Intune でデバイス管理を行う(初級編)
目次
1. はじめに
2. 対象者
3. ゴール
4. 環境
4.1 前提条件
4.2 検証環境
5. 設定
5.1 登録設定
5.2 コンプライアンスポリシー
5.3 構成プロファイル
5.4 アプリ設定
6. まとめ
1. はじめに
お久しぶりです!入社5年目になりました。Kです。
情シスの皆さん従業員のデバイス管理どのように行っていますか。
近年、働き方の多様化やリモートワークの定着により、企業は従業員が利用するデバイスやアプリケーションを安全かつ効率的に管理する必要性に直面しています。
サイバー攻撃の高度化や情報漏洩リスクの増大も相まって、従来の境界型セキュリティだけでは不十分です。
そこで注目されるのが、クラウドベースの統合管理サービスである Microsoft Intune です。
Intune はモバイルデバイス管理(MDM)とモバイルアプリケーション管理(MAM)を組み合わせ、場所やネットワークを問わずセキュアな業務環境を提供します。
企業は柔軟なポリシー設定によりセキュリティと利便性を両立し、従業員は安心して業務に集中できる環境を享受できます。
今回は Microsoft Intune を利用してどのような管理が行えるのか確認してみたいと思います!
2. 対象者
本記事は以下のような方を対象にしています。
- 情報システム部門の初学者
- Intune の名前を聞いたことはあるがイメージがわかない方
- Intune の導入を考えている企業の方
3. ゴール
本記事のゴールは以下の通りです。
- Intune の基本的な単語が理解できる。
- Intune でのデバイス制御がわかる。
4. 環境
4.1 前提条件
Intune の利用については、下記のいずれかのライセンスが必要です。
- Microsoft 365 E5
- Microsoft 365 E3
- Enterprise Mobility + Security E5
- Enterprise Mobility + Security E3
- Microsoft 365 Business Premium
- Microsoft 365 F1
- Microsoft 365 F3
- Microsoft 365 Government G5
- Microsoft 365 Government G3
- Microsoft Intune for Education
4.2 検証環境
4.2.1 Intune 登録
本記事では制御対象のデバイスを windows 端末としています。
Intune 登録にはいくつか方法があります。今回はMicrosoft Entra Joinを利用します。
- ライセンス:Microsoft 365 Business Premium
- デバイス情報:Windows11 バージョン25H2(OS ビルド 26200.7171)
Microsoft Entra Join についての説明や手順書は 本記事では割愛させていただきます。
下記に詳細情報がありますので併せてご確認ください。
参考情報:
https://learn.microsoft.com/ja-jp/entra/identity/devices/concept-directory-join
4.2.2 構成図
本記事の構成は下記の通りです。
5. 設定
5.1 登録設定
Microsoft Entra Join した際に Intune にデバイスが登録されるように設定します。
※デバイスの自動登録の設定には、Intune のライセンスに加え、 Microsoft Entra ID P1 以上のライセンスが必要です。
(1)Microsoft Intune 管理センターを開きます。
(2)[デバイス]をクリックします。
(3)[デバイスのオンボーディング] > [登録]をクリックします。
(4)[Windows]タブの[自動登録]をクリックします。
(5)[MDM ユーザー スコープ]を[すべて]にします。
参考情報:
5.2 コンプライアンスポリシー
コンプライアンスポリシーとは、Microsoft Intuneで管理しているデバイスが企業のセキュリティ基準や運用ルールに準拠しているかどうかを評価・制御するための仕組みです。
条件付きアクセスと組み合わせることで、管理者が指定したバージョンを満たさない端末からは、Microsoft 365 などの社内リソースへのアクセスを禁止することが可能です。
- 主な役割
– デバイスが安全な状態であることを確認する
– セキュリティリスクを低減する
– 準拠していないデバイスに対してアクセス制御を行う(例:会社のリソースへのアクセスをブロック)
- 設定できる項目の例
– OSのバージョン(例:Windows 11 は最新の更新プログラムが適用されているか)
– パスワードポリシー(複雑さ、長さ、ロックアウト設定など)
参考情報:
https://learn.microsoft.com/ja-jp/intune/intune-service/protect/compliance-policy-create-windows
(1)Microsoft Intune 管理センターを開きます。
(2)[デバイス]をクリックします。
(3)[デバイスの管理] > [コンプライアンス] > [ポリシーの作成]をクリックします。
(4)以下の通り設定し、[作成]をクリックします。
~~~
[基本]
・名前:test-poricy
・説明:
・プラットフォーム:Windows 10 以降
・プロファイルの種類:Windows 10/11 コンプライアンスポリシー
[コンプライアンスポリシー]
・最小 OSバージョン:10.0.26200.7171
[コンプライアンス非対応に対するアクション]
・アクション/スケジュール (コンプライアンス違反となってからの日):デバイスに非準拠のマークを付ける/即時
[割り当て]
・組み込まれたグループ:test-group
~~~
参考情報:
この手順まで完了すると、デバイスを Intune に登録することが可能です🙌
5.3 構成プロファイル
プロファイルとは、デバイスやユーザーに対して設定やポリシーを適用するための仕組みです。
デバイスにセキュリティ設定や機能制限を一括で配布する仕組みです。
下記の3パターンで作成可能です。
- ベースライン:Microsoft セキュリティ チームによる推奨事項を使用してセキュリティ ポリシーを作成する場合
- カタログ:設定を自身でグルーピングして利用する場合
- テンプレート:Microsoft が機能ごとにグルーピングしたテンプレートを利用する場合
今回はテンプレートを利用してUSBの利用制限を行います。
(1)Microsoft Intune 管理センターを開きます。
(2)[デバイス]をクリックします。
(3)[デバイスの管理] > [構成] > [ポリシーの作成]をクリックします。
(4)以下の通り設定し、[作成]をクリックします。
~~~
[基本]
・名前:BlockUSB
・説明:
・プラットフォーム:Windows 10 以降
・プロファイルの種類:デバイスの制限
[割り当て]
・組み込まれたグループ:test-group
[構成設定]
・リムーバブル記憶域:ブロック
~~~
参考情報:
https://learn.microsoft.com/ja-jp/intune/intune-service/configuration/device-profile-create?atabs=sc
5.4 アプリ設定
アプリのインストールついては、下図の配布パターンがあります。 詳細は下記の公開情報をご確認ください。
| アプリの種類 | インストール方法 | 更新プログラム |
| ストア アプリ | Intune によってデバイス上にアプリがインストールされます。 | アプリの更新は自動的に行われます。 |
| 社内/カスタム アプリ(基幹業務) | Intune によってデバイス上にアプリがインストールされます(ユーザーがインストールファイルを支給)。 | ユーザーがアプリを更新する必要があります。 |
| 組み込みアプリ | Intune によってデバイス上にアプリがインストールされます。 | アプリの更新は自動的に行われます。 |
| Web アプリ(Web リンク) | Intune によってデバイスのホーム画面上に Web アプリへのショートカットが作成されます。 | アプリの更新は自動的に行われます。 |
| 他の Microsoft サービスのアプリ | Intune によりポータルサイトにアプリのショートカットが作成されます(詳細は「アプリのソース設定オプション」参照)。 | アプリの更新は自動的に行われます。 |
参考情報:
https://learn.microsoft.com/ja-jp/intune/intune-service/apps/apps-add
本記事では、”ストア アプリ”からvisual studio codeのインストールを行います。
(1)Microsoft Intune 管理センターを開きます。
(2)[アプリ]をクリックします。
(3)[Windows]を選択します。
(4)[作成] > [Microsoft Storeアプリ(新規)] > [選択]を選択します。
(5)[Microsoft Storeアプリ(新規)を検索する] > [アプリを選択] > [選択]をクリックします。
(6)[次へ]をクリックします。
(7)[グループの追加]から、配布対象のデバイスが所属するグループを追加し、[次へ]をクリックします。
(8)[作成]をクリックします。
しばらくするとデバイス側でインストールされていることが確認できました。
6. まとめ
Intuneを活用することで、構成プロファイルによる標準化、更新リングによる最新状態の維持、アプリ配布設定による業務効率化、そして条件付きアクセスによるセキュリティ強化を一元的に実現できます。
クラウドベースの管理は、柔軟性と安全性を両立し、IT管理者の負担を軽減します。
ぜひIntuneを導入し、組織のモダンなデバイス管理を次のステージへ進めましょう。
