Microsoft Intuneでデバイスを管理し、デバイス機能を制御する

  • [アーティクル]

デバイスの管理は、エンドポイント管理戦略とソリューションの重要な部分です。 組織は、ノート PC、タブレット、携帯電話、ウェアラブルなどを管理する必要があります。 特にどこから始めればいいかわからない場合は、大きなタスクになる可能性があります。

「Microsoft Intune」と入力します。 Intune は、セキュリティ ポリシーを含むポリシーを使用してデバイスを制御できるクラウドベースのサービスです。 Intune とその利点の詳細については、「Microsoft Intuneとは」を参照してください。

Microsoft Intune 管理センター organization所有デバイスと個人用デバイスを示し、リソース アクセスにコンプライアンス ポリシーと条件付きアクセスを使用する図。

デバイスを管理するorganizationの目標は、デバイスとアクセスするデータをセキュリティで保護することです。 このタスクには、organization所有デバイスと、organization リソースにアクセスする個人所有のデバイスが含まれます。

サービスの観点から見ると、Intune はデバイスのストレージとアクセス許可にMicrosoft Entra ID を使用します。 Microsoft Intune管理センターを使用すると、エンドポイント管理用に設計された一元的な場所でデバイス タスクとポリシーを管理できます。

この記事では、デバイスを管理するときに考慮する必要がある概念と機能について説明します。

所有デバイスと個人用デバイスorganization管理する

多くの組織では、個人所有のデバイスがメール、会議など、organizationリソースにアクセスすることを許可しています。 使用できるオプションはさまざまであり、これらのオプションはorganizationの厳密な状況によって異なります。

個人用デバイスをorganizationのデバイス管理サービスに登録する必要があります。 これらの個人用デバイスでは、管理者はポリシーの展開、ルールの設定、デバイス機能の構成などを行うことができます。 または、Outlook、Teams、Sharepoint などのアプリ データの保護に焦点を当てたアプリ保護ポリシーを使用することもできます。 デバイス登録ポリシーとアプリ保護ポリシーを組み合わせて使用することもできます。

organization所有デバイスの場合は、organizationによって完全に管理され、ルールを適用してデータを保護するポリシーを受け取る必要があります。

詳細とガイダンスについては、次のページを参照してください。

既存のデバイスを使用し、新しいデバイスを使用する

新しいデバイスと既存のデバイスを管理できます。 Intune では、Android、iOS/iPadOS、Linux、macOS、および Windows デバイスがサポートされています。

知っておくべきことがいくつかあります。 たとえば、既存のデバイスが別の MDM プロバイダーによって管理されている場合は、出荷時の設定にリセットする必要があります。 デバイスが古い OS バージョンを使用している場合は、サポートされていない可能性があります。

organizationが新しいデバイスに投資している場合は、Intune を使用したクラウド アプローチから開始することをお勧めします。

詳細とガイダンスについては、次のページを参照してください。

プラットフォーム別の詳細については、次のページを参照してください。

デバイスのコンプライアンスの正常性を確認する

デバイスのコンプライアンスは、デバイスの管理の重要な部分です。 organizationでは、これらのデバイスのセキュリティ機能に対してパスワード/PIN 規則とチェックを設定する必要があります。 ルールを満たしていないデバイスを知りたいと思うでしょう。 このタスクは、コンプライアンスが適用される場所です。

単純なパスワードをブロックしたり、ファイアウォールを要求したり、OS の最小バージョンを設定したりするコンプライアンス ポリシーを作成できます。 これらのポリシーと組み込みのレポートを使用して、非準拠デバイスを表示し、これらのデバイスで非準拠の設定を確認できます。 この情報により、organization リソースにアクセスするデバイスの全体的な正常性が把握できます。

条件付きアクセスは、Microsoft Entra ID の機能です。 条件付きアクセスを使用すると、コンプライアンスを適用できます。 たとえば、デバイスがコンプライアンス規則を満たしていない場合は、Outlook、SharePoint、Teams など、organization リソースへのアクセスをブロックできます。 条件付きアクセスは、organizationデータをセキュリティで保護し、デバイスを保護するのに役立ちます。

詳細については、次を参照してください:

デバイス機能を制御し、デバイス グループにポリシーを割り当てる

すべてのデバイスには、ポリシーを使用して制御および管理できる機能があります。 たとえば、組み込みのカメラをブロックしたり、Bluetooth ペアリングを許可したり、電源ボタンを管理したりできます。

多くの組織では、デバイス グループを作成するのが一般的です。 デバイス グループは、デバイスのみを含むMicrosoft Entra グループです。 ユーザー ID は含まれません。

デバイス グループがある場合は、1 つのアプリの実行やバーコードのスキャンなど、デバイス エクスペリエンスやタスクに焦点を当てたポリシーを作成します。 また、デバイスを使用しているユーザーに関係なく、常にデバイス上に存在する設定を含むポリシーを作成することもできます。

OS プラットフォーム別、機能別、場所別、およびその他の機能別にデバイスをグループ化できます。

デバイス グループには、多くのユーザーと共有されているデバイスや、特定のユーザーに関連付けられていないデバイスも含めることができます。 これらの専用デバイスまたはキオスク デバイスは、通常、現場担当者 (FLW) によって使用され、Intune で管理することもできます。

グループの準備ができたら、これらのデバイス グループにポリシーを割り当てることができます。

詳細については、次を参照してください:

デバイスをセキュリティで保護する

デバイスをセキュリティで保護するために、ウイルス対策をインストールし、スキャン & 悪意のあるアクティビティに対応し、セキュリティ機能を有効にすることができます。

Intune では、一般的なセキュリティ タスクには次のようなものがあります。

  • Mobile Threat Defense (MTD) パートナーと統合して、organization所有デバイスと個人所有デバイスを保護します。 これらの MTD サービスはデバイスをスキャンし、脆弱性の修復に役立ちます。

    MTD パートナーは、Android、iOS/iPadOS、macOS、Windows など、さまざまなプラットフォームをサポートしています。

    詳細については、「Mobile Threat Defense と Intune の統合」を参照してください。

  • Windows デバイスでセキュリティ ベースラインを使用します。 セキュリティ ベースラインは、デバイスに展開できる事前構成済みの設定です。 これらのベースライン設定は、詳細なレベルでのセキュリティに焦点を当て、organization特定の要件を満たすように変更することもできます。

    どこから始めればいかわからない場合は、セキュリティ ベースラインと組み込みのガイド付きシナリオを確認してください。

    詳細については、次のページを参照してください。

  • 組み込みのポリシー設定を使用して、ソフトウェア更新プログラムの管理、ハード ディスクの暗号化、組み込みのファイアウォールの構成などを行います。 Windows オートパッチを使用して、Windows 品質更新プログラムや Windows 機能更新プログラムなど、Windows の自動修正プログラムを適用することもできます。

    詳細については、次を参照してください:

  • Intune 管理センターを使用してデバイスをリモートで管理します。 リモートでロック、再起動、紛失したデバイスの検索、デバイスの出荷時の設定への復元などを行うことができます。 これらのタスクは、デバイスが紛失または盗難にあった場合、またはデバイスをリモートでトラブルシューティングする場合に役立ちます。

    詳細については、「 Intune のリモート アクション」を参照してください。

次の手順