「Microsoft Intune」でデバイスのセキュリティ管理をしよう！ - シンガポールのパソコン修理はカワテック

トップページ > ブログ（マレーシア-法人） > ▶法人様向け対応項目一覧 > 「Microsoft Intune」でデバイスのセキュリティ管理をしよう！

2024年8月9日「Microsoft Intune」でデバイスのセキュリティ管理をしよう！

Microsoft Intune（マイクロソフト・インチューン）とは？

近年テレワークが普及し、スマートフォン、ノートPC、タブレット等モバイルデバイスの利用が拡大しています。

社員のデバイスの種類が増えることで危惧するデータ漏えいのリスク拡大と企業情報の保護対策。

そこでおすすめしたいのが「Microsoft Intune」です。

社員が使用する各デバイスを安全に管理し徹底したセキュリティ対策を行います。

Microsoft 365製品とともに使用できるため、企業情報を包括的に管理し、デバイス管理におけるIT担当者の負担軽減や、セキュリティ強化の実現が可能です。

Microsoft Intuneでデバイス管理をする仕組み

IntuneはMicrosoft Entra IDと統合されているため、Intuneにデバイスを登録するとMicrosoft Entra IDにも同時にデバイス登録をすることになります。

Microsoft Entra IDへのデバイス登録には2種類あり、デバイス情報の登録のみを行う「Entra ID登録」とドメイン参加も行う「Entra ID参加」があります。

「Entra ID登録」は、個人所有のデバイスを会社に持ち込んで活用するBring Your Own Device(BYOD)を想定しています。会社支給のデバイスであれば、「Entra ID参加」を行うのが一般的です。

Intuneで出来ることは？

主な機能は、4つあります。

デバイスの管理とインベントリ収集
アプリケーション管理
デバイスのコンプライアンスポリシー準拠の管理
デバイスの更新プログラム管理

１、デバイスの管理とインベントリ収集

デバイスを登録することで、どの従業員がどのデバイスを利用しているか管理できます。

Intuneに登録できるデバイスは下記となり、端末の種別やOSに縛られず一元管理が可能です。

Windows OS
Mac OS
Apple iOS
Android OS

デバイス登録後は、次のようなアクションをリモートで行えます。

リモートロック、ワイプ
インベントリ管理
管理者権限の強制剥奪
BitLocker強制有効化
外部記憶装置アクセス制限
Windows Update強制実行
BYODアクセス制限

またIntuneの管理画面からは、登録された全てのデバイス名、シリアル番号、IMEI(携帯電話の製造番号)、デバイスの所有者やOSバージョンなどの情報が閲覧できます。

会社のコンプライアンスポリシーに準拠していないデバイスの抽出も可能な為、IT管理者が在宅勤務であっても、デバイスの管理ができるようになります。

<Intuneのデバイス管理の概要ページの例>

<Intuneのハードウェアの詳細情報確認ページの例>

２、アプリケーション管理

業務に必要なアプリケーションを管理対象デバイスに対して配布および管理する機能です。

デバイスにインストールできるアプリや使用可能アプリの制限をすることが可能です。

インストールはデバイス上でネットワークを通して自動的に行われるため、ITスタッフの業務負荷軽減にも繋がります。正常にアプリケーションがインストール完了したか、レポートなども確認可能です。

Intuneでアプリ自動配信ができるものは下記のようなアプリです。

ストアアプリ（Microsoft, Android, Apple, Google Play など）
Microsoft 365関連のアプリケーションなど
ERPなど基幹業務アプリ、組み込みアプリ、Win32アプリなど
WEBアプリ（WEB上にあるアプリケーションのリンク）

３、デバイスのコンプライアンスポリシー準拠の管理

Intuneで管理されているデバイスのセキュリティ対策状態が組織のルールを満たしているかどうかを確認できる機能です。

パソコンディスクの暗号化がされているか、ウイルス対策は行われているか、指定したバージョン以上の OS が利用されているか、など、会社が決めたセキュリティ対策が守られているかを確認できます。

ルールに準拠していない場合はユーザーに通知し、会社情報のデータを保護するため、Intune上でモバイルデバイスをブロックできます。

デバイスのセキュリティポリシーで設定できる項目の例は以下です。

≪デバイスの正常≫

Bitlockerの有効／無効

≪デバイスのプロパティ≫

OSのバージョンの指定

≪システムセキュリティ≫

デバイスロック解除のパスワード有効／無効
単純なパスワード（1234や1111など）のブロック
パスワードの複雑さ・最小文字数の設定
パスワードの有効期限
ファイアウォール・ウイルス対策・スパイウェア対策の有効／無効

作成したデバイスのコンプライアンスポリシーをIntune上でデバイスに割り当てると、自動的にポリシーが対象のデバイスに適用されます。

IT管理者は、Intuneのコンソール画面上で各デバイスがポリシー適用済みかどうかを確認できます。

＜コンプライアンスポリシーの設定画面例＞

４、デバイスの更新プログラム管理

更新プログラムを適用するタイミングやドライバーの更新許可など、Windows Update の管理が行えます。

組織で更新プログラムのインストール時期を管理することで、定めた期間に更新プログラムを適用でき、ITスタッフの運用管理負担を軽減します。

ただし、更新プログラムのインストールは延期のみで無期限に停止することはできません。

基本的には推奨の更新プログラムをすべて適用することが前提となり、WSUSのように必要な更新プログラムを選択することはできず、更新プログラムの選択が必要な場合においては、Intuneは向かないかもしれません。

Intuneはどのプランで使える？Microsoft 365のプランと価格

プラン名	プランの概要	主な機能	価格 (1年間)
Enterprise Mobility + Security E3	「ID管理」、「モバイルデバイスの管理」、「データ保護」を総合的に管理・運用し、安全に手軽にクラウド・モバイルを利用できるプラン	Microsoft Entra ID P1 (MFAや条件付きアクセスを利用して、クラウドに対する安全なSSOを提供する) Microsoft Intune(デバイスの種類を問わず、モバイルデバイスから会社のアプリとデータを分離して保護) Azure Information Protection Premium P1、（クラウドストレージやデバイス内のファイルを分類し、暗号化し、クラウドベースで追跡）	RM580
Microsoft 365 Business Premium	テレワークに必要な環境を一式揃えたい企業向けにWindows OS, Office ,グループウェア,セキュリティが１つにまとまったパッケージプラン	上記のEnterprise Mobility + Securityの主な機能が含まれています MS Officeアプリケーション Microsoft Teams Power Automate Windows 11へのアップグレード権 Exchange Online SharePoint Online OneDrive　for Busines	RM1,100

プラン名

プランの概要

主な機能

価格

(1年間)

Enterprise Mobility + Security E3

「ID管理」、「モバイルデバイスの管理」、「データ保護」を総合的に管理・運用し、安全に手軽にクラウド・モバイルを利用できるプラン