2021年8月29日 Microsoft Intuneでモバイルデバイスをきちんと管理!
Microsoft Intuneとは?
シンガポールの日系企業様で、テレワークが普及し、iPhoneやAndroidのスマートフォン、ノートPC、タブレットなどのモバイルデバイスの利用が拡大しています。
デバイスの種類が増え、管理が煩雑になりデータ漏えいなどのリスクも拡大するため、セキュリティポリシーに準拠した管理と、企業情報の保護対策が課題となっています。
そこでおすすめしたいのが、「Microsoft Intune(マイクロソフト・インチューン)」です。
Microsoft が提供するリモートでモバイルデバイス管理とモバイルアプリの管理を行うクラウドベースのサービスです。
Microsoft 365製品とともに使用できるため、企業情報を包括的に管理し生産性を向上させながら、モバイルデバイス管理におけるIT担当者の負担軽減や、セキュリティ強化の実現が可能です。
デバイス管理の仕組み
IntuneはEntra IDと統合されているので、Intuneにデバイスを登録すると同時にEntra IDにもデバイス登録が行えます。
登録方法は2種類あり、デバイス情報の登録のみを行う「Entra ID登録」とEntra IDにドメイン参加も行う「Entra ID参加」があります。
Entra ID登録は個人所有のデバイスを会社に持ち込んで活用する「Bring Your Own Device(BYOD)」を想定しており、もとから会社で管理しているデバイスであれば、Entra ID参加を行うのが一般的です。
登録方式 | デバイスの
登録先 |
Windows
サインイン |
アカウント
管理 |
ポリシー
管理 |
---|---|---|---|---|
Entra ID登録(Registered) | Entra ID, Intune | ローカルユーザー | Entra ID | Intune |
Entra ID参加(Joined) | Entra IDユーザー |
Intuneで出来る主な機能を4つ紹介します。
①デバイスの管理とインベントリ収集
Intuneに登録できるデバイスは下記となり、端末の種別やOSに縛られず、一元管理が可能です。
- Windows 10
- Mac OS X 10.13以降
- Apple iOS 12.0以降
- Apple iPad OS 13.0以降
- Android OS 5.0以降
一度Intuneにデバイスを登録すると、次のようなアクションをリモートで行うことが可能になります。
- パスワードリセット
- デバイスロック
- リモートワイプ(遠隔消去)
- BitLocker回復キー発行(Windows 10のみ)
- 再起動(Windows 10のみ)
- 紛失モード(iOSのみ)
またIntuneの管理画面からは、登録された全てのデバイス名やシリアル番号およびIMEI、そしてデバイスの所有者やOSバージョンなどの情報が閲覧でき、会社のコンプライアンスポリシーに準拠していないデバイスの抽出もできます。これにより、IT管理者が在宅勤務であっても、デバイスの管理ができるようになります。
<デバイス管理の概要ページの例>
<ハードウェアの詳細情報確認ページの例>
②アプリケーション管理
業務に必要なアプリケーションを管理対象デバイスに対して配布および管理する機能です。
Intuneで管理する端末に対して、Microsoft ストアアプリやiOS ストアアプリなどの配信、Webアプリの配布を行うこともできます。アプリケーションのインストールを割り当てたデバイスは、正常にアプリケーションがインストール完了したかどうかのレポートなども確認可能です。
アプリケーションをIntuneでデバイスに割り当てると、インストールはデバイス上でネットワークを通して自動的に行われるため、ITスタッフの業務負荷軽減にも繋がります。
Intuneでアプリ自動配信ができるものは下記のようなアプリです。
- ストアアプリ(Microsoft, Android, Apple, Google Play など)
- Microsoft 365関連のアプリケーションなど
- ERPなど基幹業務アプリ、組み込みアプリ、Win32アプリなど
- WEBアプリ(WEB上にあるアプリケーションのリンク)
<iOS端末に許可するアプリケーションを設定する例>
③デバイスのコンプライアンスポリシー準拠の管理
Intune で管理されているデバイスのセキュリティ対策状態が組織のルールを満たしているかどうかを確認できる機能です。
下記のように会社が決めたセキュリティ対策が守られているかを確認できます。
- パソコンディスクの暗号化がされているか
- ウイルス対策は行われているか
- 指定したバージョン以上の OS が利用されているか
ルールに準拠していない場合はユーザーに通知し、会社情報のデータを保護するため、Intune上でモバイルデバイスをブロックできます。
デバイスのセキュリティポリシーで設定できる項目の例は以下です。
≪デバイスの正常≫
- Bitlockerの有効/無効
≪デバイスのプロパティ≫
- OSのバージョンの指定
≪システムセキュリティ≫
- デバイスロック解除のパスワード有効/無効
- 単純なパスワード(1234や1111など)のブロック
- パスワードの複雑さ・最小文字数の設定
- パスワードの有効期限
- ファイアウォール・ウイルス対策・スパイウェア対策の有効/無効
作成したデバイスのコンプライアンスポリシーをIntune上でデバイスに割り当てると、自動的にポリシーが対象のデバイスに適用されます。IT管理者は、Intuneのコンソール画面上で各デバイスがポリシー適用済みかどうかを確認できます。
<コンプライアンスポリシーの設定画面例>
④デバイスの更新プログラム管理
Intune に登録された パソコン は更新プログラムを適用するタイミングやドライバーの更新許可などWindows Update の管理が行えます。組織で更新プログラムのインストールタイミングをコントロールすることで、定めた期間に更新プログラムを適用させることができるため、IT スタッフの運用管理負担を減らすことができます。ただし更新プログラムのインストールに関しては、延期するだけでインストールを無期限に停止することはできません。基本的には推奨の更新プログラムをすべて適用することが前提となり、WSUSのように必要な更新プログラムを選択することはできないため、社内独自の業務システムとの兼ね合いで更新プログラムの選択が必要な場合においては、Intuneは向かないかもしれません。
<Windows 10 更新プログラムの更新リングの設定画面例>
Intuneはどのプランで使える?
下記のMicrosoft 365ライセンスでご利用可能です。
プラン名 | プランの概要 | 主な機能 | 価格
(1年間) |
---|---|---|---|
Enterprise Mobility + Security E3 | 「ID管理」、「モバイルデバイスの管理」、「データ保護」を総合的に管理・運用し、安全に手軽にクラウド・モバイルを利用できるプラン | ✔Microsoft Entra ID P1(MFAや条件付きアクセスを利用して、クラウドに対する安全なSSOを提供する)
✔Microsoft Intune(デバイスの種類を問わず、モバイルデバイスから会社のアプリとデータを分離して保護) ✔Azure Information Protection Premium P1、(クラウドストレージやデバイス内のファイルを分類し、暗号化し、クラウドベースで追跡) |
S$180 |
Microsoft 365 Business Premium | テレワークに必要な環境を一式揃えたい企業向けにWindows OS, Office ,グループウェア,セキュリティが1つにまとまったパッケージプラン | ✔上記のEnterprise Mobility + Securityの主な機能が含まれています
✔MS Officeアプリケーション |
S$370 |
※上記以外にも上位プランのMicrosoft 365 E3 , Microsoft 365 E5 , Enterprise Mobility +Security E5にも含まれています。
ご質問等なんでもお気軽にお問い合わせくださいませ。日本人スタッフが対応させていただきます。
.
この記事はマンゴスティン倶楽部内の記事でも紹介しています。