id を安全に管理し、アプリを管理し、デバイスを管理するMicrosoft Intune

  • [アーティクル]

組織がハイブリッドとリモートの従業員をサポートする場合、organization リソースにアクセスするさまざまなデバイスの管理に挑戦しています。 従業員と学生は、共同作業を行い、どこからでも作業し、これらのリソースに安全にアクセスして接続する必要があります。 管理者は、organizationデータを保護し、エンド ユーザー アクセスを管理し、作業する場所からユーザーをサポートする必要があります。

✅これらの課題とタスクを支援するには、Microsoft Intuneを使用します。

Microsoft Intuneは、クラウドベースのエンドポイント管理ソリューションです。 組織のリソースへのユーザー アクセスを管理し、モバイル デバイス、デスクトップ コンピューター、仮想エンドポイントなど、多くのデバイス全体でアプリとデバイスの管理を簡素化します。

Microsoft Intuneの特徴と利点を示す図。

組織が所有するデバイスとユーザーの個人デバイスのアクセスとデータを保護できます。 また、Intuneには、ゼロ トラスト セキュリティ モデルをサポートするコンプライアンスとレポート機能があります。

この記事では、Microsoft Intuneのいくつかの機能と利点を示します。

ヒント

主な機能と利点

Intuneの主な機能と利点は次のとおりです。

ユーザーとデバイスを管理する

Intuneを使用すると、organizationが所有するデバイスとエンド ユーザーが所有するデバイスを管理できます。 Microsoft Intuneは、Android、Android オープン ソース プロジェクト (AOSP)、iOS/iPadOS、Linux Ubuntu Desktop、macOS、および Windows クライアント デバイスをサポートしています。 Intuneでは、これらのデバイスを使用して、作成したポリシー organizationリソースに安全にアクセスできます。

詳細については、次を参照してください:

注:

オンプレミスの Windows Server を管理する場合は、Configuration Managerを使用できます。

アプリ管理を簡素化する

Intuneには、アプリのデプロイ、更新、削除など、アプリ エクスペリエンスが組み込まれています。 次の操作を行うことができます:

  • プライベート アプリ ストアに接続して、アプリを配布します。
  • Microsoft Teams を含む Microsoft 365 アプリを有効にします。
  • Win32 アプリと基幹業務 (LOB) アプリをデプロイします。
  • アプリ内のデータを保護するアプリ保護ポリシーをCreateします。
  • データ & アプリへのアクセスを管理します。

詳細については、「Microsoft Intuneを使用してアプリを管理する」を参照してください。

ポリシーのデプロイを自動化する

アプリ、セキュリティ、デバイス構成、コンプライアンス、条件付きアクセスなどのポリシーを作成できます。 ポリシーの準備ができたら、これらのポリシーをユーザー グループとデバイス グループに展開できます。 これらのポリシーを受け取るために、デバイスにはインターネット アクセスのみが必要です。

セルフサービス機能を使用する

従業員と学生は、ポータル サイト アプリと Web サイトを使用して、PIN/パスワードのリセット、アプリのインストール、グループへの参加などを行うことができます。 ポータル サイトをカスタマイズして、サポート呼び出しを減らすことができます。

詳細については、Intune ポータル サイト アプリの構成、web サイトのポータル サイト、アプリのIntuneに関するページを参照してください。

モバイル脅威防御との統合

Intuneは、Microsoft Defender for Endpointおよびサード パーティのパートナー サービスと統合されます。 これらのサービスでは、エンドポイント セキュリティに重点を置きます。 脅威に対応するポリシーを作成し、リアルタイムのリスク分析を行い、修復を自動化できます。

詳細については、「Mobile Threat Defense とIntuneの統合」を参照してください。

Web ベースの管理センターを使用する

Intune管理センターでは、データドリブン レポートを含むエンドポイント管理に重点を置いています。 管理者は、インターネットにアクセスできる任意のデバイスから管理センターにサインインできます。

詳細については、「Intune管理センターのチュートリアル」を参照してください。 管理センターにサインインするには、管理センター Microsoft Intune移動します

この管理センターでは、Microsoft Graph REST API を使用して、Intune サービスにプログラムでアクセスします。 管理センターのすべてのアクションは、Microsoft Graph 通話です。 Graph に詳しくなく、詳細については、「Graph とMicrosoft Intuneの統合」をご覧ください。

高度なエンドポイント管理とセキュリティ

Microsoft Intune Suiteには、リモート ヘルプ、エンドポイント特権管理、MAM 用 Microsoft Tunnelなど、さまざまな機能が用意されています。

詳細については、「Intune Suite アドオン機能」を参照してください。

ヒント

トレーニング モジュールをステップ実行して、Microsoft Intuneを使用して最新のエンドポイント管理を利用する方法を学習します。

他の Microsoft サービスやアプリとの統合

Microsoft Intuneは、エンドポイント管理に重点を置く他の Microsoft 製品やサービスと統合されています。次に例を示します。

  • ソフトウェア更新プログラムの展開やデータ センターの管理など、オンプレミスのエンドポイント管理と Windows Server 用のConfiguration Manager

    共同管理シナリオでは、IntuneとConfiguration Managerを一緒に使用したり、テナントアタッチを使用したり、両方を使用することができます。 これらのオプションを使用すると、Web ベースの管理センターの利点が得られ、Intuneで利用できる他のクラウドベースの機能を使用できます。

    詳細については、次のページを参照してください。

  • 最新の OS の展開とプロビジョニング用の Windows Autopilot

    Windows Autopilot を使用すると、新しいデバイスをプロビジョニングし、これらのデバイスを OEM またはデバイス プロバイダーからユーザーに直接送信できます。 既存のデバイスの場合は、これらのデバイスを再イメージ化して Windows Autopilot を使用し、最新バージョンの Windows を展開できます。

    詳細については、次のページを参照してください。

  • デバイスのパフォーマンスと信頼性など、エンド ユーザー エクスペリエンスの可視性とレポートのためのエンドポイント分析

    エンドポイント分析を使用して、デバイスの速度を低下させるポリシーまたはハードウェアの問題を特定できます。 また、エンド ユーザー エクスペリエンスを事前に改善し、ヘルプ デスクのチケットを減らすのに役立つガイダンスも提供します。

    詳細については、次のページを参照してください。

  • Outlook、Teams、Sharepoint、OneDrive など、エンド ユーザーの生産性を向上させるための Microsoft 365 Office アプリ

    Intuneを使用して、organization内のユーザーとデバイスに Microsoft 365 アプリを展開できます。 ユーザーが初めてサインインするときに、これらのアプリをデプロイすることもできます。

    詳細については、次のページを参照してください。

  • 企業が脅威を防止、検出、調査、対応するのに役立つMicrosoft Defender for Endpoint

    Intuneでは、IntuneとMicrosoft Defender for Endpointの間にサービス間接続を作成できます。 接続されると、ファイルをスキャンし、脅威を検出し、脅威レベルをMicrosoft Defender for Endpointに報告するポリシーを作成できます。 許容レベルのリスクを設定するコンプライアンス ポリシーを作成することもできます。 条件付きアクセスと組み合わせると、非準拠デバイスのorganization リソースへのアクセスをブロックできます。

    詳細については、次のページを参照してください。

  • Windows 自動パッチ による Windows、エンタープライズ、Microsoft Edge、Microsoft Teams 用の Microsoft 365 アプリの自動修正プログラム

    Windows Autopatch はクラウドベースのサービスです。 ソフトウェアを最新の状態に保ち、ユーザーに最新の生産性ツールを提供し、オンプレミスのインフラストラクチャを最小限に抑え、IT 管理者が他のプロジェクトに集中できるように支援します。 Windows Autopatch では、Microsoft Intuneを使用して、共同管理 (Intune + Configuration Manager) を使用して、Intune登録されたデバイスまたはデバイスのパッチ適用を管理します。

    詳細については、次のページを参照してください。

サード パーティのパートナー デバイスとアプリとの統合

Intune管理センターを使用すると、次のようなさまざまなパートナー サービスに簡単に接続できます。

これらのサービスを使用して、次をIntuneします。

  • 管理者にサード パーティのパートナー アプリ サービスへの簡単なアクセスを提供します。
  • 何百ものサード パーティのパートナー アプリを管理できます。
  • パブリック 小売店アプリ、基幹業務 (LOB) アプリ、パブリック ストアで使用できないプライベート アプリ、カスタム アプリなどをサポートします。

サード パーティのパートナー デバイスをIntuneに登録するためのプラットフォーム固有の要件の詳細については、次のページを参照してください。

デバイス管理、アプリケーション管理、またはその両方に登録する

✅組織所有のデバイスは、モバイル デバイス管理 (MDM) のIntuneに登録されます。 MDM はデバイス中心であるため、デバイス機能は必要なユーザーに基づいて構成されます。 たとえば、Wi-Fi へのアクセスを許可するようにデバイスを構成できますが、サインインしているユーザーがorganization アカウントの場合に限られます。

Intuneでは、機能 & 設定を構成し、セキュリティ & 保護を提供するポリシーを作成します。 管理者チームは、サインインするユーザー ID、インストールされているアプリ、アクセスされるデータなど、デバイスを完全に管理します。

デバイスが登録されると、登録プロセス中にポリシーを展開できます。 登録が完了すると、デバイスを使用する準備が整います。

✅Bring-your-own-device (BYOD) シナリオの個人用デバイスの場合は、モバイル アプリケーション管理 (MAM) にIntuneを使用できます。 MAM はユーザー中心であるため、アプリ データは、このデータへのアクセスに使用されるデバイスに関係なく保護されます。 アプリへの安全なアクセスやアプリ内のデータの保護など、アプリに焦点を当てています。

MAM を使用すると、次のことができます。

  • モバイル アプリをユーザーに発行する。
  • アプリを構成し、アプリを自動的に更新します。
  • アプリ インベントリとアプリの使用状況に焦点を当てたデータ レポートを表示します。

✅ MDM と MAM を一緒に使用することもできます。 デバイスが登録されていて、追加のセキュリティが必要なアプリがある場合は、MAM アプリ保護ポリシーを使用することもできます。

詳細については、次を参照してください:

任意のデバイス上のデータを保護する

Intuneを使用すると、マネージド デバイス (Intune に登録) 上のデータを保護し、非管理対象デバイス (Intune に登録されていない) 上のデータを保護できます。 Intuneは、個人データからorganizationデータを分離できます。 アイデアは、構成してデプロイするポリシーを使用して会社の情報を保護する方法です。

organization所有デバイスの場合は、デバイス 、特にセキュリティを完全に制御する必要があります。 デバイスが登録されると、セキュリティ規則と設定を受け取ります。

Intuneに登録されているデバイスでは、次のことができます。

  • セキュリティ設定の構成、パスワード要件の設定、証明書の展開などを行うポリシーをCreateして展開します。
  • モバイル脅威防御サービスを使用して、デバイスのスキャン、脅威の検出、脅威の修復を行います。
  • セキュリティ設定とルールのコンプライアンスを測定するデータとレポートを表示します。
  • 条件付きアクセスを使用して、organizationリソース、アプリ、およびデータへのアクセスをマネージド デバイスと準拠デバイスのみに許可します。
  • デバイスorganization紛失または盗難にあった場合は、データを削除します。

個人のデバイスの場合、ユーザーは IT 管理者にフル コントロールを持たせたくない場合があります。 ハイブリッド作業環境をサポートするには、ユーザーにオプションを指定します。 たとえば、組織のリソースにフル アクセスする場合は、ユーザーが自分のデバイスを登録します。 または、これらのユーザーが Outlook または Microsoft Teams へのアクセスのみを必要とする場合は、多要素認証 (MFA) を必要とするアプリ保護ポリシーを使用します。

アプリケーション管理を使用するデバイスでは、次のことができます。

  • モバイル脅威防御サービスを使用してアプリ データを保護します。 このサービスでは、デバイスのスキャン、脅威の検出、リスクの評価を行うことができます。
  • organizationデータが個人用アプリにコピーおよび貼り付けされないようにします。
  • アプリと、サード パーティまたはパートナー MDM に登録されている管理されていないデバイスでアプリ保護ポリシーを使用します。
  • 条件付きアクセスを使用して、電子メールとファイルorganizationアクセスできるアプリを制限します。
  • アプリ内organizationデータを削除します。

詳細については、次を参照してください:

アクセスを簡略化する

Intuneは、組織がどこからでも働くことができる従業員をサポートするのに役立ちます。 ユーザーがどこにいても、organizationに接続できるように構成できる機能があります。

このセクションには、Intuneで構成できる一般的な機能がいくつか含まれています。

パスワードの代わりにWindows Hello for Businessを使用する

Windows Hello for Businessは、フィッシング攻撃やその他のセキュリティ上の脅威から保護するのに役立ちます。 また、ユーザーがデバイスやアプリにすばやく簡単にサインインするのにも役立ちます。

Windows Hello for Businessは、パスワードを PIN や生体認証 (指紋や顔認識など) に置き換えます。 この生体認証情報はデバイスにローカルに保存され、外部デバイスやサーバーに送信されることはありません。

詳細については、次を参照してください:

リモート ユーザーの VPN 接続をCreateする

VPN ポリシーを使用すると、ユーザーはorganization ネットワークへの安全なリモート アクセスを実現できます。

Check Point、Cisco、Microsoft Tunnel、NetMotion、Pulse Secure などの一般的な VPN 接続パートナーを使用して、ネットワーク設定で VPN ポリシーを作成できます。 ポリシーの準備ができたら、ネットワークにリモートで接続する必要があるユーザーとデバイスにこのポリシーを展開します。

VPN ポリシーでは、証明書を使用して VPN 接続を認証できます。 証明書を使用する場合、エンド ユーザーはユーザー名とパスワードを入力する必要はありません。

詳細については、次を参照してください:

オンプレミス ユーザーの Wi-Fi 接続をCreateする

オンプレミスのorganization ネットワークに接続する必要があるユーザーの場合は、ネットワーク設定を使用して Wi-Fi ポリシーを作成できます。 特定の SSID に接続したり、認証方法を選択したり、プロキシを使用したりできます。 デバイスが範囲内にあるときに Wi-Fi に自動的に接続するようにポリシーを構成することもできます。

Wi-Fi ポリシーでは、証明書を使用して Wi-Fi 接続を認証できます。 証明書を使用する場合、エンド ユーザーはユーザー名とパスワードを入力する必要はありません。

ポリシーの準備ができたら、オンプレミス のネットワークに接続する必要があるオンプレミスのユーザーとデバイスにこのポリシーを展開します。

詳細については、次を参照してください:

アプリとサービスへのシングル サインオン (SSO) を有効にする

SSO を有効にすると、ユーザーは、一部のモバイル脅威防御パートナー アプリなど、Microsoft Entra organization アカウントを使用してアプリやサービスに自動的にサインインできます。

特に次のような場合です。