組織内の Windows デバイスを管理する - 最新の管理に移行する
仕事用の個人用デバイスやオフィス外で作業しているユーザーを使用すると、組織がデバイスを管理する方法が変わる可能性があります。 組織の特定部分ではデバイスに対してきめ細かく詳細な制御が必要になりますが、その他の部分では、最新の作業形態を後押しするような、シナリオベースの簡単な管理方法が求められています。 Windows では、これらの変化する要件に柔軟に対応でき、混在環境に簡単に展開できます。 組織で使用される通常のアップグレード スケジュールに従って、Windows デバイスの割合を段階的にシフトできます。
組織は、さまざまな種類のデバイスでさまざまなオペレーティング システムをサポートし、Microsoft Configuration Manager、Microsoft Intune、その他のサード パーティ製品などの一般的なツール セットを使用して管理できます。 この "マネージド ダイバーシティ" を使用すると、セキュリティと管理容易性に関する標準を維持しながら、新しい Windows デバイス (リッチ タッチやインクのサポートを含む) で利用できる生産性の強化をユーザーに提供できます。 これは、ユーザーと組織が Windows の恩恵を迅速に受けるのに役立ちます。
この記事では、混合環境での Windows の展開など、Windows デバイスを展開および管理するための戦略に関するガイダンスを提供します。 管理オプションとデバイス ライフサイクルの 4 つの段階について説明します。
Windows の管理オプションの確認
Windows には、次の図に示すように、さまざまな管理オプションが用意されています。
図に示すように、Microsoft は引き続き、グループ ポリシー、Active Directory、Configuration Manager などのテクノロジを通じて、深い管理とセキュリティのサポートを提供しています。 また、Microsoft Enterprise Mobility + Security (EMS) などのクラウドベースのデバイス管理ソリューションを使用して、簡素化された最新の管理の "モバイル優先、クラウド優先" アプローチも提供します。 Windows as a Service を通じて提供される将来の Windows のイノベーションは、Microsoft Intune、Microsoft Entra ID、Azure Information Protection、Microsoft 365 などのクラウド サービスによって補完されます。
デプロイとプロビジョニング
Windows では、従来の OS 展開を引き続き使用できますが、"すぐに管理" することもできます。 新しいデバイスを完全に構成されたフル マネージド デバイスに変換するには、次のことができます。
Windows Autopilot や Microsoft Intune などのクラウドベースのデバイス管理サービスによって有効になっている動的プロビジョニングを使用して、再イメージ化を回避します。
Windows 構成デザイナーで構築される、自己完結型のプロビジョニング パッケージを作成します。 詳細については、「 Windows のパッケージのプロビジョニング」を参照してください。
Configuration Manager を使用してカスタム イメージをデプロイするなど、従来のイメージング手法を使用します。
Windows 10 と Windows 11 にアップグレードするための複数のオプションがあります。 Windows 10 を実行している既存のデバイスでは、堅牢なインプレース アップグレード プロセスを使用して、Windows 11 への高速で信頼性の高い移行を行いながら、既存のすべてのアプリ、データ、設定を自動的に保持できます。 このプロセスの使用は、デプロイ コストの削減を意味し、エンド ユーザーがすぐに生産性を高めることができるため、生産性が向上します。 また、必要に応じて、現在使用しているのと同じツールを使用して、従来のワイプアンドロードアプローチを使用することもできます。
ID と認証
Windows や Microsoft Entra ID などのサービスは、クラウドベースの ID、認証、管理に新しい方法で使用できます。 ユーザーに対して、"独自の デバイスを持ち込む" (BYOD) または使用可能な 選択から "独自のデバイスを選択" (CYOD) する機能を提供できます。 同時に、特定のアプリケーションやリソースを使用するために、ドメイン参加が必要な PC やタブレットを管理している会社もあります。
ユーザーとデバイスの管理は、次の 2 つのカテゴリに分けて考えることができます。
Office 365 などの SaaS アプリ用に、モバイル ユーザーが会社のデバイス (CYOD) または個人のデバイス (BYOD) を使用。 Windows では、ユーザーはデバイスを自己プロビジョニングできます。
企業デバイスの場合、 Microsoft Entra join を使用して企業アクセスを設定できます。 Microsoft Entra 参加を Intune MDM の自動登録で提供すると、すべてのデバイスをクラウドから 1 つの手順で企業が管理する状態にすることができます。
Microsoft Entra join は、一時的なスタッフ、パートナー、またはその他のパートタイム ユーザーにも最適なソリューションです。 これらのアカウントは、オンプレミスの AD ドメインから分離できますが、必要な社内リソースにアクセスできます。
同様に、個人用デバイスの場合、ユーザーは新しい簡略化された BYOD エクスペリエンス を使用して、職場アカウントを Windows に追加し、デバイス上の仕事用リソースにアクセスできます。
従来のアプリケーションや重要なリソースへのアクセスには、ドメインに参加している PC とタブレットを使用。 これらのアプリケーションとリソースは、認証を必要とする従来のアプリケーションやリソースであり、オンプレミスで機密性の高いリソースまたは分類されたリソースにアクセスする必要があります。
Windows では、Microsoft Entra ID と統合されているオンプレミスの Active Directory ドメインがある場合、従業員のデバイスが参加すると、Microsoft Entra ID に自動的に登録されます。 この登録では、次の情報が提供されます。
- クラウドとオンプレミスのリソースに、どこからでもシングル サインオンでアクセス
- 設定のエンタープライズ ローミング
- デバイスの状態や構成に基づく、会社のリソースへの条件付きアクセス
- Windows Hello for Business
- Windows Hello
ドメインに参加している PC とタブレットは、 Configuration Manager クライアントまたはグループ ポリシーを使用して引き続き管理できます。
組織内の役割を確認する際に、ドメイン参加を必要とするユーザーやデバイスを特定するには、以下に示す一般的なデシジョン ツリーを使用できます。 残りのユーザーを Microsoft Entra ID に切り替えることを検討してください。
設定と構成
構成の要件は、必要な管理のレベル、管理されているデバイスやデータ、業種別の要件など、複数の要素によって定義されます。 一方、ユーザーは、個人のデバイスに厳格なポリシーを適用する IT について頻繁に懸念していますが、企業の電子メールやドキュメントへのアクセスを引き続き望んでいます。 共通 MDM レイヤーを使用して、PC、タブレット、電話全体で一貫した構成セットを作成できます。
MDM: MDM を使用すると、あらゆる設定を公開しなくても、管理上の意図を反映した設定を構成できます (一方、グループ ポリシーでは、個別に制御するきめ細かい設定が公開されます)。MDM の利点の 1 つは、より軽量で効率的なツールを使用して、より広範なプライバシー、セキュリティ、およびアプリケーション管理設定を適用できる点です。 MDM では、インターネットに接続されたデバイスをターゲットにして、オンプレミスのドメイン参加済みデバイスを必要とするグループ ポリシーを使用せずにポリシーを管理することもできます。 このプロビジョニングにより、MDM は常に外出先で使用できるデバイスに最適です。
グループ ポリシー と Configuration Manager: 組織では、グループ ポリシー設定を使用して、ドメインに参加しているコンピューターを詳細なレベルで管理する必要がある場合があります。 その場合、グループ ポリシーと Configuration Manager は引き続き優れた管理の選択肢となります。
グループ ポリシー は、Windows ベースのツールを使用して、企業ネットワークに接続されているドメイン参加済みの Windows PC とタブレットをきめ細かく構成する最善の方法です。 Microsoft は引き続き、新しいバージョンの Windows ごとにグループ ポリシー設定を追加します。
Configuration Manager は、堅牢なソフトウェア展開、Windows 更新プログラム、OS の展開を使用して詳細な構成を行う場合に推奨されるソリューションです。
更新とサービス
サービスとしての Windows を使用すると、IT 部門では、新しい Windows リリースごとに複雑なイメージング (ワイプ アンド ロード) プロセスを実行する必要がなくなります。 一般提供チャネルでも Long-Term サービス チャネルでも、デバイスは、シンプルな (多くの場合は自動) パッチ適用プロセスを通じて、最新の機能と品質の更新プログラムを受け取ります。 詳細については、「 Windows 展開シナリオ」を参照してください。
Intune による MDM では、組織内のクライアント コンピューターに Windows 更新プログラムを適用するためのツールが提供されます。 Configuration Manager では、メンテナンス ウィンドウや自動展開ツールなど、これらの更新プログラムに対する豊富な管理機能および追跡機能を使用できます。
次のステップ
組織のデバイス管理を最新化するプロセスを開始するには、さまざまな手順を実行できます。
現在の管理方法を評価し、今すぐ投資を検討します。 現在のプラクティスのうち、このままで良いものはどれで、変更できるものはどれですか? 特に、従来の管理作業のうち、現行のままにしておく必要があるのはどの要素で、最新な手法に変更できるのはどの要素ですか? カスタム イメージングを最小限に抑える、設定の管理を再評価する、認証とコンプライアンスを再評価する手順を実行する場合でも、すぐにメリットが得られる場合があります。 Microsoft Intune でグループ ポリシー分析を使用すると、Microsoft Intune を含むクラウドベースの MDM プロバイダーによってサポートされるグループ ポリシーを判断できます。
さまざまなユース ケースと環境内の管理ニーズを評価します。 軽量かつシンプルな管理によるメリットが得られるようなデバイスのグループはありますか? たとえば、BYOD デバイスには、当然ながらクラウド ベースの管理が適しています。 厳しく管理されるデータを扱うユーザーやデバイスについては、おそらくオンプレミスの Active Directory ドメインによる認証が必要になります。 Configuration Manager と EMS を使用すると、ビジネス ニーズに最適な方法でさまざまなデバイスをターゲットにしながら、最新の管理シナリオの実装を柔軟に実行できます。
この記事のデシジョン ツリーを確認します。 Windows のさまざまなオプションに加え、Configuration Manager と Enterprise Mobility + Security を使用すると、あらゆるシナリオでイメージング、認証、設定、管理ツールを柔軟に処理できます。
移行は段階的に行います。 最新のデバイス管理への移行は、一晩の変革である必要はありません。 現行のオペレーティング システムやデバイスを残したまま、新しいオペレーティング システムやデバイスを導入できます。 この "マネージド ダイバーシティ" を使用すると、ユーザーは最新の Windows デバイスでの生産性の向上の恩恵を受けることができます。一方で、セキュリティと管理容易性の基準に従って古いデバイスを維持し続けることができます。 CSP ポリシー MDMWinsOverGP を使用すると、グループ ポリシーと同等の MDM ポリシーの両方がデバイスで設定されている場合に、MDM ポリシーがグループ ポリシーよりも優先されます。 グループ ポリシー環境を維持しながら、MDM ポリシーの実装を開始できます。 同等のグループ ポリシーを持つ MDM ポリシーの一覧など、詳細については、「 グループ ポリシーでサポートされるポリシー」を参照してください。
既存の投資を最適化します。 従来のオンプレミス管理からクラウドベースによる最新の管理方法に移行する間、Configuration Manager と Intune の柔軟なハイブリッド アーキテクチャを活用できます。 共同管理を使用すると、Configuration Manager と Intune の両方を使用して Windows デバイスを同時に管理できます。 詳細については、次の記事を参照してください。
- Windows デバイスの共同管理
- 共同管理のために Windows デバイスを準備する
- Configuration Manager ワークロードを Intune に切り替える
- Configuration Manager の共同管理ダッシュボード