同期とデバイス アクション」を参照してください。

監視とトラブルシューティング

macOS デバイスに割り当てられたスクリプトのトラブルシューティングを改善するためにログを収集する

macOS デバイスに割り当てられたスクリプトのトラブルシューティングを改善するためにログを収集できるようになりました。 ログは、最大 60 MB (圧縮) または 25 個のファイルのうち、いずれか最初に発生するログを収集できます。 詳細については、「 ログ 収集を使用した macOS シェル スクリプト ポリシーのトラブルシューティング」を参照してください。

セキュリティ

証明書を使用して Android Enterprise フル マネージド デバイスをプロビジョニングするための派生資格情報

Intuneでは、Android デバイスの認証方法として派生資格情報の使用がサポートされるようになりました。 派生資格情報は、デバイスに証明書を展開するための国立標準技術研究所 (NIST) 800-157 標準の実装です。 Android のサポートは、iOS/iPadOS を実行するデバイスのサポートを拡大します。

派生資格情報は、スマート カードなどの個人用 ID 検証 (PIV) カードまたは Common Access Card (CAC) カードの使用に依存します。 モバイル デバイスの派生資格情報を取得するには、ユーザーはMicrosoft Intune アプリから開始し、使用するプロバイダーに固有の登録ワークフローに従います。 すべてのプロバイダーに共通なのは、コンピューター上のスマート カードを使用して派生資格情報プロバイダーに対する認証を行う必要があります。 その後、そのプロバイダーは、ユーザーのスマート カードから派生したデバイスに証明書を発行します。

VPN と WiFi のデバイス構成プロファイルの認証方法として、派生資格情報を使用できます。 また、アプリ認証や、それをサポートするアプリケーションの S/MIME 署名と暗号化にも使用できます。

Intuneでは、Android で次の派生資格情報プロバイダーがサポートされるようになりました。

  • Entrust
  • Intercede

3 番目のプロバイダー DISA Purebred は、今後のリリースで Android で利用できるようになります。

Microsoft Edge セキュリティ ベースラインが一般公開されました

Microsoft Edge セキュリティ ベースラインの新しいバージョンが利用可能になり、一般公開 (GA) としてリリースされます。 以前の Microsoft Edge ベースラインはプレビュー段階でした。 新しいベースライン バージョンは 2020 年 4 月 (Microsoft Edge バージョン 80 以降) です。

この新しいベースラインのリリースでは、以前のベースライン バージョンに基づいてプロファイルを作成できなくなりますが、これらのバージョンで作成したプロファイルを引き続き使用できます。 また、最新のベースライン バージョンを使用するように既存のプロファイルを更新することもできます。

2020 年 3 月

アプリ管理

Android 用ポータル サイトでのサインイン エクスペリエンスの向上

エクスペリエンスをユーザーにとってより新しく、シンプルでクリーンなものにするために、Android 用ポータル サイト アプリのいくつかのサインイン画面のレイアウトを更新しました。 機能強化については、 アプリ UI の新機能に関するページを参照してください。

Win32 アプリコンテンツをダウンロードするときに配信最適化エージェントを構成する

割り当てに基づいて、Win32 アプリコンテンツをバックグラウンドモードまたはフォアグラウンド モードでダウンロードするように配信最適化エージェントを構成できます。 既存の Win32 アプリの場合、コンテンツは引き続きバックグラウンド モードでダウンロードされます。 Microsoft エンドポイント マネージャー管理センターで、[アプリ>] [すべてのアプリ>]の [Win32 アプリ>のプロパティ] を選択します[割り当て] の横にある [編集] を選択します。 [必須] セクションの [モード] で [含める] を選択して、割り当てを編集します。 [アプリの設定] セクションに新しい 設定が表示 されます。 配信の最適化の詳細については、「 Win32 アプリ管理 - 配信の最適化」を参照してください。

iOS 用のポータル サイトでは、横向きモードがサポートされています

ユーザーは、自分のデバイスを登録し、アプリを見つけ、選択した画面の向きを使用して IT サポートを受けることができるようになりました。 ユーザーが縦モードで画面をロックしない限り、アプリは縦または横モードに合わせて画面を自動的に検出して調整します。

macOS デバイスのスクリプトサポート (パブリック プレビュー)

macOS デバイスにスクリプトを追加してデプロイできます。 このサポートにより、macOS デバイスでネイティブ MDM 機能を使用して可能な範囲を超えて macOS デバイスを構成する機能が拡張されます。 詳細については、「Intuneで macOS デバイスでシェル スクリプトを使用する」を参照してください。

macOS と iOS ポータル サイトの更新プログラム

macOS と iOS ポータル サイトの [プロファイル] ウィンドウが、サインアウト ボタンを含むように更新されました。 さらに、macOS ポータル サイトの [プロファイル] ウィンドウに UI が改善されました。 ポータル サイトの詳細については、「Microsoft Intune ポータル サイト アプリを構成する方法」を参照してください。

iOS デバイスで Web クリップを Microsoft Edge に再ターゲットする

保護されたブラウザーで開く必要がある iOS デバイスに新しくデプロイされた Web クリップ (ピン留めされた Web アプリ) は、Intune Managed Browserではなく Microsoft Edge で開きます。 既存の Web クリップを再ターゲットして、マネージド ブラウザーではなく Microsoft Edge で開かれていることを確認する必要があります。 詳細については、「Microsoft Intuneで Microsoft Edge を使用して Web アクセスを管理する」および「WebアプリをMicrosoft Intuneに追加する」を参照してください。

Microsoft Edge for Android でIntune診断ツールを使用する

Android 用 Microsoft Edge は、Intune診断ツールと統合されました。 iOS 用 Microsoft Edge でのエクスペリエンスと同様に、デバイス上の Microsoft Edge の URL バー (アドレス ボックス) に「about:intunehelp」と入力すると、Intune診断ツールが起動します。 このツールでは、詳細なログが提供されます。 ユーザーは、これらのログを収集して IT 部門に送信したり、特定のアプリの MAM ログを表示したりできます。

ブランド化とカスタマイズをIntuneするための更新

"ブランド化とカスタマイズ" という名前のIntune ウィンドウが、次のような機能強化で更新されました。

  • ウィンドウの名前を [カスタマイズ] に変更します。
  • 組織の改善と設定の設計。
  • 設定のテキストとヒントの改善。

Intuneでこれらの設定を見つけるには、Microsoft エンドポイント マネージャー管理センターに移動し、[テナント管理>のカスタマイズ] を選択します。 既存のカスタマイズの詳細については、「Microsoft Intune ポータル サイト アプリを構成する方法」を参照してください。

ユーザーの個人の暗号化された回復キー

新しいIntune機能を使用すると、ユーザーは Android ポータル サイト アプリケーションまたは Android Intune アプリケーションを使用して、Mac デバイス用に暗号化された個人用 FileVault 回復キーを取得できます。 ポータル サイト アプリケーションと Intune アプリケーションの両方にリンクがあり、Chrome ブラウザーを Web ポータル サイトに開き、ユーザーは Mac デバイスにアクセスするために必要な FileVault 回復キーを確認できます。 暗号化の詳細については、「Intuneでデバイス暗号化を使用する」を参照してください。

最適化された専用デバイス登録

Android Enterprise 専用デバイスの登録を最適化し、2019 年 11 月 22 日より前に登録された専用デバイスに、Wi-Fiに関連付けられている SCEP 証明書を簡単に適用できるようにしています。 新しい登録の場合、Intune アプリは引き続きインストールされますが、エンド ユーザーは登録中に [Intune エージェントを有効にする] ステップを実行する必要がなくなりました。 割り当てはバックグラウンドで自動的に行われ、Wi-Fiに関連付けられている SCEP 証明書は、エンド ユーザーの操作なしでデプロイおよび設定できます。

これらの変更は、Intune サービス バックエンドがデプロイされる 3 月を通じて段階的に展開されます。 すべてのテナントでは、3 月末までにこの新しい動作が行われます。 関連情報については、「 Android Enterprise 専用デバイスでの SCEP 証明書のサポート」を参照してください。

デバイス構成

Windows デバイスで管理テンプレートを作成するときの新しいユーザー エクスペリエンス

お客様からのフィードバックと、新しい Azure 全画面表示エクスペリエンスへの移行に基づいて、フォルダー ビューを使用して管理用テンプレート プロファイル エクスペリエンスを再構築しました。 設定や既存のプロファイルに変更を加えたわけではありません。 そのため、既存のプロファイルは同じままになり、新しいビューで使用できるようになります。 [すべての設定] を選択し、検索を使用して、 すべての設定オプションを移動できます。 ツリー ビューは、コンピューターとユーザーの構成によって分割されます。 Windows、Office、Microsoft Edge の設定は、関連するフォルダーに表示されます。

適用対象:

  • Windows 10 以降

IKEv2 VPN 接続を使用した VPN プロファイルは、iOS/iPadOS デバイスで常にオンにすることができます

iOS/iPadOS デバイスでは、IKEv2 接続を使用する VPN プロファイルを作成できます (デバイス>構成プロファイル>プロファイル プロファイルの作成 プロファイル>iOS/iPadOS for platform VPN for profile > type)。 これで、IKEv2 で always-on を構成できるようになりました。 構成すると、IKEv2 VPN プロファイルは自動的に接続され、VPN に接続された状態を維持 (またはすばやく再接続) します。 ネットワーク間を移動したり、デバイスを再起動したりしても、接続したままです。

iOS/iPadOS では、常時接続 VPN は IKEv2 プロファイルに制限されます。

構成できる IKEv2 設定を確認するには、Microsoft Intuneの [iOS デバイスに VPN 設定を追加する] に移動します。

適用対象:

  • iOS/iPadOS

Android Enterprise デバイスの OEMConfig デバイス構成プロファイルでバンドルとバンドル配列を削除する

Android Enterprise デバイスでは、OEMConfig プロファイルを作成して更新します (デバイス>構成プロファイル>プロファイル プロファイルを作成する>プロファイル Android Enterprise for platform >OEMConfig for profile type)。 ユーザーは、Intuneの構成デザイナーを使用してバンドルとバンドル配列を削除できるようになりました。

OEMConfig プロファイルの詳細については、「Microsoft Intuneで OEMConfig を使用して Android Enterprise デバイスを使用して管理する」を参照してください。

適用対象:

  • Android Enterprise

iOS/iPadOS Microsoft Azure AD SSO アプリ拡張機能を構成する

Microsoft Azure AD チームは、iOS/iPadOS 13.0 以降のユーザーが 1 回のサインオンで Microsoft アプリと Web サイトにアクセスできるように、リダイレクト シングル サインオン (SSO) アプリ拡張機能を作成しました。 以前に Microsoft Authenticator アプリで認証を仲介していたすべてのアプリは、引き続き新しい SSO 拡張機能で SSO を取得します。 Azure AD SSO アプリ拡張機能のリリースでは、リダイレクト SSO アプリ拡張機能の種類を使用して SSO 拡張機能を構成できます (デバイス>構成プロファイル>プロファイルを作成する>iOS/iPadOS for platform プロファイル>のデバイス機能 プロファイルタイプ>のシングル サインオン アプリ拡張機能)。

適用対象:

  • iOS 13.0 以降
  • iPadOS 13.0 以降

iOS SSO アプリ拡張機能の詳細については、「 シングル サインオン アプリ拡張機能」を参照してください。

エンタープライズ アプリ信頼設定の変更設定が iOS/iPadOS デバイス制限プロファイルから削除される

iOS/iPadOS デバイスでは、デバイス制限プロファイルを作成します (デバイス>構成プロファイル> プラットフォーム>のプロファイル>iOS/iPadOS プロファイルの種類のデバイス制限を作成します)。 Enterprise アプリ信頼設定の変更設定は Apple によって削除され、Intuneから削除されます。 現在プロファイルでこの設定を使用している場合、影響はなく、既存のプロファイルから削除されます。 この設定は、Intuneのレポートからも削除されます。

適用対象:

  • iOS/iPadOS

制限できる設定を確認するには、 iOS と iPadOS デバイスの設定に移動して、機能を許可または制限します。

トラブルシューティング: 保留中の MAM ポリシー通知が情報アイコンに変更されました

[トラブルシューティング] ブレードの保留中の MAM ポリシーの通知アイコンが、情報アイコンに変更されました。

コンプライアンス ポリシーを構成するときの UI の更新

Microsoft エンドポイント マネージャーでコンプライアンス ポリシーを作成するための UI が更新されました (デバイス>コンプライアンス ポリシー ポリシー>>ポリシー作成ポリシー)。 以前に使用したのと同じ設定と詳細を含む新しいユーザー エクスペリエンスが追加されました。 新しいエクスペリエンスは、ウィザードに似たプロセスに従ってコンプライアンス ポリシーを作成し、ポリシーの 割り当てを 追加できるページと、ポリシーを作成する前に構成を確認できる [確認と作成 ] ページが含まれています。

非準拠デバイスを廃止する

非準拠デバイスを廃止するために、任意のポリシーに追加できる 非準拠デバイスに対する新しいアクションが追加されました。 新しいアクションである非準拠デバイスを廃止すると、デバイスからすべての会社データが削除され、Intuneによってデバイスが管理されなくなります。 このアクションは、構成された値 (日数) に達すると実行され、その時点でデバイスが廃止される資格が得られます。 最小値は 30 日です。 明示的な IT 管理者の承認は、[ 非準拠 デバイスの廃止] セクションを使用してデバイスを廃止するために必要になります。このセクションでは、管理者はすべての対象デバイスを廃止できます。

iOS Enterprise Wi-Fi プロファイルでの WPA と WPA2 のサポート

iOS 用のエンタープライズ Wi-Fi プロファイル、[セキュリティの種類 ] フィールドがサポートされるようになりました。 [ セキュリティの種類] では、 WPA Enterprise または WPA/WPA2 Enterprise のいずれかを選択し、 EAP の種類の選択を指定できます。 (デバイス>構成プロファイル>プロファイルを作成 し、[ iOS/iPadOS for Platform ]、[ プロファイルの Wi-Fi ] の順に選択 します)。

新しいエンタープライズ オプションは、iOS 用の Basic Wi-Fi プロファイルで使用できるオプションのようなものです。

証明書、電子メール、VPN、Wi-Fi、VPN プロファイルの新しいユーザー エクスペリエンス

次のプロファイルの種類を作成および変更するために、Endpoint Management 管理 Center (デバイス>構成プロファイル>プロファイルの作成プロファイル) のユーザー エクスペリエンスが更新されました。 新しいエクスペリエンスでは、以前と同じ設定が表示されますが、水平方向のスクロールを必要としないウィザードのようなエクスペリエンスが使用されます。 新しいエクスペリエンスを使用して既存の構成を変更する必要はありません。

  • 派生資格情報
  • メール
  • PKCS 証明書
  • PKCS のインポートされた証明書
  • SCEP 証明書
  • 信頼された証明書
  • VPN
  • Wi-Fi

Android および Android Enterprise デバイスでデバイス制限プロファイルを作成するときのユーザー インターフェイスエクスペリエンスの向上

Android または Android Enterprise デバイス用のプロファイルを作成すると、エンドポイント管理管理センターのエクスペリエンスが更新されます。 この変更は、次のデバイス構成プロファイル (デバイス>構成プロファイル>作成プロファイル>Android デバイス管理者 または Android Enterprise for platform) に影響します。

  • デバイスの制限: Android デバイス管理者
  • デバイスの制限: Android Enterprise デバイス所有者
  • デバイスの制限: Android Enterprise 仕事用プロファイル

構成できるデバイス制限の詳細については、「 Android デバイス管理者Android Enterprise」を参照してください。

iOS/iPadOS および macOS デバイスで構成プロファイルを作成するときのユーザー インターフェイスエクスペリエンスの向上

iOS または macOS デバイス用のプロファイルを作成すると、エンドポイント管理管理センターのエクスペリエンスが更新されます。 この変更は、次のデバイス構成プロファイルに影響します (デバイス>構成プロファイル>プラットフォーム用プロファイル>iOS/iPadOS または macOS を作成します)。

  • カスタム: iOS/iPadOS、macOS
  • デバイス機能: iOS/iPadOS、macOS
  • デバイスの制限: iOS/iPadOS、macOS
  • エンドポイント保護: macOS
  • 拡張機能: macOS
  • 基本設定ファイル: macOS

macOS デバイスのデバイス機能のユーザー構成設定から非表示にする

macOS デバイスでデバイス機能構成プロファイルを作成すると、新しい [ユーザー構成から非表示にする] 設定が表示されます (デバイス>構成プロファイル>プロファイル>macOS をプラットフォーム>用にプロファイルを作成する プロファイル >ログイン項目デバイス機能)。

この機能は、macOS デバイスの [ユーザー & グループ ] ログイン項目アプリの一覧でアプリの非表示チェック マークを設定します。 既存のプロファイルでは、この設定が未構成としてリスト内に表示されます。 この設定を構成するために、管理者は既存のプロファイルを更新できます。

[非表示] に設定すると、アプリの [非表示] チェック ボックスがオンになり、ユーザーはそれを変更できません。 また、ユーザーがデバイスにサインインした後に、アプリをユーザーから非表示にします。

ユーザーが Microsoft Intune および Endpoint Manager でデバイスにサインインした後、macOS デバイスでアプリを非表示にする

構成できる設定の詳細については、「 macOS デバイス機能の設定」を参照してください。

この機能は、以下に適用されます:

  • macOS

デバイスの登録

Android および iOS 用のポータル サイトで登録を使用できるかどうかを構成する

Android および iOS デバイスのポータル サイトのデバイス登録をプロンプトで使用できるか、プロンプトなしで使用できるか、ユーザーが使用できないようにするかを構成できます。 Intuneでこれらの設定を見つけるには、Microsoft エンドポイント マネージャー管理センターに移動し、[テナント管理>] [カスタマイズ>] [デバイス登録編集] の順>に選択します。

デバイス登録設定をサポートするには、エンド ユーザーに次のバージョンのポータル サイトが必要です。

  • iOS 上のポータル サイト: バージョン 4.4 以降
  • Android 上のポータル サイト: バージョン 5.0.4715.0 以降

既存のポータル サイトカスタマイズの詳細については、「Microsoft Intune ポータル サイト アプリを構成する方法」を参照してください。

デバイス管理

Android デバイスの新しい Android レポートの概要ページ

Android デバイスの概要ページの Microsoft Endpoint Manager 管理コンソールに、各デバイス管理ソリューションに登録されている Android デバイスの数を示すレポートが追加されました。 このグラフ (Azure コンソール内の同じグラフなど) には、仕事用プロファイル、フル マネージド、専用、デバイス管理者が登録したデバイス数が表示されます。 レポートを表示するには、[デバイス] [Androidの概要] の順に>選択します>。

Android デバイス管理者管理から仕事用プロファイル管理にユーザーをガイドする

Android デバイス管理者プラットフォームの新しいコンプライアンス設定をリリースします。 この設定を使用すると、デバイス管理者が管理しているデバイスを非準拠にすることができます。

これらの非準拠デバイスの [ デバイス設定の更新 ] ページに、ユーザーに [新しいデバイス管理セットアップに移動する] メッセージが表示されます。 [解決] ボタンをタップすると、次のガイドが表示されます。

  1. デバイス管理者の管理からの登録解除
  2. 仕事用プロファイル管理への登録
  3. コンプライアンスの問題の解決

Google では、Android Enterprise を使用して、最新の、より充実した、より安全なデバイス管理に移行するために、新しい Android リリースでのデバイス管理者のサポートを減らしています。 Intuneは、Android 10 以降を実行するデバイス管理者が管理する Android デバイスに対してのみ、Q2 CY2020 を通じて完全なサポートを提供できます。 この時刻以降に Android 10 以降を実行しているデバイス管理者が管理するデバイス (Samsung を除く) は、完全には管理できません。 特に、影響を受けるデバイスは新しいパスワード要件を受け取りません。

この設定の詳細については、「 Android デバイスをデバイス管理者から仕事用プロファイル管理に移動する」を参照してください。

Microsoft エンドポイント マネージャー管理センターの新しい URL

昨年の Ignite での Microsoft Endpoint Manager の発表に合わせて、Microsoft エンドポイント マネージャー管理センター (旧称 Microsoft 365 デバイス管理) の URL を にhttps://endpoint.microsoft.com変更しました。 古い管理センターの URL (https://devicemanagement.microsoft.com) は引き続き機能しますが、新しい URL を使用して Microsoft Endpoint Manager 管理センターへのアクセスを開始することをお勧めします。

Windows デバイスのプライマリ ユーザーを変更する

Windows ハイブリッドデバイスと Azure AD 参加済みデバイスのプライマリ ユーザーを変更できます。 これを行うには、[Intune>][デバイス>][すべてのデバイス>] の順に移動し、デバイス>の [プロパティ>] [プライマリ ユーザー] を選択します。 詳細については、「 デバイスのプライマリ ユーザーを変更する」を参照してください。

このタスクには、新しい RBAC アクセス許可 (マネージド デバイス/プライマリ ユーザーの設定) も作成されています。 このアクセス許可は、ヘルプデスク オペレーター、学校管理者、エンドポイント セキュリティ マネージャーなどの組み込みロールに追加されました。

この機能は、プレビュー段階で世界中のお客様にロールアウトされています。 この機能は、今後数週間以内に表示されます。

Microsoft Endpoint Manager テナントアタッチ: デバイス同期とデバイスアクション

Microsoft エンドポイント マネージャーは、Configuration ManagerとIntuneを 1 つのコンソールにまとめています。 Configuration Managerテクニカル プレビュー バージョン 2002.2 以降では、Configuration Manager デバイスをクラウド サービスにアップロードし、管理センターでそれらのデバイスに対してアクションを実行できます。 詳細については、「Configuration Manager Technical Preview バージョン 2002.2 の機能」を参照してください。

この更新プログラムをインストールする前に、Configuration Managerテクニカル プレビューに関する記事を確認してください。 この記事では、テクニカル プレビューの使用に関する一般的な要件と制限事項、バージョン間の更新方法、フィードバックの提供方法について説明します。

一括リモート アクション

再起動、名前変更、Autopilot リセット、ワイプ、削除の各リモート アクションに対して一括コマンドを発行できるようになりました。 新しい一括アクションを表示するには、 Microsoft Endpoint Manager 管理センター>の [デバイス>] [すべてのデバイス>] [一括操作] の順に移動します。

すべてのデバイスに改善された検索、並べ替え、フィルターが一覧表示されます

[すべてのデバイス] の一覧が改善され、パフォーマンス、検索、並べ替え、フィルター処理が向上しました。 詳細については、 こちらのサポート ヒントを参照してください。

監視とトラブルシューティング

Data Warehouseは MAC アドレスを提供するようになりました

Intune Data Warehouseは、MAC アドレスをエンティティのdevice新しいプロパティ (EthernetMacAddress) として提供し、管理者がユーザーとホストの mac アドレスを関連付けることができます。 このプロパティは、特定のユーザーに到達し、ネットワーク上で発生するインシデントのトラブルシューティングに役立ちます。 管理者は、 Power BI レポート でこのプロパティを使用して、より豊富なレポートを作成することもできます。 詳細については、Intune Data Warehouse デバイス エンティティに関するページを参照してください。

その他のData Warehouseデバイス インベントリプロパティ

Intune Data Warehouseを使用して、追加のデバイス インベントリ プロパティを使用できます。 次のプロパティが 、デバイス のベータ コレクションを介して公開されるようになりました。

  • ethernetMacAddress - このデバイスの一意のネットワーク識別子。
  • model - デバイス モデル。
  • office365Version - デバイスにインストールされている Microsoft 365 のバージョン。
  • windowsOsEdition - オペレーティング システムのバージョン。

devicePropertyHistory ベータ コレクションを介して、次のプロパティが公開されるようになりました。

  • physicalMemoryInBytes - 物理メモリ (バイト単位)。
  • totalStorageSpaceInBytes - ストレージ容量の合計 (バイト単位)。

詳細については、「Microsoft Intune Data Warehouse API」を参照してください。

追加のサービスをサポートするためのヘルプとサポート ワークフローの更新

Microsoft エンドポイント マネージャー管理センターの [ヘルプとサポート] ページが更新されました。ここで、 使用する管理の種類を選択します。 この変更により、次の管理の種類から選択できます。

  • Configuration Manager (Desktop Analyticsを含む)
  • Intune
  • 共同管理

セキュリティ

エンドポイント セキュリティの一部として、セキュリティ管理者に重点を置いたポリシーのプレビューを使用する

パブリック プレビューとして、Microsoft エンドポイント管理管理センターのエンドポイント セキュリティ ノードの下にいくつかの新しいポリシー グループが追加されました。 セキュリティ管理者は、これらの新しいポリシーを使用して、デバイス セキュリティの特定の側面に焦点を当てて、関連する設定の個別のグループを、より大きなデバイス構成ポリシー本体のオーバーヘッドなしで管理できます。

Microsoft Defenderウイルス対策の新しいウイルス対策ポリシー (以下を参照) を除き、これらの新しいプレビュー ポリシーとプロファイルの各設定は、現在デバイス構成プロファイルを使用して既に構成した設定と同じです。

プレビュー段階にある新しいポリシーの種類と、使用可能なプロファイルの種類を次に示します。

  • ウイルス対策 (プレビュー):

    • macOS:

    • Windows 10以降:

      • Microsoft Defenderウイルス対策 - クラウド保護、ウイルス対策の除外、修復、スキャン オプションなどのウイルス対策ポリシー設定を管理します。

        Microsoft Defenderウイルス対策のウイルス対策プロファイルは、デバイス制限プロファイルの一部として見つかった設定の新しいインスタンスを導入する例外です。 これらの新しいウイルス対策設定:

        • デバイスの制限と同じ設定ですが、デバイスの制限として構成されている場合は使用できない構成の 3 番目のオプションがサポートされています。
        • Endpoint Protection の共同管理ワークロード スライダーが [Intune] に設定されている場合、Configuration Managerで共同管理されるデバイスに適用します。

      デバイス制限プロファイルを使用して構成する代わりに、新しいウイルス>対策Microsoft Defenderウイルス対策プロファイルを使用することを計画します。

    • Windows セキュリティエクスペリエンス - エンド ユーザーがMicrosoft Defender セキュリティ センターで表示できるWindows セキュリティ設定と、受信する通知を管理します。 これらの設定は、デバイス構成 Endpoint Protection プロファイルとして使用できる設定とは変更されません。

  • ディスク暗号化 (プレビュー):

    • macOS:
      • FileVault
    • Windows 10以降:
      • BitLocker
  • ファイアウォール (プレビュー):

    • macOS:
      • macOS ファイアウォール
    • Windows 10以降:
      • Microsoft Defender ファイアウォール
  • エンドポイントの検出と応答 (プレビュー):

    • Windows 10 以降: -Windows 10 Intune
  • 攻撃面の縮小 (プレビュー):

    • Windows 10以降:
      • アプリとブラウザーの分離
      • Web 保護
      • アプリケーション制御
      • 攻撃面の減少ルール
      • デバイス コントロール
      • エクスプロイト保護
  • アカウント保護 (プレビュー):

    • Windows 10以降:
      • アカウントの保護

2020 年 2 月

アプリ管理

macOS 用Microsoft Defender for Endpoint アプリ

Intuneは、macOS 用のMicrosoft Defender for Endpoint アプリをマネージド Mac デバイスに簡単にデプロイする方法を提供します。 詳細については、「Microsoft Intune を使用して macOS デバイスにMicrosoft Defender for Endpointを追加する」と「Microsoft Defender for Endpointfor Mac」を参照してください。

macOS ポータル サイトユーザー エクスペリエンスの向上

macOS デバイス登録エクスペリエンスと Mac 用のポータル サイト アプリが改善されました。 次の機能強化が表示されます。

  • 登録中の Microsoft AutoUpdate エクスペリエンスが向上し、ユーザーが最新バージョンのポータル サイトを確実に使用できるようになります。
  • 登録中のコンプライアンスチェックの強化ステップ。
  • コピーされたインシデント ID のサポートにより、ユーザーはデバイスから会社のサポート チームにエラーを迅速に送信できます。

Mac 用の登録とポータル サイト アプリの詳細については、「ポータル サイト アプリを使用して macOS デバイスを登録する」を参照してください。

Better Mobile のアプリ保護 ポリシーで iOS と iPadOS がサポートされるようになりました

2019 年 10 月に、Intune アプリ保護ポリシーに、Microsoft の脅威防御パートナーのデータを使用する機能が追加されました。 この更新プログラムでは、アプリ保護ポリシーを使用して、iOS と iPadOS の Better Mobile を使用して、デバイスの正常性に基づいてユーザーの企業データをブロックまたは選択的にワイプできるようになりました。 詳細については、「Intune でモバイル脅威防御アプリ保護ポリシーを作成する」を参照してください。

Windows 10 デバイス上の Microsoft Edge バージョン 77 以降

Intuneでは、Windows 10 デバイスでの Microsoft Edge バージョン 77 以降のアンインストールがサポートされるようになりました。 詳細については、「Windows 10をMicrosoft Intuneに Microsoft Edge を追加する」を参照してください。

ポータル サイトの Android 仕事用プロファイルの登録から削除される画面

ユーザー エクスペリエンスを効率化するために、ポータル サイトの Android 仕事用プロファイルの登録フローから [次の手順] 画面が削除されました。 更新後の Android 仕事用プロファイルの登録フローを確認するには、Android 仕事用プロファイルへの登録に関する記事を参照してください。

ポータル サイトアプリのパフォーマンスの向上

ポータル サイト アプリは、Surface Pro X など、ARM64 プロセッサを使用するデバイスのパフォーマンス向上をサポートするように更新されました。以前は、ポータル サイトエミュレートされた ARM32 モードで動作しました。 バージョン 10.4.7080.0 以降では、ポータル サイト アプリは ARM64 用にネイティブ にコンパイルされています。 ポータル サイト アプリの詳細については、「Microsoft Intune ポータル サイト アプリを構成する方法」を参照してください。

Microsoft の新しい Office アプリ

Microsoft の新しい Office アプリが一般公開され、ダウンロードして使用できるようになりました。 Office アプリは統合されたエクスペリエンスであり、ユーザーは 1 つのアプリ内で Word、Excel、PowerPoint で作業できます。 アプリ保護ポリシーを使用してアプリをターゲットにして、アクセスされるデータが確実に保護されるようにすることができます。

詳細については、「Office モバイル プレビュー アプリでアプリ保護ポリシー Intune有効にする方法」を参照してください。

デバイス構成

iOS デバイスで Cisco AnyConnect VPN を使用してネットワーク アクセス制御 (NAC) を有効にする

iOS デバイスでは、VPN プロファイルを作成し、Cisco AnyConnect を含むさまざまな接続の種類を使用できます (デバイス構成>プロファイル>> プロファイルiOS for platform >VPN for profile type >Cisco AnyConnect for connection type)。

Cisco AnyConnect を使用してネットワーク アクセス制御 (NAC) を有効にすることができます。 この機能を使用するには:

  1. Cisco Identity Services Engine Administrator Guide で、「Microsoft Intuneを MDM サーバとして設定する」の手順を使用して、Azure で Cisco Identity Services Engine (ISE) を構成します。
  2. Intune デバイス構成プロファイルで、[ネットワーク Access Control (NAC) を有効にする] 設定を選択します。

使用可能なすべての VPN 設定を表示するには、[ iOS デバイスで VPN 設定を構成する] に移動します。

デバイスの登録

Apple MDM プッシュ証明書ページのシリアル番号

Apple MDM プッシュ証明書ページにシリアル番号が表示されるようになりました。 証明書を作成した Apple ID へのアクセスが失われた場合は、Apple MDM プッシュ証明書へのアクセスを回復するためにシリアル番号が必要です。 シリアル番号を表示するには、 デバイス>iOS iOS>登録>Apple MDM プッシュ証明書に移動します。

デバイス管理

登録済みの iOS/iPadOS デバイスに OS 更新プログラムをプッシュするための新しい更新スケジュール オプション

iOS/iPadOS デバイスのオペレーティング システムの更新プログラムをスケジュールする場合は、次のオプションから選択できます。 これらのオプションは、Apple Business Manager または Apple School Manager の登録の種類を使用したデバイスに適用されます。

  • 次回のチェックイン時に更新
  • スケジュールされた時間内の更新
  • スケジュールされた時間外の更新

後者の 2 つのオプションでは、複数の時間枠を作成できます。

新しいオプションを表示するには、iOS/iPadOS>作成プロファイルの MEM >デバイス>iOS> Update ポリシーに移動します。

登録済みデバイスにプッシュする iOS/iPadOS 更新プログラムを選択する

特定の iOS/iPadOS 更新プログラム (最新の更新プログラムを除く) を選択して、Apple Business Manager または Apple School Manager を使用して登録されているデバイスにプッシュできます。 このようなデバイスには、ソフトウェア更新プログラムの表示を一定の日数延期するようにデバイス構成ポリシーが設定されている必要があります。 この機能を確認するには、iOS/iPadOS>作成プロファイルの MEM >デバイス>iOS> Update ポリシーに関するページを参照してください。

zip 形式の CSV 形式で [すべてのデバイス] リストからエクスポートする

[デバイス>] [すべてのデバイス] ページからのエクスポートが圧縮された CSV 形式になりました。

Windows 7 は延長サポートを終了します

Windows 7 は、2020 年 1 月 14 日に延長サポートの終了に達しました。 Intune Windows 7 を同時に実行するデバイスのサポートが非推奨になりました。 お使いの PC の保護に役立つテクニカル アシスタンスと自動更新は使用できなくなりました。 Windows 10にアップグレードする必要があります。 詳細については、 変更の計画に関するブログ投稿を参照してください。

デバイスのセキュリティ

Intuneレポートエクスペリエンスの向上

Intuneでは、新しいレポートの種類、より優れたレポート編成、より焦点を絞ったビュー、レポート機能の向上、より一貫性のあるタイムリーなデータなど、レポート エクスペリエンスが向上しました。 レポート エクスペリエンスはパブリック プレビューから GA (一般提供) に移行されます。 さらに、GA リリースでは、ローカライズのサポート、バグ修正、設計の改善、 および Microsoft エンドポイント マネージャー管理センターのタイル上のデバイス コンプライアンス データの集計が提供されます。

新しいレポートの種類は、次の情報に焦点を当てています。

  • 操作 - 正常性に重点を置いた新しいレコードを提供します。
  • [組織] - 全体的な状態の概要を示します。
  • 履歴 - 一定期間におけるパターンと傾向を提示します。
  • スペシャリスト - 生データを使用し、独自のカスタム レポートを作成できます。

新しいレポートの最初のセットでは、デバイスのコンプライアンスに焦点を当てます。 詳細については、「ブログ - レポート フレームワークのMicrosoft Intune」と「レポートのIntune」を参照してください。

UI のセキュリティ ベースラインの場所を統合しました

複数の UI の場所から セキュリティ ベースライン を削除することで、Microsoft エンドポイント マネージャー管理センターで セキュリティ ベースラインを 見つけるためのパスを統合しました。 セキュリティ ベースラインを見つけるには、 エンドポイント セキュリティ>セキュリティ ベースラインというパスを使用します。

インポートされた PKCS 証明書のサポートの拡張

インポートされた PKCS 証明書を使用して Android Enterprise フル マネージド デバイスをサポートするためのサポートが拡張されました。 一般に、PFX 証明書のインポートは S/MIME 暗号化シナリオで使用されます。このシナリオでは、電子メールの暗号化解除を行うことができるように、すべてのデバイスでユーザーの暗号化証明書が必要です。

次のプラットフォームでは、PFX 証明書のインポートがサポートされています。

  • Android - デバイス管理者
  • Android Enterprise - フル マネージド
  • Android Enterprise - 仕事用プロファイル
  • iOS
  • Mac
  • Windows 10

デバイスのエンドポイント セキュリティ構成を表示する

特定のデバイスに適用されるエンドポイント セキュリティ構成を表示するために、Microsoft エンドポイント マネージャー管理センターのオプションの名前が更新されました。 このオプションは、適用可能なセキュリティ ベースラインと 、セキュリティ ベースラインの外部で作成された追加のポリシーが表示されるため、エンドポイント セキュリティ構成に名前が変更されます。 以前は、このオプションの名前は セキュリティ ベースラインでした

役割ベースのアクセス制御

Intune ロールのユーザー インターフェイスの変更

Microsoft Endpoint Manager 管理センター>のテナント管理>ロールのユーザー インターフェイスが、より使いやすく直感的な設計に改善されました。 このエクスペリエンスでは、現在使用しているのと同じ設定と詳細が提供されますが、新しいエクスペリエンスではウィザードのようなプロセスが採用されています。

2020 年 1 月

アプリ管理

macOS 用の追加の Microsoft Edge バージョン 77 展開チャネルのIntuneサポート

Microsoft Intuneでは、macOS 用 Microsoft Edge アプリ用の追加の Stable デプロイ チャネルがサポートされるようになりました。 安定チャネルは、エンタープライズ環境で Microsoft Edge を広範に展開するための推奨チャネルです。 ベータ チャネルからの機能強化を組み込んだ各リリースで、6 週間ごとに更新されます。 安定チャネルベータチャネルに加えて、Intuneは開発チャネルをサポートします。 パブリック プレビューでは、MacOS 用の Microsoft Edge バージョン 77 以降の安定した開発チャネルが提供されます。 ブラウザーの自動更新は既定で [オン] になっています。 詳細については、「Microsoft Intuneを使用して macOS デバイス用の Microsoft Edge を追加する」を参照してください。

Intune Managed Browserの廃止

Intune Managed Browserは廃止されます。 保護された Intune ブラウザー エクスペリエンスには Microsoft Edge を使用してください。

アプリをIntuneに追加するときのユーザー エクスペリエンスの変更

Intune経由でアプリを に追加すると、新しいユーザー エクスペリエンスが表示されます。 このエクスペリエンスでは、以前に使用したのと同じ設定と詳細が提供されますが、新しいエクスペリエンスは、Intuneにアプリを追加する前にウィザードのようなプロセスに従います。 この新しいエクスペリエンスでは、アプリを追加する前にレビュー ページも提供されます。 Microsoft エンドポイント マネージャー管理センターで、[アプリ>] [すべてのアプリ>] [追加] の順に選択します。 詳しくは、「Microsoft Intune にアプリを追加する」をご覧ください。

Win32 アプリの再起動を要求する

インストールが正常に完了した後、Win32 アプリを再起動する必要があります。 また、再起動が必要になるまでの時間 (猶予期間) を選択することもできます。

Intuneでアプリを構成するときのユーザー エクスペリエンスの変更

Intuneでアプリ構成ポリシーを作成すると、新しいユーザー エクスペリエンスが表示されます。 このエクスペリエンスでは、以前に使用したのと同じ設定と詳細が提供されますが、新しいエクスペリエンスは、Intuneにポリシーを追加する前にウィザードのようなプロセスに従います。 Microsoft エンドポイント マネージャー管理センターで、[アプリ>アプリ構成ポリシー>の追加] を選択します。 詳細については、「Microsoft Intuneのアプリ構成ポリシー」を参照してください。

Windows 10展開チャネルの追加の Microsoft Edge のIntuneサポート

Microsoft Intuneでは、アプリ用の Microsoft Edge (バージョン 77 以降) 用の追加の Stable デプロイ チャネルWindows 10サポートされるようになりました。 安定チャネルは、エンタープライズ環境でWindows 10の Microsoft Edge を広く展開するための推奨チャネルです。 このチャネルは 6 週間ごとに更新され、各リリースには ベータ チャネルからの機能強化が組み込まれています。 安定チャネルベータチャネルに加えて、Intuneは開発チャネルをサポートします。 詳細については、「Microsoft Edge for Windows 10 - アプリ設定の構成」を参照してください。

Microsoft Outlook for iOS の S/MIME サポート

Intuneでは、iOS デバイス上の Outlook for iOS で使用できる S/MIME 署名証明書と暗号化証明書の配信がサポートされています。 詳細については、「 Outlook for iOS および Android での秘密度のラベル付けと保護」を参照してください。

Microsoft Connected Cache サーバーを使用して Win32 アプリコンテンツをキャッシュする

Configuration Manager配布ポイントに Microsoft Connected Cache サーバーをインストールして、Win32 アプリのコンテンツIntuneキャッシュできます。 詳細については、「Configuration Managerの Microsoft Connected Cache - Intune Win32 アプリのサポート」を参照してください。

デバイス構成

Exchange ActiveSyncオンプレミス コネクタ UI を構成するときのユーザー インターフェイス エクスペリエンスの向上

Exchange ActiveSync オンプレミス コネクタを構成するためのエクスペリエンスが更新されました。 更新されたエクスペリエンスでは、1 つのウィンドウを使用して、オンプレミス コネクタの詳細を構成、編集、および要約します。

Android Enterprise 仕事用プロファイルのWi-Fi プロファイルに自動プロキシ設定を追加する

Android Enterprise Work Profile デバイスでは、Wi-Fi プロファイルを作成できます。 Wi-Fi Enterprise 型を選択すると、Wi-Fi ネットワークで使用される拡張認証プロトコル (EAP) の種類を入力することもできます。

[エンタープライズの種類] を選択すると、プロキシ サーバーの URL など proxy.contoso.com、自動プロキシ設定を入力することもできます。

構成できる現在のWi-Fi設定を確認するには、Microsoft Intuneで Android Enterprise および Android キオスクを実行しているデバイスのWi-Fi設定の追加に関するページを参照してください。

適用対象:

  • Android Enterprise の作業プロフィール

デバイスの登録

デバイスの製造元別に Android 登録をブロックする

デバイスの製造元に基づいて、デバイスの登録をブロックできます。 この機能は、Android デバイス管理者と Android Enterprise 仕事用プロファイル デバイスに適用されます。 登録の制限を確認するには、Microsoft エンドポイント マネージャー管理センター>の[デバイス>の登録の制限] に移動します。

iOS/iPadOS 登録の種類プロファイルの作成 UI の機能強化

iOS/iPadOS ユーザー登録の場合、[ 登録の種類プロファイルの作成] ページ が合理化され、同じ機能を維持しながら 登録の種類 の選択プロセスが改善されました。 新しい UI を表示するには、Microsoft Endpoint Manager 管理センター>[デバイス>] [iOS iOS>登録>の種類>] [プロファイル>の設定の作成] ページに移動します。 詳細については、「Intuneでのユーザー登録プロファイルの作成」を参照してください。

デバイス管理

デバイスの詳細に関する新しい情報

次の情報は、デバイスの [概要 ] ページにあります。

  • メモリ容量 (デバイス上の物理メモリの量)
  • ストレージ容量 (デバイス上の物理ストレージの量)
  • CPU アーキテクチャ

iOS バイパス アクティブ化ロックリモート アクションの名前が [アクティブ化ロックを無効にする] に変更されました

リモート アクション の [アクティブ化ロックのバイパス] の名前が [ アクティブ化ロックの無効化] に変更されました。 詳細については、「Intuneを使用して iOS ライセンス認証ロックを無効にする」を参照してください。

Autopilot デバイスWindows 10機能更新プログラムの展開のサポート

Intuneでは、Windows 10機能更新プログラムの展開を使用した Autopilot 登録済みデバイスのターゲット設定がサポートされるようになりました。

Windows 10機能更新ポリシーは、Autopilot out of box experience (OOBE) 中に適用できず、デバイスのプロビジョニングが完了した後 (通常は 1 日) の最初のWindows Update スキャンでのみ適用されます。

監視とトラブルシューティング

Windows Autopilot 展開レポート (プレビュー)

新しいレポートでは、Windows Autopilot を介して展開された各デバイスの詳細が表示されます。 詳細については、「 Autopilot デプロイ レポート」を参照してください。

役割ベースのアクセス制御

新しいIntune組み込みロールエンドポイント セキュリティ マネージャー

新しいIntune組み込みロール (エンドポイント セキュリティ マネージャー) を使用できます。 この新しいロールを使用すると、管理者はIntuneのエンドポイント マネージャー ノードに完全にアクセスでき、他の領域へのすぐにアクセスできます。 ロールは、Azure AD からの "セキュリティ管理者" ロールの拡張です。 現在、ロールとしてグローバル管理者がいる場合は、変更は必要ありません。 ロールを使用していて、エンドポイント セキュリティ マネージャーが提供する細分性が必要な場合は、使用可能なときにそのロールを割り当てます。 組み込みロールの詳細については、「 ロールベースのアクセス制御」を参照してください。

Windows 10管理テンプレート (ADMX) プロファイルでスコープ タグがサポートされるようになりました

スコープ タグを管理テンプレート プロファイル (ADMX) に割り当てることができるようになりました。 これを行うには、Intune>[デバイス>構成プロファイル>] に移動し、[プロパティ>スコープ] タグの一覧>で管理用テンプレート プロファイルを選択します。 スコープ タグの詳細については、「スコープ タグ を他のオブジェクトに割り当てる」を参照してください。

2019 年 12 月

アプリ管理

MEM で暗号化された macOS デバイスから個人用回復キーを取得する

エンド ユーザーは、iOS ポータル サイト アプリを使用して個人用回復キー (FileVault キー) を取得できます。 個人用回復キーを持つデバイスは、Intune に登録され、Intune により FileVault を使用して暗号化されている必要があります。 iOS ポータル サイト アプリを使用して、エンド ユーザーは [回復キーの取得] をクリックして、暗号化された macOS デバイスで個人用回復キーを取得できます。 また、暗号化された macOS デバイス>の [回復キーの取得] を選択>して、Intuneから回復キーを取得することもできます。 FileVault の詳細については、「 macOS 用 FileVault 暗号化」を参照してください。

iOS および iPadOS ユーザー ライセンス VPP アプリ

ユーザーが登録した iOS デバイスと iPadOS デバイスの場合、エンド ユーザーには、新しく作成されたデバイス ライセンスの VPP アプリケーションが使用可能な状態でデプロイされなくなります。 ただし、エンド ユーザーは引き続き、ポータル サイト内のすべてのユーザー ライセンス VPP アプリを表示します。 VPP アプリの詳細については、「Microsoft Intuneを使用して Apple Volume Purchase Program を使用して購入した iOS アプリと macOS アプリを管理する方法」を参照してください。

通知 - Windows 10 1703 (RS2) はサポート対象外になります

2018 年 10 月 9 日から、Windows 10 1703 (RS2) は、Home、Pro、Pro for Workstations エディションの Microsoft プラットフォーム サポートから移行しました。 Windows 10 Enterpriseおよび Education エディションの場合、Windows 10 1703 (RS2) は、2019 年 10 月 8 日にプラットフォームサポートから移行しました。 2019 年 12 月 26 日から、Windows ポータル サイト アプリケーションの最小バージョンを Windows 10 1709 (RS3) に更新します。 1709 より前のバージョンを実行しているコンピューターは、Microsoft Store からアプリケーションの更新されたバージョンを受け取らなくなります。 以前に、メッセージ センターを介して古いバージョンのWindows 10を管理しているお客様にこの変更を伝えた。 詳細については、「 Windows ライフサイクルのファクト シート」を参照してください。

アプリ管理

管理された閲覧シナリオ用の Microsoft Edge への移行

Intune Managed Browserの廃止に近づくにつれて、アプリ保護ポリシーを変更して、ユーザーを Edge に移行するために必要な手順を簡略化しました。 アプリ保護ポリシー設定のオプションを更新しました 。他のアプリとの Web コンテンツ転送 を次のいずれかに制限します。

  • 任意のアプリ
  • Intune Managed Browser
  • Microsoft Edge
  • アンマネージド ブラウザー

Microsoft Edge を選択すると、エンド ユーザーには、管理された閲覧シナリオに Microsoft Edge が必要であることを通知する条件付きアクセス メッセージングが表示されます。 Azure AD アカウントを使用して Microsoft Edge をダウンロードしてサインインするように求められます (まだサインインしていない場合)。 これは、アプリ構成設定 com.microsoft.intune.useEdgeTrue に設定された MAM 対応アプリを対象とすることと同じです。 [ポリシーの管理されたブラウザー] 設定を使用した既存のアプリ保護ポリシーは、Intune Managed Browser選択され、動作に変更はありません。 つまり、 useEdge アプリ構成設定を True に設定している場合、Microsoft Edge を使用するためのメッセージングがユーザーに表示されます。 管理された閲覧シナリオを利用するすべてのお客様に、他のアプリ との Web コンテンツ転送を制限 するを使用してアプリ保護ポリシーを更新し、リンクを起動するアプリに関係なく、Microsoft Edge に移行するための適切なガイダンスがユーザーに表示されるようにすることをお勧めします。

組織アカウントのアプリ通知コンテンツを構成する

Android および iOS デバイスのアプリ保護ポリシー (APP) をIntuneすると、組織アカウントのアプリ通知コンテンツを制御できます。 オプション (許可、組織データのブロック、またはブロック) を選択して、選択したアプリに対する組織アカウントの通知の表示方法を指定できます。 この機能では、アプリケーションからのサポートが必要であり、すべてのアプリが有効なアプリケーションでは使用できない場合があります。 Outlook for iOS バージョン 4.15.0 (以降) と Outlook for Android 4.83.0 (またはそれ以降) では、この設定がサポートされます。 この設定は本体で使用できますが、機能は 2019 年 12 月 16 日以降に有効になります。 APP の詳細については、「 アプリ保護ポリシーとは」を参照してください。

Microsoft アプリ アイコンの更新

アプリ保護 ポリシーとアプリ構成ポリシーのアプリ ターゲット ウィンドウで Microsoft アプリに使用されるアイコンが更新されました。

Android で承認されたキーボードの使用を要求する

アプリ保護ポリシーの一部として、[ 承認済みキーボード ] 設定を指定して、管理対象の Android アプリで使用できる Android キーボードを管理できます。 ユーザーがマネージド アプリを開き、そのアプリに承認済みのキーボードをまだ使用していない場合は、デバイスに既にインストールされている承認済みのキーボードのいずれかに切り替えるよう求められます。 必要に応じて、Google Play ストアから承認済みのキーボードをダウンロードするためのリンクが表示され、インストールと設定が可能です。 ユーザーが編集できるのは、マネージド アプリのテキスト フィールドで、アクティブなキーボードが承認されたキーボードの 1 つでない場合のみです。

デバイス構成

Windows 10 デバイスの管理用テンプレートへの更新

Microsoft Intuneの ADMX テンプレートを使用して、Microsoft Edge、Office、および Windows の設定を制御および管理できます。 Intuneの管理用テンプレートでは、次のポリシー設定が更新されました。

Intuneの ADMX テンプレートの詳細については、「Windows 10 テンプレートを使用してMicrosoft Intuneでグループ ポリシー設定を構成する」を参照してください。

適用対象:

  • Windows 10 以降

iOS、iPadOS、macOS デバイス上のアプリと Web サイトのシングル サインオン エクスペリエンスを更新しました

Intuneでは、iOS、iPadOS、macOS デバイスのシングル サインオン (SSO) 設定が追加されました。 組織または ID プロバイダーによって記述されたリダイレクト SSO アプリ拡張機能を構成できるようになりました。 これらの設定を使用して、OAuth や SAML2 などの最新の認証方法を使用するアプリや Web サイトのシームレスなシングル サインオン エクスペリエンスを構成します。

これらの新しい設定は、SSO アプリ拡張機能と Apple の組み込みの Kerberos 拡張機能の前の設定で展開されます (デバイス>デバイス構成>プロファイル>プラットフォーム>の種類のデバイス機能のプロファイル iOS/iPadOS または macOS を作成しますプロファイルの種類>のデバイス機能)。

構成できる SSO アプリ拡張機能設定の全範囲を確認するには、 iOS での SSOmacOS での SSO に関するページを参照してください。

適用対象:

  • iOS/iPadOS
  • macOS

iOS デバイスと iPadOS デバイスの 2 つのデバイス制限設定を更新し、動作を修正しました

iOS デバイスの場合は、無線 PKI の更新を許可し、USB 制限モードをブロックするデバイス制限プロファイルを作成できます (デバイス>デバイス構成>プロファイル> プロファイルを作成>するiOS/iPadOS for platform プロファイル>の種類のデバイス制限)。 このリリースより前は、次の設定の UI 設定と説明が正しくありませんでした。現在は修正されています。 このリリース以降、設定の動作は次のようになります。

[Over-the-air PKI の更新をブロックする]: [ブロック] を選択 すると、デバイスがコンピューターに接続されていない限り、ユーザーはソフトウェア更新プログラムを受信できなくなります。 未構成 (既定値): デバイスがコンピューターに接続されずにソフトウェア更新プログラムを受信できるようにします。

  • 以前は、この設定を [許可] として構成できます。これにより、ユーザーはデバイスをコンピューターに接続せずにソフトウェア更新プログラムを受け取ります。 デバイスのロック中に USB アクセサリを許可する: 許可すると 、USB アクセサリは、1 時間以上ロックされているデバイスとデータを交換できます。 [未構成 ] (既定値) はデバイスの USB 制限モードを更新せず、1 時間以上ロックされている場合、USB アクセサリはデバイスからのデータ転送をブロックされます。
  • 以前は、この設定を [ ブロック ] として構成し、監視対象デバイスで USB 制限モードを無効にしました。

構成できる設定の詳細については、「iOS および iPadOS デバイスの設定」を参照して、Intuneを使用して機能を許可または制限します。

この機能は、以下に適用されます。

  • OS/iPadOS

Android Enterprise デバイス所有者デバイスのマネージド キーストアで証明書資格情報を構成できないようにユーザーをブロックする

Android Enterprise デバイス所有者デバイスでは、ユーザーがマネージド キーストアで証明書の資格情報を構成できないようにする新しい設定を構成できます (デバイス構成>プロファイル>Android Enterprise for platform > デバイス所有者のみプロファイルの種類>ユーザーとアカウントデバイス制限>作成>します)。

新しい Microsoft エンドポイント Configuration Manager共同管理ライセンス

ソフトウェア アシュアランスをお持ちのお客様Configuration Manager、共同管理のために追加のIntune ライセンスを購入することなく、Windows 10 PC の共同管理をIntuneできます。 お客様は、Windows 10を共同管理するために、エンド ユーザーに個々のIntune/EMS ライセンスを割り当てる必要がなくなりました。

  • Configuration Managerによって管理され、共同管理に登録されたデバイスには、スタンドアロン MDM で管理される PC Intuneとほぼ同じ権限があります。 ただし、リセット後、Autopilot を使用して再プロビジョニングすることはできません。
  • その他の手段を使用してIntuneに登録されたデバイスWindows 10には、完全なIntune ライセンスが必要です。
  • 他のプラットフォーム上のデバイスには、引き続き完全なIntune ライセンスが必要です。

詳細については、「 ライセンス条項」を参照してください。

デバイス管理

保護されたワイプ アクションが利用可能になりました

[デバイスのワイプ] アクションを使用して、デバイスの保護されたワイプを実行できるようになりました。 保護されたワイプは標準のワイプと同じですが、デバイスの電源を切って回避することはできません。 保護されたワイプは、成功するまでデバイスのリセットを試み続けます。 一部の構成では、このアクションによってデバイスを再起動できなくなる場合があります。 詳細については、「 デバイスの削除またはワイプ」を参照してください。

デバイスの [概要] ページに追加されたデバイス イーサネット MAC アドレス

デバイスの詳細ページにデバイスのイーサネット MAC アドレスが表示されるようになりました (デバイス>すべてのデバイスでデバイス>>の概要を選択します。

デバイスのセキュリティ

デバイス ベースの条件付きアクセス ポリシーが有効になっている場合の共有デバイスでのエクスペリエンスの向上

ポリシーの適用時にユーザーの最新のコンプライアンス評価を確認することで、デバイス ベースの条件付きアクセス ポリシーを対象とする複数のユーザーとの共有デバイスでのエクスペリエンスを改善しました。 詳細については、次の概要に関する記事を参照してください。

PKCS 証明書プロファイルを使用して証明書を使用してデバイスをプロビジョニングする

PKCS 証明書プロファイルを使用して、Android for Work、iOS/iPadOS、および Windows を実行する デバイス に証明書を発行できるようになりました(Wi-Fiや VPN などのプロファイルに関連付けられている場合)。 以前は、これらの 3 つのプラットフォームではユーザーベースの証明書のみがサポートされていました。デバイス ベースのサポートは macOS に制限されていました。

注:

PKCS 証明書プロファイルは、Wi-Fi プロファイルではサポートされていません。 代わりに、 EAP の種類を使用するときに SCEP 証明書プロファイルを使用します。

デバイス ベースの証明書を使用するには、サポートされているプラットフォームの PKCS 証明書プロファイルを作成 するときに、[ 設定] を選択します。 [ 証明書の種類] の設定が表示され、[デバイス] または [ユーザー] のオプションがサポートされます。

監視とトラブルシューティング

一元化された監査ログ

新しい一元的な監査ログ エクスペリエンスによって、すべてのカテゴリの監査ログが 1 つのページに収集されるようになりました。 ログをフィルター処理して、探しているデータを取得できます。 監査ログを表示するには、[ テナント管理>] [監査ログ] の順に移動します。

監査ログ アクティビティの詳細に含まれるスコープ タグ情報

監査ログ アクティビティの詳細にスコープ タグ情報が含まれるようになりました (スコープ タグをサポートするオブジェクトIntune)。 監査ログの詳細については、「 監査ログを使用してイベントを追跡および監視する」を参照してください。

2019 年 11 月

アプリ管理

アプリ データを選択的にワイプするときの UI 更新

Intuneのアプリ データを選択的にワイプする UI が更新されました。 UI の変更には、次のものがあります。

  • 1 つのウィンドウ内に圧縮されたウィザード スタイルの形式を使用して、簡略化されたエクスペリエンス。
  • 割り当てを含める作成フローの更新。
  • 新しいポリシーを作成する前、またはプロパティを編集する前に、プロパティを表示するときに設定されたすべての項目の概要ページ。 また、プロパティを編集すると、サマリーには、編集中のプロパティのカテゴリの項目の一覧のみが表示されます。

詳細については、「Intuneマネージド アプリから企業データのみをワイプする方法」を参照してください。

iOS と iPadOS のサード パーティ製キーボードのサポート

2019 年 3 月に、iOS アプリ保護 ポリシー設定 "サード パーティ製キーボード" のサポートが削除されたことを発表しました。 この機能は、iOS と iPadOS の両方のサポートを使用してIntuneに戻っています。 この設定を有効にするには、新規または既存の iOS/iPadOS アプリ保護ポリシーの [データ保護] タブにアクセスし、[データ転送] の [サード パーティ製キーボード] 設定を見つけます。

このポリシー設定の動作は、前の実装とは若干異なります。 SDK バージョン 12.0.16 以降を使用するマルチ ID アプリでは、この設定が [ブロック] に構成されたアプリ保護ポリシーを対象としています。エンド ユーザーは、組織と個人アカウントの両方でサード パーティ製のキーボードを選択できなくなります。 SDK バージョン 12.0.12 以前を使用するアプリでは、ブログ投稿タイトルに記載されている動作が引き続き表示されます。 既知の問題: 個人用アカウントの iOS ではサード パーティのキーボードはブロックされません

ポータル サイトでの macOS 登録エクスペリエンスの向上

macOS の登録エクスペリエンス用のポータル サイトには、よりシンプルな登録プロセスが備わっています。これにより、iOS の登録エクスペリエンス用のポータル サイトと、より厳密な一致がとれます。 デバイス ユーザーに次が表示されるようになりました。

  • より洗練されたユーザー インターフェイス。
  • 強化された登録チェックリスト。
  • デバイスの登録方法に関するより明確な説明。
  • 強化されたトラブルシューティング オプション。

Windows ポータル サイト アプリから起動する Web アプリ

エンド ユーザーは、Windows ポータル サイト アプリから Web アプリを直接起動できるようになりました。 エンド ユーザーは Web アプリを選択し、[ ブラウザーで開く] オプションを選択できます。 発行された Web URL は、Web ブラウザー内で直接開かれます。 この機能は、次の週にわたってロールアウトされます。 Web アプリの詳細については、「Web アプリを Microsoft Intune に追加する」をご覧ください。

Windows 10のポータル サイトの新しい割り当て型列

[ポータル サイト>インストール済みアプリ>の割り当ての種類] 列の名前が組織によって [必須] に変更されました。 その列の下に、[ はい ] または [いいえ ] の値が表示され、アプリが必要か、組織によって省略可能であることが示されます。 これらの変更は、デバイス ユーザーが使用可能なアプリの概念について混乱したために行われました。 ユーザーは、ポータル サイトからアプリをインストールする方法の詳細については、「デバイスにアプリをインストールして共有する」を参照してください。 ユーザーのポータル サイト アプリの構成の詳細については、「Microsoft Intune ポータル サイト アプリを構成する方法」を参照してください。

デバイス構成

Jamf 管理を必要とする macOS ユーザー グループをターゲットにする

Jamf によって管理される macOS デバイスを取得するユーザーの特定のグループをターゲットにすることができます。 このターゲット設定を使用すると、macOS デバイスのサブセットに Jamf コンプライアンス統合を適用でき、他のデバイスはIntuneによって管理されます。 Jamf 統合を既に使用している場合、すべてのユーザーは既定で統合の対象になります。

iOS デバイスでEmailデバイス構成プロファイルを作成するときの新しいExchange ActiveSync設定

iOS/iPadOS デバイスでは、デバイス構成プロファイルで電子メール接続を構成できます (デバイス構成>プロファイル>プロファイル プロファイルを作成する>プロファイル iOS/iPadOS for platform >Emailプロファイルの種類)。

次のような新しいExchange ActiveSync設定を使用できます。

  • 同期する Exchange データ: 予定表、連絡先、リマインダー、メモ、Emailの同期 (または同期をブロック) する Exchange サービスを選択します。
  • ユーザーによる同期設定の変更を許可する: ユーザーがデバイス上のこれらのサービスの同期設定を変更することを許可 (またはブロック) します。

これらの設定の詳細については、「Intuneの iOS デバイスのプロファイル設定をEmailする」を参照してください。

適用対象:

  • iOS 13.0 以降
  • iPadOS 13.0 以降

ユーザーが Android Enterprise のフル マネージドおよび専用デバイスに個人用 Google アカウントを追加できないようにする

Android Enterprise のフル マネージドおよび専用デバイスでは、ユーザーが個人用 Google アカウントを作成できないようにする新しい設定があります(デバイス構成>プロファイル>> Android Enterprise for platform デバイス所有者専用>デバイス制限 プロファイルの種類 >ユーザーとアカウント設定>個人用 Google アカウント)。>

構成できる設定を確認するには、Android Enterprise デバイスの設定に移動して、Intuneを使用して機能を許可または制限します。

適用対象:

  • Android Enterprise のフル マネージド デバイス
  • Android Enterprise 専用デバイス

iOS/iPadOS デバイス制限プロファイルで Siri コマンド設定のサーバー側ログが削除される

iOS および iPadOS デバイスでは、Siri コマンドのサーバー側ログ記録設定が Microsoft Endpoint Manager 管理コンソールから削除されます (デバイス構成>プロファイル>プロファイルを作成する>iOS/iPadOS for platform プロファイル>の種類>のデバイス制限組み込みアプリ)。

この設定は、デバイスには影響しません。 既存のプロファイルから設定を削除するには、プロファイルを開き、変更を加えてからプロファイルを保存します。 プロファイルが更新され、設定がデバイスから削除されます。

構成できるすべての設定を確認するには、「iOS および iPadOS デバイスの設定」を参照して、Intuneを使用して機能を許可または制限します。

適用対象:

  • iOS/iPadOS

Windows 10機能更新プログラム (パブリック プレビュー)

Windows 10 デバイスにWindows 10機能更新プログラムを展開できるようになりました。 Windows 10機能更新プログラムは、デバイスをインストールして残しておくWindows 10のバージョンを設定する新しいソフトウェア更新プログラム ポリシーです。 この新しいポリシーの種類は、既存のWindows 10更新リングと共に使用できます。

Windows 10機能更新プログラム ポリシーを受け取るデバイスは、指定したバージョンの Windows をインストールし、ポリシーが編集または削除されるまでそのバージョンのままです。 新しいバージョンの Windows を実行するデバイスは、現在のバージョンのままです。 特定のバージョンの Windows で保持されているデバイスは、そのバージョンの品質更新プログラムとセキュリティ更新プログラムWindows 10インストールできます。

この新しい種類のポリシーは、今週テナントへのロールアウトを開始します。 このポリシーがまだテナントで使用できない場合は、間もなく使用できるようになります。

macOS アプリケーションの plist ファイルにキー情報を追加および変更する

macOS デバイスでは、アプリまたはデバイスに関連付けられたプロパティ リスト ファイル (.plist) をアップロードするデバイス構成プロファイルを作成できるようになりました (デバイス>構成プロファイル> プラットフォーム>用プロファイル>macOS プロファイルの作成 プロファイルの種類の基本設定ファイル)。

一部のアプリのみが管理設定をサポートしており、これらのアプリではすべての設定を管理できない場合があります。 ユーザー チャネル設定ではなく、デバイス チャネル設定を構成するプロパティ リスト ファイルをアップロードしてください。

この機能の詳細については、「Microsoft Intuneを使用して macOS デバイスにプロパティ リスト ファイルを追加する」を参照してください。

適用対象:

  • 10.7 以降を実行している macOS デバイス

デバイス管理

Autopilot デバイスのデバイス名の値を編集する

Azure AD 参加済み Autopilot デバイスの [デバイス名] の値を編集できます。 詳細については、「 Autopilot デバイス属性の編集」を参照してください。

Autopilot デバイスのグループ タグの値を編集する

Autopilot デバイスのグループ タグの値を編集できます。 詳細については、「 Autopilot デバイス属性の編集」を参照してください。

監視とトラブルシューティング

サポート エクスペリエンスの更新

今日から、Intuneのヘルプとサポートを得るための、更新され合理化されたコンソール内エクスペリエンスがテナントにロールアウトされています。 この新しいエクスペリエンスがまだ利用できない場合は、すぐに利用できるようになります。

一般的な問題のコンソール内検索とフィードバック、およびサポートへの問い合わせに使用するワークフローが改善されました。 サポートの問題を開くと、コールバックまたは電子メールの返信が予想されるタイミングのリアルタイムの見積もりが表示され、Premier および Unified サポートのお客様は問題の重大度を簡単に指定して、サポートを迅速に受けることができます。

Intuneレポート エクスペリエンスの向上 (パブリック プレビュー)

Intuneでは、新しいレポートの種類、より優れたレポート組織、より焦点を絞ったビュー、レポート機能の向上、より一貫性のあるタイムリーなデータなど、レポート エクスペリエンスが向上しました。 新しいレポートの種類は、次に重点を置きます。

  • 操作 - 正常性に重点を置いた新しいレコードを提供します。
  • [組織] - 全体的な状態の概要を示します。
  • 履歴 - 一定期間におけるパターンと傾向を提示します。
  • スペシャリスト - 生データを使用し、独自のカスタム レポートを作成できます。

新しいレポートの最初のセットでは、デバイスのコンプライアンスに焦点を当てます。 詳細については、「ブログ - レポート フレームワークのMicrosoft Intune」と「レポートのIntune」を参照してください。

役割ベースのアクセス制御

カスタム ロールまたは組み込みロールを複製する

組み込みロールとカスタム ロールをコピーできるようになりました。 詳細については、「 ロールのコピー」を参照してください。

学校管理者ロールの新しいアクセス許可

プロファイル の割り当てデバイスの同期という 2 つの新しいアクセス許可が、学校管理者ロール >のアクセス許可>登録プログラムに追加されました。 同期プロファイルのアクセス許可を使用すると、グループ管理者は Windows Autopilot デバイスを同期できます。 プロファイルの割り当てアクセス許可を使用すると、ユーザーが開始した Apple 登録プロファイルを削除できます。 また、Autopilot デバイスの割り当てと Autopilot 展開プロファイルの割り当てを管理するためのアクセス許可も付与されます。 すべての学校管理者/グループ管理者のアクセス許可の一覧については、「グループ管理者の 割り当て」を参照してください。

セキュリティ

BitLocker キーの交換

Intune デバイス アクションを使用して、Windows バージョン 1909 以降を実行するマネージド デバイスの BitLocker 回復キーをリモートでローテーションできます。 回復キーをローテーションする資格を得るには、回復キーのローテーションをサポートするようにデバイスを構成する必要があります。

SCEP デバイス証明書の展開をサポートするための専用デバイス登録への更新

Intuneでは、Wi-Fi プロファイルへの証明書ベースのアクセスのために、Android Enterprise 専用デバイスへの SCEP デバイス証明書の展開がサポートされるようになりました。 展開を機能させるには、Microsoft Intune アプリがデバイスに存在する必要があります。 その結果、Android Enterprise 専用デバイスの登録エクスペリエンスが更新されました。 新しい登録は引き続き同じ (QR、NFC、ゼロタッチ、またはデバイス識別子で) 開始されますが、ユーザーがIntune アプリをインストールする必要がある手順が追加されました。 既存のデバイスでは、アプリがローリング ベースで自動的にインストールされます。

ビジネス間コラボレーションの監査ログをIntuneする

ビジネス間 (B2B) コラボレーションを使用すると、会社のアプリケーションとサービスを他の組織のゲスト ユーザーと安全に共有しながら、独自の企業データを制御できます。 Intuneでは、B2B ゲスト ユーザーの監査ログがサポートされるようになりました。 たとえば、ゲスト ユーザーが変更を行うと、Intuneは監査ログを介してこのデータをキャプチャできます。 詳細については、「Azure Active Directory B2B のゲスト ユーザー アクセスとは」を参照してください。

セキュリティ ベースラインは Microsoft Azure Governmentでサポートされています

Microsoft Azure GovernmentでホストされているIntuneのインスタンスは、セキュリティ ベースラインを使用して、ユーザーとデバイスのセキュリティ保護と保護に役立つようになりました。

2019 年 10 月

アプリ管理

Android 用 Intune ポータル サイト アプリでのチェックリストの設計の改良

Android 用 Intune ポータル サイト アプリのセットアップ チェックリストが、軽量のデザインと新しいアイコンによって更新されました。 変更は、iOS 用のポータル サイト アプリに対して行われた最近の更新プログラムと一致します。 変更を並べて比較する方法については、「 アプリ UI の新機能」を参照してください。 更新された登録手順の詳細については、「Android 仕事用プロファイルを使用して登録する」および「Android デバイスを登録する」をご覧ください。

Windows 10 S モード デバイス上の Win32 アプリ

Windows 10 S モードのマネージド デバイスに Win32 アプリをインストールして実行できます。 これを行うには、Windows Defender アプリケーション制御 (WDAC) PowerShell ツールを使用して、S モードの 1 つ以上の補足ポリシーを作成できます。 Device Guard 署名ポータルで補足ポリシーに署名し、Intune経由でポリシーをアップロードして配布します。 Intuneでは、[クライアント アプリ>Windows 10 S 補助ポリシー] を選択すると、この機能が表示されます。 詳細については、「 S モード デバイスで Win32 アプリを有効にする」を参照してください。

日付と時刻に基づいて Win32 アプリの可用性を設定する

管理者は、必要な Win32 アプリの開始時刻と期限を構成できます。 開始時に、Intune管理拡張機能によってアプリ コンテンツのダウンロードが開始され、キャッシュされます。 期限時刻になると、アプリはインストールされます。 使用可能なアプリの場合、開始時刻は、アプリがポータル サイトに表示されるタイミングを決定します。 詳細については、「Intune Win32 アプリ管理」を参照してください。

Win32 アプリのインストール後の猶予期間に基づいてデバイスの再起動を要求する

Win32 アプリが正常にインストールされた後、デバイスを再起動する必要があります。 詳細については、「 Win32 アプリ管理」を参照してください。

iOS ポータル サイトのダーク モード

ダーク モードは、iOS ポータル サイトで使用できます。 ユーザーは、会社のアプリをダウンロードし、デバイスを管理し、デバイス設定に基づいて選択した配色で IT サポートを受けることができます。 iOS ポータル サイトは、エンド ユーザーのデバイス設定とダーク モードまたはライト モードで自動的に一致します。 詳細については、「iOS 用のMicrosoft Intune ポータル サイトでのダーク モードの概要」を参照してください。 iOS ポータル サイトの詳細については、「Microsoft Intune ポータル サイト アプリを構成する方法」を参照してください。

Android ポータル サイト適用される最小アプリ バージョン

アプリ保護ポリシーの [最小ポータル サイトバージョン] 設定を使用すると、エンド ユーザー デバイスに適用されるポータル サイトの特定の最小定義バージョンを指定できます。 この条件付き起動設定を使用すると、値が満たされていない場合に アクセスをブロックしたり、 データをワイプしたり、可能な限り 警告 したりできます。 この値に使用できる形式は 、[メジャー] に従います。[Minor], [Major].[Minor].[ビルド]、または [メジャー].[Minor].[ビルド]。[リビジョン] パターン。

[最小ポータル サイトバージョン] 設定が構成されている場合、ポータル サイトのバージョン 5.0.4560.0 を取得するすべてのエンド ユーザーと、ポータル サイトの将来のバージョンに影響します。 この設定は、この機能がリリースされたバージョンよりも古いバージョンのポータル サイトを使用しているユーザーには影響しません。 デバイスでアプリの自動更新を使用しているエンド ユーザーは、最新のポータル サイトバージョンである可能性があるため、この機能のダイアログは表示されない可能性があります。 この設定は、登録済みデバイスと登録解除済みデバイスに対するアプリ保護を備えた Android のみです。 詳細については、「 Android アプリ保護ポリシー設定 - 条件付き起動」を参照してください。

Mobile Threat Defense アプリを未登録のデバイスに追加する

デバイスの正常性に基づいてユーザーの企業データをブロックしたり、選択的にワイプしたりする可能性がある、Intuneアプリ保護ポリシーを作成できます。 デバイスの正常性は、選択した Mobile Threat Defense (MTD) ソリューションを使用して決定されます。 この機能は、Intune登録済みデバイスをデバイス コンプライアンス設定として使用して現在存在します。 この新機能により、Mobile Threat Defense ベンダーからの脅威検出が、登録されていないデバイスで機能するように拡張されます。 Android では、この機能にはデバイスの最新のポータル サイトが必要です。 iOS では、この機能は、アプリが最新の Intune SDK (v 12.0.15 以降) を統合するときに使用できます。 最初のアプリが最新のIntune SDK を採用する場合は、「新機能」トピックを更新します。 残りのアプリは、ローリング ベースで利用できるようになります。 詳細については、「Intune でモバイル脅威防御アプリ保護ポリシーを作成する」を参照してください。

Android 仕事用プロファイルで利用可能な Google Play アプリ レポート

Android Enterprise 仕事用プロファイル、専用デバイス、フル マネージド デバイスで使用可能なアプリのインストールについては、アプリのインストール状態と、インストールされているバージョンのマネージド Google Play アプリを表示できます。 詳細については、「アプリ保護ポリシーを監視する方法」、「Intuneを使用して Android 仕事用プロファイル デバイスを管理する」、および「マネージド Google Play アプリの種類」を参照してください

Windows 10と macOS 用の Microsoft Edge バージョン 77 以降 (パブリック プレビュー)

Microsoft Edge バージョン 77 以降は、Windows 10と macOS を実行している PC に展開できます。

パブリック プレビューでは、Windows 10用の開発チャネルとベータ 版チャネル、macOS 用のベータ チャネルが提供されます。 デプロイは英語 (EN) のみですが、エンド ユーザーはブラウザーの [設定言語]> で表示言語を変更できます。 Microsoft Edge は、システム コンテキストやアーキテクチャ (x86 OS では x86 アプリ、x64 OS では x64 アプリ) にインストールされた Win32 アプリです。 さらに、ブラウザーの自動更新は既定で [オン] になり、Microsoft Edge をアンインストールすることはできません。 詳細については、「Windows 10用の Microsoft Edge をMicrosoft Intuneに追加する」および「Microsoft Edge のドキュメント」を参照してください

アプリ保護 UI と iOS アプリ プロビジョニング UI に更新する

Intuneでアプリ保護ポリシーと iOS アプリ プロビジョニング プロファイルを作成および編集する UI が更新されました。 UI の変更には、次のものがあります。

  • 1 つのブレード内に圧縮されたウィザード スタイルの形式を使用して、簡略化されたエクスペリエンス。
  • 割り当てを含める作成フローの更新。
  • 新しいポリシーを作成する前、またはプロパティを編集する前に、プロパティを表示するときに設定されたすべての項目の概要ページ。 また、プロパティを編集すると、サマリーには、編集中のプロパティのカテゴリの項目の一覧のみが表示されます。

詳細については、「 アプリ保護ポリシーを作成して割り当てる方法」とiOS アプリ プロビジョニング プロファイルを使用する」を参照してください。

ガイド付きシナリオをIntuneする

Intuneでは、Intune内の特定のタスクまたは一連のタスクを完了するのに役立つガイド付きシナリオが提供されるようになりました。 ガイド付きシナリオは、1 つのエンド ツー エンドのユース ケースを中心としたカスタマイズされた一連の手順 (ワークフロー) です。 一般的なシナリオは、組織内の管理者、ユーザー、またはデバイスが果たす役割に基づいて定義されます。 これらのワークフローでは、通常、最適なユーザー エクスペリエンスとセキュリティを提供するために、慎重に調整されたプロファイル、設定、アプリケーション、およびセキュリティ制御のコレクションが必要です。 新しいガイド付きシナリオは次のとおりです。

詳細については、「ガイド付きシナリオの概要Intune」を参照してください。

使用可能な追加のアプリ構成変数

アプリ構成ポリシーを作成するときに、構成設定の AAD_Device_ID 一部として構成変数を含めることができます。 Intuneで、[クライアント アプリ]> [アプリ構成ポリシー] [追加] の順に選択します>。 構成ポリシーの詳細を入力し、[ 構成設定 ] を選択して [ 構成設定 ] ブレードを表示します。 詳細については、「 管理対象 Android Enterprise デバイスのアプリ構成ポリシー - 構成デザイナーを使用する」を参照してください。

ポリシー セットと呼ばれる管理オブジェクトのグループを作成する

ポリシー セットを使用すると、1 つの概念単位として識別、対象化、監視する必要がある既存の管理エンティティへの参照のバンドルを作成できます。 ポリシー セットによって、既存の概念やオブジェクトが置き換えられることはありません。 引き続きIntuneで個々のオブジェクトを割り当てることができ、ポリシー セットの一部として個々のオブジェクトを参照できます。 したがって、これらの個々のオブジェクトに対する変更は、ポリシー セットに反映されます。 Intuneで、[ポリシー セット>の作成] を選択して新しいポリシー セットを作成します。

デバイス構成

'

Windows 10以降のデバイスの新しいデバイス ファームウェア構成インターフェイス プロファイル (パブリック プレビュー)

Windows 10以降では、デバイス構成プロファイルを作成して、設定と機能を制御できます (デバイス構成>プロファイル作成プロファイル>>Windows 10以降のプラットフォーム用)。 この更新プログラムには、Intuneが UEFI (BIOS) 設定を管理できるようにする新しいデバイス ファームウェア構成インターフェイス プロファイルの種類があります。

この機能の詳細については、「Microsoft Intuneの Windows デバイスで DFCI プロファイルを使用する」を参照してください。

適用対象:

  • サポートされているファームウェアで RS5 (1809) 以降をWindows 10する

Windows 10更新リングを作成および編集するための UI 更新プログラム

Intuneのリングを更新するWindows 10作成および編集するための UI ex'erience が更新されました。 UI の変更点は次のとおりです。

  • ウィザード スタイルの形式が 1 つのコンソール ブレードに圧縮され、更新リングを構成するときに前に見たブレードのスプロールが不要になります。
  • 変更されたワークフローには、リングの初期構成を完了する前に、割り当てが含まれます。
  • 新しい更新リングを保存して展開する前に、作成したすべての構成を確認するために使用できる概要ページ。 更新リングを編集すると、編集したプロパティのカテゴリ内で設定された項目の一覧のみが概要に表示されます。

iOS ソフトウェア更新ポリシーを作成および編集するための UI 更新プログラム

Intuneの iOS ソフトウェア更新ポリシーを作成および編集するための UI エクスペリエンスが更新されました。 UI の変更点は次のとおりです。

  • ウィザードスタイルの形式が 1 つのコンソール ブレードに圧縮され、更新ポリシーを構成するときにブレードがスプロールする必要がありません。
  • 変更されたワークフローには、ポリシーの初期構成を完了する前に、割り当てが含まれます。
  • 新しいポリシーを保存して展開する前に、作成したすべての構成を確認するために使用できる概要ページ。 ポリシーを編集すると、サマリーには、編集したプロパティのカテゴリ内で設定された項目の一覧のみが表示されます。

エンゲージされた再起動設定がWindows Updateリングから削除される

既に発表したように、IntuneのWindows 10更新リングは期限の設定をサポートし、エンゲージ再起動をサポートしなくなりました。 Intuneで更新リングを構成または管理する場合、Engaged 再起動の設定は使用できなくなりました。

この変更は、最近の Windows サービスの変更と一致し、1903 以降Windows 10実行されているデバイスでは、期限は、関与した再起動の構成よりも優先されます。

Android Enterprise 仕事用プロファイル デバイスでの不明なソースからのアプリのインストールを禁止する

Android Enterprise 仕事用プロファイル デバイスでは、ユーザーは不明なソースからアプリをインストールすることはできません。 この更新プログラムには、 個人用プロファイルの不明なソースからのアプリのインストールを禁止するという新しい設定があります。 既定では、この設定により、ユーザーは不明なソースからデバイス上の個人用プロファイルにアプリをサイドローディングできなくなります。

構成できる設定を確認するには、Android Enterprise デバイスの設定に移動して、Intuneを使用して機能を許可または制限します。

適用対象:

  • Android Enterprise の作業プロフィール

Android Enterprise デバイス所有者デバイスでグローバル HTTP プロキシを作成する

Android Enterprise デバイスでは、組織の Web 閲覧基準を満たすようにグローバル HTTP プロキシを構成できます (デバイス構成>プロファイル>> AndroidEnterprise for platform デバイス>所有者> プロファイルの種類>のデバイス制限接続)。 構成が完了すると、すべての HTTP トラフィックがこのプロキシを使用します。

この機能を構成し、構成したすべての設定を確認するには、Android Enterprise デバイスの設定に移動して、Intuneを使用して機能を許可または制限します。

適用対象:

  • Android Enterprise デバイス所有者

Android デバイス管理者と Android Enterprise のWi-Fi プロファイルで自動的に接続設定が削除される

Android デバイス管理者と Android Enterprise デバイスでは、Wi-Fi プロファイルを作成してさまざまな設定を構成できます (デバイス構成>プロファイル>>プロファイルAndroid デバイス管理者または Android Enterprise for platform Wi-Fi for profile > type)。 この更新プログラムでは、Android ではサポートされていないため、[接続] 設定は自動的に削除されます。

Wi-Fi プロファイルでこの設定を使用すると、 Connect が自動的に 機能しないことがわかります。 アクションを実行する必要はありませんが、この設定は Intune ユーザー インターフェイスで削除されていることに注意してください。

現在の設定を表示するには、[ Android Wi-Fi設定] または [ Android Enterprise Wi-Fi設定] に移動します。

適用対象:

  • Android デバイス管理者
  • Android Enterprise

監視対象の iOS デバイスと iPadOS デバイスの新しいデバイス構成設定

iOS デバイスと iPadOS デバイスでは、プロファイルを作成して、デバイスの機能と設定を制限できます (デバイス構成>プロファイル>プロファイルを作成する>iOS/iPadOS for platform プロファイル>の種類のデバイス制限)。 この更新プログラムでは、次の新しい設定を制御できます。

  • ファイル アプリのネットワーク ドライブへのアクセス
  • ファイル アプリの USB ドライブへのアクセス
  • 常にオンになっているWi-Fi

これらの設定を表示するには、iOS デバイスの設定に移動して、Intuneを使用して機能を許可または制限します。

適用対象:

  • iOS 13.0 以降
  • iPadOS 13.0 以降

デバイスの登録

既定のエクスペリエンス (OOBE) によってプロビジョニングされたデバイスの [登録状態] ページのみを表示するように切り替えます

Autopilot OOBE によってプロビジョニングされたデバイスに対してのみ登録状態ページを表示するように選択できるようになりました。

新しいトグルを表示するには、[Intune>デバイス登録>の Windows 登録>状態] ページ> [プロファイル>設定の作成] を選択すると>既定のエクスペリエンス (OOBE) によってプロビジョニングされたデバイスへのページのみが表示されます

仕事用プロファイルまたはデバイス管理者登録で登録する Android デバイス オペレーティング システムのバージョンを指定する

Intuneデバイスの種類の制限を使用して、デバイスの OS バージョンを使用して、Android Enterprise 仕事用プロファイル登録または Android デバイス管理者登録を使用するユーザー デバイスを指定できます。 詳細は、「登録制限を設定する」を参照してください。

デバイス管理

Intuneは iOS 11 以降をサポートしています

Intune登録とポータル サイトでは、iOS バージョン 11 以降がサポートされるようになりました。 以前のバージョンはサポートされていません。

Windows デバイスの名前を変更するための新しい制限

Windows デバイスの名前を変更するときは、新しい規則に従う必要があります。

  • 15 文字以下 (末尾の NULL を含まない 63 バイト以下にする必要があります)
  • null または空の文字列にしない
  • 使用できる ASCII: 文字 (a-z、a-z)、数字 (0-9)、およびハイフン
  • 許可される Unicode: 文字 >= 0x80、有効な UTF8 である必要があります。IDN マップ可能である必要があります (つまり、RtlIdnToNameprepUnicode が成功します。RFC 3492 を参照してください)。
  • 名前は数字だけにすることができない
  • 名前にスペースを使用できない
  • 許可されていない文字: { | } ~ [ \ ] ^ ' : ; < = > ? & @ ! " # $ % ` ( ) + / , . _ *)

詳細については、「Intuneでデバイスの名前を変更する」を参照してください。

デバイスの概要ページの新しい Android レポート

[デバイスの概要] ページの新しいレポートには、各デバイス管理ソリューションに登録されている Android デバイスの数が表示されます。 このグラフは、仕事用プロファイル、フル マネージド、専用、およびデバイス管理者が登録したデバイス数を示しています。 レポートを表示するには、[Intune>デバイスの>概要] を選択します。

デバイスのセキュリティ

Microsoft Edge ベースライン (プレビュー)

Microsoft Edge 設定のセキュリティ ベースライン プレビューが追加されました。

macOS 用の PKCS 証明書

macOS で PKCS 証明書を使用できるようになりました。 macOS のプロファイルの種類として PKCS 証明書を選択し、 サブジェクトとサブジェクトの別名フィールドをカスタマイズしたユーザー証明書とデバイス証明書をデプロイできます。

macOS 用の PKCS 証明書では、新しい設定である [すべてのアプリへのアクセスを許可する] もサポートされています。 この設定を使用すると、関連付けられているすべてのアプリが証明書の秘密キーにアクセスできるようにします。 この設定の詳細については、 の Apple ドキュメントを参照してください https://developer.apple.com/business/documentation/Configuration-Profile-Reference.pdf

証明書を使用して iOS モバイル デバイスをプロビジョニングするための派生資格情報

Intuneでは、認証方法としての派生資格情報の使用と、iOS デバイスの S/MIME 署名と暗号化の使用がサポートされています。 派生資格情報は、デバイスに証明書を展開するための 国立標準技術研究所 (NIST) 800-157 標準の実装です。

派生資格情報は、スマート カードなどの個人用 ID 検証 (PIV) カードまたは Common Access Card (CAC) カードの使用に依存します。 モバイル デバイスの派生資格情報を取得するには、ユーザーはポータル サイト アプリから開始し、使用するプロバイダーに固有の登録ワークフローに従います。 すべてのプロバイダーに共通なのは、コンピューター上のスマート カードを使用して派生資格情報プロバイダーに対する認証を行う必要があります。 その後、そのプロバイダーは、ユーザーのスマート カードから派生したデバイスに証明書を発行します。

Intuneでは、次の派生資格情報プロバイダーがサポートされています。

  • DISA Purebred
  • Entrust
  • Intercede

VPN、Wi-Fi、電子メールのデバイス構成プロファイルの認証方法として、派生資格情報を使用します。 また、アプリ認証、S/MIME の署名と暗号化にも使用できます。

標準の詳細については、「www.nccoe.nist.gov の派生 PIV 資格情報」を参照してください

Graph APIを使用して、SCEP 証明書の変数としてオンプレミスのユーザー プリンシパル名を指定します

Intune Graph APIを使用する場合は、SCEP 証明書のサブジェクト代替名 (SAN) の変数として onPremisesUserPrincipalName を指定できます。

'

Microsoft 365 デバイス管理

Microsoft 365 デバイス管理での管理エクスペリエンスの向上

Microsoft 365 デバイス管理 スペシャリスト ワークスペースhttps://endpoint.microsoft.comでは、次のような最新かつ効率的な管理エクスペリエンスが一般公開されました。

  • 更新されたナビゲーション: 機能を論理的にグループ化する簡略化された第 1 レベルのナビゲーションが表示されます。
  • 新しいプラットフォーム フィルター: [デバイスとアプリ] ページで、選択したプラットフォームのポリシーとアプリのみを表示する 1 つのプラットフォームを選択できます。
  • 新しいホーム ページ: 新しいホーム ページで、サービスの正常性、テナントの状態、ニュースなどをすぐに確認できます。 ' これらの機能強化の詳細については、Microsoft Tech Community Web サイトのEnterprise Mobility + Securityブログ投稿を参照してください。

Microsoft 365 デバイス管理でのエンドポイント セキュリティ ノードの概要

エンドポイント セキュリティ ノードは、 の Microsoft 365 デバイス管理 スペシャリスト ワークスペースで一般公開されました。このワークスペースでは、次のようなエンドポイントをセキュリティでhttps://endpoint.microsoft.com保護するために機能をグループ化します。

  • セキュリティ ベースライン: Microsoft によって推奨される設定と既定値の既知のグループを適用するのに役立つ設定の事前構成済みのグループ。
  • セキュリティ タスク: エンドポイントの脅威と脆弱性管理 (TVM) のMicrosoft Defenderを利用し、Intuneを使用してエンドポイントの弱点を修復します。
  • Microsoft Defender for Endpoint: セキュリティ侵害の防止に役立つ統合Microsoft Defender for Endpoint。"

これらの設定は、デバイスなどの他の適用可能なノードから引き続きアクセスでき、これらの機能にアクセスして有効にしても、現在構成されている状態は同じになります。

これらの機能強化の詳細については、Microsoft Tech Community Web サイトIntuneカスタマー サクセスに関するブログ投稿を参照してください。

2019 年 9 月

アプリ管理

マネージド Google Play プライベート LOB アプリ'

Intune、IT 管理者は、Intune コンソールに埋め込まれた iframe を使用して、プライベート Android LOB アプリをマネージド Google Play に発行できるようになりました。 以前は、IT 管理者は LOB アプリを Google の Play 発行コンソールに直接発行する必要があり、これにはいくつかの手順が必要であり、時間が必要でした。 この新機能を使用すると、最小限の手順で LOB アプリを簡単に発行でき、Intuneコンソールから離れる必要はありません。 管理者は開発者として Google に手動で登録する必要がなくなり、Google $25 の登録料金を支払う必要がなくなります。 マネージド Google Play を使用する Android Enterprise 管理シナリオでは、この機能 (仕事用プロファイル、専用、フル マネージド、および登録されていないデバイス) を利用できます。 Intuneから、[クライアント アプリ][アプリ>>の追加] の順に選択します。 次に、アプリの種類の一覧から [マネージド Google Play] を選択します。 マネージド Google Play アプリの詳細については、「Intuneを使用して Android Enterprise デバイスにマネージド Google Play アプリを追加する」を参照してください。

Windows ポータル サイト エクスペリエンス

Windows ポータル サイトが更新されています。 Windows ポータル サイト内の [アプリ] ページで複数のフィルターを使用できます。 [デバイスの詳細] ページも、ユーザー エクスペリエンスが向上して更新されています。 これらの更新プログラムをすべての顧客にロールアウト中であり、来週の終わりまでに完了する予定です。

web アプリの macOS サポート

Web 上の URL へのショートカットを追加できる Web アプリは、macOS ポータル サイトを使用して Dock にインストールできます。 エンド ユーザーは、macOS ポータル サイトの Web アプリのアプリの詳細ページから [インストール] アクションにアクセスできます。 Web リンク アプリの種類の詳細については、「アプリをMicrosoft Intuneに追加する」および「Web アプリをMicrosoft Intuneに追加する」を参照してください。

vPP アプリの macOS サポート

Apple Business Manager を使用して購入した macOS アプリは、Apple VPP トークンがIntuneで同期されるとコンソールに表示されます。 Intune コンソールを使用して、グループのデバイスとユーザー ベースのライセンスを割り当て、取り消し、再割り当てできます。 Microsoft Intuneは、会社で使用するために購入した VPP アプリを次の方法で管理するのに役立ちます。

  • アプリ ストアからのライセンス情報の報告。
  • 使用したライセンスの数を追跡します。
  • 所有しているよりも多くのアプリのコピーのインストールを防ぐのに役立ちます。

Intuneと VPP の詳細については、「Microsoft Intuneを使用してボリューム購入アプリと書籍を管理する」を参照してください。

マネージド Google Play iframe のサポート

Intuneでは、マネージド Google Play iframe を使用して、Intune コンソールで Web リンクを直接追加および管理できるようになりました。 これにより、IT 管理者は URL とアイコン グラフィックを送信し、それらのリンクを通常の Android アプリと同じようにデバイスにデプロイできます。 マネージド Google Play を使用する Android Enterprise 管理シナリオでは、この機能 (仕事用プロファイル、専用、フル マネージド、および登録されていないデバイス) を利用できます。 Intuneから、[クライアント アプリ][アプリ>>の追加] の順に選択します。 次に、アプリの種類の一覧から [マネージド Google Play] を選択します。 マネージド Google Play アプリの詳細については、「Intuneを使用して Android Enterprise デバイスにマネージド Google Play アプリを追加する」を参照してください。

Zebra デバイスに Android LOB アプリをサイレント インストールする

Android 基幹業務 (LOB) アプリを Zebra デバイスにインストールする場合、LOB アプリのダウンロードとインストールの両方を求められるのではなく、アプリをサイレント インストールできます。 Intuneで、[クライアント アプリ アプリ]>[アプリ>の追加] の順に選択します。 [ アプリの種類の選択 ] ウィンドウ で、[基幹業務アプリ] を選択します。 詳細については、「Android 基幹業務アプリをMicrosoft Intuneに追加する」を参照してください。

現時点では、LOB アプリがダウンロードされると、ユーザーのデバイスに ダウンロード成功 通知が表示されます。 通知は、通知の網掛けで [すべてクリア ] をタップすることによってのみ無視できます。 この通知の問題は今後のリリースで修正され、インストールは視覚的なインジケーターなしで完全にサイレントになります。

Intune アプリのGraph API操作の読み取りと書き込み

アプリケーションは、ユーザー資格情報なしでアプリ ID を使用して、読み取り操作と書き込み操作の両方でIntune Graph APIを呼び出すことができます。 Intune用の Microsoft Graph APIへのアクセスの詳細については、「Microsoft Graph でのIntuneの操作」を参照してください。

Intune App SDK for iOS の保護されたデータ共有と暗号化

Intune App SDK for iOS では、App Protection ポリシーによって暗号化が有効になっている場合、256 ビット暗号化キーが使用されます。 保護されたデータ共有を許可するには、すべてのアプリに SDK バージョン 8.1.1 が必要です。

Microsoft Intune アプリに対する更新

次の機能強化によって Android 用の Microsoft Intune アプリが更新されています。

  • 最も重要な操作のための下部ナビゲーションが含まれるように、レイアウトの更新と強化が行われました。
  • ユーザーのプロファイルを表示するページが追加されました。
  • ユーザーがアクション可能な通知 (例: デバイス設定の更新が必要) の表示がアプリに追加されました。
  • カスタム プッシュ通知の表示がサポートされるようになり、iOS と Android 用のポータル サイト アプリに最近追加されたサポートと連携します。 詳細は、「Intune でカスタム通知を送信する」を参照してください。 ""

iOS デバイスの場合は、ポータル サイトの登録プロセスのプライバシー画面をカスタマイズします

Markdown を使用すると、iOS 登録中にエンド ユーザーに表示されるポータル サイトのプライバシー画面をカスタマイズできます。 具体的には、組織がデバイスで表示または実行できないことの一覧をカスタマイズできます。 詳細については、「Intune ポータル サイト アプリを構成する方法」を参照してください。

デバイス構成

iOS の IKEv2 VPN プロファイルのサポート

この更新プログラムでは、IKEv2 プロトコルを使用して、iOS ネイティブ VPN クライアントの VPN プロファイルを作成できます。 IKEv2 は、デバイス構成>プロファイル> プロファイルの新しい接続の種類プロファイルの種類のプラットフォーム >VPN のプロファイルを作成>する iOSの種類接続の種類>です。

これらの VPN プロファイルはネイティブ VPN クライアントを構成するため、VPN クライアント アプリがインストールまたはマネージド デバイスにプッシュされません。 この機能では、デバイスを Intune (MDM 登録) に登録する必要があります。

構成できる現在の VPN 設定を確認するには、[ iOS デバイスで VPN 設定を構成する] に移動します。

適用対象:

  • iOS

iOS および macOS 設定のデバイス機能、デバイス制限、拡張機能プロファイルは、登録の種類別に表示されます

Intuneでは、iOS デバイスと macOS デバイス用のプロファイルを作成します (デバイス構成>プロファイル> プラットフォーム>用のプロファイル>iOS または macOSデバイスの制限、またはプロファイルの種類の拡張機能を作成します)。

この更新プログラムでは、Intune ポータルで使用できる設定は、適用する登録の種類によって分類されます。

  • iOS

    • ユーザー登録
    • デバイスの登録
    • 自動デバイス登録 (監視対象)
    • すべての登録の種類
  • macOS

    • 承認されたユーザー
    • デバイスの登録
    • 自動デバイス登録
    • すべての登録の種類

適用対象:

  • iOS

キオスク モードで実行されている監視対象 iOS デバイスの新しい音声制御設定

Intuneでは、監視対象の iOS デバイスをキオスクまたは専用デバイスとして実行するポリシーを作成できます (デバイス構成>プロファイル> プロファイルiOS for platform プロファイル>のデバイス>制限プロファイルの種類>キオスク)。

この更新プログラムでは、次の新しい設定を制御できます。

  • 音声コントロール: キオスク モード中にデバイスで音声制御を有効にします。
  • 音声コントロールの変更: ユーザーがキオスク モードの間にデバイスの音声コントロール設定を変更できるようにします。

現在の設定を表示するには、 iOS キオスクの設定に移動します。

適用対象:

  • iOS 13.0 以降

iOS および macOS デバイス上のアプリと Web サイトにシングル サインオンを使用する

この更新プログラムでは、iOS デバイスと macOS デバイスに対していくつかの新しいシングル サインオン設定があります (デバイス構成>プロファイル>プロファイルを作成する>iOS または macOS for platform プロファイル>の種類のデバイス機能)。

これらの設定を使用して、特に Kerberos 認証を使用するアプリや Web サイトのシングル サインオン エクスペリエンスを構成します。 一般的な資格情報のシングル サインオン アプリ拡張機能と、Apple の組み込みの Kerberos 拡張機能のどちらかを選択できます。

構成できる現在のデバイス機能を確認するには、 iOS デバイス機能と macOS デバイス機能 に関する ページを参照してください。

適用対象:

  • iOS 13.' 以降
  • macOS 10.15 以降

macOS 10.15 以降のデバイス上のアプリにドメインを関連付ける

macOS デバイスでは、さまざまな機能を構成し、ポリシーを使用してデバイスにこれらの機能をプッシュできます (デバイス構成>プロファイル> プロファイルプラットフォーム用>のプロファイル>macOS プロファイルの種類のデバイス機能を作成します)。 この更新プログラムでは、ドメインをアプリに関連付けることができます。 この機能は、アプリに関連する Web サイトと資格情報を共有するのに役立ち、Apple のシングル サインオン拡張機能、ユニバーサル リンク、パスワードオートフィルで使用できます。

構成できる現在の機能を確認するには、Intuneの macOS デバイス機能設定に移動します。

適用対象:

  • macOS 10.15 以降

iOS 監視対象デバイスでアプリを表示または非表示にする場合は、iTunes アプリ ストア URL で "iTunes" と "a'ps" を使用します

Intuneでは、監視対象の iOS デバイスでアプリを表示または非表示にするポリシーを作成できます (デバイス構成>プロファイル> プラットフォーム>用プロファイルiOSプロファイル>を作成する プロファイルの種類>のデバイス制限アプリの表示または非表示を切り替えます)。

iTunes App Store の URL (など https://itunes.apple.com/us/app/work-folders/id950878067?mt=8) を入力できます。 この更新プログラムでは、 と itunes の両方appsを URL で次のように使用できます。

  • https://itunes.apple.com/us/app/work-folders/id950878067?mt=8
  • https://apps.apple.com/us/app/work-folders/id950878067?mt=8

これらの設定の詳細については、「アプリを 表示または非表示にする」を参照してください。

適用対象:

  • iOS

Windows 10コンプライアンス ポリシーのパスワードの種類の値がより明確になり、CSP と一致します

Windows 10デバイスでは、特定のパスワード機能を必要とするコンプライアンス ポリシー (デバイス コンプライアンス>ポリシーの作成ポリシー>>Windows 10以降のプラットフォーム>システム セキュリティ) を作成できます。 この更新プログラムでは、次の操作を行います。

  • [パスワードの種類] の値が明確になり、DeviceLock/英数字DevicePasswordRequired CSP と一致するように更新されます。
  • [パスワードの有効期限 (日数)] 設定が更新され、1 日から 730 日の値が許可されます。

Windows 10コンプライアンス設定の詳細については、「Windows 10以降の設定」を参照して、デバイスを準拠または非準拠としてマークします

適用対象:

  • Windows 10 以降

Microsoft Exchange オンプレミス アクセスを構成するための UI を更新しました

Microsoft Exchange オンプレミス アクセスへのアクセスを構成するコンソールが更新されました。 Exchange オンプレミス アクセスのすべての構成が、Exchange オンプレミスのアクセス 制御を有効にするコンソールの同じペインで使用できるようになりました。

Android Enterprise 仕事用プロファイル デバイスのホーム画面へのアプリ ウィジェットの追加を許可または制限する

Android Enterprise デバイスでは、仕事用プロファイルで機能を構成できます (デバイス構成>プロファイル> プロファイルの作成プロファイル>Android Enterprise for platform >仕事用プロファイルのみ > プロファイルの種類のデバイス制限)。 この更新プログラムでは、ユーザーが仕事用プロファイル アプリによって公開されているウィジェットをデバイスのホーム画面に追加できます。

構成できる設定を確認するには、Android Enterprise デバイスの設定に移動して、Intuneを使用して機能を許可または制限します。

適用対象:

  • Android Enterprise の作業プロフィール

デバイスの登録

新しいテナントは既定で Android デバイス管理者の管理から離れる

Android のデバイス管理者機能は、Android Enterprise に置き換えられます。 そのため、代わりに新しい登録に Android Enterprise を使用することをお勧めします。 今後の更新では、新しいテナントは、デバイス管理者管理を使用するために、Android 登録の次の前提条件の手順を完了する必要があります。 [デバイスの登録] [Android の登録>] Intune [>個人および企業所有のデバイス登録>] に移動し、[デバイス管理者を使用してデバイスを管理する] 権限>を持ちます。

既存のテナントでは、環境に変更はありません。

Intuneの Android デバイス管理者の詳細については、「Android デバイス管理者の登録」を参照してください。

プロファイルに関連付けられている DEP デバイスの一覧

プロファイルに関連付けられている Apple 自動デバイス登録プログラム (DEP) デバイスのページ一覧が表示されるようになりました。 リスト内の任意のページからリストを検索できます。 一覧を表示するには、Intune>Device enrollment>Apple enrollment>program tokens> select a token >Profiles> choose a profile Assigned devices ([モニター] の下にある) [プロファイル>] [割り当て済みデバイス] の順に移動します。

プレビューでの iOS ユーザー登録

Apple の iOS 13.1 リリースには、iOS デバイスの軽量管理の新しい形式であるユーザー登録が含まれています。 個人所有デバイスのデバイス登録または自動デバイス登録 (旧称デバイス登録プログラム) の代わりに使用できます。 Intuneのプレビューでは、次の機能セットがサポートされています。

  • ユーザー グループへのターゲット ユーザー登録。
  • エンド ユーザーは、デバイスを登録するときに、より軽量なユーザー登録またはより強力なデバイス登録を選択できます。

2019 年 9 月 24 日から iOS 13.1 のリリース以降、これらの更新プログラムはすべてのお客様にロールアウト中であり、来週の終わりまでに完了する予定です。

適用対象:

  • iOS 13.1 以降

デバイス管理

その他の Android フル マネージド サポート

Android フル マネージド デバイスの次のサポートが追加されました。

  • フル マネージド Android の SCEP 証明書は、デバイス所有者として管理されているデバイスでの証明書認証に使用できます。 SCEP 証明書は、Work Profile デバイスで既にサポートされています。 デバイス所有者の SCEP 証明書を使用すると、次のことが可能になります。
    • Android Enterprise の [DO] セクションで SCEP プロファイルを作成する
    • SCEP 証明書を認証用の DO Wi-Fi プロファイルにリンクする
    • 認証のために SCEP 証明書を DO VPN プロファイルにリンクする
    • 認証用の DO Email プロファイルに SCEP 証明書をリンクする (AppConfig 経由)
  • システム アプリは、Android Enterprise デバイスでサポートされています。 Intuneで、[クライアント アプリ] [アプリ>の追加] を選択して、Android Enterprise システム アプリ>を追加します。 [ アプリの種類 ] の一覧 で、[Android Enterprise システム アプリ] を選択します。 詳細については、「Android Enterprise システム アプリをMicrosoft Intuneに追加する」を参照してください。
  • デバイス コンプライアンス>Android Enterprise>デバイス所有者では、Google SafetyNet 構成証明レベルを設定するコンプライアンス ポリシーを作成できます。
  • Android Enterprise のフル マネージド デバイスでは、モバイル脅威防御プロバイダーがサポートされています。 [デバイス コンプライアンス>] [Android エンタープライズ>デバイス所有者] で、許容される脅威レベルを選択できます。 Intuneを使用してデバイスを準拠または非準拠としてマークする Android Enterprise 設定には、現在の設定が一覧表示されます。
  • Android Enterprise のフル マネージド デバイスでは、Microsoft Launcher アプリをアプリ構成ポリシーを使用して構成し、フル マネージド デバイスで標準化されたエンド ユーザー エクスペリエンスを実現できるようになりました。 Microsoft Launcher アプリを使用して、Android デバイスをカスタマイズできます。 アプリを Microsoft アカウントまたは職場/学校アカウントと共に使用すると、個人用設定されたフィードで予定表、ドキュメント、最近のアクティビティにアクセスできます。

この更新プログラムにより、Android Enterprise フル マネージドのIntuneサポートが一般公開されたことをお知らせします。

適用対象:

  • Android Enterprise のフル マネージド デバイス

1 つのデバイスにカスタム通知を送信する

1 つのデバイスを選択し、リモート デバイス アクションを使用して、 そのデバイスにのみカスタム通知を送信できるようになりました。

ユーザー登録を使用して登録されている iOS デバイスでは、[ワイプ] アクションと [パスコードのリセット] アクションを使用できません

ユーザー登録は、新しい種類の Apple デバイス登録です。 ユーザー登録を使用してデバイスを登録する場合、ワイプとパスコードリセットのリモートアクションはそのようなデバイスでは使用できません。

iOS 13 および macOS Catalina デバイスのIntuneサポート

Intuneでは、iOS 13 デバイスと macOS Catalina デバイスの両方の管理がサポートされるようになりました。 詳細については、iOS 13 および iPadOS のMicrosoft Intune サポートに関するブログ記事を参照してください。

iPadOS および iOS 13.1 デバイスのIntuneサポート

Intuneでは、iPadOS デバイスと iOS 13.1 デバイスの両方の管理がサポートされるようになりました。 詳細については、このブログ投稿を参照してください。

デバイスのセキュリティ

クライアント 駆動型の回復パスワードローテーションに対する BitLocker のサポート

Intune Endpoint Protection 設定を使用して、Windows バージョン 1909 以降を実行するデバイスで BitLocker のクライアント駆動型回復パスワード ローテーションを構成します。

この設定は、OS ドライブの回復 (bootmgr または WinRE を使用) と固定データ ドライブでの回復パスワードのロック解除後に、クライアント主導の回復パスワード更新を開始します。 この設定では、使用された特定の回復パスワードが更新され、ボリューム上の他の未使用のパスワードは変更されません。 詳細については、 ConfigureRecoveryPasswordRotation の BitLocker CSP ドキュメントを参照してください。

Windows Defender ウイルス対策の改ざん防止

Intuneを使用して、Windows Defender ウイルス対策の改ざん防止を管理します。 Windows 10 エンドポイント保護にデバイス構成プロファイルを使用する場合、Microsoft Defender セキュリティ センター グループに改ざん防止の設定が表示されます。 [改ざん防止] を [有効] に設定してテンパー保護の制限をオンにしたり、[ 無効] を設定してオフにしたり、[デバイスの現在の構成をそのままにするように 構成されていない ] を設定したりできます。

改ざん防止の詳細については、Windows ドキュメントの「 改ざん防止によるセキュリティ設定の変更を防止 する」を参照してください。

Windows Defender ファイアウォールの詳細設定が一般公開されました

デバイス構成プロファイルの一部として構成するエンドポイント保護のWindows Defenderカスタム ファイアウォール規則は、パブリック プレビューから外れ、一般公開 (GA) されています。 これらの規則を使用して、アプリケーション、ネットワーク アドレス、およびポートへの受信と送信の動作を指定できます。 これらのルールは、パブリック プレビューとして 7 月にリリースされました。

監視とトラブルシューティング

Intune ユーザー インターフェイスの更新 – テナントの状態ダッシュボード

[テナントの状態] ダッシュボードのユーザー インターフェイスが、Azure ユーザー インターフェイスのスタイルに合わせて更新されました。 詳細については、「テナントの 状態」を参照してください。

役割ベースのアクセス制御

スコープ タグで使用条件ポリシーがサポートされるようになりました

スコープ タグを利用規約ポリシーに割り当てることができるようになりました。 これを行うには、Intune>[デバイス登録>の使用条件>] に移動し、[プロパティ>] [スコープ] タグでスコープ タグ>を選択します>。

2019 年 8 月

アプリ管理

デバイスの登録解除時の iOS アプリのアンインストール動作を制御する

管理者は、デバイスがユーザーまたはデバイス グループ レベルで登録解除されたときに、アプリを削除するか、デバイスに保持するかを管理できます。

ビジネス向け Microsoft Store アプリを分類する

アプリビジネス向け Microsoft Store分類できます。 これを行うには、[Intune>Client apps Apps>ビジネス向け Microsoft Store> アプリ>情報>カテゴリを選択します。 ドロップダウン メニューで、カテゴリを割り当てます。

Microsoft Intune アプリ ユーザー向けのカスタマイズされた通知

Android 用の Microsoft Intune アプリでは、カスタム プッシュ通知の表示がサポートされるようになりました。これは、iOS および Android 用の ポータル サイト アプリで最近追加されたサポートに合わせて調整されています。 詳細は、「Intune でカスタム通知を送信する」を参照してください。

デバイス構成

Windows 10 以降の管理テンプレートを使用して Microsoft Edge 設定を構成する

Windows 10以降のデバイスでは、管理用テンプレートを作成して、Intuneでグループ ポリシー設定を構成できます。 この更新プログラムでは、Microsoft Edge バージョン 77 以降に適用される設定を構成できます。

管理用テンプレートの詳細については、「Windows 10 テンプレートを使用してIntuneでグループ ポリシー設定を構成する」を参照してください。

適用対象:

  • Windows 10 以降 (Windows RS4 以降)

マルチアプリ モードでの Android Enterprise 専用デバイスの新機能

Intuneでは、Android Enterprise 専用デバイスでキオスク スタイルのエクスペリエンスの機能と設定を制御できます (デバイス構成>プロファイル> プラットフォームのAndroid Enterprise作成デバイス>>所有者のみ、プロファイルの種類に関するデバイスの制限)。

この更新プログラムでは、次の機能が追加されています。

  • 専用デバイス>マルチアプリ: 仮想ホーム ボタン は、デバイス上でスワイプするか、画面に浮動してユーザーが移動できるようにすることで表示できます。
  • 専用デバイス>マルチアプリ: 懐中電灯アクセス は、ユーザーが懐中電灯を使用することができます。
  • 専用デバイス>マルチアプリ: メディア ボリューム コントロール を使用すると、ユーザーはスライダーを使用してデバイスのメディア ボリュームを制御できます。
  • 専用デバイス>マルチアプリ: スクリーンセーバーを有効にし、カスタムイメージをアップロードし、スクリーンセーバーが表示されるタイミングを制御します。

現在の設定を確認するには、Android Enterprise デバイスの設定に移動して、Intuneを使用して機能を許可または制限します。

適用対象:

  • Android Enterprise 専用デバイス

Android Enterprise フル マネージド デバイスの新しいアプリと構成プロファイル

プロファイルを使用して、ANDROID Enterprise デバイス所有者 (フル マネージド) デバイスに VPN、電子メール、Wi-Fi設定を適用する設定を構成できます。 この更新プログラムでは、次のことができます。

重要

この機能により、ユーザーは VPN、Wi-Fi、および電子メール プロファイルのユーザー名とパスワードで認証されます。 現在、証明書ベースの認証は使用できません。

適用対象:

  • Android Enterprise デバイス所有者 (フル マネージド)

ユーザーが macOS デバイスにサインインするときに開くアプリ、ファイル、ドキュメント、およびフォルダーを制御する

macOS デバイスで機能を有効にして構成できます (デバイス構成>プロファイル> プロファイル プラットフォーム>用のプロファイル>macOS プロファイルの種類のデバイス機能を作成します)。

この更新プログラムでは、ユーザーが登録済みデバイスにサインインするときに開くアプリ、ファイル、ドキュメント、フォルダーを制御する新しい [ログイン項目] 設定があります。

現在の設定を確認するには、Intuneの macOS デバイス機能の設定に移動します。

適用対象:

  • macOS

期限は、Windows Update リングの Engaged 再起動設定を置き換えます

最近の Windows サービスの変更に合わせて、IntuneのWindows 10更新リングで期限の設定がサポートされるようになりました。 期限は、 デバイスが機能更新プログラムとセキュリティ更新プログラムをインストールするタイミングを決定します。 1903 以降Windows 10実行されているデバイスでは、期限、有効な再起動の構成よりも優先されます。 将来的には、以前のバージョンのWindows 10でも、期限有効な再起動よりも優先されます。

期限を構成しない場合、デバイスは引き続き有効な再起動設定を使用しますが、Intuneは、今後の更新プログラムで有効な再起動設定のサポートを非推奨にします。

すべてのWindows 10デバイスの期限を使用することを計画します。 期限の設定が完了したら、エンゲージされた再起動のIntune構成を [未構成] に変更できます。 [未構成] に設定すると、Intuneはデバイスでの設定の管理を停止しますが、デバイスから設定の最後の構成は削除されません。 したがって、エンゲージされた再起動に設定された最後の構成は、Intune以外の方法で設定が変更されるまで、デバイス上でアクティブであり、使用中のままです。 その後、デバイスのバージョンの Windows が変更されたとき、または期限Intuneサポートがデバイスの Windows バージョンに拡張されると、デバイスは新しい設定の使用を開始します。これは既に設定されています。

複数のMicrosoft Intune証明書コネクタのサポート

Intuneでは、PKCS 操作用の複数のMicrosoft Intune証明書コネクタのインストールと使用がサポートされるようになりました。 この変更により、コネクタの負荷分散と高可用性がサポートされます。 各コネクタ インスタンスは、Intuneからの証明書要求を処理できます。 1 つのコネクタが使用できない場合、他のコネクタは引き続き要求を処理します。

複数のコネクタを使用するには、最新バージョンのコネクタ ソフトウェアにアップグレードする必要はありません。

iOS および macOS デバイスの機能を制限するための新しい設定と既存の設定の変更

プロファイルを作成して、iOS と macOS を実行しているデバイスの設定を制限できます (デバイス構成>プロファイル> プラットフォームの種類>のiOS または macOSプロファイル>を作成するデバイスの制限)。 この更新プログラムには、次の機能が含まれています。

  • macOS>デバイスの>制限クラウドとストレージでは、新しいハンドオフ設定を使用して、ユーザーが 1 つの macOS デバイスで作業を開始するのをブロックし、別の macOS または iOS デバイスで作業を続けます。

    現在の設定を表示するには、macOS デバイスの設定に移動して、Intuneを使用して機能を許可または制限します。

  • iOS>デバイスの制限には、いくつかの変更があります。

    • 組み込みのアプリ>iPhone を見つける (監視モードのみ): アプリの検索機能でこの機能をブロックする新しい設定。
    • 組み込みのアプリ>フレンドの検索 (監視のみ): アプリの検索機能でこの機能をブロックする新しい設定。 ​
    • ワイヤレス>Wi-Fi状態の変更 (監視のみ): ユーザーがデバイスでWi-Fiをオンまたはオフにできないようにする新しい設定。
    • キーボードと辞書>QuickPath (監視のみ): QuickPath 機能をブロックする新しい設定。
    • クラウドとストレージ: アクティビティ継続 の名前が Handoff に変更されます。

    現在の設定を表示するには、iOS デバイスの設定に移動して、Intuneを使用して機能を許可または制限します。

適用対象:

  • macOS 10.15 以降
  • iOS 13 以降

教師なし iOS デバイスの制限の一部は、iOS 13.0 リリースでは監視専用になります

この更新プログラムでは、iOS 13.0 リリースの監視対象のみのデバイスに一部の設定が適用されます。 これらの設定が構成され、iOS 13.0 リリースより前の教師なしデバイスに割り当てられている場合、その設定は引き続きそれらの教師なしデバイスに適用されます。 また、デバイスが iOS 13.0 にアップグレードされた後も適用されます。 これらの制限は、バックアップおよび復元される教師なしデバイスで削除されます。

これには、以下の設定が含まれます。

  • アプリ ストア、ドキュメント表示、ゲーム
    • アプリ ストア
    • 明示的な iTunes、音楽、ポッドキャスト、またはニュース コンテンツ
    • ゲーム センターのフレンドの追加
    • マルチプレイヤー ゲーム
  • 組み込みアプリ
    • カメラ
      • FaceTime
    • Safari
      • オートフィル
  • クラウドとストレージ
    • iCloud にバックアップする
    • iCloud ドキュメントの同期をブロックする
    • iCloud キーチェーンの同期をブロックする

現在の設定を表示するには、iOS デバイスの設定に移動して、Intuneを使用して機能を許可または制限します。

適用対象:

  • iOS 13.0 以降

macOS FileVault 暗号化のデバイスの状態が改善されました

macOS デバイスでの FileVault 暗号化に関するデバイス の状態メッセージ がいくつか更新されました。

レポートの一部のWindows Defenderウイルス対策スキャン設定に失敗状態が表示される

Intuneでは、Windows Defenderウイルス対策を使用してWindows 10 デバイスをスキャンするポリシーを作成できます (デバイス構成>プロファイルプロファイル>の作成>Windows 10以降のプロファイルの種類>に関するデバイス>制限Windows Defenderウイルス対策)。 [毎日のクイック スキャンを実行する時間] と [レポートを実行するシステム スキャンの種類] には、実際に成功状態である場合に失敗した状態が表示されます。

この更新プログラムでは、この動作は修正されています。 そのため、[ 毎日のクイック スキャンを実行する時間 ] と [ 設定を実行するシステム スキャンの種類 ] には、スキャンが正常に完了した場合の成功状態が表示され、設定の適用に失敗した場合に失敗した状態が表示されます。

Windows Defenderウイルス対策設定の詳細については、「Windows 10 (以降の) デバイス設定」を参照して、Intuneを使用して機能を許可または制限します。

Zebra Technologies は、Android Enterprise デバイス上の OEMConfig でサポートされている OEM です

Intuneでは、デバイス構成プロファイルを作成し、OEMConfig を使用して Android Enterprise デバイスに設定を適用できます (デバイス構成>プロファイル プロファイル>を作成>するプロファイルAndroid Enterprise for platform OEMConfig for profile > type)。

この更新プログラムでは、Zebra Technologies は OEMConfig でサポートされているオリジナル機器メーカー (OEM) です。 OEMConfig の詳細については、「OEMConfig で Android Enterprise デバイスを使用して管理する」を参照してください。

適用対象:

  • Android Enterprise

デバイスの登録

既定のスコープ タグ

新しい組み込みの既定のスコープ タグを使用できるようになりました。 スコープ タグをサポートするすべてのタグ付けされていないIntune オブジェクトは、既定のスコープ タグに自動的に割り当てられます。 既定のスコープ タグは、現在の管理者エクスペリエンスとのパリティを維持するために、既存のすべてのロールの割り当てに追加されます。 既定のスコープ タグを持つオブジェクトIntune管理者に表示させたくない場合は、ロールの割り当てから既定のスコープ タグを削除します。 この機能は、Configuration Managerのセキュリティ スコープ機能に似ています。 詳細については、「 分散 IT に RBAC タグとスコープ タグを使用する」を参照してください。

Android 登録デバイス管理者のサポート

Android デバイス管理者登録オプションが Android 登録ページに追加されました (Intune>Device 登録Android 登録>)。 Android デバイス管理者は、すべてのテナントに対して引き続き既定で有効になります。 詳細については、「 Android デバイス管理者の登録」を参照してください。

セットアップ アシスタントで他の画面をスキップする

デバイス登録プログラム プロファイルを設定して、次のセットアップ アシスタント画面をスキップできます。

  • iOS の場合
    • 外観モード
    • 文字入力および音声入力の言語
    • 優先する言語
    • デバイス間の移行
  • macOS の場合
    • スクリーン タイム
    • タッチ ID の設定

セットアップ アシスタントのカスタマイズの詳細については、「 iOS 用の Apple 登録プロファイルを作成する 」および「 macOS 用 Apple 登録プロファイルを作成する 」を参照してください。

Autopilot デバイス CSV アップロード プロセスにユーザー列を追加する

Autopilot デバイスの CSV アップロードにユーザー列を追加できるようになりました。 これにより、CSV のインポート時にユーザーを一括で割り当てることができます。 詳細については、「Windows Autopilot を使用してIntuneに Windows デバイスを登録する」を参照してください。

デバイス管理

デバイスの自動クリーンアップ時間制限を 30 日に設定する

デバイスの自動クリーンアップの時間制限は、前回のサインイン後 30 日 (以前の制限の 90 日ではなく) に設定できます。 これを行うには、Intune>Devices>セットアップ>デバイスクリーンアップルールに移動します。

Android デバイスの [ハードウェア] ページに含まれるビルド番号

各 Android デバイスの [ハードウェア] ページの新しいエントリには、デバイスのオペレーティング システムのビルド番号が含まれています。 詳細については、「Intuneでデバイスの詳細を表示する」を参照してください。

2019 年 7 月

アプリ管理

ユーザーとグループのカスタマイズされた通知

ポータル サイト アプリケーションから、Intuneで管理する iOS および Android デバイス上のユーザーにカスタム プッシュ通知を送信します。 これらのモバイルプッシュ通知は、自由なテキストで高度にカスタマイズ可能であり、任意の目的のために使用することができます。 組織内の別のユーザー グループを対象にすることができます。 詳細については、「 カスタム通知」を参照してください。

Google のデバイス ポリシー コントローラー アプリ

マネージド ホーム スクリーン アプリから Google の Android デバイス ポリシー アプリにアクセスできるようになりました。 マネージド ホーム スクリーン アプリは、マルチアプリ キオスク モードを使用して android Enterprise (AE) 専用デバイスとしてIntuneに登録されているデバイスに使用されるカスタム起動ツールです。 Android デバイス ポリシー アプリにアクセスしたり、Android デバイス ポリシー アプリにユーザーを誘導したりして、サポートとデバッグを行うことができます。 この起動機能は、デバイスがマネージド ホーム スクリーンに登録してロックした時点で使用できます。 この機能を使用するために追加のインストールは必要ありません。

iOS および Android デバイスの Outlook 保護設定

これで、デバイス登録なしで簡単なIntune管理コントロールを使用して、Outlook for iOS と Android の一般的なアプリとデータ保護の両方の構成設定を構成できるようになりました。 一般的なアプリ構成設定は、登録されているデバイスで Outlook for iOS と Android を管理するときに管理者が有効にできる設定とパリティを提供します。 Outlook の設定の詳細については、「 Outlook for iOS および Android アプリの構成設定の展開」を参照してください。

マネージド ホーム スクリーンと管理設定のアイコン

マネージド ホーム スクリーン アプリ アイコンと [管理設定] アイコンが更新されました。 マネージド ホーム スクリーン アプリは、Intuneに Android Enterprise (AE) 専用デバイスとして登録され、マルチアプリ キオスク モードで実行されているデバイスでのみ使用されます。 マネージド ホーム スクリーン アプリの詳細については、「Android Enterprise 用の Microsoft マネージド ホーム スクリーン アプリを構成する」を参照してください。

Android Enterprise 専用デバイスの Android デバイス ポリシー

Android デバイス ポリシー アプリケーションには、マネージド ホーム スクリーン アプリのデバッグ画面からアクセスできます。 マネージド ホーム スクリーン アプリは、Intuneに Android Enterprise (AE) 専用デバイスとして登録され、マルチアプリ キオスク モードで実行されているデバイスでのみ使用されます。 詳細については、「Android Enterprise 用の Microsoft マネージド ホーム スクリーン アプリを構成する」を参照してください。

iOS ポータル サイト更新プログラム

iOS アプリ管理プロンプトの会社名は、現在の "i.manage.microsoft.com" テキストに置き換えられます。 たとえば、ユーザーがポータル サイトから iOS アプリをインストールしようとしたときや、ユーザーがアプリの管理を許可した場合、ユーザーには "i.manage.microsoft.com" ではなく会社名が表示されます。 これは、今後数日間、すべての顧客にロールアウトされます。

Android Enterprise デバイス上の Azure AD と APP

フル マネージド Android Enterprise デバイスをオンボードすると、ユーザーは新しいデバイスまたは出荷時のリセット デバイスの初期セットアップ中に Azure Active Directory (Azure AD) に登録されるようになります。 以前は、フル マネージド デバイスの場合、セットアップが完了した後、ユーザーは azure AD 登録を開始するために、Microsoft Intune アプリを手動で起動する必要がありました。 ユーザーが初期セットアップ後にデバイスのホーム ページに移動すると、デバイスが登録され、登録されます。

Azure AD の更新プログラムに加えて、Intuneアプリ保護ポリシー (APP) がフル マネージド Android Enterprise デバイスでサポートされるようになりました。 この機能は、ロールアウト時に使用できるようになります。詳細については、「Intuneを使用して Android Enterprise デバイスにマネージド Google Play アプリを追加する」を参照してください。

デバイス構成

Windows 10デバイス構成プロファイルを作成するときに "適用規則" を使用する

Windows 10デバイス構成プロファイル (デバイス構成>プロファイル>の作成プロファイル>Windows 10プラットフォーム>の適用性ルール) を作成します。 この更新プログラムでは、プロファイルが特定のエディションまたは特定のバージョンにのみ適用されるように 、適用規則 を作成できます。 たとえば、一部の BitLocker 設定を有効にするプロファイルを作成します。 プロファイルを追加したら、適用規則を使用して、プロファイルがWindows 10 Enterprise実行されているデバイスにのみ適用されるようにします。

適用性ルールを追加するには、「適用 ルール」を参照してください。

適用対象: Windows 10以降

トークンを使用して、iOS デバイスと macOS デバイスのカスタム プロファイルにデバイス固有の情報を追加する

iOS および macOS デバイスでカスタム プロファイルを使用して、Intuneに組み込まれていない設定と機能を構成できます (デバイス構成>プロファイル>プロファイルを作成する>iOS または macOS for platform >Custom for profile type)。 この更新プログラムでは、ファイルにトークンを追加して .mobileconfig 、デバイス固有の情報を追加できます。 たとえば、デバイスのシリアル番号を表示するために構成ファイルにを追加 Serial Number: {{serialnumber}} できます。

カスタム プロファイルを作成するには、「 iOS カスタム設定 」または 「macOS カスタム設定」を参照してください。

適用対象:

  • iOS
  • macOS

Android Enterprise 用の OEMConfig プロファイルを作成するときの新しい構成デザイナー

Intuneでは、OEMConfig アプリを使用するデバイス構成プロファイルを作成できます (デバイス構成>プロファイル > プロファイルの種類に対して Android Enterprise for platform > OEMConfig を作成>します)。 これを行うと、JSON エディターが開き、テンプレートと値を変更できます。

この更新プログラムには、タイトル、説明など、アプリに埋め込まれた詳細を表示するユーザー エクスペリエンスが向上した構成デザイナーが含まれています。 JSON エディターは引き続き使用でき、構成デザイナーで行った変更が表示されます。

現在の設定を確認するには、「 OEMConfig を使用して Android Enterprise デバイスを使用して管理する」を参照してください。

適用対象: Android Enterprise

Windows Helloを構成するための UI を更新しました

Windows Hello for Businessを使用するようにIntuneを構成するコンソールが更新されました。 すべての構成設定が、Windows Helloのサポートを有効にするコンソールの同じペインで使用できるようになりました。

PowerShell SDK のIntune

Microsoft Graph を通じてIntune API をサポートする Intune PowerShell SDK がバージョン 6.1907.1.0 に更新されました。 SDK では、次のものがサポートされるようになりました。

  • Azure Automationで動作します。
  • アプリのみの認証読み取り操作をサポートします。
  • エイリアスとしてフレンドリ短縮名をサポートします。
  • PowerShell の名前付け規則に準拠しています。 具体的には、 PSCredential (コマンドレットの) パラメーターの Connect-MSGraph 名前が に Credential変更されました。
  • コマンドレットを使用する場合のヘッダーの値の Content-Type 手動指定を Invoke-MSGraphRequest サポートします。

詳細については、「PowerShell SDK for Microsoft Intune Graph API」を参照してください。

macOS 用 FileVault を管理する

Intuneを使用して、macOS デバイスの FileVault キー暗号化を管理できます。 デバイスを暗号化するには、エンドポイント保護デバイス構成プロファイルを使用します。

FileVault のサポートには、暗号化されていないデバイスの暗号化、個人用回復キーのエスクロー、個人暗号化キーの自動または手動ローテーション、および企業デバイスのキー取得が含まれます。 エンド ユーザーは、ポータル サイト Web サイトを使用して、暗号化されたデバイスの個人用回復キーを取得することもできます。

また、暗号化レポートを拡張して、BitLocker の FileVault に関する情報 と共に情報を含め、すべてのデバイス暗号化の詳細を 1 か所で表示できるようにしました。

管理用テンプレートの新しい Office、Windows、OneDrive の設定Windows 10

Intuneで、オンプレミスのグループ ポリシー管理 (デバイス管理>プロファイル>の作成プロファイル>Windows 10以降のプラットフォーム>のプロファイルの種類の管理テンプレート) を模倣する管理テンプレートを作成できます。

この更新プログラムには、テンプレートに追加できる Office、Windows、OneDrive の設定がさらに含まれています。 これらの新しい設定を使用すると、100% クラウドベースの 2500 を超える設定を構成できるようになりました。

この機能の詳細については、「Windows 10 テンプレートを使用してIntuneでグループ ポリシー設定を構成する」を参照してください。

適用対象: Windows 10以降

デバイスの登録

登録制限の更新

Android Enterprise の仕事用プロファイルが既定で許可されるように、新しいテナントの登録制限が更新されました。 既存のテナントには変更はありません。 Android Enterprise 仕事用プロファイルを使用するには、引き続き Intune アカウントをマネージド Google Play アカウントに接続する必要があります

Apple 登録と登録の制限に関する UI 更新プログラム

次のどちらのプロセスでも、ウィザード スタイルのユーザー インターフェイスが使用されます。

Android Q デバイスの企業デバイス識別子の事前構成の処理

Android Q (v10) では、レガシマネージド (デバイス管理者) Android デバイスの MDM エージェントがデバイス識別子情報を収集する機能が削除されます。 Intuneには、IT 管理者がデバイスのシリアル番号または IMEI の一覧を事前に構成して、これらのデバイスを企業所有として自動的にタグ付けできるようにする機能があります。 この機能は、デバイス管理者が管理する Android Q デバイスでは機能しません。 デバイスのシリアル番号または IMEI がアップロードされているかどうかに関係なく、Intune登録中は常に個人用と見なされます。 登録後に所有権を会社に手動で切り替えることができます。 これは新しい登録にのみ影響し、既存の登録済みデバイスは影響を受けません。 仕事用プロファイルで管理されている Android デバイスは、この変更の影響を受けず、現在と同様に動作し続けます。 さらに、デバイス管理者として登録されている Android Q デバイスは、デバイスのプロパティとして、Intune コンソールでシリアル番号または IMEI を報告できなくなります。

Android Enterprise 登録 (仕事用プロファイル、専用デバイス、フル マネージド デバイス) のアイコンが変更されました

Android Enterprise 登録プロファイルのアイコンが変更されました。 新しいアイコンを表示するには、[登録プロファイル] のIntune> [Android 登録>>確認] に移動します。

Windows 診断データ収集の変更

Windows 10 バージョン 1903 以降を実行しているデバイスの診断データ収集の既定値が変更されました。 Windows 10 1903 以降では、診断データ収集は既定で有効になっています。 Windows 診断データは、デバイスと Windows および関連ソフトウェアの動作に関する Windows デバイスからの重要な技術データです。 詳細については、「 組織内の Windows 診断データを構成する」を参照してください。 Autopilot デバイスは、 System/AllowTelemetry を使用して Autopilot プロファイルで特に設定されていない限り、"Full" テレメトリにもオプトインされます。

Windows Autopilot リセットは、デバイスのプライマリ ユーザーを削除します

AutoPilot リセットがデバイスで使用されると、デバイスのプライマリ ユーザーが削除されます。 リセット後に初めてサインインしたユーザーがプライマリ ユーザーとして設定されます。 この機能は、今後数日間、すべての顧客にロールアウトされます。

デバイス管理

デバイスの場所を改善する

[ デバイスの検索 ] アクションを使用して、デバイスの正確な座標を拡大できます。 紛失した iOS デバイスの検索の詳細については、「 紛失した iOS デバイスを検索する」を参照してください。

デバイスのセキュリティ

Windows Defender ファイアウォールの詳細設定 (パブリック プレビュー)

Intuneを使用して、Windows 10のエンドポイント保護用のデバイス構成プロファイルの一部としてカスタム ファイアウォール規則を管理します。 規則では、アプリケーション、ネットワーク アドレス、およびポートに対する受信と送信の動作を指定できます。

セキュリティ ベースラインを管理するための UI を更新しました

セキュリティ ベースラインのIntune コンソールの作成と編集のエクスペリエンスが更新されました。 変更内容には、次のものが含まれます。

1 つのブレードに圧縮された、よりシンプルなウィザード スタイルの形式。 1 つのブレード内。 この新しい設計では、IT 担当者が複数の個別のペインにドリルダウンする必要があるブレードのスプロールが不要になります。
後でベースラインを割り当てる必要なく、作成および編集エクスペリエンスの一部として割り当てを作成できるようになりました。 新しいベースラインを作成する前と、既存のベースラインを編集する前に表示できる設定の概要が追加されました。 編集時に、サマリーには、編集中のプロパティの 1 つのカテゴリ内で設定された項目の一覧のみが表示されます。

2019 年 6 月

アプリ管理

Android および iOS デバイス上のアプリ保護ポリシー (APP) Intune、組織の Web リンクを、Intune Managed Browserまたは Microsoft Edge 以外の特定のブラウザーに転送できるようになりました。 APP の詳細については、「 アプリ保護ポリシーとは」を参照してください。

[すべてのアプリ] ページで、オンライン/オフラインのビジネス向け Microsoft Storeアプリが識別されます

[すべてのアプリ] ページに、ビジネス向け Microsoft Store (MSFB) アプリをオンラインアプリまたはオフライン アプリとして識別するためのラベル付けが含まれるようになりました。 各 MSFB アプリに 、オンライン または オフラインのサフィックスが含まれるようになりました。 アプリの詳細ページには、 ライセンスの種類デバイス コンテキストのインストール (オフライン ライセンスアプリのみ) 情報も含まれています。

Windows 共有デバイス上のアプリをポータル サイトする

ユーザーは、Windows 共有デバイス上のポータル サイト アプリにアクセスできるようになりました。 エンド ユーザーには、デバイス タイルに [共有 ] ラベルが表示されます。 これは、Windows ポータル サイト アプリ バージョン 10.3.45609.0 以降に適用されます。

新しいポータル サイト Web ページにインストールされたすべてのアプリが表示

ポータル サイト Web サイトの新しい [インストール済みアプリ] ページに、ユーザーのデバイスにインストールされているすべてのマネージド アプリ (必須および使用可能の両方) が一覧表示されます。 割り当ての種類だけでなく、アプリの発行元、発行日、現在のインストール状態も表示されます。 ユーザーに対して必須または使用可能とされているアプリがない場合は、会社アプリがインストールされていないというメッセージが表示されます。 Web 上で新しいページを参照するには、ポータル サイト Web サイトに移動して、[インストール済みアプリ] をクリックします。

新しいビューでデバイスにインストールされているすべてのマネージド アプリが表示可能に

Windows 用ポータル サイトのアプリに、ユーザーのデバイスにインストールされているすべてのマネージド アプリ (必須および使用可能の両方) が一覧表示されるようになりました。 ユーザーは、試行した、および保留中のアプリのインストールと、それらの現在の状態も確認できます。 ユーザーに対して必須または使用可能とされているアプリがない場合は、アプリがインストールされていないというメッセージが表示されます。 新しいビューを表示するには、ポータル サイトのナビゲーション ウィンドウに移動し、[アプリ]>[インストール済みアプリ] の順に選択します。

Microsoft Intune アプリの新機能

Android 用 Microsoft Intune アプリ (プレビュー) に新機能が追加されました。 フル マネージド Android デバイスのユーザーは次のことが可能になりました。

  • Intune ポータル サイトまたは Microsoft Intune のアプリを介して登録したデバイスを表示して管理する。
  • サポートが必要な場合はお客様の組織に問い合わせてください。
  • Microsoft にフィードバックを送信する。
  • 組織で設定されている場合は、使用条件を表示する。

GitHub で利用可能な INTUNE SDK 統合を示す新しいサンプル アプリ

msintuneappsdk GitHub アカウントには、iOS (Swift)、Android、Xamarin.iOS、Xamarin Forms、Xamarin.Android 用の新しいサンプル アプリケーションが追加されました。 これらのアプリは、既存のドキュメントを補足し、Intune APP SDK を独自のモバイル アプリに統合する方法のデモンストレーションを提供することを目的としています。 追加のIntune SDK ガイダンスが必要なアプリ開発者の場合は、次のリンクされたサンプルを参照してください。

  • Chatr - ブローカー認証に Azure Active Directory 認証ライブラリ (ADAL) を使用するネイティブ iOS (Swift) インスタント メッセージング アプリ。
  • Taskr - ブローカー認証に ADAL を使用するネイティブ Android todo リスト アプリ。
  • Taskr - ブローカー認証に ADAL を使用する Xamarin.Android todo リスト アプリで、このリポジトリには Xamarin.Forms アプリもあります。
  • Xamarin.iOS サンプル アプリ - ベアボーン Xamarin.iOS サンプル アプリ。

デバイス構成

macOS デバイスでカーネル拡張機能の設定を構成する

macOS デバイスでは、デバイス構成プロファイルを作成できます (デバイス構成>プロファイル作成>プロファイル> は、プラットフォーム用 の macOS を選択します)。 この更新プログラムには、デバイスでカーネル拡張機能を構成して使用できる新しい設定グループが含まれています。 特定の拡張機能を追加することも、特定のパートナーまたは開発者のすべての拡張機能を許可することもできます。

この機能の詳細については、 カーネル拡張機能の概要カーネル拡張機能の設定に関するページを参照してください。

適用対象: macOS 10.13.2 以降

ストアからのアプリのみ、Windows 10デバイスの設定には、より多くの構成オプションが含まれています

Windows デバイス用のデバイス制限プロファイルを作成する場合は、[ストアからのアプリのみ] 設定を使用して、ユーザーが Windows App Store (デバイス構成>プロファイル>の作成プロファイル>Windows 10以降のプラットフォーム>のアプリの種類のデバイス制限) からのみインストールできるようにします。 この更新プログラムでは、この設定が拡張され、より多くのオプションがサポートされます。

新しい設定を表示するには、Windows 10 (以降) のデバイス設定に移動して、機能を許可または制限します。

適用対象: Windows 10以降

デバイス、同じユーザー グループ、または同じデバイス グループに、複数の Zebra モビリティ拡張機能デバイス プロファイルをデプロイする

Intuneでは、デバイス構成プロファイルで Zebra モビリティ拡張機能 (MX) を使用して、Intuneに組み込まれていない Zebra デバイスの設定をカスタマイズできます。 現時点では、1 つのデバイスに 1 つのプロファイルをデプロイできます。 この更新プログラムでは、複数のプロファイルを次の対象に展開できます。

  • 同じユーザー グループ
  • 同じデバイス グループ
  • 1 つのデバイス

Microsoft Intuneで Zebra Mobility Extensions を使用して Zebra デバイスを使用および管理し、Intuneで MX を使用する方法を示します。

適用対象: Android

iOS デバイスの一部のキオスク設定は、"ブロック" を使用して設定され、"許可" を置き換えます

iOS デバイスにデバイス制限プロファイルを作成する場合 (デバイス構成>プロファイル> プラットフォーム>のプロファイル>を作成するプロファイル iOS プロファイルの種類>キオスクデバイス制限)、自動ロック呼び出し音スイッチ画面の回転画面のスリープ ボタン音量ボタンを設定します。

この更新プログラムでは、値は [ブロック ] (機能をブロック) と [未構成 ] (機能を許可) です。 設定を表示するには、 iOS デバイスの設定に移動して機能を許可または制限します。

適用対象: iOS

iOS デバイスでパスワード認証に Face ID を使用する

iOS デバイスのデバイス制限プロファイルを作成する場合は、パスワードに指紋を使用できます。 この更新プログラムでは、指紋パスワード設定で顔認識も許可されます (デバイス構成>プロファイル> プラットフォーム>のプロファイル>を作成するiOS プロファイルの種類>に関するデバイスの制限パスワード)。 その結果、次の設定が変更されました。

  • 指紋ロック解除タッチ ID と顔 ID のロック解除になりました。
  • 指紋の変更 (監視のみ)Touch ID と Face ID の変更 (監視のみ) になりました。

顔 ID は iOS 11.0 以降で使用できます。 設定を表示するには、iOS デバイスの設定に移動して、Intuneを使用して機能を許可または制限します。

適用対象: iOS

iOS デバイスでのゲームとアプリ ストアの機能の制限は、レーティングリージョンに依存するようになりました

iOS デバイスでは、ゲーム、アプリ ストア、およびドキュメントの表示に関連する機能を許可または制限できます (デバイス構成>プロファイル>プラットフォーム>用プロファイルiOSプロファイルの作成 プロファイル>の種類>の制限 App Store、ドキュメント表示、ゲーム)。 米国などの [レーティング] リージョンを選択することもできます。

この更新プログラムでは、 アプリ 機能は レーティング リージョンに子に移動され、 レーティング リージョンに依存します。 設定を表示するには、iOS デバイスの設定に移動して、Intuneを使用して機能を許可または制限します。

適用対象: iOS

デバイスの登録

ハイブリッド Azure AD 参加の Windows Autopilot サポート

既存デバイス向け Windows Autopilotでは、ハイブリッド Azure AD Join がサポートされるようになりました (既存の Azure AD Join サポートに加えて)。 バージョン 1809 以降Windows 10デバイスに適用されます。 詳細については、「既存デバイス向け Windows Autopilot」を参照してください。

デバイス管理

Android デバイスのセキュリティ パッチ レベルを確認する

Android デバイスのセキュリティ パッチ レベルを確認できるようになりました。 これを行うには、[Intune>][デバイス][すべてのデバイス>] の順に>選択し、デバイスハードウェアを選択します。> パッチ レベルは、[ オペレーティング システム ] セクションに一覧表示されます。

セキュリティ グループ内のすべてのマネージド デバイスにスコープ タグを割り当てる

これで、スコープ タグをセキュリティ グループに割り当てることができ、セキュリティ グループ内のすべてのデバイスもそれらのスコープ タグに関連付けられます。 これらのグループ内のすべてのデバイスにもスコープ タグが割り当てられます。 この機能で設定されたスコープ タグは、現在のデバイス スコープ タグ フローで設定されたスコープ タグを上書きします。 詳細については、「 分散 IT に RBAC とスコープ タグを使用する」を参照してください。

デバイスのセキュリティ

セキュリティ ベースラインでキーワード検索を使用する

セキュリティ ベースライン プロファイルを作成または編集するときに、新しい検索バーでキーワードを指定して、検索条件を含む設定の使用可能なグループをフィルター処理できます。

セキュリティ ベースライン機能が一般公開されました

セキュリティ ベースライン機能はプレビュー段階から外れ、一般公開 (GA) になりました。 これは、この機能が運用環境で使用できる状態であることを意味します。 ただし、個々のベースライン テンプレートはプレビューのままであり、独自のスケジュールで評価され、GA にリリースされます。

MDM セキュリティ ベースライン テンプレートが一般公開されました

MDM セキュリティ ベースライン テンプレートがプレビューから移行され、一般公開 (GA) になりました。 GA テンプレートは、 2019 年 5 月の MDM セキュリティ ベースラインとして識別されます。 これは新しいテンプレートであり、プレビュー バージョンからのアップグレードではありません。 新しいテンプレートとして、 含まれている設定を確認し、新しいプロファイルを作成してテンプレートをデバイスにデプロイする必要があります。 その他のセキュリティ ベースライン テンプレートはプレビューのままです。 使用可能なベースラインの一覧については、「 使用可能なセキュリティ ベースライン」を参照してください。

新しいテンプレートであることに加えて、 2019 年 5 月の MDM セキュリティ ベースライン テンプレートには、開発中の記事で最近発表した 2 つの設定が含まれています。

  • ロックの上: ロックされた画面から音声でアプリをアクティブ化する
  • DeviceGuard: デバイスの次回の再起動時に仮想化ベースのセキュリティ (VBS) を使用します。

2019 年 5 月の MDM セキュリティ ベースラインには、いくつかの新しい設定の追加、他の設定の削除、1 つの設定の既定値のリビジョンも含まれています。 プレビューから GA への変更の詳細な一覧については、 新しいテンプレートの変更点に関するページを参照してください。

セキュリティ ベースラインのバージョン管理

Intuneサポートのバージョン管理のセキュリティ ベースライン。 このサポートにより、各セキュリティ ベースラインの新しいバージョンがリリースされると、新しいベースラインをゼロから再作成してデプロイすることなく、新しいベースライン バージョンを使用するように既存のセキュリティ ベースライン プロファイルを更新できます。 さらに、Intune コンソールでは、ベースラインを使用する個々のプロファイルの数、プロファイルが使用する異なるベースライン バージョンの数、特定のセキュリティ ベースラインの最新リリースのタイミングなど、各ベースラインに関する情報を表示できます。 詳細については、「 セキュリティ ベースライン」を参照してください。

[サインインにセキュリティ キーを使用する] 設定が移動しました

[サインインにセキュリティ キーを使用する] という名前の ID 保護のデバイス構成設定が、[Windows Hello for Businessの構成] のサブ設定として見つかりませんでした。 Windows Hello for Businessの使用を有効にしない場合でも、常に使用できる最上位の設定になりました。 詳細については、「 ID 保護」を参照してください。

役割ベースのアクセス制御

割り当てられたグループ管理者の新しいアクセス許可

Intuneの組み込みの学校管理者ロールに、Managed Apps の作成、読み取り、更新、削除 (CRUD) アクセス許可が付与されるようになりました。 この更新プログラムは、Intune for Education でグループ管理者として割り当てられている場合、iOS MDM プッシュ証明書、iOS MDM サーバー トークン、iOS VPP トークン、および既存のすべてのアクセス許可を作成、表示、更新、および削除できることを意味します。 これらの操作のいずれかを実行するには、[テナント設定>] [iOS デバイス管理] に移動します。

アプリケーションは、Graph APIを使用して、ユーザー資格情報なしで読み取り操作を呼び出すことができます

アプリケーションは、ユーザー資格情報なしでアプリ ID を使用Intune Graph API読み取り操作を呼び出すことができます。 Intune用の Microsoft Graph APIへのアクセスの詳細については、「Microsoft Graph でのIntuneの操作」を参照してください。

ビジネス向け Microsoft Store アプリにスコープ タグを適用する

スコープ タグをビジネス向け Microsoft Storeアプリに適用できるようになりました。 スコープ タグの詳細については、「分散 IT にロールベースのアクセス制御 (RBAC) とスコープのタグを使用する」を参照してください。

2019 年 5 月

アプリ管理

Android デバイスで有害な可能性があるアプリのレポート

Intuneでは、Android デバイスで有害な可能性があるアプリに関する追加のレポート情報が提供されるようになりました。

Windows ポータル サイト アプリ

Windows ポータル サイト アプリに、[デバイス] というラベルが付いた新しいページが表示されます。 [ デバイス] ページには、登録されているすべてのデバイスがエンド ユーザーに表示されます。 ユーザーは、バージョン 10.3.4291.0 以降を使用すると、ポータル サイトでこの変更が表示されます。 ポータル サイトの構成の詳細については、「Microsoft Intune ポータル サイト アプリを構成する方法」を参照してください。

Intune ポリシーによって認証方法とアプリのインストールが更新ポータル サイト

Apple の会社のデバイス登録方法のいずれかを使用してセットアップ アシスタントを使用して既に登録されているデバイスでは、Intuneは、アプリ ストアのエンド ユーザーによって手動でインストールされている場合、ポータル サイトをサポートしなくなります。 この変更は、登録中に Apple Setup Assistant で認証を行う場合にのみ関連します。 この変更は、次の方法で登録された iOS デバイスにのみ影響します。

  • Apple configurator
  • Apple Business Manager
  • Apple School Manager
  • Apple Device Enrollment Program (DEP)

ユーザーがアプリ ストアからポータル サイト アプリをインストールし、それを介してこれらのデバイスを登録しようとすると、エラーが表示されます。 これらのデバイスは、登録中にIntuneによって自動的にプッシュされた場合にのみ、ポータル サイトを使用することが想定されます。 Azure portalのIntuneの登録プロファイルが更新され、デバイスの認証方法と、ポータル サイト アプリを受信するかどうかを指定できます。 DEP デバイス ユーザーにポータル サイトを設定する場合は、登録プロファイルでユーザー設定を指定する必要があります。

さらに、iOS ポータル サイトの [デバイスの識別] 画面が削除されています。 そのため、条件付きアクセスを有効にするか、会社のアプリを展開する管理者は、DEP 登録プロファイルを更新する必要があります。 この要件は、DEP 登録がセットアップ アシスタントで認証されている場合にのみ適用されます。 その場合は、デバイスにポータル サイトをプッシュする必要があります。 これを行うには、[デバイスの登録>] [Apple 登録>プログラム トークン>] のIntune> [プロファイル]> でプロファイル>を選択>し、[プロパティ]> [インストール] ポータル サイト[はい] に設定します。

既に登録されている DEP デバイスにポータル サイトをインストールするには、Intune>クライアント アプリに移動し、アプリ構成ポリシーを使用してマネージド アプリとしてプッシュする必要があります。

エンド ユーザーがアプリ保護ポリシーを使用して基幹業務 (LOB) アプリを更新する方法を構成する

エンド ユーザーが基幹業務 (LOB) アプリの更新バージョンを取得できる場所を構成できるようになりました。 エンド ユーザーには、 アプリの最小バージョン の条件付き起動ダイアログにこの機能が表示されます。これにより、エンド ユーザーに LOB アプリの最小バージョンへの更新を求められます。 LOB アプリ保護ポリシー (APP) の一部として、これらの更新プログラムの詳細を指定する必要があります。 この機能は、iOS と Android で利用できます。 iOS では、この機能では、アプリを Intune SDK for iOS v. 10.0.7 以降と統合 (またはラッピング ツールを使用してラップ) する必要があります。 Android では、この機能には最新のポータル サイトが必要です。 エンド ユーザーが LOB アプリを更新する方法を構成するには、アプリにキー com.microsoft.intune.myappstoreを使用して送信されるマネージド アプリ構成ポリシーが必要です。 送信される値により、エンド ユーザーがアプリをダウンロードするストアが定義されます。 アプリがポータル サイト経由で展開される場合、値は CompanyPortal である必要があります。 他のストアの場合は、完全な URL を入力する必要があります。

Intune管理拡張機能の PowerShell スクリプト

デバイスでユーザーの管理者特権を使用して実行するように PowerShell スクリプトを構成できます。 詳細については、「Intune および Win32 アプリ管理で Windows 10 デバイスで PowerShell スクリプトを使用する」を参照してください。

Android Enterprise アプリ管理

IT 管理者が Android Enterprise 管理を簡単に構成して使用できるように、Intuneは、Intune管理コンソールに 4 つの一般的な Android Enterprise 関連アプリを自動的に追加します。 4 つの Android Enterprise アプリは次のアプリです。

以前は、IT 管理者は、セットアップの一環として 、マネージド Google Play ストア でこれらのアプリを手動で検索して承認する必要があります。 この変更により、以前に手動で行った手順が削除され、お客様が Android Enterprise 管理を簡単かつ迅速に使用できるようになります。

管理者は、最初に Intune テナントをマネージド Google Play に接続した時点で、これらの 4 つのアプリがIntune アプリの一覧に自動的に追加されます。 詳細については、「Intune アカウントをマネージド Google Play アカウントに接続する」を参照してください。 テナントを既に接続しているテナント、または Android Enterprise を既に使用しているテナントの場合、管理者は何もする必要はありません。 これらの 4 つのアプリは、2019 年 5 月のサービス ロールアウトが完了してから 7 日以内に自動的に表示されます。

デバイス構成

Microsoft Intune用の PFX 証明書コネクタを更新しました

既存の PFX 証明書の再処理が継続され、コネクタが新しい要求の処理を停止する問題に対処する PFX Certificate Connector for Microsoft Intune の更新プログラムをリリースしました。

Defender for Endpoint のセキュリティ タスクをIntuneする (パブリック プレビュー)

パブリック プレビューでは、Intuneを使用して、Microsoft Defender for Endpointのセキュリティ タスクを管理できます。 Defender for Endpoint との統合により、検出から軽減までの時間を短縮しながら、エンドポイントの脆弱性と構成の誤りを検出、優先順位付け、修復するためのリスクベースのアプローチが追加されます。

Windows 10 デバイス コンプライアンス ポリシーで TPM チップセットを確認する

多くのWindows 10以降のデバイスには、トラステッド プラットフォーム モジュール (TPM) チップセットがあります。 この更新プログラムには、デバイス上の TPM チップのバージョンを確認する新しいコンプライアンス設定が含まれています。

Windows 10以降のコンプライアンス ポリシー設定では、この設定について説明します。

適用対象: Windows 10以降

エンド ユーザーが個人用 HotSpot を変更できないようにし、iOS デバイスで Siri サーバーのログ記録を無効にする

iOS デバイスにデバイス制限プロファイルを作成します (デバイス構成>プロファイル> プラットフォーム>のプロファイル>を作成するプロファイル iOS プロファイルの種類のデバイス制限)。 この更新プログラムには、構成できる新しい設定が含まれています。

  • 組み込みのアプリ: Siri コマンドのサーバー側のログ記録
  • ワイヤレス: 個人用ホットスポットのユーザー変更 (監視のみ)

これらの設定を確認するには、 iOS の組み込みのアプリ設定iOS のワイヤレス設定に移動します。

適用対象: iOS 12.2 以降

macOS デバイス用の新しいクラスルーム アプリ デバイス制限設定

macOS デバイス用のデバイス構成プロファイルを作成できます (デバイス構成>プロファイル>プラットフォーム用のプロファイル>macOS プロファイルの>種類のデバイス制限を作成します)。 この更新プログラムには、新しいクラスルーム アプリの設定、スクリーンショットをブロックするオプション、iCloud フォト ライブラリを無効にするオプションが含まれています。

現在の設定を表示するには、macOS デバイスの設定に移動して、Intuneを使用して機能を許可または制限します。

適用対象: macOS

アプリ ストアにアクセスするための iOS パスワードの設定の名前が変更されました

[アプリ ストアにアクセスするためのパスワード] 設定の名前が [すべての購入に iTunes ストアのパスワードが必要] に変更されます (デバイス構成>プロファイル> プラットフォーム>用のプロファイル>iOS を作成する プロファイルの種類>のデバイス制限アプリ ストア、ドキュメント表示、およびゲーム)。

使用可能な設定を表示するには、[App Store]、[ドキュメントの表示]、[ゲーム iOS の設定] の順に移動します。

適用対象: iOS

Microsoft Defender for Endpointベースライン (プレビュー)

Microsoft Defender for Endpoint設定のセキュリティ ベースライン プレビューが追加されました。 このベースラインは、環境がMicrosoft Defender for Endpointを使用するための前提条件を満たしている場合に使用できます。

iOS および Android デバイスの Outlook の署名と生体認証の設定

iOS および Android デバイスの Outlook で既定の署名を有効にするかどうかを指定できるようになりました。 さらに、ユーザーが Outlook on iOS で生体認証設定を変更できるようにすることもできます。

iOS デバイス用の F5 Access のネットワーク Access Control (NAC) のサポート

F5 は、Intuneで iOS 上の F5 Access の NAC 機能を許可する BIG-IP 13 の更新プログラムをリリースしました。 この機能を使用するには:

使用可能な設定を確認するには、[ iOS デバイスで VPN 設定を構成する] に移動します

適用対象: iOS

Microsoft Intune用の PFX 証明書コネクタを更新しました

ポーリング間隔を 5 分から 30 秒に低下させる PFX Certificate Connector for Microsoft Intune の更新プログラムをリリースしました。

デバイスの登録

Autopilot デバイスの OrderID 属性名がグループ タグに変更されました

より直感的にするために、Autopilot デバイスの OrderID 属性名が グループ タグに変更されました。 CV を使用して Autopilot デバイス情報をアップロードする場合は、OrderID ではなく、列ヘッダーとしてグループ タグを使用する必要があります。

Windows 登録状態ページ (ESP) が一般公開されました

[登録の状態] ページのプレビューが終了しました。 詳細については、「 登録状態の設定」ページを参照してください。

ユーザー インターフェイスの更新Intune - Autopilot 登録プロファイルの作成

Autopilot 登録プロファイルを作成するためのユーザー インターフェイスが、Azure ユーザー インターフェイス のスタイルに合わせて更新されました。 詳細については、「 Autopilot 登録プロファイルを作成する」を参照してください。 今後、追加のIntuneシナリオがこの新しい UI スタイルに更新されます。

すべての Windows デバイスで Autopilot リセットを有効にする

Autopilot リセットが、登録状態ページを使用するように構成されていないデバイスであっても、すべての Windows デバイスで機能するようになりました。 最初のデバイス登録中にデバイスの登録状態ページが構成されていない場合、デバイスはサインイン後にデスクトップに直接移動します。 同期に最大 8 時間かかる場合があり、Intuneで準拠しているように見えます。 詳細については、「 リモート Windows Autopilot Reset を使用してデバイスをリセットする」を参照してください。

すべてのデバイスを検索するときに正確な IMEI 形式は必要ありません

[すべてのデバイス] を検索するときに、IMEI 番号にスペースを含める必要はありません。

Apple ポータルでデバイスを削除すると、Intune ポータルに反映されます

Apple のデバイス登録プログラムまたは Apple Business Manager ポータルからデバイスが削除された場合、デバイスは次回の同期中にIntuneから自動的に削除されます。

[登録の状態] ページで Win32 アプリが追跡されるようになりました

これは、バージョン 1903 以降Windows 10実行されているデバイスにのみ適用されます。 詳細については、「 登録状態の設定」ページを参照してください。

デバイス管理

Graph APIを使用してデバイスを一括でリセットおよびワイプする

Graph APIを使用して、最大 100 台のデバイスを一括でリセットしてワイプできるようになりました。

監視とトラブルシューティング

暗号化レポートがパブリック プレビューから外れている

BitLocker とデバイス暗号化のレポートが一般公開され、パブリック プレビューの一部ではなくなりました。

2019 年 4 月

アプリ管理

iOS 用ポータル サイト アプリに関するユーザー エクスペリエンスの更新プログラム

iOS デバイス用ポータル サイト アプリのホーム ページが再設計されました。 この変更によって、ホーム ページでは iOS UI パターンにより適切に従うようになり、アプリと電子ブックの検出可用性も向上しました。

iOS 12 デバイス ユーザー用ポータル サイトの登録の変更

iOS 登録画面と手順のポータル サイトは、Apple iOS 12.2 でリリースされた MDM 登録の変更に合わせて更新されました。 更新されたワークフローでは、次のような場合にユーザーにメッセージが表示されます。

  • Safari でポータル Web サイトを開き、ポータル サイト アプリに戻る前に管理プロファイルをダウンロードできるようにする。
  • [設定] アプリを開き、デバイスに管理プロファイルをインストールする。
  • ポータル サイト アプリに戻り、登録を完了する。

更新された登録の手順と画面については、Intune への iOS デバイスの登録に関するページを参照してください。

Android アプリ保護ポリシーの OpenSSL 暗号化

Android デバイス上のアプリ保護ポリシー (APP) Intune、FIPS 140-2 準拠の OpenSSL 暗号化ライブラリが使用されるようになりました。 詳細については、Microsoft Intuneの Android アプリ保護ポリシー設定の暗号化に関するセクションを参照してください。

Win32 アプリの依存関係を有効にする

管理者は、Win32 アプリをインストールする前に、他のアプリを依存関係としてインストールするように要求できます。 具体的には、デバイスが Win32 アプリをインストールする前に、依存アプリをインストールする必要があります。 Intuneで、[クライアント アプリ アプリ>>追加] を選択して、[アプリの追加] ブレードを表示します。 [アプリの種類] として [Windows アプリ (Win32)] を選択 します。 アプリを追加したら、[ 依存関係 ] を選択して、Win32 アプリをインストールする前にインストールする必要がある依存アプリを追加できます。 詳細については、「スタンドアロン - Win32 アプリ管理Intune」を参照してください。

ビジネス向け Microsoft Store アプリのアプリ バージョンのインストール情報

アプリのインストール レポートには、ビジネス向け Microsoft Store アプリのアプリのバージョン情報が含まれます。 Intuneで、[クライアント アプリ アプリ>] を選択しますビジネス向け Microsoft Store アプリを選択し、[モニター] セクションの [デバイスのインストール状態] を選択します。

Win32 アプリの要件ルールへの追加

PowerShell スクリプト、レジストリ値、およびファイル システム情報に基づいて要件ルールを作成できます。 Intuneで、[クライアント アプリ アプリ]>[アプリ>の追加] の順に選択します。 次に、[アプリの追加] ブレードの [アプリの種類] として [Windows アプリ (Win32)] を選択します。 [ 要件>の追加] を選択して、追加の要件規則を構成します。 次に、要件 の種類として [ファイルの種類]、[ レジストリ]、[ スクリプト ] のいずれかを選択 します。 詳細については、「 Win32 アプリ管理」を参照してください。

登録されている Azure AD 参加済みデバイスにインストールIntune Win32 アプリを構成する

登録されている Azure AD 参加済みデバイスにインストールする Win32 アプリIntune割り当てることができます。 Intuneの Win32 アプリの詳細については、「Win32 アプリ管理」を参照してください。

デバイスの概要にプライマリ ユーザーが表示される

[デバイスの概要] ページには、ユーザー デバイス アフィニティ ユーザー (UDA) とも呼ばれるプライマリ ユーザーが表示されます。 デバイスのプライマリ ユーザーを表示するには、[Intune>デバイス>][すべてのデバイス>] の順に選択し、デバイスを選択します。 [ 概要 ] ページの上部近くにプライマリ ユーザーが表示されます。

Android Enterprise 仕事用プロファイル デバイス用のその他のマネージド Google Play アプリ レポート

Android Enterprise 仕事用プロファイル デバイスに展開されたマネージド Google Play アプリの場合は、デバイスにインストールされているアプリの特定のバージョン番号を表示できます。 これは、必要なアプリにのみ適用されます。

iOS サード パーティ製キーボード

iOS のサード パーティ製キーボード設定に対するアプリ保護ポリシー (APP) のIntuneサポートは、iOS プラットフォームの変更によりサポートされなくなりました。 Intune 管理 コンソールでこの設定を構成することはできず、Intune App SDK のクライアントでは適用されません。

デバイス構成

更新された証明書コネクタ

Intune Certificate Connector と PFX Certificate Connector for Microsoft Intuneの両方の更新プログラムがリリースされました。 新しいリリースでは、いくつかの既知の問題が解決されます。

macOS デバイスでログイン設定を設定し、再起動オプションを制御する

macOS デバイスでは、デバイス構成プロファイルを作成できます (デバイス構成>プロファイルプロファイルの>作成プロファイル>は、プラットフォーム>の macOS プロファイルの種類にデバイス機能を選択します)。 この更新プログラムには、カスタム バナーの表示、ユーザーのサインイン方法の選択、電源設定の表示と非表示などの新しいログイン ウィンドウ設定が含まれます。

これらの設定を表示するには、 macOS デバイス機能の設定に移動します。

マルチアプリ キオスク モードで実行されている Android Enterprise、デバイス所有者専用デバイスで WiFi を構成する

マルチアプリ キオスク モードで専用デバイスとして実行する場合は、Android Enterprise、デバイス所有者の設定を有効にすることができます。 この更新プログラムでは、ユーザーが WiFi ネットワークを構成して接続できるようにします (Intune>デバイス構成>プロファイル> プラットフォーム>用プロファイル>Android Enterprise の作成 デバイス所有者のみ、プロファイルの種類>のデバイス制限 専用デバイス>キオスク モード: マルチアプリ>WiFi 構成)。

構成できるすべての設定を表示するには、 Android Enterprise デバイスの設定に移動して、機能を許可または制限します。

適用対象: マルチアプリ キオスク モードで実行されている Android Enterprise 専用デバイス

Android Enterprise で Bluetooth とペアリングを構成する、マルチアプリ キオスク モードで実行されているデバイス所有者専用デバイス

マルチアプリ キオスク モードで専用デバイスとして実行する場合は、Android Enterprise、デバイス所有者の設定を有効にすることができます。 この更新プログラムでは、エンド ユーザーが Bluetooth を有効にし、Bluetooth 経由でデバイスをペアリングできます (Intune>デバイス構成>プロファイル>>Android Enterprise for platform >デバイス所有者のみ、プロファイルの種類>のデバイス制限 専用デバイス>キオスク モード: マルチアプリ>Bluetooth 構成)。

構成できるすべての設定を表示するには、 Android Enterprise デバイスの設定に移動して、機能を許可または制限します。

適用対象: マルチアプリ キオスク モードで実行されている Android Enterprise 専用デバイス

Intuneで OEMConfig デバイス構成プロファイルを作成して使用する

この更新プログラムでは、Intuneは OEMConfig を使用した Android Enterprise デバイスの構成をサポートしています。 具体的には、デバイス構成プロファイルを作成し、OEMConfig を使用して Android Enterprise デバイスに設定を適用できます (デバイス構成>プロファイル>> Androidenterprise for platform)。

OEM のサポートは現在、OEM ごとに行われます。 必要な OEMConfig アプリが OEMConfig アプリの一覧で使用できない場合は、 にお問い合わせください IntuneOEMConfig@microsoft.com

この機能の詳細については、「Microsoft Intuneで OEMConfig を使用して Android Enterprise デバイスを使用して管理する」を参照してください。

適用対象: Android Enterprise

Windows Update通知

Intune コンソール内から管理できる Windows Update リング構成に、2 つのユーザー エクスペリエンス設定が追加されました。 今後は次のことができるようになりました。

Android Enterprise、デバイス所有者の新しいデバイス制限設定

Android Enterprise デバイスでは、デバイス制限プロファイルを作成して、機能の許可または制限、パスワード ルールの設定などを行うことができます (デバイス構成>プロファイル>の作成プロファイル>は、プラットフォーム>の [Android Enterprise] [デバイス所有者のみ>] プロファイルの種類に対するデバイスの制限を選択します)。

この更新プログラムには、新しいパスワード設定が含まれており、フル マネージド デバイス向けの Google Play ストアのアプリへのフル アクセスが許可されます。 現在の設定の一覧を表示するには、 Android Enterprise デバイスの設定に移動して、機能を許可または制限します。

適用対象: Android Enterprise フル マネージド デバイス

Windows 10 デバイス コンプライアンス ポリシーで TPM チップセットを確認する

この機能は遅延しており、後でリリースされる予定です。

Windows 10 以降のデバイスでの Microsoft Edge ブラウザーの UI の変更を更新しました

デバイス構成プロファイルを作成するときに、Windows 10以降のデバイスで Microsoft Edge 機能を許可または制限できます (デバイス構成>プロファイル>の作成プロファイル>Windows 10以降のプラットフォームの場合は、>プロファイルの種類 >Microsoft Edge Browserデバイス制限)。 この更新プログラムでは、Microsoft Edge の設定がよりわかりやすく、わかりやすくなりました。

これらの機能を確認するには、 Microsoft Edge Browser デバイスの制限設定に関するページを参照してください。

適用対象:

  • Windows 10 以降
  • Microsoft Edge バージョン 45 以前

Android Enterprise フル マネージド デバイスのサポートの拡張 (プレビュー)

パブリック プレビュー段階では、2019 年 1 月に最初に発表された Android Enterprise フル マネージド デバイスのサポートを拡張し、次のものが含まれています。

  • フル マネージドおよび専用のデバイスでは、パスワード ルールとオペレーティング システム要件を含めるコンプライアンス ポリシーを作成できます (デバイス コンプライアンス>ポリシー> プロファイルの種類に対するポリシー>Android Enterprise for platform >デバイス所有者を作成します)。

    専用デバイスでは、デバイスが [準拠していない] と表示される場合があります。 条件付きアクセスは、専用デバイスでは使用できません。 割り当てられたポリシーに準拠した専用デバイスを取得するには、タスクまたはアクションを必ず完了してください。

  • 条件付きアクセス - Android に適用される条件付きアクセス ポリシーは、Android Enterprise フル マネージド デバイスにも適用されます。 ユーザーは、Microsoft Intune アプリを使用して、フル マネージド デバイスを Azure Active Directory に登録できるようになりました。 次に、コンプライアンスの問題を確認して解決して、組織のリソースにアクセスします。

  • 新しいエンド ユーザー アプリ (Microsoft Intune アプリ) - Microsoft Intune と呼ばれる Android フル マネージド デバイス用の新しいエンド ユーザー アプリがあります。 この新しいアプリは軽量でモダンで、ポータル サイトアプリと同様の機能を提供しますが、フル マネージド デバイス用です。 詳細については、Google Play の Microsoft Intune アプリに関するページを参照してください。

Android フル マネージド デバイスを設定するには、[デバイスの登録] [Android 登録>>] [企業所有のフル マネージド ユーザー デバイス] の順に移動します。 フル マネージド Android デバイスのサポートはプレビューのままであり、一部のIntune機能が完全には機能しない場合があります。

このプレビューの詳細については、ブログ「Microsoft Intune - プレビュー 2 for Android Enterprise フル マネージド デバイス」を参照してください。

コンプライアンス マネージャーを使用してMicrosoft Intuneの評価を作成する

コンプライアンス マネージャー (別の Microsoft サイトを開く) は、Microsoft Service Trust Portal のワークフロー ベースのリスク評価ツールです。 これにより、Microsoft サービスに関連する組織の規制コンプライアンス 活動を追跡、割り当て、検証できます。 Microsoft 365、Azure、Dynamics、Professional Services、Intuneで独自のコンプライアンス評価を作成できます。 Intuneには、FFIEC と GDPR の 2 つの評価があります。

コンプライアンス マネージャーは、コントロール (Microsoft によって管理されるコントロール)、および組織が管理するコントロールを分解することで、作業に集中するのに役立ちます。 評価を完了し、評価をエクスポートして印刷できます。

連邦金融機関審査委員会 (FFIEC) ( 別の Microsoft サイトを開く) コンプライアンスは、FFIEC によって発行されたオンライン 銀行業務の一連の標準です。 これは、Intuneを使用する金融機関に対して最も要求される評価です。 パブリック クラウド ワークロードに関連する FFIEC サイバーセキュリティ ガイドラインを満たすのにIntuneがどのように役立つかを解釈します。 Intuneの FFIEC 評価は、コンプライアンス マネージャーの 2 番目の FFIEC 評価です。

次の例では、FFIEC コントロールの内訳を確認できます。 Microsoft では、64 個のコントロールについて説明します。 残りの 12 個のコントロールについては、お客様が責任を負います。

顧客のアクションや Microsoft のアクションなど、FFIEC のサンプル Intune評価を参照してください

一般データ保護規則 (GDPR) ( 別の Microsoft サイトを開く) は、個人とそのデータの権利を保護するのに役立つ欧州連合 (EU) の法律です。 GDPR は、プライバシー規制への準拠に役立つ最も要求される評価です。

次の例では、GDPR コントロールの内訳を確認できます。 Microsoft では、49 個のコントロールについて説明します。 残りの 66 個のコントロールについては、お客様が責任を負います。

顧客のアクションや Microsoft のアクションなど、GDPR のIntune評価のサンプルを参照してください

デバイスの登録

セットアップ アシスタント中に一部の画面をスキップするようにプロファイルを構成する

macOS 登録プロファイルを作成するときに、ユーザーがセットアップ アシスタントを通過するときに、次のいずれかの画面をスキップするように構成できます。

会社の iOS デバイスを登録するときの一括デバイスの名前付け

Apple の企業登録方法 (DEP/ABM/ASM) のいずれかを使用する場合は、受信 iOS デバイスに自動的に名前を付けるデバイス名の形式を設定できます。 テンプレートにデバイスの種類とシリアル番号を含む形式を指定できます。 これを行うには、[Intune>Device enrollment>Apple enrollmentprogram tokens]\(Apple 登録>プログラム トークン\>) [Create > profile]\(プロファイル>の作成\) [デバイスの名前付け形式] の順に選択します。 既存のプロファイルを編集できますが、新しく同期されたデバイスにのみ名前が適用されます。

[登録の状態] ページで既定のタイムアウト メッセージを更新しました

登録状態ページ (ESP) が ESP プロファイルで指定されたタイムアウト値を超えたときにユーザーに表示される既定のタイムアウト メッセージが更新されました。 新しい既定のメッセージは、ユーザーが表示するメッセージであり、ESP 展開で実行する次のアクションを理解するのに役立ちます。

デバイス管理

非準拠デバイスを廃止する

この機能は遅延しており、将来のリリースに向けて計画されています。

監視とトラブルシューティング

ベータ版に反映された V1.0 の変更をIntune Data Warehouseする

V1.0 が 1808 年に初めて導入されたとき、ベータ API とは大きく異なっていました。 1903 年には、これらの変更がベータ API バージョンに反映されます。 ベータ API バージョンを使用する重要なレポートがある場合は、破壊的変更を避けるために、これらのレポートを V1.0 に切り替えることを強くお勧めします。 詳細については、「Intune Data Warehouse API のログの変更」を参照してください。

セキュリティ ベースラインの状態を監視する (パブリック プレビュー)

セキュリティ ベースラインの監視に カテゴリごとのビュー が追加されました。 (セキュリティ ベースラインはプレビューのまま)。 カテゴリごとのビューには、ベースラインの各カテゴリと、そのカテゴリの各ステータス グループに分類されるデバイスの割合が表示されます。 個々のカテゴリに一致しないデバイスの数、正しく構成されていないデバイス、または適用されないデバイスの数を確認できるようになりました。

役割ベースのアクセス制御

Apple VPP トークンのスコープ タグ

Apple VPP トークンにスコープ タグを追加できるようになりました。 同じスコープ タグを持つ割り当てられたユーザーのみが、そのタグを持つ Apple VPP トークンにアクセスできます。 そのトークンで購入した VPP アプリと電子ブックは、そのスコープ タグを継承します。 スコープ タグの詳細については、「 RBAC とスコープ タグを使用する」を参照してください。

2019 年 3 月

アプリ管理

Microsoft Visio と Microsoft Project を展開する

Microsoft Visio Pro for Microsoft 365 および Microsoft Project Online Desktop Client を独立したアプリとして展開し、これらのアプリのライセンスを所有している場合は、Microsoft Intuneを使用してデバイスをWindows 10できるようになりました。 Intuneから、[クライアント アプリ アプリ>>追加] を選択して、[アプリの追加] ブレードを表示します。 [アプリの追加] ブレードで、[アプリの種類] として [Windows 10] を選択します。 次に、[ App Suite の構成 ] を選択して、インストールするアプリを選択します。 Windows 10 デバイス用の Microsoft 365 アプリの詳細については、「Microsoft Intuneを使用して microsoft 365 アプリをWindows 10デバイスに割り当てる」を参照してください。

製品名の変更Microsoft Visio Pro for Office 365

Microsoft Visio Pro for Office 365は、Microsoft Visio Online プラン 2 と呼ばれるようになります。 Microsoft Visio の詳細については、「 Visio Online プラン 2」を参照してください。 Windows 10 デバイスのアプリOffice 365の詳細については、「Microsoft Intuneを使用してWindows 10 デバイスにOffice 365 アプリを割り当てる」を参照してください。

アプリ保護ポリシー (APP) の文字制限設定をIntuneする

Intune管理者は、[app Restrict cut, copy, and paste with other apps]\(アプリの切り取り、コピー、貼り付けを制限する\) ポリシー設定Intuneに例外を指定できます。 管理者は、マネージド アプリから切り取りまたはコピーできる文字数を指定できます。 この設定では、[他のアプリで切り取り、コピー、貼り付けを制限する] 設定に関係なく、指定した文字数を任意のアプリに共有できます。 Android 用のIntune ポータル サイト アプリのバージョンには、バージョン 5.0.4364.0 以降が必要であることに注意してください。 詳細については、 iOS データ保護Android データ保護、および クライアント アプリ保護ログの確認に関するページを参照してください。

Microsoft 365 Apps for enterprise展開用 Office 展開ツール (ODT) XML

Intune管理コンソールで展開のインスタンスを作成するときに、Office 展開ツール (ODT) XML Microsoft 365 Apps for enterprise提供できます。 これにより、既存のIntune UI オプションがニーズを満たしていない場合に、カスタマイズ性が向上します。 詳細については、「Office 展開ツールのMicrosoft Intuneオプションと構成オプションを使用して、Microsoft 365 アプリをWindows 10デバイスに割り当てる」を参照してください。

アプリ アイコンが自動的に生成された背景と共に表示されるようになりました

Windows ポータル サイト アプリでは、アプリ アイコンがアイコンの主要な色 (検出可能な場合) に基づいて自動的に生成された背景と共に表示されるようになります。 該当する場合、この背景は、以前にアプリ タイルに表示されていた灰色の境界線を置き換えます。 ユーザーは、10.3.3451.0 より後のバージョンのポータル サイトでこの変更を確認できます。

Windows 一括登録後にポータル サイト アプリを使用して使用可能なアプリをインストールする

Windows 一括登録 (プロビジョニング パッケージ) を使用してIntuneに登録された Windows デバイスは、ポータル サイト アプリを使用して使用可能なアプリをインストールできます。 ポータル サイト アプリの詳細については、「Windows 10 ポータル サイトを手動で追加する」および「Microsoft Intune ポータル サイトアプリを構成する方法」を参照してください。

Microsoft Teams アプリは、Office アプリ スイートの一部として選択できます

Microsoft Teams アプリは、Microsoft 365 Apps for enterprise展開アプリ スイートのインストールの一部として含めたり除外したりできます。 この機能は、Microsoft 365 Apps for enterpriseデプロイ ビルド番号 16.0.11328.20116 以降で機能します。 インストールを完了するには、ユーザーがサインアウトしてからデバイスにサインインする必要があります。 Intuneで、[クライアント アプリ アプリ]>[アプリ>の追加] の順に選択します。 Office 365 Suite アプリの種類のいずれかを選択し、[App Suite の構成] を選択します。

デバイス構成

Windows 10以降のデバイスでキオスク モードで複数のアプリを実行するときにアプリを自動的に起動する

Windows 10以降のデバイスでは、キオスク モードでデバイスを実行し、多数のアプリを実行できます。 この更新プログラムには、AutoLaunch 設定 (デバイス構成>プロファイル>プロファイル>の作成Windows 10以降のプロファイルの種類のプラットフォーム >キオスクの種類>のマルチアプリ キオスク) があります。 この設定を使用して、ユーザーがデバイスにサインインしたときにアプリを自動的に起動します。

すべてのキオスク設定の一覧と説明を表示するには、Intuneでキオスクとして実行するWindows 10以降のデバイス設定に関するページを参照してください。

適用対象: Windows 10以降

運用ログには、準拠していないデバイスの詳細も表示されます

ログIntune Azure モニター機能にルーティングする場合は、運用ログをルーティングすることもできます。 この更新プログラムでは、運用ログは、準拠していないデバイスに関する情報も提供します。

この機能の詳細については、「Intuneのストレージ、イベント ハブ、またはログ分析にログ データを送信する」を参照してください。

より多くのIntuneワークロードでログを Azure Monitor にルーティングする

Intuneでは、監査ログと操作ログを Azure Monitor のイベント ハブ、ストレージ、およびログ分析にルーティングできます (Intune>診断設定>監視)。 この更新プログラムでは、コンプライアンス、構成、クライアント アプリなど、より多くのIntuneワークロードにこれらのログをルーティングできます。

Azure Monitor へのログのルーティングの詳細については、「 ストレージ、イベント ハブ、またはログ分析にログ データを送信する」を参照してください。

Intuneの Android Zebra デバイスでモビリティ拡張機能を作成して使用する

この更新プログラムでは、Intuneは Android Zebra デバイスの構成をサポートしています。 具体的には、デバイス構成プロファイルを作成し、StageNow によって生成されたモビリティ拡張機能 (MX) プロファイルを使用して Android Zebra デバイスに設定を適用できます (デバイス構成>プロファイル>> プロファイルAndroid for platform >MX profile (Zebra only) for profile type)。

この機能の詳細については、「Intuneでモビリティ拡張機能を使用して Zebra デバイスを使用して管理する」を参照してください。

適用対象: Android

デバイス管理

Windows 10 デバイスの暗号化レポート (パブリック プレビュー)

新しい暗号化レポート (プレビュー) を使用して、Windows 10 デバイスの暗号化状態の詳細を表示します。 使用可能な詳細には、デバイスの TPM バージョン、暗号化の準備と状態、エラー報告などがあります。

Intune ポータルから BitLocker 回復キーにアクセスする (パブリック プレビュー)

Intuneを使用して、Azure Active Directory から BitLocker キー ID と BitLocker 回復キーの詳細を表示できるようになりました。

iOS および Android デバイスでのIntuneシナリオに対する Microsoft Edge のサポート

Microsoft Edge では、エンド ユーザー エクスペリエンスの向上を加え、Intune Managed Browserと同じ管理シナリオをすべてサポートします。 Intune ポリシーによって有効になっている Microsoft Edge エンタープライズ機能には、デュアル ID、アプリ保護ポリシー統合、Azure アプリケーション プロキシ統合、マネージドのお気に入りとホーム ページのショートカットが含まれます。 詳細については、「 Microsoft Edge サポート」を参照してください。

Exchange Online/Intune コネクタ EAS のみのデバイスのサポートを非推奨にする

Intune コンソールでは、Intune コネクタを使用してExchange Onlineに接続されている EAS 専用デバイスの表示と管理がサポートされなくなりました。 代わりに、次のオプションがあります。

  • モバイル デバイス管理 (MDM) にデバイスを登録する
  • Intuneアプリ保護ポリシーを使用してデバイスを管理する
  • Exchange Onlineのクライアントとモバイルで説明されている Exchange コントロールを使用する

[名前] を使用して[すべてのデバイス] ページで正確なデバイスを検索します

正確なデバイス名を検索できるようになりました。 Intune>Devices> 検索ボックス内のすべてのデバイス>に移動し、デバイス名を で{}囲み、完全一致を検索します。 たとえば、 {Device12345} です

監視とトラブルシューティング

[テナントの状態] ページでの追加コネクタのサポート

[テナントの状態] ページに、エンドポイントやその他の Mobile Threat Defense コネクタのWindows Defenderなど、追加のコネクタの状態情報が表示されるようになりました。

Microsoft Intuneの [Data Warehouse] ブレードからの Power BI コンプライアンス アプリのサポート

以前は、[Intune Data Warehouse] ブレードの [Power BI ファイルのダウンロード] リンクは、Intune Data Warehouse レポート (.pbix ファイル) をダウンロードしました。 このレポートは、Power BI コンプライアンス アプリに置き換えられました。 Power BI コンプライアンス アプリでは、特別な読み込みまたはセットアップは必要ありません。 Power BI オンライン ポータルで直接開き、資格情報に基づいてIntune テナント専用のデータが表示されます。 Intuneで、[Intune] ブレードの右側にある [Intune Data Warehouseのセットアップ] リンクを選択します。 次に、[ Power BI アプリの取得] をクリックします。 詳細については、「Power BI を使用してData Warehouseに接続する」を参照してください。

役割ベースのアクセス制御

一部の Azure Active Directory ロールIntune読み取り専用アクセス権を付与する

Intune読み取り専用アクセス権は、次の Azure AD ロールに付与されています。 Azure AD ロールで付与されたアクセス許可は、ロールベースのアクセス制御 (RBAC) Intune付与されたアクセス許可よりも優先されます。

Intune監査データへの読み取り専用アクセス:

  • コンプライアンス管理者
  • コンプライアンス データ管理者

すべてのIntuneデータへの読み取り専用アクセス:

  • セキュリティ管理者
  • セキュリティ オペレーター
  • セキュリティ閲覧者

詳細については、「ロールベースのアクセス制御」 を参照してください。

iOS アプリ プロビジョニング プロファイルのスコープ タグ

スコープ タグを iOS アプリ プロビジョニング プロファイルに追加すると、そのスコープ タグも割り当てられたロールを持つユーザーのみが iOS アプリ プロビジョニング プロファイルにアクセスできるようになります。 詳細については、「 RBAC とスコープ タグを使用する」を参照してください。

アプリ構成ポリシーのスコープ タグ

スコープ タグをアプリ構成ポリシーに追加すると、そのスコープ タグも割り当てられているロールを持つユーザーのみがアプリ構成ポリシーにアクセスできるようになります。 アプリ構成ポリシーは、同じスコープ タグが割り当てられているアプリに対してのみ、またはアプリに関連付けることができます。 詳細については、「 RBAC とスコープ タグを使用する」を参照してください。

iOS および Android デバイスでのIntuneシナリオに対する Microsoft Edge のサポート

Microsoft Edge では、エンド ユーザー エクスペリエンスの改善を加え、Intune Managed Browserと同じ管理シナリオをすべてサポートします。 Intune ポリシーによって有効になっている Microsoft Edge エンタープライズ機能には、デュアル ID、アプリ保護ポリシー統合、Azure アプリケーション プロキシ統合、マネージドのお気に入りとホーム ページのショートカットが含まれます。 詳細については、「 Microsoft Edge サポート」を参照してください。

2019 年 2 月

アプリ管理

macOS ポータル サイト ダーク モードのIntune

Intune macOS ポータル サイトでは、macOS のダーク モードがサポートされるようになりました。 macOS 10.14 以降のデバイスでダーク モードを有効にすると、ポータル サイトはそのモードを反映する色に外観を調整します。

Intuneは、Android デバイスで Google Play Protect API を活用します

一部の IT 管理者は、エンド ユーザーが携帯電話のルート化や脱獄を行う BYOD 環境に直面しています。 この動作は、意図しない場合もありますが、エンド ユーザー デバイス上の組織のデータを保護するために設定された多くのIntune ポリシーをバイパスします。 したがって、Intuneは、登録済みデバイスと登録されていないデバイスの両方にルートと脱獄の検出を提供します。 このリリースでは、Intuneは Google Play Protect API を利用して、登録されていないデバイスの既存のルート検出チェックに追加します。 Google では、発生するルート検出チェックの全体を共有していませんが、これらの API は、デバイスのカスタマイズから古いデバイスで新しい OS 更新プログラムを入手できるまで、何らかの理由でデバイスをルート化したユーザーを検出することを期待しています。 その後、これらのユーザーは企業データへのアクセスをブロックすることも、ポリシーが有効なアプリから会社のアカウントをワイプすることもできます。 追加の値として、IT 管理者は [Intune アプリ保護] ブレード内にいくつかのレポート更新プログラムを表示します。"フラグ付きユーザー" レポートには、Google Play Protect の SafetyNet API スキャンを介して検出されたユーザーが表示されます。"有害な可能性があるアプリ" レポートには、Google のアプリ検証 API スキャンによって検出されたアプリが表示されます。 この機能は Android で利用できます。

[トラブルシューティング] ブレードで利用できる Win32 アプリ情報

Win32 アプリのインストールに関するエラー ログ ファイルは、[Intune アプリのトラブルシューティング] ブレードから収集できるようになりました。 アプリのインストールのトラブルシューティングの詳細については、「 アプリのインストールに関する問題のトラブルシューティング 」および 「Win32 アプリの問題のトラブルシューティング」を参照してください。

iOS アプリのアプリの状態の詳細

次に関連する新しいアプリのインストール エラー メッセージがあります。

  • 共有 iPad にインストールするときの VPP アプリのエラー
  • アプリ ストアが無効になっている場合のエラー
  • アプリの VPP ライセンスが見つからない
  • MDM プロバイダーを使用してシステム アプリをインストールできない
  • デバイスが紛失モードまたはキオスク モードの場合にアプリをインストールできない
  • ユーザーがApp Storeにサインインしていない場合にアプリをインストールできない

Intuneで、[クライアント アプリ][アプリ>>] [アプリ名] [デバイスのインストール状態] を>選択します。 [ 状態の詳細] 列に新しいエラー メッセージが表示されます。

Windows 10 用ポータル サイト アプリでの新しい [アプリのカテゴリ] 画面

[アプリのカテゴリ] という新しい画面が追加され、Windows 10 用ポータル サイトでのアプリの参照と選択のエクスペリエンスが向上しました。 ユーザーには、[おすすめ][教育][生産性] などのカテゴリに並べ替えられたアプリが表示されるようになります。 この変更は、ポータル サイト バージョン 10.3.3451.0 以降で表示されます。 新しい画面を表示するには、「 アプリ UI の新機能」を参照してください。 ポータル サイトのアプリの詳細については、「デバイスにアプリをインストールして共有する」を参照してください。

Power BI コンプライアンス アプリ

Intune コンプライアンス (Data Warehouse) アプリを使用して、Power BI Online のIntune Data Warehouseにアクセスします。 この Power BI アプリを使用すると、事前に作成されたレポートにアクセスし、Web ブラウザーを離れることなく、セットアップなしで共有できるようになりました。 詳細については、「 変更ログ - Power BI コンプライアンス アプリ」を参照してください。

デバイス構成

PowerShell スクリプトは、64 ビット デバイス上の 64 ビット ホストで実行できます

デバイス構成プロファイルに PowerShell スクリプトを追加すると、スクリプトは常に 64 ビット オペレーティング システムでも 32 ビットで実行されます。 この更新プログラムを使用すると、管理者は 64 ビット デバイス上の 64 ビット PowerShell ホストでスクリプトを実行できます (デバイス構成>PowerShell スクリプト>は、64 ビット PowerShell ホストで実行スクリプト構成>を追加>します)。

PowerShell の使用の詳細については、「Intuneの PowerShell スクリプト」を参照してください。

適用対象: Windows 10以降

macOS ユーザーにパスワードの更新を求めるメッセージが表示される

Intuneは、macOS デバイスで ChangeAtNextAuth 設定を適用しています。 この設定は、コンプライアンス パスワード ポリシーまたはデバイス制限パスワード プロファイルを持つエンド ユーザーとデバイスに影響します。 エンド ユーザーは、パスワードの更新を 1 回求められます。 このプロンプトは、ユーザーがデバイスへのサインインなど、認証を必要とするタスクを最初に実行するたびに発生します。 また、キーチェーン アクセスの要求など、管理特権を必要とする操作を行うときにパスワードを更新するように求めることもできます。

管理者によって新規または既存のパスワード ポリシーが変更された場合は、エンド ユーザーにパスワードの更新を再度求めます。

適用対象:
macOS

ユーザーレス macOS デバイスに SCEP 証明書を割り当てる

デバイス属性を使用して、ユーザー アフィニティのないデバイスを含む macOS デバイスに簡易証明書登録プロトコル (SCEP) 証明書を割り当て、証明書プロファ