デバイス管理の概要

どの管理者も、その鍵となるタスクは、組織のデバイス上における、組織のリソースとデータを防護し、安全にすることです。 このタスクは デバイス管理 です。 ユーザーは個人アカウントから電子メールを受信して送信し、自宅やレストランから Web サイトを参照し、アプリやゲームをインストールします。 これらのユーザーはまた、従業員や学生です。 デバイスでは、メールや OneNote などの職場や学校のリソースにアクセスし、それらに素早くアクセスしたいと考えています。 管理者としての目標は、これらのリソースを保護し、多数のデバイスの全域でユーザーに簡単にアクセスできる機能を、全て同時に提供することです。

デバイス管理により、組織はリソースおよびデータを保護しセキュリティを確実にすることが可能になります。そして異なるデバイスから管理できます。

デバイス管理プロバイダーを使用することで、組織は、承認されたユーザーとデバイスにのみ企業秘密情報へのアクセスの許可を確実にすることができます。 同様に、デバイスユーザーは業務データにそのスマートフォンからアクセスしながら、安心を感じることができます。なぜなら、ユーザーはそのデバイスが組織のセキュリティ要件を満たしていることを知っているからです。 組織として、リソースを保護するために何を使用する必要がありますか? と問いかけるに違いありません。

その答えは、Microsoft Intuneです。 Intune には、モバイル デバイス管理 (MDM) とモバイル アプリケーション管理 (MAM) が用意されています。 MDM または MAM ソリューションのいくつかの重要なタスクは、次のとおりです:

• 多様なモバイル環境をサポートし、iOS/iPadOS、Android、Windows macOS デバイスを安全に管理します。
• デバイスとアプリが組織のセキュリティ要件に準拠していることを確認します。
• 組織が所有するデバイスと個人のデバイスで組織のデータを安全に保つために役立つポリシーを作成します。
• 単一の統合モバイル ソリューションを使用して、これらのポリシーを適用し、デバイス、アプリ、ユーザー、およびグループの管理に役立ちます。
• 従業員がデータにアクセスして共有する、その方法の制御を支援することで、会社の情報を保護してください。

Intuneは、Microsoft Azure、Microsoft 365 に含まれており、Azure Active Directory (Azure AD) に一体化しています。 Azure AD は、誰が、何にアクセスするかを制御することに役立ちます。

Microsoft Intune

Microsoft を含む多くの組織では、Intune を使用して、ユーザーが会社所有および個人所有のデバイスからアクセスする、企業秘密のデータをセキュリティで保護しています。 Intune には、デバイスとアプリの構成ポリシー、ソフトウェア アップデート ポリシー、インストール ステータス (グラフ、テーブル、そしてレポート) が含まれています。 これらのリソースは、データ アクセスのセキュリティ保護と監視に役立ちます。

ユーザーが、プラットフォームが異なる複数のデバイスを持つのは一般的です。 たとえば、従業員が仕事で Surface Pro、個人の生活の中で Android モバイル デバイスを使用する場合があります。 また、ユーザーが Microsoft Outlook、SharePoint などの組織リソースに、これらの複数のデバイスからアクセスすることも一般的です。

Intune を使用すると、1 人あたり複数のデバイスと、iOS/iPadOS、macOS、Android、Windows など、各デバイスで実行されるさまざまなプラットフォームを管理できます。 Intune はデバイス プラットフォームごとに、ポリシーと設定を分けています。 そのため、特定のプラットフォームのデバイスを簡単に管理および表示できます。

一般的なシナリオ は、モバイル デバイスを操作する際に、一般的な質問について、Intune 上で答えを得るための最適なリソースです。 次のシナリオを発見する:

• オンプレミスの Exchange を使用して電子メールを保護する
• 安全かつ確実に Microsoft 365 にアクセスする
• 組織のリソースにアクセスするために、個人用デバイスを使用すること。

Intune の詳細については、「Intuneとは何か」を参照してください。

共同管理とテナント アタッチ

多くの組織では、デスクトップやサーバーを含むデバイスを管理するためにオンプレミスの Configuration Manager を使用します。 オンプレミスの Configuration Manager をMicrosoft Intune にクラウド アタッチできます。 クラウド アタッチすると、条件付きアクセス、リモート アクションの実行、Windows Autopilot の使用、などを含む Intune とクラウドの利点が得られます。

Microsoft エンドポイント マネージャー は、複数のサービスを統合するソリューション プラットフォームです。 これには、クラウド ベースのデバイス管理用の Microsoft Intune と、クラウド アタッチ デバイス管理用の Configuration Manager + Intune が含まれます。

Configuration Manager を使用し、一部のタスクをクラウドに移動する準備ができている場合は、co-Management が答えとなります。 Configuration Manager のクラウド アタッチの詳細については、「co-Management とは何か」を参照してください。

エンドポイント マネージャー テナント アタッチもオプションです。 co-Management のための自動登録を有効にせず、またワークロードを Intune に切り替えたりすることなく、デバイスをエンドポイント マネージャー管理センターにアップロードします。 デバイスを表示し、Configuration Manager マネージド デバイスでアクションを実行できます。 詳細については、「Microsoft エンドポイント マネージャー テナント アタッチの前提条件」 を参照してください。

安全で保護されたサービスとの統合

デバイス管理ソリューションの重要なタスクは、セキュリティと保護を提供することです。 Intune は、このタスクを実現するため、他のサービスと統合するという優れた仕事をしています。 次に例を示します。

• Microsoft 365 は、一般的な IT タスクを簡素化するための鍵となるコンポーネントです。 Microsoft 365 管理センターでは、ユーザーを作成し、グループを管理します。 また、Intune、Azure ADなど、その他のサービスにもアクセスできます。

  たとえば、iOS/iPadOS デバイス グループを Microsoft 365 に作成します。 次に、Intune を使用して、アプリ ストアへのアクセス、AirDrop の使用、iCloud へのバックアップ、Apple の Web フィルターの使用など、iOS/iPadOS 機能に焦点を当てた iOS/iPadOS デバイス グループにポリシーを強制します。

• Windows Defender には、Windows クライアント デバイスを保護するのに役立つ多くのセキュリティ機能が含まれています。 たとえば、Intune とWindows Defenderを一緒に使用すると、次のことができます:

  • Windows Defender SmartScreenを有効にして、モバイル デバイス上のファイルやアプリで疑わしいアクティビティを探します。
  • Microsoft Defender for Endpoint)を使用して、モバイル デバイスでのセキュリティ侵害を防ぎます。 また、ユーザーを企業リソースから遮断することで、セキュリティ違反の影響を制限できます。

• 条件付きアクセス は、Azure Active Directory の機能であり、Intune と良質に統合しています。 条件付きアクセスを使用して、準拠しているデバイスだけがメール、SharePoint、その他のアプリが許可されます。

適切なデバイス管理ソリューションを選択する

デバイス管理にアプローチするには、いくつかの方法があります。 まず、Intune に組み込まれている機能を使用して、デバイスのさまざまな側面を管理できます。 この方法は、モバイル デバイス管理 (MDM) と呼ばれています。 ユーザーはデバイスを "登録" し、証明書を使用して Intune と通信します。 IT 管理者として、デバイスにアプリをプッシュしたり、デバイスを特定のオペレーティング システムに制限したり、個人のデバイスをブロックしたりします。 デバイスが紛失または盗難に遭った場合は、デバイスからすべてのデータを削除することもできます。

2 番目の方法では、デバイス上のアプリを管理します。 この方法は、モバイル アプリケーション管理 (MAM) と呼ばれる。 ユーザーは、個人用デバイスを使用して組織のリソースにアクセスできます。 メールや SharePoint などのアプリを開くときに、ユーザーに認証を求めることができます。 デバイスが紛失または盗難にあった場合は、Intune マネージド アプリケーションからすべての組織データを削除できます。

MDM と MAMを組み合わせて使用することもできます。

Device Management 管理センターを使用して IT タスクを簡素化する

Microsoft Endpoint Manager 管理センターは、モバイル デバイスのタスクを管理および完了するためのワンストップ ショップです。 この管理センターには、Intune や Azure Active Directory などのデバイス管理に使用されるサービスと、クライアント アプリを管理するために使用されるサービスが含まれています。

Device Management 管理センターでは、次のことができます:

• デバイスを登録する
• デバイス コンプライアンスの設定
• デバイスの管理
• アプリを管理する
• iOS 電子ブック
• Exchange オンプレミス コネクタのインストール
• ロールを管理する
• ソフトウェアの更新プログラムを管理する
  • Windows クライアント アップデートの管理
  • iOS/iPadOS アップデートの管理
• Azure Active Directory
• ユーザーを管理する
• グループとメンバーの管理
• トラブルシューティング

次の手順

MDM または MAM ソリューションを使い始める準備ができたら、さまざまな手順を実行して、Intuneをセットアップし、デバイスを登録し、ポリシーの作成を開始します。 このMicrosoft Intune 計画ガイドは、優れたリソースです。

Microsoft IT ケース スタディ: Azure portal でのモバイル デバイス管理の Intune への移行