Microsoft Intune は、お使いのデバイスの MDM および MAM 向けのプロバイダーです。

Microsoft Intune は、モバイル デバイス管理 (MDM) およびモバイル アプリケーション管理 (MAM) に重点を置いた、クラウドベースのサービスです。 携帯電話、タブレット、ラップトップなど、組織のデバイスの使用方法を制御します。 また、特定のポリシーを構成してアプリケーションを制御することもできます。 たとえば、組織外のユーザーに電子メールが送信されないようにできます。 また、Intune によって、組織内のユーザーは自身の個人用デバイスを学校や職場用に使用することが可能になります。 個人用デバイス上では、Intune によって組織データが保護された状態を確保し、個人データと組織データを分離することができます。

Intune は、Microsoft の Enterprise Mobility + Security (EMS) スイートの一部です。 Intune は Azure Active Directory (Azure AD) と統合され、アクセス権を持つユーザーと彼らがアクセスできる機能が制御されます。 また、データ保護のために Azure Information Protection と統合されています。 Microsoft 365 スイートの製品と共に使用できます。 たとえば、Microsoft Teams、OneNote、およびその他の Microsoft 365 アプリをデバイスに展開できます。 この機能によって、ご自身で作成したポリシーを使って組織の情報を保護したうえで、組織内のユーザーがすべてのデバイス上で生産性を維持できるようにすることが可能です。

Intune アーキテクチャのイメージ

Intune を使用すると、次のことが可能になります。

  • Intune を使用した 100% のクラウドにするか、Configuration Manager と Intune を使用した共同管理にするかを選択する。
  • 個人のユーザーや組織が所有するデバイスにルールを設定し、構成の設定を行うことで、データやネットワークにアクセスすることができます。
  • オンプレミスとモバイルでデバイスのアプリを展開し、認証します。
  • ユーザーが情報にアクセスしたり共有したりする方法を制御することで、会社情報を保護します。
  • デバイスとアプリがお使いのセキュリティ要件に確実に準拠するようにします。

デバイスの管理

Intune では、ご自分に適したアプローチを使用してデバイスを管理します。 組織が所有するデバイスの場合、設定、機能、セキュリティなど、デバイス経由でのフル コントロールが必要になることがあります。 この方法では、デバイスとそのユーザーが Intune に「登録」します。 登録されると、Intune で構成したポリシーを経由してルールと設定を受信することができます。 たとえば、パスワードや PIN の要件を設定したり、VPN 接続を作成したり、脅威の保護を設定したりできます。

個人用デバイスや "Bring Your Own Device" (BYOD) の場合、ユーザーは組織の管理者がフル コントロールを行うことを希望しない場合があります。 この方法では、ユーザーにオプションを付与します。 たとえば、組織のリソースにフル アクセスする場合は、ユーザーが自分のデバイスを登録します。 または、これらのユーザーが電子メールや Microsoft Teams にのみアクセスできるようにする場合は、これらのアプリを使用できるように多要素認証 (MFA) を必要とするアプリ保護ポリシーを使用します。

デバイスを Intune に登録して管理すると、管理者は次のことができます。

  • 登録されているデバイスを確認し、組織のリソースにアクセスするデバイスのインベントリを取得する。
  • セキュリティと正常性の標準を満たすようにデバイスを構成する。 たとえば、脱獄されたデバイスをブロックしたいと思うでしょう。
  • ユーザーが Wi-Fi ネットワークに簡単にアクセスできるように、または VPN を使用してネットワークに接続できるように、デバイスに証明書をプッシュする。
  • ユーザーとデバイスのコンプライアンスに関するレポートを参照してください。
  • デバイスを紛失したり、盗まれたり、使用しなくなったりした場合は、組織データを削除します。

オンライン リソース:

対話型のガイドを試す

Microsoft Endpoint Manager を使用してデバイスを管理する」の対話型ガイドでは、Microsoft Endpoint Manager 管理センターを使用して、モバイル アプリケーションとデスクトップ アプリケーションを管理および保護する方法を説明します。

アプリを管理する

Intune のモバイル アプリケーション管理 (MAM) は、カスタム アプリやストア アプリなど、アプリケーション レベルで組織のデータを保護するように設計されています。 アプリ管理は、組織所有のデバイスと個人用デバイスで使用できます。

アプリが Intune で管理されている場合、管理者は次のことを実行できます。

  • 特定のグループのユーザー、特定のグループ内のデバイスなど、ユーザー グループとデバイスにモバイル アプリを追加して割り当てる。
  • 特定の設定を有効にしてアプリを開始または実行するように構成し、デバイスに既に存在するアプリを更新する。
  • 使用されているアプリに関するレポートを表示し、その使用状況を追跡する。
  • アプリから組織のデータのみを削除して選択的ワイプを実行する。

Intune がモバイル アプリ セキュリティを提供する方法の 1 つとして、アプリの保護ポリシー があります。 アプリ保護ポリシー:

  • Azure AD ID を使用して、個人のデータから組織のデータを分離する。 そのため、個人情報は組織の IT の認知から分離されます。 組織の資格情報を使用してアクセスされるデータには、追加のセキュリティ保護が適用されます。
  • ユーザーが実行できる操作 (コピーと貼り付け、保存、表示など) を制限することで、個人用デバイスでのアクセスをセキュリティで保護する。
  • 作成して、Intune に登録されているデバイス、別の MDM サービスに登録されているデバイス、またはどの MDM サービスにも登録されていないデバイスに展開できます。 登録済みのデバイスでは、アプリ保護ポリシーによって追加の保護レイヤーを追加できます。

たとえば、ユーザーは、組織の資格情報を使用してデバイスにサインインします。 組織の ID を使用して、個人の ID に対して拒否されたデータにアクセスできます。 組織のデータが使用されると、アプリ保護ポリシーによってデータの保存方法と共有方法が制御されます。 ユーザーが個人の ID でサインインした場合、同じ保護は適用されません。 このようにして、IT 部門が組織のデータを制御すると同時に、エンド ユーザーは個人データの制御とプライバシーを維持します。

EMS の他のサービスでも Intune を使用できます。 この機能は、オペレーティング システムやアプリに含まれているものを超えて、組織のモバイル アプリにセキュリティを提供します。 EMS で管理されているアプリから、より幅広いモバイル アプリとデータ保護の機能にアクセスできます。

アプリ管理データ セキュリティのレベルを示す画像

コンプライアンスと条件付きアクセス

Intune は Azure AD と統合され、広範なアクセス制御シナリオを実現します。 たとえば、モバイル デバイスがメールや SharePoint などのネットワーク リソースにアクセスする前に、Intune で定義されている組織の標準に準拠することを必須にします。 同様に、サービスをロックダウンして、特定のモバイル アプリ セットでのみ使用できるようにすることもできます。 たとえば、Exchange Online へのアクセスを Outlook または Outlook Mobile だけに制限できます。

オンライン リソース:

Intune を取得する方法

Intune は次のように利用できます。

Intune は多くの部門で使用されています。たとえば、政府機関教育機関キオスクまたは専用デバイス (製造および小売用) などです。

次の手順