【クラウドベースのデバイス管理】Microsoft Intuneでモバイルデバイスをきちんと管理！-カワテックのブログ記事です。

Microsoft Intuneとは？

シンガポールの日系企業様でもコロナ渦でテレワークが普及し、iPhoneやAndroidのスマートフォン、ノートPC、タブレットなどのモバイルデバイスの利用が拡大しています。デバイスの種類が増え、管理が煩雑になりデータ漏えいなどのリスクも拡大するため、セキュリティポリシーに準拠した管理と、企業情報の保護対策が企業の課題となっています。そんな中Microsoft Intune（マイクロソフト・インチューン）は、Azure ADを認証基盤とする、Microsoft が提供するリモートでモバイルデバイス管理（MDM)とモバイルアプリの管理（MAM)を行うクラウドベースのサービスです。

Microsoft 365製品とともに使用できるため、企業情報を包括的に管理し、生産性を向上させながら、モバイルデバイス管理におけるIT担当者の負担軽減や、セキュリティ強化の実現が可能です。

 

Microsoft Intuneでデバイス管理をする仕組み

IntuneはAzure ADと統合されています。そのため、Intuneにデバイスを登録すると同時にAzure ADにもデバイス登録をすることになります。

Azure ADへのデバイス登録には2種類あり、デバイス情報の登録のみを行う「Azure AD登録」とAzure ADにドメイン参加も行う「Azure AD参加」があります。

Microsoftが提示している使い分けとしては、Azure AD登録は個人所有のデバイスを会社に持ち込んで活用する「Bring Your Own Device（BYOD）」を想定しており、もとから会社で管理しているデバイスであれば、Azure AD参加を行うのが一般的です。

 

Intuneにデバイスを登録する２つのパターンを表にまとめると、以下のようになります。

 

 

Intuneで出来ることは？

実際にIntuneで出来る主な機能を4つご紹介します。

 

1. デバイスの管理とインベントリ収集
2. アプリケーション管理
3. デバイスのコンプライアンスポリシー準拠の管理
4. デバイスの更新プログラム管理

 

それでは一つずつ、分かりやすく説明していきましょう。

 

デバイスの管理とインベントリ収集

Intuneに登録できるデバイスは下記となり、端末の種別やOSに縛られず、一元管理が可能です。

 

• Windows 10
• Mac OS X 10.13以降
• Apple iOS 12.0以降
• Apple iPad OS 13.0以降
• Android OS 5.0以降

 

一旦Intuneにデバイスを登録すると、次のようなアクションをリモートで行うことができるようになります。

 

• パスワードリセット
• デバイスロック
• リモートワイプ（遠隔消去）
• BitLocker回復キー発行（Windows 10のみ）
• 再起動（Windows 10のみ）
• 紛失モード（iOSのみ）

 

またIntuneの管理画面からは、登録された全てのデバイス名やシリアル番号およびIMEI、そしてデバイスの所有者やOSバージョンなどの情報が閲覧でき、会社のコンプライアンスポリシーに準拠していないデバイスの抽出もできます。これにより、例えばIT管理者が在宅勤務であっても、デバイスの管理ができるようになります。

 

<Intuneのデバイス管理の概要ページの例>

 

<Intuneのハードウェアの詳細情報確認ページの例>

 

アプリケーション管理

業務に必要なアプリケーションを管理対象デバイスに対して配布および管理する機能です。Intuneで管理する端末に対して、Microsoft ストアアプリやiOS ストアアプリなどのストアアプリの配信、Webアプリ（Webアプリへのショートカット）の配布を行うこともできます。また、アプリケーションのインストールを割り当てたデバイスにおいて、たとえば正常にアプリケーションがインストール完了したかどうかのレポートなども確認することができます。アプリケーションをIntuneでデバイスに割り当てると、アプリケーションのインストールはデバイス上でネットワークを通して自動的に行われるため、ITスタッフの業務負荷軽減にも繋がります。

 

Intuneでアプリ自動配信ができるものは下記のようなアプリです。

• ストアアプリ（Microsoft, Android, Apple, Google Play など）
• Microsoft 365関連のアプリケーションなど
• ERPなど基幹業務アプリ、組み込みアプリ、Win32アプリなど
• WEBアプリ（WEB上にあるアプリケーションのリンク）

 

＜iOS端末に許可するアプリケーションを設定する例＞

 

デバイスのコンプライアンスポリシー準拠の管理

コンプライアンス ポリシーとは Intune で管理されているデバイスのセキュリティ対策状態が組織のルールを満たしているかどうかを確認できる機能です。

例えば下記のように会社が決めたセキュリティ対策が守られているかを確認できます。

 

• パソコンディスクの暗号化がされているか
• ウイルス対策は行われているか
• 指定したバージョン以上の OS が利用されているか

 

ルールに準拠していない場合はユーザーに通知し、会社情報のデータを保護するため、Intune上でモバイルデバイスをブロックできます。

デバイスのセキュリティポリシーで設定できる項目の例は以下です。

 

≪デバイスの正常≫

• Bitlockerの有効／無効

 

≪デバイスのプロパティ≫

• OSのバージョンの指定

 

≪システムセキュリティ≫

• デバイスロック解除のパスワード有効／無効
• 単純なパスワード（1234や1111など）のブロック
• パスワードの複雑さ・最小文字数の設定
• パスワードの有効期限
• ファイアウォール・ウイルス対策・スパイウェア対策の有効／無効

 

作成したデバイスのコンプライアンスポリシーをIntune上でデバイスに割り当てると、自動的にポリシーが対象のデバイスに適用されます。そしてIT管理者は、Intuneのコンソール画面上で各デバイスがポリシー適用済みかどうかを確認できます。

 

＜コンプライアンスポリシーの設定画面例＞

 

デバイスの更新プログラム管理

Intune に登録された パソコン は更新プログラムを適用するタイミングやドライバーの更新許可などWindows Update の管理が行えます。組織で更新プログラムのインストールタイミングをコントロールすることで、定めた期間に更新プログラムを適用させることができるため、IT スタッフの運用管理負担を減らすことができます。ただし更新プログラムのインストールに関しては、延期するだけでインストールを無期限に停止することはできません。基本的には推奨の更新プログラムをすべて適用することが前提となり、WSUSのように必要な更新プログラムを選択することはできないため、社内独自の業務システムとの兼ね合いで更新プログラムの選択が必要な場合においては、Intuneは向かないかもしれません。

 

<Windows 10 更新プログラムの更新リングの設定画面例>

 

Intuneはどのプランで使える？Microsoft 365のプランと価格

Intuneは下記のMicrosoft 365ライセンスでご利用可能です。

※Intuneは上記以外にも上位プランのMicrosoft 365 E3 , Microsoft 365 E5 , Enterprise Mobility +Security E5のプランでも含まれています。

 

Microsoft Intuneの導入設定はカワテックにお任せ！

ご質問等なんでもお気軽にお問い合わせくださいませ。日本人スタッフが対応させていただきます。

(お問い合わせ先はページ下部に御座います)