Microsoft Intuneの新機能 - 前の月

2024 年 4 月 15 日の週

Intune アプリ

Intune 用に新しく利用可能になった保護されたアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• Atom Edge by Arlanto Apps

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

2024 年 4 月 1 日の週

デバイス管理

Intuneの Copilot は、Intune管理センター (パブリック プレビュー) で使用できます

Intuneの Copilot は、Intune管理センターに統合されており、情報をすばやく取得するのに役立ちます。 次のタスクでは、Intuneで Copilot を使用できます。

✅ Copilot は、設定とポリシーの管理に役立ちます

• 設定に関する Copilot ヒント: ポリシーに設定を追加したり、既存のポリシーの設定を確認したりすると、新しい Copilot ヒントが表示されます。 ツールヒントを選択すると、Microsoft のコンテンツと推奨事項に基づいて AI によって生成されるガイダンスが表示されます。 設定が別のポリシーで構成されている場合は、各設定の動作、設定のしくみ、推奨値などを確認できます。

• ポリシー サマライザー: 既存のポリシーでは、ポリシーの Copilot の概要が表示されます。 サマリーでは、ポリシーの動作、ポリシーに割り当てられているユーザーとグループ、ポリシーの設定について説明します。 この機能は、ポリシーとその設定がユーザーとデバイスに与える影響を理解するのに役立ちます。

✅ Copilot はデバイスの詳細を表示し、トラブルシューティングに役立ちます

• デバイスに関するすべて: デバイスでは、Copilot を使用して、デバイスのプロパティ、構成、状態情報など、デバイスに関する重要な情報を取得できます。

• デバイスの比較: Copilot を使用して、2 つのデバイスのハードウェアプロパティとデバイス構成を比較します。 この機能は、特にトラブルシューティングを行う場合に、同様の構成を持つ 2 つのデバイス間で何が異なるかを判断するのに役立ちます。

• エラー コード アナライザー: デバイス ビューで Copilot を使用してエラー コードを分析します。 この機能は、エラーの意味を理解するのに役立ち、潜在的な解決策を提供します。

✅ Copilot for Security のIntune機能

Intuneには、Copilot for Security ポータルで使用できる機能があります。 SOC アナリストと IT 管理者は、これらの機能を使用して、ポリシー、デバイス、グループ メンバーシップなどの詳細情報を取得できます。 1 つのデバイスで、コンプライアンスの状態、デバイスの種類など、Intuneに固有のより具体的な情報を取得できます。

また、Copilot にユーザーのデバイスについて伝え、重要な情報の簡単な概要を取得するように依頼することもできます。 たとえば、出力には、ユーザーのデバイスへのリンクがIntune、デバイス ID、登録日、最終チェックの日付、およびコンプライアンスの状態で表示されます。 IT 管理者でユーザーを確認している場合、このデータは簡単な概要を提供します。

疑わしい、または侵害される可能性のあるユーザーまたはデバイスを調査している SOC アナリストは、登録日や最終チェックなどの情報を基にした意思決定に役立ちます。

これらの機能の詳細については、以下を参照してください。

• Microsoft Copilot in Intune
• Copilot for Security でMicrosoft Intune データにアクセスする

適用対象:

• Android
• iOS/iPadOS
• macOS
• Windows

GCC のお客様は、Windows および Android デバイスにリモート ヘルプを使用できます

Microsoft Intune Suiteには、リモート ヘルプを含む高度なエンドポイント管理とセキュリティ機能が含まれています。

Windows および登録済みの Android Enterprise 専用デバイスでは、米国政府機関 GCC 環境でリモート ヘルプを使用できます。

これらの機能の詳細については、以下を参照してください。

• 米国政府機関 GCC サービスの説明に関するMicrosoft Intune
• Microsoft Intuneでリモート ヘルプを使用する

適用対象:

• Windows 10 または 11
• ARM64 デバイスのWindows 10/11
• Windows 365
• Android Enterprise 専用デバイスとして登録されている Samsung デバイスと Zebra デバイス

デバイス構成

OEM 向けの新しい BIOS デバイス構成プロファイル

OEM 用の新しい BIOS 構成とその他の設定 デバイス構成ポリシーがあります。 管理者は、この新しいポリシーを使用して、デバイスをセキュリティで保護するさまざまな BIOS 機能を有効または無効にすることができます。 Intuneデバイス構成ポリシーでは、BIOS 構成ファイルを追加し、Win32 アプリをデプロイしてから、デバイスにポリシーを割り当てます。

たとえば、管理者は Dell Command ツール (Dell の Web サイトを開く) を使用して BIOS 構成ファイルを作成できます。 次に、このファイルを新しいIntune ポリシーに追加します。

この機能の詳細については、「Microsoft Intuneの Windows デバイスで BIOS 構成プロファイルを使用する」を参照してください。

適用対象

• Windows 10 以降

2024 年 3 月 25 日の週 (サービス リリース 2403)

Microsoft Intune Suite

エンドポイント特権管理の新しい昇格の種類

Endpoint Privilege Management には、新しいファイル昇格の種類があり、 サポートが承認されています。 Endpoint Privilege Management は、Microsoft Intune Suiteの機能コンポーネントであり、スタンドアロン Intune アドオンとしても使用できます。

サポートが承認された昇格では、既定の昇格応答と各ルールの昇格の種類の両方に対して 3 番目のオプションが提供されます。 自動またはユーザーによる確認とは異なり、サポートが承認された昇格要求では、Intune管理者は、ケース バイ ケースで管理者特権で実行できるファイルを管理する必要があります。

承認された昇格をサポートすると、ユーザーは、自動またはユーザーが承認したルールによって昇格が明示的に許可されていないアプリケーションを昇格するための承認を要求できます。 これは、昇格要求を承認または拒否できるIntune管理者が確認する必要がある昇格要求の形式をとります。

要求が承認されると、アプリケーションを管理者特権で実行できるようになり、昇格の承認が期限切れになるまでに、承認時から 24 時間が経過すると、ユーザーに通知されます。

適用対象:

• Windows 10
• Windows 11

この新機能の詳細については、「 承認済みの昇格要求をサポートする」を参照してください。

アプリ管理

仕事用プロファイルを持つ個人所有の Android デバイス上のマネージド Google Play アプリの拡張機能

仕事用プロファイル デバイスに拡張された新機能があります。 次の機能は、以前は企業所有のデバイスでのみ使用できます。

• デバイス グループで使用できるアプリ: Intuneを使用して、マネージド Google Play ストアを通じてデバイス グループでアプリを使用できるようにします。 以前は、アプリはユーザー グループでのみ使用できました。

• 更新の優先度設定: Intuneを使用して、仕事用プロファイルを持つデバイスでアプリの更新の優先順位を構成できます。 この設定の詳細については、「 マネージド Google Play アプリを更新する」を参照してください。

• 必要なアプリは、マネージド Google Play で使用可能な場合に表示されます。Intuneを使用して、マネージド Google Play ストアを通じてユーザーが必要なアプリを使用できるようにします。 既存のポリシーの一部であるアプリが使用可能として表示されるようになりました。

これらの新機能は、複数月にわたって段階的なロールアウトに従います。

適用対象:

• 仕事用プロファイルがある個人所有の Android Enterprise デバイス

デバイス構成

Apple 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。 Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

[設定カタログ] に新しい設定があります。 これらの設定を表示するには、Microsoft Intune管理センターで、[デバイス>>の管理] [デバイスの構成の作成] [>新しいポリシー>の作成>]iOS/iPadOS または macOS の [プロファイルの種類のプラットフォーム>設定カタログ] に移動します。

iOS/iPadOS

宣言型デバイス管理 (DDM) > パスコード:

• パスコードの最長有効期間 (日数)
• 最小複合文字
• 英数字パスコードを要求する

制限事項:

• Marketplace アプリのインストールを許可する

macOS

宣言型デバイス管理 (DDM) > パスコード:

• 次回認証時に変更する
• カスタム正規表現
• 失敗した試行のリセット (分単位)
• パスコードの最長有効期間 (日数)
• 最小複合文字
• 英数字パスコードを要求する

ディスクの完全暗号化 > FileVault:

• 回復キーのローテーション (月単位)

Windows 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[設定カタログ] に新しい設定があります。 これらの設定を表示するには、Microsoft Intune管理センターで、[デバイス>>の管理][デバイスの構成>の作成>] ポリシー>Windows 10以降の [プロファイルの種類] の [>設定カタログ] に移動します。

• 配信の最適化:

  • [VPN でのキャッシュ サーバーのダウンロードを禁止する ] - この設定では、デバイスが VPN を使用して接続するときに、Microsoft Connected Cache サーバーからのダウンロードがブロックされます。 既定では、VPN を使用して接続されている場合、デバイスは Microsoft Connected Cache からダウンロードできます。

  • DO バックグラウンド ダウンロード帯域幅を制限する時間を設定する - この設定では、バックグラウンドダウンロードの最大帯域幅を指定します。 配信の最適化では、利用可能なダウンロード帯域幅の割合として、すべての同時ダウンロード アクティビティで、営業時間中と営業時間外にこの帯域幅が使用されます。

  • DO 前景ダウンロード帯域幅を制限するように時間を設定する - この設定では、フォアグラウンドダウンロードの最大帯域幅を指定します。 配信の最適化では、利用可能なダウンロード帯域幅の割合として、すべての同時ダウンロード アクティビティで、営業時間中と営業時間外にこの帯域幅が使用されます。

  • DO VPN キーワード - このポリシーを使用すると、VPN 接続を認識するために使用される 1 つ以上のキーワードを設定できます。

• メッセージング:

  • メッセージ同期を許可 する - このポリシー設定では、携帯ネットワーク テキスト メッセージのバックアップと復元を Microsoft のクラウド サービスに許可します。

• Microsoft Defenderウイルス対策:

  • アーカイブ ファイルをスキャンする最大深度を指定する
  • スキャンするアーカイブ ファイルの最大サイズを指定する

これらの設定の詳細については、次を参照してください。

• ポリシー CSP - DeliveryOptimization
• ポリシー CSP - メッセージング
• ポリシー CSP - ADMX_MicrosoftDefenderAntivirus

適用対象:

• Windows 10 以降

Windows デバイスのウイルス対策ポリシーに追加された新しいアーカイブ ファイル スキャン設定

Windows 10 および Windows 11 デバイスに適用されるエンドポイント セキュリティウイルス対策ポリシーの Microsoft Defender ウイルス対策プロファイルに、次の 2 つの設定を追加しました。

• アーカイブ ファイルをスキャンする最大深度を指定 する - この設定を使用すると、スキャン中に .ZIP や .CAB などのアーカイブ ファイルを開梱する最大ディレクトリ深度レベルを構成できます。
• スキャンするアーカイブ ファイルの最大サイズを指定 する - この設定を使用すると、スキャンされる .ZIP や .CAB などのアーカイブ ファイルの最大サイズを構成できます。 値は、ファイル サイズ (KB) をキロバイト単位で表します。

ウイルス対策ポリシーを使用すると、Intuneによって登録されたデバイスと、Defender for Endpoint セキュリティ設定管理シナリオで管理されているデバイスで、これらの設定を管理できます。

どちらの設定も、[デバイス>の管理>] の [設定] カタログで[構成] [>新しいポリシー>の作成>Windows 10プロファイルの種類>の [Defender] の [>設定カタログ] で使用できます。

適用対象:

• Windows 10
• Windows 11

割り当てフィルターへのUpdates

Intune割り当てフィルターを使用して、作成したルールに基づいてポリシーを割り当てることができます。

これで、次のことができます。

• Window MAM アプリ保護ポリシーとアプリ構成ポリシーには、マネージド アプリ割り当てフィルターを使用します。
• 既存の割り当てフィルターを [プラットフォーム]、[ マネージド アプリ ] または [ マネージド デバイス ] フィルターの種類でフィルター処理します。 フィルターが多数ある場合、この機能を使用すると、作成した特定のフィルターを簡単に見つけることができます。

これらの機能の詳細については、以下を参照してください。

• Microsoft Intune でアプリ、ポリシー、プロファイルを割り当てるときにフィルター を使用する
• Windows MAM のデータ保護

この機能は、以下に適用されます。

• 次のプラットフォーム上のマネージド デバイス:

  • Android デバイス管理者
  • Android Enterprise
  • Android (AOSP)
  • iOS/iPadOS
  • macOS
  • Windows 10 または 11

• 次のプラットフォーム上のマネージド アプリ:

  • Android
  • iOS/iPadOS
  • Windows

デバイス管理

新しいコンプライアンス設定を使用すると、ハードウェアに基づくセキュリティ機能を使用してデバイスの整合性を確認できます

ハードウェアに基づくセキュリティ機能を使用して強力な整合性を確認するという新しいコンプライアンス設定を使用すると、ハードウェアに基づくキー構成証明を使用してデバイスの整合性を確認できます。 この設定を構成すると、強力な整合性構成証明が Google Play の整合性判定評価に追加されます。 準拠を維持するには、デバイスがデバイスの整合性を満たす必要があります。 Microsoft Intuneは、この種類の整合性チェックをサポートしていないデバイスを非準拠としてマークします。

この設定は、Android Enterprise のフル マネージド、専用、および企業所有の仕事用プロファイルの [ Device Health>Google Play Protect] で使用できます。 これは、プロファイルの [Play integrity verdict policy] が [ 基本的な整合性の確認 ] または [デバイスの整合性 & 基本的な整合性の確認] に設定されている場合にのみ使用できるようになります。

適用対象:

• Android Enterprise

詳細については、「 デバイスコンプライアンス - Google Play Protect」を参照してください。

Android 仕事用プロファイル、個人用デバイスの新しいコンプライアンス設定

これで、デバイス パスワードに影響を与えることなく、仕事用プロファイル パスワードのコンプライアンス要件を追加できるようになりました。 すべての新しいMicrosoft Intune設定は、Android Enterprise 個人所有の仕事用プロファイルの [システム セキュリティ>作業プロファイル セキュリティ] のコンプライアンス プロファイルで使用でき、次のものが含まれます。

• 仕事用プロファイルのロックを解除するためにパスワードを要求する
• パスワードの有効期限が切れるまでの日数
• 再使用を禁止するパスワード世代数
• パスワードが要求されるまでの非アクティブの最長時間 (分)
• パスワードの複雑さ
• パスワードの入力が必要
• パスワードの最小文字数

仕事用プロファイルのパスワードが要件を満たしていない場合、ポータル サイトデバイスは非準拠としてマークされます。 Intuneコンプライアンス設定は、Intuneデバイス構成プロファイルのそれぞれの設定よりも優先されます。 たとえば、コンプライアンス プロファイルのパスワードの複雑さは [中] に設定されます。 デバイス構成プロファイルのパスワードの複雑さは 高に設定されています。 Intuneコンプライアンス ポリシーの優先順位付けと適用を行います。

適用対象:

• 仕事用プロファイルがある個人所有の Android Enterprise デバイス

詳細については、「 コンプライアンス設定 - Android Enterprise」を参照してください。

セキュリティ以外の更新プログラムを迅速化するための Windows 品質更新プログラムのサポート

Windows 品質更新プログラムでは、品質修正プログラムを通常の品質更新プログラムの設定よりも速く展開する必要がある場合に、セキュリティ以外の更新プログラムの迅速化がサポートされるようになりました。

適用対象:

• Windows 11 デバイス

迅速な更新プログラムのインストールの詳細については、「Microsoft Intuneでの Windows 品質更新プログラムの迅速化」を参照してください。

構成更新の適用間隔を一時停止するリモート アクションの概要

Windows 設定カタログでは、 構成の更新を構成できます。 この機能を使用すると、以前に受信したポリシー設定を Windows デバイスに再適用する間隔を設定できます。デバイスをIntuneにチェックする必要はありません。 デバイスは、構成ドリフトの可能性を最小限に抑えるために、以前に受信したポリシーに基づいて設定を再生して再適用します。

この機能をサポートするために、操作の一時停止を許可するリモート アクションが追加されます。 管理者がトラブルシューティングやメンテナンスのためにデバイスで変更を加えたり修復を実行したりする必要がある場合は、指定した期間、Intuneから一時停止を発行できます。 期間が期限切れになると、設定が再度適用されます。

リモート アクション [ 構成の更新の一時停止] には、デバイスの概要ページからアクセスできます。

詳細については、以下を参照してください:

• リモート操作
• 構成の更新を一時停止するリモート アクション

デバイスのセキュリティ

Windows バージョン 23H2 のセキュリティ ベースラインを更新しました

Windows バージョン 23H2 のIntuneセキュリティ ベースラインをデプロイできるようになりました。 この新しいベースラインは、Microsoft ダウンロード センターのセキュリティ コンプライアンス ツールキットとベースラインにあるグループ ポリシーセキュリティ ベースラインのバージョン 23H2 に基づいており、Intuneによって管理されるデバイスに適用される設定のみが含まれます。 この更新されたベースラインを使用すると、Windows デバイスのベスト プラクティス構成を維持するのに役立ちます。

このベースラインでは、設定カタログに表示される統合設定プラットフォームが使用されます。 これは、改善されたユーザーインターフェイスとレポートの経験、入れ墨の設定に関連する一貫性と精度の向上を備え、プロファイルの割り当てフィルタをサポートすることができます。

Intuneセキュリティ ベースラインを使用すると、Microsoft の該当するセキュリティ チームのセキュリティに関する推奨事項を満たす構成を Windows デバイスに迅速に展開できます。 すべてのベースラインと同様に、既定のベースラインは推奨される構成を表します。これは、organizationの要件を満たすように変更できます。

適用対象:

• Windows 10
• Windows 11

既定の構成に含まれる新しいベースラインの設定を表示するには、「 Windows MDM セキュリティ ベースライン バージョン 23H2」を参照してください。

ポッドマンのルートレス実装を使用して Microsoft Tunnel をホストする

前提条件が満たされたら、ルートレス Podman コンテナーを使用して Microsoft Tunnel サーバーをホストできます。 この機能は、 Podman for Red Hat Enterprise Linux (RHEL) バージョン 8.8 以降を使用して Microsoft Tunnel をホストする場合に使用できます。

ルートレス Podman コンテナーを使用する場合、mstunnel サービスは特権のないサービス ユーザーの下で実行されます。 この実装は、コンテナー エスケープからの影響を制限するのに役立ちます。 ルートレス Podman コンテナーを使用するには、変更されたコマンド ラインを使用してトンネル インストール スクリプトを開始する必要があります。

この Microsoft Tunnel インストール オプションの詳細については、「 ルートレス Podman コンテナーを使用する」を参照してください。

Microsoft Defender for EndpointのIntuneデプロイの機能強化

Intuneのエンドポイント検出と応答 (EDR) ポリシーを使用する場合にMicrosoft Defenderするオンボード デバイスのエクスペリエンス、ワークフロー、レポートの詳細を改善し、簡略化しました。 これらの変更は、Intuneとテナントアタッチ シナリオによって管理される Windows デバイスに適用されます。 これらの機能強化は次のとおりです。

• Defender EDR 展開番号の可視性を向上させるために、EDR ノード、ダッシュボード、レポートに対する変更。 「エンドポイントの検出と応答ノードについて」を参照してください。

• 適切な Windows デバイスへの Defender for Endpoint の展開を合理化する構成済みの EDR ポリシーを展開するための新しいテナント全体のオプション。 「事前構成済みの EDR ポリシーを使用する」を参照してください。

• エンドポイント セキュリティ ノードのIntuneの [概要] ページへの変更。 これらの変更により、管理対象デバイス上の Defender for Endpoint からのデバイス信号のレポートが統合されたビューが提供されます。 「事前構成済みの EDR ポリシーを使用する」を参照してください。

これらの変更は、管理センターのエンドポイント のセキュリティとエンドポイントの検出と応答のノードと、次のデバイス プラットフォームに適用されます。

• Windows 10
• Windows 11

Windows 品質更新プログラムでは、セキュリティ以外の更新プログラムの迅速化がサポートされます

Windows 品質更新プログラムでは、品質修正プログラムを通常の品質更新プログラムの設定よりも速く展開する必要がある場合に、セキュリティ以外の更新プログラムの迅速化がサポートされるようになりました。

適用対象:

• Windows 11 デバイス

迅速な更新プログラムのインストールの詳細については、「Microsoft Intuneでの Windows 品質更新プログラムの迅速化」を参照してください。

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• Cerby by Cerby, Inc.
• OfficeMail Go by 9Folders, Inc.
• DealCloud by Intapp, Inc.
• Intapp 2.0 by Intapp, Inc.

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

2024 年 3 月 3 日の週

デバイスの登録

Windows Hello for Businessの登録設定に対するロールベースのアクセス制御の変更

Windows Hello for Businessの登録領域でロールベースのアクセス制御 (RBAC) を更新しました。 Windows Hello for Businessに関連する登録設定は、Intune サービス管理者を除くすべてのロールに対して読み取り専用です。 Intune サービス管理者は、登録設定Windows Hello for Business作成および編集できます。

詳細については、「デバイス登録時のWindows Hello」の「ロールベースのアクセス制御」を参照してください。

デバイスのセキュリティ

Windows Hello for Businessの新しい登録構成

新しいWindows Hello for Business登録設定である [拡張サインイン セキュリティを有効にする] は、Intune 管理センターで使用できます。 強化されたサインイン セキュリティは、悪意のあるユーザーが外部周辺機器を介してユーザーの生体認証にアクセスできないようにするWindows Hello機能です。

この設定の詳細については、「Windows Hello for Business ポリシーを作成する」を参照してください。

準拠していない電子メール通知でサポートされる HTML 形式

Intuneでは、すべてのプラットフォームでコンプライアンス違反の電子メール通知の HTML 形式がサポートされるようになりました。 サポートされている HTML タグを使用して、斜体、URL リンク、箇条書きなどの書式設定をorganizationのメッセージに追加できます。

詳細については、「 通知メッセージ テンプレートを作成する」を参照してください。

2024 年 2 月 26 日の週

Microsoft Intune Suite

新しいMicrosoft クラウド PKI サービス

Microsoft クラウド PKI サービスを使用して、Intuneマネージド デバイスの証明書ライフサイクル管理を簡素化および自動化します。 Microsoft クラウド PKIは、Microsoft Intune Suiteの機能コンポーネントであり、スタンドアロン Intune アドオンとしても使用できます。 クラウドベースのサービスは、organization専用の PKI インフラストラクチャを提供し、オンプレミスのサーバー、コネクタ、またはハードウェアを必要としません。 Microsoft クラウド PKIは、SCEP 証明書デバイス構成プロファイルをサポートするすべての OS プラットフォームの証明書を自動的に発行、更新、取り消します。 発行された証明書は、証明書ベースの認証をサポートする Wi-Fi、VPN、およびその他のサービスの証明書ベースの認証に使用できます。 詳細については、「Microsoft クラウド PKIの概要」を参照してください。

適用対象:

• Windows
• Android
• iOS/iPadOS
• macOS

Intune アプリ

Intune 用に新しく利用可能になった保護されたアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• Cinebody by Super 6 LLC

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

2024 年 2 月 19 日の週 (サービス リリース 2402)

アプリ管理

Android アプリのその他のアプリ構成アクセス許可

アプリ構成ポリシーを使用して Android アプリ用に構成できる 6 つの新しいアクセス許可があります。 以下にその例を示します。

• 背景のボディ センサー データを許可する
• メディア ビデオ (読み取り)
• メディア イメージ (読み取り)
• メディア オーディオ (読み取り)
• 近くの Wifi デバイス
• 近くのデバイス

Android アプリのアプリ構成ポリシーを使用する方法の詳細については、「管理対象 Android Enterprise デバイスのアプリ構成ポリシーを追加する」を参照してください。

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• Bob HR by Hi Bob Ltd
• ePRINTit SaaS by ePRINTit USA LLC
• Microsoft Corporation によるMicrosoft Copilot

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

Windows で Intune 管理拡張機能に更新する

拡張された機能とバグ修正をサポートするには、.NET Framework 4.7.2 以降と Windows クライアントのIntune管理拡張機能を使用します。 Windows クライアントが以前のバージョンの.NET Frameworkを引き続き使用する場合、Intune管理拡張機能は引き続き機能します。 .NET Framework 4.7.2 は、Windows 10 1809 (RS5) 以降に含まれる 2018 年 7 月 10 日の時点でWindows Updateから入手できます。 デバイス上で複数のバージョンの.NET Frameworkを共存させることができます。

適用対象:

• Windows 10
• Windows 11

デバイス構成

エンドポイント特権管理 (EPM) ポリシーで割り当てフィルターを使用する

割り当てフィルターを使用して、作成したルールに基づいてポリシーを割り当てることができます。 フィルターを使用すると、特定の OS バージョンのデバイスや特定の製造元を対象とするなど、ポリシーの割り当てスコープを絞り込みます。

エンドポイント特権管理 (EPM) ポリシーでフィルターを使用できます。

詳細については、以下を参照してください:

• Intune でアプリ、ポリシー、プロファイルを割り当てるときにフィルターを使用する
• Intuneのフィルターでサポートされているプラットフォーム、ポリシー、アプリの種類の一覧

適用対象:

• Windows 10
• Windows 11

Apple 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[設定カタログ] に新しい設定があります。 これらの設定を表示するには、Microsoft Intune管理センターで、[デバイス>>の管理] [デバイスの構成の作成] [>新しいポリシー>の作成>]iOS/iPadOS または macOS の [プロファイルの種類のプラットフォーム>設定カタログ] に移動します。

iOS/iPadOS

• 制限

  • ライブ ボイスメールを許可する
  • 教室での画面の監視を強制する
  • 消去時に ESIM を強制的に保持する

macOS

• ディスクの完全暗号化 > セットアップ アシスタントで FileVault> Force Enable を有効にする
• 制限> 教室での画面の監視を強制する

詳細については、以下を参照してください:

• Intuneで macOS に FileVault ディスク暗号化を使用する
• 設定カタログを使用してポリシーを作成する

最大 20 個のカスタム ADMX および ADML 管理テンプレートをインポートする

カスタム ADMX および ADML 管理テンプレートは、Microsoft Intuneでインポートできます。 以前は、最大 10 個のファイルをインポートできました。 これで、最大 20 個のファイルをアップロードできます。

適用対象:

• Windows 10
• Windows 11

この機能の詳細については、「カスタム ADMX および ADML 管理テンプレートを Microsoft Intune にインポートする (パブリック プレビュー)」を参照してください。

Android Enterprise デバイスで MAC アドレスのランダム化を更新するための新しい設定

Android Enterprise デバイスには、新しい MAC アドレスのランダム化設定があります (デバイス>の管理>デバイス構成 作成>>新しいポリシー>Android Enterprise for platform >フル マネージド、Dedicated、Corporate-Owned プロファイルの種類の仕事用プロファイル>Wi-Fi)。

Android 10 以降では、ネットワークに接続するときに、デバイスは物理 MAC アドレスではなくランダム化された MAC アドレスを提示します。 デバイスを MAC アドレスで追跡するのが難しいため、プライバシーにはランダム化された MAC アドレスを使用することをお勧めします。 ただし、ランダム化された MAC アドレスは、ネットワーク アクセス制御 (NAC) を含む静的 MAC アドレスに依存する機能を中断します。

次のようなオプションがあります。

• デバイスの既定値を使用する: Intuneこの設定は変更または更新されません。 既定では、ネットワークに接続すると、デバイスは物理 MAC アドレスではなくランダム化された MAC アドレスを提示します。 ユーザーが設定に対して行った更新はすべて保持されます。

• ランダム化された MAC を使用する: デバイスで MAC アドレスのランダム化を有効にします。 デバイスが新しいネットワークに接続すると、デバイスは物理 MAC アドレスではなく、ランダム化された MAC アドレスを提示します。 ユーザーがデバイスでこの値を変更すると、次のIntune同期でランダム化された MAC を使用するようにリセットされます。

• デバイス MAC を使用する: デバイスに、ランダム MAC アドレスではなく実際の Wi-Fi MAC アドレスを提示するように強制します。 この設定を使用すると、デバイスを MAC アドレスで追跡できます。 ネットワーク アクセス制御 (NAC) のサポートなど、必要な場合にのみこの値を使用します。 ユーザーがデバイスでこの値を変更すると、次のIntune同期でデバイス MAC を使用するようにリセットされます。

適用対象:

• Android 13 以降

構成できる Wi-Fi 設定の詳細については、「Microsoft Intuneでの Android Enterprise 専用およびフル マネージド デバイスの Wi-Fi 設定の追加」を参照してください。

Windows 設定カタログのCopilot in Windows設定をオフにする

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[設定カタログ] に新しい設定があります。 この設定を確認するには、Microsoft Intune管理センターで、[デバイスの管理]>>[デバイスの構成の>作成] [新しいポリシー>の作成>] [Windows for platform >Settings catalog for profile type]\(プロファイルの種類\) に移動します。

• Windows AI > Copilot in Windowsをオフにする (ユーザー)

  • このポリシー設定を有効にした場合、ユーザーは Copilot を使用できません。 タスク バーに Copilot アイコンが表示されません。
  • このポリシー設定を無効にした場合、または構成していない場合、ユーザーは Copilot を使用できるときに使用できます。

この設定では、 ポリシー CSP - WindowsAI が使用されます。

ユーザー スコープとデバイス スコープなど、Intuneでの設定カタログ ポリシーの構成の詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

適用対象:

• Windows 10 以降

Windows Autopilot の自己展開モードが一般公開されました

Windows Autopilot の自己展開モードが一般公開され、プレビュー対象外になりました。 Windows Autopilot 自己展開モードを使用すると、ユーザー操作をほとんどまたはまったく行っていない Windows デバイスを展開できます。 デバイスがネットワークに接続されると、デバイス プロビジョニング プロセスが自動的に開始されます。デバイスはMicrosoft Entra IDに参加し、Intuneに登録し、デバイスを対象とするすべてのデバイス ベースの構成を同期します。 自己展開モードでは、すべてのデバイス ベースの構成が適用されるまで、ユーザーがデスクトップにアクセスできないようにします。 OOBE 中に登録状態ページ (ESP) が表示されるため、ユーザーはデプロイの状態を追跡できます。 詳細については、以下を参照してください:

• Windows Autopilot 自己展開モード
• Intuneでの Windows Autopilot 自己展開モードのステップ バイ ステップ チュートリアル

この情報は、 Windows Autopilot: 新機能でも公開されています。

事前プロビジョニングされた展開用の Windows Autopilot が一般公開されました

事前プロビジョニングされた展開用の Windows Autopilot が一般公開され、プレビュー対象外になりました。 事前にプロビジョニングされた展開用の Windows Autopilot は、ユーザーがデバイスにアクセスする前にデバイスがビジネス対応であることを確認する組織によって使用されます。 事前プロビジョニングにより、管理者、パートナー、または OEM は、すぐに使用できるエクスペリエンス (OOBE) から技術者フローにアクセスし、デバイスのセットアップを開始できます。 次に、ユーザー フェーズでプロビジョニングを完了したユーザーにデバイスが送信されます。 事前プロビジョニングでは、ほとんどの構成が事前に提供されるため、エンド ユーザーはデスクトップにすばやくアクセスできます。 詳細については、以下を参照してください:

• 事前プロビジョニングされた展開用の Windows Autopilot。
• 事前にプロビジョニングされた展開用の Windows Autopilot のステップ バイ ステップ チュートリアルMicrosoft Entra参加Intune
• Intuneでのハイブリッド参加Microsoft Entra事前プロビジョニング済み展開用の Windows Autopilot のステップ バイ ステップ チュートリアル。

この情報は、 Windows Autopilot: 新機能でも公開されています。

デバイスの登録

Windows Autopilot の事前プロビジョニング中に必要なアプリをインストールするための ESP 設定

[ 技術者フェーズで選択されたブロック アプリのみ失敗 する] 設定が、登録状態ページ (ESP) プロファイルで構成するために一般公開されるようになりました。 この設定は、 ブロックアプリ が選択されている ESP プロファイルにのみ表示されます。

詳細については「登録状態ページの設定」を参照してください。

macOS 自動デバイス登録用の新しいローカル プライマリ アカウント構成

Apple 自動デバイス登録を使用して、Intuneに登録する Mac のローカル プライマリ アカウント設定を構成します。 macOS 10.11 以降を実行しているデバイスでサポートされているこれらの設定は、新しい [アカウント設定] タブの下の新規および既存の登録プロファイルで使用できます。この機能を機能させるには、登録プロファイルをユーザーとデバイスのアフィニティと次のいずれかの認証方法で構成する必要があります。

• 先進認証を使用したセットアップ アシスタント
• セットアップ アシスタント (レガシ)

適用対象:

• macOS 10.11 以降

macOS アカウント設定の詳細については、「Intuneで Apple 登録プロファイルを作成する」を参照してください。

macOS 自動デバイス登録の最終構成を待つ

一般公開された await final configuration では、セットアップ アシスタントの最後にロックされたエクスペリエンスが有効になり、重要なデバイス構成ポリシーがデバイスに確実にインストールされるようになります。 ロックされたエクスペリエンスは、新しい登録プロファイルと既存の登録プロファイルを対象とするデバイスで機能し、次のいずれかの認証方法を使用して登録します。

• 先進認証を使用したセットアップ アシスタント
• セットアップ アシスタント (レガシ)
• ユーザー デバイス アフィニティなし

適用対象:

• macOS 10.11 以降

await final configuration を有効にする方法については、「 Apple 登録プロファイルを作成する」を参照してください。

デバイス管理

AOSP デバイスは、約 15 分ごとに新しいタスクと通知をチェックします

Android (AOSP) 管理に登録されているデバイスでは、Intuneは約 15 分ごとに新しいタスクと通知をチェックしようとします。 この機能を使用するには、デバイスで Intune アプリ バージョン 24.02.4 以降を使用している必要があります。

適用対象:

• Android (AOSP)

詳細については、以下を参照してください:

• Google Mobile Services を使用しない環境でIntuneを使用する方法
• Intuneのポリシー更新間隔

Microsoft Intuneの Government クラウドの新しいデバイス管理エクスペリエンス

政府機関向けクラウドでは、Intune管理センターに新しいデバイス管理エクスペリエンスがあります。 [デバイス] 領域に一貫性のある UI が追加され、より多くの機能を備えたコントロールとナビゲーション構造が改善され、必要なものを迅速に見つけることができます。

テナントが更新される前に新しいエクスペリエンスを試す場合は、[デバイスの概要] に移動し、[デバイス>の今後の変更をプレビューする] を選択し、フィードバック通知バナーを提供して、[今すぐ試す] を選択します。

ドライバーの一括承認

Windows ドライバー更新ポリシーで一括アクションを使用できるようになりました。 一括操作では、複数のドライバー更新プログラムを同時に承認、一時停止、または拒否できるため、時間と労力を節約できます。

ドライバーを一括承認する場合、ドライバーが該当するデバイスで使用できるようになる日付を設定して、ドライバーを一緒にインストールすることもできます。

適用対象:

• Windows 10
• Windows 11

詳細については、「ドライバーの 一括更新プログラム」を参照してください。

App Control for Business ポリシーの制限が解決されました

デバイスあたりのアクティブなポリシーの数を 32 に制限した、以前に説明した App Control for Business ポリシー (WDAC) の制限は、Windows によって解決されます。 この問題には、デバイスで 32 を超えるポリシーがアクティブになっている場合に、起動停止エラーが 発生する可能性があります。

この問題は、2024 年 3 月 12 日以降にリリースされた Windows セキュリティ更新プログラムWindows 10 1903 以降を実行するデバイスで解決されます。 以前のバージョンの Windows では、今後の Windows セキュリティ更新プログラムでこの修正プログラムを受け取る可能性があります。

適用対象:

• バージョン 1903 以降Windows 10

Intuneの App Control for Business ポリシーの詳細については、「App Control for Business ポリシーを使用して Windows デバイス用の承認済みアプリを管理する」および「Microsoft Intuneの管理されたインストーラー」を参照してください。

テナント管理

グループを除外するためのカスタマイズ ウィンドウのサポート

[カスタマイズ] ウィンドウで、ポリシーを割り当てるときに除外するグループの選択がサポートされるようになりました。 この設定は、Microsoft Intune管理センターで [テナント管理>のカスタマイズ] を選択することで確認できます。

詳細については、「Microsoft Intuneでのポリシーの割り当て」を参照してください。

2024 年 1 月 29 日の週

Microsoft Intune Suite

Microsoft Intune エンタープライズ アプリケーション管理

エンタープライズ アプリケーション管理は、Intuneで簡単にアクセスできる Win32 アプリケーションのエンタープライズ アプリ カタログを提供します。 これらのアプリケーションをテナントに追加するには、エンタープライズ アプリ カタログからアプリケーションを選択します。 Enterprise App Catalog アプリを Intune テナントに追加すると、既定のインストール、要件、検出設定が自動的に提供されます。 これらの設定も変更できます。 Intuneは、Microsoft ストレージで Enterprise App Catalog アプリをホストします。

詳細については、以下を参照してください:

• Intune Suite のアドオン機能を利用する
• Microsoft Intune エンタープライズ アプリケーション管理
• エンタープライズ アプリ カタログ アプリをMicrosoft Intuneに追加する

Microsoft Intune 高度分析

Intune 高度分析は、organizationのエンド ユーザー エクスペリエンスを包括的に可視化し、データ駆動型の分析情報を使用して最適化します。 これには、デバイス クエリを使用したデバイスに関するほぼリアルタイムのデータ、カスタム デバイス スコープでの可視性の向上、バッテリ正常性レポート、デバイスの問題のトラブルシューティングのための詳細なデバイス タイムライン、デバイス資産全体の潜在的な脆弱性やリスクを特定するための異常検出が含まれます。

• バッテリー正常性レポート

  バッテリー正常性レポートでは、organizationのデバイス内のバッテリーの正常性と、ユーザー エクスペリエンスへの影響が可視化されます。 このレポートのスコアと分析情報は、IT 管理者が資産管理と購入の意思決定を行い、ハードウェア コストのバランスを取りながらユーザー エクスペリエンスを向上させることを目的としています。

• 単一のデバイスでオンデマンド デバイス クエリを実行する

  Intuneを使用すると、デバイスの状態に関するオンデマンド情報をすばやく取得できます。 選択したデバイスでクエリを入力すると、Intuneはクエリをリアルタイムで実行します。

  返されたデータは、セキュリティ上の脅威への対応、デバイスのトラブルシューティング、またはビジネス上の意思決定に使用できます。

  適用対象:

  • Windows デバイス

Intune 高度分析は、Microsoft Intune Suiteの一部です。 柔軟性を高めるために、この新しい機能セットと既存の高度分析機能は、Intuneを含む Microsoft サブスクリプションの個々のアドオンとしても利用できるようになりました。

テナントまたは既存の高度分析機能でデバイス クエリとバッテリ正常性レポートを使用するには、次のいずれかのライセンスが必要です。

• Intune 高度分析 アドオン
• Microsoft Intune Suite アドオン

詳細については、以下を参照してください:

• Intune Suite のアドオン機能を利用する
• Microsoft Intune 高度分析
• バッテリーの正常性
• デバイス クエリ

2024 年 1 月 22 日の週 (サービス リリース 2401)

アプリ管理

マネージド Mac に最大 8 GB の DMG アプリと PKG アプリをインストールする

マネージド Mac でIntuneを使用してインストールできる DMG アプリと PKG アプリのサイズ制限が増えました。 新しい制限は 8 GB で、macOS 用のMicrosoft Intune管理エージェントを使用してインストールされるアプリ (DMG およびアンマネージド PKG) に適用されます。

DMG アプリと PKG アプリの詳細については、「macOS DMG アプリをMicrosoft Intuneに追加する」および「アンマネージド macOS PKG アプリをMicrosoft Intuneに追加する」を参照してください。

Surface Hub デバイスのストア署名付き LOB アプリのIntuneサポート

Intuneでは、ストア署名付き LOB アプリ (単一ファイル.appx、、.msix、.appxbundleおよび.msixbundle) の Surface Hub デバイスへの展開がサポートされるようになりました。 ストア署名付き LOB アプリのサポートにより、オフライン ストア アプリは、ビジネス向け Microsoft Storeの廃止後に Surface Hub デバイスに展開できます。

SMS/MMS メッセージを特定のアプリにルーティングする

アプリ保護ポリシーを構成して、エンド ユーザーがポリシー管理アプリからリダイレクトされた後に SMS/MMS メッセージを送信する場合に使用する必要がある SMS/MMS アプリを決定できます。 エンド ユーザーが SMS/MMS メッセージを送信する目的で数値を選択すると、アプリ保護設定を使用して、構成された SMS/MMS アプリにリダイレクトされます。 この機能は、 メッセージング データを設定に転送することに 関連し、iOS/iPadOS プラットフォームと Android プラットフォームの両方に適用されます。

詳細については、「 iOS アプリ保護ポリシー設定 」と 「Android アプリ保護ポリシー設定」を参照してください。

エンド ユーザー アプリの PIN リセット

PIN のアクセスを必要とするマネージド アプリの場合、許可されたエンド ユーザーはいつでもアプリ PIN をリセットできるようになりました。 iOS/iPadOS および Android アプリ保護ポリシーの [アクセスの PIN] 設定を選択することで、Intuneでアプリ PIN を要求できます。

アプリ保護ポリシーの詳細については、「アプリ保護 ポリシーの概要」を参照してください。

アプリ パッケージの最大サイズ

アプリを Intune にアップロードするための最大パッケージ サイズは、有料ユーザーの場合は 8 GB から 30 GB に変更されます。 試用版テナントは引き続き 8 GB に制限されています。

詳細については、「Microsoft Intune での Win32 アプリの管理」を参照してください。

デバイス構成

Android Enterprise デバイスの場所を無効にする新しい設定

Android Enterprise デバイスでは、管理者が場所を制御できるようにする新しい設定があります (デバイス>管理デバイス>構成> AndroidEnterprise for platform フル マネージド、専用、および Corporate-Owned プロファイルの種類全般に関する仕事用プロファイル > デバイス制限の作成>>):>>

• 場所: [ブロック] を 選択すると、デバイスの [場所 ] 設定が無効になり、ユーザーがオンにできなくなります。 この設定を無効にすると、デバイスの場所に依存するその他の設定 (デバイスの リモート 検索アクションなど) が影響を受けます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS ではデバイス上の場所の使用が許可される場合があります。

適用対象:

• Android Enterprise

構成できる設定の詳細については、「Android Enterprise デバイス設定の一覧」を参照して、Intuneを使用して企業所有デバイスの機能を許可または制限します。

iOS/iPadOS および macOS デバイスの設定カタログのマネージド ソフトウェア更新プログラムの日付と時刻の選択

設定カタログを使用して、iOS/iPadOS および macOS デバイスで管理された更新プログラムを適用するには、日付と時刻を入力します (デバイス>の構成>の>作成新しいポリシー>の作成>iOS/iPadOS または macOS for platform >Settings catalog for profile type >宣言型デバイス管理>ソフトウェア更新)。

以前は、日付と時刻を手動で入力する必要がありました。 次に、[ ターゲット ローカル日付時刻 ] 設定の日付と時刻の選択を行います。

宣言型デバイス管理 (DDM) > ソフトウェア更新プログラム:

• ターゲット ローカル日付時刻

重要

2024 年 1 月のリリースより前にこの設定を使用してポリシーを作成すると、この設定に値が表示されます Invalid Date 。 更新プログラムは引き続き正しくスケジュールされており、 が表示されていても、最初に構成した値を使用します Invalid Date。

新しい日付と時刻を構成するには、値を Invalid Date 削除し、日付時刻ピッカーを使用して新しい日付と時刻を選択します。 または、新しいポリシーを作成することもできます。

適用対象:

• iOS/iPadOS
• macOS

Intuneでのマネージド ソフトウェア更新プログラムの構成の詳細については、「設定カタログを使用してマネージド ソフトウェア更新プログラムを構成する」を参照してください。

デバイス管理

Microsoft Intuneでの新しいデバイス管理エクスペリエンス

Intune管理センターでデバイス管理エクスペリエンスの更新プログラムをロールアウトしています。 [デバイス] 領域に一貫性のある UI が追加され、より多くの機能を備えたコントロールとナビゲーション構造が改善され、必要なものを迅速に見つけることができます。 以前はパブリック プレビューだった新しいエクスペリエンスは、今後数週間にわたって一般提供のために徐々にロールアウトされます。 パブリック プレビュー エクスペリエンスは、テナントが更新プログラムを受け取るまで引き続き使用できます。

この新しい管理センター エクスペリエンスの可用性は、テナントによって異なります。 いくつかの更新プログラムはすぐに表示されますが、多くのユーザーには数週間新しいエクスペリエンスが表示されない場合があります。 Government クラウドの場合、このエクスペリエンスの可用性は 2024 年 2 月下旬頃に推定されます。

ロールアウトのタイムラインにより、新しい管理センター レイアウトへの移行を容易にするために、ドキュメントをできるだけ早く新しいエクスペリエンスに更新しています。 この移行中にサイド バイ サイド コンテンツ エクスペリエンスを提供することはできず、新しいエクスペリエンスに合わせたドキュメントを提供することで、より多くの顧客に価値をもたらすと考えています。 新しいエクスペリエンスを試して、テナントを更新する前にドキュメントの手順に合わせる場合は、[デバイスの概要] に移動し、[デバイス>への今後の変更をプレビューする] と読み上がる通知バナーを選択してフィードバックを提供し、[今すぐ試す] を選択します。

BlackBerry Protect Mobile でアプリ保護ポリシーがサポートされるようになりました

BlackBerry Protect Mobile (Cylance AI を利用) でIntuneアプリ保護ポリシーを使用できるようになりました。 この変更により、Intuneでは、登録されていないデバイスのモバイル アプリケーション管理 (MAM) シナリオに対して BlackBerry Protect Mobile がサポートされます。 このサポートには、条件付きアクセスでのリスク評価の使用と、登録されていないデバイスの条件付き起動設定の構成が含まれます。

CylancePROTECT Mobile コネクタ (旧称 BlackBerry Mobile) の構成中に、Android デバイスと iOS/iPadOS デバイスの両方アプリ保護ポリシー評価を有効にするオプションを選択できるようになりました。

詳細については、「BlackBerry Protect Mobile のセットアップ」および「Intuneを使用して Mobile Threat Defense アプリ保護ポリシーを作成する」を参照してください。

デバイスのセキュリティ

Microsoft Defender for Endpointによって管理されるデバイスのIntune Defender Update コントロール ポリシーのサポート

Microsoft Intune管理センターから、Microsoft Defender for Endpointセキュリティ設定管理機能を使用して管理するデバイスで、Defender Update コントロールのエンドポイント セキュリティ ポリシー (ウイルス対策ポリシー) を使用できるようになりました。

• Defender Update コントロール ポリシーは、エンドポイント セキュリティ ウイルス対策ポリシーの一部です。

Windows 10、Windows 11、および Windows Server プラットフォームを使用する場合、次に適用されます。

• Windows 10
• Windows 11

このサポートが利用可能になると、Defender for Endpoint によって管理されている間にこのポリシーが割り当てられたが、Intuneに登録されていないデバイスは、ポリシーの設定を適用するようになります。 ポリシーを確認して、ポリシーを受け取る予定のデバイスのみがポリシーを取得することを確認します。

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• PrinterOn Print by PrinterOn, Inc. (iOS/iPadOS)
• MFB Technologies, Inc. (iOS/iPadOS) によるIntuneに合わせる

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

監視とトラブルシューティング

デバイスのレポートの監視

Intuneでは、すべてのデバイス監視レポートの新しい一覧を表示できます。 これらのレポートは、管理センター Microsoft Intune [デバイス>モニター] を選択することで確認できます。 [ モニター ] ウィンドウには、構成、コンプライアンス、登録、ソフトウェアの更新に関連するレポートが表示されます。 さらに、表示できるその他のレポート ( デバイス アクションなど) もあります。

詳細については、「Intune レポート」を参照してください。

エクスポートされたレポート データは検索結果を保持します

Intuneレポート データをエクスポートするときに、レポートの検索とフィルター処理の結果を維持できるようになりました。 たとえば、 非準拠デバイスと設定 レポートを使用し、OS フィルターを "Windows" に設定し、"PC" を検索すると、エクスポートされたデータには名前に "PC" が含まれる Windows デバイスのみが含まれます。 この機能は、API を直接呼び出 ExportJobs すときにも使用できます。

Microsoft Tunnel サーバーの診断ログの簡単なアップロード

これで、Intune管理センター内で 1 回のクリックを使用して、Tunnel Gateway Server の 8 時間の詳細ログを Microsoft に有効、収集、送信Intuneできるようになりました。 その後、Microsoft と連携して Tunnel サーバーの問題を特定または解決するときに、詳細ログを参照できます。

対照的に、以前は詳細ログのコレクションでは、サーバーにサインオンし、手動タスクとスクリプトを実行して詳細ログを有効にして収集し、Microsoft に転送できる場所にコピーする必要があります。

この新しい機能を見つけるには、管理センターで [テナント管理>] [Microsoft Tunnel Gateway>] に移動し、サーバー>を選択して [ログ] タブを選択します。このタブには、[Send logs]\(ログの送信\) というラベルの付いた [詳細なサーバー ログの送信] という名前の新しいセクションと、Microsoft に収集および送信されたさまざまなログ セットを表示するリスト ビューがあります。

[ ログの送信 ] ボタンを選択すると、次のようになります。

• Intuneは、詳細ログを収集する前に、現在のサーバー ログをベースラインとしてキャプチャして送信します。
• 詳細ログは、レベル 4 で自動的に有効になり、8 時間実行され、それらのログのキャプチャに関する問題を再現するための時間が提供されます。
• 8 時間後、Intuneは詳細ログを送信し、通常の操作のためにサーバーを既定の詳細レベル 0 (0) に復元します。 以前にログをより詳細なレベルで実行するように設定した場合は、ログの収集とアップロードが完了した後にカスタム詳細レベルを復元できます。
• Intuneがログを収集して送信するたびに、ボタンの下のリスト ビューが更新されます。
• ボタンの下には、過去のログ送信の一覧が表示され、詳細レベルと、Microsoft を使用して特定のログセットを参照するときに使用できるインシデント ID が表示されます。

この機能の詳細については、「 Tunnel サーバーの診断ログを簡単にアップロードする」を参照してください。

2023 年 12 月 11 日の週 (サービス リリース 2312)

アプリ管理

マネージド macOS デバイスへのアンマネージド PKG 型アプリケーションの追加のサポートが一般公開されました

macOS デバイス用の Intune MDM エージェントを使用して、管理されていない PKG タイプのアプリケーションをマネージド macOS デバイスにアップロードしてデプロイできるようになりました。 この機能を使用すると、署名されていないアプリやコンポーネント パッケージなどのカスタム PKG インストーラーをデプロイできます。 Intune管理センターで PKG アプリを追加するには、[アプリ] [macOS]> [アプリの種類] で [macOS> アプリ (PKG) を追加>する] を選択します。

適用対象:

• macOS

詳細については、「アンマネージド macOS PKG アプリをMicrosoft Intuneに追加する」を参照してください。 マネージド PKG 型アプリをデプロイするには、引き続き macOS 基幹業務 (LOB) アプリをMicrosoft Intuneに追加できます。 macOS デバイス用のIntune MDM エージェントの詳細については、「macOS 用Microsoft Intune管理エージェント」を参照してください。

政府のクラウド環境と中国の 21 Vianet でサポートされている Windows MAM

米国政府機関コミュニティ (GCC)、米国政府機関コミュニティ (GCC) High、および国防総省 (DoD) 環境の顧客テナントは、Windows MAM を使用できるようになりました。 関連情報については、「GCC High および DoD 環境とWindows MAM のデータ保護にIntuneを使用してアプリを展開する」を参照してください。

さらに、Windows MAM は、21Vianet が中国で運営するIntuneで利用できます。 詳細については、「21Vianet が中国で運営Intune」を参照してください。

デバイス構成

Microsoft Edge v117 のセキュリティ ベースラインを更新しました

Microsoft Edge バージョン v117 のIntune セキュリティ ベースラインの新しいバージョンをリリースしました。 この更新プログラムでは、Microsoft Edge のベスト プラクティス構成を引き続き維持できるように、最新の設定がサポートされます。

また、このベースラインの リファレンス記事 も更新されました。このベースライン バージョンに含まれる設定の既定の構成を確認できます。

デバイス管理

非準拠メール通知での変数のサポート

変数を使用して、ユーザーのデバイスが非準拠になったときに送信される電子メール通知をカスタマイズします。 や {{devicename}}などの{{username}}テンプレートに含まれる変数は、ユーザーが受け取る電子メールの実際のユーザー名またはデバイス名に置き換えられます。 変数はすべてのプラットフォームでサポートされています。

サポートされている変数の詳細と一覧については、「 通知メッセージ テンプレートの作成」を参照してください。

Microsoft Defender for Endpoint コネクタのレポートの視覚化を更新しました

Microsoft Defender for Endpoint コネクタのレポート視覚化を更新しました。 この レポートの視覚化 では、Defender CSP からの状態に基づいて Defender for Endpoint にオンボードされているデバイスの数が表示され、バーを使用してさまざまな状態値を持つデバイスの割合を表す他の最近のレポート ビューに視覚的に合わせて調整されます。

デバイスのセキュリティ

Windows デバイスのウイルス対策ポリシーに追加されたウイルス対策スキャンをスケジュールするための新しい設定

Windows 10 デバイスとWindows 11 デバイスに適用されるエンドポイント セキュリティウイルス対策ポリシーの Microsoft Defender ウイルス対策プロファイルに 2 つの設定を追加しました。 これら 2 つの設定が連携して、最初にデバイスのウイルス対策スキャンのランダムな開始時刻のサポートを有効にしてから、ランダム化されたスキャンの開始を開始できる時間の範囲を定義します。 これらの設定は、Intuneによって管理されるデバイスと、Defender for Endpoint セキュリティ設定管理シナリオで管理されるデバイスでサポートされます。

• RandomizeScheduleTaskTimes – この設定を使用すると、デバイスでのスキャン開始時刻をランダム化できます。
• SchedulerRandomizationTime – この設定では、ランダムな開始時刻の境界を設定できます。

Microsoft Defenderウイルス対策プロファイルに追加されるだけでなく、両方の設定が設定カタログから使用できるようになりました。

適用対象:

• Windows 10
• Windows 11

Android Enterprise の VPN プロファイルでの直接プロキシ除外リストに対する Microsoft Tunnel のサポート

Intuneでは、Microsoft Tunnel for Android デバイスの VPN プロファイルを構成するときにプロキシ除外リストの構成がサポートされるようになりました。 除外リストを使用すると、プロキシ自動構成 (PAC) ファイルを使用することなく、プロキシ設定から特定のドメインを除外できます。 プロキシの除外リストは、Microsoft Tunnel と MAM 用 Microsoft Tunnelの両方で使用できます。

プロキシの除外リストは、1 つのプロキシを使用する環境でサポートされています。 複数のプロキシ サーバーを使用する場合、除外リストは適していません。また、ファイルを引き続き使用 .PAC する必要があります。

適用対象:

• Android Enterprise

TLS 証明書失効を報告する Microsoft Tunnel サーバーの正常性メトリック

TLS 証明書失効という名前の Microsoft Tunnel の新しい正常性メトリックを追加しました。 この新しい正常性メトリックは、TLS 証明書で定義されているオンライン証明書状態プロトコル (OCSP) または CRL アドレスにアクセスすることで、トンネル サーバー TLS 証明書の状態を報告します。 この新しいチェックの状態を、Microsoft Intune管理センターのすべての正常性チェックで表示するには、[テナント管理>] [Microsoft Tunnel Gateway>の正常性状態] に移動し、サーバーを選択してから、そのサーバーの [正常性チェック] タブを選択します。

このメトリックは、既存の Tunnel Health チェックの一部として実行され、次の状態をサポートします。

• 正常: TLs 証明書が取り消されない
• 警告: TLS 証明書が失効した場合にチェックできません
• 異常: TLS 証明書が取り消され、更新する必要があります

TLS 証明書失効チェックの詳細については、「Microsoft Tunnel の監視」を参照してください。

Intune アプリ

Intune 用に新しく利用可能になった保護されたアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• Akumina EXP by Akumina Inc.

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

2023 年 11 月 27 日の週

アプリ管理

Android デバイス用の Microsoft 365 (Office) でオフライン キャッシュを構成する

アプリ保護ポリシーで [ローカル ストレージに名前を付けて保存] 設定が [ブロック済み] に設定されている場合は、アプリ構成ポリシーの構成キーを使用して、オフライン キャッシュを有効または無効にすることができます。 この設定は、Android の Microsoft 365 (Office) アプリにのみ適用されます。

詳細については、「 Microsoft 365 (Office)のデータ保護設定」を参照してください。

デバイス上の Win32 アプリの猶予期間設定

猶予期間設定の Win32 アプリが展開されているデバイスでは、管理者権限のない権限の低いユーザーが猶予期間 UX と対話できるようになりました。 デバイス上の管理者は、引き続きデバイス上の猶予期間 UX と対話できます。

猶予期間の動作の詳細については、「 Win32 アプリの可用性と通知を設定する」を参照してください。

アプリ構成の追加をマネージド ホーム スクリーンする

パブリック プレビューでは、Microsoft マネージド ホーム スクリーン (MHS) が更新され、コア ワークフローとユーザー エクスペリエンスが向上します。 ユーザー インターフェイスの変更に加えて、管理者が表示するデバイス識別属性を構成できる新しいトップ バー ナビゲーションがあります。 さらに、ユーザーは、上部のバーでアクセス許可が要求されたときに、設定にアクセスしたり、サインイン/サインアウトしたり、通知を表示したりできます。

さらに設定を追加して、Android Enterprise 用のマネージド ホーム スクリーン アプリを構成できます。 Intuneでは、Android Enterprise アプリ構成ポリシーで次の設定がサポートされるようになりました。

• 更新されたユーザー エクスペリエンスを有効にする
• トップ バーのプライマリ要素
• トップ バーのセカンダリ要素
• トップ バーのユーザー名スタイル

詳細については、「Android Enterprise 用の Microsoft マネージド ホーム スクリーン アプリを構成する」を参照してください。

INTUNE APP SDK for .NET MAUI

Intune APP SDK for .NET MAUI を使用すると、.NET マルチプラットフォーム アプリ UI を組み込んだIntune用の Android または iOS アプリを開発できます。 このフレームワークを使用して開発されたアプリを使用すると、モバイル アプリケーション管理Intune適用できます。 Android での .NET MAUI のサポートについては、「app SDK for .NET MAUI - Android Intune」を参照してください。 iOS での .NET MAUI のサポートについては、「app SDK for .NET MAUI - iOS Intune」を参照してください。

2023 年 11 月 13 日の週 (サービス リリース 2311)

アプリ管理

Android、Android AOSP 用アプリに追加された新しい猶予期間の状態

Android 用のIntune ポータル サイト アプリと Android AOSP 用Microsoft Intune アプリに、コンプライアンス要件を満たしていないが、指定された猶予期間内にあるデバイスの猶予期間の状態が表示されるようになりました。 ユーザーは、デバイスが準拠している必要がある日付と、準拠する方法の手順を確認できます。 ユーザーが指定した日付までにデバイスを更新しない場合、デバイスは非準拠としてマークされます。

詳細については、次の記事を参照してください。

• コンプライアンス 違反のアクションを使用してコンプライアンス ポリシーを構成する
• AOSP Intuneアプリのコンプライアンスを確認する
• Android 用のポータル サイトでコンプライアンスを確認する

デバイス構成

Apple 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。 Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

[設定カタログ] に新しい設定があります。 これらの設定を表示するには、Microsoft Intune管理センターで、[デバイス>の構成] [>IOS/iPadOS の作成] または [macOS for platform >Settings catalog for profile type]\(プロファイルの種類\) の [iOS/iPadOS または macOS の作成>] に移動します。

iOS/iPadOS

マネージド設定:

• データ ローミング
• 個人用ホットスポット
• 音声ローミング (非推奨): この設定は iOS 16.0 では非推奨です。 データ ローミングは、置き換え設定です。

共有された iPad

マネージド設定:

• 診断申請

macOS

> Microsoft Defenderウイルス対策エンジン:

• パッシブ モードを有効にする (非推奨): この設定は非推奨です。 適用レベルは置換設定です。
• リアルタイム保護を有効にする (非推奨): この設定は非推奨です。 適用レベルは置換設定です。
• 実施レベル

Linux 用 Windows サブシステムを管理するための設定は、Windows 設定カタログで使用できるようになりました

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

Linux 用 Windows サブシステム (WSL) の Windows 設定カタログに新しい設定があります。 これらの設定により、WSL とIntune統合できるため、管理者は WSL のデプロイと Linux インスタンス自体への制御を管理できます。

これらの設定を見つけるには、Microsoft Intune管理センターで、[デバイス>の構成] [>新しいポリシー>の作成>Windows 10以降の [プロファイルの種類] の [>設定カタログ] に移動します。

Linux 用 Windows サブシステム:

• カーネル デバッグを許可する
• カスタム ネットワーク構成を許可する
• カスタム システム配布構成を許可する
• カーネル コマンド ラインの構成を許可する
• カスタム カーネル構成を許可する
• WSL1 を許可する
• Linux 用 Windows サブシステムを許可する
• Linux 用 Windows サブシステムの受信トレイ バージョンを許可する
• ユーザー設定ファイアウォールの構成を許可する
• 入れ子になった仮想化を許可する
• パススルー ディスクのマウントを許可する
• デバッグ シェルを許可する

適用対象:

• Windows 10
• Windows 11

デバイスの登録

共有デバイス モードでの iOS/iPadOS デバイスの登録が一般公開されました

Microsoft Intune管理センターで構成するために一般公開され、共有デバイス モードの iOS/iPadOS デバイスの自動デバイス登録を設定します。 共有デバイス モードは、Microsoft Entraの機能であり、現場担当者は 1 日を通して 1 つのデバイスを共有し、必要に応じてサインインおよびサインアウトできます。

詳細については、「 共有デバイス モードでデバイスの登録を設定する」を参照してください。

デバイス管理

管理センターでの新しいデバイス エクスペリエンスの改善 (パブリック プレビュー)

Microsoft Intune 管理センターの新しいデバイス エクスペリエンスに次の変更を加えた。

• プラットフォーム固有のオプションへのその他のエントリ ポイント: [デバイス ] ナビゲーション メニューからプラットフォーム ページにアクセスします。
• 監視レポートへのクイック エントリ: メトリック カードのタイトルを選択して、対応する監視レポートに移動します。
• ナビゲーション メニューの改善: 移動時により多くの色とコンテキストを提供するために、アイコンがに戻されました。

Microsoft Intune管理センターでトグルを反転して、パブリック プレビュー中に新しいエクスペリエンスを試し、フィードバックを共有します。

詳細については、以下を参照してください:

• 新しいMicrosoft Intune デバイス エクスペリエンス - Microsoft Tech Community
• 新しいデバイス エクスペリエンスを試す - Microsoft Learn

デバイスのセキュリティ

Linux ウイルス対策ポリシー テンプレートの追加設定

Linux デバイスの Microsoft Defender ウイルス対策テンプレートに次の設定を追加することで、Linux のサポートを拡張しました。

• cloudblocklevel
• scanarhives
• scanafterdefinitionupdate
• maximumondemandscanthreads
• behaviormonitoring
• enablefilehashcomputation
• networkprotection
• enforcementlevel
• nonexecmountpolicy
• unmonitoredfilesystems

Linux 用のMicrosoft Defenderウイルス対策テンプレートは、Intuneによって管理されるデバイスと、Defender for Endpoint セキュリティ設定管理シナリオを通じて Defender によってのみ管理されるデバイスでサポートされています。

Microsoft 365 Apps for Enterprise のセキュリティ ベースラインを更新しました

Microsoft 365 Apps for Enterprise バージョン 2306 のIntune セキュリティ ベースラインの新しいバージョンをリリースしました。

Microsoft 365 Office Apps ベースラインは、Microsoft の Office およびセキュリティ チームのセキュリティに関する推奨事項を満たす構成を Office Apps に迅速に展開するのに役立ちます。 すべてのベースラインと同様に、既定のベースラインは推奨される構成を表します。 既定のベースラインを変更して、organizationの要件を満たすことができます。

また、このベースラインの リファレンス記事 も更新されました。このベースライン バージョンに含まれる設定の既定の構成を確認できます。

Linux と macOS エンドポイントセキュリティウイルス対策ポリシーで見つかった 2 つの設定の非推奨と置換

macOS と Linux の両方のウイルス対策プロファイルの Microsoft Defender [ウイルス対策エンジン] カテゴリには、2 つの非推奨の設定があります。 これらのプロファイルは、Intuneのエンドポイント セキュリティウイルス対策ポリシーの一部として使用できます。

プラットフォームごとに、非推奨の 2 つの設定が 1 つの設定で置き換えられます。 この新しい設定は、デバイス構成Microsoft Defender for Endpoint管理する方法に合わせて調整されます。

非推奨の 2 つの設定を次に示します。

• [リアルタイム保護を有効にする ] が [ リアルタイム保護を有効にする] と表示されるようになりました (非推奨)
• [パッシブ モードを有効にする] が [パッシブ モードを有効にする] として表示されるようになりました (非推奨)

非推奨の 2 つの設定を置き換える新しい設定:

• 適用レベル - 既定では、[適用レベル] は [パッシブ] に設定され、[ リアルタイム ] と [オンデマンド] のオプションがサポートされます。

これらの設定は、プラットフォームごとにIntune設定カタログからも利用できます。古い設定も非推奨としてマークされ、新しい設定に置き換えられます。

この変更により、非推奨の設定のいずれかが構成 されている デバイスは、デバイスが新しい設定の 適用レベルの対象になるまで、その構成を適用し続けます。 適用レベルの対象になると、非推奨の設定はデバイスに適用されなくなります。

非推奨の設定は、ウイルス対策プロファイルと設定カタログから削除され、今後Intuneに更新されます。

注:

Linux の変更が利用可能になりました。 macOS 設定は非推奨としてマークされていますが、[ 適用レベル ] 設定は 12 月まで使用できません。

適用対象:

• Linux
• macOS

Microsoft Defenderファイアウォール プロファイルの名前が Windows ファイアウォールに変更される

Windows でのファイアウォールのブランド化の変更に合わせて、エンドポイント セキュリティ ファイアウォール ポリシーのIntune プロファイルの名前を更新しています。 名前にMicrosoft Defenderファイアウォールがあるプロファイルでは、Windows ファイアウォールに置き換えます。

次のプラットフォームには影響を受けるプロファイルがあり、プロファイル名のみがこの変更の影響を受けます。

• Windows 10 以降 (ConfigMgr)
• Windows 10、Windows 11 および Windows Server

Windows Hyper-V のファイアウォール設定を管理するための Windows ファイアウォールのエンドポイント セキュリティ ファイアウォール ポリシー

エンドポイント セキュリティ ファイアウォール ポリシーの Windows ファイアウォール プロファイル (旧称 Microsoft Defender ファイアウォール) に新しい設定を追加しました。 新しい設定を使用して、Windows Hyper-V 設定を管理できます。 新しい設定を構成するには、Microsoft Intune管理センターで、[エンドポイント セキュリティ>ファイアウォール> プラットフォーム: Windows 10、Windows 11、および Windows Server プロファイル: Windows ファイアウォール] に移動します>。

ファイアウォール カテゴリには、次の設定が追加されます。

• Target - Target が Linux 用 Windows サブシステム に設定されている場合、次の子設定が適用されます。
  • パブリック ネットワーク ファイアウォールを有効にする
  • プライベート ネットワーク ファイアウォールを有効にする
  • ホスト ポリシーのマージを許可する
  • ドメイン ネットワーク ファイアウォールを有効にする
  • ループバックを有効にする

適用対象:

• Windows 10
• Windows 11

これらの設定の詳細については、「セキュリティが 強化された Windows ファイアウォール」を参照してください。

Windows Hyper-V ファイアウォール規則の新しいエンドポイント セキュリティ ファイアウォール ポリシー プロファイル

エンドポイント セキュリティ ファイアウォール ポリシーのWindows 10、Windows 11、および Windows Server プラットフォーム パスから見つけることができる Windows Hyper-V ファイアウォール規則という名前の新しいプロファイルをリリースしました。 このプロファイルを使用して、Linux 用 Windows サブシステム (WSL) やAndroid 用 Windows サブシステム (WSA) などのアプリケーションなど、Windows 上の特定の Hyper-V コンテナーに適用されるファイアウォール設定と規則を管理します。

適用対象:

• Windows 10
• Windows 11

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• 株式会社シビックムIntuneのダンさん
• Microsoft Azure by Microsoft Corporation (iOS)
• KeePassium Labs (iOS) によるIntune用 KeePassium

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

2023 年 11 月 6 日の週

アプリ管理

iOS ポータル サイトの最小バージョン更新プログラム

ユーザーは、iOS ポータル サイトの v5.2311.1 に更新する必要があります。 [デバイス制限を使用してアプリをインストールApp Storeブロックする] 設定を有効にした場合は、この設定を使用する関連デバイスに更新プログラムをプッシュする必要がある可能性があります。 それ以外の場合、アクションは必要ありません。

ヘルプデスクがある場合は、ポータル サイト アプリを更新するプロンプトを認識させる必要がある場合があります。 ほとんど場合、ユーザーはアプリの更新を自動に設定しているため、何もしなくても更新されたポータル サイト アプリを受け取ります。 以前のバージョンのアプリを持つユーザーは、最新のポータル サイト アプリに更新するように求められます。

デバイスのセキュリティ

Defender for Endpoint のセキュリティ設定の管理の強化と Linux と macOS のサポートが一般公開されています

Defender for Endpoint セキュリティ設定管理 オプトイン パブリック プレビューで 導入された機能強化が一般公開されました。

この変更により、セキュリティ設定管理の既定の動作には、オプトイン プレビューに追加されたすべての動作が含まれます。Microsoft Defender for Endpointでプレビュー機能のサポートを有効にする必要はありません。 これには、Linux と macOS 用の次のエンドポイント セキュリティ プロファイルの一般提供とサポートが含まれます。

Linux:

• Microsoft Defender ウイルス対策
• Microsoft Defender ウイルス対策の除外
• エンドポイントの検出および応答

MacOS:

• Microsoft Defender ウイルス対策
• Microsoft Defender ウイルス対策の除外
• エンドポイントの検出および応答

詳細については、Intuneドキュメントの「Microsoft Defender for Endpointセキュリティ設定の管理」を参照してください。

デバイス管理

機能更新プログラムとレポートでは、Windows 11 ポリシーがサポートされます

機能更新ポリシーの新しい設定により、organizationはアップグレードの対象となるデバイスにWindows 11を展開し、アップグレードの対象ではないデバイスが 1 つのポリシーで最新のWindows 10機能更新プログラムに適用されるようにすることができます。 そのため、管理者は、対象デバイスと非適格デバイスのグループを作成または管理する必要はありません。

機能更新プログラムの詳細については、「Windows 10 以降の機能更新プログラム」を参照してください。

2023 年 10 月 30 日の週

デバイスのセキュリティ

Android および iOS/iPadOS デバイスでMAM 用 Microsoft Tunnelで使用できる Microsoft Edge の厳格なトンネル モード

Intuneでは、Android および iOS/iPadOS デバイスで モバイル アプリケーション管理用 Microsoft Tunnel (MAM) を使用できます。 MAM トンネルを使用すると、非管理対象デバイス (Intune に登録されていないデバイス) は、オンプレミスのアプリとリソースにアクセスできます。

Microsoft Edge 用に構成できる新しい 厳格なトンネル モード 機能があります。 ユーザーがorganization アカウントを使用して Microsoft Edge にサインインすると、VPN が接続されていない場合は、厳密なトンネル モードによってインターネット トラフィックがブロックされます。 VPN が再接続すると、インターネット閲覧が再度使用できるようになります。

この機能を構成するには、Microsoft Edge アプリ構成ポリシーを作成し、次の設定を追加します。

• キー: com.microsoft.intune.mam.managedbrowser.StrictTunnelMode
• 値: True

適用対象:

• Android Enterprise バージョン 10 以降
• iOS/iPadOS バージョン 14 以降

詳細については、以下を参照してください:

• モバイル アプリケーション管理のための Microsoft Tunnel
• MAM 用 Microsoft Tunnel - Android
• MAM 用 Microsoft Tunnel - iOS/iPadOS

2023 年 10 月 23 日の週 (サービス リリース 2310)

アプリ管理

Android ポータル サイト アプリのユーザー向けの更新

ユーザーがバージョン 5.0.5333.0 (2021 年 11 月にリリース) より下のバージョンの Android ポータル サイト アプリを起動すると、Android ポータル サイト アプリの更新を促すプロンプトが表示されます。 古い Android ポータル サイト バージョンのユーザーが、Authenticator アプリの最新バージョンを使用して新しいデバイス登録を試みた場合、プロセスは失敗する可能性があります。 この動作を解決するには、Android ポータル サイト アプリを更新します。

iOS デバイスの最小 SDK バージョンの警告

iOS デバイスの iOS 条件付き起動設定の 最小 SDK バージョン に 、警告 アクションが含まれるようになりました。 このアクションは、最小 SDK バージョン要件が満たされていない場合にエンド ユーザーに警告します。

詳細については、「 iOS アプリ保護ポリシー設定」を参照してください。

Apple LOB およびストア アプリの最小 OS

最小オペレーティング システムを、Apple 基幹業務アプリと iOS/iPadOS ストア アプリの両方の最新の Apple OS リリースに構成できます。 Apple アプリの最小オペレーティング システムは、次のように設定できます。

• iOS/iPadOS 17.0 for iOS/iPadOS 基幹業務アプリ
• macOS 基幹業務アプリ用 macOS 14.0
• iOS/iPadOS 17.0 for iOS/iPadOS ストア アプリ

適用対象:

• iOS/iPadOS
• macOS

Android (AOSP) は基幹業務 (LOB) アプリをサポートします

必須の LOB アプリを AOSP デバイスにインストールおよびアンインストールするには、[ 必須 ] と [ アンインストール ] グループの割り当てを使用します。

適用対象:

• Android

LOB アプリの管理の詳細については、「Android 基幹業務アプリをMicrosoft Intuneに追加する」を参照してください。

アンマネージド macOS PKG アプリの構成スクリプト

アンマネージド macOS PKG アプリでプレインストールスクリプトとインストール後スクリプトを構成できるようになりました。 この機能により、カスタム PKG インストーラーに対する柔軟性が向上します。 これらのスクリプトの構成は省略可能であり、macOS デバイス v2309.007 以降のIntune エージェントが必要です。

アンマネージド macOS PKG アプリへのスクリプトの追加の詳細については、「アン マネージド macOS PKG アプリを追加する」を参照してください。

デバイス構成

FSLogix 設定は、[設定カタログ] と [管理用テンプレート] で使用できます

FSLogix 設定は、[設定カタログ] と [管理用テンプレート (ADMX)] で構成できます。

以前は、Windows デバイスで FSLogix 設定を構成するために、Intuneの ADMX インポート機能を使用してインポートしました。

適用対象:

• Windows 10
• Windows 11

これらの機能の詳細については、以下を参照してください。

• 設定カタログを使用して設定を構成する
• Windows 10/11 テンプレートを使用して、Microsoft Intune でグループ ポリシー設定を構成する
• FSLogix とは?

Android Enterprise デバイスで強化されたアクセス許可を構成するマネージド Google Play アプリで委任されたスコープを使用する

マネージド Google Play アプリでは、委任されたスコープを使用してアプリに強化されたアクセス許可を付与できます。

アプリに委任されたスコープが含まれている場合は、デバイス構成プロファイルで次の設定を構成できます (デバイス>の管理>デバイスの構成 作成>>新しいポリシー>Android Enterprise for platform >フル マネージド、Dedicated、および Corporate-Owned プロファイル>の種類>のデバイス制限アプリケーション)。

• 他のアプリによる証明書のインストールと管理を許可する: 管理者は、このアクセス許可に対して複数のアプリを選択できます。 選択したアプリには、証明書のインストールと管理へのアクセス権が付与されます。
• このアプリによる Android セキュリティ ログへのアクセスを許可する: 管理者は、このアクセス許可に対して 1 つのアプリを選択できます。 選択したアプリにセキュリティ ログへのアクセス権が付与されます。
• このアプリによる Android ネットワーク アクティビティ ログへのアクセスを許可する: 管理者は、このアクセス許可に対して 1 つのアプリを選択できます。 選択したアプリには、ネットワーク アクティビティ ログへのアクセス権が付与されます。

これらの設定を使用するには、マネージド Google Play アプリで委任されたスコープを使用する必要があります。

適用対象:

• Android Enterprise のフル マネージド デバイス
• Android Enterprise 専用デバイス
• 仕事用プロファイルを持つ Android Enterprise 企業所有のデバイス

この機能の詳細については、次を参照してください。

• Android の組み込みのアプリ構成
• Intune アプリケーションを使用して>企業所有デバイスの機能を許可または制限する Android Enterprise デバイス設定の一覧

Samsung は、Android デバイス管理者 (DA) デバイスでのキオスク モードのサポートを終了しました

Samsung は、Android デバイス管理者で使用される Samsung Knox キオスク API を Knox 3.7 (Android 11) で非推奨としてマークしました。

機能は引き続き機能する可能性がありますが、動作を続ける保証はありません。 サムスンは発生する可能性のあるバグを修正しません。 非推奨の API に対する Samsung サポートの詳細については、「 API が非推奨になった後に提供されるサポートの種類 」を参照してください (Samsung の Web サイトが開きます)。

代わりに、専用デバイス管理を使用して、Intuneを使用してキオスク デバイスを管理できます。

適用対象:

• Android デバイス管理者 (DA)

設定カタログ ポリシーのインポートとエクスポート

Intune設定カタログには、構成できる設定がすべて 1 か所に一覧表示されます (デバイス>の管理>構成>新しいポリシー>の作成>プロファイルの種類のプラットフォーム>を選択し、[設定カタログ] を選択します)。

設定カタログ ポリシーは、インポートおよびエクスポートできます。

• 既存のポリシーをエクスポートするには、プロファイル>を選択し、省略記号 > [JSON のエクスポート] を選択します。
• 以前にエクスポートした設定カタログ ポリシーをインポートするには、[インポート ポリシー>の作成>] を選択して、以前にエクスポートした JSON ファイルを選択します。

設定カタログの詳細については、「 設定カタログを使用して Windows、iOS/iPadOS、macOS デバイスで設定を構成する」を参照してください。

注:

この機能は引き続きロールアウトされています。テナントで使用できるようになるまで数週間かかる場合があります。

ユーザーが同じパスワードを使用してデバイスのロックを解除し、仕事用プロファイルを持つ Android Enterprise 個人所有デバイスの仕事用プロファイルにアクセスできないようにするための新しい設定

仕事用プロファイルを持つ個人所有の Android Enterprise デバイスでは、ユーザーは同じパスワードを使用してデバイスのロックを解除し、仕事用プロファイルにアクセスできます。

デバイスのロックを解除し、仕事用プロファイルにアクセスするために別のパスワードを適用できる新しい設定があります (デバイス>の管理>デバイスの構成 作成>>新しいポリシー>Android Enterprise>個人所有の仕事用プロファイル プラットフォーム>のプロファイルの種類に関するデバイスの制限):

• デバイスと仕事用プロファイルの 1 つのロック: [ブロック] では 、ユーザーがデバイスと仕事用プロファイルのロック画面に同じパスワードを使用できなくなります。 エンド ユーザーは、デバイスのロックを解除するためにデバイス パスワードを入力し、仕事用プロファイルにアクセスするために仕事用プロファイル のパスワードを入力する必要があります。 [未構成] (既定値) に設定した場合、Intuneはこの設定を変更または更新しません。 既定では、OS では、ユーザーが 1 つのパスワードを使用して仕事用プロファイルにアクセスできる場合があります。

この設定は省略可能であり、既存の構成プロファイルには影響しません。

現在、仕事用プロファイルのパスワードがポリシー要件を満たしていない場合、デバイス ユーザーに通知が表示されます。 デバイスが非準拠としてマークされていません。 作業プロファイルの別のコンプライアンス ポリシーが作成され、今後のリリースで使用できるようになります。

適用対象:

• 仕事用プロファイルがある個人所有の Android Enterprise デバイス (BYOD)

仕事用プロファイルを使用して個人所有のデバイスで構成できる設定の一覧については、「Android Enterprise デバイス設定の一覧」を参照して、Intuneを使用して個人所有のデバイスの機能を許可または制限します。

macOS 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[設定カタログ] に新しい設定があります。 これらの設定を表示するには、Microsoft Intune管理センターで、[デバイスの管理]>>[デバイスの構成の作成] [>新しいポリシー>の作成>] macOS>[設定] カタログのプロファイルの種類に関するページに移動します。

プライバシー > プライバシー設定ポリシーの制御:

• システム ポリシー アプリ データ

制限事項:

• デバイスにディクテーションのみを強制する

適用対象:

• macOS

Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

デバイスの登録

個人用 iOS/iPadOS デバイスの JIT 登録を使用した Web ベースのデバイス登録

Intuneでは、Apple デバイス登録を介して設定された個人用デバイスの Just-In Time (JIT) 登録を使用した Web ベースのデバイス登録がサポートされます。 JIT 登録により、登録エクスペリエンス全体を通じてユーザーに表示される認証プロンプトの数が減り、デバイス全体で SSO が確立されます。 登録は、Intune ポータル サイトの Web バージョンで行われ、ポータル サイト アプリの必要がなくなります。 また、この登録方法を使用すると、管理対象の Apple ID を持たない従業員と学生がデバイスを登録し、ボリューム購入アプリにアクセスできます。

詳細については、「 iOS の Web ベースのデバイス登録を設定する」を参照してください。

デバイス管理

Intune アドオン ページにUpdatesする

[テナント管理] の [Intune アドオン] ページには、アドオン、すべてのアドオン、および機能が含まれます。 試用版または購入したライセンス、テナントで使用するライセンスが付与されているアドオン機能、Microsoft 管理センターでの新しい課金エクスペリエンスのサポートに関する強化されたビューが提供されます。

詳細については、「Intune Suite アドオン機能を使用する」を参照してください。

Android 用のリモート ヘルプが一般公開されました

リモート ヘルプは、Zebra と Samsung の Android Enterprise Dedicated デバイスで一般提供されています。

リモート ヘルプを使用すると、IT 担当者はデバイスの画面をリモートで表示し、参加済みシナリオと無人シナリオの両方で完全に制御して、問題を迅速かつ効率的に診断して解決できます。

適用対象:

• Zebra または Samsung によって製造された Android Enterprise 専用デバイス

詳細については、「Android でのリモート ヘルプ」を参照してください。

デバイスのセキュリティ

設定カタログで Apple デバイスの宣言型ソフトウェア更新プログラムとパスコード ポリシーを構成する

ソフトウェアの更新プログラムとパスコードは、Apple の宣言型デバイス管理 (DDM) 構成を使用して管理できます (デバイス>の管理 デバイス>構成 の>作成新しいポリシー>の作成>iOS/iPadOS または macOS for platform > プロファイルタイプ>の設定カタログ宣言型デバイス管理)。

DDM の詳細については、「 Apple の宣言型デバイス管理 (DDM) (Apple の Web サイトを開く)」を参照してください。

DDM を使用すると、強制期限までに特定の更新プログラムをインストールできます。 DDM の自律的な性質により、デバイスがソフトウェア更新プログラムのライフサイクル全体を処理するにつれて、ユーザー エクスペリエンスが向上します。 更新プログラムが利用可能であることをユーザーに求め、ダウンロードも行い、インストール用にデバイスを準備 &、更新プログラムをインストールします。

設定カタログでは、 宣言型デバイス管理 > ソフトウェア更新プログラムで次の宣言型ソフトウェア更新プログラムの設定を使用できます。

• 詳細 URL: 更新プログラムの詳細を示す Web ページ URL。 通常、この URL はorganizationでホストされる Web ページであり、ユーザーは更新プログラムにorganization固有のヘルプが必要かどうかを選択できます。
• ターゲット ビルド バージョン: デバイスを に更新するターゲット ビルド バージョン (など 20A242)。 ビルド バージョンには、補足バージョン識別子 (など 20A242a) を含めることができます。 入力したビルド バージョンが、入力した ターゲット OS バージョン の値と一致しない場合は、[ ターゲット OS バージョン] の値が優先されます。
• ターゲットのローカル日付時刻: ソフトウェア更新プログラムを強制的にインストールするタイミングを指定するローカル日付時刻の値。 ユーザーがこの時間より前にソフトウェア更新プログラムをトリガーしなかった場合、デバイスはソフトウェア更新プログラムを強制的にインストールします。
• ターゲット OS バージョン: デバイスを更新するターゲット OS バージョン。 この値は、 のような OS バージョン番号です 16.1。 補足バージョン識別子 (など 16.1.1) を含めることもできます。

この機能の詳細については、「 設定カタログを使用したソフトウェア更新プログラムの管理」を参照してください。

設定カタログでは、 宣言型デバイス管理 > パスコードで次の宣言型パスコード設定を使用できます。

• 自動デバイス ロック: システムがデバイスを自動的にロックする前に、ユーザーをアイドル状態にできる最大期間を入力します。
• 最大猶予期間: ユーザーがパスコードなしでデバイスのロックを解除できる最大期間を入力します。
• 失敗した試行の最大数: 前に間違ったパスコード試行の最大数を入力します。
  • iOS/iPadOS がデバイスをワイプする
  • macOS によってデバイスがロックされる
• 最小パスコード長: パスコードに必要な最小文字数を入力します。
• パスコード再利用制限: 使用できない以前に使用したパスコードの数を入力します。
• 複雑なパスコードが必要: True に設定されている場合は、複雑なパスコードが必要です。 複雑なパスコードには文字が繰り返されておらず、 や CBAなど123、文字の増減はありません。
• デバイスでパスコードを要求する: True に設定すると、ユーザーはデバイスにアクセスするためのパスコードを設定する必要があります。 他のパスコード制限を設定していない場合は、パスコードの長さや品質に関する要件はありません。

適用対象:

• iOS/iPadOS 17.0 以降
• macOS 14.0 以降

設定カタログの詳細については、「 設定カタログを使用して Windows、iOS/iPadOS、macOS デバイスで設定を構成する」を参照してください。

Mvision Mobile が Trellix Mobile Security になりました

Intune Mobile Threat Defense パートナーMvision Mobile は、Trellix Mobile Security に移行しました。 この変更により、ドキュメントとIntune管理センター UI が更新されました。 たとえば、 Mvision Mobile コネクタ が Trellix Mobile Security になりました。 Mvision Mobile コネクタの既存のインストールも Trellix Mobile Security に更新されます。

この変更について質問がある場合は、Trellix Mobile Security の担当者にお問い合わせください。

Intune アプリ

Intune 用に新しく利用可能になった保護されたアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• BuddyBoard by Brother Industries, LTD
• Microsoft Corporation によるMicrosoft Loop

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

監視とトラブルシューティング

ポリシーコンプライアンスとコンプライアンスの設定に関する更新されたレポートが一般公開されました

次のデバイス コンプライアンス レポートはパブリック プレビューから外れ、一般公開されています。

• ポリシーへの準拠
• コンプライアンスの設定

この一般提供への移行により、両方のレポートの古いバージョンはIntune管理センターから廃止され、使用できなくなります。

これらの変更の詳細については、Intune サポート チームのブログをhttps://aka.ms/Intune/device_compl_report参照してください。

テナント管理

管理センターのホーム ページの更新をIntuneする

Intune管理センターのホーム ページは、新しい外観とより動的なコンテンツで再設計されました。 [状態] セクションが簡略化されました。 Intune関連する機能については、「スポットライト」セクションを参照してください。 [Intuneの詳細を取得する] セクションでは、Intune コミュニティとブログへのリンクと、顧客の成功Intune提供します。 また、[ドキュメントとトレーニング] セクションには、Intuneの新機能、開発中の機能、その他のトレーニングへのリンクが記載されています。 管理センター Microsoft Intuneで、[ホーム] を選択します。

2023 年 10 月 16 日の週

テナント管理

endpoint.microsoft.com URL リダイレクト先 intune.microsoft.com

以前は、Microsoft Intune管理センターに新しい URL (https://intune.microsoft.com) が追加されたことが発表されました。

URL が https://endpoint.microsoft.com に https://intune.microsoft.comリダイレクトされるようになりました。

2023 年 9 月 18 日の週 (サービス リリース 2309)

アプリ管理

MAM for Windows の一般提供

個人用 Windows デバイス上の Microsoft Edge を使用して、組織データへの保護された MAM アクセスを有効にできるようになりました。 この機能では、次の機能が使用されます。

• アプリケーション構成ポリシー (ACP) をIntuneして Microsoft Edge で組織のユーザー エクスペリエンスをカスタマイズする
• アプリケーション保護ポリシー (APP) をIntuneして組織データをセキュリティで保護し、Microsoft Edge を使用するときにクライアント デバイスが正常であることを確認する
• Windows セキュリティセンターの脅威防御をIntune APP と統合して、個人用 Windows デバイス上のローカルの正常性の脅威を検出する
• Microsoft Entra ID経由で保護されたサービス アクセスを許可する前に、デバイスが保護され、正常であることを確認するためのアプリケーション保護条件付きアクセス。

Intune Mobile Application Management (MAM) for Windows は、ビルド 10.0.22621 (22H2) 以降のWindows 11で使用できます。 この機能には、Microsoft Intune (2309 リリース)、Microsoft Edge (v117 stable Branch 以降) および Windows セキュリティ Center (v 1.0.2309.xxxxx 以降) のサポート変更が含まれています。 App Protection の条件付きアクセスはパブリック プレビュー段階です。

ソブリン クラウドのサポートは、今後予想されます。 詳細については、「Windows のポリシー設定をアプリ保護する」を参照してください。

デバイス構成

正常に展開されない OEMConfig プロファイルが "保留中" として表示されない

Android Enterprise デバイスの場合は、OEMConfig アプリを構成する構成ポリシーを作成できます (デバイス>の管理>デバイス構成 プロファイル>の種類のプラットフォーム >OEMConfig 用の新しいポリシー>Android Enterprise の作成>)。

以前は、350 KB を超える OEMConfig プロファイルは"保留中" 状態を示していました。 この動作が変更されました。 350 KB を超える OEMConfig プロファイルは、デバイスに展開されません。 保留中の状態のプロファイル、または 350 KB を超えるプロファイルは表示されません。 正常にデプロイされたプロファイルのみが表示されます。

この変更は UI の変更のみです。 対応する Microsoft Graph API に変更は加えされません。

Intune管理センターでプロファイルの保留中の状態を監視するには、[デバイスの管理]>>[デバイスの構成]> [プロファイル>の選択] [デバイスの状態] の順に移動します。

適用対象:

• Android Enterprise

OEM 構成の詳細については、「Microsoft Intuneで OEMConfig を使用して Android Enterprise デバイスを使用して管理する」を参照してください。

構成更新設定は、Windows Insider の設定カタログにあります

Windows 設定カタログでは、 構成の更新を構成できます。 この機能を使用すると、以前に受信したポリシー設定を Windows デバイスに再適用する間隔を設定できます。デバイスをIntuneにチェックする必要はありません。

構成の更新:

• 構成の更新を有効にする
• 更新間隔 (分)

適用対象:

• Windows 11

設定カタログの詳細については、「 設定カタログを使用して Windows、iOS/iPadOS、macOS デバイスで設定を構成する」を参照してください。

Apple 設定カタログで管理設定を使用できるようになりました

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[管理設定] コマンド内の設定は、[設定カタログ] で使用できます。 Microsoft Intune管理センターでは、[デバイスの管理]>[デバイスの構成>] [新>しいポリシー>の作成>]iOS/iPadOS>設定カタログでプロファイルの種類を確認できます。

マネージド設定 > App Analytics:

• 有効: true の場合は、アプリ開発者とのアプリ分析の共有を有効にします。 false の場合は、アプリ分析の共有を無効にします。

適用対象:

• 共有された iPad

マネージド設定 > アクセシビリティ設定:

• 太字のテキストが有効
• グレースケールが有効
• コントラストの増加を有効にする
• モーションの軽減を有効にする
• 透明度の削減を有効にする
• テキスト サイズ
• タッチの宿泊施設が有効
• Voice Over Enabled
• ズーム有効

マネージド設定 > ソフトウェア更新プログラムの設定:

• 推奨事項の間隔: この値は、システムがソフトウェア更新プログラムをユーザーに提示する方法を定義します。

マネージド設定 > タイム ゾーン:

• タイム ゾーン: インターネット割り当て番号機関 (IANA) タイム ゾーン データベース名。

適用対象:

• iOS/iPadOS

マネージド設定 > Bluetooth:

• 有効: true の場合は、Bluetooth設定を有効にします。 false の場合は、Bluetooth設定を無効にします。

マネージド設定 > MDM オプション:

• 監視中に許可されるアクティブ化ロック: true の場合、監視対象デバイスは、ユーザーが [自分の検索] を有効にしたときにアクティブ化ロックに登録されます。

適用対象:

• iOS/iPadOS
• macOS

これらの設定の詳細については、 Apple の開発者向け Web サイトを参照してください。 Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

macOS 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[設定カタログ] に新しい設定があります。 この設定を確認するには、Microsoft Intune管理センターで、[デバイスの管理]>>[デバイスの構成の作成] [>新しいポリシー>の作成>] macOS>設定カタログの [プロファイルの種類] に移動します。

> Microsoft Defenderクラウドで提供される保護の基本設定:

• クラウド ブロックのレベル

適用対象:

• macOS

Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

Zebra Lifeguard Over-the-Air サービスとの統合Intune一般公開

Microsoft Intuneでは、Zebra Lifeguard Over-the-Air サービスとの統合がサポートされています。これにより、OS の更新プログラムとセキュリティ パッチを、Intuneに登録されている対象の Zebra デバイスに対して、空中で配信できます。 展開するファームウェア バージョンを選択し、スケジュールを設定し、更新プログラムのダウンロードとインストールをずらすことができます。 また、更新プログラムが発生する可能性がある場合の最小バッテリー、充電状態、およびネットワーク条件の要件を設定することもできます。

この統合は、Android 8 以降を実行している Android Enterprise Dedicated デバイスとフル マネージド Zebra デバイスで一般提供されるようになりました。 また、Zebra アカウントとプラン 2 またはMicrosoft Intune Suite Intuneも必要です。

以前は、この機能はパブリック プレビュー段階にあり、無料で使用されていました。 一般公開されているこのリリースでは、このソリューションで使用するためにアドオン ライセンスが必要になりました。

ライセンスの詳細については、「Intuneアドオン」を参照してください。

デバイスの登録

仕事用プロファイルを使用した Android Enterprise フル マネージドデバイスと企業所有デバイスの登録中の SSO サポート

Intuneは、仕事用プロファイルを使用してフル マネージドまたは企業所有の Android Enterprise デバイスでのシングル サインオン (SSO) をサポートします。 登録中に SSO を追加すると、デバイスを登録するエンド ユーザーは、職場または学校アカウントで 1 回だけサインインする必要があります。

適用対象:

• 仕事用プロファイルを持つ Android Enterprise 企業所有デバイス
• 完全に管理されている Android Enterprise

これらの登録方法の詳細については、次を参照してください。

• 仕事用プロファイルを備えた会社所有の Android Enterprise デバイスの Intune 登録の設定
• Android Enterprise フル マネージド デバイスの登録を設定する

デバイス管理

macOS でのリモート ヘルプの概要

リモート ヘルプ Web アプリを使用すると、ユーザーは macOS デバイスに接続し、表示専用のリモート アシスタンス セッションに参加できます。

適用対象:

• 11 ビッグ サー
• 12 モントレー
• 13 ベンチュラ

macOS でのリモート ヘルプの詳細については、「リモート ヘルプ」を参照してください。

管理証明書の有効期限

管理証明書の有効期限は、[ デバイス] ワークロードの列として使用できます。 管理証明書の有効期限の範囲をフィルター処理し、フィルターに一致する有効期限が設定されたデバイスの一覧をエクスポートすることもできます。

この情報は、管理センター Microsoft Intune [デバイス>] [すべてのデバイス] の順に選択して使用できます。

Windows Defender アプリケーション コントロール (WDAC) 参照が App Control for Business に更新されます

Windows は 、Windows Defender アプリケーション コントロール (WDAC) の名前を App Control for Business に変更しました。 この変更により、Intune ドキュメント内の参照とIntune管理センターがこの新しい名前を反映するように更新されます。

Intuneでは、最小バージョンとして iOS/iPadOS 15.x がサポートされます

Apple は iOS/iPadOS バージョン 17 をリリースしました。 現在、Intuneでサポートされている最小バージョンは iOS/iPadOS 15.x です。

適用対象:

• iOS/iPadOS

注:

自動デバイス登録 (ADE) を使用して登録されたユーザーレス iOS デバイスと iPadOS デバイスには、共有の使用のために少し微妙なサポート ステートメントがあります。 詳細については、「 ユーザーレス デバイスでサポートされている iOS/iPadOS バージョンと許可されている iOS/iPadOS バージョンのサポート ステートメント」を参照してください。

エンドポイント セキュリティアプリケーション制御ポリシーとマネージド インストーラーに対する政府テナントのサポート

エンドポイント セキュリティ アプリケーション制御ポリシーを使用し、マネージド インストーラーを構成するためのサポートを次のソブリン クラウド環境に追加しました。

• 米国政府機関向けクラウド
• 21中国のVianet

アプリケーション制御ポリシーとマネージド インストーラーのサポートは、もともと 2023 年 6 月にプレビュー段階でリリースされました。 Intuneのアプリケーション制御ポリシーは、Defender Application Control (WDAC) の実装です。

デバイスのセキュリティ

Windows 365 デバイスに対する Endpoint Privilege Management のサポート

エンドポイント特権管理を使用して、Windows 365 デバイス (クラウド PC とも呼ばれます) 上のアプリケーション昇格を管理できるようになりました。

このサポートには、Azure Virtual Desktop は含まれません。

エンドポイント特権管理のパブリッシャー別昇格レポート

Endpoint Privilege Management (EPM) の パブリッシャーによる昇格レポート という名前の新しいレポートがリリースされました。 この新しいレポートを使用すると、管理者特権のアプリの発行元によって集計されたすべての管理された昇格と管理されていない昇格を表示できます。

レポートは、Intune管理センターの EPM のレポート ノードにあります。 [エンドポイント セキュリティ>エンドポイント特権管理] に移動し、[レポート] タブを選択します。

Intune エンドポイントの検出と応答に関するエンドポイント セキュリティ ポリシーを使用した macOS のサポート

Intuneエンドポイントの検出と応答 (EDR) のエンドポイント セキュリティ ポリシーで macOS がサポートされるようになりました。 このサポートを有効にするために、 macOS 用の新しい EDR テンプレート プロファイルが追加されました。 このプロファイルは、Defender for Endpoint セキュリティ設定管理シナリオのオプトイン パブリック プレビューを通じて管理される、Intuneおよび macOS デバイスに登録されている macOS デバイスで使用します。

macOS 用の EDR テンプレートには、Defender for Endpoint の [デバイス タグ ] カテゴリに次の設定が含まれています。

• タグの種類 – GROUP タグは、指定した値でデバイスにタグを付けます。 タグはデバイス ページの管理センターに反映され、デバイスのフィルター処理とグループ化に使用できます。
• タグの値 - タグ ごとに 1 つの値のみを設定できます。 タグの型は一意であり、同じプロファイルで繰り返すべきではありません。

macOS で使用できる Defender for Endpoint 設定の詳細については、Defender ドキュメントの「macOS でMicrosoft Defender for Endpointの基本設定を設定する」を参照してください。

エンドポイントの検出と応答Intuneエンドポイント セキュリティ ポリシーを使用した Linux サポート

Intuneエンドポイントの検出と応答 (EDR) のエンドポイント セキュリティ ポリシーで Linux がサポートされるようになりました。 このサポートを有効にするために、Linux 用の新しい EDR テンプレート プロファイルが追加されました。 このプロファイルは、Defender for Endpoint セキュリティ設定管理シナリオのオプトイン パブリック プレビューを通じて管理される、Intuneおよび Linux デバイスに登録されている Linux デバイスで使用します。

Linux 用の EDR テンプレートには、Defender for Endpoint の [デバイス タグ ] カテゴリに対して次の設定が含まれています。

• タグの値 - タグ ごとに 1 つの値のみを設定できます。 タグの型は一意であり、同じプロファイルで繰り返すべきではありません。
• タグの種類 – GROUP タグは、指定した値でデバイスにタグを付けます。 タグはデバイス ページの管理センターに反映され、デバイスのフィルター処理とグループ化に使用できます。

Linux で使用できる Defender for Endpoint 設定の詳細については、Defender ドキュメントの「Linux でMicrosoft Defender for Endpointの基本設定を設定する」を参照してください。

監視とトラブルシューティング

Windows 10 以降の更新リングに関する更新されたレポート

Windows 10以降の更新リングのレポートは、Intuneの改善されたレポート インフラストラクチャを使用するように更新されました。 これらの変更は、他のIntune機能に対して導入された同様の機能強化に合わせて調整されます。

Windows 10以降の更新リングのレポートに対するこの変更により、Intune管理センターで更新リング ポリシーを選択すると、[概要]、[管理]、または [監視] オプションの左側のウィンドウ ナビゲーションはありません。 代わりに、ポリシー ビューが開き、次のポリシーの詳細が含まれる 1 つのペインが表示されます。

• Essentials - ポリシー名、作成日と変更日、詳細など。
• デバイスとユーザーのチェック状態 – このビューは既定のレポート ビューであり、次のものが含まれます。
  • このポリシーのデバイスの状態の概要と、より包括的な レポート ビュー を開く [レポートの表示] ボタン。
  • ポリシーに割り当てられたデバイスによって返されるさまざまなデバイスステータス値の合理化された表現と数。 簡略化された横棒グラフとグラフは、以前のレポート表示で見られた以前のドーナツ グラフを置き換えます。
• 他の 2 つのレポート タイルで、より多くのレポートを開きます。 これらのタイルには、次のものが含まれます。
  • デバイスの割り当て状態 – このレポートは、以前のデバイス状態レポートと同じ情報を組み合わせたものであり、ユーザーの状態レポートは使用できなくなります。 ただし、この変更により、ユーザー名に基づくピボットとドリルインは使用できなくなります。
  • 設定の状態ごとの – この新しいレポートは、既定値とは異なる方法で構成された各設定の成功メトリックを提供し、organizationに正常にデプロイされていない可能性がある設定に関する新しい分析情報を提供します。
• プロパティ – 各領域プロファイルの詳細を 編集 するオプションなど、ポリシーの各構成ページの詳細を表示します。

Windows 10以降の更新リングのレポートの詳細については、Microsoft IntuneのWindows Update レポートの「Windows 10以降の更新リングのレポート」を参照してください。

ロールベースのアクセス

UpdateEnrollment のスコープの更新

新しいロール UpdateEnrollment の導入により、 UpdateOnboarding のスコープが更新されます。

カスタムロールと組み込みロールの UpdateOnboarding 設定は、Android Enterprise バインドをマネージド Google Play やその他のアカウント全体の構成のみに管理または変更するように変更されます。 UpdateOnboarding を使用した組み込みロールには、UpdateEnrollmentProfiles が含まれるようになりました。

リソース名は Android から AndroidEnterprise に更新されています。

詳細については、「Microsoft Intune でのロールベースのアクセス制御 (RBAC)」を参照してください。

2023 年 9 月 11 日の週

デバイス構成

リモート ヘルプでのリモート起動の概要

リモート起動を使用すると、ヘルパーは、ユーザーのデバイスに通知を送信することで、Intuneからヘルパーとユーザーのデバイスでリモート ヘルプをシームレスに起動できます。 この機能を使用すると、ヘルプデスクと共有者の両方がセッション コードを交換することなく、セッションにすばやく接続できます。

適用対象:

• Windows 10 または 11

詳細については、「リモート ヘルプ」を参照してください。

2023 年 9 月 4 日の週

デバイス管理

Microsoft Intune 2024 年 8 月に GMS アクセス権を持つデバイスでの Android デバイス管理者のサポートを終了しました

Microsoft Intuneは、2024 年 8 月 30 日に Google Mobile Services (GMS) にアクセスできるデバイスでの Android デバイス管理者管理のサポートを終了します。 その日以降、デバイスの登録、テクニカル サポート、バグ修正、セキュリティ修正は利用できなくなります。

現在デバイス管理者管理を使用している場合は、サポートが終了する前に、Intune で別の Android 管理オプションに切り替えることを推奨します。

詳細については、「 GMS デバイスでの Android デバイス管理者のサポートの終了」を参照してください。

2023 年 8 月 28 日の週

デバイス構成

SCEP および PFX 証明書プロファイルの 4096 ビット キー サイズに対する Windows と Android のサポート

Intune WINDOWS および Android デバイスの SCEP 証明書プロファイルと PKCS 証明書プロファイルで、キー サイズ (ビット)が 4096 にサポートされるようになりました。 このキー サイズは、編集する新しいプロファイルと既存のプロファイルで使用できます。

• SCEP プロファイルには常に キー サイズ (ビット) 設定が含まれており、使用可能な構成オプションとして 4096 がサポートされるようになりました。
• PKCS プロファイルには、 キー サイズ (ビット) 設定は直接含まれません。 代わりに、管理者は 証明機関の証明書テンプレートを変更 して 、最小キー サイズ を 4096 に設定する必要があります。

サード パーティ証明機関 (CA) を使用する場合は、4096 ビット キー サイズの実装に関するサポートをベンダーに問い合わせる必要がある場合があります。

この新しいキー サイズを利用するために新しい証明書プロファイルを更新または展開する場合は、配置方法をずらして使用することをお勧めします。 この方法は、多数のデバイス間で同時に新しい証明書に対する過剰な需要を生じないようにするのに役立ちます。

この更新プログラムでは、Windows デバイスで次の制限事項に注意してください。

• 4096 ビット キー ストレージは、 ソフトウェア キー ストレージ プロバイダー (KSP) でのみサポートされます。 次は、このサイズのキーの格納をサポートしていません。
  • ハードウェア TPM (トラステッド プラットフォーム モジュール)。 回避策として、キー ストレージにソフトウェア KSP を使用できます。
  • Windows Hello for Business。 現時点では回避策はありません。

テナント管理

複数の管理者承認のアクセス ポリシーが一般公開されました

複数の管理者承認のアクセス ポリシーはパブリック プレビューから外れ、一般公開されるようになりました。 これらのポリシーを使用すると、アプリのデプロイなどのリソースを保護できます。その変更が適用される前に、デプロイに対する変更を、リソースの 承認者 であるユーザーグループの 1 人が承認するように要求します。

詳細については、「 アクセス ポリシーを使用して複数の管理承認を要求する」を参照してください。

2023 年 8 月 21 日の週 (サービス リリース 2308)

アプリ管理

エンド ユーザーマネージド ホーム スクリーン正確なアラームアクセス許可の付与を求めるメッセージが表示される

マネージド ホーム スクリーンでは、正確なアラームアクセス許可を使用して、次のアクションを実行します。

• デバイスで一定時間非アクティブ状態が発生した後にユーザーを自動的にサインアウトする
• 一定の非アクティブ期間の後にスクリーン セーバーを起動する
• ユーザーがキオスク モードを終了した一定期間後に MHS を自動的に再起動する

Android 14 以降を実行しているデバイスの場合、既定では、正確なアラームのアクセス許可が拒否されます。 重要なユーザー機能が影響を受けないように、エンド ユーザーは、マネージド ホーム スクリーンの初回起動時に正確なアラームアクセス許可を付与するように求められます。 詳細については、「Android Enterprise 用の Microsoft マネージド ホーム スクリーン アプリの構成」および「Android の開発者向けドキュメント」を参照してください。

マネージド ホーム スクリーン通知

API レベル 33 をターゲットとする Android 13 以降を実行している Android デバイスの場合、既定では、アプリケーションには通知を送信するアクセス許可がありません。 以前のバージョンのマネージド ホーム スクリーンでは、管理者がマネージド ホーム スクリーンの自動再起動を有効にしていた場合、再起動のユーザーに警告する通知が表示されていました。 通知アクセス許可の変更に対応するために、管理者がマネージド ホーム スクリーンの自動再起動を有効にしたシナリオでは、再起動のユーザーに通知するトースト メッセージがアプリケーションに表示されるようになります。 マネージド ホーム スクリーンは、この通知のアクセス許可を自動付与できるため、管理者が API レベル 33 の通知アクセス許可の変更に対応するようにマネージド ホーム スクリーンを構成する場合に変更は必要ありません。 Android 13 (API レベル 33) の通知メッセージの詳細については、 Android 開発者向けドキュメントを参照してください。 マネージド ホーム スクリーンの詳細については、「Android Enterprise 用の Microsoft マネージド ホーム スクリーン アプリを構成する」を参照してください。

新しい macOS Web クリップ アプリの種類

Intuneでは、エンド ユーザーは macOS デバイス上のドックに Web アプリをピン留めできます (アプリ>macOS MacOS>Web クリップの追加>)。

適用対象:

• macOS

構成できる設定の関連情報については、「Web アプリをMicrosoft Intuneに追加する」を参照してください。

Win32 アプリ構成可能なインストール時間

Intuneでは、構成可能なインストール時間を設定して Win32 アプリを展開できます。 この時間は分単位で表されます。 設定されたインストール時間よりもアプリのインストールに時間がかかる場合、システムはアプリのインストールに失敗します。 最大タイムアウト値は 1440 分 (1 日) です。 Win32 アプリの詳細については、「Microsoft Intuneでの Win32 アプリ管理」を参照してください。

Samsung Knox 条件付き起動チェック

Samsung Knox デバイスでデバイスの正常性侵害の検出をさらに追加できます。 新しいIntune App Protection ポリシー内で条件付き起動チェックを使用して、互換性のある Samsung デバイスでハードウェア レベルのデバイス改ざん検出とデバイス構成証明を実行するように要求できます。 詳細については、Microsoft Intuneの Android アプリ保護ポリシー設定の条件付き起動セクションの Samsung Knox デバイス構成証明設定に関するページを参照してください。

デバイス構成

パブリック プレビューでの Android 用のリモート ヘルプ

リモート ヘルプは、Zebra と Samsung の Android Enterprise Dedicated デバイスのパブリック プレビューで利用できます。 リモート ヘルプを使用すると、IT 担当者はデバイスの画面をリモートで表示し、参加済みシナリオと無人シナリオの両方で完全に制御して、問題を迅速かつ効率的に診断して解決できます。

適用対象:

• Zebra または Samsung によって製造された Android Enterprise 専用デバイス

詳細については、「Android でのリモート ヘルプ」を参照してください。

グループ ポリシー分析は一般公開されています

グループ ポリシー分析は一般提供 (GA) です。 グループ ポリシー分析を使用して、オンプレミスのグループ ポリシー オブジェクト (GPO) を分析して、Intune ポリシー設定への移行を分析します。

適用対象:

• Windows 11
• Windows 10

グループ ポリシー分析の詳細については、「Microsoft Intuneでグループ ポリシー分析を使用してオンプレミス GPO を分析する」を参照してください。

Apple 設定カタログで使用できる新しい SSO、ログイン、制限、パスコード、改ざん防止の設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。 Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

[設定カタログ] に新しい設定があります。 これらの設定を表示するには、Microsoft Intune管理センターで、[デバイス>の管理]>[デバイスの構成の作成] [>新しいポリシー>の作成>]iOS/iPadOS または macOS>の [設定] カタログでプロファイルの種類を確認します。

iOS/iPadOS 17.0 以降

制限事項:

• Mac で iPhone ウィジェットを許可する

macOS

> Microsoft Defender改ざん防止:

• プロセスの引数
• プロセス パス
• プロセスの署名識別子
• プロセスのチーム識別子
• プロセスの除外

macOS 13.0 以降

認証 >拡張可能なシングル サインオン (SSO):

• アカウントの表示名
• その他のグループ
• 管理者グループ
• 認証方法
• 承認権限
• グループ
• 承認グループ
• 承認を有効にする
• ログイン時にユーザーの作成を有効にする
• ログイン頻度
• 新しいユーザー承認モード
• アカウント名
• 姓名
• トークンからユーザーへのマッピング
• ユーザー承認モード
• 共有デバイス キーを使用する

macOS 14.0 以降

ログイン > ログイン ウィンドウの動作:

• 自動ログイン パスワード
• Autologin Username

制限事項:

• ARD リモート管理の変更を許可する
• Bluetooth共有の変更を許可する
• Cloud Freeform を許可する
• ファイル共有の変更を許可する
• インターネット共有の変更を許可する
• ローカル ユーザーの作成を許可する
• プリンター共有の変更を許可する
• リモート Apple イベントの変更を許可する
• スタートアップ ディスクの変更を許可する
• Time Machine Backup を許可する

安全 > パスコード:

• パスワード コンテンツの説明
• パスワード コンテンツ正規表現

デバイスの登録

最新の認証を使用した iOS/iPadOS セットアップ アシスタントの Just-In-Time 登録とコンプライアンスの修復が一般公開されました

先進認証を使用したセットアップ アシスタントの Just-In Time (JIT) 登録とコンプライアンスの修復がプレビューから外れ、一般公開されるようになりました。 ジャスト イン タイム登録では、デバイス ユーザーは登録とコンプライアンスチェックにポータル サイト アプリを使用Microsoft Entra必要はありません。 JIT 登録とコンプライアンスの修復は、ユーザーのプロビジョニング エクスペリエンスに埋め込まれているため、コンプライアンスの状態を表示し、アクセスしようとしている作業アプリ内でアクションを実行できます。 また、これにより、デバイス全体でシングル サインオンが確立されます。 JIT 登録を設定する方法の詳細については、「 Just in Time Registration を設定する」を参照してください。

iOS/iPadOS の自動デバイス登録の最終構成を待つ一般公開

一般公開され、 最終的な構成を待機 すると、セットアップ アシスタントの最後にロックされたエクスペリエンスが有効になり、重要なデバイス構成ポリシーがデバイスに確実にインストールされるようになります。 ロックされたエクスペリエンスは、新規および既存の登録プロファイルを対象とするデバイスで機能します。 サポートされているデバイスには以下が含まれます。

• 最新の認証を使用してセットアップ アシスタントに登録する iOS/iPadOS 13 以降のデバイス
• ユーザー アフィニティなしで登録されている iOS/iPadOS 13 以降のデバイス
• Microsoft Entra ID共有モードで登録されている iOS/iPadOS 13 以降のデバイス

この設定は、セットアップ アシスタントのすぐに使用できる自動デバイス登録エクスペリエンス中に 1 回適用されます。 デバイス ユーザーがデバイスを再登録しない限り、デバイス ユーザーは再びデバイスを体験しません。 新しい登録プロファイルでは、最終構成の待機が既定で有効になっています。 最終構成の待機を有効にする方法については、「 Apple 登録プロファイルを作成する」を参照してください。

デバイス管理

Android 通知アクセス許可プロンプトの動作に対する変更

Android アプリが通知アクセス許可を処理する方法を更新し、Google が Android プラットフォームに加えた最近の変更に合わせて調整しました。 Google が変更された結果、通知アクセス許可はアプリに次のように付与されます。

• Android 12 以前を実行しているデバイスでは、アプリは既定でユーザーに通知を送信できます。
• Android 13 以降を実行しているデバイスの場合: 通知のアクセス許可は、アプリのターゲットとなる API によって異なります。
  • API 32 以下を対象とするアプリ: ユーザーがアプリを開いたときに表示される通知アクセス許可プロンプトが Google によって追加されました。 管理アプリは、通知アクセス許可が自動的に付与されるようにアプリを引き続き構成できます。
  • API 33 以降を対象とするアプリ: アプリ開発者は、通知アクセス許可のプロンプトが表示されるタイミングを定義します。 管理アプリは、通知アクセス許可が自動的に付与されるようにアプリを引き続き構成できます。

ユーザーとデバイス ユーザーは、アプリが API 33 をターゲットにした後、次の変更が表示されることを期待できます。

• 仕事用プロファイル管理に使用されるポータル サイト: ユーザーが最初に開いたときに、ポータル サイトの個人用インスタンスに通知アクセス許可プロンプトが表示されます。 ポータル サイトの仕事用プロファイル インスタンスに通知アクセス許可プロンプトが表示されないのは、通知のアクセス許可が仕事用プロファイルのポータル サイトに対して自動的に許可されるためです。 ユーザーは、設定アプリでアプリの通知を無音にすることができます。
• デバイス管理者の管理に使用されるポータル サイト: ユーザーが最初にポータル サイト アプリを開いたときに通知アクセス許可プロンプトが表示されます。 ユーザーは、設定アプリでアプリの通知設定を調整できます。
• Microsoft Intune アプリ: 既存の動作に変更はありません。 Microsoft Intune アプリに対して通知が自動的に許可されるため、ユーザーにプロンプトが表示されません。 ユーザーは、設定アプリで一部のアプリ通知設定を調整できます。
• AOSP 用アプリMicrosoft Intune: 既存の動作に変更はありません。 Microsoft Intune アプリに対して通知が自動的に許可されるため、ユーザーにプロンプトが表示されません。 ユーザーは、設定アプリでアプリの通知設定を調整できません。

デバイスのセキュリティ

Defender 用の更新プログラムを展開するための Defender Update コントロールが一般公開されました

Microsoft Defenderの更新設定を管理するIntune エンドポイント セキュリティ ウイルス対策ポリシーのプロファイル Defender Update コントロールが一般公開されました。 このプロファイルは、Windows 10、Windows 11、および Windows Server プラットフォームで使用できます。 パブリック プレビューでは、このプロファイルはWindows 10以降のプラットフォームで使用できます。

プロファイルには、デバイスとユーザーが Defender Updatesを受け取るロールアウト リリース チャネルの設定が含まれています。これは、毎日のセキュリティ インテリジェンス更新プログラム、毎月のプラットフォーム更新プログラム、月次エンジン更新プログラムに関連します。

このプロファイルには、 Defender CSP - Windows クライアント管理から直接取得される次の設定が含まれています。

• エンジン Updates チャネル
• プラットフォーム Updates チャネル
• セキュリティ インテリジェンス Updates チャネル

これらの設定は、Windows 10以降のプロファイルの設定カタログからも使用できます。

Endpoint Privilege Management のアプリケーション別の昇格レポート

Endpoint Privilege Management (EPM) の アプリケーション別の昇格レポート という名前の新しいレポートがリリースされました。 この新しいレポートを使用すると、管理者特権を持つアプリケーションによって集計されたすべての管理された昇格と管理されていない昇格を表示できます。 このレポートは、昇格ルールを適切に機能させる必要があるアプリケーション (子プロセスのルールなど) を特定するのに役立ちます。

レポートは、Intune管理センターの EPM のレポート ノードにあります。 [エンドポイント セキュリティ>エンドポイント特権管理] に移動し、[レポート] タブを選択します。

macOS ウイルス対策ポリシーで使用できる新しい設定

macOS デバイスのMicrosoft Defenderウイルス対策プロファイルは、さらに 9 つの設定と 3 つの新しい設定カテゴリで更新されました。

ウイルス対策エンジン – このカテゴリでは、次の設定が新しく追加されました。

• オンデマンド スキャンの並列処理の程度 – オンデマンド スキャン の並列処理の程度を指定します。 この設定は、スキャンの実行に使用されるスレッドの数に対応し、CPU 使用率とオンデマンド スキャンの期間に影響します。
• ファイル ハッシュ計算を有効にする – ファイル ハッシュ計算機能を有効または無効にします。 この機能を有効にすると、Windows Defender はスキャンするファイルのハッシュを計算します。 この設定は、カスタム インジケーターの一致の精度を向上させるのに役立ちます。 ただし、[ファイル ハッシュの計算を有効にする] を有効にすると、デバイスのパフォーマンスに影響する可能性があります。
• 定義が更新された後にスキャンを実行する – 新しいセキュリティ インテリジェンス更新プログラムがデバイスにダウンロードされた後にプロセス スキャンを開始するかどうかを指定します。 この設定を有効にすると、デバイスの実行中のプロセスでウイルス対策スキャンがトリガーされます。
• アーカイブ ファイル内のスキャン – true の場合、Defender はアーカイブを開梱し、その中のファイルをスキャンします。 それ以外の場合、アーカイブ コンテンツはスキップされ、スキャンパフォーマンスが向上します。

ネットワーク保護 – 次の設定を含む新しいカテゴリ。

• 適用レベル – この設定を構成して、ネットワーク保護を 無効にするか、 監査モードで、または適用するかを指定 します。

改ざん防止 - 次の設定を含む新しいカテゴリ。

• 適用レベル - 改ざん防止を 無効にするか、 監査モードで、または 適用するかを指定します。

ユーザー インターフェイスの基本設定 – 次の設定を含む新しいカテゴリ。

• コンシューマー バージョンへのサインインを制御する - ユーザーがコンシューマー バージョンのMicrosoft Defenderにサインインできるかどうかを指定します。
• [状態メニュー アイコンの表示/非表示] – 状態メニュー アイコン (画面の右上隅に表示) を非表示にするかどうかを指定します。
• [ユーザーが開始したフィードバック] – [フィードバックの送信に関するヘルプ>] に移動して、ユーザーが Microsoft にフィードバックを送信できるかどうかを指定します。

作成する新しいプロファイルには、元の設定と新しい設定が含まれます。 既存のプロファイルは、新しい設定を含むように自動的に更新され、そのプロファイルを編集して変更するまで、新しい設定はそれぞれ [未構成 ] に設定されます。

エンタープライズ組織の macOS でMicrosoft Defender for Endpointの基本設定を設定する方法の詳細については、「macOS でMicrosoft Defender for Endpointの基本設定を設定する」を参照してください。

Intune アプリ

Intune 用に新しく利用可能になった保護されたアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• VerityRMS by Mackey LLC (iOS)

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

監視とトラブルシューティング

Windows 診断 データで CloudDesktop ログが収集されるようになりました

Windows デバイスから診断を収集するIntuneリモート アクションに、ログ ファイルにデータが含まれるようになりました。

ログ ファイル:

• %temp%\CloudDesktop*.log

Intune エンドポイント分析の異常検出デバイス コーホートが一般公開

Intune Endpoint Analytics の異常検出デバイス コーホートが一般公開されました。

デバイス コーホートは、重大度が高または中の異常に関連付けられているデバイスで識別されます。 デバイスは、アプリのバージョン、ドライバーの更新プログラム、OS のバージョン、デバイス モデルなど、共通する 1 つ以上の要因に基づいてグループに関連付けられます。 関連付けグループには、そのグループ内のすべての影響を受けるデバイス間の一般的な要因に関する重要な情報を含む詳細ビューが含まれます。 また、現在異常の影響を受けているデバイスと "危険な状態" のデバイスの内訳を表示することもできます。 "危険にさらされている" デバイスには、異常の症状がまだ示されていません。

詳細については、「 Endpoint analytics での異常検出」を参照してください。

Endpoint Analytics でのデバイス タイムラインのユーザー エクスペリエンスの向上

Endpoint analytics のデバイス タイムラインのユーザー インターフェイス (UI) が改善され、より高度な機能 (並べ替え、検索、フィルター処理、エクスポートのサポート) が含まれています。 エンドポイント分析で特定のデバイス タイムラインを表示する場合は、イベント名または詳細で検索できます。 また、イベントをフィルター処理し、デバイス タイムラインに表示されるイベントのソースとレベルを選択し、対象の時間範囲を選択することもできます。

詳細については、「拡張デバイスのタイムライン」を参照してください。

コンプライアンス ポリシーとレポートのUpdates

Intuneコンプライアンス ポリシーとレポートに対していくつかの機能強化が行われました。 これらの変更により、レポートは、デバイス構成プロファイルとレポートで使用されるエクスペリエンスとより密接に一致します。 コンプライアンス レポートのドキュメントを更新し、利用可能なコンプライアンス レポートの機能強化を反映しました。

コンプライアンス レポートの機能強化は次のとおりです。

• Linux デバイスのコンプライアンスの詳細。
• 新しいレポート バージョンが古いレポート バージョンに置き換わり始めたため、最新のレポートと簡略化された再設計されたレポートは、しばらくの間使用できなくなります。
• コンプライアンスに関するポリシーを表示する場合、左側のウィンドウ ナビゲーションはありません。 代わりに、ポリシー ビューが開き、既定では [モニター] タブとその [デバイスの状態] ビューが表示されます。
  • このビューでは、このポリシーのデバイス状態の概要、完全なレポートを確認するためのドリルイン、および同じポリシーの設定ごとの状態ビューがサポートされます。
  • ドーナツ グラフは、効率的な表現と、ポリシーが割り当てられたデバイスによって返されるさまざまなデバイスの状態値の数に置き換えられます。
  • [プロパティ] タブを選択してポリシーの詳細を表示し、その構成と割り当てを確認して編集できます。
  • [Essentials] セクションが削除され、これらの詳細がポリシーの [プロパティ] タブに表示されます。
• 更新された状態レポートでは、列別の並べ替え、フィルターの使用、検索がサポートされます。 これらの機能強化を組み合わせることで、レポートをピボットして、その時点で表示する特定の詳細のサブセットを表示できます。 これらの機能強化により、 ユーザーの状態 レポートが冗長になったため削除されました。 これで、既定の [デバイスの状態] レポートを表示しているときに、[ユーザー プリンシパル名] 列を並べ替えたり、検索ボックスで特定のユーザー名を検索したりして、ユーザーの状態から使用できる情報と同じ情報をレポートに表示できます。
• 状態レポートを表示するときに、詳細な分析情報や詳細を確認するときに、表示Intuneデバイスの数が異なるレポート ビュー間で一貫性を保つようになりました。

これらの変更の詳細については、Intune サポート チームのブログをhttps://aka.ms/Intune/device_compl_report参照してください。

2023 年 8 月 14 日の週

アプリ管理

[ストア アプリケーションの無効化] 設定を使用して、ストア アプリへのエンド ユーザー アクセスを無効にし、マネージド Intune ストア アプリを許可します

Intuneでは、新しいストア アプリの種類を使用して、ストア アプリをデバイスに展開できます。

これで、[ ストア アプリケーションの無効化 ] ポリシーを使用して、エンド ユーザーのストア アプリへの直接アクセスを無効にすることができます。 無効にすると、エンド ユーザーは引き続き Windows ポータル サイト アプリから、およびアプリ管理を通じてストア アプリIntuneアクセスしてインストールできます。 Intuneの外部でランダム ストア アプリのインストールを許可する場合は、このポリシーを構成しないでください。

前の Microsoft Store アプリ ポリシー内のプライベート ストアのみを表示しても、エンド ユーザーが Windows パッケージ マネージャー winget API を使用してストアに直接アクセスすることはできません。 そのため、クライアント デバイスへのランダムなアンマネージド ストア アプリケーションのインストールをブロックすることが目標の場合は、[ ストア アプリケーションの無効化 ] ポリシーを使用することをお勧めします。 Microsoft Store アプリ ポリシー内のプライベート ストアのみを表示する を使用しないでください。 適用対象:

• Windows 10 以降

詳細については、「Microsoft Intuneに Microsoft Store アプリを追加する」を参照してください。

2023 年 8 月 7 日の週

役割ベースのアクセス制御

Android for work リソースの下に新しいロールベースのアクセス制御 (RBAC) アクセス許可を導入する

android for work リソースの下で、Intuneでカスタム ロールを作成するための新しい RBAC アクセス許可について説明します。 [ 登録プロファイルの更新 ] 権限を使用すると、管理者は、デバイスの登録に使用される AOSP と Android Enterprise Device Owner の両方の登録プロファイルを管理または変更できます。

詳細については、「 カスタム ロールの作成」を参照してください。

2023 年 7 月 31 日の週

デバイスのセキュリティ

Intuneのエンドポイント セキュリティ ディスク暗号化ポリシーの新しい BitLocker プロファイル

エンドポイント セキュリティ ディスク暗号化ポリシー用の新しい BitLocker プロファイルを作成する新しいエクスペリエンスをリリースしました。 以前に作成した BitLocker ポリシーを編集するエクスペリエンスは変わらず、引き続き使用できます。 この更新プログラムは、Windows 10 以降のプラットフォーム用に作成した新しい BitLocker ポリシーにのみ適用されます。

この更新プログラムは、2022 年 4 月に開始されたエンドポイント セキュリティ ポリシーの新しいプロファイルの継続的なロールアウトの一部です。

アプリ管理

Windows ポータル サイトを使用して Win32 および Microsoft ストア アプリをアンインストールする

エンド ユーザーは、Windows ポータル サイトを使用して Win32 アプリと Microsoft ストア アプリをアンインストールできます。アプリが使用可能として割り当てられ、エンド ユーザーによってオンデマンドでインストールされている場合。 Win32 アプリの場合、この機能を有効または無効にするオプションがあります (既定ではオフ)。 Microsoft ストア アプリの場合、この機能は常にオンであり、エンド ユーザーが使用できます。 エンド ユーザーがアプリをアンインストールできる場合、エンド ユーザーは Windows ポータル サイトでアプリの [アンインストール] を選択できます。 関連情報については、「Microsoft Intune にアプリを追加する」をご覧ください。

2023 年 7 月 24 日の週 (サービス リリース 2307)

アプリ管理

Intuneでは、新しい Google Play Android Management API がサポートされます

マネージド Google Play パブリック アプリをIntuneで管理する方法に変更が加えられた。 これらの変更は、 Google の Android Management API をサポートするため です (Google の Web サイトが開きます)。

適用対象:

• Android Enterprise

管理者とユーザー エクスペリエンスの変更の詳細については、「サポート ヒント: 新しい Google Play Android Management API をサポートするための移行Intune」を参照してください。

Android Enterprise 企業所有デバイスのアプリ レポート

Android Enterprise 企業所有のシナリオ (システム アプリを含む) のデバイスで見つかったすべてのアプリを含むレポートを表示できるようになりました。 このレポートは、[Apps MonitorDiscovered apps]\(アプリモニター>検出されたアプリ>\) を選択Microsoft Intune管理センターで使用できます。 デバイスにインストール済みとして検出されたすべてのアプリの アプリケーション名 と バージョン が表示されます。 アプリ情報がレポートに設定されるまでに最大 24 時間かかることがあります。

関連情報については、「検出されたアプリIntune」を参照してください。

管理されていない PKG 型アプリケーションをマネージド macOS デバイスに追加する [パブリック プレビュー]

macOS デバイス用の Intune MDM エージェントを使用して、管理されていない PKG タイプのアプリケーションをマネージド macOS デバイスにアップロードしてデプロイできるようになりました。 この機能を使用すると、署名されていないアプリやコンポーネント パッケージなどのカスタム PKG インストーラーをデプロイできます。 Intune管理センターで PKG アプリを追加するには、[アプリ] [macOS]> [アプリの種類] で [macOS> アプリ (PKG) を追加>する] を選択します。

適用対象:

• macOS

詳細については、「アンマネージド macOS PKG アプリをMicrosoft Intuneに追加する」を参照してください。 マネージド PKG 型アプリをデプロイするには、引き続き macOS 基幹業務 (LOB) アプリをMicrosoft Intuneに追加できます。 macOS デバイス用のIntune MDM エージェントの詳細については、「macOS 用Microsoft Intune管理エージェント」を参照してください。

iOS/iPadOS Web クリップ アプリの種類で使用できる新しい設定

Intuneでは、Web アプリを iOS/iPadOS デバイス (アプリ>iOS/iPadOS>Add>iOS/iPadOS Web クリップ) にピン留めできます。 Web クリップを追加すると、使用可能な新しい設定があります。

• 全画面表示: [はい] に構成されている場合は、ブラウザーを使用せずに Web クリップを全画面表示 Web アプリとして起動します。 URL や検索バーはなく、ブックマークもありません。
• マニフェスト スコープを無視する: [はい] に構成されている場合、全画面表示の Web クリップは Safari UI を表示せずに外部 Web サイトに移動できます。 それ以外の場合は、Web クリップの URL から離れるときに Safari UI が表示されます。 [ 全画面表示 ] が [いいえ] に設定されている場合、この設定は無効です。 iOS 14 以降で使用できます。
• 事前計算済み: [はい] に構成されている場合、Apple のアプリケーション起動ツール (SpringBoard) がアイコンに "輝き" を追加できなくなります。
• ターゲット アプリケーション バンドル識別子: URL を開くアプリケーションを指定するアプリケーション バンドル識別子を入力します。 iOS 14 以降で使用できます。

適用対象:

• iOS/iPadOS

詳細については、「Microsoft Intuneに Web アプリを追加する」を参照してください。

スクリプトを追加するときに既定の設定Windows PowerShell変更する

Intuneでは、ポリシーを使用して、Windows PowerShell スクリプトを Windows デバイスに展開できます (デバイス>スクリプト>の追加>Windows 10以降)。 Windows PowerShell スクリプトを追加すると、構成する設定があります。 Intuneのセキュリティで保護された既定の動作を増やすには、次の設定の既定の動作が変更されています。

• [ログオンした資格情報を使用してこのスクリプトを実行する] 設定の既定値は [はい] です。 以前は、既定値は [いいえ] でした。
• [スクリプト署名チェックの適用] 設定の既定値は [はい] です。 以前は、既定値は [いいえ] でした。

この動作は、既存のスクリプトではなく、追加した新しいスクリプトに適用されます。

適用対象:

• Windows 10 以降 (Windows 10 Home を除く)

IntuneでWindows PowerShell スクリプトを使用する方法の詳細については、「Intuneの Windows 10/11 デバイスで PowerShell スクリプトを使用する」を参照してください。

デバイス構成

スコープ タグのサポートを追加しました

Zebra LifeGuard Over-the-Air 統合 (パブリック プレビュー) を使用してデプロイを作成するときにスコープ タグを追加できるようになりました。

macOS 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[設定カタログ] で新しい設定を使用できます。 Microsoft Intune管理センターでは、[デバイスの管理]>[デバイスの構成>] [新>しいポリシー>の作成>]macOS の [プロファイルの種類] の [>設定] カタログで、これらの設定を確認できます。

Microsoft AutoUpdate (MAU):

• 現在のチャネル (月単位)

> Microsoft Defender ユーザー インターフェイスの基本設定:

• コンシューマー バージョンへのサインインを制御する

Microsoft Office > Microsoft Outlook:

• 無効にする Do not send response

ユーザー エクスペリエンス > Dock:

• MCX Dock の特別なフォルダー

適用対象:

• macOS

Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

MAC アドレス エンドポイントのコンプライアンス取得サービスのサポート

コンプライアンス取得サービスに MAC アドレスのサポートが追加されました。

CR サービスの最初のリリースでは、シリアル番号や MAC アドレスなどの内部識別子を管理する必要をなくす目的で、Intune デバイス ID のみを使用するためのサポートが含まれていました。 この更新プログラムにより、証明書認証よりも MAC アドレスを使用することを希望する組織は、CR サービスの実装中も引き続き使用できます。

この更新プログラムは CR サービスに MAC アドレスのサポートを追加しますが、証明書に含まれるIntuneデバイス ID で証明書ベースの認証を使用することをお勧めします。

Intune ネットワーク Access Control (NAC) サービスの代替としての CR サービスの詳細については、「Intune ブログhttps://techcommunity.microsoft.com/t5/intune-customer-success/new-microsoft-intune-service-for-network-access-control/ba-p/2544696」を参照してください。

セキュリティ ベースライン内の設定分析情報Intune一般公開

Microsoft Intuneの [設定] 分析情報の一般提供についてお知らせします。

[設定分析情報] 機能を使用すると、設定に分析情報が追加され、同様の組織で正常に採用された構成に自信を持つことができます。 設定の分析情報は現在、セキュリティ ベースラインで使用できます。

[エンドポイント セキュリティ セキュリティ> ベースライン] に移動します。 ワークフローの作成と編集中に、これらの分析情報は電球を使用するすべての設定で使用できます。

デバイスのセキュリティ

Azure Virtual Desktop での Windows の改ざん防止のサポート

Intuneでは、エンドポイント セキュリティウイルス対策ポリシーを使用して、Azure Virtual Desktop マルチセッション デバイス上の Windows の改ざん防止を管理できるようになりました。 改ざん防止をサポートするには、改ざん防止を有効にするポリシーが適用される前に、デバイスをMicrosoft Defender for Endpointにオンボードする必要があります。

エンドポイント特権管理用の EpmTools PowerShell モジュール

EpmTools PowerShell モジュールは、Intune Endpoint Privilege Management (EPM) で使用できるようになりました。 EpmTools には、ファイルの詳細を取得するために使用できる Get-FileAttributes などのコマンドレットや、EPM ポリシーのデプロイのトラブルシューティングや診断に使用できるその他のコマンドレットが含まれています。

詳細については、「 EpmTools PowerShell モジュール」を参照してください。

子プロセスの昇格規則を管理するためのエンドポイント特権管理のサポート

Intune Endpoint Privilege Management (EPM) を使用すると、Windows デバイスで管理者として実行できるファイルとプロセスを管理できます。 EPM 昇格ルール では、新しい設定である 子プロセスの動作がサポートされるようになりました。

子プロセスの動作では、ルールは、マネージド プロセスによって作成されたすべての子プロセスの昇格コンテキストを管理できます。 オプションは以下のとおりです。

• マネージド プロセスによって作成されたすべての子プロセスを常に管理者特権で実行できるようにします。
• 親プロセスを管理するルールと一致する場合にのみ、子プロセスを管理者特権で実行できるようにします。
• すべての子プロセスが昇格されたコンテキストで実行されることを拒否します。その場合は、標準ユーザーとして実行されます。

Endpoint Privilege Management は、Intune アドオンとして使用できます。 詳細については、「Intune Suite アドオン機能を使用する」を参照してください。

Intune アプリ

Intune 用に新しく利用可能になった保護されたアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• Dooray! for Intune

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

監視とトラブルシューティング

コンプライアンスとポリシーコンプライアンスの設定に関する更新されたレポートがパブリック プレビューに含まれる

デバイスコンプライアンスのパブリック プレビューとして、2 つの新しいレポートIntuneリリースしました。 これらの新しいプレビュー レポートは、Intune管理センターの [レポート] [デバイス コンプライアンス>レポート>] タブにあります。

• コンプライアンスの設定 (プレビュー)
• ポリシーコンプライアンス (プレビュー)

どちらのレポートも既存のレポートの新しいインスタンスであり、次のような古いバージョンよりも改善されています。

• Linux の設定とデバイスの詳細
• ビューの並べ替え、検索、フィルター処理、エクスポート、ページングのサポート
• 詳細については、ドリルダウン レポートを選択した列に基づいてフィルター処理します。
• デバイスは 1 回で表されます。 この動作は元のレポートとは対照的で、複数のユーザーがそのデバイスを使用した場合、デバイスが複数回カウントされる可能性があります。

最終的には、デバイス > モニターの管理センターで引き続き使用できる古いレポート バージョンは廃止されます。

2023 年 7 月 10 日の週

アプリ管理

アプリ構成ポリシー レポートへのUpdates

Intune レポート インフラストラクチャの改善に向けた継続的な取り組みの一環として、アプリ構成ポリシー レポートのユーザー インターフェイス (UI) の変更がいくつか行われています。 UI は、次の変更で更新されました。

• [アプリ構成ポリシー] ワークロードの [概要] セクションに [ユーザー状態] タイルまたは [適用できないデバイス] タイルがありません。
• [アプリ構成ポリシー] ワークロードの [監視] セクションに [ユーザーのインストール状態] レポートがありません。
• [アプリ構成ポリシー] ワークロードの [監視] セクションの [デバイスのインストール状態] レポートに、[状態] 列に [保留中] 状態が表示されなくなりました。

[アプリ>] [アプリの構成ポリシー] を選択Microsoft Intune管理センターでポリシー レポートを構成できます。

2023 年 7 月 3 日の週

デバイス管理

Android 13 での Zebra デバイスのIntuneサポート

Zebra は、デバイスで Android 13 のサポートをリリースする予定です。 詳細については、「 Android 13 への移行 (Zebra の Web サイトを開く)」を参照してください。

• Android 13 の一時的な問題

  Intune チームは、Zebra デバイスで Android 13 を徹底的にテストしました。 デバイス管理者 (DA) デバイスの次の 2 つの一時的な問題を除き、すべてが正常に動作し続けます。

  Android 13 を実行し、DA 管理に登録されている Zebra デバイスの場合:

  1. アプリのインストールはサイレントモードでは行われません。 代わりに、ユーザーはアプリのインストールを許可するアクセス許可を求める通知をポータル サイト アプリから (通知を許可する場合) 取得します。 プロンプトが表示されたときにユーザーがアプリのインストールを受け入れない場合、アプリはインストールされません。 ユーザーがインストールを許可するまで、通知ドロワーに永続的な通知が表示されます。

  2. 新しい MX プロファイルは Android 13 デバイスには適用されません。 新しく登録された Android 13 デバイスは、MX プロファイルから構成を受信しません。 登録済みデバイスに以前に適用した MX プロファイルは引き続き適用されます。

  7 月の後半にリリースされる更新プログラムでは、これらの問題が解決され、動作は以前の動作に戻ります。

• デバイスを Android 13 に更新する

  すぐに、Intuneの Zebra LifeGuard Over-the-Air 統合を使用して、Android Enterprise 専用およびフル マネージド デバイスを Android 13 に更新できるようになります。 詳細については、「Zebra LifeGuard over-the-air integration with Microsoft Intune」を参照してください。

  Android 13 に移行する前に、「 Android 13 への移行 (Zebra の Web サイトを開く)」を参照してください。

• Android 13 の Zebra デバイス用 OEMConfig

  Android 13 の Zebra デバイス用 OEMConfig には、Zebra の新しい Zebra OEMConfig Powered by MX OEMConfig アプリ を使用する必要があります (Google Play ストアが開きます)。 この新しいアプリは、Android 11 を実行している Zebra デバイスでも使用できますが、以前のバージョンでは使用できません。

  このアプリの詳細については、 Android 11 以降の新しい Zebra OEMConfig アプリ に関するブログ記事を参照してください。

  レガシ Zebra OEMConfig アプリ (Google Play ストアが開きます) は、Android 11 以前を実行している Zebra デバイスでのみ使用できます。

Android 13 のサポートIntune関する一般的な情報については、Android 13 の Day Zero サポートに関するブログ記事Microsoft Intune参照してください。

デバイスのセキュリティ

Defender for Endpoint セキュリティ設定の管理の強化と、パブリック プレビューでの Linux と macOS のサポート

Defender for Endpoint セキュリティ設定管理では、Intuneのエンドポイント セキュリティ ポリシーを使用して、Defender for Endpoint にオンボードされているが、Intuneに登録されていないデバイスの Defender セキュリティ設定を管理できます。

これで、Microsoft Defender ポータル内からパブリック プレビューにオプトインして、このシナリオのいくつかの拡張機能にアクセスできるようになりました。

• Intuneのエンドポイント セキュリティ ポリシーがに表示され、Microsoft Defender ポータル内から管理できます。 これにより、セキュリティ管理者は Defender ポータルに残り、Defender セキュリティ設定管理の Defender と Intune エンドポイント セキュリティ ポリシーを管理できます。

• セキュリティ設定管理では、Intune エンドポイント セキュリティ ウイルス対策ポリシーを Linux および macOS を実行するデバイスへの展開がサポートされています。

• Windows デバイスの場合、セキュリティ設定管理で Windows セキュリティ エクスペリエンス プロファイルがサポートされるようになりました。

• 新しいオンボード ワークフローでは、Microsoft Entraハイブリッド参加の前提条件が削除されます。 ハイブリッド参加要件Microsoft Entra、多くの Windows デバイスが Defender for Endpoint のセキュリティ設定管理に正常にオンボードすることができなかった。 この変更により、これらのデバイスは登録を完了し、セキュリティ設定管理のポリシーの処理を開始できるようになりました。

• Intuneは、Microsoft Entra IDに完全に登録できないデバイスの合成登録をMicrosoft Entra IDに作成します。 合成登録は、Microsoft Entra IDで作成されたデバイス オブジェクトであり、デバイスがセキュリティ設定管理のためにIntune ポリシーを受信して報告できるようにします。 さらに、合成登録を持つデバイスが完全に登録された場合、合成登録は完全な登録に遅延してMicrosoft Entra IDから削除されます。

Defender for Endpoint Public Preview にオプトインしない場合、以前の動作は維持されます。 この場合、Linux のウイルス対策プロファイルを表示できますが、Defender によって管理されているデバイスに対してのみサポートされるように展開することはできません。 同様に、Intuneで登録されているデバイスで現在使用できる macOS プロファイルは、Defender によって管理されているデバイスに展開できません。

適用対象:

• Linux
• macOS
• Windows

2023 年 6 月 26 日の週

デバイス構成

Android (AOSP) では、割り当てフィルターがサポートされています

Android (AOSP) では、割り当てフィルターがサポートされています。 Android (AOSP) のフィルターを作成する場合は、次のプロパティを使用できます。

• DeviceName
• 製造元
• モデル
• DeviceCategory
• oSVersion
• IsRooted
• DeviceOwnership
• EnrollmentProfileName

フィルターの詳細については、「Microsoft Intuneでアプリ、ポリシー、プロファイルを割り当てるときにフィルターを使用する」を参照してください。

適用対象:

• Android

Windows デバイスのオンデマンド修復

パブリック プレビュー段階の新しいデバイス アクションを使用すると、1 つの Windows デバイスでオンデマンドで修復を実行できます。 [修復デバイスの実行] アクションを使用すると、割り当てられたスケジュールで修復が実行されるのを待たずに問題を解決できます。 また、デバイスの [監視] セクションの [修復] で修復の状態を表示することもできます。

[修復デバイスの実行] アクションがロールアウトされ、すべての顧客に到達するまでに数週間かかる場合があります。

詳細については、「 修復」を参照してください。

デバイス管理

Intuneでの Windows ドライバー更新プログラムの管理は一般公開されています

Microsoft Intuneでの Windows ドライバー更新プログラム管理の一般提供についてお知らせします。 ドライバー更新ポリシーを使用すると、推奨され、ポリシーに割り当てられているWindows 10とWindows 11デバイスに適用されるドライバー更新プログラムの一覧を表示できます。 該当するドライバーの更新プログラムは、デバイスのドライバーバージョンを更新できる更新プログラムです。 ドライバーの更新ポリシーは、ドライバーの製造元によって発行された新しい更新プログラムを追加し、ポリシーを使用してデバイスに適用されなくなった古いドライバーを削除するために自動的に更新されます。

更新ポリシーは、次の 2 つの承認方法のいずれかに対して構成できます。

• 自動承認では、ドライバーの製造元によって発行され、ポリシーに追加された新しい推奨ドライバーはそれぞれ、該当するデバイスへの展開が自動的に承認されます。 自動承認用に設定されたポリシーは、自動的に承認された更新プログラムがデバイスにインストールされるまでの延期期間で構成できます。 この遅延により、ドライバーを確認し、必要に応じてそのデプロイを一時停止する時間が得られます。

• 手動による承認では、すべての新しいドライバー更新プログラムがポリシーに自動的に追加されますが、管理者は、各更新プログラムをデバイスに展開Windows Update前に明示的に承認する必要があります。 更新プログラムを手動で承認する場合は、Windows Updateがデバイスへの展開を開始する日付を選択します。

ドライバーの更新プログラムを管理するために、ポリシーを確認し、インストールしない更新プログラムを拒否します。 また、承認済みの更新プログラムを無期限に一時停止し、一時停止した更新プログラムを再び実行してデプロイを再開することもできます。

このリリースには、成功の概要、承認されたドライバーごとのデバイスごとの更新状態、エラーとトラブルシューティングの情報を提供するドライバー更新 レポート も含まれています。 個々のドライバーの更新プログラムを選択し、そのドライバーのバージョンを含むすべてのポリシーで詳細を表示することもできます。

Windows ドライバー更新ポリシーの使用については、「Microsoft Intuneを使用した Windows ドライバー更新プログラムのポリシーの管理」を参照してください。

適用対象:

• Windows 10
• Windows 11

2023 年 6 月 19 日の週 (サービス リリース 2306)

アプリ管理

MAM for Microsoft Edge for Business [プレビュー]

個人用 Windows デバイス上の Microsoft Edge を使用して、組織データへの保護された MAM アクセスを有効にできるようになりました。 この機能では、次の機能が使用されます。

• アプリケーション構成ポリシー (ACP) をIntuneして Microsoft Edge で組織のユーザー エクスペリエンスをカスタマイズする
• アプリケーション保護ポリシー (APP) をIntuneして組織データをセキュリティで保護し、Microsoft Edge を使用するときにクライアント デバイスが正常であることを確認する
• Windows Defender クライアントの脅威防御をIntune APP と統合して、個人用 Windows デバイス上のローカルの正常性の脅威を検出する
• アプリケーション保護の条件付きアクセスを使用して、保護されたサービス アクセスを許可する前に、デバイスが保護され、正常であることを確認Microsoft Entra ID

詳細については、「プレビュー: Windows のポリシー設定をアプリ保護する」を参照してください。

パブリック プレビューに参加するには、 オプトイン フォームに入力します。

デバイス構成

Apple 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。 Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

[設定カタログ] で新しい設定を使用できます。 Microsoft Intune管理センターでは、[デバイス>の管理]>[デバイスの構成] [>新しいポリシー>の作成>]iOS/iPadOS または macOS の [プロファイルの種類] [>設定] カタログで、これらの設定を確認できます。

iOS/iPadOS

ネットワーキング > ネットワーク使用状況ルール:

• SIM ルール

macOS

認証 >拡張可能なシングル サインオン (SSO):

• 認証方法
• 拒否されたバンドル識別子
• 登録トークン

ディスクの完全暗号化 > FileVault:

• 出力パス
• Username
• Password
• UseKeyChain

デバイス ファームウェア構成インターフェイス (DFCI) では、Asus デバイスがサポートされます

Windows 10/11 デバイスの場合は、DFCI プロファイルを作成して UEFI (BIOS) 設定を管理できます。 Microsoft Intune管理センターで、[デバイスの管理]>>[構成>] [新しいポリシー>の作成>Windows 10以降のプロファイルの種類のプラットフォーム >テンプレート>デバイス ファームウェア構成インターフェイス] を選択します。

Windows 10/11 を実行している一部の Asus デバイスは DFCI で有効になっています。 対象となるデバイスについては、デバイス ベンダーまたはデバイスの製造元にお問い合わせください。

DFCI プロファイルの詳細については、以下を参照してください。

• Microsoft Intuneの Windows デバイスでデバイス ファームウェア構成インターフェイス (DFCI) プロファイルを構成する
• Windows Autopilot を使用したデバイス ファームウェア構成インターフェイス (DFCI) 管理

適用対象:

• Windows 10
• Windows 11

Saaswedo Datalert の通信経費管理は、Intuneで削除されます

Intuneでは、Saaswedo の Datalert 通信経費管理を使用して通信費を管理できます。 この機能は、Intuneから削除されます。 この削除には、次のものが含まれます。

• Telecom Expense Management コネクタ

• 通信費 RBAC カテゴリ

  • 読み取り アクセス許可
  • 更新 アクセス許可

Saaswedo の詳細については、「 Datalert サービスが使用できない (Saaswedo の Web サイトを開く)」を参照してください。

適用対象:

• Android
• iOS/iPadOS

セキュリティ ベースライン内Intune設定の分析情報

[設定分析情報] 機能により、セキュリティ ベースラインに分析情報が追加され、同様の組織で正常に採用された構成に自信を持たすことができます。

[エンドポイント セキュリティ セキュリティ> ベースライン] に移動します。 ワークフローを作成して編集すると、これらの分析情報を電球の形式で使用できます。

デバイス管理

プレビュー段階の新しいエンドポイント セキュリティ アプリケーション制御ポリシー

パブリック プレビューとして、新しいエンドポイント セキュリティ ポリシー カテゴリであるアプリケーション制御を使用できます。 エンドポイント セキュリティ アプリケーション制御ポリシーには、次のものが含まれます。

• Intune管理拡張機能をテナント全体のマネージド インストーラーとして設定するポリシー。 マネージド インストーラーとして有効にすると、(マネージド インストーラーの有効化後に) Intune経由で Windows デバイスに展開するアプリは、Intuneによってインストール済みとしてタグ付けされます。 このタグは、アプリケーション制御ポリシーを使用して、管理対象デバイスでの実行を許可またはブロックするアプリを管理するときに役立ちます。

• Defender Application Control (WDAC) の実装であるアプリケーション制御ポリシー。 エンドポイント セキュリティ アプリケーション制御ポリシーを使用すると、信頼されたアプリをマネージド デバイスで実行できるようにするポリシーを簡単に構成できます。 信頼されたアプリは、マネージド インストーラーまたはアプリ ストアからインストールされます。 これらのポリシーでは、組み込みの信頼設定に加えて、アプリケーション制御用のカスタム XML もサポートされているため、組織の要件を満たすために他のソースの他のアプリを実行できます。

この新しいポリシーの種類の使用を開始するには、「アプリケーション制御ポリシーを使用して Windows デバイスの承認済みアプリを管理する」と「マネージド インストーラーを使用してMicrosoft Intune

適用対象:

• Windows 10
• Windows 11

エンドポイント分析は、Government クラウドのテナントで使用できます

このリリースでは、Endpoint Analytics を Government クラウドのテナントで使用できます。

エンドポイント分析の詳細については、こちらをご覧ください。

リモート ヘルプでのセッション内接続モード スイッチの概要

リモート ヘルプでは、セッション内接続モード切り替え機能を利用できるようになりました。 この機能は、フル コントロールモードとビューのみのモード間を簡単に切り替え、柔軟性と利便性を提供します。

リモート ヘルプの詳細については、「リモート ヘルプ」を参照してください。

適用対象:

• Windows 10 または 11

デバイスのセキュリティ

エンドポイント特権管理レポートへの更新

Intuneの Endpoint Privilege Management (EPM) レポートで、レポートの完全なペイロードを CSV ファイルにエクスポートできるようになりました。 この変更により、Intuneの昇格レポートからすべてのイベントをエクスポートできるようになりました。

昇格されたアクセス オプションを使用してエンドポイント特権管理が実行され、Windows 11の最上位メニューで使用できるようになりました

[昇格されたアクセス権で実行する] の [エンドポイント特権管理] オプションが、Windows 11 デバイスの最上位の右クリック オプションとして使用できるようになりました。 この変更の前に、標準ユーザーは [その他のオプションを表示する] を選択して、Windows 11 デバイスで管理者特権でアクセスを実行するプロンプトを表示する必要がありました。

Endpoint Privilege Management は、Intune アドオンとして使用できます。 詳細については、「Intune Suite アドオン機能を使用する」を参照してください。

適用対象:

• Windows 11

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• Idenprotect Go by Apply Mobile Ltd (Android)
• LiquidText by LiquidText, Inc. (iOS)
• MyQ Roger: OCR スキャナー PDF by MyQ spol. s r.o.
• CiiMS GO by Online Intelligence (Pty) Ltd
• Vbrick Mobile by Vbrick Systems

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

監視とトラブルシューティング

Microsoft Intuneトラブルシューティング ウィンドウが一般公開されました

Intuneトラブルシューティング ウィンドウが一般公開されました。 ユーザーのデバイス、ポリシー、アプリケーション、および状態に関する詳細が提供されます。 トラブルシューティング ウィンドウには、次の情報が含まれています。

• ポリシー、コンプライアンス、アプリケーションの展開状態の概要。
• すべてのレポートのエクスポート、フィルター処理、並べ替えをサポートします。
• ポリシーとアプリケーションを除外してフィルター処理するサポート。
• ユーザーの 1 台のデバイスにフィルター処理するサポート。
• 使用可能なデバイスの診断と無効なデバイスの詳細。
• 3 日以上サービスにチェックインしていないオフライン デバイスの詳細。

[トラブルシューティングとサポート>のトラブルシューティング] を選択すると、管理センター Microsoft Intuneトラブルシューティング ウィンドウが表示されます。

Intuneの [トラブルシューティングとサポート] ウィンドウが更新されました

Intune管理センターの [トラブルシューティングとサポート] ウィンドウは、[ロールとスコープ] レポートを 1 つのレポートに統合することで更新されました。 このレポートには、IntuneとMicrosoft Entra IDの両方から関連するすべてのロールとスコープ データが含まれるようになり、より効率的で効率的なエクスペリエンスが提供されます。 関連情報については、「 トラブルシューティング ダッシュボードを使用して会社のユーザーを支援する」を参照してください。

モバイル アプリ 診断をダウンロードする

Intune管理センターでユーザーが送信したモバイル アプリ 診断に、Windows、iOS、Android、Android AOSP、macOS を含むポータル サイト アプリ経由で送信されるアプリ ログを含む、一般公開されました。 さらに、Microsoft Edge を介してアプリ保護ログを取得できます。 詳細については、「アプリ ログのポータル サイト」および「Microsoft Edge for iOS と Android を使用してマネージド アプリ ログにアクセスする」を参照してください。

2023 年 6 月 12 日の週

デバイス管理

Android オープンソース デバイスのMicrosoft Intuneでサポートされている HTC とピコの新しいデバイス

Android オープンソース プロジェクト デバイス (AOSP) 用のMicrosoft Intuneでは、次のデバイスがサポートされるようになりました。

• HTC Vive XR Elite
• ピコ ネオ 3 Pro
• ピコ 4

詳細については、以下を参照してください:

• Microsoft Intune でサポートされているオペレーティング システムとブラウザー

• Android オープン ソース プロジェクトでサポートされているデバイス

適用対象:

• Android (AOSP)

アプリ管理

ビジネス向け Microsoft Storeまたは教育機関向け Microsoft Store

ビジネス向け Microsoft Storeまたは教育機関向け Microsoft Storeから追加されたアプリは、デバイスやユーザーには展開されません。 アプリはレポートで "適用不可" と表示されます。 既にデプロイされているアプリは影響を受けません。 新しい Microsoft Store アプリを使用して、デバイスまたはユーザーに Microsoft Store アプリを展開します。 関連情報については、「プラン for Change: Ending support for ビジネス向け Microsoft Store and Education apps for upcoming dates for ビジネス向け Microsoft Store apps will longer deploy and ビジネス向け Microsoft Store apps will be removed」を参照してください。

詳細については、次のリソースを参照してください。

• Windows 上の Microsoft Store と Intune との統合への更新
• Intuneで Microsoft Store の未来を受け入れる: ステップ バイ ステップ ガイド
• Intune for Education を使用して Microsoft Store の未来を受け入れる: ステップ バイ ステップ ガイド

2023 年 6 月 5 日の週

デバイス構成

Android Enterprise 11 以降のデバイスでは、Zebra の最新の OEMConfig アプリ バージョンを使用できます

Android Enterprise デバイスでは、OEMConfig を使用して、Microsoft Intuneで OEM 固有の設定を追加、作成、カスタマイズできます (デバイス>の管理 デバイス>構成 プラットフォーム>OEMConfig 用>の新しいポリシー>Android Enterprise の作成>)。

新しい Zebra OEMConfig Powered by MX OEMConfig アプリがあり、Google の標準に合わせて調整されています。 このアプリは、Android Enterprise 11.0 以降のデバイスをサポートしています。

以前 のレガシ Zebra OEMConfig アプリは、引き続き Android 11 以前のデバイスをサポートしています。

マネージド Google Play には、Zebra OEMConfig アプリの 2 つのバージョンがあります。 Android デバイスのバージョンに適用される正しいアプリを必ず選択してください。

OEMConfig とIntuneの詳細については、「Microsoft Intuneで OEMConfig を使用して Android Enterprise デバイスを使用して管理する」を参照してください。

適用対象:

• Android Enterprise 11.0 以降

2023 年 5 月 29 日の週

デバイス管理

Intune UI では、セキュリティ管理のシナリオで Windows クライアントとは異なる Windows Server デバイスが表示Microsoft Defender for Endpoint

Microsoft Defender for Endpointのセキュリティ管理 (MDEセキュリティ構成) のシナリオをサポートするために、Intuneでは、Microsoft Entra IDの Windows デバイスを、Windows Server を実行するデバイスの場合は Windows Server、実行するデバイスの場合は Windows と区別するようになりましたWindows 10またはWindows 11。

この変更により、MDEセキュリティ構成のポリシー ターゲットを改善できます。 たとえば、Windows Server デバイスのみ、または Windows クライアント デバイス (Windows 10/11) のみで構成される動的グループを使用できます。

この変更の詳細については、Microsoft Intune、Microsoft Entra ID、Defender for Endpoint で Windows Server デバイスが新しい OS として認識されるようになったIntuneカスタマー サクセス ブログを参照してください。

テナント管理

Windows 11の組織メッセージが一般公開されるようになりました

組織のメッセージを使用して、ブランド化されたパーソナライズされた行動喚起を従業員に配信します。 15 の異なる言語で、デバイスのオンボードとライフサイクル管理を通じて従業員をサポートする 25 を超えるメッセージから選択します。 メッセージは、Microsoft Entraユーザー グループに割り当てることができます。 タスク バーのすぐ上、通知領域、または Windows 11 を実行しているデバイス上の開始アプリに表示されます。 メッセージは、Intuneで構成した頻度に基づいて、ユーザーがカスタマイズした URL にアクセスするまで表示または再表示されます。

このリリースで追加されたその他の機能は次のとおりです。

• 最初のメッセージの前にライセンス要件を確認します。
• タスク バー メッセージ用の 8 つの新しいテーマから選択します。
• メッセージにカスタム名を付けます。
• スコープ グループとスコープ タグを追加します。
• スケジュールされたメッセージの詳細を編集します。

スコープ タグは、以前は組織のメッセージで使用できませんでした。 スコープ タグのサポートが追加Intune、2023 年 6 月より前に作成されたすべてのメッセージに既定のスコープ タグが追加されます。 これらのメッセージにアクセスする管理者は、同じタグを持つロールに関連付ける必要があります。 使用可能な機能と組織のメッセージを設定する方法の詳細については、「 組織のメッセージの概要」を参照してください。

2023 年 5 月 22 日の週 (サービス リリース 2305)

アプリ管理

macOS シェル スクリプトの最大実行時間制限に更新する

お客様からのフィードバックに基づいて、macOS 用のIntune エージェント (バージョン 2305.019) を更新して、スクリプトの最大実行時間を 60 分に延長します。 以前は、macOS 用のIntune エージェントでは、エラーとしてスクリプトを報告する前に、シェル スクリプトの実行を最大 15 分間許可しました。 macOS 2206.014 以降の Intune エージェントでは、60 分のタイムアウトがサポートされています。

割り当てフィルターは、アプリ保護ポリシーとアプリ構成ポリシーをサポートします

割り当てフィルターは、MAM アプリ保護ポリシーとアプリ構成ポリシーをサポートします。 新しいフィルターを作成するときに、次のプロパティを使用して MAM ポリシー ターゲットを微調整できます。

• デバイス管理型
• デバイスの製造元
• デバイス モデル
• OS のバージョン
• アプリケーションのバージョン
• MAM クライアント バージョン

重要

デバイスの種類のターゲット設定を使用するすべての新しく編集されたアプリ保護ポリシーは、割り当てフィルターに置き換えられます。

フィルターの詳細については、「Microsoft Intuneでアプリ、ポリシー、プロファイルを割り当てるときにフィルターを使用する」を参照してください。

Intuneで MAM レポートに更新する

MAM レポートは簡略化され、オーバーホールされ、Intuneの最新のレポート インフラストラクチャが使用されるようになりました。 この利点には、データの精度の向上と即時更新が含まれます。 これらの合理化された MAM レポートは、Microsoft Intune管理センターで [アプリ>モニター] を選択することで確認できます。 使用可能なすべての MAM データは、新しいアプリ保護状態レポートとアプリ構成状態レポートに含まれます。

グローバルな静音時間アプリ ポリシー設定

グローバルな静音時間設定を使用すると、エンド ユーザーの静かな時間をスケジュールするポリシーを作成できます。 これらの設定は、iOS/iPadOS および Android プラットフォームで Microsoft Outlook のメールと Teams の通知を自動的にミュートします。 これらのポリシーを使用して、勤務時間後に受け取ったエンド ユーザー通知を制限できます。 詳細については、「 静かな時間通知ポリシー」を参照してください。

デバイス構成

リモート ヘルプでの拡張チャットの概要

リモート ヘルプを使用した拡張チャットの導入。 新しく強化されたチャットを使用すると、すべてのメッセージの継続的なスレッドを維持できます。 このチャットでは、特殊文字やその他の言語 (中国語、アラビア語など) がサポートされます。

リモート ヘルプの詳細については、「リモート ヘルプ」を参照してください。

適用対象:

• Windows 10 または 11

管理者が監査ログ セッションを参照できるリモート ヘルプ

リモート ヘルプの場合、管理者は、既存のセッション レポートに加えて、Intuneで作成された監査ログ セッションを参照できるようになりました。 この機能を使用すると、管理者はログ アクティビティのトラブルシューティングと分析のために過去のイベントを参照できます。

リモート ヘルプの詳細については、「リモート ヘルプ」を参照してください。

適用対象:

• Windows 10
• Windows 11

設定カタログを使用してWindows 11デバイスの個人データ暗号化をオンまたはオフにする

設定カタログには、デバイスを構成して展開できる何百もの設定が含まれています。

設定カタログでは、 個人データ暗号化 (PDE) のオン/オフを切り替えることができます。 PDE は、Windows 11 バージョン 22H2 で導入されたセキュリティ機能であり、Windows に対してより多くの暗号化機能を提供します。

PDE は BitLocker とは異なります。 PDE は、ボリュームとディスク全体ではなく、個々のファイルとコンテンツを暗号化します。 PDE は、BitLocker などの他の暗号化方法と共に使用できます。

設定カタログの詳細については、次を参照してください。

• 設定カタログを使用して、Windows、iOS、iPadOS、macOS のデバイスで設定を構成する
• Intuneの [設定カタログ] を使用して完了できる一般的なタスク

この機能は、以下に適用されます。

• Windows 11

Visual Studio ADMX の設定は、[設定カタログ] と [管理用テンプレート] にあります

Visual Studio の設定は、設定カタログと管理用テンプレート (ADMX) に含まれています。 以前は、Windows デバイスで Visual Studio 設定を構成するために、ADMX インポートでインポートしました。

これらのポリシーの種類の詳細については、以下を参照してください。

• 設定カタログを使用して設定を構成する
• Windows 10/11 テンプレートを使用して、Microsoft Intune でグループ ポリシー設定を構成する
• Visual Studio 管理テンプレート (ADMX)

適用対象:

• Windows 10
• Windows 11

グループ ポリシー分析ではスコープ タグがサポートされます

グループ ポリシー分析では、オンプレミスの GPO をインポートします。 このツールは GPO を分析し、Intuneで使用できる (および使用できない) 設定を表示します。

Intuneで GPO XML ファイルをインポートするときに、既存のスコープ タグを選択できます。 スコープ タグを選択しない場合は、 既定 のスコープ タグが自動的に選択されます。 以前は、GPO をインポートしたときに、割り当てられたスコープ タグが GPO に自動的に適用されていました。

インポートされたポリシーを表示できるのは、そのスコープ タグ内の管理者のみです。 そのスコープ タグに含まれていない管理者は、インポートされたポリシーを表示できません。

また、スコープ タグ内の管理者は、表示するアクセス許可を持つインポートされたポリシーを移行できます。 インポートした GPO を設定カタログ ポリシーに移行するには、インポートされた GPO にスコープ タグを関連付ける必要があります。 スコープ タグが関連付けられていない場合は、設定カタログ ポリシーに移行できません。 スコープ タグが選択されていない場合、既定のスコープ タグが自動的に適用されます。

スコープ タグとグループ ポリシー分析の詳細については、次を参照してください。

• Microsoft Intuneのグループ ポリシー分析を使用してオンプレミスの GPO を分析する
• インポートした GPO を使用して設定カタログ ポリシーを作成する
• 分散 IT にロールベースのアクセス制御 (RBAC) とスコープのタグを使用する

Zebra Lifeguard Over-the-Air サービスとの統合Intune導入 (パブリック プレビュー)

パブリック プレビューで利用できるようになりました。Microsoft Intune では、Zebra Lifeguard Over-the-Air サービスとの統合がサポートされています。これにより、OS の更新プログラムとセキュリティ パッチを、Intuneに登録されている対象の Zebra デバイスに対して、空中で配信できます。 展開するファームウェア バージョンを選択し、スケジュールを設定し、更新プログラムのダウンロードとインストールをずらすことができます。 また、更新プログラムが発生する可能性がある場合の最小バッテリー、充電状態、およびネットワーク条件の要件を設定することもできます。

Android 8 以降を実行しており、Zebra を使用するアカウントが必要な Android Enterprise Dedicated デバイスとフル マネージド Zebra デバイスで使用できます。

仕事用プロファイルを持つ Android Enterprise 個人所有デバイスの新しい Google ドメイン許可リスト設定

仕事用プロファイルを持つ個人所有の Android Enterprise デバイスでは、デバイスの機能と設定を制限する設定を構成できます。

現在、Google アカウントを仕事用プロファイルに追加できる [アカウントの追加 と削除 ] 設定があります。 この設定では、[ すべてのアカウントの種類を許可する] を選択すると、次の構成も行うことができます。

• Google ドメイン許可リスト: ユーザーが仕事用プロファイルに特定の Google アカウント ドメインのみを追加するように制限します。 許可されているドメインの一覧をインポートするか、管理センターで形式を使用して contoso.com 追加できます。 空白のままにすると、既定では、OS によって仕事用プロファイルにすべての Google ドメインの追加が許可される場合があります。

構成できる設定の詳細については、「Android Enterprise デバイス設定の一覧」を参照して、Intuneを使用して個人所有のデバイスの機能を許可または制限します。

適用対象:

• 仕事用プロファイルがある個人所有の Android Enterprise デバイス

プロアクティブ修復の名前を修復に変更し、新しい場所に移動する

プロアクティブな修復が修復され、デバイス>の修復から使用できるようになりました。 次のIntuneサービスの更新まで、新しい場所と既存のレポート>エンドポイント分析の場所の両方に修復が表示されます。

修復は現在、新しい デバイス エクスペリエンス プレビューでは使用できません。

適用対象:

• Windows 10
• Windows 11

米国政府機関 GCC High と DoD のIntuneで修復を利用できるようになりました

修復 (以前はプロアクティブ修復と呼ばれる) は、米国政府機関 GCC High と DoD のMicrosoft Intuneで利用できるようになりました。

適用対象:

• Windows 10
• Windows 11

Windows デバイス上の VPN プロファイルの受信および送信ネットワーク トラフィックルールを作成する

注:

この設定は、将来のリリース (場合によっては 2308 Intune リリース) に予定されています。

デバイスへの VPN 接続を展開するデバイス構成プロファイルを作成できます (デバイス>の管理>構成>新しいポリシー>の作成>Windows 10以降のプラットフォーム>のプロファイルの種類のテンプレート>VPN)。

この VPN 接続では、 アプリとトラフィックルール の設定を使用して、ネットワーク トラフィック ルールを作成できます。

構成できる新しい [方向 ] 設定があります。 VPN 接続からの受信トラフィックと送信トラフィックを許可するには、次の設定を使用します。

• 送信 (既定値): VPN を使用してフローする外部ネットワーク/宛先へのトラフィックのみを許可します。 受信トラフィックが VPN に入り込むのがブロックされます。
• 受信: VPN を使用してフローする外部ネットワーク/ソースからのトラフィックのみを許可します。 送信トラフィックは VPN への入り込みからブロックされます。

ネットワーク トラフィック ルールの設定など、構成できる VPN 設定の詳細については、「Windows デバイスの設定」を参照して、Intuneを使用して VPN 接続を追加します。

適用対象:

• Windows 10 以降

macOS 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[設定カタログ] で新しい設定を使用できます。 Microsoft Intune管理センターでは、[デバイスの管理]>[デバイスの構成>] [新>しいポリシー>の作成>]macOS の [プロファイルの種類] の [>設定] カタログで、これらの設定を確認できます。

> Microsoft Defenderウイルス対策エンジン:

• アーカイブ ファイル内のスキャン
• ファイル ハッシュ計算を有効にする

適用対象:

• macOS

Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

macOS で使用できるデバイス アクションと新しい消去動作設定をワイプする

macOS デバイスの [消去] の代わりに [ デバイスのワイプ ] アクションを使用できるようになりました。 [ワイプ] アクションの一部として[Obliteration Behavior]\(Obliteration Behavior\) 設定を構成することもできます。

この新しいキーを使用すると、Apple シリコンまたは T2 セキュリティ チップを持つ Mac のワイプ フォールバック動作を制御できます。 この設定を見つけるには、[デバイス>別プラットフォーム>] macOS> [デバイスの選択] [デバイスアクション] 領域の [概要>ワイプ] > に移動します。

Obliteration Behavior 設定の詳細については、Apple のプラットフォーム展開サイト「 Apple デバイスの消去 - Apple サポート」を参照してください。

適用対象:

• macOS

デバイスの登録

iOS/iPadOS 15 以降のデバイスで利用できるアカウント駆動型 Apple ユーザー登録 (パブリック プレビュー)

Intuneでは、iOS/iPadOS 15 以降のデバイスに対する Apple ユーザー登録の新しく改良されたバリエーションである、アカウント駆動型のユーザー登録がサポートされます。 パブリック プレビューで使用できるようになりました。この新しいオプションでは、Just-In-Time 登録が使用されるため、登録中にポータル サイト アプリが不要になります。 デバイス ユーザーは、設定アプリで直接登録を開始できるため、オンボード エクスペリエンスが短く効率的になります。 引き続き、ポータル サイトを使用する既存のプロファイル ベースのユーザー登録方法を使用して、iOS/iPadOS デバイスをターゲットにすることができます。 iOS/iPadOS バージョン 14.8.1 以前を実行しているデバイスは、この更新プログラムの影響を受けず、既存のメソッドを引き続き使用できます。 詳細については、「 アカウント駆動型 Apple ユーザー登録の設定」を参照してください。

デバイスのセキュリティ

Microsoft 365 Office Apps の新しいセキュリティ ベースライン

M365 Office Apps のセキュリティ構成の管理に役立つ新しいセキュリティ ベースラインがリリースされました。 この新しいベースラインでは、Intune設定カタログに表示される統合設定プラットフォームを使用する、更新されたテンプレートとエクスペリエンスが使用されます。 新しいベースラインの設定の一覧は、「エンタープライズ ベースライン設定 (Office)のMicrosoft 365 Apps」で確認できます。

新しいIntuneセキュリティ ベースライン形式は、Intune設定カタログにある設定で使用できる設定の表示を調整します。 この配置は、競合が発生する可能性がある設定の名前と実装を設定するための過去の問題を解決するのに役立ちます。 新しい形式では、Intune管理センターのベースラインのレポート エクスペリエンスも向上します。

Microsoft 365 Office Apps ベースラインは、Microsoft の Office およびセキュリティ チームのセキュリティに関する推奨事項を満たす構成を Office Apps に迅速に展開するのに役立ちます。 すべてのベースラインと同様に、既定のベースラインは推奨される構成を表します。 既定のベースラインを変更して、organizationの要件を満たすことができます。

詳細については、「 セキュリティ ベースラインの概要」を参照してください。

適用対象:

• Windows 10
• Windows 11

Microsoft Edge バージョン 112 のセキュリティ ベースライン更新プログラム

Microsoft Edge バージョン 112 のIntune セキュリティ ベースラインの新しいバージョンをリリースしました。 新しいベースラインでは、Microsoft Edge 用のこの新しいバージョンのリリースに加えて、Intune設定カタログに表示される統合設定プラットフォームを使用する更新されたテンプレート エクスペリエンスが使用されます。 新しいベースラインの設定の一覧は、 Microsoft Edge ベースライン設定 (バージョン 112 以降) で確認できます。

新しいIntuneセキュリティ ベースライン形式は、Intune設定カタログにある設定で使用できる設定の表示を調整します。 この配置は、競合が発生する可能性がある設定の名前と実装を設定するための過去の問題を解決するのに役立ちます。 新しい形式では、Intune管理センターのベースラインのレポート エクスペリエンスも向上します。

新しいベースライン バージョンが使用可能になったので、Microsoft Edge 用に作成するすべての新しいプロファイルで、新しいベースラインの形式とバージョンが使用されます。 新しいバージョンが既定のベースライン バージョンになりますが、以前のバージョンの Microsoft Edge 用に作成したプロファイルを引き続き使用できます。 ただし、古いバージョンの Microsoft Edge 用に新しいプロファイルを作成することはできません。

詳細については、「 セキュリティ ベースラインの概要」を参照してください。

適用対象:

• Windows 10
• Windows 11

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• アチーバーズ・バイ・アチーバーズ
• Board.Vision for iPad by Trusted Services PTE. 株式 会社。
• グローバルリレーコミュニケーションズ株式会社
• Incorta (BestBuy) by Incorta, Inc. (iOS)
• Island Enterprise Browser by Island (iOS)
• Klaxoon (iOS) によるIntune用 Klaxoon

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

2023 年 5 月 8 日の週

デバイス構成

デバイス ファームウェア構成インターフェイス (DFCI) では、Dynabook デバイスがサポートされます

Windows 10/11 デバイスの場合は、DFCI プロファイルを作成して UEFI (BIOS) 設定を管理できます。 Microsoft Intune管理センターで、[デバイスの管理]>>[構成>] [新しいポリシー>の作成>Windows 10以降のプロファイルの種類のプラットフォーム >テンプレート>デバイス ファームウェア構成インターフェイス] を選択します。

WINDOWS 10/11 を実行している一部の Dynabook デバイスは、DFCI で有効になっています。 対象となるデバイスについては、デバイス ベンダーまたはデバイスの製造元にお問い合わせください。

DFCI プロファイルの詳細については、以下を参照してください。

• Microsoft Intuneの Windows デバイスでデバイス ファームウェア構成インターフェイス (DFCI) プロファイルを構成する
• Windows Autopilot を使用したデバイス ファームウェア構成インターフェイス (DFCI) 管理

適用対象:

• Windows 10
• Windows 11

ダウンロード サーバーを使用した Windows PC の eSIM 一括ライセンス認証が設定カタログで利用できるようになりました

設定カタログを使用して、Windows eSIM PC の大規模な構成を実行できるようになりました。 ダウンロード サーバー (SM-DP+) は、構成プロファイルを使用して構成されます。

デバイスが構成を受け取ると、eSIM プロファイルが自動的にダウンロードされます。 詳細については、「 ダウンロード サーバーの eSIM 構成」を参照してください。

適用対象:

• Windows 11
• eSIM 対応デバイス

2023 年 5 月 1 日の週

アプリ管理

macOS シェル スクリプトの最大実行時間制限

実行時間の長いシェル スクリプトを使用Intuneテナントがスクリプトの実行状態を報告しない問題を修正しました。 macOS Intune エージェントは、15 分を超える macOS シェル スクリプトを停止します。 これらのスクリプトは失敗と報告します。 新しい動作は、macOS Intune エージェント バージョン 2305.019 から適用されます。

macOS 用 DMG アプリのインストール

macOS 用 DMG アプリのインストール機能が一般公開されました。 Intuneでは、DMG アプリの必要な割り当てとアンインストールの割り当ての種類がサポートされています。 macOS 用のIntune エージェントは、DMG アプリのデプロイに使用されます。

ビジネス向け Microsoft Storeと教育の廃止

ビジネス向け Microsoft Store コネクタは、Microsoft Intune管理センターでは使用できなくなりました。 ビジネス向け Microsoft Storeまたは教育機関向け Microsoft Storeから追加されたアプリは、Intuneと同期されません。 以前に同期されたアプリは引き続き使用でき、デバイスとユーザーに展開されます。

新しい Microsoft Store アプリの種類に移行するときに環境をクリーンできるように、Microsoft Intune管理センターの [アプリ] ウィンドウからビジネス向け Microsoft Storeアプリを削除することもできます。

関連情報については、「プラン for Change: Ending support for ビジネス向け Microsoft Store and Education apps for upcoming dates for upcoming dates for ビジネス向け Microsoft Store apps't deploy and ビジネス向け Microsoft Store apps are removed」を参照してください。

デバイス構成

リモート ヘルプで条件付きアクセス機能がサポートされるようになりました

管理者は、リモート ヘルプのポリシーと条件を設定するときに条件付きアクセス機能を利用できるようになりました。 たとえば、多要素認証、セキュリティ更新プログラムのインストール、特定のリージョンまたは IP アドレスのリモート ヘルプへのアクセスのロックなどです。

詳細については、以下を参照してください:

• 条件付きアクセス
• リモート ヘルプ

デバイスのセキュリティ

エンドポイント セキュリティウイルス対策ポリシーのMicrosoft Defenderの設定を更新しました

エンドポイント セキュリティウイルス対策ポリシーのMicrosoft Defenderウイルス対策プロファイルで使用可能な設定が更新されました。 このプロファイルは、Intune管理センターのエンドポイント セキュリティ>ウイルス対策>プラットフォーム:Windows 10、Windows 11、および Windows Server>Profile:Microsoft Defender ウイルス対策にあります。

• 次の設定が追加されました。

  • 従量制課金接続Updates
  • Tls 解析を無効にする
  • Http 解析を無効にする
  • Dns 解析を無効にする
  • Dns over Tcp 解析を無効にする
  • Ssh 解析を無効にする
  • プラットフォーム Updates チャネル
  • エンジン Updates チャネル
  • セキュリティ インテリジェンス Updates チャネル
  • ネットワーク保護のダウン レベルを許可する
  • Win Server でデータグラム処理を許可する
  • Dns シンクホールを有効にする

  これらの設定の詳細については、 Defender CSP に関するページを参照してください。 新しい設定は、Intune設定カタログからも使用できます。

• 次の設定は非推奨になりました。

  • 侵入防止システムを許可する

  この設定が非推奨タグと共 に 表示されるようになりました。 この非推奨の設定が以前にデバイスに適用されていた場合、設定値は NotApplicable に更新され、デバイスには影響しません。 この設定がデバイスで構成されている場合、デバイスに影響はありません。

適用対象:

• Windows 10
• Windows 11

2023 年 4 月 17 日の週 (サービス リリース 2304)

アプリ管理

iOS/iPadOS および macOS デバイスでの iCloud アプリのバックアップと復元の動作の変更

アプリ設定として、[iOS/iPadOS および macOS デバイスの iCloud アプリバックアップを禁止 する] を選択できます。 iOS/iPadOS 上のマネージド App Store アプリと基幹業務 (LOB) アプリ、および macOS デバイス上のマネージド App Store アプリ (macOS LOB アプリはこの機能をサポートしていません) を、ユーザーとデバイスライセンスの VPP/非 VPP アプリの両方でバックアップすることはできません。 この更新プログラムには、Intuneに追加され、ユーザーとデバイスを対象とする VPP の有無に関係なく送信される新規および既存の App Store/LOB アプリの両方が含まれます。

指定したマネージド アプリのバックアップを防ぐと、デバイスが登録され、バックアップから復元されたときに、これらのアプリをIntune経由で適切に展開できるようになります。 管理者がテナント内の新規または既存のアプリに対してこの新しい設定を構成した場合、管理対象アプリはデバイス用に再インストールできます。 ただし、Intuneではバックアップできません。

この新しい設定は、アプリのプロパティMicrosoft Intune変更することで管理センターに表示されます。 既存のアプリの場合は、[アプリ>] [iOS/iPadOS] を選択するか、macOS>でアプリ>の[プロパティ>] [割り当ての編集] を選択できます。 グループの割り当てが設定されていない場合は、[ グループの追加] を選択してグループを追加します。 [VPN]、[デバイスの削除時にアンインストール]、または [リムーバブルとしてインストール] のいずれかの設定を変更します。 次に、[ iCloud アプリのバックアップを禁止する] を選択します。 [ iCloud アプリのバックアップを禁止 する] 設定は、アプリケーションのアプリ データのバックアップを防ぐために使用されます。 [ いいえ] に設定すると、アプリを iCloud でバックアップできます。

詳細については、「iOS/iPadOS および macOS デバイスでのアプリケーションのバックアップと復元の動作の変更」および「Microsoft Intuneを使用してアプリをグループに割り当てる」を参照してください。

Apple VPP アプリの自動更新を禁止する

Apple VPP の自動更新動作は、アプリごとの割り当てレベルで [ 自動更新の禁止 ] 設定を使用して制御できます。 この設定は、[アプリ>] [iOS/iPadOS] または [macOS>] [ボリューム購入プログラム アプリ>の選択][プロパティ>の割り当て]> [Microsoft Entra グループ>の選択] [アプリ設定] の順に選択することで、管理センター Microsoft Intune使用できます。

適用対象:

• iOS/iPadOS
• macOS

デバイス構成

macOS 設定カタログへのUpdates

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[設定カタログ] で新しい設定を使用できます。 Microsoft Intune管理センターでは、[デバイスの管理]>[デバイスの構成>] [新>しいポリシー>の作成>]macOS の [プロファイルの種類] の [>設定] カタログで、これらの設定を確認できます。

新しい設定は、次の場所にあります。

Microsoft AutoUpdate (MAU) > [対象アプリ]:

• チャネルのオーバーライドを更新する

次の設定は非推奨になりました。

Microsoft AutoUpdate (MAU) > [対象アプリ]:

• チャネル名 (非推奨)

プライバシー > プライバシー設定 ポリシー コントロール > サービス > のリッスン イベントまたはスクリーン キャプチャ:

• 許可

適用対象:

• macOS

Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

Apple デバイス用の Microsoft Enterprise SSO プラグインが一般公開されました

Microsoft Intuneには、Microsoft Enterprise SSO プラグインがあります。 このプラグインは、認証にMicrosoft Entra IDを使用する iOS/iPadOS および macOS アプリおよび Web サイトへのシングル サインオン (SSO) を提供します。

このプラグインは現在一般公開されています (GA)。

Intuneで Apple デバイス用の Microsoft Enterprise SSO プラグインを構成する方法の詳細については、Microsoft Intuneの Microsoft Enterprise SSO プラグインに関するページを参照してください。

適用対象:

• iOS/iPadOS
• macOS

監視対象 macOS デバイスのアクティブ化ロック デバイス アクションを無効にする

現在のユーザー名やパスワードを必要とせずに、Intuneのアクティブ化ロックデバイスの無効化アクションを使用して、Mac デバイスのアクティベーション ロックをバイパスできるようになりました。 この新しいアクションは、[デバイス>別プラットフォーム>] macOS> で、表示されているデバイス>のいずれかを選択してアクティブ化ロックを無効にします。

アクティブ化ロックの管理の詳細については、「Intuneによる iOS/iPadOS アクティベーション ロックのバイパス」または「iPhone、iPad、iPod touch のアクティベーション ロック - Apple サポート」の Apple の Web サイトを参照してください。

適用対象:

• macOS 10.15 以降

ServiceNow 統合が一般公開されました (GA)

一般公開されたので、[トラブルシューティング] ワークスペースで選択したユーザーに関連付けられている ServiceNow インシデントの一覧Intune表示できます。 この新機能は、[ トラブルシューティングとサポート> ] でユーザー >の ServiceNow インシデントを選択して使用できます。 表示されるインシデントには、ソース インシデントへの直接リンクがあり、インシデントからの重要な情報が表示されます。 一覧表示されているすべてのインシデントは、インシデントで識別された "発信者" を、トラブルシューティング用に選択されたユーザーとリンクします。

詳細については、「 トラブルシューティング ポータルを使用して会社のユーザーを支援する」を参照してください。

organization メッセージの配信を制御する管理者をサポートするためのその他のアクセス許可

より多くのアクセス許可を持つ管理者は、組織のメッセージから作成および展開されたコンテンツの配信と、Microsoft からユーザーへのコンテンツの配信を制御できます。

組織のメッセージに対する組織のメッセージ制御 RBAC の更新アクセス許可によって、組織のメッセージトグルを変更して Microsoft ダイレクト メッセージを許可またはブロックできるユーザーが決まります。 このアクセス許可は、 組織メッセージ マネージャー の組み込みロールにも追加されます。

組織メッセージを管理するための既存のカスタム ロールは、ユーザーがこの設定を変更するためにこのアクセス許可を追加するように変更する必要があります。

• ロールベースのアクセス制御 (RBAC) の詳細については、「Microsoft Intuneを使用した RBAC」を参照してください。
• organization メッセージの前提条件の詳細については、「組織のメッセージの前提条件」を参照してください。

デバイス管理

ICMP の種類に対するエンドポイント セキュリティ ファイアウォール規則のサポート

IcmpTypesAndCodes 設定を使用して、ファイアウォール規則の一部としてインターネット制御メッセージ プロトコル (ICMP) の受信規則と送信規則を構成できるようになりました。 この設定は、Windows 10、Windows 11、および Windows Server プラットフォームの Microsoft Defender ファイアウォール規則プロファイルで使用できます。

適用対象:

• Windows 11 以降

Intune ポリシーを使用して Windows LAPS を管理する (パブリック プレビュー)

パブリック プレビューで、Microsoft Intune アカウント保護ポリシーを使用して Windows ローカル管理者パスワード ソリューション (Windows LAPS) を管理できるようになりました。 開始するには、Windows LAPS Intuneサポートに関するページを参照してください。

Windows LAPS は、Microsoft Entra参加済みまたはWindows Server Active Directory参加済みデバイスのローカル管理者アカウントのパスワードを管理およびバックアップできる Windows 機能です。

LAPS を管理するために、Intuneは Windows デバイスに組み込まれている Windows LAPS 構成サービス プロバイダー (CSP) を構成します。 GPO や Microsoft レガシ LAPS ツールなど、Windows LAPS 構成の他のソースよりも優先されます。 Intuneが Windows LAPS を管理するときに使用できる機能には、次のようなものがあります。

• デバイス上のローカル管理者アカウントに適用される複雑さと長さなどのパスワード要件を定義します。
• ローカル管理者アカウントのパスワードをスケジュールに従ってローテーションするようにデバイスを構成します。 また、Microsoft Entra IDまたはオンプレミスの Active Directoryでアカウントとパスワードをバックアップします。
• 管理センターの Intune デバイス アクションを使用して、自分のスケジュールでアカウントのパスワードを手動でローテーションします。
• アカウント名やパスワードなど、Intune管理センター内からアカウントの詳細を表示します。 この情報は、アクセスできないデバイスを回復するのに役立ちます。
• Intuneレポートを使用して、LAPS ポリシーを監視し、デバイスが最後にパスワードを手動またはスケジュールでローテーションしたタイミングを監視します。

適用対象:

• Windows 10
• Windows 11

macOS ソフトウェア更新ポリシーで使用できる新しい設定

macOS ソフトウェア更新ポリシーには、デバイスに更新プログラムがインストールされるタイミングの管理に役立つ次の設定が含まれるようになりました。 これらの設定は、[ 他のすべての更新プログラムの更新プログラム の種類] が [後でインストール] に構成されている場合に使用できます。

• 最大ユーザー遅延: 他のすべての更新プログラム の更新の種類が 後でインストールするように構成されている場合、この設定では、ユーザーがマイナー OS 更新プログラムをインストールする前に延期できる最大回数を指定できます。 1 日に 1 回、ユーザーにメッセージが表示されます。 macOS 12 以降を実行しているデバイスで使用できます。

• 優先度: [他のすべての更新プログラムの更新の 種類] が [後でインストール] に構成されている場合、この設定を使用すると、マイナー OS 更新プログラムをダウンロードして準備するためのスケジュール設定の優先順位として Low または High の値を指定できます。 macOS 12.3 以降を実行しているデバイスで使用できます。

詳細については、「Microsoft Intune ポリシーを使用して macOS ソフトウェア更新プログラムを管理する」を参照してください。

適用対象:

• macOS

新しいパートナー ポータル ページの概要

パートナー ポータル ページから、HP または Surface デバイスでハードウェア固有の情報を管理できるようになりました。

HP リンクを使用すると、HP Connect に移動し、HP デバイスで BIOS を更新、構成、セキュリティで保護できます。 [Microsoft Surface] リンクをクリックすると、Surface 管理ポータルに移動し、デバイスのコンプライアンス、サポート アクティビティ、保証範囲に関する分析情報を取得できます。

[パートナー ポータル] ページにアクセスするには、[デバイス] ウィンドウプレビューを有効にし、[ デバイス>パートナー ポータル] に移動する必要があります。

アプリとドライバーのWindows Update互換性レポートが一般公開されました

Windows Updateの互換性に関する次のMicrosoft Intune レポートはプレビュー段階から外れ、一般公開されています。

• Windows 機能更新プログラムデバイスの準備レポート - このレポートは、選択したバージョンの Windows へのアップグレードまたは更新に関連付けられている互換性リスクに関するデバイスごとの情報を提供します。

• Windows 機能更新プログラムの互換性リスク レポート - このレポートでは、選択したバージョンの Windows について、organization全体の上位互換性リスクの概要を示します。 このレポートを使用すると、組織内で最も多くのデバイスに影響を与える互換性リスクを把握できます。

これらのレポートは、Windows 10 から 11 へのアップグレードを計画したり、最新の Windows 機能更新プログラムをインストールしたりするのに役立ちます。

デバイスのセキュリティ

Microsoft Intune エンドポイント特権管理は一般公開されています

Microsoft Endpoint Privilege Management (EPM) が一般公開され、プレビューではなくなりました。

Endpoint Privilege Management を使用すると、管理者は、標準ユーザーが通常管理者用に予約されたタスクを実行できるようにするポリシーを設定できます。 これを行うには、選択したアプリまたはプロセスの実行時アクセス許可を昇格させる 自動 ワークフローと ユーザー確認 ワークフローのポリシーを構成します。 次に、管理者特権なしでエンド ユーザーが実行されているユーザーまたはデバイスにこれらのポリシーを割り当てます。 デバイスがポリシーを受け取った後、EPM はユーザーに代わって昇格を仲介し、完全な管理者権限を必要とせずに承認済みアプリケーションを昇格できるようにします。 EPM には、組み込みの分析情報とレポートも含まれています。

EPM がプレビューから外れているので、別のライセンスを使用する必要があります。 EPM のみを追加するスタンドアロン ライセンスと、Microsoft Intune Suiteの一部としてライセンス EPM のどちらかを選択できます。 詳細については、「Intune Suite アドオン機能を使用する」を参照してください。

エンドポイント特権管理が一般公開されましたが、 EPM のレポート はプレビュー段階の機能に移行され、 プレビューから削除される前にさらに機能強化が行われます。

Intune ファイアウォール規則ポリシーを使用した WDAC アプリケーション ID のタグ付けのサポート

エンドポイント セキュリティ ファイアウォール ポリシーの一部として使用できるIntuneのMicrosoft Defender ファイアウォール規則プロファイルに、ポリシー アプリ ID 設定が含まれるようになりました。 この設定は 、MdmStore/FirewallRules/{FirewallRuleName}/PolicyAppId CSP で説明されており、Windows Defender アプリケーション制御 (WDAC) アプリケーション ID タグの指定をサポートしています。

この機能を使用すると、ファイアウォール規則をアプリケーションまたはアプリケーションのグループにスコープを設定し、WDAC ポリシーに依存してこれらのアプリケーションを定義できます。 タグを使用して WDAC ポリシーにリンクしたり、WDAC ポリシーに依存したりすることで、ファイアウォール規則ポリシーは、絶対ファイル パスのファイアウォール規則オプションや、規則のセキュリティを低下させる可変ファイル パスの使用に依存する必要はありません。

この機能を使用するには、Intune Microsoft Defender ファイアウォール規則で指定できる AppId タグを含む WDAC ポリシーを設定する必要があります。

詳細については、Windows Defender アプリケーションコントロールのドキュメントの次の記事を参照してください。

• Windows のアプリケーション制御について
• WDAC アプリケーション ID (AppId) タグ付けガイド

適用対象:

• Windows 10 または 11

Intuneのエンドポイント セキュリティ攻撃 Surface の削減ポリシーの新しいアプリとブラウザーの分離プロファイル

エンドポイント セキュリティの攻撃面の削減ポリシー用の新しい アプリとブラウザーの分離 プロファイルを作成する新しいエクスペリエンスをリリースしました。 以前に作成したアプリとブラウザーの分離ポリシーを編集するエクスペリエンスは変わらず、引き続き使用できます。 この更新プログラムは、Windows 10 以降のプラットフォーム用に作成した新しいアプリとブラウザーの分離ポリシーにのみ適用されます。

この更新プログラムは、2022 年 4 月に開始されたエンドポイント セキュリティ ポリシーの新しいプロファイルの継続的なロールアウトの一部です。

さらに、新しいプロファイルには、含まれる設定に対して次の変更が含まれます。

• 非エンタープライズ承認済みサイトからの外部コンテンツのブロック - この設定は、Microsoft Edge 従来版でのみサポートされていたため、更新されたプロファイルから削除されます。 Microsoft Edge 従来版サポートは2021年3月に終了しました。 Microsoft 365 アプリは、インターネット エクスプローラー 11 とWindows 10サンセット Microsoft Edge 従来版 - Microsoft Community Hub に別れを告げます。

• クリップボードファイルの種類 – この設定は更新されたプロファイルに追加され、ホストから環境にコピーできるコンテンツの種類Application Guard決定されます。 この新しい設定の CSP は、WindowsDefenderApplicationGuard CSP ドキュメントの Settings/ClipboardFileType で確認できます。

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• ixArma by INAX-APPS (iOS)
• myBLDNG by Bldng.ai (iOS)
• RICOH Spaces V2 by Ricoh Digital Services
• Firstup - Intune by Firstup, Inc. (iOS)

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

役割ベースのアクセス制御

組織のメッセージに対する新しい割り当て (RBAC) アクセス許可

[組織のメッセージに RBAC アクセス許可を割り当てる] によって、ターゲット Microsoft Entra グループを組織のメッセージに割り当てることができるユーザーが決まります。 RBAC のアクセス許可にアクセスするには、Microsoft Intune管理センターにサインインし、[テナント管理>ロール] に移動します。

このアクセス許可は、 組織メッセージ マネージャー の組み込みロールにも追加されます。 組織メッセージを管理するための既存のカスタム ロールは、ユーザーがこの設定を変更するためにこのアクセス許可を追加するように変更する必要があります。

• ロールベースのアクセス制御 (RBAC) の詳細については、「Microsoft Intuneを使用した RBAC」を参照してください。
• organization メッセージの前提条件の詳細については、「組織のメッセージの前提条件」を参照してください。

テナント管理

組織のメッセージを削除する

Microsoft Intuneから組織のメッセージを削除できるようになりました。 メッセージを削除すると、Intuneから削除され、管理センターに表示されなくなります。 メッセージの状態に関係なく、いつでもメッセージを削除できます。 Intuneは、アクティブなメッセージを削除すると自動的に取り消されます。 詳細については、「 組織のメッセージを削除する」を参照してください。

組織のメッセージの監査ログを確認する

監査ログを使用して、Microsoft Intuneの組織のメッセージ イベントを追跡および監視します。 ログにアクセスするには、Microsoft Intune管理センターにサインインし、[テナント管理>監査ログ] に移動します。 詳細については、「Intune アクティビティの監査ログ」を参照してください。

2023 年 4 月 10 日の週

デバイス構成

Windows 10マルチセッション VM のユーザー構成のサポートが GA になりました

今後は次のことができるようになりました。

• [設定カタログ] を使用してユーザー スコープ ポリシーを構成し、ユーザーのグループに割り当てます。
• ユーザー証明書を構成し、ユーザーに割り当てます。
• ユーザー コンテキストにインストールし、ユーザーに割り当てるために PowerShell スクリプトを構成します。

適用対象:

• Windows 10
• Azure パブリック クラウドと Azure Government クラウドで作成された仮想マシン

2023 年 4 月 3 日の週

デバイス構成

仕事用プロファイルを使用して Android Enterprise 個人所有のデバイスに Google アカウントを追加する

仕事用プロファイルを持つ個人所有の Android Enterprise デバイスでは、デバイスの機能と設定を制限する設定を構成できます。 現在、[ アカウントの追加と削除] 設定があります 。 この設定により、Google アカウントの禁止など、アカウントが仕事用プロファイルに追加されなくなります。

この設定が変更されました。 Google アカウントを追加できるようになりました。 [ アカウントの追加と削除 ] 設定オプションは次のとおりです。

• [すべてのアカウントの種類をブロックする]: ユーザーが作業プロファイルでアカウントを手動で追加または削除できないようにします。 たとえば、Gmail アプリを仕事用プロファイルに展開すると、ユーザーがこの仕事用プロファイルでアカウントを追加または削除できないようにすることができます。

• [すべてのアカウントの種類を許可する]: Google アカウントを含むすべてのアカウントを許可します。 これらの Google アカウントは、 マネージド Google Play ストアからのアプリのインストールがブロックされます。

  この設定には、次のものが必要です。

  • Google Play アプリのバージョン 80970100 以上

• Google アカウント (既定値) を除くすべてのアカウントの種類を許可する: Intuneはこの設定を変更または更新しません。 既定では、OS では、仕事用プロファイルへのアカウントの追加が許可される場合があります。

構成できる設定の詳細については、「Android Enterprise デバイス設定の一覧」を参照して、Intuneを使用して個人所有のデバイスの機能を許可または制限します。

適用対象:

• 仕事用プロファイルがある個人所有の Android Enterprise デバイス

2023 年 3 月 27 日の週

アプリ管理

macOS DMG アプリを更新する

Intuneを使用してデプロイされた macOS アプリ (DMG) の種類のアプリを更新できるようになりました。 Intuneで既に作成されている DMG アプリを編集するには、元の DMG アプリと同じバンドル識別子を使用してアプリの更新プログラムをアップロードします。 関連情報については、「macOS DMG アプリを Microsoft Intune に追加する」を参照してください。

事前プロビジョニング中に必要なアプリをインストールする

新しいトグルは、登録状態ページ (ESP) プロファイルで使用できます。これにより、Windows Autopilot の事前プロビジョニング技術者フェーズで必要なアプリケーションのインストールを試みるかどうかを選択できます。 エンド ユーザーのセットアップ時間を短縮するために、事前プロビジョニング中にできるだけ多くのアプリケーションをインストールすることが望ましいことを理解しています。 アプリのインストールエラーが発生した場合、ESP プロファイルで指定されたアプリを除き、ESP は続行されます。 この機能を有効にするには、新しい設定の [技術者フェーズで選択したアプリのみを失敗させる] で [はい] を選択して、登録状態ページプロファイルを編集する必要があります。 この設定は、ブロックしているアプリが選択されている場合にのみ表示されます。 ESP の詳細については、「 登録状態の設定」ページを参照してください。

2023 年 3 月 20 日の週 (サービス リリース 2303)

アプリ管理

Win32 アプリの最小 OS バージョン

Intuneでは、Win32 アプリをインストールするときに、Windows 10と 11 の最小オペレーティング システム バージョンがサポートされます。 管理センター Microsoft Intuneで、[アプリ] [Windows>アプリ>の追加>(Win32)] を選択します。 [最小オペレーティング システム] の横にある [要件] タブで、使用可能なオペレーティング システムのいずれかを選択します。 その他の OS オプションは次のとおりです。

• Windows 10 21H2
• Windows 10 22H2
• Windows 11 21H2
• Windows 11 22H2

VPP アプリを管理するためにマネージド アプリのアクセス許可が不要になりました

モバイル アプリのアクセス許可のみが割り当てられている VPP アプリを表示および管理できます。 以前は、VPP アプリを表示および管理するには、 マネージド アプリのアクセス許可が必要でした。 この変更は、引き続きマネージド アプリのアクセス許可を割り当てる必要がある Education テナントのIntuneには適用されません。 Intuneのアクセス許可の詳細については、「カスタム ロールのアクセス許可」を参照してください。

デバイス構成

macOS 設定カタログで使用できる新しい設定と設定オプション

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[設定カタログ] で新しい設定を使用できます。 Microsoft Intune管理センターでは、[デバイスの管理]>[デバイスの構成>] [新>しいポリシー>の作成>]macOS の [プロファイルの種類] の [>設定] カタログで、これらの設定を確認できます。

新しい設定には、次のものが含まれます。

> Microsoft Defender改ざん防止:

• 実施レベル

Microsoft Office > Microsoft OneDrive:

• 自動アップロード帯域幅の割合
• フォルダー バックアップ機能 (既知のフォルダー移動とも呼ばれます) を自動的かつサイレントで有効にする
• アプリがオンライン限定のファイルをダウンロードしないようにします
• 外部同期をブロックする
• 自動サインインを無効にする
• ダウンロード トーストを無効にする
• 個人用アカウントを無効にする
• チュートリアルを無効にする
• フォルダーがリダイレクトされたら、ユーザーに通知を表示する
• ファイル オンデマンドを有効にする
• Office アプリの同時編集を有効にする
• ユーザーにフォルダー バックアップ機能 (既知のフォルダー移動) の使用を強制する
• ドック アイコンを非表示にする
• 名前付きファイルを無視する
• フォルダー バックアップに ~/Desktop を含める (既知のフォルダー移動とも呼ばれます)
• フォルダー バックアップに ~/ドキュメントを含める (既知のフォルダー移動とも呼ばれます)
• ログイン時に開く
• ユーザーがフォルダー バックアップ機能 (既知のフォルダー移動) を使用できないようにする
• フォルダー バックアップ機能 (既知のフォルダー移動) を有効にするようにユーザーに求める
• 最大ダウンロード スループットを設定する
• 最大アップロード スループットを設定する
• SharePoint の優先順位付け
• SharePoint Server フロント ドア URL
• SharePoint Server テナント名

適用対象:

• macOS

Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

Linux デバイスを構成するためのカスタム Bash スクリプトを追加する

Intuneでは、既存の Bash スクリプトを追加して Linux デバイス (プラットフォーム>別のデバイス>Linux>スクリプト) を構成できます。

このスクリプト ポリシーを作成するときに、スクリプトが実行されるコンテキスト (ユーザーまたはルート)、スクリプトの実行頻度、および実行を再試行する回数を設定できます。

この機能の詳細については、「カスタム Bash スクリプトを使用してMicrosoft Intuneで Linux デバイスを構成する」を参照してください。

適用対象:

• Linux Ubuntu Desktops

デバイスの登録

iOS/iPadOS 自動デバイス登録の待機最終構成設定のサポート (パブリック プレビュー)

パブリック プレビューでは、Intuneは、対象となる新規および既存の iOS/iPadOS 自動デバイス登録プロファイルで、Await final configuration という新しい設定をサポートしています。 この設定により、セットアップ アシスタントですぐにロックされたエクスペリエンスが有効になります。 これにより、ほとんどのデバイス構成ポリシーがインストールされるまで、デバイス ユーザーが制限付きコンテンツにアクセスしたり、デバイスの設定を変更したりIntuneできなくなります。 設定は、既存の自動デバイス登録プロファイルまたは新しいプロファイルで構成できます (デバイス>別プラットフォーム>iOS/iPadOS>デバイス オンボード>登録登録>プログラム トークン プロファイルの>作成)。 詳細については、「 Apple 登録プロファイルを作成する」を参照してください。

新しい設定により、Intune管理者はデバイスからカテゴリへのマッピングを制御できます

Intune ポータル サイトでのデバイス カテゴリ プロンプトの表示を制御します。 エンド ユーザーからプロンプトを非表示にし、デバイスからカテゴリへのマッピングを管理者にIntuneしたままにできるようになりました。 新しい設定は、管理センターの [ テナント管理>カスタマイズ>デバイス カテゴリ] で使用できます。 詳細については、「 デバイス カテゴリ」を参照してください。

フル マネージド デバイスの複数の登録プロファイルとトークンのサポート

Android Enterprise フル マネージド デバイスの複数の登録プロファイルとトークンを作成および管理します。 この新機能により、 EnrollmentProfileName 動的デバイス プロパティを使用して、フル マネージド デバイスに登録プロファイルを自動的に割り当てることができます。 テナントに付属する登録トークンは、既定のプロファイルに残ります。 詳細については、「Android Enterprise フル マネージド デバイスのIntune登録を設定する」を参照してください。

iPad の新しいMicrosoft Entra現場担当者エクスペリエンス (パブリック プレビュー)

この機能は、4 月中旬にテナントへのロールアウトを開始します。

Intuneでは、Apple の自動デバイス登録を使用した iPhone と iPad の現場担当者エクスペリエンスがサポートされるようになりました。 ゼロタッチで共有モードで有効になっているデバイスMicrosoft Entra ID登録できるようになりました。 共有デバイス モードの自動デバイス登録を構成する方法の詳細については、「共有デバイス モードでデバイスの登録Microsoft Entra設定する」を参照してください。

適用対象:

• iOS/iPadOS

デバイス管理

ログ構成に対するエンドポイント セキュリティ ファイアウォール ポリシーのサポート

ファイアウォール ログ オプションを構成する エンドポイント セキュリティ ファイアウォール ポリシー で設定を構成できるようになりました。 これらの設定は、Windows 10 以降のプラットフォームのMicrosoft Defender ファイアウォール プロファイル テンプレートにあり、そのテンプレートのドメイン、プライベート、およびパブリック プロファイルで使用できます。

ファイアウォール構成サービス プロバイダー (CSP) で見つかった新しい設定を次に示します。

• ログの成功Connectionsを有効にする
• ログ ファイル のパス
• ログドロップされたパケットを有効にする
• ログ無視ルールを有効にする

適用対象:

• Windows 11

モバイル ブロードバンド (MBB) のエンドポイント セキュリティ ファイアウォール規則のサポート

エンドポイント セキュリティ ファイアウォール ポリシーの [インターフェイスの種類] 設定に、Mobile ブロードバンドのオプションが含まれるようになりました。 インターフェイスの種類は、Windows をサポートするすべてのプラットフォームのMicrosoft Defender ファイアウォール規則プロファイルで使用できます。 この設定とオプションの使用については、「 ファイアウォール構成サービス プロバイダー (CSP)」を参照してください。

適用対象:

• Windows 10
• Windows 11

ネットワーク リスト マネージャー設定に対するエンドポイント セキュリティ ファイアウォール ポリシーのサポート

エンドポイント セキュリティ ファイアウォール ポリシーにネットワーク リスト マネージャー設定のペアを追加しました。 Microsoft Entra デバイスがオンプレミスのドメイン サブネット上にあるか、そうでないかを判断するために、ネットワーク リスト マネージャーの設定を使用できます。 この情報は、ファイアウォール規則が正しく適用されるのに役立ちます。

次の設定は、ネットワーク リスト マネージャーという名前の新しいカテゴリにあります。これは、Windows 10、Windows 11、および Windows Server プラットフォームのMicrosoft Defender ファイアウォール プロファイル テンプレートで使用できます。

• 許可される Tls 認証エンドポイント
• 構成された Tls 認証ネットワーク名

ネットワーク分類設定の詳細については、「 NetworkListManager CSP」を参照してください。

適用対象:

• Windows 10
• Windows 11

管理センターの [デバイス] 領域の機能強化 (パブリック プレビュー)

管理センターの [デバイス] 領域に一貫性のある UI が追加され、より機能の高いコントロールとナビゲーション構造が改善され、必要な情報をより迅速に見つけることができます。 パブリック プレビューにオプトインして新しいエクスペリエンスを試すには、[ デバイス] に移動し、ページの上部にあるトグルを反転します。 改善点は次のとおり：

• シナリオに焦点を当てた新しいナビゲーション構造。
• より一貫性のあるナビゲーション モデルを作成するためのプラットフォーム ピボットの新しい場所。
• 旅を減らすことで、目的地へのアクセスを迅速に行うことができます。
• 監視とレポートは管理ワークフロー内にあり、ワークフローから離れることなく主要なメトリックとレポートに簡単にアクセスできます。
• リスト ビュー間で一貫した方法で、データを検索、並べ替え、フィルター処理できます。

更新された UI の詳細については、「Microsoft Intuneで新しいデバイス エクスペリエンスを試す」を参照してください。

デバイスのセキュリティ

Microsoft Intune エンドポイント特権管理 (パブリック プレビュー)

パブリック プレビューとして、Microsoft Intune エンドポイント特権管理を使用できるようになりました。 Endpoint Privilege Management を使用すると、管理者は、標準ユーザーが通常管理者用に予約されたタスクを実行できるようにするポリシーを設定できます。 エンドポイント特権管理は、エンドポイント セキュリティ> エンドポイント特権管理のIntune管理センターで構成できます。

パブリック プレビューでは、選択したアプリまたはプロセスの実行時アクセス許可を昇格させる 自動 ワークフローと ユーザー確認 ワークフローのポリシーを構成できます。 次に、管理者特権なしでエンド ユーザーが実行されているユーザーまたはデバイスにこれらのポリシーを割り当てます。 ポリシーを受け取ると、Endpoint Privilege Management はユーザーに代わって昇格を仲介し、完全な管理者特権を必要とせずに承認されたアプリケーションを昇格できるようにします。 プレビューには、Endpoint Privilege Management の組み込みの分析情報とレポートも含まれています。

パブリック プレビューをアクティブ化し、エンドポイント特権管理ポリシーを使用する方法については、「Microsoft Intuneでエンドポイント特権管理を使用する」を参照してください。 Endpoint Privilege Management は、Intune Suite オファリングの一部であり、パブリック プレビューのままで無料で試すことができます。

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• EVALARM by GroupKom GmbH (iOS)
• ixArma by INAX-APPS (Android)
• 地震 |Intune・バイ・地震ソフトウェア株式会社
• Microsoft によるMicrosoft Viva Engage (正式には Microsoft Yammer)

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

監視とトラブルシューティング

Endpoint Privilege Management の診断データ収集

エンドポイント特権管理のリリースをサポートするために、Windows デバイスから診断収集を更新し、エンドポイント特権管理が有効になっているデバイスから収集される次のデータを含めます。

• レジストリ キー:

  • HKLM\SOFTWARE\Microsoft\EPMAgent

• コマンド:

  • %windir%\system32\pnputil.exe /enum-drivers

• ログ ファイル:

  • %ProgramFiles%\Microsoft EPM Agent\Logs\*.*
  • %windir%\system32\config\systemprofile\AppData\Local\mdm\*.log

保留中および失敗した組織のメッセージの状態を表示する

管理センターで保留中のメッセージと失敗したメッセージを簡単に追跡できるように、組織のメッセージ レポートの詳細にさらに 2 つの状態を追加しました。

• 保留中: メッセージはまだスケジュールされておらず、現在進行中です。
• 失敗: サービス エラーが原因でメッセージのスケジュールが失敗しました。

レポートの詳細については、「 組織のメッセージのレポートの詳細を表示する」を参照してください。

テナント接続デバイスに関連するその他のレポート情報

エンドポイント セキュリティ ワークロードの下にある既存のウイルス対策レポートで、テナント接続デバイスの情報を表示できるようになりました。 新しい列では、Intuneによって管理されるデバイスと、Configuration Managerによって管理されるデバイスが区別されます。 このレポート情報は、[エンドポイント セキュリティ>ウイルス対策] を選択Microsoft Intune管理センターで使用できます。

2023 年 3 月 13 日の週

デバイス管理

Meta Quest 2 と Quest Pro は、Android オープン ソース デバイスのMicrosoft Intuneで Open Beta (米国のみ) に移行されました

Android オープンソース プロジェクト デバイス (AOSP) 用のMicrosoft Intuneは、Meta Quest 2 と Quest Pro を米国市場向けのオープン ベータ版に迎えています。

詳細については、Microsoft Intuneでサポートされているオペレーティング システムとブラウザーに関するページを参照してください。

適用対象:

• Android (AOSP)

アプリ管理

Intune App SDK for Android 用の信頼されたルート証明書管理

Android アプリケーションで、内部 Web サイトやアプリケーションへのセキュリティで保護されたアクセスを提供するために、オンプレミスまたはプライベート証明機関によって発行された SSL/TLS 証明書が必要な場合、Intune App SDK for Android では証明書の信頼管理がサポートされるようになりました。 詳細と例については、「 信頼されたルート証明書の管理」を参照してください。

UWP アプリのシステム コンテキストのサポート

ユーザー コンテキストに加えて、システム コンテキストで Microsoft Store アプリ (新規) からユニバーサル Windows プラットフォーム (UWP) アプリを展開できます。 プロビジョニングされた .appx アプリがシステム コンテキストでデプロイされている場合、ログインするユーザーごとにアプリが自動インストールされます。 個々のエンド ユーザーがユーザー コンテキスト アプリをアンインストールした場合、アプリは引き続きプロビジョニングされているため、インストール済みとして表示されます。 さらに、デバイス上のユーザーにアプリをまだインストールしないでください。 一般的な推奨事項は、アプリのデプロイ時にインストール コンテキストを混在しないようにすることです。 Microsoft Store アプリ (新規) の Win32 アプリは、既にシステム コンテキストをサポートしています。

2023 年 3 月 6 日の週

アプリ管理

Win32 アプリをデバイス グループに展開する

使用可能な意図を持つ Win32 アプリをデバイス グループに展開できるようになりました。 詳細については、「Microsoft Intune での Win32 アプリの管理」を参照してください。

デバイス管理

Microsoft Intune管理センターの新しい URL

Microsoft Intune管理センターには、 という新しい URL がありますhttps://intune.microsoft.com。 以前に使用した URL は引き続き機能しますが、 https://endpoint.microsoft.com2023 年後半に新しい URL にリダイレクトされます。 Intuneアクセスと自動スクリプトに関する問題を回避するには、次のアクションを実行することをお勧めします。

• をポイントするようにログインまたは自動化を更新します https://intune.microsoft.com。
• 必要に応じてファイアウォールを更新して、新しい URL へのアクセスを許可します。
• お気に入りとブックマークに新しい URL を追加します。
• ヘルプデスクに通知し、IT 管理者のドキュメントを更新します。

テナント管理

CMPivot クエリを Favorites フォルダーに追加する

よく使用するクエリを CMPivot の [お気に入り ] フォルダーに追加できます。 CMPivot を使用すると、テナントアタッチを使用してConfiguration Managerによって管理されるデバイスの状態をすばやく評価し、アクションを実行できます。 この機能は、Configuration Manager コンソールに既に存在する機能と似ています。 この追加は、最も使用されているすべてのクエリを 1 か所に保持するのに役立ちます。 クエリにタグを追加して、クエリの検索と検索に役立てることもできます。 Configuration Manager コンソールに保存されたクエリは、お気に入りフォルダーに自動的に追加されません。 新しいクエリを作成し、このフォルダーに追加する必要があります。 CMPivot の詳細については、「 テナントアタッチ: CMPivot の使用状況の概要」を参照してください。

デバイスの登録

登録状態ページで新しい Microsoft Store アプリがサポートされるようになりました

登録状態ページ (ESP) では、Windows Autopilot 中に新しい Microsoft ストア アプリケーションがサポートされるようになりました。 この更新プログラムにより、新しい Microsoft Store エクスペリエンスのサポートが向上し、Intune 2303 以降のすべてのテナントにロールアウトする必要があります。 関連情報については、「 登録の状態ページを設定する」を参照してください。

2023 年 2 月 27 日の週

デバイス構成

Android Enterprise 企業所有のフル マネージドおよび Android Enterprise 企業所有の仕事用プロファイル デバイスでのデバイスの検索のサポート

Android Enterprise 企業所有のフル マネージドおよび Android Enterprise 企業所有の仕事用プロファイル デバイスで "デバイスの検索" を使用できるようになりました。 この機能を使用すると、管理者は必要に応じて紛失または盗難にあった企業デバイスを見つけることができます。

Microsoft Intune管理センターでは、デバイス構成プロファイルを使用して機能をオンにする必要があります (デバイス>の管理 デバイス>構成 作成>>新しいポリシー> Android Enterprise for platform > プロファイルの種類のデバイス制限)。

フル マネージドおよび企業所有の仕事用プロファイル デバイスの [デバイスの検索] トグルで [許可] を選択し、該当するグループを選択します。 [デバイス] を選択し、[すべてのデバイス] を選択すると、デバイスを見つけることができます。 管理するデバイスの一覧から、サポートされているデバイスを選択し、[デバイスの リモートの検索 ] アクションを選択します。

Intuneで紛失または盗難にあったデバイスを見つける方法については、次のページを参照してください。

• 紛失したまたは盗まれた デバイスを Intune で検索する

適用対象:

• 会社所有 Android Enterprise フル マネージド
• 会社所有 Android Enterprise 専用デバイス
• Android Enterprise の会社所有の仕事用プロファイル

Intune アドオン

Microsoft Intune Suiteは、ミッション クリティカルな高度なエンドポイント管理機能とセキュリティ機能をMicrosoft Intuneに提供します。

Intuneするアドオンは、Microsoft Intune管理センターの [テナント管理>Intuneアドオン] にあります。

詳細については、「Intune Suite アドオン機能を使用する」を参照してください。

Intuneトラブルシューティング ワークスペースで ServiceNow インシデントを表示する (プレビュー)

パブリック プレビューでは、[トラブルシューティング] ワークスペースで選択したユーザーに関連付けられている ServiceNow インシデントの一覧Intune表示できます。 この新機能は、[ トラブルシューティングとサポート> ] でユーザー >の ServiceNow インシデントを選択して使用できます。 表示されるインシデントの一覧には、ソース インシデントへの直接リンクが表示され、インシデントの重要な情報が表示されます。 一覧表示されているすべてのインシデントは、インシデントで識別された "発信者" を、トラブルシューティング用に選択されたユーザーとリンクします。

詳細については、「 トラブルシューティング ポータルを使用して会社のユーザーを支援する」を参照してください。

デバイスのセキュリティ

MAM 用 Microsoft Tunnelが一般公開されました

プレビューが提供され、一般公開されなくなっているので、 Microsoft Tunnel for Mobile Application Management をテナントに追加できます。 MAM 用トンネルでは、登録されていない Android デバイスと iOS デバイスからの接続がサポートされています。 このソリューションは、モバイル デバイスがセキュリティ ポリシーに従いながら企業リソースにアクセスできるようにする軽量 VPN ソリューションをテナントに提供します。

さらに、iOS 用 MAM Tunnel で Microsoft Edge がサポートされるようになりました。

以前は、Android および iOS 用の MAM 用 Tunnel はパブリック プレビュー段階にあり、無料で使用されていました。 一般公開されているこのリリースでは、このソリューションで使用するためにアドオン ライセンスが必要になりました。

ライセンスの詳細については、「Intuneアドオン」を参照してください。

適用対象:

• Android
• iOS

テナント管理

組織のメッセージでカスタム宛先 URL がサポートされるようになりました

タスク バー、通知領域、および作業開始アプリで、組織のメッセージに任意のカスタム宛先 URL を追加できるようになりました。 この機能は、Windows 11に適用されます。 スケジュールされた状態またはアクティブな状態Microsoft Entra登録済みドメインで作成されたメッセージは引き続きサポートされます。 詳細については、「 組織のメッセージを作成する」を参照してください。

2023 年 2 月 20 日の週 (サービス リリース 2302)

アプリ管理

LOB およびストア アプリの最小 OS 要件として利用可能な最新の iOS/iPadOS バージョン

基幹業務およびストア アプリの展開の最小オペレーティング システムとして iOS/iPadOS 16.0 を指定できます。 この設定オプションは、iOS/iPadOS> iOS ストア アプリ>または基幹業務アプリを選択Microsoft Intune管理センターで使用できます。 アプリの管理の詳細については、「アプリをMicrosoft Intuneに追加する」を参照してください。

Intune 用に新しく利用可能になった保護されたアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• Egnyte によるIntuneのための Egnyte

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

デバイス構成

エンドポイント マネージャー管理センターの名前が管理センター Intuneに変更されました

Microsoft エンドポイント マネージャー管理センターは、Microsoft Intune管理センターと呼ばれるようになりました。

フィルターの新しい [関連付けられた割り当て] タブ

アプリまたはポリシーを割り当てると、デバイスの製造元、モデル、所有権など、さまざまなデバイス プロパティを使用して割り当てをフィルター処理できます。 フィルターを作成して割り当てに関連付けることができます。

フィルターを作成すると、新しい [ 関連付けられた割り当て] タブが表示されます。このタブには、すべてのポリシーの割り当て、フィルター割り当てを受け取るグループ、フィルターで Exclude または Include が使用されている場合が 表示されます。

1. Microsoft Intune 管理センターにサインインします。
2. [デバイス>の整理]>[フィルター]> [既存のフィルター>の選択] [関連付けられた割り当て] タブに移動します。

フィルターの詳細については、次のページを参照してください。

• Intune でアプリ、ポリシー、プロファイルを割り当てるときにフィルターを使用する
• Intuneでフィルターを作成するときのデバイスのプロパティ、演算子、およびルールの編集

iOS/iPadOS モデル情報に含まれるサイズと生成

「ハードウェア デバイスの詳細」の Model 属性の一部として、登録済みの iOS/iPadOS デバイスのサイズと世代を表示できます。

[ デバイス > ] [すべてのデバイス> ] の順に選択し、表示されているデバイスのいずれかを選択し、[ ハードウェア ] を選択して詳細を開きます。 たとえば、iPad Pro 3 の代わりに、デバイス モデルの iPad Pro 11 インチ (第 3 世代) が表示されます。 詳細については、「Intuneでデバイスの詳細を確認する」を参照してください。

適用対象:

• iOS/iPadOS

監視対象の iOS/iPadOS デバイスのアクティブ化ロック デバイス アクションを無効にする

現在のユーザー名またはパスワードを必要とせずに、Intuneの [アクティブ化ロック デバイスの無効化] アクションを使用して、iOS/iPadOS デバイスのアクティブ化ロックをバイパスできます。

この新しいアクションは、[デバイス>] [iOS/iPadOS>] で、一覧表示されているデバイス>のいずれかを選択して [アクティブ化ロックを無効にする] で使用できます。

アクティブ化ロックの管理の詳細については、「iOS/iPadOS アクティベーション ロックをIntuneでバイパスする」または Apple の Web サイトの「iPhone、iPad、iPod touch のアクティベーション ロック - Apple サポート」を参照してください。

適用対象:

• iOS/iPadOS

[設定カタログ] で [一時的なエンタープライズ機能制御を許可する] を使用できます

オンプレミスのグループ ポリシーには、 サービスによって導入された機能を有効にする機能が既定でオフ になっています。

Intuneでは、この設定は [一時的なエンタープライズ機能制御を許可する] と呼ばれ、[設定カタログ] で使用できます。 このサービスにより、既定でオフになっている機能が追加されます。 [許可] に設定すると、これらの機能が有効になり、オンになります。

この機能の詳細については、次のページを参照してください。

• AllowTemporaryEnterpriseFeatureControl ポリシー CSP
• ブログ: 継続的イノベーションのための商業管理

このポリシー設定で有効になっている Windows 機能は、2023 年後半にリリースする必要があります。 Intuneは、認識と準備のために、このポリシー設定をリリースしています。これは、今後のWindows 11リリースで設定を使用する必要がある前です。

設定カタログの詳細については、「 Windows、iOS/iPadOS、macOS デバイスで設定カタログを使用して設定を構成する」を参照してください。

適用対象:

• Windows 11

デバイス管理

プリンター保護のデバイス制御のサポート (プレビュー)

パブリック プレビューでは、Attack Surface Reduction ポリシーのデバイス制御プロファイルで 、プリンター保護の再利用可能な設定グループがサポートされるようになりました。

Microsoft Defender for Endpoint デバイス制御プリンター保護を使用すると、Intune内の除外の有無にかかわらず、プリンターを監査、許可、または防止できます。 これにより、企業以外のネットワーク プリンターまたは承認されていない USB プリンターを使用して、ユーザーの印刷をブロックできます。 この機能により、自宅やリモートの作業シナリオで作業するためのセキュリティとデータ保護の別のレイヤーが追加されます。

適用対象:

• Windows 10
• Windows 11

Microsoft Defender for Endpointのセキュリティ管理を使用して管理されている古いデバイスを削除するサポート

Microsoft Intune管理センター内から、Microsoft Defender for Endpoint ソリューションのセキュリティ管理を使用して管理されているデバイスを削除できるようになりました。 デバイスの [概要] の詳細を表示すると、削除オプションが他のデバイス管理オプションと共に表示されます。 このソリューションによって管理されるデバイスを見つけるには、管理センターで [デバイス>] [すべてのデバイス] の順に移動し、[管理対象] 列に MDEJoined または MDEManaged を表示するデバイスを選択します。

Apple 設定カタログで使用できる新しい設定と設定オプション

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[設定カタログ] で新しい設定を使用できます。 Microsoft Intune管理センターでは、[デバイス>の管理]>[デバイスの構成] [>新しいポリシー>の作成>]iOS/iPadOS または macOS の [プロファイルの種類] [>設定] カタログで、これらの設定を確認できます。

新しい設定には、次のものが含まれます。

ログイン > サービス管理 - マネージド ログイン 項目:

• Team 識別子

Microsoft Office > Microsoft Office:

• Office ライセンス認証のEmailアドレス

適用対象:

• macOS

ネットワーキング > ドメイン:

• クロス サイト追跡防止の緩和されたドメイン

適用対象:

• iOS/iPadOS

Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

デバイスのセキュリティ

エンドポイント セキュリティウイルス対策ポリシーを使用してMicrosoft Defender更新動作を管理する (プレビュー)

エンドポイント セキュリティ ウイルス対策ポリシーのパブリック プレビューの一環として、Windows 10以降のプラットフォームの新しいプロファイル Defender Update コントロールを使用して、Microsoft Defenderの更新設定を管理できます。 新しいプロファイルには、ロールアウト リリース チャネルの設定が含まれています。 ロールアウト チャネルでは、デバイスとユーザーは、毎日のセキュリティ インテリジェンス更新プログラム、毎月のプラットフォーム更新プログラム、月単位のエンジン更新プログラムに関連する Defender Updatesを受け取ります。

このプロファイルには、 Defender CSP - Windows クライアント管理から直接取得される次の設定が含まれています。

• エンジン Updates チャネル
• プラットフォーム Updates チャネル
• セキュリティ インテリジェンス Updates チャネル

これらの設定は、Windows 10以降のプロファイルの設定カタログからも使用できます。

適用対象:

• Windows 10
• Windows 11

2023 年 2 月 6 日の週

テナント管理

推奨事項と分析情報を適用して、Configuration Managerサイトの正常性とデバイス管理エクスペリエンスを強化する

Microsoft Intune管理センターを使用して、Configuration Manager サイトの推奨事項と分析情報を表示できるようになりました。 これらの推奨事項は、サイトの正常性とインフラストラクチャを改善し、デバイス管理エクスペリエンスを強化するのに役立ちます。

推奨事項は次のとおりです。

• インフラストラクチャを簡素化する方法
• デバイス管理を強化する
• デバイスの分析情報を提供する
• サイトの正常性を向上させる

推奨事項を表示するには、Microsoft Intune管理センターを開き、[テナント管理>コネクタとトークン>Microsoft Endpoint Configuration Manager] に移動し、サイトを選択してそのサイトの推奨事項を表示します。 選択すると、[ 推奨事項 ] タブに各分析情報と [詳細情報 ] リンクが表示されます。 このリンクは、その推奨事項を適用する方法の詳細を開きます。

詳細については、「テナントアタッチMicrosoft Intune有効にする - Configuration Manager」を参照してください。

2023 年 1 月 30 日の週

デバイス管理

Android オープンソース デバイスのMicrosoft Intuneでサポートされている HTC Vive Focus 3

Android オープンソース プロジェクト デバイス (AOSP) 用のMicrosoft Intuneで HTC Vive Focus 3 がサポートされるようになりました。

詳細については、Microsoft Intuneでサポートされているオペレーティング システムとブラウザーに関するページを参照してください。

適用対象:

• Android (AOSP)

リモート ヘルプでのレーザー ポインターのサポートの概要

リモート ヘルプでは、Windows で支援を提供するときにレーザー ポインターを使用できるようになりました。

リモート ヘルプの詳細については、「リモート ヘルプ」を参照してください。

適用対象:

• Windows 10 または 11

2023 年 1 月 23 日の週 (サービス リリース 2301)

アプリ管理

Windows ポータル サイトでConfiguration Manager アプリを表示するかどうかを構成する

Intuneでは、Windows ポータル サイトにConfiguration Managerアプリを表示または非表示にするかどうかを選択できます。 このオプションは、[テナント>管理のカスタマイズ] を選択Microsoft Intune管理センターで使用できます。 [設定] の横にある [編集] を選択します。 [Configuration Manager アプリケーションを表示または非表示にする] オプションは、ウィンドウの [アプリ ソース] セクションにあります。 ポータル サイト アプリの構成に関する関連情報については、「Intune ポータル サイト アプリ、ポータル サイト Web サイト、Intune アプリを構成する方法」を参照してください。

Web ページをアプリにピン留めマネージド ホーム スクリーンブロックする

マネージド ホーム スクリーンを使用する Android Enterprise 専用デバイスでは、アプリ構成を使用して、ブラウザー Web ページのマネージド ホーム スクリーンへのピン留めをブロックするようにマネージド ホーム スクリーン アプリを構成できるようになりました。 新しい key 値は です block_pinning_browser_web_pages_to_MHS。 詳細については、「Android Enterprise 用の Microsoft マネージド ホーム スクリーン アプリを構成する」を参照してください。

デバイス管理

Android 用アプリで表示される猶予期間の状態Microsoft Intune

Android 用のMicrosoft Intune アプリに、コンプライアンス要件を満たしていないが、指定された猶予期間内にあるデバイスに対して、猶予期間の状態が表示されるようになりました。 ユーザーは、デバイスが準拠している必要がある日付と、準拠する方法の手順を確認できます。 指定された日付までにデバイスを更新しない場合、デバイスは非準拠としてマークされます。 詳細については、次のドキュメントを参照してください。

• コンプライアンス 違反のアクションを使用してコンプライアンス ポリシーを構成する
• コンプライアンスの状態を確認する

macOS のソフトウェア更新プログラム ポリシーが一般公開されました

macOS デバイスのソフトウェア更新ポリシーが一般公開されました。 この一般提供は、macOS 12 (モントレー) 以降を実行している監視対象デバイスに適用されます。 この機能は改善されています。

詳細については、「Microsoft Intune ポリシーを使用して macOS ソフトウェア更新プログラムを管理する」を参照してください。

Windows Autopilot デバイス 診断

Windows Autopilot 診断は、個々のデバイスの Autopilot 展開モニターまたはデバイス診断モニターから、管理センター Microsoft Intuneダウンロードできます。

デバイスの登録

登録通知の一般公開

登録通知は一般公開され、Windows、Apple、Android デバイスでサポートされています。 この機能は、ユーザー主導の登録方法でのみサポートされます。 詳細については、「 登録通知を設定する」を参照してください。

セットアップ アシスタントで [住所の用語] ウィンドウをスキップまたは表示する

Microsoft Intuneを構成して、Apple 自動デバイス登録中に [アドレスの条件] という新しいセットアップ アシスタント ウィンドウをスキップまたは表示します。 アドレス条項を使用すると、iOS/iPadOS および macOS デバイスのユーザーは、システムがそれらに対処する方法 (女性、中立、男性的) を選択して、デバイスをカスタマイズできます。 このウィンドウは既定で登録中に表示され、選択した言語で使用できます。 iOS/iPadOS 16 以降、および macOS 13 以降を実行しているデバイスでは非表示にすることができます。 Intuneでサポートされているセットアップ アシスタント画面の詳細については、次を参照してください。

• Mac 用のセットアップ アシスタント画面
• iOS/iPadOS 用のアシスタント画面をセットアップする

デバイスのセキュリティ

Microsoft Tunnel for Mobile Application Management for iOS/iPadOS (プレビュー)

パブリック プレビューとして、モバイル アプリケーション管理 (MAM) を使用して、iOS/iPadOS 用の Microsoft Tunnel VPN ゲートウェイを使用できます。 Intuneに登録されていない iOS デバイスのこのプレビューでは、登録されていないデバイスでサポートされているアプリは、Microsoft Tunnel を使用して、企業のデータとリソースを操作するときにorganizationに接続できます。 この機能には、次の VPN ゲートウェイのサポートが含まれます。

• 先進認証を使用してオンプレミスのアプリとリソースへのアクセスをセキュリティで保護する
• シングル サインオンと条件付きアクセス

詳細については、次を参照してください:

• Microsoft Tunnel for Mobile Application Management for iOS/iPadOS 管理者ガイド (パブリック プレビュー)
• iOS SDK 開発者ガイドのMAM 用 Microsoft Tunnel

適用対象:

• iOS/iPadOS

Microsoft Defender for Endpointのセキュリティ設定管理に対する攻撃面の縮小ポリシーのサポート

MDE セキュリティ構成シナリオで管理されるデバイスは、攻撃面の縮小ポリシーをサポートします。 Microsoft Defender for Endpointを使用しているが、Intuneに登録されていないデバイスでこのポリシーを使用するには:

1. [エンドポイント セキュリティ] ノードで、新しい 攻撃面の削減 ポリシーを作成します。
2. Windows 10、Windows 11、および Windows Server をプラットフォームとして選択します。
3. プロファイル の [攻撃面の縮小ルール ] を選択 します。

適用対象:

• Windows 10
• Windows 11

SentinelOne – 新しいモバイル脅威防御パートナー

SentinelOne を、Intuneと統合された Mobile Threat Defense (MTD) パートナーとして使用できるようになりました。 Intuneで SentinelOne コネクタを構成することで、コンプライアンス ポリシーのリスク評価に基づく条件付きアクセスを使用して、企業リソースへのモバイル デバイス アクセスを制御できます。 SentinelOne コネクタは、リスク レベルをアプリ保護ポリシーに送信することもできます。

デバイス構成

デバイス ファームウェア構成インターフェイス (DFCI) は、富士通デバイスをサポートしています

Windows 10/11 デバイスの場合は、DFCI プロファイルを作成して UEFI (BIOS) 設定を管理できます (デバイス>の管理>構成>新しいポリシー>の作成>Windows 10以降のプラットフォーム>用テンプレート> プロファイルの種類のデバイス ファームウェア構成インターフェイス)。

DFCI では、Windows 10/11 を実行している一部の富士通 デバイスが有効になっています。 対象となるデバイスについては、デバイス ベンダーまたはデバイスの製造元にお問い合わせください。

DFCI プロファイルの詳細については、以下を参照してください。

• Microsoft Intuneの Windows デバイスでデバイス ファームウェア構成インターフェイス (DFCI) プロファイルを構成する
• Windows Autopilot を使用したデバイス ファームウェア構成インターフェイス (DFCI) 管理

適用対象:

• Windows 10
• Windows 11

Android (AOSP) を実行しているデバイスでの一括デバイス アクションのサポート

Android (AOSP) を実行しているデバイスの "一括デバイス アクション" を完了できるようになりました。 Android (AOSP) を実行しているデバイスでサポートされる一括デバイス アクションは、削除、ワイプ、再起動です。

適用対象:

• Android (AOSP)

設定カタログの iOS/iPadOS および macOS 設定の説明を更新しました

設定カタログには、構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。 iOS/iPadOS と macOS の設定では、設定カテゴリごとに説明が更新され、より詳細な情報が含まれます。

設定カタログの詳細については、次のページを参照してください。

• 設定カタログを使用して、Windows、iOS、iPadOS、macOS のデバイスで設定を構成する
• Intuneの [設定カタログ] を使用して実行できる一般的なタスク

適用対象:

• iOS/iPadOS
• macOS

Apple 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[設定カタログ] で新しい設定を使用できます。 Microsoft Intune管理センターでは、[デバイス>の管理]>[デバイスの構成] [>新しいポリシー>の作成>]iOS/iPadOS または macOS の [プロファイルの種類] [>設定] カタログで、これらの設定を確認できます。

新しい設定には、次のものが含まれます。

アカウント > サブスクライブされた予定表:

• アカウントの説明
• アカウント ホスト名
• アカウントパスワード
• アカウント SSL を使用する
• アカウントユーザー名

適用対象:

• iOS/iPadOS

ネットワーキング > ドメイン:

• クロス サイト追跡防止の緩和されたドメイン

適用対象:

• macOS

次の設定は、設定カタログにも含まれます。 以前は、テンプレートでのみ使用できました。

File Vault:

• ユーザーが不足している情報を入力する

適用対象:

• macOS

制限事項:

• レーティングリージョン

適用対象:

• iOS/iPadOS

Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

デバイスのMicrosoft Entra参加の種類でアプリとポリシーの割り当てをフィルター処理する (deviceTrustType)

アプリまたはポリシーを割り当てるときに、デバイスの製造元、オペレーティング システム SKU など、さまざまなデバイス プロパティを使用して割り当てをフィルター処理できます。

新しいデバイス フィルター プロパティdeviceTrustTypeは、Windows 10以降のデバイスで使用できます。 このプロパティを使用すると、Microsoft Entra結合の種類に応じてアプリとポリシーの割り当てをフィルター処理できます。 値には、Microsoft Entra参加済み、ハイブリッド参加済みMicrosoft Entra、登録Microsoft Entraが含まれます。

フィルターと使用できるデバイス プロパティの詳細については、次のページを参照してください。

• Intune でアプリ、ポリシー、プロファイルを割り当てるときにフィルターを使用する
• Intuneでフィルターを作成するときのデバイスのプロパティ、演算子、およびルールの編集

適用対象:

• Windows 10 以降

監視とトラブルシューティング

Microsoft Intune管理センターでモバイル アプリの診断をダウンロードする (パブリック プレビュー)

パブリック プレビューでは、iOS、macOS、Microsoft Edge for iOS のサポートが後日提供される、Android、Android (AOSP)、または Windows 用ポータル サイトアプリ を介して送信されたアプリ ログなど、管理センターのユーザーが送信したモバイル アプリ 診断にアクセスします。 ポータル サイト用のモバイル アプリ 診断へのアクセスの詳細については、「ポータル サイトの構成」を参照してください。

診断ファイルを使用した WinGet のトラブルシューティング

WinGet は、Windows 10デバイスとWindows 11 デバイスでアプリケーションを検出、インストール、アップグレード、削除、構成できるコマンド ライン ツールです。 Intuneで Win32 アプリ管理を使用するときに、次のファイルの場所を使用して WinGet のトラブルシューティングに役立つようになりました。

• %TEMP%\winget\defaultstate*.log
• Microsoft-Windows-AppXDeployment/Operational
• Microsoft-Windows-AppXDeploymentServer/Operational

Intuneトラブルシューティング ウィンドウの更新

[Intuneトラブルシューティング] ウィンドウの新しいエクスペリエンスでは、ユーザーのデバイス、ポリシー、アプリケーション、および状態に関する詳細が提供されます。 トラブルシューティング ウィンドウには、次の情報が含まれています。

• ポリシー、コンプライアンス、アプリケーションの展開状態の概要。
• すべてのレポートのエクスポート、フィルター処理、並べ替えをサポートします。
• ポリシーとアプリケーションを除外してフィルター処理するサポート。
• ユーザーの 1 台のデバイスにフィルター処理するサポート。
• 使用可能なデバイスの診断と無効なデバイスの詳細。
• 3 日以上サービスにチェックインしていないオフライン デバイスの詳細。

[トラブルシューティングとサポート>のトラブルシューティング] を選択すると、管理センター Microsoft Intuneトラブルシューティング ウィンドウが表示されます。 プレビュー中に新しいエクスペリエンスを表示するには、[ トラブルシューティングの今後の変更をプレビューする ] を選択し、フィードバックを提供して [ トラブルシューティング] プレビュー ウィンドウを 表示し、[ 今すぐ試す] を選択します。

コンプライアンス ポリシーのないデバイスの新しいレポート (プレビュー)

コンプライアンス ポリシーのないデバイスという名前の新しいレポートが、Microsoft Intune管理センターの [レポート] ノードからアクセスできるデバイス コンプライアンス レポートに追加されました。 プレビュー段階のこのレポートでは、より多くの機能を提供する新しいレポート形式が使用されます。

この新しい組織レポートについては、「 コンプライアンス ポリシーのないデバイス (組織)」を参照してください。

このレポートの古いバージョンは、管理センターの [デバイス > モニター ] ページから引き続き使用できます。 最終的には、古いレポート バージョンは廃止されますが、現時点では引き続き使用できます。

管理上の注意が必要なテナントの問題に関するメッセージをサービス正常性する

Microsoft Intune管理センターの [サービス正常性とメッセージ センター] ページに、アクションが必要な環境内の問題のメッセージを表示できるようになりました。 これらのメッセージは、解決するアクションが必要になる可能性がある環境内の問題について管理者に警告するためにテナントに送信される重要な通信です。

[テナント管理>] [テナントの状態] に移動し、[サービス正常性とメッセージ センター] タブを選択することで、Microsoft Intune管理センターでアクションを必要とする環境内の問題に関するメッセージを表示できます。

管理センターのこのページの詳細については、「Intune テナントの状態」 ページの「テナントの詳細を表示する」を参照してください。

テナント管理

複数の証明書コネクタの UI エクスペリエンスの向上

25 を超える 証明書コネクタ が構成されている場合のエクスペリエンスの向上に役立つページ分割コントロールが [証明書コネクタ] ビューに追加されました。 新しいコントロールを使用すると、コネクタ レコードの合計数を確認でき、証明書コネクタを表示するときに特定のページに簡単に移動できます。

証明書コネクタを表示するには、Microsoft Intune管理センターで、[テナント管理>コネクタとトークン>証明書コネクタ] に移動します。

Intune アプリ

Intune 用に新しく利用可能になった保護されたアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• 電圧セキュリティによる電圧セキュアメール

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

スクリプト

Endpoint Analytics で PowerShell スクリプト パッケージのコンテンツをプレビューする

管理者は、事前修復のために PowerShell スクリプトのコンテンツのプレビューを表示できるようになりました。 コンテンツは、スクロール機能を備えた灰色表示のボックスに表示されます。 管理者は、プレビューでスクリプトの内容を編集できません。 管理センター Microsoft Intune、レポート エンドポイント分析>プロアクティブ修復を選択します>。 詳細については、「 プロアクティブ修復用の PowerShell スクリプト」を参照してください。

2023 年 1 月 16 日の週

アプリ管理

Win32 アプリの置き換え GA

Win32 アプリ置き換え GA の機能セットを使用できます。 ESP 中に置き換えのあるアプリのサポートが追加され、置き換え & 依存関係を同じアプリ サブグラフに追加することもできます。 詳細については、「 Win32 アプリの置き換えの機能強化」を参照してください。 Win32 アプリの置き換えについては、「 Win32 アプリの置き換えの追加」を参照してください。

2023 年 1 月 9 日の週

デバイス構成

ポータル サイト アプリは、仕事用プロファイルを持つ Android Enterprise 12 以降の個人所有デバイスにパスワードの複雑さの設定を適用します

仕事用プロファイルを持つ Android Enterprise 12 以降の個人所有デバイスでは、パスワードの複雑さを設定するコンプライアンス ポリシーやデバイス構成プロファイルを作成できます。 2211 リリース以降、この設定はIntune管理センターで使用できます。

• デバイス>デバイスの>管理構成>創造する>新しいポリシー>仕事用プロファイルを持つ個人所有のプラットフォーム>用 Android Enterprise プロファイル>の種類>のデバイス制限パスワード
• デバイス>コンプライアンス ポリシー>ポリシーの>作成仕事用プロファイルを使用して個人所有のプラットフォーム>用 Android Enterprise

ポータル サイト アプリでは、[パスワードの複雑さ] 設定が適用されます。

この設定と、仕事用プロファイルを使用して個人所有のデバイスで構成できるその他の設定の詳細については、次のページを参照してください。

• Intuneでの Android Enterprise のデバイス コンプライアンス設定
• Intuneの Android Enterprise のデバイス制限設定の一覧

適用対象:

• 仕事用プロファイルを持つ Android Enterprise 12 以降の個人所有デバイス

2022 年 12 月 19 日の週

Intune アプリ

Intune 用に新しく利用可能になった保護されたアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• Appian corporation (Android) によるIntuneの Appian

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

2022 年 12 月 12 日の週 (サービス リリース 2212)

デバイス構成

リモート ヘルプクライアント アプリには、[テナント レベル] 設定でチャット機能を無効にする新しいオプションが含まれています

リモート ヘルプ アプリでは、管理者は新しいテナント レベル設定からチャット機能を無効にすることができます。 [チャットの無効化] 機能をオンにすると、リモート ヘルプ アプリのチャット ボタンが削除されます。 この設定は、Microsoft Intuneの [テナント管理] の [リモート ヘルプ設定] タブにあります。

詳細については、「テナントのリモート ヘルプを構成する」を参照してください。

適用対象: Windows 10/11

macOS 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[設定カタログ] で新しい設定を使用できます。 Microsoft Intune管理センターでは、[デバイスの管理]>[デバイスの構成>] [新>しいポリシー>の作成>]macOS の [プロファイルの種類] の [>設定] カタログで、これらの設定を確認できます。

新しい設定には、次のものが含まれます。

File Vault > ファイル コンテナー のオプション:

• FV が無効になるのをブロックする
• FV の有効化をブロックする

制限事項:

• Bluetooth の変更を許可する

適用対象:

• macOS

Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

iOS、iPadOS、macOS デバイスでの SSO 拡張機能要求の既定の設定があります

シングル サインオン アプリ拡張機能の構成プロファイルを作成するときに、構成する設定がいくつかあります。 次の設定では、すべての SSO 拡張機能要求に次の既定値が使用されます。

• AppPrefixAllowList キー

  • macOS の既定値: com.microsoft.,com.apple.
  • iOS/iPadOS の既定値: com.apple.

• browser_sso_interaction_enabled キー

  • macOS の既定値: 1
  • iOS/iPadOS の既定値: 1

• disable_explicit_app_prompt キー

  • macOS の既定値: 1
  • iOS/iPadOS の既定値: 1

既定値以外の値を構成すると、構成された値によって既定値が上書きされます。

たとえば、キーを構成 AppPrefixAllowList しません。 既定では、すべての Microsoft アプリ (com.microsoft.) とすべての Apple アプリ (com.apple.) が macOS デバイスで SSO に対して有効になっています。 この動作は、 などの com.contoso.別のプレフィックスをリストに追加することで上書きできます。

Enterprise SSO プラグインの詳細については、「Microsoft Intuneの iOS/iPadOS および macOS デバイスで Microsoft Enterprise SSO プラグインを使用する」を参照してください。

適用対象:

• iOS/iPadOS
• macOS

デバイスの登録

Android Enterprise 専用デバイスの登録トークンの有効期間が 65 年に増加

これで、最大 65 年間有効な Android Enterprise 専用デバイスの登録プロファイルを作成できるようになりました。 既存のプロファイルがある場合でも、プロファイルの作成時に選択した日付に登録トークンの有効期限が切れますが、更新中は有効期間を延長できます。 登録プロファイルの作成の詳細については、「Android Enterprise 専用デバイスのIntune登録を設定する」を参照してください。

デバイス管理

すべての監視対象デバイスで macOS のポリシーを更新できるようになりました

macOS デバイスのソフトウェア更新ポリシーが、すべての macOS 監視対象デバイスに適用されるようになりました。 以前は、自動デバイス登録 (ADE) を通じて登録されたデバイスのみが更新プログラムを受け取る資格があります。 macOS の更新ポリシーの構成の詳細については、「Microsoft Intune ポリシーを使用して macOS ソフトウェア更新プログラムを管理する」を参照してください。

適用対象:

• macOS

Windows 機能更新プログラムと迅速な品質更新プログラムのポリシーとレポートが一般公開されました

Windows 10以降の機能更新プログラムと品質更新プログラム (迅速な更新プログラム) を管理するためのポリシーとレポートはどちらもプレビュー段階から外れ、一般公開されています。

これらのポリシーとレポートの詳細については、次を参照してください。

• 機能更新ポリシー
• 品質更新プログラムの迅速化ポリシー
• Windows Update コンプライアンス レポート

適用対象:

• Windows 10 または 11

2022 年 11 月 28 日の週

アプリ管理

Intuneの Microsoft Store アプリ

これで、Intune内で Microsoft Store アプリを検索、参照、構成、デプロイできるようになりました。 新しい Microsoft Store アプリの種類は、Windows パッケージ マネージャーを使用して実装されます。 このアプリの種類は、UWP アプリと Win32 アプリの両方を含むアプリの拡張カタログを備えています。 この機能のロールアウトは、2022 年 12 月 2 日までに完了する予定です。 詳細については、「Microsoft Intuneに Microsoft Store アプリを追加する」を参照してください。

テナント管理

複数の管理者承認のアクセス ポリシー (パブリック プレビュー)

パブリック プレビューでは、Intuneアクセス ポリシーを使用して、変更が適用される前に 2 つ目の管理者承認アカウントが変更を承認するように要求できます。 この機能は、複数の管理者承認 (MAA) と呼ばれます。

アクセス ポリシーを作成して、アプリのデプロイなどのリソースの種類を保護します。 各アクセス ポリシーには、ポリシーによって保護された変更の 承認者 であるユーザーのグループも含まれます。 アプリのデプロイ構成などのリソースがアクセス ポリシーによって保護されている場合、デプロイに加えられた変更 (既存のデプロイの作成、削除、変更など) は、そのアクセス ポリシーの承認者グループのメンバーがその変更を確認して承認するまで適用されません。

承認者は、要求を拒否することもできます。 変更を要求する個人と承認者は、変更に関するメモ、または変更が承認または拒否された理由を示すことができます。

アクセス ポリシーは、次のリソースでサポートされています。

• アプリ – アプリの デプロイには適用されますが、アプリ保護ポリシーには適用されません。
• スクリプト – macOS または Windows を実行するデバイスへのスクリプトの展開に適用されます。

詳細については、「 アクセス ポリシーを使用して複数の管理承認を要求する」を参照してください。

デバイスのセキュリティ

Android 用モバイル アプリケーション管理用 Microsoft Tunnel (プレビュー)

パブリック プレビューとして、登録されていないデバイスで Microsoft Tunnel を使用できるようになりました。 この機能は、 Microsoft Tunnel for Mobile Application Management (MAM) と呼ばれます。 このプレビューでは Android がサポートされており、既存の Tunnel インフラストラクチャに変更を加えずに、次の場合に Tunnel VPN ゲートウェイがサポートされます。

• 先進認証を使用してオンプレミスのアプリとリソースへのアクセスをセキュリティで保護する
• シングル サインオンと条件付きアクセス

Tunnel MAM を使用するには、登録されていないデバイスで Microsoft Edge、Microsoft Defender for Endpoint、ポータル サイトをインストールする必要があります。 その後、Microsoft Intune管理センターを使用して、登録されていないデバイスの次のプロファイルを構成できます。

• Tunnel クライアント アプリとして使用するデバイスでMicrosoft Defenderを構成するための、マネージド アプリのアプリ構成プロファイル。
• Tunnel に接続するように Microsoft Edge を構成するための、マネージド アプリ用の 2 つ目のアプリ構成プロファイル。
• Microsoft Tunnel 接続の自動開始を有効にするアプリ保護 プロファイル。

適用対象:

• Android Enterprise

2022 年 11 月 14 日の週 (サービス リリース 2211)

アプリ管理

マネージド Google Play アプリの表示を制御する

マネージド Google Play アプリをコレクションにグループ化し、Intuneでアプリを選択するときにコレクションが表示される順序を制御できます。 また、検索のみでアプリを表示することもできます。 この機能は、管理センター Microsoft Intune [アプリ>] [すべてのアプリ] [マネージド Google Play アプリ>の追加]> の順に選択することで利用できます。 詳細については、「Intune 管理センターでマネージド Google Play ストア アプリを直接追加する」を参照してください。

デバイス構成

仕事用プロファイルを持つ Android Enterprise 12 以降の個人所有デバイスの新しいパスワードの複雑さの設定

仕事用プロファイルを持つ Android Enterprise 11 以前の個人所有デバイスでは、次のパスワード設定を設定できます。

• デバイス>コンプライアンス>Android Enterprise for platform >個人所有の仕事用プロファイル>システム セキュリティ>必要なパスワードの種類、 最小パスワードの長さ
• デバイス>デバイスの>管理構成>Android Enterprise for platform >個人所有の仕事用プロファイル>デバイスの>制限仕事用プロファイルの設定>必要なパスワードの種類、最小パスワードの長さ
• デバイス>デバイスの>管理構成>Android Enterprise for platform >個人所有の仕事用プロファイル>デバイスの>制限パスワード>が必要なパスワードの種類、最小パスワードの長さ

Google では、Android 12 以降の個人所有デバイスの 必須パスワードの種類 と 最小パスワード長 の設定を仕事用プロファイルに非推奨とし、新しいパスワードの複雑さの要件に置き換えています。 この変更の詳細については、「 Android 13 の 0 日目のサポート」を参照してください。

新しい [パスワードの複雑さ ] 設定には、次のオプションがあります。

• なし: Intuneこの設定は変更または更新されません。 既定では、OS がパスワードを要求しない可能性があります。
• Low: 繰り返し (4444) または順序付き (1234、4321、2468) シーケンスを持つパターンまたは PIN はブロックされます。
• 中: 繰り返し (4444) または順序付き (1234、4321、2468) シーケンスを含む PIN はブロックされます。 長さ、アルファベットの長さ、または英数字の長さは、少なくとも 4 文字にする必要があります。
• 高: 繰り返し (4444) または順序付き (1234、4321、2468) シーケンスを持つ PIN はブロックされます。 長さは 8 文字以上にする必要があります。 アルファベットまたは英数字の長さは、少なくとも 6 文字にする必要があります。

Android 12 以降では、現在、コンプライアンス ポリシーまたはデバイス構成プロファイルで [必須のパスワードの種類 ] と [最小パスワード長] 設定を使用している場合は、代わりに新しい [パスワードの複雑さ ] 設定を使用することをお勧めします。

[必須のパスワードの種類] と [最小パスワード長] 設定を引き続き使用し、[パスワードの複雑さ] 設定を構成しない場合、Android 12 以降を実行している新しいデバイスが既定で [パスワードの複雑度が高い] に設定されている可能性があります。

これらの設定の詳細と、非推奨の設定が構成されている既存のデバイスに対する動作の詳細については、次のページを参照してください。

• 仕事用プロファイルを持つ Android Enterprise 個人所有のデバイス - 構成プロファイル設定の一覧
• 仕事用プロファイルを持つ個人所有の Android Enterprise デバイス - コンプライアンス ポリシー設定の一覧

適用対象:

• 仕事用プロファイルを持つ Android Enterprise 12.0 以降の個人所有デバイス

iOS/iPadOS および macOS 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[設定カタログ] で新しい設定を使用できます。 Microsoft Intune管理センターでは、[デバイス>の管理]>[デバイスの構成] [>新しいポリシー>の作成>]iOS/iPadOS または macOS の [プロファイルの種類] [>設定] カタログで、これらの設定を確認できます。

新しい設定には、次のものが含まれます。

ネットワーキング > DNS 設定:

• DNS プロトコル
• サーバー アドレス
• サーバー名
• サーバー URL
• 補足一致ドメイン
• オンデマンド ルール
• アクション
• アクション パラメーター
• DNS ドメインの一致
• DNS サーバー アドレスの一致
• インターフェイスの種類の一致
• SSID 一致
• URL 文字列プローブ
• 無効化の禁止

File Vault:

• 据え置く
• [ユーザー ログアウト時に要求しない] を延期する
• ユーザー ログイン時の強制遅延の最大バイパス試行数
• 有効にする
• 回復キーを表示する
• 回復キーを使用する

File Vault > File Vault Recovery Key Escrow:

• デバイス キー
• 場所

制限事項:

• Air Play 受信要求を許可する

適用対象:

• macOS

ウェブ > Web コンテンツ フィルター:

• リスト ブックマークを許可する
• 自動フィルターが有効
• 拒否リスト URL
• フィルター ブラウザー
• データ プロバイダー バンドル識別子をフィルター処理する
• フィルター データ プロバイダー指定要件
• フィルターの成績
• パケット プロバイダー バンドル識別子をフィルター処理する
• パケット プロバイダー指定要件をフィルター処理する
• パケットのフィルター処理
• フィルター ソケット
• フィルターの種類
• 組織
• Password
• 許可される URL
• プラグイン バンドル ID
• サーバー アドレス
• ユーザー定義名
• ユーザー名
• ベンダー構成

適用対象:

• iOS/iPadOS
• macOS

Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

デバイス ファームウェア構成インターフェイス (DFCI) は、Panasonic デバイスをサポートしています

Windows 10/11 デバイスの場合は、DFCI プロファイルを作成して UEFI (BIOS) 設定を管理できます (デバイス>の管理>構成>新しいポリシー>の作成>Windows 10以降のプラットフォーム>用テンプレート> プロファイルの種類のデバイス ファームウェア構成インターフェイス)。

2022 年秋から DFCI で、Windows 10/11 を実行する新しいパナソニック デバイスが有効になっています。 そのため、管理者は DFCI プロファイルを作成して BIOS を管理し、これらの Panasonic デバイスにプロファイルを展開できます。

対象となるデバイスを入手するには、デバイス ベンダーまたはデバイスの製造元に問い合わせてください。

DFCI プロファイルの詳細については、以下を参照してください。

• Microsoft Intuneの Windows デバイスでデバイス ファームウェア構成インターフェイス (DFCI) プロファイルを構成する
• Windows Autopilot を使用したデバイス ファームウェア構成インターフェイス (DFCI) 管理

適用対象:

• Windows 10
• Windows 11

設定カタログを使用した macOS デバイスでのサインインとバックグラウンド アイテム管理のサポート

macOS デバイスでは、ユーザーが macOS デバイスにサインインしたときにアイテムを自動的に開くポリシーを作成できます。 たとえば、アプリ、ドキュメント、フォルダーを開くことができます。

Intune、設定カタログには、デバイス>の管理>に関する新しいサービス管理設定が含まれています。構成 プロファイル>の種類>ログイン>サービス管理用のプラットフォーム>設定カタログ用の新しいポリシー>macOS を作成>します。 これらの設定により、ユーザーは自分のデバイスでマネージド ログインとバックグラウンドアイテムを無効にできなくなります。

設定カタログの詳細については、次のページを参照してください。

• 設定カタログを使用して設定を構成する
• 設定カタログを使用して完了できる一般的なタスク

適用対象:

• macOS 13 以降

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• Varicent by Varicent US OpCo Corporation
• myBLDNG by Bldng.ai
• Stratospherix Ltd によるIntuneのエンタープライズ ファイル
• ArcGIS Indoors for Intune by ESRI
• 意思決定別の会議 AS
• Idenprotect Go by Apply Mobile Ltd

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

監視とトラブルシューティング

管理センターでクラウド PC 接続の正常性チェックとエラー Microsoft Intune確認する

Microsoft Intune管理センターで接続の正常性チェックとエラーを確認して、ユーザーに接続の問題が発生しているかどうかを理解できるようになりました。 接続の問題の解決に役立つトラブルシューティング ツールもあります。 チェックを表示するには、[デバイス>] を選択しますWindows 365>Azure ネットワーク接続>は、一覧の [概要] で接続を選択します>。

テナント管理

Windows 11の組織のメッセージを配信する (パブリック プレビュー)

Microsoft Intuneを使用して、デバイス上の従業員に重要なメッセージと行動喚起を配信します。 組織のメッセージは、リモートおよびハイブリッド作業のシナリオで従業員のコミュニケーションを向上させることを目的とした事前構成済みのメッセージです。 従業員が新しいロールに適応したり、organizationの詳細を確認したり、新しい更新プログラムやトレーニングを常に把握したりするのに役立ちます。 タスク バーのすぐ上、通知領域、または Windows 11 デバイスの作業開始アプリでメッセージを配信できます。

パブリック プレビューでは、次のことができます。

• Microsoft Entraユーザー グループに割り当てる、構成済みの一般的なさまざまなメッセージから選択します。
• organizationのロゴを追加します。
• デバイス ユーザーを特定の場所にリダイレクトするカスタム宛先 URL をメッセージに含めます。
• 15 のサポートされている言語でメッセージを暗いテーマと明るいテーマでプレビューします。
• 配信期間とメッセージの頻度をスケジュールします。
• メッセージの状態と、受信したビューとクリックの数を追跡します。 ビューとクリックはメッセージによって集計されます。
• スケジュールされたメッセージまたはアクティブなメッセージを取り消します。
• 組織メッセージ マネージャーと呼ばれるIntuneで新しい組み込みロールを構成します。これにより、割り当てられた管理者はメッセージを表示および構成できます。

すべての構成は、Microsoft Intune管理センターで行う必要があります。 Microsoft Graph APIは、組織のメッセージでは使用できません。 詳細については、「 組織のメッセージの概要」を参照してください。

2022 年 11 月 7 日の週

アプリ管理

Windows Information Protectionのサポートを終了する

登録のない Windows Information Protection (WIP) ポリシーは非推奨になっています。 登録なしでは、新しい WIP ポリシーを作成できなくなります。 2022 年 12 月まで、 登録なしの シナリオの廃止が完了するまで、既存のポリシーを変更できます。 詳細については、「プラン for Change: Ending support for Windows Information Protection」を参照してください。

デバイス構成

Windows 11マルチセッション VM のユーザー構成のサポートが一般公開されました

今後は次のことができるようになりました。

• 設定カタログを使用してユーザー スコープ ポリシーを構成し、ADMX によって取り込まれたポリシーを含むユーザー のグループに割り当てる
• ユーザー証明書を構成し、ユーザーに割り当てます。
• ユーザー コンテキストにインストールし、ユーザーに割り当てるために PowerShell スクリプトを構成します。

適用対象:

• Windows 11
• Azure パブリック クラウドと Azure Government クラウドで作成された仮想マシン

2022 年 10 月 31 日の週

アプリ管理

Intuneのプライマリ MTD サービス アプリ保護ポリシー設定

Intuneでは、プラットフォームごとの App Protection Policy の評価に対して、Microsoft Defender for Endpointと 1 つの非モバイル脅威防御 (MTD) コネクタの両方を "オン" にすることがサポートされるようになりました。 この機能により、お客様がMicrosoft Defender for Endpointと Microsoft 以外の MTD サービスの間で移行するシナリオが可能になります。 また、App Protection Policy のリスク スコアを使用して保護を一時停止することは望まれません。 エンド ユーザーに適用する必要があるサービスを指定するために、[プライマリ MTD サービス] というタイトルの条件付き起動正常性チェックに新しい設定が導入されました。 詳細については、「 Android アプリ保護ポリシー設定 」と 「iOS アプリ保護ポリシー設定」を参照してください。

2022 年 10 月 24 日の週 (サービス リリース 2210)

アプリ管理

管理対象デバイスのアプリ構成ポリシーでフィルターを使用する

フィルターを使用して、管理対象デバイスのアプリ構成ポリシーをデプロイするときに割り当てスコープを絞り込むことができます。 最初に、iOS と Android で使用可能なプロパティのいずれかを使用して フィルターを作成 する必要があります。 次に、管理センター Microsoft Intuneで、[アプリ>] [アプリの構成ポリシー] [管理対象デバイスの追加>] の順に選択して、マネージドアプリ構成ポリシー>を割り当て、割り当てページに移動できます。 グループを選択した後、フィルターを選択し、 含める または 除外 モードで使用することを決定することで、ポリシーの適用性を調整できます。 フィルターの関連情報については、「管理センターでアプリ、ポリシー、プロファイルを割り当てるときにフィルター Microsoft Intune使用する」を参照してください。

デバイス構成

グループ ポリシー分析では、グループ ポリシー オブジェクトをインポートするときに管理者に割り当てられたスコープ タグが自動的に適用されます

グループ ポリシー分析では、オンプレミスの GPO をインポートして、Microsoft Intuneを含むクラウドベースの MDM プロバイダーをサポートするポリシー設定を確認できます。 非推奨の設定や使用できない設定も確認できます。

これで、管理者に割り当てられたスコープ タグは、これらの管理者が GPO をグループ ポリシー分析にインポートするときに自動的に適用されます。

たとえば、管理者には 、ロールに割り当てられた Charlotte、 London、または Boston のスコープ タグがあります。

• Charlotte スコープ タグを持つ管理者が GPO をインポートします。
• Charlotte スコープ タグは、インポートされた GPO に自動的に適用されます。
• Charlotte スコープ タグを持つすべての管理者は、インポートされたオブジェクトを表示できます。
• ロンドンまたはボストンスコープタグのみを持つ管理者は、Charlotte 管理者からインポートされたオブジェクトを表示できません。

管理者が分析を確認したり、インポートした GPO をIntune ポリシーに移行したりするには、これらの管理者は、インポートを行った管理者と同じスコープ タグのいずれかを持っている必要があります。

これらの機能の詳細については、以下のリンクにアクセスしてください。

• Microsoft Intuneのグループ ポリシー分析を使用してオンプレミスの GPO を分析する
• 分散 IT にロールベースのアクセス制御 (RBAC) とスコープのタグを使用する

適用対象:

• Windows 11
• Windows 10

Microsoft Intuneの新しいネットワーク エンドポイント

Intune サービスに追加された新しい Azure Scale Units (ASU) に対応するために、新しいネットワーク エンドポイントがドキュメントに追加されました。 Microsoft Intuneのすべてのネットワーク エンドポイントが最新の状態になるように、ファイアウォール規則を最新の IP アドレスの一覧で更新することをお勧めします。

完全な一覧については、Microsoft Intuneのネットワーク エンドポイントに関するページを参照してください。

Windows 11 SE オペレーティング システム SKU を使用してアプリとグループ ポリシーの割り当てをフィルター処理する

アプリまたはポリシーを割り当てるときに、デバイスの製造元、オペレーティング システム SKU など、さまざまなデバイス プロパティを使用して割り当てをフィルター処理できます。

2 つの新しいWindows 11 SE オペレーティング システム SKU を使用できます。 これらの SKU を割り当てフィルターで使用して、グループターゲットのポリシーとアプリケーションを適用Windows 11 SEデバイスを含めたり除外したりできます。

フィルターと使用できるデバイス プロパティの詳細については、次のページを参照してください。

• Microsoft Intune でアプリ、ポリシー、プロファイルを割り当てるときにフィルター を使用する
• Microsoft Intuneでフィルターを作成するときのデバイスのプロパティ、演算子、およびルールの編集

適用対象:

• Windows 11 SE

iOS/iPadOS および macOS 設定カタログで使用できる新しい設定

設定カタログには、デバイス ポリシーで構成できるすべての設定と、すべて 1 か所に一覧表示されます。

新しい設定は、設定カタログで使用できます。 Microsoft Intune管理センターでは、[デバイス>の管理]>[デバイスの構成] [>新しいポリシー>の作成>]iOS/iPadOS または macOS の [プロファイルの種類] [>設定] カタログで、これらの設定を確認できます。

新しい設定には、次のものが含まれます。

ネットワーキング > 携帯ネットワーク:

• XLAT464を有効にする

適用対象:

• iOS/iPadOS

プライバシー > プライバシー設定ポリシーの制御:

• システム ポリシー アプリ バンドル

適用対象:

• macOS

制限事項:

• 迅速なセキュリティ対応のインストールを許可する
• 迅速なセキュリティ対応の削除を許可する

適用対象:

• iOS/iPadOS
• macOS

Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

Windows デバイス上のデバイス ファームウェア構成インターフェイス (DFCI) プロファイルの新しい設定

Windows OS が管理コマンドを Intune から UEFI (統合拡張ファームウェア インターフェイス) に渡すことができる DFCI プロファイルを作成できます (デバイス>管理デバイス>構成>新しいポリシー>の作成>Windows 10以降のプラットフォーム >テンプレート > デバイス ファームウェア構成インターフェイス)

この機能を使用して、BIOS 設定を制御できます。 DFCI ポリシーで構成できる新しい設定があります。

• カメラ：

  • フロント カメラ
  • 赤外線カメラ
  • リアカメラ

• ラジオ:

  • WWAN
  • NFC

• ポート

  • SD カード

DFCI プロファイルの詳細については、以下を参照してください。

• Microsoft Intune で Windows デバイスのデバイスのファームウェア構成インターフェイス (DFCI) プロファイルを使用する
• DFCI プロファイル設定の一覧

適用対象:

• サポートされている UEFI での Windows 11
• サポートされている UEFI での Windows 10 RS5 (1809) 以降

デバイスの登録

最新の認証を使用した iOS/iPadOS セットアップ アシスタントでは、Just In Time Registration (パブリック プレビュー) がサポートされます

Intuneでは、先進認証でセットアップ アシスタントを使用する iOS/iPadOS 登録シナリオの Just-In Time (JIT) 登録がサポートされます。 JIT 登録により、プロビジョニング エクスペリエンス全体を通じてユーザーに表示される認証プロンプトの数が減り、よりシームレスなオンボード エクスペリエンスが提供されます。 登録とコンプライアンスチェックをMicrosoft Entraするためのポータル サイト アプリを用意する必要がなくなり、デバイス全体でシングル サインオンが確立されます。 JIT 登録は、Apple 自動デバイス登録を使用して登録し、iOS/iPadOS 13.0 以降を実行しているデバイスのパブリック プレビューで使用できます。 詳細については、「 自動デバイス登録の認証方法」を参照してください。

デバイス管理

Intuneで Chrome OS デバイスを接続する (パブリック プレビュー)

Microsoft Intune管理センターで Chrome OS で実行されている会社または学校所有のデバイスを表示します。 パブリック プレビューでは、Google 管理 コンソールと管理センター Microsoft Intune間の接続を確立できます。 Chrome OS エンドポイントに関するデバイス情報は、Intuneに同期され、デバイス インベントリリストで表示されます。 再起動、ワイプ、紛失モードなどの基本的なリモート アクションは、管理センターでも使用できます。 接続を設定する方法の詳細については、「 Chrome Enterprise コネクタを構成する」を参照してください。

Intuneを使用して macOS ソフトウェア更新プログラムを管理する

Intune ポリシーを使用して、自動デバイス登録 (ADE) を使用して登録されたデバイスの macOS ソフトウェア更新プログラムを管理できるようになりました。 Intuneでの macOS ソフトウェア更新ポリシーの管理に関するページを参照してください。

Intuneでは、次の macOS 更新プログラムの種類がサポートされています。

• 緊急更新プログラム
• ファームウェアの更新
• 構成ファイルの更新
• その他のすべての更新プログラム (OS、組み込みアプリ)

デバイスの更新時のスケジュール設定に加えて、次のような動作を管理できます。

• ダウンロードとインストール: 現在の状態に応じて、更新プログラムをダウンロードまたはインストールします。
• ダウンロードのみ: ソフトウェア更新プログラムをインストールせずにダウンロードします。
• 直ちにインストールする: ソフトウェア更新プログラムをダウンロードし、再起動カウントダウン通知をトリガーします。
• 通知のみ: ソフトウェア更新プログラムをダウンロードし、App Storeを通じてユーザーに通知します。
• 後でインストールする: ソフトウェア更新プログラムをダウンロードし、後でインストールします。
• [未構成]: ソフトウェア更新プログラムに対してアクションは実行されません。

macOS ソフトウェア更新プログラムの管理に関する Apple の詳細については、Apple のプラットフォーム展開に関するドキュメントの 「Apple デバイスのソフトウェア更新プログラムの管理 - Apple サポート 」を参照してください。 Apple は、Apple のセキュリティ更新プログラム - Apple サポートでセキュリティ更新プログラムの一覧を保持しています。

Microsoft Intune管理センター内から Jamf Pro のプロビジョニングを解除する

jamf Pro のプロビジョニングを解除して、Microsoft Intune管理センター内から統合をIntuneできるようになりました。 この機能は、統合のプロビジョニングを解除できる Jamf Pro コンソールにアクセスできなくなった場合に便利です。

この機能は、Jamf Pro コンソール内から Jamf Pro を切断するのと同様に機能します。 そのため、統合を削除すると、organizationの Mac デバイスは 90 日後にIntuneから削除されます。

iOS/iPadOS で実行されている個々のデバイスで使用できる新しいハードウェアの詳細

[デバイス]>[すべてのデバイス]> を選択し、一覧表示されているデバイスのいずれかを選択して、その [ハードウェア] の詳細を開きます。 次の新しい詳細は、個々のデバイスの [ ハードウェア ] ウィンドウで使用できます。

• バッテリー レベル: 0 から 100 の間の任意の場所にあるデバイスのバッテリ レベルを示します。バッテリー レベルを決定できない場合は、既定値は null です。 この機能は、iOS/iPadOS 5.0 以降を実行しているデバイスで使用できます。
• 常駐ユーザー: 共有 iPad デバイス上の現在のユーザーの数を示します。ユーザーの数を決定できない場合は、既定値は null です。 この機能は、iOS/iPadOS 13.4 以降を実行しているデバイスで使用できます。

詳細については、「Microsoft Intuneを使用してデバイスの詳細を表示する」を参照してください。

適用対象

• iOS/iPadOS

フィルターで値を使用する$null

アプリとポリシーをグループに割り当てると、フィルターを使用して、作成したルールに基づいてポリシーを割り当てることができます (テナント管理>フィルター>の作成)。 これらの規則では、カテゴリや登録プロファイルなど、さまざまなデバイス プロパティが使用されます。

これで、 と -NotEquals 演算子で値を-Equals使用$nullできます。

たとえば、次のシナリオでは、 $null の値を使用します。

• デバイスにカテゴリが割り当てられないすべてのデバイスをターゲットにする必要があります。
• デバイスに割り当てられている登録プロファイル プロパティがないデバイスをターゲットにする必要があります。

フィルターと作成できるルールの詳細については、次のページを参照してください。

• Microsoft Intune でアプリ、ポリシー、プロファイルを割り当てるときにフィルター を使用する
• Microsoft Intuneでフィルターを作成するときのデバイスのプロパティ、演算子、およびルールの編集

適用対象:

• Android デバイス管理者
• Android Enterprise
• iOS/iPadOS
• macOS
• Windows 10 または 11

デバイスのセキュリティ

デバイス制御プロファイルのリムーバブル 記憶域の設定の再利用可能なグループ (プレビュー)

パブリック プレビューでは、攻撃面の縮小ポリシーで、デバイス制御プロファイルで再利用可能な設定グループを使用できます。

デバイス制御プロファイルの再利用可能なグループには、リムーバブル ストレージの 読み取り、 書き込み、 実行 アクセスの管理をサポートする設定のコレクションが含まれます。 一般的なシナリオの例を次に示します。

• 特定の承認済み USB を許可する以外のすべてに対する書き込みおよび実行アクセスを禁止する
• 特定の承認されていない USB をブロックする以外のすべてに対する書き込みと実行のアクセスを監査する
• 共有 PC 上の特定のリムーバブル 記憶域へのアクセスを特定のユーザー グループのみに許可する

適用対象:

• Windows 10 以降

Microsoft Defender ファイアウォール規則の設定の再利用可能なグループ (プレビュー)

パブリック プレビューでは、Microsoft Defender ファイアウォール規則のプロファイルで使用できる設定の再利用可能なグループを使用できます。 再利用可能なグループは、1 回定義したリモート IP アドレスと FQDN のコレクションであり、1 つ以上のファイアウォール規則プロファイルで使用できます。 必要になる可能性がある各プロファイルで、同じ IP アドレス グループを再構成する必要はありません。

再利用可能な設定グループの機能は次のとおりです。

• 1 つ以上のリモート IP アドレスを追加します。

• リモート IP アドレスに自動解決できる 1 つ以上の FQDN を追加するか、グループの自動解決がオフのときに 1 つ以上の単純なキーワードを追加します。

• 1 つ以上のファイアウォール規則プロファイルで各設定グループを使用し、異なるプロファイルでグループの異なるアクセス構成をサポートできます。

  たとえば、同じ再利用可能な設定グループを参照し、各プロファイルを異なるデバイス グループに割り当てる 2 つのファイアウォール規則プロファイルを作成できます。 1 つ目のプロファイルでは、再利用可能な設定グループ内のすべてのリモート IP アドレスへのアクセスをブロックできますが、2 つ目のプロファイルはアクセスを許可するように構成できます。

• 使用中の設定グループに対する編集は、そのグループを使用するすべてのファイアウォール規則プロファイルに自動的に適用されます。

ルールごとに攻撃面の縮小ルールの除外

攻撃表面の縮小ルール ポリシーのルールごとの除外を構成できるようになりました。 規則ごとの除外は、新しい規則ごとの設定 ASR 規則ごとの除外のみによって有効になります。

攻撃面の縮小ルール ポリシーを作成または編集し、除外をサポートする設定を既定の [未構成] から他の使用可能なオプションのいずれかに変更すると、新しい設定ごとの除外オプションが使用できるようになります。 ASR のみのルール除外の設定インスタンスの構成は、その設定にのみ適用されます。

[攻撃面の縮小のみ除外] の設定を使用して、デバイス上のすべての攻撃面の縮小ルールに適用されるグローバル 除外を引き続き構成できます。

適用対象:

• Windows 10 または 11

注:

ASR ポリシーは、 ASR のみのルール除外 のマージ機能をサポートしていません。また、同じデバイスに対して ASR のみの 除外を構成する複数のポリシーが競合すると、ポリシーの競合が発生する可能性があります。 競合を回避するには、 規則の除外ごとの ASR のみの 構成を 1 つの ASR ポリシーに結合します。 今後の更新で 、ASR のみのルール除外 に対するポリシー マージの追加を調査しています。

Android Enterprise デバイスで証明書をサイレント モードで使用するためのアクセス許可をアプリに付与する

フル マネージド、専用、および Corporate-Owned 作業プロファイルとして登録されている Android Enterprise デバイス上のアプリによる証明書のサイレント使用を構成できるようになりました。

この機能は、証明書プロファイル構成ワークフローの新しい [アプリ] ページで、[ 証明書アクセス 権] を [ 特定のアプリに対してサイレントに付与する ] (他のアプリではユーザーの承認が必要) に設定することで利用できます。 この構成では、選択したアプリで証明書が自動的に使用されます。 他のすべてのアプリでは、ユーザーの承認を必要とする既定の動作が引き続き使用されます。

この機能では、Android Enterprise のフル マネージド、専用、および Corporate-Owned 作業プロファイルに対してのみ、次の証明書プロファイルがサポートされます。

• 派生した資格情報
• インポートされた PKCS
• PKCS
• SCEP

Microsoft Intune アプリのアプリ内通知

Android オープン ソース プロジェクト (AOSP) デバイス ユーザーは、Microsoft Intune アプリでコンプライアンス通知を受信できるようになりました。 この機能は、AOSP ユーザー ベースのデバイスでのみ使用できます。 詳細については、「 AOSP コンプライアンス通知」を参照してください。

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• MyITOps, Ltd によるIntune用 MyITOps
• MURAL - Visual Collaboration by Tactivos, Inc

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

2022 年 10 月 17 日の週

アプリ管理

Android デバイス上のマネージド アプリ用の強化されたアプリ ピッカー

Android デバイス ユーザーは、Intune ポータル サイト アプリで既定のアプリ選択を選択、表示、削除できます。 ポータル サイトは、管理対象アプリに対するデバイス ユーザーの既定の選択肢を安全に格納します。 ユーザーは、[設定]>[既定のアプリ] [既定値>を表示] に移動して、ポータル サイト アプリで選択内容を表示および削除できます。 この機能は、Android MAM SDK の一部であるマネージド アプリ用の Android カスタム アプリ ピッカーの機能強化です。 既定のアプリを表示する方法の詳細については、「既定のアプリの 表示と編集」を参照してください。

2022 年 10 月 10 日の週

デバイス管理

Microsoft エンドポイント マネージャーのブランド化の変更

2022 年 10 月 12 日の時点で、Microsoft Endpoint Manager という名前は使用されなくなります。 今後は、クラウドベースの統合エンドポイント管理をMicrosoft Intune、オンプレミス管理をMicrosoft Configuration Managerと言います。 高度な管理の開始に伴い、Microsoft Intuneは Microsoft のエンドポイント管理ソリューション向けの製品ファミリの名前です。 詳細については、エンドポイント管理 Tech Community ブログの 公式のお知らせ を参照してください。 Microsoft エンドポイント マネージャーを削除するためのドキュメントの変更が進行中です。

詳細については、Intuneドキュメントを参照してください。

Windows ポータル サイトに表示される猶予期間の状態

Windows ポータル サイトには、コンプライアンス要件を満たしていないが、指定された猶予期間内にあるデバイスを考慮する猶予期間の状態が表示されるようになりました。 ユーザーには、準拠する必要がある日付と、準拠する方法の手順が表示されます。 ユーザーが指定した日付までにデバイスを更新しない場合、デバイスの状態は非準拠に変わります。 猶予期間の設定の詳細については、「 コンプライアンス 違反のアクションを使用してコンプライアンス ポリシーを構成 する」および「 デバイスの詳細ページからアクセスを確認する」を参照してください。

Microsoft Intuneで利用可能な Linux デバイス管理

Microsoft Intuneでは、Ubuntu Desktop 22.04 または 20.04 LTS を実行しているデバイスの Linux デバイス管理がサポートされるようになりました。 Intune管理者は、Microsoft Intune管理センターで Linux 登録を有効にするために何もする必要はありません。 Linux ユーザーは 、サポートされている Linux デバイス を自分で登録し、Microsoft Edge ブラウザーを使用して企業リソースにオンラインでアクセスできます。

管理センターでは、次のことができます。

• Microsoft Edge で条件付きアクセス ポリシーを適用します。
• 次に関する規則を含む Linux デバイス コンプライアンス ポリシーを作成 します。
  • 許可されるディストリビューション
  • カスタム コンプライアンス
  • デバイスの暗号化
  • パスワード ポリシー
• 検出用の POSIX 準拠シェル スクリプトと JSON ファイルを使用してカスタム コンプライアンス設定を適用し、使用するカスタム設定を定義します。

2022 年 10 月 3 日の週

デバイスのセキュリティ

コンプライアンス違反の警告メッセージにリンクが含まれている

リモート ヘルプでは、コンプライアンス違反警告通知 [デバイスコンプライアンス情報の表示] にリンクが追加され、ヘルパーはデバイスがMicrosoft Intuneで準拠していない理由の詳細を確認できます。

詳細については、次を参照してください:

• Microsoft Intune リモート ヘルプ

• デバイスのコンプライアンスを監視する

適用対象: Windows 10/11

2022 年 9 月 26 日の週

監視とトラブルシューティング

Microsoft Intune管理センターでコンテキストを失わずにヘルプとサポートを開く

Microsoft Intune管理センターのアイコンを使用?して、管理センターの現在のフォーカス ノードを失うことなく、ヘルプとサポート セッションを開くようになりました。 アイコンは ? 、管理センターのタイトル バーの右上に常に表示されます。 この変更により、 ヘルプとサポートにアクセスする別の方法が追加されます。

を選択 ?すると、管理センターによって、新しい個別のサイド バイ サイド ウィンドウでヘルプとサポート ビューが開きます。 この別のウィンドウを開くと、元の場所に影響を与えずにサポート エクスペリエンスを自由に移動し、管理センターに集中できます。

2022 年 9 月 19 日の週 (サービス リリース 2209)

アプリ管理

Microsoft Intuneの新しいアプリの種類

管理者は、次の 2 種類のIntune アプリを作成して割り当てることができます。

• iOS/iPadOS Web クリップ
• Windows Web リンク

これらの新しいアプリの種類は、既存の Web リンク アプリケーションの種類と同様に機能しますが、Web リンク アプリケーションはすべてのプラットフォームに適用されるのに対し、特定のプラットフォームにのみ適用されます。 これらの新しいアプリの種類では、グループに割り当てることができ、割り当てフィルターを使用して割り当てのスコープを制限することもできます。 この機能は、Microsoft Intune管理センター>アプリ>のすべてのアプリ>の追加にあります。

デバイス管理

Microsoft IntuneはWindows 8.1のサポートを終了しています

Microsoft Intuneは、Windows 8.1を実行しているデバイスのサポートを 2022 年 10 月 21 日に終了します。 その日以降、Windows 8.1を実行しているデバイスを保護するのに役立つテクニカル アシスタンスと自動更新は使用できなくなります。 また、基幹業務アプリのサイドローディング シナリオはWindows 8.1デバイスにのみ適用されるため、IntuneではサイドローディングWindows 8.1サポートされなくなります。 サイドローディングは、インストールしてから、Microsoft Store によって承認されていないアプリを実行またはテストしています。 Windows 10/11 では、"サイドローディング" は、"信頼されたアプリのインストール" を含むようにデバイス構成ポリシーを設定するだけです。

割り当てに表示されるグループ メンバー数

管理センターでポリシーを割り当てるときに、グループ内のユーザーとデバイスの数を確認できるようになりました。 両方のカウントを使用すると、適切なグループを特定し、割り当てが適用する前に与える影響を把握するのに役立ちます。

デバイス構成

Android Enterprise デバイスにカスタム サポート情報を追加するときの新しいロック画面メッセージ

Android Enterprise デバイスでは、デバイスにカスタム サポート メッセージを表示するデバイス制限構成プロファイルを作成できます (デバイス>の管理>デバイスの構成 新>しいポリシー>の作成>Android Enterprise>フル マネージド、専用、および企業所有の仕事用プロファイル プロファイル>の種類プロファイルの>デバイス制限カスタム サポート情報)。

構成できる新しい設定があります。

• ロック画面メッセージ: デバイスロック画面に表示されるメッセージを追加します。

ロック画面メッセージを構成するときに、次のデバイス トークンを使用してデバイス固有の情報を表示することもできます。

• {{AADDeviceId}}: デバイス ID をMicrosoft Entraします
• {{AccountId}}: テナント ID またはアカウント ID をIntuneします
• {{DeviceId}}: デバイス ID をIntuneします
• {{DeviceName}}: デバイス名Intune
• {{domain}}：ドメイン名
• {{EASID}}: Exchange Active Sync ID
• {{IMEI}}: デバイスの IMEI
• {{mail}}: ユーザーのアドレスをEmailします
• {{MEID}}: デバイスの MEID
• {{partialUPN}}: シンボルの前の @ UPN プレフィックス
• {{SerialNumber}}: デバイスのシリアル番号
• {{SerialNumberLast4Digits}}: デバイスのシリアル番号の最後の 4 桁
• {{UserId}}: ユーザー ID Intune
• {{UserName}}：ユーザー名
• {{userPrincipalName}}: ユーザーの UPN

注:

変数は UI では検証されず、大文字と小文字が区別されます。 その結果、誤った入力で保存されたプロファイルが表示される場合があります。 たとえば、 または {{DEVICEID}}ではなく を入力{{DeviceID}}すると、デバイスの{{deviceid}}一意の ID ではなくリテラル文字列が表示されます。 必ず正しい情報を入力してください。 すべての小文字またはすべての大文字の変数はサポートされていますが、混在はサポートされていません。

この設定の詳細については、「Intune を使用して機能を許可または制限するための Android Enterprise デバイスの設定」を参照してください。

適用対象:

• Android 7.0 以降
• 会社所有 Android Enterprise フル マネージド
• 会社所有 Android Enterprise 専用デバイス
• Android Enterprise の会社所有の仕事用プロファイル

Windows デバイスの設定カタログのユーザー スコープまたはデバイス スコープでフィルター処理する

設定カタログ ポリシーを作成するときは、[設定>の追加] フィルターを使用して、Windows OS エディションに基づいて設定をフィルター処理できます (デバイス>管理デバイス>構成>新しいポリシー>の作成>Windows 10以降のプラットフォーム>のプロファイルの種類の設定カタログ)。

[フィルターの追加] を選択すると、ユーザー スコープまたはデバイス スコープで設定をフィルター処理することもできます。

設定カタログの詳細については、「 Windows、iOS/iPadOS、macOS デバイスで設定カタログを使用して設定を構成する」を参照してください。

適用対象:

• Windows 10
• Windows 11

Android オープン ソース プロジェクト (AOSP) プラットフォームの一般公開

Android オープン ソース プロジェクト (AOSP) プラットフォームで実行される企業所有デバイスのMicrosoft Intune管理が一般公開されました (GA)。 この機能には、パブリック プレビューの一部として利用できる機能の完全なスイートが含まれています。

現在、Microsoft Intuneでは RealWear デバイスの新しい Android (AOSP) 管理オプションのみがサポートされています。

• 展開ガイド: Microsoft Intune で Android デバイスを管理する
• 展開ガイド: Microsoft Intune で Android デバイスを登録する

適用対象:

• Android Open Source Project (AOSP)

デバイス ファームウェア構成インターフェイス (DFCI) で Acer デバイスがサポートされるようになりました

Windows 10/11 デバイスの場合は、DFCI プロファイルを作成して UEFI (BIOS) 設定を管理できます (デバイス>の管理>構成>新しいポリシー>の作成>Windows 10以降のプラットフォーム>用テンプレート> プロファイルの種類のデバイス ファームウェア構成インターフェイス)。

Windows 10/11 を実行している新しい Acer デバイスは、2022 年後半に DFCI で有効になります。 そのため、管理者は DFCI プロファイルを作成して BIOS を管理し、これらの Acer デバイスにプロファイルを展開できます。

対象となるデバイスを入手するには、デバイス ベンダーまたはデバイスの製造元に問い合わせてください。

Intuneの DFCI プロファイルの詳細については、「Microsoft Intuneの Windows デバイスでデバイス ファームウェア構成インターフェイス (DFCI) プロファイルを使用する」を参照してください。

適用対象:

• Windows 10
• Windows 11

iOS/iPadOS および macOS 設定カタログで使用できる新しい設定

設定カタログには、デバイス ポリシーで構成できるすべての設定と、すべて 1 か所に一覧表示されます。

設定カタログには新しい設定があります。 Microsoft Intune管理センターでは、[デバイスの管理]>[デバイスの管理>] [構成] [>iOS/iPadOS の作成>] または [macOS for platform Settings catalog for profile type]\(プロファイルの種類のプラットフォーム>設定カタログ\) で、これらの設定を確認できます。

新しい設定には、次のものが含まれます。

アカウント > LDAP:

• LDAP アカウントの説明
• LDAP アカウント のホスト名
• LDAP アカウント パスワード
• LDAP アカウント SSL を使用する
• LDAP アカウント ユーザー名
• LDAP 検索設定

適用対象:

• iOS/iPadOS
• macOS

次の設定は、設定カタログにも含まれます。 以前は、テンプレートでのみ使用できました。

プライバシー > プライバシー設定ポリシーの制御:

• アクセシビリティ
• アドレス帳
• Apple イベント
• 予定表
• カメラ
• ファイル プロバイダーのプレゼンス
• リッスン イベント
• メディア ライブラリ
• マイク
• Photos
• イベントの投稿
• リマインダー
• スクリーン キャプチャ
• 音声認識
• システム ポリシーのすべてのファイル
• システム ポリシー デスクトップ フォルダー
• システム ポリシー ドキュメント フォルダー
• システム ポリシーのダウンロード フォルダー
• システム ポリシー ネットワーク ボリューム
• システム ポリシーリムーバブル ボリューム
• システム ポリシー Sys 管理 ファイル

適用対象:

• macOS

Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

デバイスの登録

登録通知を設定する (パブリック プレビュー)

登録通知は、新しいデバイスがMicrosoft Intuneに登録されたときに、電子メールまたはプッシュ通知を介してデバイス ユーザーに通知します。 登録通知は、セキュリティ上の目的で使用できます。 ユーザーに通知し、エラーに登録されたデバイスを報告したり、採用またはオンボード プロセス中に従業員と通信したりするのに役立ちます。 登録通知は、Windows、Apple、および Android デバイスのパブリック プレビューで試すことができます。 この機能は、ユーザー主導の登録方法でのみサポートされます。

デバイスのセキュリティ

コンプライアンス ポリシーを [すべてのデバイス] グループに割り当てる

[ すべてのデバイス ] オプションが コンプライアンス ポリシー の割り当てに使用できるようになりました。 このオプションを使用すると、ポリシーのプラットフォームに一致するorganizationに登録されているすべてのデバイスにコンプライアンス ポリシーを割り当てることができます。 すべてのデバイスを含むMicrosoft Entra グループを作成する必要はありません。

[すべてのデバイス] グループを含めると、個々のデバイス グループを除外して、割り当てスコープをさらに絞り込むことができます。

Trend Micro – 新しいモバイル脅威防御パートナー

Intuneと統合されたモバイル脅威防御 (MTD) パートナーとして、Trend Micro Mobile Security をサービスとして使用できるようになりました。 Intuneで Trend MTD コネクタを構成することで、リスク評価に基づく条件付きアクセスを使用して、企業リソースへのモバイル デバイス アクセスを制御できます。

詳細については、以下を参照してください。

• Intune でのモバイル脅威防御の統合

Intune ポータル サイト Web サイトに表示される猶予期間の状態

Intune ポータル サイト Web サイトに、コンプライアンス要件を満たしていないが、指定された猶予期間内にあるデバイスを考慮する猶予期間の状態が表示されるようになりました。 ユーザーには、準拠する必要がある日付と、準拠する方法の手順が表示されます。 指定した日付までにデバイスを更新しない場合、その状態は非準拠に変わります。 猶予期間の設定の詳細については、「 準拠していないアクションを使用してコンプライアンス ポリシーを構成する」を参照してください。

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• RingCentral, Inc. によるIntuneの RingCentral
• MangoApps,Work from Anywhere by MangoSpring, Inc.

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

2022 年 9 月 12 日の週

デバイス管理

Intuneに iOS/iPadOS 14 以降が必要になりました

Apple が iOS/iPadOS 16 をリリースすると、Microsoft IntuneとIntune ポータル サイトには iOS/iPadOS 14 以降が必要になります。 詳細については、「Intuneでサポートされているオペレーティング システムとブラウザー」を参照してください。

Intune macOS 11.6 以降が必要になりました

Apple の macOS 13 Ventura、Microsoft Intune、ポータル サイト アプリ、Intune MDM エージェントのリリースでは、macOS 11.6 (Big Sur) 以降が必要になります。 詳細については、「Intuneでサポートされているオペレーティング システムとブラウザー」を参照してください。

2022 年 9 月 5 日の週

デバイス管理

リモート ヘルプ バージョン: 4.0.1.13 リリース

リモート ヘルプ 4.0.1.13 では、複数のセッションを同時に開くことができない問題に対処するための修正プログラムが導入されました。 修正により、アプリがフォーカスなしで起動され、キーボード ナビゲーションとスクリーン リーダーが起動時に動作しない問題も修正されました。

詳細については、「IntuneとMicrosoft Intuneでリモート ヘルプを使用する」を参照してください。

2022 年 8 月 29 日の週

アプリ管理

App SDK for Android Microsoft Intune更新

Intune App SDK for Android の開発者ガイドが更新されました。 更新されたガイドでは、次のステージが提供されます。

• 統合の計画
• MSAL の前提条件
• MAM の概要
• MAM 統合の要点
• 複数の ID
• アプリの構成
• アプリ参加機能

詳細については、「App SDK for Android のIntune」を参照してください。

2022 年 8 月 22 日の週

デバイス管理

テナント接続デバイスIntuneロールベースのアクセス制御 (RBAC) を使用する

Microsoft Intune 管理センターからテナント接続デバイスと対話するときに、ロールベースのアクセス制御 (RBAC) Intune使用できるようになりました。 たとえば、ロールベースのアクセス制御機関としてIntuneを使用する場合、Intuneのヘルプ デスク オペレーター ロールを持つユーザーには、Configuration Managerから割り当てられたセキュリティ ロールやその他のアクセス許可は必要ありません。 詳細については、「Intuneテナント接続クライアントのロールベースのアクセス制御」を参照してください。

2022 年 8 月 15 日の週 (サービス リリース 2208)

アプリ管理

Android の強力な生体認証の変更検出

エンド ユーザーが PIN ではなく指紋認証を使用できるようにする、Intuneのアクセス用 PIN の代わりに Android フィンガープリントが変更されています。 この変更により、エンド ユーザーに強力な生体認証の設定を要求できます。 また、強力な生体認証の変更が検出された場合は、エンド ユーザーにアプリ保護ポリシー (APP) PIN の確認を要求できます。 Android アプリ保護ポリシーは、Microsoft Intune管理センターで [アプリ>アプリ保護 ポリシー>の作成>] Android を選択することで確認できます。 詳細については、「Microsoft Intuneの Android アプリ保護ポリシー設定」を参照してください。

Microsoft Intune アプリで Android (AOSP) で使用できるコンプライアンス以外の詳細

Android (AOSP) ユーザーは、Microsoft Intune アプリで非準拠の理由を表示できます。 これらの詳細では、デバイスが非準拠とマークされている理由について説明します。 この情報は、ユーザー関連付け Android (AOSP) デバイスとして登録されているデバイスの [デバイスの詳細] ページで入手できます。

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• Nexis Newsdesk Mobile by LexisNexis
• マイ ポータル by MangoApps (Android)
• Re:Work Enterprise by 9Folders, Inc.

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

デバイスの登録

管理センターからゼロタッチ登録Microsoft Intune構成する

これで、Microsoft Intune管理センターから Android ゼロタッチ登録を構成できるようになりました。 この機能を使用すると、ゼロタッチ アカウントをIntuneにリンクしたり、サポート情報を追加したり、ゼロタッチ対応デバイスを構成したり、プロビジョニングの追加をカスタマイズしたりできます。 管理センターからゼロタッチを有効にする方法の詳細については、「 Google Zero Touch を使用して登録する」を参照してください。

デバイス管理

Windows 10/11 デバイス コンプライアンスのカスタム設定が一般公開されました

次のカスタム機能のサポートが一般公開されています。

• PowerShell スクリプトを使用して、Windows デバイスのカスタム コンプライアンス ポリシー設定を作成します。
• ポータル サイト アプリに表示されるカスタム コンプライアンスルールと修復メッセージを作成します。

適用対象:

• Windows 10 または 11

macOS シェル スクリプトとカスタム属性の内容を表示する

Intuneにスクリプトをアップロードした後、macOS シェル スクリプトとカスタム属性の内容を表示できます。 シェル スクリプトとカスタム属性を管理センター Microsoft Intune表示するには、[デバイス>] [プラットフォーム>別] macOS を選択します。 詳細については、「Intuneで macOS デバイスでシェル スクリプトを使用する」を参照してください。

Android (AOSP) 企業デバイスで使用できるパスコードリモートアクションをリセットする

Android Open Source Project (AOSP) 企業デバイスのMicrosoft Intune管理センターからパスコードのリセット リモート アクションを使用できます。

リモート アクションの詳細については、次を参照してください。

• Intune でデバイスのパスコードをリセットまたは削除する
• Intune でデバイスをリモートで再起動する
• Intuneを使用してデバイスをリモートでロックする

適用対象:

• Android Open Source Project (AOSP)

デバイス構成

Android (AOSP) デバイスの証明書プロファイルのサポート

Android オープン ソース プロジェクト (AOSP) プラットフォームを実行する企業所有およびユーザーレス デバイスで、簡易証明書登録プロトコル (SCEP) 証明書プロファイル を使用できるようになりました。

カスタム ADMX および ADML 管理テンプレートのインポート、作成、管理

組み込みの ADMX テンプレートを使用するデバイス構成ポリシーを作成できます。 管理センター Microsoft Intuneで、[デバイスの管理]>>[構成>] [新しいポリシー>の作成>] の順に選択しWindows 10以降のプラットフォーム >テンプレートの [管理>用テンプレート] を選択します。

カスタムおよびサード パーティ/パートナーの ADMX テンプレートと ADML テンプレートをIntune管理センターにインポートすることもできます。 インポートしたら、デバイス構成ポリシーを作成し、ポリシーをデバイスに割り当て、ポリシーの設定を管理できます。

詳細については、次のページを参照してください。

• カスタム ADMX および ADML 管理テンプレートを Intune にインポートする
• 概要: Windows 10/11 テンプレートを使用して、Microsoft Intuneでグループ ポリシー設定を構成します。

適用対象:

• Windows 11
• Windows 10

Android Enterprise Wi-Fi デバイス構成プロファイルに HTTP プロキシを追加する

Android Enterprise デバイスでは、基本的な設定とエンタープライズ設定を使用して Wi-Fi デバイス構成プロファイルを作成できます。 Microsoft Intune管理センターで、[デバイスの管理]>[デバイス>の管理] [構成][>新しいポリシー>の作成>] [Android Enterprise>フル マネージド]、[専用]、[Corporate-Owned 仕事用プロファイル] の順>に選択します。

プロファイルを作成するときは、PAC ファイルを使用して HTTP プロキシを構成するか、設定を手動で構成できます。 organization内の各 Wi-Fi ネットワークに対して HTTP プロキシを構成できます。

プロファイルの準備ができたら、フル マネージド、Dedicated、Corporate-Owned Work Profile デバイスにこのプロファイルを展開できます。

構成できる Wi-Fi 設定の詳細については、「Microsoft Intuneの Android Enterprise 専用およびフル マネージド デバイスの Wi-Fi 設定を追加する」を参照してください。

適用対象:

• Android Enterprise のフル マネージド、専用、会社所有の仕事用プロファイル

iOS/iPadOS 設定カタログでは、宣言型デバイス管理 (DDM) がサポートされています

ユーザー登録を使用して登録された iOS/iPadOS 15 以降のデバイスでは、設定を構成するときに、設定カタログで Apple の宣言型デバイス管理 (DDM) が自動的に使用されます。

• DDM を使用するためにアクションは必要ありません。 この機能は設定カタログに組み込まれています。
• 設定カタログ内の既存のポリシーに影響はありません。
• DDM で有効になっていない iOS/iPadOS デバイスでは、Apple の標準 MDM プロトコルが引き続き使用されます。

詳細については、次を参照してください:

• 宣言型デバイス管理を満たす (Apple の Web サイトを開く)
• Microsoft では、Apple 更新プログラムのIntune登録を簡略化します
• 設定カタログを使用して、Windows、iOS、iPadOS、macOS のデバイスで設定を構成する

適用対象:

• Apple ユーザー登録を使用して登録された iOS/iPadOS 15 以降のデバイス

設定カタログで使用できる新しい macOS 設定

設定カタログには、デバイス ポリシーで構成できるすべての設定と、すべて 1 か所に一覧表示されます。 新しい設定は、設定カタログで使用できます。 Microsoft Intune管理センターで、[デバイスの管理]>>[デバイスの構成] [新>しいポリシー>の作成>]macOS for platform >Settings catalog for profile type( プロファイルの種類) を選択します。

新しい設定には、次のものが含まれます。

Microsoft AutoUpdate:

• 最新チャネル
• 最終カウントダウン タイマーの分数

制限事項:

• ユニバーサル コントロールを許可する

次の設定は、設定カタログにも含まれます。 以前は、テンプレートでのみ使用できました。

認証 >拡張可能なシングル サインオン:

• 拡張機能データ
• 拡張機能識別子
• Hosts
• Realm
• 画面ロック動作
• Team 識別子
• 型
• URL

認証 >拡張可能なシングル サインオン>拡張可能なシングル サインオン Kerberos:

• 拡張機能データ
• 自動ログインを許可する
• パスワードの変更を許可する
• 資格情報バンドル ID ACL
• 資格情報の使用モード
• カスタム ユーザー名ラベル
• ユーザーのセットアップの遅延
• ドメイン領域マッピング
• ヘルプ テキスト
• バンドル ID ACL に Kerberos アプリを含める
• バンドル ID ACL にマネージド アプリを含める
• 既定の領域
• 資格情報キャッシュの監視
• Kerberos のみを実行する
• 推奨される KDC
• 校長名
• パスワード変更 URL
• パスワード通知日数
• Password Req Complexity
• パスワード Req 履歴
• パスワード Req の長さ
• パスワード Req 最小年齢
• Password Req Text
• LDAP に TLS を要求する
• ユーザープレゼンスを要求する
• サイト コード
• ローカル パスワードの同期
• サイトの自動検出を使用する
• 拡張機能識別子
• Hosts
• Realm
• Team 識別子
• 型

Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

適用対象:

• macOS

設定カタログの新しい iOS/iPadOS 設定

設定カタログには、デバイス ポリシーで構成できるすべての設定と、すべて 1 か所に一覧表示されます。 設定カタログには、新しい iOS/iPadOS 設定が用意されています。 Microsoft Intune管理センターで、[デバイスの管理]>[デバイスの構成>] [>新しいポリシー>の作成>][iOS/iPadOS for platform >Settings catalog for profile type]\(プロファイルの種類\) を選択します。 以前は、これらの設定はテンプレートでのみ使用できます。

認証 >拡張可能なシングル サインオン:

• 拡張機能データ
• 拡張機能識別子
• Hosts
• Realm
• 画面ロック動作
• Team 識別子
• 型
• URL

認証 >拡張可能なシングル サインオン>拡張可能なシングル サインオン Kerberos:

• 拡張機能データ
• 自動ログインを許可する
• 資格情報バンドル ID ACL
• ドメイン領域マッピング
• ヘルプ テキスト
• バンドル ID ACL にマネージド アプリを含める
• 既定の領域
• 推奨される KDC
• 校長名
• ユーザープレゼンスを要求する
• サイト コード
• サイトの自動検出を使用する
• 拡張機能識別子
• Hosts
• Realm
• Team 識別子
• 型

システム構成 > ロック画面メッセージ:

• アセット タグ情報
• ロック画面脚注

Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

適用対象:

• iOS/iPadOS

監視とトラブルシューティング

新しい非準拠デバイスと設定レポート

>レポートデバイス コンプライアンス>レポートには、新しい非準拠デバイスと設定organizationレポートがあります。 このレポート:

• 各非準拠デバイスをListsします。
• 非準拠デバイスごとに、デバイスが準拠していないコンプライアンス ポリシー設定が表示されます。

このレポートの詳細については、「 非準拠デバイスと設定レポート (組織)」を参照してください。

2022 年 8 月 1 日の週

デバイスのセキュリティ

Microsoft Tunnel Gateway サーバーでの UDP 接続の使用を無効にする

Microsoft Tunnel Servers による UDP の使用を無効にできるようになりました。 UDP の使用を無効にすると、VPN サーバーはトンネル クライアントからの TCP 接続のみをサポートします。 TCP 接続のみの使用をサポートするには、デバイスで一般公開バージョンの Microsoft TunnelクライアントアプリとしてのMicrosoft Defender for Endpointをトンネル クライアント アプリとして使用する必要があります。

UDP を無効にするには、 Microsoft Tunnel Gatewayの サーバー構成を作成または編集 し、 [UDP 接続を無効にする] という名前の新しいオプションのチェック ボックスをオンにします。

アプリ管理

Windows 一括アプリインストール用の企業ポータル サイト

Windows 用ポータル サイトでは、ユーザーが複数のアプリを選択して一括インストールできるようになりました。 Windows 用ポータル サイトの [アプリ] タブで、ページの右上隅にある複数選択ビュー ボタンを選択します。 次に、インストールする必要がある各アプリの横にあるチェック ボックスをオンにします。 次に、[選択したものをインストール] ボタンを選択してインストールを開始します。 選択したすべてのアプリは、ユーザーが各アプリを右クリックしたり、各アプリのページに移動したりする必要なく、同時にインストールされます。 詳細については、「デバイスにアプリをインストールして共有する」および「Intune ポータル サイト アプリ、ポータル サイト Web サイト、Intune アプリを構成する方法」を参照してください。

2022 年 7 月 25 日の週 (サービス リリース 2207)

デバイス管理

Microsoft Intune アプリから AOSP デバイスのコンプライアンス チェックを開始する

Microsoft Intune アプリから AOSP デバイスのコンプライアンス チェックを開始できるようになりました。 [デバイスの詳細] に移動します。 この機能は、Microsoft Intune アプリを介してユーザー関連付け (Android) AOSP デバイスとして登録されているデバイスで使用できます。

Mac でブートストラップ エスクローの状態を監視する

Microsoft Intune管理センターで、登録されている Mac のブートストラップ トークンエスクローの状態を監視します。 [Bootstrap token escrowed] (ブートストラップ トークンがエスクローされた) と呼ばれる Intune の新しいハードウェア プロパティは、ブートストラップ トークンが Intune でエスクローされたかどうかを報告します。 macOS のブートストラップ トークンのサポートの詳細については、「ブートストラップ トークン」を参照してください。

Android Enterprise デバイスの共通条件モードを有効にする

Android Enterprise デバイスの場合、共通条件モードという新しい設定を使用して、政府機関などの機密性の高い組織でのみ通常使用される一連のセキュリティ標準を昇格できます。

適用対象:

• Android 5.0 以降
• 会社所有 Android Enterprise フル マネージド
• 会社所有 Android Enterprise 専用デバイス
• Android Enterprise の会社所有の仕事用プロファイル

新しい設定である共通条件モードは、Android Enterprise (完全管理、専用、および会社所有の仕事用プロファイル) のデバイス制限テンプレートを構成するときに、[システム セキュリティ] カテゴリに表示されます。

共通条件モードが [必須] に設定されたポリシーを受け取るデバイスは、以下を含むもののこれらに限定されないセキュリティ コンポーネントを昇格させます。

• Bluetooth 長期キーの AES-GCM 暗号化
• Wi-Fi 構成ストア
• ソフトウェア更新プログラムの手動メソッドであるブートローダーのダウンロード モードをブロックする
• キーの削除時に追加のキーのゼロ化を義務付けます
• 認証されていない Bluetooth 接続を防止する
• FOTA 更新プログラムには 2048 ビットの RSA-PSS 署名が必要です

情報セキュリティ国際評価基準 (Common Criteria) に関する詳細については、以下をご覧ください。

• commoncriteriaportal.org での情報セキュリティ国際評価基準 (Common Criteria) への準拠
• Android 管理 API ドキュメントの CommonCriteriaMode
• samsungknox.com の Knox Deep Dive: 情報セキュリティ国際評価基準 (Common Criteria) モード

iOS/iPadOS および macOS で実行されている個々のデバイスで利用可能な新しいハードウェアの詳細

Microsoft Intune管理センターで、[デバイス>] [すべてのデバイス>] の順に選択し、一覧表示されているデバイスのいずれかを選択し、[ハードウェアの詳細] を開きます。 次の新しい詳細は、個々のデバイスの [ハードウェア] ウィンドウで利用できます。

• 製品名: デバイスの製品名 (など iPad8,12) を表示します。 iOS/iPadOS および macOS デバイスで利用できます。

詳細については、「Microsoft Intune を使用してデバイスの詳細を表示する」を参照してください。

適用対象:

• iOS/iPadOS、macOS

リモート ヘルプ バージョン: 4.0.1.12 リリース

リモート ヘルプ 4.0.1.12 では、認証されていないときに表示される "後でやり直す" メッセージに対処するために、さまざまな修正プログラムが導入されました。 修正プログラムには、自動更新機能の強化も含まれています。

詳細については、「Intuneでリモート ヘルプを使用する」を参照してください。

デバイスの登録

Intuneでは、iOS/iPadOS および macOS セットアップ アシスタントで最新の認証を使用した別のデバイスからのサインインがサポートされます

自動デバイス登録 (ADE) を行うユーザーは、別のデバイスからサインインすることで認証できるようになりました。 このオプションは、最新の認証を使用してセットアップ アシスタントを使用して登録する iOS/iPadOS デバイスと macOS デバイスで使用できます。 デバイス ユーザーに別のデバイスからのサインインを求める画面が設定アシスタントに埋め込まれ、登録中に表示されます。 ユーザーのサインイン プロセスの詳細については、「Intune ポータル サイト アプリの取得 (../user-help/sign-in-to-the-company-portal.md#sign-in-via-another-device)」を参照してください。

Windows Autopilot デバイスでハードウェアの変更を検出して管理する

Microsoft Intune は、Autopilot 登録デバイスでハードウェアの変更を検出したときに警告を表示するようになりました。 管理センターで、影響を受けるすべてのデバイスを表示および管理できます。 また、影響を受けるデバイスを Windows Autopilot から削除し、ハードウェアの変更が考慮されるように再登録することもできます。

デバイス構成

設定カタログの新しい macOS Microsoft AutoUpdate (MAU) 設定

設定カタログでは、Microsoft AutoUpdate (MAU) の設定がサポートされています (デバイス>の管理>構成 プロファイル>の種類のプラットフォーム>設定カタログ用の新しいポリシー>macOS の作成>)。

次の設定を使用できるようになりました。

Microsoft AutoUpdate:

• データ収集ポリシーを自動的に確認する
• 強制更新の数日前
• 遅延更新プログラム
• Office Insider メンバーシップを無効にする
• AutoUpdate を有効にする
• 更新プログラムのチェックを有効にする
• 拡張ログを有効にする
• 起動時にアプリを登録する
• キャッシュ サーバーを更新する
• 更新プログラム チャネル
• 更新チェック頻度 (分)
• アップデーターの最適化手法

この設定は、次のアプリケーションの基本設定を構成するために使用できます。

• ポータル サイト
• Microsoft AutoUpdate
• Microsoft Defender
• Microsoft Defender ATP
• Microsoft Edge
• Microsoft Edge Beta
• Microsoft Edge Canary
• Microsoft Edge Dev
• Microsoft Excel
• Microsoft OneNote
• Microsoft Outlook
• Microsoft PowerPoint
• Microsoft リモート デスクトップ
• Microsoft Teams
• Microsoft Word
• OneDrive
• Skype for Business

設定カタログの詳細については、次のページを参照してください。

• Intune の設定カタログを使用して完了できるタスク
• Microsoft Intune で設定カタログを使用してポリシーを作成する

構成可能な Microsoft AutoUpdate の設定の詳細については、以下をご覧ください。

• 環境設定を使用して、Office for Mac のプライバシー コントロールを管理する - Office の展開。
• Microsoft AutoUpdate から更新の期限を設定します

適用対象:

• macOS

設定カタログの新しい iOS/iPadOS 設定

設定カタログには、デバイス ポリシーで構成できるすべての設定と、すべて 1 か所に一覧表示されます。 設定カタログには、新しい iOS/iPadOS 設定が用意されています (デバイス>の管理>構成 プロファイル>の種類のプラットフォーム>設定カタログ用の新しいポリシー>iOS/iPadOS の作成>)。

新しい設定には、次のものが含まれます。

ネットワーキング > 携帯ネットワーク:

• 許可されたプロトコル マスク
• 国内ローミングで許可されるプロトコル マスク
• ローミングで許可されるプロトコル マスク
• 認証の種類
• 名前
• Password
• プロキシ サーバー ポート
• プロキシ サーバー
• Username

次の設定は、設定カタログにも含まれます。 以前は、テンプレートでのみ使用できました。

ユーザー エクスペリエンス > 通知:

• グループ化の種類
• プレビューの種類
• カー プレイで表示する

印刷 > エアプリント:

• 強制 TLS
• ポート

App Management > アプリ ロック:

• 自動ロックを無効にする
• デバイスのローテーションを無効にする
• 呼び出し音スイッチを無効にする
• スリープ解除ボタンを無効にする
• タッチを無効にする
• 音量ボタンを無効にする
• アシスト タッチを有効にする
• 色の反転を有効にする
• モノラル オーディオを有効にする
• 読み上げの選択を有効にする
• 音声コントロールを有効にする
• ナレーションを有効にする
• ズームを有効にする
• 補助タッチ
• 色を反転する
• 音声コントロール
• ナレーション
• 拡大/縮小

ネットワーキング > ドメイン:

• Safari パスワードのオートフィル ドメイン

ネットワーキング > ネットワーク使用状況ルール:

• アプリケーション ルール
• 携帯データ ネットワークを許可する
• ローミング携帯データ ネットワークを許可する
• アプリ識別子の一致

制限事項:

• アカウントの変更を許可する
• アクティビティの継続を許可する
• ゲーム センターのフレンドを追加できるようにする
• エア ドロップを許可する
• Air Print を許可する
• Air Print 資格情報ストレージを許可する
• Air Print iBeacon Discovery を許可する
• アプリの携帯データ ネットワークの変更を許可する
• アプリ クリップを許可する
• アプリのインストールを許可する
• アプリの削除を許可する
• Apple Personalized Advertising を許可する
• アシスタントを許可する
• アシスタント ユーザー生成コンテンツを許可する
• ロック中にアシスタントを許可する
• 自動修正を許可する
• 自動ロック解除を許可する
• アプリの自動ダウンロードを許可する
• Bluetooth の変更を許可する
• Bookstore を許可する
• Bookstore Erotica を許可する
• カメラを許可する
• 携帯プランの変更を許可する
• チャットを許可する
• クラウド バックアップを許可する
• クラウド ドキュメント同期を許可する
• クラウド キーチェーン同期を許可する
• クラウド フォト ライブラリを許可する
• クラウド プライベート リレーを許可する
• 連続パス キーボードを許可する
• 定義参照を許可する
• デバイス名の変更を許可する
• 診断の送信を許可する
• 診断送信の変更を許可する
• ディクテーションを許可する
• 制限の有効化を許可する
• Enterprise App Trust を許可する
• Enterprise Book バックアップを許可する
• Enterprise Book メタデータ同期を許可する
• コンテンツと設定の消去を許可する
• ESIM の変更を許可する
• 明示的なコンテンツを許可する
• ファイル ネットワーク ドライブへのアクセスを許可する
• ファイルの USB ドライブへのアクセスを許可する
• デバイスの検索を許可する
• "友達を探す" を許可する
• "友達を探す" の変更を許可する
• 指紋でロック解除できるようにする
• 指紋の変更を許可する
• ゲーム センターを許可する
• ローミング時にグローバル バックグラウンド フェッチを許可する
• ホストのペアリングを許可する
• アプリ内購入を許可する
• iTunes を許可する
• キーボード ショートカットを許可する
• 一覧表示されたアプリ バンドル ID を許可する
• ロック画面コントロール センターを許可する
• ロック画面の通知ビューを許可する
• ロック画面の今日の表示を許可する
• メール プライバシー保護を許可する
• 管理対象アプリ クラウド同期を許可する
• 管理対象が非管理対象の連絡先を書き込むことを許可する
• マルチプレイヤー ゲームを許可する
• ミュージック サービスを許可する
• ニュースを許可する
• NFC を許可する
• 通知の変更を許可する
• 管理対象から非管理対象へのオープンを許可する
• 非管理対象から管理対象へのオープンを許可する
• OTAPKI 更新を許可する
• ペアリングされたウォッチを許可する
• ロック中に通帳を許可する
• パスコードの変更を許可する
• パスワードの自動入力を許可する
• パスワード近接要求を許可する
• パスワード共有を許可する
• 個人用ホットスポットの変更を許可する
• フォト ストリームを許可する
• ポッドキャストを許可する
• 予測キーボードを許可する
• 新しいデバイスへの近接セットアップを許可する
• 無線サービスを許可する
• リモート画面の観察を許可する
• Safari を許可する
• スクリーンショットを許可する
• 共有デバイス一時セッションを許可する
• 共有ストリームを許可する
• スペル チェックを許可する
• スポットライト インターネットの結果を許可する
• システム アプリの削除を許可する
• UI アプリのインストールを許可する
• UI 構成プロファイルのインストールを許可する
• 非管理対象が管理対象の連絡先を読み取ることを許可する
• ペアリングされていない外部ブートを回復するのを許可する
• 信頼されていない TLS プロンプトを許可する
• USB 制限付きモードを許可する
• ビデオ会議を許可する
• 音声ダイヤルを許可する
• VPN の作成を許可する
• 壁紙の変更を許可する
• 自律単一アプリ モードで許可されるアプリ ID
• ブロックされたアプリ バンドル ID
• 適用されたソフトウェア更新プログラムの遅延
• Air Drop を非管理対象にする
• Air Play 発信要求ペアリング パスワードを強制する
• Air Print Trusted TLS 要件を強制する
• 冒涜的表現のアシスタント フィルターを強制する
• 自動入力の前に認証を強制する
• 日付と時刻の自動設定を強制する
• クラスルームの自動参加を強制する
• クラスを離れるためにクラスルームにアクセス許可の要求を強制する
• クラスルームでアプリとデバイス ロックのプロンプトを表示しないように強制する
• ソフトウェア更新プログラムの強制遅延
• 暗号化されたバックアップを強制する
• iTunes ストアのパスワード入力を強制する
• 広告追跡の制限を強制する
• デバイスにディクテーションのみを強制する
• デバイスに翻訳のみを強制する
• Watch の手首検出を強制する
• WiFi 電源をオンにする
• 許可されたネットワークのみに WiFi を強制する
• 管理対象の台紙を要求する
• Safari に Cookie を承諾する
• Safari にオートフィルを許可する
• Safari Allow JavaScript
• Safari に Popups を許可する
• Safari に不正警告を強制する

Intune でのカタログ プロファイルの構成設定詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

適用対象:

• iOS/iPadOS

設定カタログで使用できる新しい macOS 設定

設定カタログには、デバイス ポリシーで構成できるすべての設定と、すべて 1 か所に一覧表示されます。 新しい設定は、設定カタログで使用できます (デバイス>の管理>構成 プロファイル>の種類のプラットフォーム>設定カタログ用の新しいポリシー>macOS の作成>)。

新しい設定には、次のものが含まれます。

システム構成 > システム拡張機能:

• リムーバブル システム拡張機能

次の設定は、設定カタログにも含まれます。 以前は、テンプレートでのみ使用できました。

システム構成 > システム拡張機能:

• ユーザー オーバーライドを許可する
• 許可されるシステム拡張機能の種類
• 許可されるシステム拡張機能
• 許可されるチーム識別子

Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

適用対象:

• macOS

フィルター作成時の [デバイスのプレビュー] の新しい検索機能

Microsoft Intune管理センターでは、フィルターを作成し、アプリとポリシーを割り当てるときにこれらのフィルターを使用できます (デバイス>の整理>フィルター>の作成)。

フィルターの作成時に、[デバイスのプレビュー] を選択して、フィルター条件に一致する登録済みデバイスのリストを表示できます。 [デバイスのプレビュー] では、デバイス名、OS バージョン、デバイス モデル、デバイス メーカー、プライマリ ユーザーのユーザー プリンシパル名、デバイス ID を使用して、リストを検索することもできます。

フィルターの詳細については、「Microsoft Intuneでアプリ、ポリシー、プロファイルを割り当てるときにフィルターを使用する」を参照してください。

2022 年 7 月 18 日の週

デバイス管理

WMI の問題のデバッグに役立つ新しいイベント ビューアー

診断を収集するIntuneのリモート アクションが拡張され、Windows Management Instrumentation (WMI) アプリの問題に関する詳細が収集されました。

新しいイベント ビューアーには、次のものが含まれます。

• Microsoft-Windows-WMI-Activity/Operational
• Microsoft-Windows-WinRM/Operational

Windows デバイス診断の詳細については、「Windows デバイスからのCollect 診断」 を参照してください。

2022 年 7 月 4 日の週

デバイスの管理

デバイス モデルごとのエンドポイント分析スコア

エンドポイント分析で、デバイス モデル別のスコア が表示されるようになりました。 これらのスコアで、管理者が環境内のデバイス モデル間でユーザー エクスペリエンスをコンテキスト化できるようになります。 モデルごとのスコアとデバイスごとのスコアは、どこからでも作業 レポートを含むすべてのエンドポイント分析レポートで利用できます。

監視とトラブルシューティング

[診断の収集] を使用して、Windows の迅速な更新に関する詳細を収集する

Intuneの [収集] 診断に対するリモート アクションによって、デバイスに展開する Windows の迅速な更新プログラムの詳細が収集されるようになりました。 この情報は、迅速な更新に関する問題のトラブルシューティングに使用できます。

収集される新しい詳細は次のとおりです。

• ファイル: C:\Program Files\Microsoft Update Health Tools\Logs\*.etl
• レジストリ キー: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CloudManagedUpdate