Microsoft Intune はデバイスの MDM および MAM プロバイダーです

Microsoft Intune は、モバイル デバイス管理 (MDM) とモバイル アプリケーション管理 (MAM) を中心にしたクラウドベースのサービスです。 携帯電話、タブレット、ラップトップなど、組織のデバイスの使用方法を制御します。 また、特定のポリシーを構成してアプリケーションを制御することもできます。 たとえば、組織外のユーザーに電子メールが送信されないようにできます。 また、Intune によって、組織内のユーザーは自身の個人用デバイスを学校や職場用に使用することが可能になります。 個人用デバイス上では、Intune によって組織データが保護された状態を確保し、個人データと組織データを分離することができます。

Intune は、Microsoft の Enterprise Mobility + Security (EMS) スイートの一部です。 Intune は Azure Active Directory (Azure AD) と統合され、アクセス権を持つユーザーと彼らがアクセスできる機能が制御されます。 また、データ保護のために Azure Information Protection とも統合されます。 Microsoft 365 スイートの製品と共に使用できます。 たとえば、Microsoft Teams、OneNote、およびその他の Microsoft 365 アプリをデバイスに展開できます。 この機能によって、ご自身で作成したポリシーを使って組織の情報を保護したうえで、組織内のユーザーがすべてのデバイス上で生産性を維持できるようにすることが可能です。

Intune アーキテクチャのイメージ

Intune では次のことができます。

  • Intune を使用した 100% のクラウドにするか、Configuration Manager と Intune を使用した共同管理にするかを選択する。
  • 個人および組織所有のデバイスで、データとネットワークにアクセスするルールを設定し、設定を構成する。
  • オンプレミスとモバイルのデバイスにアプリを展開し、認証する。
  • ユーザーが情報にアクセスして共有する方法を制御して、会社情報を保護する。
  • デバイスやアプリをセキュリティ要件に準拠させる。

デバイスの管理

Intune では、ご自分に適したアプローチを使用してデバイスを管理します。 組織が所有するデバイスの場合、設定、機能、セキュリティなど、デバイスに対するフル コントロールが必要になることがあります。 このアプローチの場合、このようなデバイスのデバイスとユーザーが Intune に "登録" されます。 登録すると、Intune で構成されたポリシーを介してルールと設定が送信されます。 たとえば、パスワードと PIN の要件の設定、VPN 接続の作成、脅威の保護の設定などを行うことができます。

個人用デバイスまたは Bring-Your-Own Device (BYOD) の場合、ユーザーは組織の管理者にフル コントロールを持たせたくないことがあります。 このアプローチの場合は、ユーザーに選択肢を与えます。 たとえば、組織のリソースにフル アクセスする場合は、ユーザーが自分のデバイスを登録します。 また、このようなユーザーがメールまたは Microsoft Teams へのアクセスのみを必要としている場合は、多要素認証 (MFA) が必須のアプリ保護ポリシーを使用して、これらのアプリを使用します。

Intune にデバイスを登録して管理すると、管理者は次のことを行えます。

  • 登録されているデバイスを確認し、組織のリソースにアクセスするデバイスのインベントリを取得する。
  • セキュリティと正常性の標準を満たすようにデバイスを構成する。 たとえば、脱獄されたデバイスをブロックする場合があります。
  • ユーザーが Wi-Fi ネットワークに簡単にアクセスできるように、または VPN を使用してネットワークに接続できるように、デバイスに証明書をプッシュする。
  • 準拠および非準拠のユーザーとデバイスに関するレポートを表示する。
  • デバイスが紛失された、盗難された、または使用されなくなった場合に組織のデータを削除する。

オンライン リソース:

対話型ガイドを試す

Microsoft Endpoint Manager を使用してデバイスを管理する」の対話型ガイドでは、Microsoft Endpoint Manager 管理センターを使用して、モバイル アプリケーションとデスクトップ アプリケーションを管理および保護する方法を説明します。

アプリを管理する

Intune のモバイル アプリケーション管理 (MAM) は、カスタム アプリやストア アプリなど、アプリケーション レベルで組織のデータを保護するように設計されています。 アプリ管理は、組織所有のデバイスと個人用デバイスで使用できます。

アプリが Intune で管理されている場合、管理者は次のことを実行できます。

  • 特定のグループのユーザー、特定のグループ内のデバイスなど、ユーザー グループとデバイスにモバイル アプリを追加して割り当てる。
  • 特定の設定を有効にしてアプリを開始または実行するように構成し、デバイスに既に存在するアプリを更新する。
  • 使用されているアプリに関するレポートを表示し、その使用状況を追跡する。
  • アプリから組織のデータのみを削除して選択的ワイプを実行する。

Intune がモバイル アプリ セキュリティを提供する方法の 1 つとして、 アプリの保護ポリシー があります。 アプリ保護ポリシー:

  • Azure AD ID を使用して、個人のデータから組織のデータを分離する。 そのため、個人情報は組織の IT の認知から分離されます。 組織の資格情報を使用してアクセスされるデータには、追加のセキュリティ保護が適用されます。
  • ユーザーが実行できる操作 (コピーと貼り付け、保存、表示など) を制限することで、個人用デバイスでのアクセスをセキュリティで保護する。
  • 作成して、Intune に登録されているデバイス、別の MDM サービスに登録されているデバイス、またはどの MDM サービスにも登録されていないデバイスに展開できます。 登録済みのデバイスでは、アプリ保護ポリシーによって追加の保護レイヤーを追加できます。

たとえば、ユーザーは、組織の資格情報を使用してデバイスにサインインします。 組織の ID を使用して、個人の ID に対して拒否されたデータにアクセスできます。 組織のデータが使用されると、アプリ保護ポリシーによってデータの保存方法と共有方法が制御されます。 ユーザーが個人の ID でサインインした場合、同じ保護は適用されません。 このようにして、IT 部門が組織のデータを制御すると同時に、エンド ユーザーは個人データの制御とプライバシーを維持します。

また、EMS の他のサービスでも Intune を使用できます。 この機能は、オペレーティング システムやアプリに含まれているものを超えて、組織のモバイル アプリにセキュリティを提供します。 EMS で管理されているアプリから、より幅広いモバイル アプリとデータ保護の機能にアクセスできます。

アプリ管理データ セキュリティのレベルを示す画像

コンプライアンスと条件付きアクセス

Intune は Azure AD と連携し、さまざまなアクセス制御シナリオを可能にします。 たとえば、モバイル デバイスがメールや SharePoint などのネットワーク リソースにアクセスする前に、Intune で定義されている組織の標準に準拠することを必須にします。 同様に、サービスをロックダウンして、特定のモバイル アプリ セットでのみ使用できるようにすることもできます。 たとえば、Exchange Online へのアクセスを Outlook または Outlook Mobile だけに制限できます。

オンライン リソース:

Intune を取得する方法

Intune は次のように利用できます。

Intune は多くの部門で使用されています。たとえば、政府機関教育機関キオスクまたは専用デバイス (製造および小売用) などです。

次のステップ