Microsoft Intune の新機能

[アーティクル]
07/28/2022

週ごとの Microsoft Intune の新機能について説明します。また、重要な通知、過去のリリース、Intune サービスの更新プログラムのリリース方法に関する情報もご確認いただけます。

注意

各月例更新プログラムのロールアウトには最大 3 日かかる場合があり、次の順序で行われます。

1 日目: アジア太平洋 (APAC)
2 日目: ヨーロッパ、中東、アフリカ (EMEA)
3 日目: 北米
4 日目以降: 政府機関向け Intune

一部の機能は数週間にわたってロールアウトされる場合があり、すべてのお客様が最初の週にご利用いただけるとは限りません。

今後の Intune 機能リリースのリストについては、「Microsoft Intune の開発中の機能」を参照してください。 Autopilot の新しい情報については、「Windows Autopilot の新機能」を参照してください。

RSS を使用して、このページが更新されたときに通知を受け取ることができます。詳細については、「ドキュメントの使い方」を参照してください。

2022 年 7 月 25 日の週

デバイス管理

リモートヘルプバージョン: 4.1.0.12 リリース

リモートヘルプ 4.1.0.12 では、認証されていないときに表示される "後でもう一度お試しください" というメッセージに対処するためのさまざまな修正が導入されました。修正プログラムには、自動更新機能の強化も含まれています。

詳細については、「Intune と Microsoft エンドポイントマネージャーでリモートヘルプを使用する」を参照してください。

2022 年 7 月 18 日の週

デバイス管理

WMI の問題のデバッグに役立つ新しいイベントビューアー

診断情報の収集に関する Intune のリモートアクションが拡張され、Windows Management Instrumentation (WMI) アプリの問題に関する詳細を収集できるようになりました。

新しいイベントビューアーには、次のものが含まれます。

Microsoft-Windows-WMI-Activity/Operational
Microsoft-Windows-WinRM/Operational

Windows デバイス診断の詳細については、「Windows デバイスからのCollect 診断」を参照してください。

2022 年 7 月 4 日の週

デバイスの管理

デバイスモデルごとのエンドポイント分析スコア

エンドポイント分析で、デバイスモデル別のスコアが表示されるようになりました。これらのスコアで、管理者が環境内のデバイスモデル間でユーザーエクスペリエンスをコンテキスト化できるようになります。モデルごとのスコアとデバイスごとのスコアは、どこからでも作業レポートを含むすべてのエンドポイント分析レポートで利用できます。

監視とトラブルシューティング

[診断の収集] を使用して、Windows の迅速な更新に関する詳細を収集する

Intune の診断を収集するためのリモート操作によって、デバイスに展開する Windows の迅速な更新に関する追加情報が収集されるようになりました。この情報は、迅速な更新に関する問題のトラブルシューティングに使用できます。

収集される新しい詳細は次のとおりです。

ファイル: C:\Program Files\Microsoft Update Health Tools\Logs\*.etl
レジストリキー: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CloudManagedUpdate

2022 年 6 月 27 日の週 (サービスリリース 2206)

アプリ管理

Web ポータルサイトのエンタープライズフィードバックポリシー

フィードバック設定は、現在ログインしているユーザーの M365 エンタープライズフィードバックポリシーに対応するために、Microsoft 365 Apps 管理センターを介して利用できるようになりました。この設定は、フィードバックを有効にできるかどうか、または Web ポータルサイトでユーザーに対して無効にする必要があるかどうかを判断するために使用されます。関連情報については、「ポータルサイトアプリと Microsoft Intune アプリのフィードバック設定を構成する」を参照してください。

Android Enterprise 専用デバイスと Android (AOSP) デバイスを使用したアプリ保護ポリシー

Azure Active Directory (Azure AD) 共有モードと Android (AOSP) デバイスに登録された Intune マネージド Android Enterprise 専用デバイスは、アプリ保護ポリシーを受け取ることができ、他の Android デバイスの種類とは別にターゲットにできます。関連情報は、「Intune でマネージド Google Play アプリを Android エンタープライズデバイスに追加する」を参照してください。 Android Enterprise 専用デバイスと Android (AOSP) の詳細については、「Android Enterprise 専用デバイス」を参照してください。

デバイスのセキュリティ

エンドポイントセキュリティーマネージャー管理者ロールを割り当てられたユーザーは、モバイル脅威防御コネクタの設定を変更できます

組み込みのエンドポイントセキュリティーマネージャー管理者ロールのアクセス許可が更新されました。ロールに、モバイル脅威防御 カテゴリの変更アクセス許可が [はい] に設定されました。この変更により、このロールを割り当てられたユーザーは、テナントのモバイルの脅威保護コネクタ (MTD コネクタ) の設定を変更するアクセス許可を持ちます。以前は、このアクセス許可は [いいえ] に設定されていました。

この今後の変更に関する前の通知を見逃した場合は、テナントの エンドポイントセキュリティーマネージャー ロールが割り当てられているユーザーを確認することをお勧めします。 MTD コネクタ設定を編集するアクセス許可が必要ない場合は、ロールのアクセス許可を更新するか、Mobile Threat Defense の 読み取り アクセス許可のみを含むカスタムロールを作成します。

組み込みのエンドポイントセキュリティーマネージャーロールのアクセス許可の完全な一覧を表示します。

Android Enterprise フルマネージドデバイスの証明書プロファイルのサポートが強化されました

Android Enterprise のフルマネージド (デバイス所有者) デバイスの PKCS と SCEP 証明書プロファイルのサポートが強化されました。これで、これらのデバイスの証明書のサブジェクト代替名 (SAN) として、Intuneデバイス ID 変数である CN={{DeviceID}} を使用できるようになりました。

デバイス構成

Android (ASOP) デバイスの証明書プロファイルのサポート

Android オープンソースプロジェクト (AOSP) プラットフォームを実行する企業所有のユーザーレスデバイスで、次の証明書プロファイルを使用できるようになりました。

信頼された証明書プロファイル
PKCS 証明書プロファイル

Windows 10/11 デバイス上の DFCI プロファイルの新しい設定

Windows 10/11 デバイスでは、デバイスファームウェア構成インターフェイス (DFCI) プロファイルを作成できます (デバイス > 構成プロファイル > プロファイルの作成 > Windows 10以降の プラットフォーム > テンプレート > デバイスファームウェア構成インターフェイス のプロファイルの種類)。

DFCI プロファイルを使用すると、Intune は DFCI ファームウェアレイヤーを使用して管理コマンドを UEFI (Unified Extensible Firmware Interface) に渡すことができます。この追加のファームウェアレイヤーにより、悪意のある攻撃に対する構成の耐障害性が向上します。 DFCI では、マネージド設定が淡色表示され、エンドユーザーによる BIOS の制御も制限されます。

構成できる新しい設定があります。

マイクとスピーカー:
- マイク
ラジオ:
- Bluetooth
- Wi-Fi
ポート:
- USB タイプ A
スリープ解除設定:
- LAN でスリープ解除
- 電源でスリープ解除

詳細については、次のリソースを参照してください。

適用対象:

Windows 10 または 11

Android Enterprise デバイスにカスタムサポート情報を追加する

Android Enterprise デバイスでは、デバイス設定を管理するデバイス制限構成プロファイルを作成できます ([デバイス] > [構成プロファイル] > [プロファイルの作成] > [Android Enterprise] > プラットフォームとして [フルマネージド、専用、会社所有の仕事用プロファイル] > [デバイスの制限] > [カスタムサポート情報])。

構成できる新しい設定がいくつかあります。

短いサポートメッセージ: ユーザーが管理設定を変更しようとすると、システムダイアログウィンドウにユーザーに表示される短いメッセージを追加できます。
長いサポートメッセージ: [設定] > [セキュリティ] > [デバイス管理アプリ] > [デバイスポリシー] に表示される長いメッセージを追加できます。

既定では、OEM の既定のメッセージが表示されます。カスタムメッセージを展開すると、Intune の既定のメッセージも展開されます。デバイスの既定の言語のカスタムメッセージを入力しないと、Intune に既定のメッセージが表示されます。

たとえば、英語とフランス語のカスタムメッセージを展開するとします。ユーザーは、デバイスの既定の言語をスペイン語に変更します。カスタムメッセージをスペイン語に展開していないため、Intune に既定のメッセージが表示されます。

Intune の既定のメッセージは、エンドポイントマネージャー管理センター (設定 > 言語と地域) 内のすべての言語に対して翻訳されます。 [言語] 設定値は、Intune で使用される既定の言語を決定します。既定では、英語に設定されています。

ポリシーでは、次の言語のメッセージをカスタマイズできます。

チェコ語
ドイツ語
英語 (米国)
スペイン語 (スペイン)
フランス語 (フランス)
ハンガリー語
インドネシア語
イタリア語
日本語
韓国語
オランダ語
ポーランド語
ポルトガル語 (ブラジル)
ポルトガル語 (ポルトガル)
ロシア語
スウェーデン語
トルコ語
簡体字中国語
繁体字中国語

構成できる上記の設定とその他の詳細については、「Intune を使用して機能を許可または制限するための Android Enterprise デバイスの設定」を参照してください。

適用対象:

Android 7.0 以降
会社所有 Android Enterprise フルマネージド (COBO)
会社所有 Android Enterprise 専用デバイス (COSU)
Android Enterprise の会社所有の仕事用プロファイル (COPE)

Wi-Fi プロファイルを作成して Android AOSP デバイスに展開する

Wi-Fi プロファイルの構成を作成し、Android AOSP デバイスに展開します。

これらの設定の詳細については、「Microsoft Intune の Android (AOSP) デバイス向け Wi-Fi 設定の追加」を参照してください。

適用対象:

Android (AOSP)

設定カタログは、Windows および macOS デバイスで一般公開 (GA) されています

設定カタログは一般公開 (GA) されています。詳細については、以下をご覧ください。

適用対象:

macOS
Windows 10 または 11

グループポリシー分析の移行機能はソブリンクラウドをサポートしています

グループポリシー分析を使用して、オンプレミス GPO をインポートし、これらの GPO を使用して設定カタログポリシーを作成できます。以前は、この移行機能はソブリンクラウドではサポートされていませんでした。

移行機能がソブリンクラウドでサポートされるようになりました。

これらの機能の詳細については、以下のリンクにアクセスしてください。

iOS/iPadOS プラットフォームは設定カタログにあります

[設定カタログ] には、デバイスポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。 iOS/iPadOS プラットフォームと一部の設定が、設定カタログで使用できるようになりました ([デバイス] > [構成プロファイル] > [プロファイルの作成] > プラットフォームの [iOS/iPadOS] > プロファイルの種類の [設定カタログ])。

新しい設定には、次のものが含まれます。

[アカウント] > [Caldav]:

Card DAV アカウントの説明
Card DAV ホスト名
カード DAV パスワード
カード DAV ポート
カード DAV プリンシパル URL
Card DAV での SSL の使用
Card DAV ユーザー名

[アカウント] > [Carddav]:

Card DAV アカウントの説明
Card DAV ホスト名
カード DAV パスワード
カード DAV ポート
カード DAV プリンシパル URL
Card DAV での SSL の使用
Card DAV ユーザー名

AirPlay:

許可リスト
Password
プロファイルの削除パスワード:
削除パスワード

[プロキシ] > [グローバル HTTP プロキシ]:

プロキシキャプティブログイン許可
プロキシ PAC フォールバックの許可
プロキシ PAC URL
プロキシパスワード
プロキシサーバー
プロキシサーバーポート
プロキシの種類
プロキシユーザー名

次の設定は、設定カタログにも含まれます。以前は、テンプレートでのみ使用できました。

[ネットワーク] > [ドメイン]:

メールドメイン

印刷 > Air Print:

プリンター
IP アドレス
リソースパス

制限事項:

アクティビティの継続を許可する
ゲームセンターのフレンドを追加できるようにする
エアドロップを許可する
自動ロック解除を許可する
カメラを許可する
クラウドドキュメント同期を許可する
クラウドキーチェーン同期を許可する
クラウドフォトライブラリを許可する
クラウドプライベートリレーを許可する
診断の送信を許可する
ディクテーションを許可する
コンテンツと設定の消去を許可する
指紋でロック解除できるようにする
ゲームセンターを許可する
マルチプレイヤーゲームを許可する
ミュージックサービスを許可する
パスコードの変更を許可する
パスワードの自動入力を許可する
パスワード近接要求を許可する
パスワード共有を許可する
リモート画面の観察を許可する
スクリーンショットを許可する
スポットライトインターネットの結果を許可する
壁紙の変更を許可する
適用されたソフトウェア更新プログラムの遅延
クラスルームの自動参加を強制する
クラスを離れるためにクラスルームにアクセス許可の要求を強制する
クラスルームでアプリとデバイスロックのプロンプトを表示しないように強制する
ソフトウェア更新プログラムの強制遅延
Safari にオートフィルを許可する

[セキュリティ] > [パスコード]:

簡易パスコードを許可する
強制 PIN
失敗した最大試行回数
最大猶予期間
最大アイドル時間
PIN の最大有効日数
最小複合文字数
最小長
PIN 履歴
英数字パスコードを要求する

[ユーザーエクスペリエンス] > [通知]:

アラートの種類
バッジが有効になっています
バンドル識別子
重要な通知が有効になっています
通知が有効になっています
ロック画面に表示する
通知センターに表示する
サウンドが有効になっています

Intune でのカタログプロファイルの構成設定詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

適用対象:

iOS/iPadOS

Windows デバイスのワイヤードネットワークデバイス構成プロファイルで TEAP 認証を使用する

Windows デバイスでは、拡張認証プロトコル (EAP) をサポートする ワイヤードネットワーク デバイス構成プロファイルを作成できます (デバイス > 構成プロファイル > プロファイルの作成 > Windows 10 以降 のプラットフォーム > テンプレート > ワイヤードネットワーク のプロファイルの種類)。

プロファイルの作成時に、トンネル拡張認証プロトコル (TEAP) を使用できます。

ワイヤード (有線) ネットワークの詳細については、「Microsoft Intune の macOS デバイスと Windows デバイスでワイヤード (有線) ネットワーク設定を追加して使用する」を参照してください。

適用対象:

Windows 11
Windows 10

パスワード、PIN、またはパターンを使用して、設定した時間後に Android Enterprise 企業所有の仕事用プロファイル (COPE) デバイスで作業プロファイルのロックを解除する

Android Enterprise デバイスでは、デバイス設定を管理するデバイス制限構成プロファイルを作成できます ([デバイス] > [構成プロファイル] > [プロファイルの作成] > [Android Enterprise] > プラットフォームとして [フルマネージド、専用、会社所有の仕事用プロファイル] > プロファイルの種類として [デバイスの制限])。

Android Enterprise COPE デバイスでは、作業プロファイルパスワード > 要求されるロック解除頻度 の設定を構成できます。この設定を使用して、ユーザーが強力な認証方法を使用して作業プロファイルのロックを解除する必要があるまでの時間を選択します。

この設定の詳細については、「Intune を使用して機能を許可または制限するための Android Enterprise デバイスの設定」を参照してください。

適用対象:

Android 8.0 以降
Android Enterprise の会社所有の仕事用プロファイル (COPE)

設定カタログでの新しい macOS 設定

設定カタログには、構成できる新しい macOS 設定があります ([デバイス] > [構成プロファイル] > [プロファイルの作成] > プラットフォームとして [macOS] > プロファイルタイプとして [設定カタログ]）。

[アカウント] > [Caldav]:

Cal DAV アカウントの説明
Cal DAV ホスト名
Cal DAV パスワード
Cal DAV ポート
Cal DAV プリンシパル URL
Cal DAV での SSL の使用
Cal DAV ユーザー名

[アカウント] > [Carddav]:

Card DAV アカウントの説明
Card DAV ホスト名
カード DAV パスワード
カード DAV ポート
カード DAV プリンシパル URL
Card DAV での SSL の使用
Card DAV ユーザー名

ユーザーエクスペリエンス > Dock:

Dock Fixup オーバーライドを許可する
自動非表示
自動非表示は不変
コンテンツは不変
ダブルクリック動作
ダブルクリック動作は不変
大きいサイズ
アニメーションの起動
アニメーションの起動は不変
倍率
倍率のサイズは不変
倍率は不変
MCX Dock の特別なフォルダー
影響の最小化
影響の最小化は不変
アプリケーションへの最小化は不変
アプリケーションへの最小化
Orientation
常設アプリ
常設のその他
位置は不変
インジケーターの表示は不変
プロセスインジケーターの表示
最新情報の表示
最新情報の表示は不変
サイズは不変
静的アプリ
静的のみ
静的のその他
タイルサイズ
ウィンドウのタブ付け
ウィンドウのタブ付けは不変

[システム構成] > [エネルギーセーバー]:

デスクトップ電源
デスクトップスケジュール
スタンバイ時に FV キーを破棄する
ノート PC バッテリ電源
ノート PC 電源
スリープが無効になりました

[システム構成] > [システムログ]:

プライベートデータを有効にする

[システム構成] > [タイムサーバー]:

タイムサーバー
タイムゾーン

次の設定は、設定カタログにも含まれます。以前は、テンプレートでのみ使用できました。

[セキュリティ] > [パスコード]:

簡易パスコードを許可する
次回認証時に変更する
強制 PIN
失敗した最大試行回数
最大猶予期間
最大アイドル時間
PIN の最大有効日数
最小複合文字数
最小長
ログインリセットの失敗までの時間 (分)
PIN 履歴
英数字パスコードを要求する

設定カタログを使用して作成されたポリシーとテンプレートを使用して作成されたポリシーの間には、競合の解決はありません。設定カタログで新しいポリシーを作成する場合は、現在のポリシーと競合する設定がないことを確認してください。

Intune でのカタログプロファイルの構成設定詳細については、「Microsoft Intune の設定カタログを使用してポリシーを作成する」を参照してください。

適用対象:

macOS

macOS 設定カタログの新しい Microsoft Office と Microsoft Outlook の基本設定

設定カタログでは、Microsoft Office と Microsoft Outlook の基本設定がサポートされています ([デバイス] > [構成プロファイル] > [プロファイルの作成] > プラットフォームとして [macOS] > プロファイルタイプとして [設定カタログ (プレビュー)])。

次の設定を使用できます。

Microsoft Office > Microsoft Office:

ユーザーコンテンツを分析するエクスペリエンスと機能を許可する
ユーザーコンテンツをダウンロードするエクスペリエンスと機能を許可する
マクロに Visual Basic プロジェクトの変更を許可する
オプションの接続エクスペリエンスを許可する
Visual Basic マクロでシステム API を使用できるようにする
バックグラウンドアクセシビリティチェック
開くためのローカルファイルの既定値 - 保存
診断データレベル
クラウドフォントを無効にする
サードパーティストアアドインカタログを無効にする
ユーザーアンケートを無効にする
自動サインインを有効にする
すべての Visual Basic マクロを実行できないようにする
Visual Basic マクロで外部ダイナミックライブラリを使用できないようにする
Visual Basic マクロで従来の MacScript を使用できないようにする
Visual Basic マクロでパイプを使用して通信できないようにする
アプリ起動時にテンプレートギャラリーを表示する
[新機能の表示] ダイアログ
Visual Basic マクロポリシー

[Microsoft Office] > [Microsoft Outlook]:

一致するメールアドレスなしで S/MIME 証明書を許可する
許可されたメールドメイン
既定のドメイン名
天気の場所を初期値にする
[転送しない] オプションを無効にする
天気の場所の自動更新を無効にする
メールの署名を無効にする
OLM ファイルへのエクスポートを無効にする
OLM および PST ファイルからのインポートを無効にする
迷惑メール設定を無効にする
Microsoft 365 暗号化オプションを無効にする
Microsoft Teams 会議サポートを無効にする
S/MIME を無効にする
Skype for Business 会議サポートを無効にする
埋め込み画像をダウンロードする
新しい Outlook を有効にする
[このコンピューター上] のフォルダーを非表示にする
作業ウィンドウで [Outlook の使用を開始する] コントロールを非表示にする
[新しい Outlook をパーソナライズする] ダイアログを非表示にする
S/MIME 証明書が考慮される順序を設定する
テーマを設定する
週の最初の曜日を指定する
Office 365 の自動検出のリダイレクトを信頼する
Office 365 の代わりにドメインベースの自動検出を使用する

設定カタログの詳細については、次のリンクに移動してください。

構成可能な Microsoft Office と Outlook の設定の詳細については、以下をご覧ください。

適用対象:

macOS

デバイス管理

macOS デバイスをリモートで再起動およびシャットダウンする

デバイスアクションを使用して、macOS デバイスをリモートで再起動またはシャットダウンできます。これらのデバイスアクションは、macOS 10.13 以降を実行しているデバイスで使用できます。

詳細については、「Microsoft Intune を使用してデバイスを再起動する」を参照してください。

Android (AOSP) 企業デバイス用のその他のリモートアクション

Android Open Source Project (AOSP) 企業デバイスの場合、すぐに Microsoft エンドポイントマネージャー管理センターの追加のリモートアクション (再起動とリモートロック) を利用できます。

これらの機能の詳細については、以下を参照してください。

適用対象:

Android Open Source Project (AOSP)

Windows 11 マルチセッション VM のユーザー構成のサポートは、パブリックプレビュー段階にあります。

次のことが可能になります:

[設定カタログ] を使用してユーザースコープポリシーを構成し、ユーザーのグループに割り当てます。
ユーザー証明書を構成し、ユーザーに割り当てます。
ユーザーコンテキストにインストールし、ユーザーに割り当てるために PowerShell スクリプトを構成します。

適用対象:

Windows 11

注意

Windows 10 マルチセッションビルドのユーザー構成のサポートは、今年後半に提供される予定です。

詳細については、「Microsoft Intune とともに Azure Virtual Desktop マルチセッションを使用するためのガイドライン」をご覧ください。

マネージドデバイスのグループメンバーシップを表示する

Intune の デバイス ワークロードの監視セクションで、1 つの管理対象デバイスに関するすべての Azure AD グループのグループメンバーシップを表示できます。 Microsoft エンドポイントマネージャー管理センターにサインインし、[デバイス] > [モニター] > を選択してデバイス > [グループメンバーシップ] を選択して、グループメンバーシップ を選択できます。詳細については、「デバイスグループメンバーシップレポート」を参照してください。

証明書レポートの改善に関する詳細

デバイスと証明書プロファイルに Intune で証明書の詳細を表示する場合の表示内容を変更しました。レポートを表示するには、Microsoft エンドポイントマネージャー管理センターで、[デバイス] > [監視] > [証明書] の順に選択します。

レポートビューが改善されると、Intune に次の情報が表示されます。

有効な証明書
過去 30 日以内に失効した証明書
過去 30 日以内に有効期限が切れた証明書

レポートには、無効になった証明書やデバイス上に存在しなくなった証明書の詳細が表示されなくなりました。

デバイスの登録

macOS デバイスでブートストラップトークンを利用する

ブートストラップトークンのサポート (以前はパブリックプレビュー) は、GCC High、Microsoft Azure Government Cloud テナントなどのすべての Microsoft Intune のお客様に一般提供されるようになりました。 Intune では、macOS バージョン 10.15 以降を実行している登録済みデバイスでのブートストラップトークンの使用がサポートされます。

ブートストラップトークンを使用すると、管理者以外のユーザーは MDM アクセス許可を増やし、IT 管理者の代わりに特定のソフトウェア機能を実行できます。ブートストラップトークンは、次の場合にサポートされます。

監視対象デバイス (Intune では、ユーザーが承認したすべての登録が対象)
Apple 自動デバイス登録を介して Intune に登録されたデバイス

Intune でのブートストラップトークンのしくみの詳細については、「macOS デバイスの登録を設定する」を参照してください。

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

Condeco by Condeco Limited
RICOH Spaces by Ricoh Digital Services

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

2022 年 6 月 13 日の週

デバイスのセキュリティ

Red Hat Enterprise Linux 8.6 に対する Microsoft Tunnel のサポート

これで、Microsoft Tunnel で Red Hat Enterprise Linux (RHEL) 8.6 を使用できます。 RHEL 8.5 のサポートに必要な要件を超える追加の要件はありません。

RHEL 8.5 のように、Linux カーネルに ip_tables モジュールが存在するかどうかをチェックする準備ツール (mst-readiness) が使用できます。既定では、RHEL 8.6 は ip_tables モジュールをロードしません。

モジュールをロードしない Linux サーバーについては、モジュールをすぐにロードし、起動時に自動的にロードするように Linux サーバーを構成する手順を示しました。

2022 年 6 月 6 日の週

アプリ管理

アプリ保護ポリシーを介したフォトライブラリデータ転送のサポート

これで、サポートされているアプリケーションストレージサービスとして フォトライブラリ を含められるようになりました。 Intune 内の [ユーザーが選択したサービスからデータを開くことができるようにする]、または [ユーザーがデータを選択したサービスに保存できるようにする] で [フォトライブラリ] を選択すると、管理対象アカウントがデバイスのフォトライブラリから iOS および Android プラットフォームの管理対象アプリに [受信] および [送信] を許可できるようになります。 Microsoft エンドポイントマネージャー管理センターで、[アプリ] > [アプリ保護ポリシー] > [ポリシーの作成] を選択します。 iOS/iPadOS または Android のいずれかを選択します。この設定は、データ保護 手順の一環として、特に ポリシー管理アプリ で使用できます。関連情報については、「データの保護」を参照してください。

UI の改善により、Android の登録が利用できることを示しています。必須ではありません

Android アプリのポータルサイトのアイコンを更新し、ユーザーがデバイス登録を利用できるが必須ではない場合を認識しやすくしました。新しいアイコンは、管理センター (テナント管理 > カスタマイズ > ポリシーの作成 または編集 > 設定) で、デバイス登録の可否が ［利用可能、プロンプトなし］ に設定されているシナリオに表示されます。

変更内容には、次のものが含まれます。

[デバイス] 画面で、登録されていないデバイスの横に赤い感嘆符が表示されなくなります。
[デバイスの詳細] 画面で、登録メッセージの横に赤い感嘆符が表示されなくなります。代わりに、情報 (i) アイコンが表示されます。

変更のスクリーンショットを表示するには、「Intune エンドユーザーアプリの UI 更新プログラム」を参照してください。

デバイス管理

アプリケーションとドライバの Windows Update 互換性レポート(パブリックプレビュー)

パブリックプレビューでは、Windows のアップグレードまたは更新プログラムの準備に役立つ 2 つの Windows Update 互換性レポートを利用できるようになりました。これらのレポートは、現在、2022 年 11 月 30 日に廃止を予定している Desktop Analytics でカバーされているギャップを埋めるものです。

Windows 10から 11 へのアップグレードを計画する場合、または最新の Windows 機能更新プログラムをインストールする場合は、次のレポートを参考にしてください。

Windows 機能更新プログラムデバイス準備レポート (プレビュー) - このレポートは、選択したバージョンの Windows へのアップグレードまたは更新に関連する互換性リスクに関するデバイスごとの情報を提供します。
Windows 機能更新プログラムの互換性リスクレポート (プレビュー) - このレポートには、選択したバージョンの Windows について、組織全体の上位互換性リスクの概要が表示されます。このレポートを使用すると、組織内で最も多くのデバイスに影響を与える互換性リスクを把握できます。

これらのレポートは、次の週にテナントにロールアウトされます。まだ表示されていない場合は、1 日後あたりでもう一度ご確認ください。前提条件、ライセンス、およびこれらのレポートで使用できる情報については、「Windows Update 互換性レポート」を参照してください。

2022 年 5 月 30 日の週 (サービスリリース 2205)

アプリ管理

iOS ポータルサイトに必要な最小バージョン

2022 年 6 月 1 日から、サポートされる iOS ポータルサイトの最小バージョンは v5.2205 になります。 v5.2204 以前を使用している場合は、ログイン時に更新プログラムに関するプロンプトが表示されます。 [App Store を使用してアプリのインストールをブロックする] デバイス制限設定を有効にしている場合は、この設定を使用する関連するデバイスに更新をプッシュする必要があります。それ以外の場合、アクションは必要ありません。ヘルプデスクがある場合は、ポータルサイトアプリを更新するためのプロンプトを通知することをお勧めします。ほとんど場合、ユーザーはアプリの更新を自動に設定しているため、何もしなくても更新されたポータルサイトアプリを受け取ります。関連情報については、「Intune ポータルサイト」を参照してください。

デバイスの所有権が [個人] から [企業] に変更されると、プッシュ通知が自動的に送信されます

iOS/iPad および Android デバイスで、デバイスの所有権の種類が [個人] から [企業] に変更されたときにプッシュ通知が自動的に送信されるようになりました。通知は、デバイス上のポータルサイトアプリを介してプッシュされます。

この変更に伴い、この通知動作を管理するために従来使用されていたポータルサイト構成設定が削除されました。

iOS/iPadOS の通知には 3 月のポータルサイトまたはそれ以降が必要です

Intune の 5 月 (2205) のサービスリリースでは、iOS/iPadOS の通知に対するサービス側の更新が行われています。これを利用するには、3 月のポータルサイトアプリ (バージョン 5.2203.0) またはそれ以降が必要です。 iOS/iPadOS でポータルサイトのプッシュ通知を生成できる機能を使用している場合は、引き続きプッシュ通知を受け取るために iOS/iPadOS ポータルサイトを更新するようユーザーに伝える必要があります。機能に追加の変更はありません。関連情報については、「ポータルサイトアプリの更新」を参照してください。

PKG タイプのインストーラーファイルのアップロードによる macOS LOB アプリの展開が一般公開されました

PKG タイプのインストーラーファイルを Intune にアップロードすることで、macOS 基幹業務 (LOB) アプリを展開できるようになりました。この機能はパブリックプレビューから外れ、現在一般公開されています。

Microsoft エンドポイントマネージャー管理センターから macOS LOB アプリを追加するには、[アプリ] > [macOS] > [追加] > [基幹業務アプリ] を選択します。さらに、macOS LOB アプリを展開するのに macOS 用アプリラッピングツールは不要になりました。関連情報については、「macOS の基幹業務 (LOB) アプリを Microsoft Intune に追加する方法」を参照してください。

[管理対象アプリ] ウィンドウでのレポートエクスペリエンスの向上

[管理対象アプリ] ウィンドウが更新され、デバイスの管理対象アプリの詳細表示が改善されました。プライマリユーザーとデバイス上の他のユーザーのマネージドアプリの詳細の表示を切り替えたり、ユーザーなしでデバイスのアプリの詳細を表示したりできます。生成されたアプリの詳細は、レポートが最初に読み込まれるときにデバイスのプライマリユーザーを使用して表示されるか、存在しない場合はプライマリユーザーなしで表示されます。詳細については、「管理対象アプリレポート」を参照してください。

MSfB ライセンスと Apple VPP ライセンス

ユーザーから Intune ライセンスを削除しても、ビジネス向け Microsoft Store または Apple VPP を通じて付与されたアプリライセンスは取り消されなくなります。関連情報については、「Microsoft Intune を使用してビジネス向け Microsoft Store から大量購入したアプリを管理する方法」、「アプリのライセンスを取り消す」、「Microsoft Intune のライセンス」を参照してください。

ライセンス未付与のユーザーのレポート

Intune では、ユーザーにライセンスが付与されていない場合、そのユーザーはすべての Intune レポートから削除されなくなります。ユーザーが Azure AD から削除されるまでは、Intune は最も一般的なシナリオで引き続きユーザーをレポートに含めます。関連情報については、「Intune レポート」を参照してください。

デバイスのセキュリティ

Intune のエンドポイントセキュリティにおける攻撃面の減少ポリシー用の新しいデバイス制御プロファイル

2022 年 4 月に開始されたエンドポイントセキュリティポリシーにおける新しいプロファイルの継続的なロールアウトの一環として、Intune のエンドポイントセキュリティにおける攻撃面の減少ポリシー用の新しいデバイス制御プロファイルテンプレートをリリースしました。このプロファイルは、Windows 10 以降 のプラットフォームで以前に提供されていた同名のプロファイルを置き換えます。

この置き換えにより、作成できるのは新しいプロファイルのインスタンスのみとなります。ただし、古いプロファイル構造を使用して以前に作成したプロファイルは、引き続き使用、編集、展開できます。

新しいデバイス制御プロファイル:

元のプロファイルで使用できたすべての設定が含まれます。
以前のプロファイルでは使用できない 5 つの新しい設定が導入されています。

新しい 5 つの設定は、USB デバイスなどのリムーバブルデバイスに重点を置いたものです。

デバイス構成

設定した時間の経過後に、パスワード、PIN、パターンを使用して Android Enterprise デバイスのロックを解除する

Android Enterprise デバイスでは、デバイス設定を管理するデバイス制限構成プロファイルを作成できます ([デバイス] > [構成プロファイル] > [プロファイルの作成] > [Android Enterprise] > プラットフォームとして [フルマネージド、専用、会社所有の仕事用プロファイル] > プロファイルの種類として [デバイスの制限])。

[デバイスのパスワード] と [仕事用プロファイルのパスワード] には、新しい [必要なロック解除頻度] 設定があります。ユーザーが強力な認証方法 (パスワード、PIN、パターン) を使用してデバイスのロックを解除しなければならなくなるまでの時間を選択します。次のようなオプションがあります。

最後の PIN、パスワード、パターンのロック解除から 24 時間: ユーザーが最後に強力な認証方法を使用してデバイスまたは仕事用プロファイルのロックを解除した後、画面は 24 時間ロックされます。
デバイスの既定値 (既定値): デバイスの既定の時刻を使用して画面がロックされます。

2.3.4. 高度なパスコード管理 (Androidの Web サイトを開く)

構成できる設定の一覧については、「Intune を使用して機能を許可または制限するための Android Enterprise デバイスの設定」を参照してください。

適用対象:

Android 8.0 以降
会社所有 Android Enterprise フルマネージド (COBO)
会社所有 Android Enterprise 専用デバイス (COSU)
Android Enterprise の会社所有の仕事用プロファイル (COPE)

設定カタログを使用して Windows 11 デバイスにユニバーサルプリントポリシーを作成する

多くの組織は、ユニバーサルプリントを使用してプリンターインフラストラクチャをクラウドに移行しています。

エンドポイントマネージャー管理センターでは、設定カタログを使用して、ユニバーサルプリントポリシーを作成できます ([デバイス構成] > [プロファイルの作成] > プラットフォームとして [Windows 10 以降] > プロファイルの種類として [設定カタログ] > [プリンタープロビジョニング])。ポリシーを展開すると、ユーザーはユニバーサルプリントの登録済みプリンター一覧からプリンターを選択します。

詳細については、「Microsoft Intune でユニバーサルプリントポリシーを作成する」を参照してください。

適用対象:

Windows 11

新しい macOS 設定 (設定カタログ)

[アカウント] > [アカウント]:

ゲストアカウントを無効にする
ゲストアカウントを有効にする

ネットワーク > ファイアウォール:

署名済みを許可する
署名済みアプリを許可する
ログ収集を有効にする
ログオプション

[保護者による制限] > [保護者による制限時間]:

家族向けコントロールが有効になっている
時間制限

[プロキシ] > [ネットワークプロキシ構成]:

プロキシ
例外の一覧
フォールバックを許可
FTP を有効にする
FTP パッシブ
FTP ポート
FTP プロキシ
Gopher を有効にする
Gopher ポート
Gopher プロキシ
HTTP を有効にする
HTTP ポート
HTTP プロキシ
HTTPS を有効にする
HTTPS ポート
HTTPS プロキシ
プロキシの自動構成を有効にする
プロキシの自動構成 URL 文字列
プロキシキャプティブログイン許可
RTSP を有効にする
RTSP ポート
RTSP プロキシ
SOCKS を有効にする
SOCKS ポート整数
SOCKS プロキシ

[セキュリティ] > [スマートカード]:

スマートカードを許可する
証明書信頼を確認する
スマートカードを適用する
ユーザーごとに 1 枚のカード
トークンの削除アクション
ユーザーペアリング

ソフトウェア更新プログラム:

プレリリースインストールを許可する
自動チェックが有効
自動ダウンロード
アプリの更新プログラムを自動的にインストールする
macOS の更新プログラムを自動的にインストールする
構成データのインストール
重要な更新プログラムのインストール
ソフトウェア更新プログラムを制限して管理者によるインストールを必須にする

[ユーザーエクスペリエンス] > [スクリーンセーバーユーザー]:

アイドル時間
Module Name/モジュール名
モジュールのパス

Intune でのカタログプロファイルの構成設定詳細については、「Microsoft Intune の設定カタログを使用してポリシーを作成する」を参照してください。

適用対象:

macOS

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

F2 Manager Intune (cBrain A/S 提供)
F2 Touch Intune (Android) (cBrain A/S 提供)
Microsoft Lists (Android) (Microsoft 提供)
Microsoft Lens - PDF スキャナー (Microsoft 提供)
Diligent Boards (Diligent Corporation 提供)
Secure Contacts (Provectus Technologies GmbH 提供)
My Portal by MangoApps (MangoSpring Inc 提供)

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

デバイス管理

テナントに接続されたデバイスの [ソフトウェア更新プログラム] ページ

テナントに接続されたデバイス用の新しい [ソフトウェア更新プログラム] ページがあります。このページには、デバイス上のソフトウェア更新プログラムの状態が表示されます。更新プログラムについて、正常にインストールされたもの、失敗したもの、割り当て済みだがまだインストールされていないものを確認できます。更新プログラムの状態のタイムスタンプを使用すると、トラブルシューティングに役立ちます。詳細については、「Tenant attach: 管理センターのソフトウェア更新プログラム」を参照してください。

iOS/iPadOS での App Sync のMicrosoft Defender for Endpoint サポート

この機能を使用するには、MDE プレビューにオプトインする必要があります。オプトインするには、mdatpmobile@microsoft.com にお問い合わせください。

Microsoft Defender for Endpoint (MDE) をモバイル脅威防御アプリケーションとして使用する場合は、iOS/iPadOS デバイスで Intune からアプリケーションインベントリデータを要求するように MDE を構成できます。次の 2 つの設定を使用できるようになりました。

iOS デバイスのアプリ同期を有効にする: [オン] にセットすると、MDE が Intune から iOS アプリケーションのメタデータを要求して、脅威分析の目的で使用できるようになります。 iOS デバイスは、MDM に登録されている必要があり、デバイスのチェックイン中に更新されたアプリデータが提供されます。
個人所有の iOS/iPadOS デバイスで完全なアプリケーションインベントリデータを送信する: この設定は、MDE がアプリデータを同期してアプリインベントリリストを要求するときに、Intune が MDE と共有するアプリケーションインベントリデータを制御します。

[オン] に設定すると、MDE は個人所有の iOS/iPadOS デバイスの Intune からアプリケーションのリストを要求できます。これには、アンマネージドアプリだけでなく、Intune を介して展開されたアプリも含まれます。

[Off] に設定すると、アンマネージドアプリに関するデータは提供されません。 Intune は、Intune を介して展開されるアプリのデータを共有します。

仕事用プロファイルを設定した会社所有の Android Enterprise デバイスでの廃止のサポート

Microsoft エンドポイントマネージャー管理センター で [廃止] 管理者アクションを使用して、仕事用プロファイルを設定した会社所有の Android Enterprise デバイスから、すべての企業アプリ、データ、ポリシーを含む仕事用プロファイルを削除できるようになりました。 [エンドポイントマネージャー管理センター] > [デバイス] ウィンドウ > [すべてのデバイス] > 廃止するデバイス名を選択 > [廃止] を選択します。

[廃止] を選択すると、そのデバイスは Intune の管理対象から登録解除されます。ただし、個人プロファイルに関連付けられているすべてのデータとアプリは、デバイスにそのまま残ります。詳細については、「Microsoft Intune を使用してデバイスを廃止またはワイプする」を参照してください。

デバイスの登録

Apple 自動デバイス登録用の登録プロファイルの機能強化

Intune でパブリックプレビューとして以前にリリースされた、セットアップアシスタントの 2 つのスキップウィンドウが、Intune で一般公開されるようになりました。これらの画面は通常、Apple 自動デバイス登録 (ADE) の間にセットアップアシスタントに表示されます。 Intune で登録プロファイルを設定している間に、画面の可視性を構成できます。 Intune でサポートされている画面設定は、[セットアップアシスタント] タブのデバイス登録プロファイルで使用できます。新しいスキップウィンドウは次のとおりです。

ウィンドウ名: 概要
- iOS/iPadOS 13 以降で使用できます。
- このウィンドウは、既定では ADE 中にセットアップアシスタントに表示されます。
ウィンドウ名: Apple Watch による自動ロック解除
- macOS 12 以降で使用できます。
- このウィンドウは、既定では ADE 中にセットアップアシスタントに表示されます。

パブリックプレビューリリースでの機能に変更はありません。

Windows Autopilot から共同管理に登録する

Intune でデバイス登録を構成して共同管理を有効にできます。これは、Windows Autopilot プロセス中に行われます。この動作で、Configuration Manager と Intune の間で調整された方法により、ワークロードの管理機関が指示されます。

デバイスが Autopilot 登録状態ページ (ESP) ポリシーの対象になっている場合、デバイスは Configuration Manager を待機します。 Configuration Manager クライアントは、サイトをインストールして登録し、実稼働の共同管理ポリシーを適用します。その後、Autopilot ESP が続行されます。

詳細については、「Autopilot を使用して共同管理に登録する方法」を参照してください。

2022 年 5 月 9 日の週

デバイスのセキュリティ

Defender for Endpoint を使用したセキュリティ管理が一般的に利用可能です

Microsoft エンドポイントマネージャーと Microsoft Defender for Endpoint (MDE) チームは、MDE デバイスのセキュリティ管理の一般提供を発表できることを嬉しく思います。この一般提供の一環として、ウイルス対策、エンドポイントでの検出と対応、およびファイアウォールとファイアウォールルールのサポートが一般的に利用可能になりました。この一般提供は、Windows Server 2012 R2 以降、および Windows 10 と Windows 11 のクライアントに適用されます。今後、プレビュー機能で追加のプラットフォームとプロファイルのサポートを追加する予定です。

詳細については、「Microsoft エンドポイントマネージャーを使用してデバイス上の Microsoft Defender for Endpoint を管理する」を参照してください。

デバイス管理

リモートヘルプの昇格の機能強化

セッションの開始時に、昇格のアクセス許可は割り当てられなくなります。昇格のアクセス許可は、JIT (Just-In-Time) アクセスが要求された場合にのみ適用されるようになりました。ツールバーのボタンをクリックすると、アクセスが要求されます。昇格のアクセス許可が割り当てられている場合、共有者のログオフ動作が次のように変更されました。

管理者 (ヘルパー) がリモートヘルプセッションを終了した場合、ユーザー (共有者) はログオフされません。
共有者がセッションを終了しようとすると、続行するとログオフするように求められます。
共有者がデバイスのローカル管理者の場合、ヘルパーはアクセス UAC プロンプトオプションを使用できません。共有者は、自分のプロファイルで管理者特権での操作を実行するように指示できるからです。リモートヘルプの詳細については、「リモートヘルプの使用」を参照してください。

2022 年 5 月 2 日の週

アプリ管理

マネージド Google Play アプリの優先度を更新する

専用、フルマネージド、または職場プロファイルを持つ企業所有の Android Enterprise デバイスで、マネージド Google Play アプリの更新優先度を設定できます。 [更新の優先度] アプリ設定として [延期] を選択すると、新しいバージョンのアプリが検出されてから 90 日間待ってからアプリの更新プログラムをインストールします。関連情報は、「Intune でマネージド Google Play アプリを Android エンタープライズデバイスに追加する」を参照してください。

2022 年 4 月 25 日の週 (サービスリリース 2204)

アプリ管理

更新されたアプリ構成ポリシーの一覧

Intune で アプリ構成ポリシーの 一覧が変更されました。この一覧に [割り当て済み] 列は含まれなくなります。アプリ構成ポリシーが割り当てられているかどうかを確認するには、[Microsoft エンドポイントマネージャー管理センター] > [アプリ] > [アプリ構成ポリシー] > [ポリシーの選択] > [プロパティ] の順に移動します。

Android デバイスのパスワードの複雑さ

Intune で デバイスロックが必須 設定が拡張され、値 (複雑度 - 低、複雑度 - 中、複雑度 - 高) が含まれます。デバイスロックがパスワードの最小要件を満たしていない場合、エンドユーザーが管理対象アプリで管理アカウントにアクセスすることを警告、データを消去、ブロック することができます。この機能は、Android 11 以降で動作するデバイスを対象としています。 Android 11 以前で動作するデバイスの場合、複雑度の値を [低]、[中]、[高] に設定すると、既定では [複雑度 - 低] が想定される動作に設定されます。関連情報については、「Microsoft Intune で利用可能な Android アプリ保護ポリシー設定」を参照してください。管理

Win32 アプリログコレクションの機能強化

Intune 管理拡張機能を介した Win32 アプリログの収集は、Windows 10 デバイス診断プラットフォームに移行され、ログの収集時間が 1 ～ 2 時間かかっていたのが 15 分に短縮されました。また、ログサイズも 60 mb から 250 mb に増やしました。パフォーマンスの向上に加えて、アプリログは、デバイスごとの デバイス診断モニター アクションと管理対象アプリモニターで使用できます。診断を収集する方法については、「Windows デバイスから診断を収集する」および「Intune を使用した Win32 アプリのインストールのトラブルシューティング」を参照してください。

デバイス管理

Windows 10 と Windows 11 Enterprise のマルチセッションが一般公開されました

既存の機能に加えて、次のことができるようになりました。

プラットフォーム に Windows 10、Windows 11、Windows Server 選択したときに、エンドポイントセキュリティのプロファイルを構成できます。
米国政府コミュニティ (GCC) High および DoD の Azure Government Cloud で作成された Windows 10 および Windows 11 Enterprise マルチセッション VM を管理できます。

詳細については、「Windows 10/11 Enterprise マルチセッションリモートデスクトップ」を参照してください。

Microsoft Intune アプリで Android (AOSP) ユーザーが使用できるデバイスアクション

AOSP デバイスユーザーは、Microsoft Intune アプリで登録済みデバイスの名前を変更できるようになりました。この機能は、Intune にユーザー関連 (Android) AOSP デバイスとして登録されているデバイスで使用できます。 Android (AOSP) 管理の詳細については、「企業所有のユーザーに関連する Android (AOSP) デバイスの Intune 登録を設定する」を参照してください。

Andriod 企業所有の職場用プロファイルとフルマネージド (COBO および COPE) デバイスでのオーディオアラートのサポート

紛失または盗難にあった Android Enterprise 企業所有の職場用プロファイルとフルマネージドデバイスの場所を特定するために、紛失または盗難にあったデバイスの再生 アクションを使用して、デバイスでアラーム音をトリガーできるようになりました。詳細については、「紛失したまたは盗まれたデバイスを検索する」を参照してください。

デバイスの登録

Apple 自動デバイス登録用の新しい登録プロファイルの設定 (パブリックプレビュー)

Apple 自動デバイス登録で使用できる 2 つの新しいセットアップアシスタント設定が追加されました。各設定は、登録中に表示されるセットアップアシスタントウィンドウの可視性を制御します。セットアップアシスタントウィンドウは、既定では登録中に表示されるため、非表示にする場合は、Microsoft Intune で設定を調整する必要があります。新しいセットアップアシスタントの設定は次のとおりです。

開始 (プレビュー): 登録中にはじめに [開始] ウィンドウを表示または非表示にします。 iOS/iPadOS 13 以降を実行しているデバイスに適用されます。
Apple Watch を使用した自動ロック解除 (プレビュー): 登録中に [Apple Watch ウィンドウを使用して Mac のロックを解除] ウィンドウを表示または非表示にします。macOS 12 以降を実行しているデバイスに適用されます。

自動デバイス登録のセットアップアシスタント設定を構成するには、Microsoft Intune で iOS/iPadOS 登録プロファイルまたは macOS 登録プロファイルを作成します。

デバイスのセキュリティ

iOS 用の Tunnel クライアントアプリとして Microsoft Defender for Endpoint の一般公開を開始

iOS/iPadOS 上で Microsoft Tunnel をサポートする Microsoft Defender for Endpoint の使用のプレビューが終了し、一般公開が開始されました。一般提供に伴い、新しいバージョンの iOS 用 Defender for Endpoint アプリが App Store から入手可能になっているので、ダウンロードして展開できます。プレビュー版を iOS 用の Tunnel クライアントアプリとして使用してきた場合は、すぐに iOS 用の最新の Defender for Endpoint アプリにアップグレードして、最新の更新プログラムと修正プログラムの恩恵を受けることをお勧めします。

2022 年 8 月 30 日の時点で、接続の種類は Microsoft Tunnel という名前です。

このリリースに伴い、6 月の終わりまでに、スタンドアロン Tunnel クライアントアプリと、Tunnel クライアントアプリとしての Defender for Endpoint のプレビュー版が両方とも iOS では非推奨になり、サポートから削除されます。非推奨になった直後に、スタンドアロン Tunnel クライアントアプリは機能しなくなり、Microsoft Tunnel への接続のオープンはサポートされなくなります。

まだ iOS 用にスタンドアロントンネルアプリを使用している場合は、スタンドアロンアプリのサポートが終了して Tunnel への接続のサポートが機能しなくなる前に Microsoft Defender for Endpoint アプリに移行することを計画してください。

攻撃面の減少ルールプロファイル

テナント接続済みデバイスの 攻撃面の減少ルール (ConfigMgr) プロファイルがパブリックプレビューになりました。詳細については、「テナントのアタッチ: 攻撃面の減少ポリシーを作成して展開する」を参照してください。

デバイス構成

エンドポイントセキュリティプロファイルは、フィルターをサポートします

フィルター使用時の新機能がいくつかあります。

Windows デバイスのデバイス構成プロファイルを作成すると、ポリシーごとのレポートの、デバイスとユーザーのチェックイン状態 ([デバイス] > [構成プロファイル] > [既存のポリシーを選択する]) にレポート情報が表示されます。

[レポート表示] を選択すると、レポートには [割り当てフィルター] 列が表示されます。この列を使用して、フィルターがポリシーに正常に適用されたかどうかを判断します。
エンドポイントセキュリティポリシーは、フィルターをサポートします。そのため、エンドポイントセキュリティポリシーを割り当てるときは、フィルターを使用して、作成したルールに基づいてポリシーを割り当てることができます。
新しいエンドポイントセキュリティポリシーを作成すると、新しいデバイス構成プロファイルレポートが自動的に使用されます。ポリシーごとのレポートを見ると、[割り当てフィルター] 列 ([デバイス] > [構成プロファイル] > [既存のエンドポイントセキュリティポリシーを選択] > [レポートを表示]) もあります。この列を使用して、フィルターがポリシーに正常に適用されたかどうかを判断します。

フィルターの詳細については、以下を参照してください。

適用対象:

すべてのプラットフォーム

以下には適用されません。

管理用テンプレート (Windows 10/11)
デバイスファームウェア構成インターフェイス (DFCI) (Windows 10/11)
OEMConfig (Android エンタープライズ)

グループポリシー分析でインポートした GPO を使用して設定カタログポリシーを作成する (パブリックプレビュー)

グループポリシー分析を使用すると、グループポリシーオブジェクト (GPO) をインポートして、Microsoft Intune でサポートされている設定を確認できます。また、非推奨の設定や、MDM プロバイダーで使用できない設定も示されます。

分析を実行すると、移行の準備ができている設定が表示されます。インポートした設定を使用して設定カタログプロファイルを作成する [移行] オプションがあります。次に、このプロファイルをグループに割り当てることができます。

詳細については、「Microsoft エンドポイントマネージャーでインポートした GPO を使用して設定カタログポリシーを作成する」を参照してください。

適用対象:

Windows 11
Windows 10

Windows デバイスの新しいワイヤード (有線) ネットワークデバイス構成プロファイル

Windows 10/11 デバイス用の新しい ワイヤード (有線) ネットワーク デバイス構成プロファイル (プラットフォームの [デバイス] > [構成プロファイル] > [プロファイルの作成] > [Windows 10 以降] fから、プロファイルの種類の [テンプレート] > [ワイヤード (有線) ネットワーク] に移動します)。

このプロファイルを使用して、認証、EAP の種類、サーバーの信頼性など、一般的なワイヤード (有線) ネットワーク設定を構成します。構成できる設定の詳細については、「Microsoft Intune の Windows デバイスのワイヤード (有線) ネットワーク設定の追加」を参照してください。

適用対象:

Windows 11
Windows 10

管理用テンプレートと設定カタログの "ADMX_" ポリシー CSP 設定が Windows Professional エディションに適用されます

"ADMX_" で始まる Windows ポリシー CSP 設定は、Windows Professional エディションを実行している Windows デバイスに適用されます。以前は、Windows Professional エディションを実行するデバイスでは、これらの設定は [該当なし] と表示されていました。

管理用テンプレートと設定カタログを使用して、これらの "ADMX_" 設定をポリシーで構成し、ポリシーをデバイスに展開できます (プラットフォームの [デバイス] > [構成プロファイル] > [プロファイルの作成] > [Windows 10 以降] から、プロファイルの種類の [テンプレート] > [設定カタログ] または [管理テンプレート] に移動します)。

この一連の "ADMX_" 設定を使用するには、Windows 10/11 デバイスに次の更新プログラムをインストールする必要があります。

Windows 11: 2022 年 3 月 28 日 — KB5011563 (OS ビルド 22000.593) プレビュー
Windows 10 (20H1、20H2、21H1、21H2): 2022 年 3 月 22 日 — KB5011543 (OS ビルド 19042.1620、19043.1620、19044.1620) プレビュー

これらの機能の詳細については、次を参照してください。

Windows Professional エディションをサポートするすべての ADMX 設定の一覧を表示するには、Windows ポリシー CSP 設定に移動します。 "ADMX_" で始まる設定では、Windows Professiona エディションがlサポートされます。

適用対象:

Windows 11
Windows 10

設定カタログでの新しい macOS 設定

[アカウント] > [モバイルアカウント]:

安全なトークン認証バイパスを依頼する
ログイン時に作成
有効期限切れ削除不要な秒数
作成時の警告
警告作成時許可許可しない

[アプリ管理] > [自律単一アプリモード]:

バンドル識別子
Team 識別子

[アプリ管理] > [NS 拡張機能管理]:

許可される拡張機能
拒否された拡張点
拒否された拡張機能

アプリストア:

ソフトウェア更新プログラムの通知を無効にする
ストアソフトウェア更新プログラムのみを制限する
restrict-store-disable-app-adoption

[認証] > [ディレクトリサービス]:

AD マルチドメイン認証の許可
AD マルチドメイン認証許可フラグ
AD ログイン時にモバイルアカウントを作成する
AD ログインフラグでモバイルアカウントを作成する
AD の既定のユーザーシェル
AD の既定のユーザーシェルフラグ
AD ドメイン管理者グループの一覧
AD ドメイン管理者グループリストフラグ
AD Force Home Local
AD Force Home Local Flag
AD Map GGID 属性
AD Map GGID 属性フラグ
AD Map GID 属性
AD Map GID 属性フラグ
AD マップ UID 属性
AD マップ UID 属性フラグ
AD マウントスタイル
AD 名前空間
AD 名前空間フラグ
AD 組織単位
AD パケット暗号化
AD パケット暗号化フラグ
AD パケット署名
AD パケット署名フラグ
AD 優先 DC サーバー
AD 優先 DC サーバーフラグ
AD 制限 DDNS
AD 制限 DDNS フラグ
AD 信頼変更パス間隔日数
AD 信頼変更パス間隔日数フラグ
AD Windows UNC パスを使用する
AD Windows UNC パスフラグを使用する
MA フラグ作成前の AD 警告ユーザー
クライアント ID
説明
Password
ユーザー名

[認証] > [識別]:

プロンプト
メッセージを表示する

[ログイン] > [ログインウィンドウのログイン項目]:

ログイン項目の抑制を無効にする

メディア管理ディスクの書き換え:

書き換えサポート

[保護者による制限] > [保護者による制限アプリケーションの制限]:

家族向けコントロールが有効になっている

[保護者による制限] > [保護者による制限コンテンツフィルター]:

Allowlist が有効になりました
Allowlist のフィルター
Blocklist のフィルター
サイト Allowlist
Address
ページタイトル
コンテンツフィルターを使用する

[保護者による制限] > [保護者による制限ディクショナリ]:

保護者による制限

[保護者による制限] > [保護者による制限センター]:

GK 機能アカウントの変更が許可されている

[システム構成] > [ファイルプロバイダー]:

属性を要求するためにマネージドファイルプロバイダーを許可する

[システム構成] > [スクリーンセーバー]:

パスワードを要求する
パスワードの遅延を要求する
ログインウィンドウのアイドル時間
ログインウィンドウモジュールのパス

[ユーザーエクスペリエンス] > [アクセシビリティ]:

書き換え禁止
接続の禁止
取り出しの禁止
フォルダーへの移動の禁止
デスクトップに外付けハードドライブを表示する
デスクトップにハードドライブを表示する
デスクトップにマウントされたサーバーを表示する
デスクトップにリムーバブルメディアを表示する
空のごみ箱で警告する

[ユーザーエクスペリエンス] > [管理メニューの追加機能]:

空港
バッテリー
Bluetooth
時計
CPU
遅延秒数
表示される内容
取り出す
FAX
HomeSync
iChat
インク
IrDA
最大待機時間 (秒)
PCCard
PPP
PPPoE
リモートデスクトップ
スクリプトメニュー
スペース
同期
テキスト入力
TimeMachine
ユニバーサルアクセス
User
容量
VPN
WWAN

[ユーザーエクスペリエンス] > [通知]:

アラートの種類
バッジが有効になっています
重要な通知が有効になっています
通知が有効になっています
ロック画面に表示する
通知センターに表示する
サウンドが有効になっています

[ユーザーエクスペリエンス] > [タイムマシン]:

自動バックアップ
すべてのボリュームをバックアップする
バックアップサイズ (MB)
バックアップスキップシステム
基本パス
モバイルバックアップ
パスをスキップする

Xsan:

San 認証方法

[Xsan] > [Xsan 環境設定]:

DLC を拒否する
マウントを拒否する
マウントのみ
DLC を優先する
DLC を使用する

次の設定は、設定カタログにも含まれます。以前は、テンプレートでのみ使用できました。

[アプリ管理] > [関連付けられたドメイン]:

直接ダウンロードを有効にする

[ネットワーク] > [コンテンツキャッシュ]:

キャッシュの削除を許可する
個人用キャッシュを許可する
キャッシュの共有を許可する
自動アクティブ化
テザリングキャッシュを自動的に有効にする
キャッシュの制限
データパス
テザリングキャッシュを拒否する
アラートを表示する
起動したままにする
範囲をリッスンする
リッスン範囲のみ
仲間と親でリッスンする
ローカルサブネットのみ
ログクライアント ID
親選択ポリシー
父母
ピアフィルター範囲
ピアリッスン範囲
ピアローカルサブネットのみ
ポート
パブリック範囲

制限事項:

アクティビティの継続を許可する
ゲームセンターのフレンドを追加できるようにする
エアドロップを許可する
自動ロック解除を許可する
カメラを許可する
クラウドアドレス帳を許可する
クラウドブックマークを許可する
クラウドカレンダーを許可する
クラウドデスクトップとドキュメントを許可する
クラウドドキュメント同期を許可する
クラウドキーチェーン同期を許可する
クラウドメールを許可する
クラウドメモを許可する
クラウドフォトライブラリを許可する
クラウドプライベートリレーを許可する
クラウドアラームを許可する
コンテンツキャッシュを許可する
診断の送信を許可する
ディクテーションを許可する
コンテンツと設定の消去を許可する
指紋でロック解除できるようにする
ゲームセンターを許可する
iTunes のファイル共有を許可する
マルチプレイヤーゲームを許可する
ミュージックサービスを許可する
パスコードの変更を許可する
パスワードの自動入力を許可する
パスワード近接要求を許可する
パスワード共有を許可する
リモート画面の観察を許可する
スクリーンショットを許可する
スポットライトインターネットの結果を許可する
壁紙の変更を許可する
強制フィンガープリントタイムアウト
適用されたソフトウェア更新プログラムの遅延
適用されたソフトウェア更新プログラムのメジャー OS 遅延インストール遅延
強制ソフトウェア更新プログラムのマイナー OS 遅延インストール遅延
適用されたソフトウェア更新プログラムの OS 以外の遅延インストールの遅延
クラスルームの自動参加を強制する
クラスを離れるためにクラスルームにアクセス許可の要求を強制する
クラスルームでアプリとデバイスロックのプロンプトを表示しないように強制する
アプリソフトウェア更新プログラムの強制遅延
メジャーソフトウェア更新プログラムの強制遅延
ソフトウェア更新プログラムの強制遅延
Safari にオートフィルを許可する

Intune でのカタログプロファイルの構成設定詳細については、「Microsoft Intune の設定カタログを使用してポリシーを作成する」を参照してください。

適用対象:

macOS

2022 年 4 月 11 日の週

デバイスの管理

デバイス診断フォルダー構造の更新

Intune Windows デバイス診断データが更新された形式でエクスポートされるようになりました。更新された形式では、収集されたログは収集されたデータと一致するように名前が付けられ、複数のファイルが収集されるとフォルダーが作成されます。以前の形式では、zip ファイルは、コンテンツを識別しない番号付きフォルダーによるフラットな構造を使用しました。

この診断ログ更新プログラムを利用するには、デバイスで次のいずれかの更新プログラムをインストールする必要があります:

Windows 11 - KB5011563
Windows 10 - KB5011543

これらの更新プログラムは、2022 年 4 月 12 日の Windows Update を通じて入手できます。

アプリ管理

マネージド macOS デバイスで DMG 型アプリケーションをアンインストールする (パブリックプレビュー)

アンインストール 割り当ての種類を使用して、マネージド macOS デバイス上の DMG 型アプリケーションを Microsoft エンドポイントマネージャーから削除できます。 Microsoft エンドポイントマネージャー管理センターで macOS DMG アプリを見つけるには、[アプリ] > [macOS] > [macOS アプリ (.DMG)] の順に選択します。関連情報については、「macOS DMG アプリを Microsoft Intune に追加する」を参照してください。

2022 年 4 月 4 日の週

デバイスのセキュリティ

エンドポイントセキュリティポリシーのための新しいプロファイルテンプレートと設定の構造

設定カタログにある設定形式を使用する、新しいエンドポイントセキュリティプロファイルテンプレートのリリースを開始しました。新しくなった各プロファイルテンプレートには、置き換わる以前のプロファイルと同じ設定が含まれる一方で、次の機能強化が行われます:

設定名は Windows CSP 名と一致します: ほとんどの場合、新しいプロファイルの各設定名は、設定が構成する CSP の名前と一致します。ただし、Intune UI では設定名を読みやすくするために、その名前にスペースを追加しました。たとえば、Intune UI の [USB 接続を許可する] という名前の設定は、AllowUSBConnection という名前の CSP を構成します。
設定オプションは、Windows CSP のオプションに合わせて調整されます: 設定のオプションは、Windows CSP で説明およびサポートされているオプション、及び追加の 1 オプションとともに、直接一致するようになりました。追加には、[未構成] オプションが含まれています。設定が [未構成] に設定されている場合、その Intune プロファイルはその設定をアクティブに管理しません。プロファイルについて、有効な構成から未構成に変更されると、Intune はその設定のための有効な構成について、そのデバイスへの適用を停止します。
設定のガイダンスは、Windows CSP から取得されます: Intune UI で見つかった設定に関する情報は、Windows CSP コンテンツから直接取得されます。詳細については、関連する CSP のドキュメントを開くリンク、またはその CSP を含むコンテンツページを参照してください。CSP は、設定の動作を定義および管理します。

新しいプラットフォームとプロファイルテンプレートをポリシーの種類で使用できる場合、同じ名前の以前のプロファイルを使用して新しいプロファイルを作成できなくなります。代わりに、新しいプロファイルで新しいプロファイルと設定の形式を使用する必要があります。最終的には、以前のプロファイルが新しいプロファイル形式への変換でサポートされます。変換が可能になるまでは、既存のプロファイルを使用、編集、デプロイできます。

次のプロファイルテンプレートが新しい設定形式で使用できるようになりました:

ポリシーの種類	プラットフォーム	プロファイル (テンプレート) 名
ウイルス対策	Windows 10、Windows 11 および Windows Server	Windows セキュリティエクスペリエンス
ウイルス対策	Windows 10、Windows 11 および Windows Server	Windows Defender ウイルス対策
ウイルス対策	Windows 10、Windows 11 および Windows Server	Windows Defender ウイルス対策の除外
ファイアウォール	Windows 10、Windows 11 および Windows Server	Microsoft Defender ファイアウォール
ファイアウォール	Windows 10、Windows 11 および Windows Server	Microsoft Defender ファイアウォールルール
エンドポイントの検出および応答	Windows 10、Windows 11 および Windows Server	エンドポイントの検出および応答
攻撃面の縮小	Windows 10 以降	攻撃面の減少ルール
攻撃面の縮小	Windows 10 以降	エクスプロイト保護

デバイス管理

Microsoft エンドポイントマネージャープレミアムアドオン

Microsoft エンドポイントマネージャーでは、IT 管理者がプレミアムアドオン機能を特定できるように、新しい一元化されたエクスペリエンスを導入しています。これらの機能は、Intune を使用する Microsoft エンドポイントマネージャーで利用できる追加のライセンスコストとして、追加できます。最初のプレミアムアドオンはリモートヘルプです。

Intune のプレミアムアドオンは、[テナント管理] > [プレミアムアドオン] の下にあります。 サマリー ブレードには、リリースされたすべてのプレミアムアドオン、簡単な説明、およびアドオンの状態が表示されます。各アドオンの状態は、[アクティブ] または [試用または購入が可能] として表示できます。プレミアムアドオン機能は、グローバル管理者と課金管理者がプレミアムアドオンの試用版を開始したり、ライセンスを購入したりするために使用できます。

プレミアムアドオンの詳細については、「Intune でプレミアムアドオン機能を使用する」を参照してください。

2022 年 3 月 28 日の週

アプリ管理

Intune 用に新しく利用可能になった保護されたアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

Inkscreen LLC による Intune の CAPTOR™

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

2022 年 3 月 21 日の週 (サービスリリース 2203)

アプリ管理

iOS/iPadOS の通知には、3 月ポータルサイト更新プログラムが必要です

iOS/iPadOS ポータルサイトプッシュ通知を生成できる機能を使用している場合は、ユーザーが 2022 年 3 月または 4 月に iOS/iPadOS ポータルサイトを更新することを確認する必要があります。機能に追加の変更はありません。 Intune の 5 月 (2205) のサービスリリースで、iOS/iPadOS 通知のサービス側の更新を行う予定です。ポータルサイト更新プログラムはサービスの変更前にリリースされるため、ほとんどのユーザーはアプリを更新している可能性が高く、影響を受けることはありません。ただし、組織から送信されたプッシュ通知をすべてのユーザーが引き続き受信できるように、この変更をユーザーに通知することをお勧めします。関連情報については、「ポータルサイトアプリの更新」を参照してください。

ポータルサイトアプリと Microsoft Intune アプリのフィードバック設定

フィードバック設定は、現在ログインしているユーザーの M365 エンタープライズフィードバックポリシーに対応するために、Microsoft 365 Apps 管理センターを介して提供されます。この設定は、フィードバックを有効にできるかどうか、またはユーザーに対して無効にする必要があるかどうかを判断するために使用されます。この機能は、Intune ポータルサイトと Microsoft Intune アプリで使用できます。詳細については、「ポータルサイトアプリと Microsoft Intune アプリのフィードバック設定を構成する」を参照してください。

PKG タイプのインストーラーファイルをアップロードして、macOS LOB アプリを展開する (パブリックプレビュー)

macOS 基幹業務アプリとして PKG タイプのインストーラーファイルをアップロードして展開できるようになりました。 [アプリ] > [macOS] > [追加] > [基幹業務アプリ] を選択すると、Microsoft エンドポイントマネージャー管理センターから macOS LOB アプリを追加できます。 macOS LOB アプリの詳細については、「macOS 基幹業務アプリを Microsoft Intune に追加する方法」を参照してください。

デバイス管理

Android エンタープライズデバイスの IPv4 アドレスと Wi-Fi サブネット ID を確認する

お客様は、Android エンタープライズ企業所有のフルマネージド、専用、および仕事用プロファイルデバイスについて報告された IPv4 アドレスと Wi-Fi サブネット ID を表示できます。

Android (AOSP) ユーザーは Intune アプリですべてのデバイスを表示できます

AOSP デバイスユーザーは、Microsoft Intune アプリで管理対象デバイスとデバイスプロパティのリストを表示できるようになりました。この機能は、Intune にユーザー関連 (Android) AOSP デバイスとして登録されているデバイスで使用できます。

iOS/iPadOS の eSim 携帯データ通信プランを一括更新する (パブリックプレビュー)

デバイスの一括操作 ([デバイス] > [デバイスの一括操作] > [携帯データネットワークの更新]) を実行して、携帯データネットワークプランをサポートしている iOS/iPadOS デバイスで、プランをリモートでアクティブ化または更新できるようになりました。この機能は現在パブリックプレビューの段階です。関連情報については、「デバイスの一括操作を使用する」を参照してください。

iOS/iPadOS デバイスの一括ワイプ時に携帯データネットワークプランを保持する

デバイスの一括操作 ([デバイス] > [デバイスの一括操作] > [ワイプ]) を実行して、Intune から iOS/iPadOS デバイスをリモートでワイプすると、デバイス上のすべての携帯データネットワークプランが保持されます。ただし、デバイスのデータプランを削除する場合は、デバイスをワイプするときに、チェックボックスをオンにして、携帯データネットワークプランを削除するオプションがあります。関連情報については、「デバイスの一括操作を使用する」を参照してください。

Android エンタープライズ企業所有デバイスのシステム更新プログラムのインストールを凍結する

バージョン 9.0 以降を実行する Android エンタープライズ企業所有のデバイスの場合、システムまたはセキュリティ更新プログラムをインストールできない凍結期間を構成できます。

凍結を構成するには、Intune デバイス制限プロファイルを使用して、毎年繰り返すことができる 1 つ以上のブロックを設定します。各ブロックは最大 90 日間使用できますが、システム更新プログラムのインストールが許可されている場合は、凍結期間の間に最低 60 日の間隔が必要です。

凍結期間の構成の詳細については、「Intune を使用して機能を許可または制限する Android エンタープライズデバイス設定での システム更新プログラムの凍結期間」を参照してください。

凍結を実装するための Android の要件については、Google 開発者ドキュメントの「FreezePeriod」を参照してください。

デバイスのセキュリティ

テナントのアタッチ: ウイルス対策プロファイル

エンドポイントセキュリティの Microsoft Defender ウイルス対策プロファイルの一般提供が開始されました。詳細については、「テナントのアタッチ: 管理センターからウイルス対策ポリシーを作成して展開する」を参照してください。

監視とトラブルシューティング

AppxPackaging イベントビューアーは、診断の収集の一部です

診断を収集するための Intune リモートアクションは、Windows デバイスから追加の詳細を収集します。 ([デバイス] > [Windows] > [Windows デバイスを選択] > [診断の収集])

新しい詳細には、Microsoft-Windows-AppxPackaging/Operational イベントビューアーと、Office のインストールに関する問題のトラブルシューティングに役立つ次の Office ログファイルが含まれます。

%windir%\temp\%computername%*.log
%windir%\temp\officeclicktorun*.log

デバイスの登録

登録済みの macOS デバイスでブートストラップトークンを利用する (パブリックプレビュー)

Intune では、macOS バージョン 10.15 以降を実行している登録済みデバイスでのブートストラップトークンの使用がサポートされるようになりました。ブートストラップトークンを使用すると、管理者以外のユーザーは MDM アクセス許可を増やし、IT 管理者の代わりに特定のソフトウェア機能を実行できます。トークンは、次の場合にサポートされます。

監視対象デバイス (Intune では、ユーザーが承認したすべての登録が対象)
Apple 自動デバイス登録を介して Intune に登録されたデバイス

ブートストラップトークンは 2022 年 3 月 26 日までに機能を開始しますが、すべてのテナントで機能を開始するまでには時間がかかる場合があります。

Intune でのブートストラップトークンのしくみの詳細については、「macOS デバイスの登録を設定する」を参照してください。

Apple シリコンを実行している macOS 仮想マシンを登録する

macOS 用のポータルサイトアプリを使用して、Apple シリコンで実行されている仮想マシンを登録します。 Intune では、テスト目的でのみ macOS 仮想マシンの使用がサポートされています。 Intune での仮想マシンの登録の詳細については、「macOS デバイスの登録を設定する」を参照してください。

デバイス構成

デバイス構成プロファイルの新しいレポートエクスペリエンス

デバイス構成プロファイルの新しいレポートエクスペリエンスが提供されるようになりました。このレポートエクスペリエンスでは、Windows 管理テンプレート (ADMX)、OEMConfig を使用する Android エンタープライズデバイス、およびデバイスファームウェア構成インターフェイス (DFCI) プロファイルタイプは除外されます。

一貫性、精度、組織、およびデータ表現を強化するために、Intune のレポートエクスペリエンスを更新し続けています。これにより、ポリシーごとの Intune のレポートの全体的な "改修" が可能になります。新しいエクスペリエンスでは、ポリシーごとの概要ページが更新され、ドーナツグラフから、デバイス/ユーザーのチェックイン時にすばやく更新される洗練された概要グラフに移行します。

ポリシービューでは、次の 3 つのレポートを使用できます。

デバイスとユーザーのチェックイン状態 - このレポートは、以前にデバイスの状態レポートとユーザーの状態レポートに分かれていた情報を統合したものです。このレポートには、デバイス構成プロファイルのデバイスとユーザーのチェックインのリストと、チェックインの状態と最後のチェックイン時刻が表示されます。レポートを開くと、集計グラフはページの上部に残り、データはリストデータと一致します。割り当てフィルターオプションを表示するには、フィルター列を使用します。
デバイスの割り当て状態 - このレポートは、デバイス構成プロファイルからの、割り当てられたデバイスの最新の状態に関するデータを表示します。Intune レポートには、保留中の状態情報が含まれます。
設定ごとの状態 - このレポートには、デバイス構成プロファイル内の詳細な設定レベルで、成功、競合、エラー 状態にあるデバイスとユーザーのチェックインの概要が表示されます。このレポートでは、他のレポートで使用できるようにしたのと同じ整合性とパフォーマンスの更新とナビゲーションツールが利用されます。

さらに多くのドリルダウンを使用でき、各レポートで追加の割り当てフィルターがサポートされています。各レポートの詳細については、「Intune レポート」を参照してください。

Google Chrome の設定は、設定カタログと管理用テンプレートにある

Google Chrome の設定は、設定カタログと管理用テンプレート (ADMX) に含まれています。以前は、Windows デバイスで Google Chrome の設定を構成するために、カスタムの OMA-URI デバイス構成ポリシーを作成しました。

これらのポリシーの種類の詳細については、以下を参照してください。

適用対象:

Windows 10 または 11

新しい macOS 設定 (設定カタログ)

ユーザーエクスペリエンス > アクセシビリティ:

遠点のビューを閉じる
ホットキーが有効なビューを閉じる
近点のビューを閉じる
スクロールホイールトグルのビューを閉じる
滑らかな画像のビューを閉じる
コントラスト
フラッシュ画面
マウスドライバー
マウスドライバーのカーソルサイズ
マウスドライバーのトラックパッド無視
マウスドライバーの初期遅延
マウスドライバーの最大速度
スローキー機能
スローキーのビープ音オン
スローキーの遅延
モノラルとしてのステレオ
固定キー機能
修飾子の固定キーのビープ音
固定キーの表示ウィンドウ
ボイスオーバーオンオフキー
黒の上に白

エアプレイ:

許可リスト
Password

ユーザーエクスペリエンス > デスクトップ:

画像のパスをオーバーライドする

ユーザー設定 > グローバルのユーザー設定:

自動ログアウトの遅延
複数のセッションが有効

印刷 > 印刷:

管理者にローカルでの印刷を要求する

セキュリティ > セキュリティのユーザー設定:

ファイアウォール UI を許可しない
ロックメッセージ UI を許可しない
パスワードリセット UI を許可しない

ユーザー設定 > システムのユーザー設定:

無効なユーザー設定ウィンドウ
有効なユーザー設定ウィンドウ

ユーザー設定 > ユーザーの基本設定:

クラウドパスワードの使用を無効にする

次の設定は、設定カタログにも含まれます。以前は、テンプレートでのみ使用できました。

印刷 > Air Print:

IP アドレス
リソースパス

ネットワーク > ファイアウォール:

可
バンドル ID
すべての受信をブロックする
ファイアウォールを有効にする
ステルスモードを有効にする

ログイン > ログインアイテム:

非表示

ログイン > ログインウィンドウの動作:

管理者ホスト情報
許可リスト
拒否リスト
コンソールアクセスを無効にする
即時画面ロックを無効にする
管理者ユーザーを非表示にする
ローカルユーザーを非表示にする
ネットワークユーザーを含める
ログイン中にログアウトが無効になりました
ログインウィンドウのテキスト
ログイン中に電源オフが無効になりました
再起動が無効になりました
ログイン中に再起動が無効になりました
フルネームの表示
管理されている他のユーザーを表示する
シャットダウンが無効になりました
ログイン中にシャットダウンが無効になりました
スリープが無効になりました

システムポリシー > システムポリシーコントロール:

特定された開発者を許可する
評価を有効にする

システムポリシー > システムポリシー管理:

オーバーライドを無効にする

Intune でのカタログプロファイルの構成設定詳細については、「Microsoft Intune の設定カタログを使用してポリシーを作成する」を参照してください。

適用対象:

macOS

役割ベースのアクセス制御

Android (AOSP) では、スコープタグと RBAC 設定がサポートされる

Android (AOSP) のポリシーを作成するときに、ロールベースのアクセス制御 (RBAC) とスコープタグを使用できます。

これらの機能の詳細については、以下を参照してください。

適用対象:

Android Open Source Project (AOSP)

2022 年 3 月 14 日の週

アプリ管理

Android 12L OS を使用する場合のアプリ UI

Android 12L OS には、大型の折りたたみ式デュアルスクリーンデバイスでの Android 12 エクスペリエンスを向上させるために設計された新機能が含まれています。 Intune アプリでは、Android デュアルスクリーンデバイスの Android 12L OS がサポートされるようになりました。

Managed Home Screen アプリを使用して Android Enterprise デバイスのシリアル番号を表示する

Managed Home Screen を使用する Android Enterprise 専用デバイスでは、アプリ構成を使用して、サポートされているすべての OS バージョン (8 以上) でデバイスのシリアル番号を表示するように Managed Home Screen アプリを構成できるようになりました。 Managed Home Screen アプリに関連する情報については、「Microsoft Managed Home Screen app for Android Enterprise の構成を参照してください。

2022 年 2 月 28 日の週

デバイス構成

Apple の自動デバイス登録のためのセルラーデータプラン

自動デバイス登録（ADE）を構成する際の iOS/iPadOS 登録プロファイルの一部として、セルラーデータをアクティブ化するようにデバイスを構成できるようになりました。このオプションを構成すると、組織の eSIM 対応の携帯電話デバイスの携帯電話データプランをアクティブ化するコマンドが送信されます。このコマンドを使用してデータプランをアクティブ化するには、通信事業者がデバイスのライセンス認証を準備する必要があります。この設定は、ADE に登録している iOS/iPadOS 13.0 以降を実行しているデバイスに適用されます。詳細については、「Apple の自動デバイス登録を使用して iOS または iPadOS デバイスを自動登録する」を参照してください。

2022 年 2 月 21 日の週 (2202 サービスリリース)

デバイスのセキュリティ

モバイル脅威防御パートナーの Zimperium が GCC High テナントで利用可能になりました

Zimperium は、米国の GCC High 環境でモバイル脅威防御 (MTD) パートナーとして利用できるようになりました。

このサポートにより、GCC High テナントで有効にできる MTD コネクタのリストで、Zimperium 用の Intune コネクタを利用できるようになります。

GCC High 環境はより規制された環境であり、GCC High 環境でサポートされている MTD パートナー用のコネクタのみが使用可能です。 GCC High テナントでのサポートの詳細については、「Microsoft Intune for US Government GCC High および DoD サービスの説明」を参照してください。

Intune がサードパーティの MTD パートナーに送信する iOS/iPadOS デバイスのアプリインベントリデータを管理する

Intune が選択したサードパーティのモバイル脅威防御 (MTD) パートナーに送信する、個人所有の iOS/iPadOS デバイスのアプリケーションインベントリデータの種類を構成できるようになりました。

アプリのインベントリデータを制御するには、パートナーのモバイルの脅威保護コネクタの MDM コンプライアンスポリシー設定 の一部として次の設定を構成します。

個人所有の iOS/iPadOS デバイスで完全なアプリケーションインベントリデータを送信する

この設定のオプションは次のとおりです。
- On - MTD パートナーがアプリデータを同期し、Intune から iOS/iPadOS アプリケーションのリストを要求した場合、そのリストには、Intune を介して展開されたアプリに加えて、管理されていないアプリ (Intune を介して展開されていないアプリ) が含まれます。これが現在の動作です。
- オフ - 管理されていないアプリに関するデータは提供されず、MTD パートナーは Intune を介してデプロイされたアプリに関する詳細のみを受け取ります。

企業デバイスの場合、マネージドアプリとアンマネージドアプリに関するデータは、MTD ベンダーによるアプリデータのリクエストに引き続き含まれます。

デバイスの管理

Android 専用 (COSU) デバイスでのオーディオアラートのサポート

紛失または盗難にあった Android Enterprise 専用デバイスの場所を特定するために、紛失または盗難にあったデバイスの再生 アクションを使用して、デバイスでアラーム音をトリガーできるようになりました。詳細については、「紛失したまたは盗まれたデバイスを検索する」を参照してください。

iOS/iPadOS デバイスでオンデマンド VPN デバイス構成ポリシーを作成する際の UI の更新

iOS/iPadOS デバイス用のオンデマンド VPN 接続を作成できます ([デバイス] > [構成プロファイル] > [プロファイルの作成] > [iOS/iPadOS][プラットフォーム用] > [VPN[プロファイルタイプ] > [自動 VPN > [オンデマンド VPN])。

UI は、Apple の技術的な命名に厳密に一致するように更新されています。構成できるオンデマンド VPN 設定を確認するには、「iOSおよび iPadOSデバイスの自動 VPN 設定」に移動します。

適用対象:

iOS/iPadOS

Android Enterprise では、エンタープライズ Wi-Fiプロファイルの [自動的に接続] 設定を使用します

Android Enterprise デバイスでは、一般的なエンタープライズ Wi-Fi 設定を含む Wi-Fi プロファイルを作成できます ([デバイス] > [構成プロファイル] > [プロファイルの作成] > [Android Enterprise] (プラットフォーム) > [フルマネージド、専用、および企業所有の仕事用プロファイル] > [Wi-Fi] (プロファイルの種類 > Wi-fi タイプ Enterprise))。

デバイスが範囲内にあるときに Wi-Fi ネットワークに自動的に接続する [自動接続] 設定を構成できます。

構成できる設定を確認するには、「Android Enterprise 専用の完全に管理されたデバイスに Wi-Fi 設定を追加する」に移動します。

適用対象:

会社所有 Android Enterprise フルマネージド (COBO)
会社所有 Android Enterprise 専用デバイス (COSU)

グループポリシー分析の移行準備レポートの非推奨ステータスは、GPO を自動的に再評価します

グループポリシー分析を使用すると、グループポリシーオブジェクト (GPO) をインポートして、Microsoft Intune などの MDM プロバイダーでサポートされている設定を確認できます。また、非推奨の設定や、MDM プロバイダーで使用できない設定も示されます。

Intune 製品チームは、マッピングロジックを更新します。更新が行われると、非推奨の設定が自動的に再評価されます。以前は、GPO を再インポートする必要がありました。

グループポリシー分析とレポートの詳細については、「Microsoft Endpoint Manager のグループポリシー分析を使用してオンプレミスのグループポリシーオブジェクト (GPO) を分析する」を参照してください。

適用対象:

Windows 11
Windows 10

Android (AOSP)ユーザー関連デバイスの利用規約を作成する

Android (AOSP) ユーザーに、デバイスを登録する前に Intune ポータルサイトアプリの利用規約に同意するように要求します。この機能は、企業所有のユーザー関連デバイスでのみ使用できます。 Intune での使用条件の作成の詳細については、「ユーザーアクセスの使用条件」を参照してください。

Microsoft Intune または Microsoft Intune Enrollment クラウドアプリで Azure AD の利用規約を適用する

Microsoft Intune クラウドアプリや Microsoft Intune Enrollment クラウドアプリを使用して、自動デバイス登録中に iOS および iPadOS デバイスに条件付きアクセスである Azure AD 利用規約の承認ポリシーを適用します。この機能は、認証方法として最新の認証を使用するセットアップアシスタントを選択した場合に使用できます。どちらのクラウドアプリも、条件付きアクセスポリシーで必要な場合、ユーザーが登録中またはポータルサイトのサインイン中に利用規約に同意することを保証します。

新しい macOS 設定 (設定カタログ)

[設定カタログ] には、デバイスポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。設定カタログポリシーを作成すると、macOS デバイスで使用できる新しい設定があります ([デバイス] > [構成プロファイル] > [プロファイルの作成] > ( プラットフォームの場合は macOS) > プロファイルタイプの場合は 設定カタログ）。

新しい設定には、次のものが含まれます。

ドメイン > メールドメイン
印刷 > 印刷:
- ローカルプリンターを許可する
- 既定のプリンター
  - デバイス URI
  - 表示名
- フッターのフォント名
- フッターのフォントサイズ
- 印刷フッター
- MAC アドレスの印刷
- プリンターの追加に管理者を要求する
- 管理されたプリンターのみを表示する
- ユーザープリンターの一覧
  - デバイス URI
  - 表示名
  - 場所
  - モデル
  - PPD URL
  - プリンターがロックされている
プロファイルの削除パスワード > 削除パスワード
グローバル HTTP プロキシ:
- プロキシキャプティブログイン許可
- プロキシ PAC フォールバックの許可
- プロキシ PAC URL
- プロキシパスワード
- プロキシサーバー
- プロキシサーバーポート
- プロキシの種類
- プロキシユーザー名

Intune でのカタログプロファイルの構成設定詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

監視とトラブルシューティング

リモートヘルプが Microsoft エンドポイントマネージャー管理センターに移動しています

Microsoft エンドポイントマネージャー管理センターのリモートヘルプページが移動し、コネクタとトークン の代わりに テナント管理 の直下で利用できるようになりました。リモートヘルプの詳細については、「リモートヘルプの使用」を参照してください。

2022 年 2 月 7 日の週

デバイスのセキュリティ

Red Hat Enterprise Linux 8.5 に対する Microsoft Tunnel のサポート

これで、Microsoft Tunnel で Red Hat Enterprise Linux (RHEL) 8.5 を使用できます。

RHEL 8.5 をサポートするために、Linux カーネルに ip_tables モジュールが存在するかどうかの新しいチェックで、準備ツール (mst-readiness) も更新しました。既定では、RHEL 8.5 は ip_tables モジュールをロードしません。

アプリ管理

ポータルサイトアプリの高度なログ設定

[高度なログを有効にする] 設定は、iOS/iPadOS および macOS の Intune ポータルサイトアプリバージョン v5.2202 以降で使用できます。デバイスユーザーは、デバイスの高度なログを有効または無効にできます。高度なログを有効にすると、問題のトラブルシューティングのために詳細なログレポートが Microsoft に送信されます。既定では、[高度なログを有効にする] 設定はオフになっています。デバイスユーザーは、組織の IT 管理者から特に指示がない限り、この設定をオフにしておく必要があります。関連情報については、「Microsoft とポータルサイトの使用状況データを共有する」および「macOS のポータルサイトの設定を管理する」を参照してください。

2022 年 1 月 31 日の週

デバイスのセキュリティ

iOS/iPadOS 用 Microsoft Defender for Endpoint アプリの Tunnel クライアント機能のパブリックプレビュー

iOS/iPadOS 用の Microsoft Tunnel クライアント機能は、Microsoft Defender for Endpoint アプリに移行しています。このプレビューでは、サポートされているデバイスの Tunnel アプリとして、Microsoft Defender for Endpoint のプレビューバージョンの使用を開始できます。既存の Tunnel クライアントは引き続き利用できますが、最終的には Defender for Endpoint アプリに移行されます。

このパブリックプレビューの適用対象:

iOS/iPadOS

このプレビューでは、Microsoft Defender for Endpoint のプレビューバージョンを Apple App Store でダウンロードし、サポートされているデバイスをスタンドアロンの Tunnel クライアントアプリからプレビューアプリに移行します。詳細については、Microsoft Defender For Endpoint アプリへの移行に関する記事を参照してください。

スクリプト/開発者

Intune Data Warehouse の更新プログラム

applicationInventory エンティティが Intune Data Warehouse から削除されました。 UI と Intune のエクスポート API を使用して、新しいデータセットを使用できるようになりました。詳細情報については、「Graph API を使用して Intune レポートをエクスポートする」を参照してください。

2022 年 1 月 24 日の週 (サービスリリース 2201)

アプリ管理

管理対象の macOS デバイスに DMG タイプのアプリケーションを展開する

必要な 割り当ての種類を使用して、Microsoft エンドポイントマネージャーから管理対象 Mac に DMG タイプのアプリケーションをアップロードして展開できます。 DMG は、Apple ディスクイメージファイルのファイル拡張子です。 DMG タイプのアプリは、macOS 用の Microsoft Intune MDM エージェントを使用して展開されます。 [アプリ] > [macOS] > [追加] > [macOS アプリ (DMG)] を選択すると、Microsoft エンドポイントマネージャー管理センターから DMG アプリを追加できます。詳細については、「macOS DMG アプリを Microsoft Intune に追加する」を参照してください。

デバイスの管理

Windows VPN プロファイルを作成するときに、ユーザーまたはデバイスのスコープを選択する

VPN 設定を構成する Windows デバイス用の VPN プロファイルを作成できます (プラットフォームの場合 [デバイス] > [構成プロファイル] > [プロファイルの作成] > [Windows 10 以降] > プロファイルの場合 [テンプレート] > [VPN])。

プロファイルを作成するときは、[この VPN プロファイルをユーザー/デバイススコープで使用する] 設定を使用して、プロファイルをユーザースコープまたはデバイススコープに適用します。

ユーザースコープ: VPN プロファイルは、デバイスのユーザーのアカウント内にインストールされます。
デバイススコープ: VPN プロファイルはデバイスコンテキストにインストールされ、デバイス上のすべてのユーザーに適用されます。

既存の VPN プロファイルは既存のスコープに適用され、この変更による影響を受けません。デバイススコープが必要なデバイストンネルが有効になっているプロファイルを 除いて、すべての VPN プロファイルがユーザースコープにインストールされます。

現在構成できる VPN 設定の詳細については、「Intune を使用して VPN 接続を追加するための Windows デバイス設定」を参照してください。

適用対象:

Windows 11
Windows 10

フィルターは一般提供されています (GA)

フィルターを使用して、さまざまなデバイスプロパティに基づいて、ワークロードの割り当て (ポリシーやアプリなど) にデバイスを含めたり除外したりできます。フィルターが一般提供 (GA) されました。

フィルターの詳細については、アプリ、ポリシー、プロファイルを割り当てるときにフィルターを使用する方法に関する記事を参照してください。

Android Enterprise デバイスの自動デバイスクリーンアップルールのサポート

Intune は、非アクティブ、古い、または応答していないように見えるデバイスを自動的に削除するルールの作成をサポートしています。これらのクリーンアップルールは、以前はサポートされていなかった Android Enterprise デバイスで使用できるようになりました。これらのルールは現在、次の場合にサポートされています。

Android Enterprise のフルマネージド
Android Enterprise 専用
Android Enterprise の会社所有の仕事用プロファイル

クリーンアップルールの詳細については、「クリーンアップルールを使用してデバイスを自動的に削除する」を参照してください。

診断の収集を使用して、Intune リモートアクションを通じて Windows 365 デバイスから追加の詳細を収集する

診断を収集するための Intune リモートアクションは、Windows 365 (Cloud-PC) デバイスから追加の詳細を収集するようになりました。 Windows 365 デバイスの新しい詳細には、次のレジストリデータが含まれます。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\AddIns\WebRTC Redirector
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Teams\

Windows 365 デバイスでサポートされているリモートアクションについては、「Windows 365 デバイスのリモート管理」を参照してください。

テナント接続機能は一般提供されています (GA)

次のテナント接続機能が一般提供されています。

クライアントの詳細
アプリケーション
デバイスのタイムライン
リソースエクスプローラー
CMPivot
スクリプト
BitLocker 回復キー
コレクション

デバイスのセキュリティ

パブリックプレビューのデバイスでローカルグループのユーザーを構成するための新しいアカウント保護ポリシー

パブリックプレビューでは、Intune アカウント保護ポリシーの新しいプロファイルを使用して、Windows 10 および 11 デバイスの組み込みローカルグループのメンバーシップを管理できます。

各 Windows デバイスには、一連の組み込みローカルグループが付属しています。各ローカルグループには、そのグループ内で権限を持つユーザーのセットが含まれています。エンドポイントセキュリティアカウント保護ポリシーの新しいローカルユーザーグループメンバーシップ (プレビュー) プロファイルを使用すると、これらのローカルグループのメンバーであるユーザーを管理できます。

ローカルグループのメンバーシップを構成するには、変更する組み込みのローカルアカウントを選択し、次に、グループ内で追加、削除、または他のユーザーと置き換えるユーザーを選択します。ポリシーを受信する各デバイスは、それらのローカルグループのメンバーシップを更新します。各デバイスのグループメンバーシップの変更は、ポリシー CSP - LocalUsersAndGroups を使用して行われます。

詳細については、「Windows デバイスでのローカルグループの管理」を参照してください。

2022 年 1 月 3 日の週

デバイス管理

展開前にフィルター処理されたデバイスのリストをプレビューする

Microsoft Intune でフィルターを作成または編集すると、フィルター処理されたデバイスのリストをプレビューできるようになります。新しいビューでは、フィルターがデバイスに与える影響をすぐにプレビューし、フィルタールールを調整して目的の結果を達成できるため、テストフィルターを適用する必要がなくなります。 Microsoft Intuneでフィルターを使用する方法の詳細については、「フィルターを作成する」を参照します。

2021 年 12 月 13 日の週 (2112 サービスリリース)

デバイスの管理

管理センター内からリモートヘルプを起動する

これで、Microsoft Endpoint Manager 管理センター内からリモートヘルプを起動できます。これを行うには、管理センターで [すべてのデバイス] に移動し、支援が必要なデバイスを選択します。次に、[新しいリモートヘルプセッション] を選択します。これは、デバイスビューの上部にあるリモートアクションバーから利用できます。

エンドポイント分析フィルタリング

エンドポイント分析レポートのテーブルにフィルターを追加できるようになりました。フィルターを使用すると、環境の傾向を見つけたり、潜在的な問題を特定したりできます。

フィルターを使用して管理センターで Endpoint Analytics プロアクティブ修復スクリプトを割り当てる - パブリックプレビュー

エンドポイントマネージャー管理センターでは、フィルターを作成してから、アプリとポリシーを割り当てるときにこれらのフィルターを使用できます。フィルターを使用して、次のポリシーを割り当てることができるようになります:

エンドポイント分析のプロアクティブな修復 Windows PowerShell スクリプト ([レポート] > [エンドポイント分析] > [プロアクティブな修復])

フィルターの詳細については、「アプリ、ポリシー、プロファイルを割り当てるときにフィルター (プレビュー) を使用する」を参照してください。

適用対象:

Windows 11
Windows 10

デバイス構成

デバイス構成プロファイルでエラーまたは競合が発生したプロファイルの数を表示する新しいオプション

Endpoint Manager 管理センターには、新しい [エラーまたは競合のある X ポリシー] オプションがあります。このオプションを選択すると、[デバイス] > [モニター] > [割り当て失敗] レポートに自動的に移動します。このレポートは、エラーと競合のトラブルシューティングに役立ちます。

この新しいオプションは、Endpoint Manager 管理センターの次の場所で使用できます:

ホームページ
ダッシュボード

詳細については、「Microsoft Intune のデバイスプロファイルの監視」および「割り当て失敗レポート」を参照してください。

適用対象:

Windows 11
Windows 10

iOS/iPadOS および macOS デバイス用の新しいタイムアウトと iCloud プライベートリレーをブロックする設定

iOS/iPadOS および macOS デバイスでは、デバイスの機能を管理するデバイス制限ポリシーを作成できます ([デバイス] > [構成プロファイル] > [プロファイルの作成] > [iOS/iPadOS] または [macOS] (プラットフォーム) > [デバイス制限])。

新しい設定があります:

iOS/iPadOS:
- iCloud プライベートリレーをブロックする: 監視対象デバイスでは、この設定により、ユーザーは iCloud プライベートリレーを使用できなくなります (Apple の Web サイトを開きます)。
macOS
- iCloud プライベートリレーをブロックする: 監視対象デバイスでは、この設定により、ユーザーは iCloud プライベートリレーを使用できなくなります (Apple の Web サイトを開きます)。
- タイムアウト: ユーザーは、指紋などの Touch ID を使用してデバイスのロックを解除できます。この設定を使用して、ユーザーが一定期間操作を行わなかった後にパスワードを入力するように要求します。既定の非アクティブ期間は 48 時間です。 48 時間操作がないと、デバイスは Touch ID の代わりにパスワードの入力を求めます。

適用対象:

iOS/iPadOS 15 以降
macOS 12 以降

仕事用プロファイルを持つ Android Enterprise 企業所有デバイスの新しいデバイス制限設定

Android Enterprise デバイスでは、デバイスの機能を制御する設定を構成できます ([デバイス] > [構成プロファイル] > [プロファイルの作成] > [Android Enterprise] 　(プラットフォーム) > [デバイス制限] (プロファイルの種類) > [全般])。

仕事用プロファイルを備えた Android Enterprise の企業所有デバイスには、次の新しい設定があります:

仕事用連絡先を検索し、仕事用連絡先の発信者 ID を個人用プロファイルに表示する
仕事用プロファイルと個人用プロファイルの間でのコピー/貼り付け
仕事用プロファイルと個人プロファイル間のデータ共有

現在構成できる設定の詳細については、「Intune を使用して機能を許可または制限するための Android Enterprise デバイスの設定」を参照してください。

適用対象:

会社所有 Android Enterprise 仕事用プロファイル (COPE)

設定カタログは、米国政府の GCC High および DoD でサポートされています

設定カタログは、米国政府の GCC High および DoD で利用およびサポートされています。

設定カタログとその内容の詳細については、「設定カタログを使用して Windows および macOS デバイスの設定を構成する」を参照してください。

適用対象:

macOS
Windows 11
Windows 10

Android Enterprise のフルマネージド、専用、および企業所有の仕事用プロファイルデバイスの Wi-Fi プロファイルに証明書共通名を入力する

Android Enterprise デバイスでは、エンタープライズ Wi-Fi 設定を構成する Wi-Fi プロファイルを作成できます ([デバイス] > [構成プロファイル] > [プロファイルの作成] > [Android Enterprise] (プラットフォーム) > [フルマネージド、専用、および企業所有の仕事用プロファイル] > [Wi-Fi] (プロファイルの種類))。

[Enterprise] を選択すると、新しい Radius サーバー名 の設定があります。この設定は、Wi-Fi アクセスポイントへのクライアント認証中に Radius サーバーによって提示される証明書で使用される DNS 名です。たとえば、「Contoso.com」、「uk.contoso.com」、または「jp.contoso.com」と入力します。

完全修飾ドメイン名に同じ DNS サフィックスを持つ複数の Radius サーバーがある場合は、サフィックスのみを入力できます。たとえば、contoso.com と入力できます。

この値を入力すると、ユーザーデバイスは、Wi-Fi ネットワークへの接続時に表示されることがある動的信頼ダイアログをバイパスできます。

知っておく必要がある情報:

Android 11 以降を対象とする新しい Wi-Fi プロファイルでは、この設定を構成する必要がある場合があります。そうしないと、デバイスが Wi-Fi ネットワークに接続できない場合があります。

現在構成できる設定の詳細については、「Android Enterprise のフルマネージド、専用、および企業所有の仕事用プロファイル Wi-Fi 設定」を参照してください。

適用対象:

会社所有 Android Enterprise 仕事用プロファイル (COPE)
会社所有 Android Enterprise フルマネージド (COBO)
Android Enterprise 専用デバイス (COSU)

Windows デバイス上の Microsoft Edge 96、97、および Microsoft Edge アップデーターの新しい管理用テンプレート設定

Intune では、管理用テンプレートを使用して Microsoft Edge 設定を構成できます ([デバイス] > [構成プロファイル] > [プロファイルの作成] > [Windows 10 以降] (プラットフォーム) > [テンプレート] > [管理用テンプレート] (プロファイルの種類))。

ターゲットチャネルオーバーライド のサポートを含む、Microsoft Edge 96、97、および Microsoft Edge アップデーターの新しい管理用テンプレート設定があります。 ターゲットチャネルオーバーライド を使用して、ユーザーが 拡張安定 リリースサイクルオプションを取得できるようにします。これは、グループポリシーまたは Intune を使用して設定できます。

関連情報については、以下を参照してください:

適用対象:

Windows 11
Windows 10
Microsoft Edge

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

Groupdolists by Centrallo LLC

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

BlackBerry – 新しいモバイル脅威防御パートナー

BlackBerry Protect Mobile (Cylance AI を搭載) を Intune との統合モバイル脅威防御 (MTD) パートナーとして使用できるようになりました。 Intune で BlackBerry Protect Mobile MTD コネクタを接続することにより、リスク評価に基づく条件付きアクセスを使用して、企業リソースへのモバイルデバイスアクセスを制御できます。

詳細については、以下を参照してください。

2021 年 12 月 6 日の週

デバイスの登録

Windows と Apple の登録制限ポリシーにデバイスの種類のフィルターを適用する (プレビュー)

登録制限 の新しい割り当てフィルターを使用して、デバイスの種類に基づいてデバイスを含めるたり、除外したりします。たとえば、operatingsystemSKU 割り当てフィルターを適用することで、Windows 10 Home を実行しているデバイスをブロックする一方で、個人用デバイスを許可できます。フィルターは Windows、macOS、iOS の登録ポリシーに適用できます。Android のサポートは後日提供されます。また、フィルターを使用することで、登録制限に対する新しいセットアップエクスペリエンスが可能になります。フィルターの作成方法の詳細については「フィルターの作成」を参照してください。登録制限の作成方法に関する詳細については、「登録制限を設定する」をご覧ください。

Windows 登録の状態ページプロファイルの割り当てでフィルターを使用する

フィルターを使用すると、さまざまなデバイスプロパティに基づいて、ポリシーまたはアプリの割り当てにデバイスを含めたり除外したりできます。登録の状態ページ (ESP) プロファイルを作成すると、プロファイルを割り当てるときにフィルターを使用できるようになります。 [すべてのユーザー] と [すべてのデバイス] 割り当てオプションも使用できます。 Microsoft エンドポイントマネージャー管理センターで、[デバイス] > [デバイスの登録] > [登録状態ページ] > [作成] の順に選択します。フィルターの詳細については、「アプリ、ポリシー、プロファイルを割り当てるときにフィルター (プレビュー) を使用する」を参照してください。 ESP プロフィールの詳細については、「登録ステータスページを設定する」を参照してください。

アプリ管理

Microsoft Managed Home Screen アプリで使用できる追加のセッション PIN 制限

Android Enterprise 用の Managed Home Screen アプリに、ユーザーのセッション PIN に追加の制限を適用するオプションが追加されました。具体的には、Managed Home Screen で次の機能が提供されています。

セッション PIN の最小長を定義する機能。
Managed Home Screen からログアウトする前に、ユーザーがセッション PIN を正常に入力する必要がある試行の最大数を定義する機能。
繰り返し (444) または順序付き (123、321、246) パターンを使用して PIN を作成することをユーザーに制限する複雑さの値を定義する機能。

詳細については、「Microsoft Managed Home Screen app for Android Enterprise の構成」および「Android Enterprise デバイス設定を参照して、Intune を使用した機能を許可または制限する」を参照してください。

監視とトラブルシューティング

Windows 10 診断用の新しいイベントビューアー

Windows デバイス診断に、「高度なセキュリティ/ファイアウォールを備えた Microsoft - Windows - Windows ファイアウォール」という新しいイベントビューアーが追加されました。「イベントビューアー」は、ファイアウォールに関する問題のトラブルシューティングに役立ちます。 Windows デバイス診断の詳細については、「Windows デバイスからのCollect 診断」を参照してください。

ポータル Web サイトでのデバイスの準拠状況

エンドユーザーは、ポータル Web サイトでデバイスの準拠状況をより簡単に確認できます。エンドユーザーは、ポータルサイト Web サイトにアクセスし、[デバイス] ページを選択してデバイスの状態を確認できます。デバイスは、"会社のリソースにアクセスできる"、"アクセスを確認中"、または "会社のリソースにアクセスできない" のいずれかの状態でリストされます。関連情報については、「ポータルサイト Web サイトのアプリの管理」および「Intune ポータルサイトアプリ、ポータルサイト Web サイト、Intune アプリを構成する方法」を参照してください。

2021 年 11 月 22 日の週

監視とトラブルシューティング

リモートヘルプアプリはパブリックプレビューとして利用可能です

パブリックプレビューとして、Intune テナントでリモートヘルプアプリを使用できます。リモートヘルプを使用すると、Azure Active Directory に対して認証を行うユーザーは、デバイス間でリモートヘルプセッションを接続することにより、他のユーザーをリモートで支援できます。

Intune の役割ベースのアクセス制御によって管理されるリモートヘルプのアクセス許可を使用して、他のユーザーを支援するアクセス許可を持つユーザーと、支援中に実行できるアクションを制御します。リモートヘルプの機能は次のとおりです。

テナントのリモートヘルプを有効にする – リモートヘルプを有効にすることを選択した場合、その使用はテナント全体で有効になります。
組織のログインが必要 - リモートヘルプを使用するには、ヘルパーと共有者の両方が組織の Azure Active Directory (Azure AD) アカウントでサインインする必要があります。
登録されていないデバイスでリモートヘルプを使用する – Intune に登録されていないデバイスに対してヘルプを許可するように選択できます。
コンプライアンスの警告 - デバイスに接続する前に、そのデバイスが割り当てられたポリシーに準拠していない場合、ヘルパーにはそのデバイスに関するコンプライアンス非準拠の警告が表示されます。この警告はアクセスをブロックしませんが、セッション中に管理資格情報などの機密データを使用するリスクに関する透明性を提供します。
ロールベースのアクセス制御 – 管理者は、ヘルパーのアクセスの範囲と、支援を提供する際に実行できるアクションを決定する RBAC ルールを設定できます。
特権の昇格 - 必要に応じて、適切な RBAC アクセス許可を持つヘルパーが共有者のマシンの UAC プロンプトを操作して資格情報を入力できます。
アクティブなリモートヘルプセッションを監視し、過去のセッションに関する詳細を表示する – Microsoft エンドポイントマネージャー管理センターでは、誰が、どのデバイスで、どのくらいの期間支援したかに関する詳細を含むレポートを表示できます。アクティブなセッションに関する詳細も表示されます。

この機能は次の週に展開され、まもなくテナントが利用できるようになります。詳細については、「リモートヘルプの使用」を参照してください。

2021 年 11 月 15 日の週 (2111 サービスリリース)

アプリ管理

マネージド Google Play アプリのアプリ更新の優先度を有効にする

仕事用プロファイル Android Enterprise デバイスを使用して、専用、フルマネージド、企業所有のマネージド Google Play アプリの更新の優先度を設定できます。デバイスでの課金状態、Wi-Fi 機能、エンドユーザーアクティビティに関係なく、開発者が更新プログラムを公開するとすぐにアプリを更新するには、[高い優先度] を選択します。関連情報は、「Intune でマネージド Google Play アプリを Android エンタープライズデバイスに追加する」を参照してください。

共有デバイスモード (パブリックプレビュー) に登録されている Android Enterprise 専用デバイスのセッション間でアプリデータをクリアする

Intune を使用すると、共有デバイスモードと統合されていないアプリケーションのアプリデータをクリアして、サインインセッション間のユーザープライバシーを確保することができます。 IT 指定のアプリでデータをクリアするには、Azure AD の共有デバイスモードと統合されているアプリケーションからサインアウトを開始する必要があります。この機能は、Android 9 以降で共有デバイスモードに登録されている Android Enterprise 専用デバイスで使用できます。

検出された基になるアプリの一覧データをエクスポートする

検出されたアプリの一覧データの概要をエクスポートできるだけでなく、さらに多くの基になるデータもエクスポートできるようになります。現在の概要エクスポートエクスペリエンスでは要約された集計データが提供されますが、追加された新しいエクスペリエンスでは生データも提供されます。生データのエクスポートによって、データセット全体が提供されます。これは、要約された集計レポートを作成するために使用します。生データは、すべてのデバイスと、そのデバイスで検出された各アプリの一覧になります。 Intune データウェアハウスアプリケーションインベントリデータセットを置き換えるために、この機能が Intune コンソールに追加されました。 Microsoft エンドポイントマネージャー管理センターで、[アプリ] > [モニター] > [検出されたアプリ] > [エクスポート] を選択してエクスポートオプションを表示します。関連情報については、「Intune で検出されたアプリ」と「Graph API を使用して Intune レポートをエクスポートする」を参照してください。

プラットフォーム固有のアプリ一覧を表示するときのフィルターの機能強化

Microsoft エンドポイントマネージャー管理センターでプラットフォーム固有のアプリ一覧を表示するときに、フィルターが改善されました。以前は、プラットフォーム固有のアプリの一覧に移動するときに、一覧で アプリの種類 フィルターを使用できませんでした。この変更により、プラットフォーム固有のアプリの一覧にフィルター ( アプリの種類 と 割り当ての状態 フィルターを含む) を適用できます。関連情報については、「Intune レポート」を参照してください。

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

PenPoint by Pen-Link, Ltd.

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

Win32 アプリの置き換えと依存関係に対する新しい RBAC アクセス許可

Win32 アプリの置き換えと他のアプリとの依存関係を作成および編集するための新しい Microsoft エンドポイントマネージャーアクセス許可が追加されました。このアクセス許可は、Mobile アプリ カテゴリの下で [関連付け] を選択すると使用できます。 2202 サービスリリース以降、MEM 管理者は、Microsoft エンドポイントマネージャー管理センターで Win32 アプリを作成または編集するときに、置き換えおよび依存関係アプリを追加するためにこのアクセス許可が必要になります。 Microsoft エンドポイントマネージャー管理センターで、[テナント管理] > [ロール] > [すべてのロール] > [作成] の順に選択します。このアクセス許可は、次の組み込みロールに追加されました。

アプリケーションマネージャー
学校の管理者

関連情報については、「 Intune でカスタムロールを作成する」を参照してください。

該当しないステータスエントリは、デバイスインストールの状態レポートに表示されなくなりました

デバイスのインストール状態 レポートには、選択したアプリに基づいて、特定のアプリに関連するデバイスと状態の情報の一覧が表示されます。デバイスに関連するアプリのインストールの詳細には、[UPN]、[プラットフォーム]、[バージョン]、[状態]、[状態の詳細]、[最後のチェックイン] が含まれます。デバイスのプラットフォームがアプリケーションのプラットフォームと異なる場合、エントリの [状態の詳細] に [該当なし] と表示されず、エントリは提供されません。たとえば、Android アプリが選択され、アプリが iOS デバイスを対象としている場合、[該当なし] デバイスの状態値を提供するのではなく、そのエントリのデバイス状態は [デバイスインストールの状態] レポートに表示されません。レポートを見つけるには、Microsoft エンドポイントマネージャー管理センターで、[アプリ] > [すべてのアプリ] > [アプリを選択] > [デバイスのインストール状態] の順に選択します。関連情報については、「アプリに関するデバイスのインストール状態レポート (運用)」を参照してください。

Edge 95 および Edge アップデーターの新しい ADMX 設定

Edge 95 と Edge アップデータの ADMX 設定が管理用テンプレートに追加されました。これには、お客様がグループポリシーまたは Intune を使用して任意の時点で 拡張安定 リリースサイクルオプションを選択できる "ターゲットチャネルオーバーライド" のサポートが含まれます。 Microsoft エンドポイントマネージャー管理センターで、[デバイス] > [構成プロファイル] > [プロファイルの作成] の順に選択します。次に、[プラットフォーム] > [Windows 10 以降] を選択し、[プロファイル] > テンプレート] > [管理用テンプレート] の順に選択します。関連情報については、「Microsoft Edge チャネルの概要」、「Microsoft Edge Browser ポリシードキュメント」、および「Microsoft Intune の Microsoft Edge ポリシー設定の構成」を参照してください。

中国など、特定のアプリストアのプライバシー要件を満たすために、Android 用ポータルサイトに新しいプライバシーの同意画面を追加しました。これらのストアから初めてポータルサイトをインストールすると、インストール中に新しい画面が表示されます。画面には、Microsoft が収集する情報とその使用方法が説明されています。ユーザーは、アプリを使用する前に条項に同意する必要があります。このリリースより前にポータルサイトをインストールしたユーザーには、新しい画面は表示されません。

デバイスの管理

エンドポイント分析のデバイスごとのスコアリング

Endpoint 分析のデバイスごとのスコアはプレビュー段階から外れ、一般提供が開始されました。デバイスごとのスコアは、ユーザーエクスペリエンスに影響を与える可能性のあるデバイスを特定するのに役立ちます。デバイスごとのスコアを確認すると、ヘルプデスクに電話をかける前に、エンドユーザーに影響を与える問題を見つけて解決できる場合があります。

[機能更新プログラムのエラー] レポートにセーフガードホールドが表示されるようになりました

セーフガードホールドが原因でデバイスが Windows 更新プログラムのインストールをブロックされた場合、Microsoft エンドポイントマネージャー管理センターの[機能更新プログラムのエラー] レポートでその保留に関する詳細を表示できるようになりました。

セーフガードホールドを持つデバイスは、エラーがあるデバイスとしてレポートに表示されます。このようなデバイスの詳細を表示すると、[警告メッセージ] 列に セーフガードホールド が表示され、[展開エラーコード] 列にはセーフガードホールドの ID が表示されます。

Microsoft では、更新後のエクスペリエンスが低下することがデバイスで検出された場合に、デバイスへの更新プログラムのインストールをブロックするためにセーフガードホールドを設定する場合があります。たとえば、ソフトウェアやドライバーは、セーフガードホールドを設定する一般的な理由です。根本的な問題が解決され、更新プログラムが安全にインストールされるようになるまで、保留は維持されます。

アクティブなセーフガードホールドと解決の見込みに関する詳細については、https://aka.ms/WindowsReleaseHealth で Windows のリリースの正常性ダッシュボードを参照してください。

プレリリースビルドの Windows Update を管理するための機能強化

Windows 10 以降で Update リングを使用して、プレリリースビルドの Windows 更新プログラムを管理するエクスペリエンスが向上しました。向上した機能は次のとおりです。

更新リングの [Update リングの設定] ページで、プレリリースビルドを新しいコントロールとして有効にする を追加しました。この設定を使用して、プレリリースビルドに更新するように割り当てられたデバイスを構成します。次のプレリリースビルドを選択できます。
- ベータチャンネル
- 開発チャネル
- Windows Insider - リリースプレビュー プレリリースビルドの詳細については、「Windows Insider Web サイト」を参照してください。
Windows 10 以降のポリシーの更新リング が割り当てられたデバイスでは、Autopilot 中に ManagePreviewBuilds 設定が変更されなくなります。 Autopilot 中にこの設定を変更すると、デバイスの再起動が強制されました。

Windows 10 以降の更新リングを使用して Windows 11 にアップグレードする

Windows 10 以降の更新リングに 新しい設定 が追加されました。Windows 10 から Windows 11 にアップグレードする準備ができたら、この設定を使用できます。

Windows 10 デバイスを最新の Windows 11 リリースにアップグレードする 既定では、この設定は [いいえ] に設定されています。はいに設定すると、このポリシーを受け取る対象の Windows 10 デバイスが Windows 11 の最新ビルドに更新されます。

はいに設定すると、Intune には、この設定を展開することで、アップグレードするデバイスの Microsoft ライセンス条項に同意していることを確認する情報ボックスが表示されます。情報ボックスには、Microsoft ライセンス条項へのリンクも含まれています。

更新リングの詳細については、「Windows 10 以降の更新リング」を参照してください。

iOS/iPadOS のアクティブ化ロックリモートデバイスの無効化アクションが UI から削除されました

アクティブ化ロックを無効にする ためのリモートデバイスアクションは Intune では使用できなくなりました。「Intune を使用して監視対象の iOS/iPadOS デバイスでライセンス認証ロックを無効にする」で詳しく説明されているように、アクティブ化ロックをバイパスできます。

このリモートアクションは、iOS/iPadOS アクティベーションロック機能を無効にする操作が意図したとおりに機能しなかったため、削除されます。

セキュリティベースラインの更新

セキュリティベースライン用の更新プログラムのペアがあります。これにより、次の設定が追加されます。

Windows 10 以降のセキュリティベースライン (Windows 10 および Windows 11 に適用されます) 新しいベースラインバージョンは 2021 年 11 月で、Microsoft ブラウザーで使用される Scan スクリプト が Microsoft Defender カテゴリに追加されます。このベースラインには、他の変更はありません。
Windows 365 セキュリティベースライン (プレビュー) 新しいベースラインバージョンはバージョン 2110で、次の 2 つの設定が追加され、他の変更はありません。
- Microsoft ブラウザーで使用されるスキャンスクリプト は、Microsoft Defender カテゴリに追加されます。
- 改ざん防止を有効にして、Microsoft Defender が無効にならないようにする が Windows セキュリティ に追加されます。これは、このベースラインバージョンで追加された新しいカテゴリです。

ベースラインの更新を最新のバージョンに更新することを計画します。バージョン間の変更点について理解するために、「ベースラインのバージョンを比較する」を参照し、変更内容が示された .CSV ファイルのエクスポート方法を確認してください。

Windows 10/11 デバイスのデバイスコンプライアンスのカスタム設定を使用する (パブリックプレビュー)

パブリックプレビューとして、Windows 10 および Windows 11 デバイスのデバイスコンプライアンスポリシーでは、デバイスコンプライアンスポリシーへのカスタム設定の追加がサポートされています。カスタム設定の結果は、他のコンプライアンスポリシーの詳細と共に Microsoft エンドポイントマネージャー管理センターに表示されます。

カスタム設定を使用するには、次を作成して管理センターに追加し、カスタムコンプライアンス設定を強化します。

JSON ファイル – JSON ファイルには、カスタム設定とそのコンプライアンス値の詳細が含まれます。 JSON には、非準拠の場合に設定を修復する方法についてユーザーに提供する情報も含まれています。
PowerShell スクリプト– PowerShell スクリプトは、JSON ファイルで定義されている設定の状態を判断するために実行されるデバイスに対して展開し、Intune に報告します。

JSON とスクリプトの準備ができたら、カスタム設定を含む標準のコンプライアンスポリシーを作成できます。カスタム設定を含めるオプションは、カスタムコンプライアンス. という名前の新しいコンプライアンス設定カテゴリにあります。

.JSON and PowerShell スクリプトの例など、詳細を確認するには、「カスタムコンプライアンス設定」を参照してください。

Windows 10 以降の機能更新プログラムの新しいスケジュールオプション

Windows 10 以降の機能更新プログラム のポリシーからの更新プログラムがデバイスでインストール可能になるタイミングでスケジュールを改善するために、ロールアウトオプション が 3 つ追加されました。これらの新しいオプションは次のとおりです。

更新プログラムをできるだけ早く利用可能にする - このオプションを使用すると、以前とは異なり、ただちにデバイスで更新プログラムを利用できるようになります。
特定の日付に更新プログラムを利用可能にする - このオプションを使用すると、このポリシーを受け取るデバイスに Windows Updateによってこの更新プログラムが提供される最初の日を選択します。
更新プログラムを段階的に利用可能にする - このオプション使用すると、Windows Update により、このポリシーを受け取るデバイスが、開始グループ時間、終了グループ時間、およびグループ間の待機日数に基づいて計算される複数のグループに分割されます。 Windows Update では、最後のグループに更新プログラムが提供されるまで、これらのグループに更新プログラムが 1 つずつ提供されます。この動作により、指定した時間の範囲にわたって更新プログラムが利用可能になり、すべてのデバイスに同時に更新プログラムを提供する場合と比較して、ネットワークへの影響を軽減できます。

段階的な可用性の詳細を含む情報については、「Windows Updatesのロールアウトオプション」を参照してください。

Microsoft エンドポイントマネージャー管理センターで利用可能な Windows デバイスの新しい詳細

Windows 10 および Windows 11 デバイスの次の詳細が収集され、Microsoft エンドポイントマネージャー管理センターの [デバイスの詳細] ウィンドウで表示できるようになりました。

システム管理 BIOS バージョン
TPM　製造元バージョン
TPM 製造元 ID

これらの詳細は、[すべてのデバイス] ウィンドウから詳細を エクスポート するときにも含まれます。

共有 iPad の設定の一般提供を開始

4 つの共有 iPad 設定がプレビューから外れ、Apple 登録プロファイルを作成するときに一般に使用できるようになりました。これらの設定は、自動デバイス登録 (ADE) 中に適用されます。

共有 iPad モードの iPadOS 14.5 以降の場合:

共有 iPad の一時的な設定のみを必要とする (プレビュー): ユーザーがゲストバージョンのサインインエクスペリエンスのみを表示し、ゲストユーザーとしてサインインする必要があるデバイスを構成します。管理対象の Apple ID でサインインすることはできません。
一時セッションがログアウトするまでの非アクティブ時間の最大秒数: 指定した時間が経過してもアクティビティがない場合、一時セッションは自動的にサインアウトします。
ユーザーセッションがログアウトするまでの非アクティブ時間の最大秒数: 指定した時間が経過してもアクティビティがない場合、ユーザーセッションは自動的にサインアウトします。

共有 iPad モードの iPadOS 13.0 以降の場合:

共有 iPad で画面ロック後にパスワードが要求されるまでの最大秒数: 画面ロックがこの時間を超えた場合は、デバイスのロックを解除するためにデバイスパスワードが必要になります。

共有 iPad モードでデバイスを設定する方法の詳細については、「Apple 登録プロファイルの作成」を参照してください。

設定カタログプロファイルを複製する

設定カタログプロファイルで重複がサポートされるようになりました。既存のプロファイルのコピーを作成するには、[ 複製] を選択します。コピーには元のプロファイルと同じ設定構成とスコープタグが含まれていますが、それに割り当てはアタッチされていません。設定カタログの詳細については、「設定カタログを使用した Windows と macOS のデバイスでの設定の構成」を参照してください。

[どこからでも作業] レポート

[どこからでも作業] レポートは、エンドポイント分析の [推奨されるソフトウェア] レポートに変わりました。 [どこからでも作業] レポートには、Windows、クラウド管理、クラウド ID、およびクラウドプロビジョニングのメトリックが含まれています。詳細については、[どこからでも作業] レポートに関する記事を参照してください。

デバイスのセキュリティ

テナントに接続されたデバイスの BitLocker 回復キーを表示する

Microsoft エンドポイントマネージャー管理センターで、テナントに接続されているデバイスの BitLocker 回復キーを表示できるようになりました。回復キーは引き続きテナントに接続されたデバイスのオンプレミスに保存されますが、管理センターでの可視性は、管理センター内からヘルプデスクのシナリオを支援することを目的としています。

キーを表示するには、Intune アカウントに BitLocker キーを表示するための Intune RBAC アクセス許可が必要です。また、コレクションロールの Configuration Manager で関連するオンプレミスのアクセス許可を持つオンプレミスユーザーに、関連付けられている必要があり、BitLocker 回復キーの読み取りアクセス許可 が付与されている必要があります。

適切なアクセス許可を持つユーザーは、[デバイス] > [Windows デバイス] > [デバイスの選択] > [回復キー] の順に選択します。

この機能は、バージョン 2107 以降を実行するConfiguration Manager サイトでサポートされています。バージョン 2107 を実行するサイトでは、Azure AD に参加しているデバイスをサポートするために更新プログラムのロールアップインストールする必要があります。詳細については、KB11121541を参照してください。

設定カタログに BitLocker 設定が追加されました

9 BitLocker 設定が、Microsoft Intune 設定カタログに追加されましたが、以前はグループポリシー (GP)でのみ使用できました。設定にアクセスするには、[デバイス] > [構成プロファイル] に移動し、Windows 10 以降を実行しているデバイスの設定カタログプロファイルを作成します。次に、設定カタログで BitLocker を検索して、BitLocker に関連するすべての設定を表示します。設定カタログの詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。追加された設定は次のとおりです。

組織の一意の識別子を指定する
固定データドライブにドライブ暗号化の種類を適用する
InstantGo または HSTI に準拠しているデバイスにプリブート PIN のオプトアウトを許可する
拡張スタートアップ PIN を許可する
標準ユーザーが PIN またはパスワードのを変更できないようにする
スレートでプリブートキーボード入力を必要とする BitLocker 認証の使用を有効にする
オペレーティングシステムドライブにドライブ暗号化の種類を適用
リムーバブルドライブでの BitLocker の使用を制御する
リムーバブルデータドライブにドライブ暗号化の種類を強制する

監視とトラブルシューティング

グループポリシー分析ツールで自動的に更新する MDM サポートデータ

Microsoft が Intune でマッピングに変更を加えるたびに、GP 分析ツールの MDM サポート 列が自動的に更新され、変更が反映されます。自動化は以前の動作よりも改善されています。以前は、グループポリシーオブジェクト (GPO) を再インポートしてデータを更新する必要がありました。グループポリシー分析の詳細については、「グループポリシー分析を使用する」をご覧ください。

2021 年 11 月 8 日の週

アプリ管理

Android ポータルサイトアプリと Intune アプリをカスタム通知用に更新する

Intune の 11 月 (2111) サービスリリースのカスタム通知をサービス側で更新しました。これにより、ユーザーは最適なユーザーエクスペリエンスを得るために、最新バージョンの Android ポータルサイト (バージョン 5.0.5291.0、2021 年 10 月にリリース) または Android Intune アプリ (バージョン 2021.09.04、2021 年 9 月にリリース) に更新する必要がありました。 Intune の 11 月 (2111) サービスリリースより前にユーザーが更新せず、カスタム通知が送信された場合は、通知を表示するようにアプリを更新するように通知を受け取ります。アプリを更新すると、アプリの [通知] セクションに組織から送信されたメッセージが表示されます。詳細は、「Intune でカスタム通知を送信する」を参照してください。

デバイスの管理

Android デバイス管理者用の場所の廃止

2021 年 10 月、Android デバイス管理者として登録されているデバイス用のデバイスコンプライアンスポリシーで場所を使用するサポートは廃止されました。場所の使用は、多くの場合、ネットワークフェンシングと呼ばれます。

Android デバイス管理者に対して、ネットワークフェンス機能に依拠したポリシーと依存関係は機能しなくなりました。以前にお知らせしたように、ネットワークフェンシングのサポートについては現在再考中であり、利用可能になった時点でそれらの計画に関する詳細を共有させていただきます。

デバイスのセキュリティ

Defender for Endpoint を使用したセキュリティ管理 (パブリックプレビュー)

この機能はパブリックプレビュー段階にあり、今後数週間にわたって段階的にテナントにロールアウトされます。関連するトグルが Microsoft エンドポイントマネージャー管理センターと Microsoft Defender for Endpoint の両方に表示されたときに、テナントがこの機能を受け取ったことを確認できます。

Microsoft Defender for Endpoint を使用したセキュリティ管理 は、Microsoft エンドポイントマネージャーに登録されていないデバイス上の Microsoft Defender for Endpoint (MDE) のセキュリティ構成を管理するために使用する新しい構成チャネルです。このシナリオでは、Microsoft エンドポイントマネージャーから展開する MDE のポリシーを取得、適用、およびレポートするデバイス上の Defender for Endpoint です。デバイスは Azure AD に参加され、Intune と Configuration Manager で管理する他のデバイスと共に Microsoft エンドポイントマネージャー管理センターに表示されます。

詳細については、「Microsoft エンドポイントマネージャーを使用してデバイス上の Microsoft Defender for Endpoint を管理する」を参照してください。

2021 年 10 月 25 日の週

デバイスのセキュリティ

Windows Autopilot 登録フローの MFA の変更

Azure Active Directory (Azure AD) のベースラインセキュリティを改善するために、デバイス登録中に行われる多要素認証 (MFA) に対する Azure AD の動作を変更しました。以前は、ユーザーがデバイス登録の一部として MFA を完了した場合、登録が完了した後、MFA 要求はユーザーの状態に引き継がれていました。今後、登録後は MFA 要求は保持されず、ユーザーはポリシーによって MFA が必要とされるすべてのアプリに対して MFA の再実行を求められます。詳細については、「登録フローに対する Windows Autopilot MFA の変更」を参照してください。

デバイスの登録

ユーザーの割り当て

先週、Autopilot のユーザー登録中の認証エクスペリエンスが変更されました。この変更は、登録を行う前にユーザーが特定のデバイスに割り当てられているすべての Autopilot 展開に影響します。

1 回限りの自己展開と事前プロビジョニング

Windows Autopilot の自己展開モードと事前プロビジョニングモードのエクスペリエンスに変更を加え、デバイスの再利用プロセスの一部としてデバイスレコードを削除する手順を追加しました。この変更は、Autopilot プロファイルが自己展開モードまたは事前プロビジョニングモードに設定されているすべての Windows Autopilot 展開に影響します。この変更は、デバイスが再使用された場合、またはリセットされて再展開が試行された場合にのみ、デバイスに影響します。詳細については、「Windows Autopilot のサインインと展開エクスペリエンスの更新」を参照してください。

デバイス管理

Microsoft エンドポイントマネージャーの Microsoft Surface 管理ポータルの概要

商用のお客様に最高のエクスペリエンスを提供するという継続的な取り組みに照らして、Microsoft は Microsoft 全体のチームと提携し、Surface 管理を Microsoft エンドポイントマネージャー内の単一のビューに合理化しました。何千ものデバイスを持つ大規模な組織をリードする場合でも、中小企業向け IT を管理する場合でも、すべての Surface デバイスの正常性に関する分析情報を取得して、デバイスの保証とサポート要求を 1 か所で監視できます。 Microsoft Surface 管理ポータルは、現在、米国のお客様が利用できます。今後グローバルに展開される予定です。 Microsoft Surface と新しい管理ポータルの最新情報については、Surface IT Pro Blog をフォローしてください。

2021 年 10 月 18 日の週 (サービスリリース 2110)

アプリ管理

アプリ保護ポリシーを使用して iOS/iPadOS ユニバーサルリンクを管理する

アプリケーション保護ポリシー (APP) 設定を使用して、iOS/IPadOS アプリの管理対象ユニバーサルリンクとユニバーサルリンク適用除外の両方を構成できます。管理対象ユニバーサルリンクを使用すると、http/s リンクを、保護されたブラウザーではなく、登録済みの APP で保護されたアプリケーションで開くことができます。ユニバーサルリンク適用除外では、http/s リンクを保護されたブラウザーではなく、登録済みの保護されていないアプリケーションで開くことができます。詳細については、「データ転送」と「ユニバーサルリンク」を参照してください。

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されているアプリを Microsoft Intune で使用できるようになりました。

Appian for Intune (Appian Corporation 提供)
Space Connect (SpaceConnect Pty Ltd 提供)
AssetScan For Intune (Align 提供)

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

個人所有の Android および会社所有の仕事用プロファイルに対する接続アプリのサポート

サポートされているアプリの接続アプリエクスペリエンスをユーザーが有効にできるようになりました。このアプリ構成設定を使用すると、ユーザーは仕事用と個人用のアプリインスタンス間でアプリ情報を接続できます。 Microsoft エンドポイントマネージャーで、[アプリ] > [アプリ構成ポリシー] > [追加] > [管理対象デバイス] の順に選択します。詳細については、「管理対象 Android Enterprise デバイス用のアプリ構成ポリシーを追加する」を参照してください。

デバイスの管理

Android Enterprise の会社所有の仕事用プロファイルデバイスの個人用アプリをブロックまたは許可する

デバイス構成では、デバイスでブロックまたは許可される個人用アプリの一覧を作成できます。設定を未構成のままにしておくことも、個人用プロファイルでブロックまたは許可されているアプリの一覧を作成することもできます。この設定は、Microsoft エンドポイントマネージャー管理センターで、[デバイス] > [Android] > [構成プロファイル] > [プロファイルの作成] を選択することで利用できます。 Android Enterprise の会社所有の仕事用プロファイルデバイスの設定の詳細については、「Intune を使用する機能を許可または制限するための Android Enterprise デバイスの設定」を参照してください。

iOS/iPadOS と macOS で Kerberos シングルサインオン拡張機能を構成する場合の新しい設定

iOS/iPadOS デバイスと macOS デバイスで Kerberos SSO 拡張機能を構成するときに使用できる新しいデバイス機能設定があります。 Microsoft エンドポイントマネージャー管理センターで、[デバイス] > [iOS/iPadOS] または [macOS] > [構成プロファイル] > [プロファイルの作成] を選択します。プロファイルの [デバイス機能] を選択し、シングルサインオンアプリ拡張機能の種類として [シングルサインオンアプリ拡張機能] > [Kerberos] を選択します。関連情報については、「iOS/iPadOS デバイス機能の設定」と「Intune の macOS デバイス機能の設定」を参照してください。

パブリックプレビューの 4 つの新しい共有 iPad 登録設定

Intune では、パブリックプレビュー用の 4 つの新しい共有 iPad 設定を使用できます。これらの設定は、デバイスの自動登録時に適用されます。

共有 iPad モードの iPadOS 14.5 以降の場合:
- 共有 iPad の一時的な設定のみを必要とする (プレビュー): ユーザーがゲストバージョンのサインインエクスペリエンスのみを表示し、ゲストユーザーとしてサインインする必要があるデバイスを構成します。管理対象の Apple ID でサインインすることはできません。 - 一時セッションがログアウトするまでの非アクティブ時間の最大秒数: 指定した時間が経過してもアクティビティがない場合、一時セッションは自動的にサインアウトします。 - ユーザーセッションがログアウトするまでの非アクティブ時間の最大秒数: 指定した時間が経過してもアクティビティがない場合、ユーザーセッションは自動的にサインアウトします。

共有 iPad モードの iPadOS 13.0 以降の場合:
- 共有 iPad で画面ロック後にパスワードが要求されるまでの最大秒数: 画面ロックがこの時間を超えた場合は、デバイスのロックを解除するためにデバイスパスワードが必要になります。

企業デバイス向け Android (AOSP) 管理の概要 (パブリックプレビュー)

パブリックプレビューでは、Microsoft Intuneを使用して、Android オープンソースプロジェクト (AOSP) プラットフォームで実行される会社所有のデバイスを管理できます。 Microsoft Intune では現在、RealWear デバイス専用の新しい Android (AOSP) 管理オプションをサポートしています。管理機能は次のとおりです。

ユーザーに関連付けられたデバイスまたは共有デバイスとしてデバイスをプロビジョニングします。
デバイス構成とコンプライアンスプロファイルを展開します。

Android (AOSP) 管理を設定する方法の詳細については、「Android デバイスの登録」を参照してください。

デバイスのセキュリティ

Windows 10 Enterprise マルチセッション VM の Windows 10 セキュリティ更新プログラムを管理する

設定カタログを使用して、Windows Enterprise マルチセッション VM の品質 (セキュリティ) 更新プログラムの Windows Update 設定を管理できるようになりました。設定カタログでマルチセッション VM で使用できる設定を見つけるには、次を実行します。

設定カタログを使用する Windows 10 のデバイス構成ポリシーを作成し、Enterprise マルチセッション の設定フィルターを構成します。
次に、Windows Update for Business カテゴリを展開して、マルチセッション VM で使用できる更新設定から選択します。

設定には以下が含まれます。

アクティブ時間の終了 - CSP: Update/ActiveHoursEnd
アクティブ時間の最大範囲- CSP: Update/ActiveHoursMaxRange
アクティブ時間の開始 - CSP: Update/ActiveHoursStart
"更新プログラムの一時停止" 機能のブロック - CSP: Update/SetDisablePauseUXAccess
期限猶予期間の構成 - CSP: Update/ConfigureDeadlineGracePeriod
品質更新プログラムを延期する期間 (日数) - CSP: Update/DeferQualityUpdatesPeriodInDays
品質更新プログラムの一時停止の開始時刻 - CSP: Update/PauseQualityUpdatesStartTime
品質更新プログラムの期限期間 (日数) - CSP: Update/ConfigureDeadlineForQualityUpdates

2021 年 10 月 4 日の週

アプリ管理

Android ポータルサイトアプリでログを保存するときのフローの改善

Android ポータルサイトアプリでは、ユーザーが Android ポータルサイトログのコピーをダウンロードするとき、ログを保存するフォルダーを選択できるようになりました。Android ポータルサイトログを保存するには、[設定] > [診断ログ] > [ログの保存] を選択します。

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されているアプリを Microsoft Intune で使用できるようになりました。

iAnnotate for Intune/O365 (Branchfire, Inc. 提供)
Dashflow for Intune (Intellect Automation International Pty Limited 提供)
HowNow (Wonderush Limited 提供)

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

デバイス管理

特定の Android Enterprise デバイスでの Wi-Fi MAC アドレスの削除

Intune では、新しく登録された個人所有の仕事用プロファイルデバイスと、Android 9 以降を実行しているデバイス管理者で管理されているデバイスの Wi-Fi MAC アドレスが表示されなくなります。 Google では、2021 年 11 月までに API 30 を対象とするすべてのアプリの更新を求めています。この変更により、Android はデバイスで使用されている MAC アドレスをアプリが収集できないようにします。関連情報については、「ハードウェアデバイスの詳細」を参照してください。

機能更新プログラムを使用してデバイスを Windows 11 にアップグレードする

Windows 10 以降向け機能更新プログラム のポリシーを使用して、Windows 11 の最小要件を満たすデバイスを Windows 11 にアップグレードできます。新しい機能更新プログラムのポリシーを構成するのと同じくらい簡単に行えます。展開する機能更新プログラムとして利用可能な Windows 11 バージョンを指定します。

詳細については、「デバイスを Windows 11 にアップグレードする」を参照してください。

Windows 11 ハードウェアの準備に関する分析情報

エンドポイント分析の [どこからでも作業] レポートでは、Windows 11 ハードウェアの準備分析情報が提供されるようになりました。登録されているデバイスのうち、Windows 11 の最小システム要件を満たすデバイスの数と、組織内で最も阻害要因となる要件をすばやく特定できます。 Windows 11 ハードウェアの準備状態をデバイスレベルで把握できるように掘り下げます。詳細については、「Windows 11 ハードウェアの準備」を参照してください。

2021 年 9 月 27 日の週 (サービスリリース 2109)

アプリ管理

アプリ保護ポリシーをより的確にターゲットにするために利用可能な新しいアプリカテゴリ

アプリ保護ポリシーをより簡単かつ迅速にターゲットにするために使用できるアプリのカテゴリを作成することによって、Microsoft エンドポイントマネージャーの UX が改良されました。これらのカテゴリとは、すべてのパブリックアプリ、Microsoft アプリ、コア Microsoft アプリ です。ターゲットのアプリ保護ポリシーを作成した後、[View a list of the apps that will be targeted](ターゲットになるアプリの一覧を表示する) を選択して、このポリシーの影響を受けるアプリの一覧を表示することができます。新しいアプリがサポートされると、これらのアプリが必要に応じて含まれるようにこれらのカテゴリが動的に更新され、選択したカテゴリのすべてのアプリにポリシーが自動的に適用されます。必要に応じて、個々のアプリのポリシーも引き続きターゲットにすることができます。詳細については、「アプリ保護ポリシーを作成して割り当てる方法」と「Intune を使用して Windows 情報保護 (WIP) ポリシーを作成して展開する」を参照してください。

デバイス構成

組み込みアプリの新しい iOS デバイス制限設定、ドキュメント表示

Intune には、iOS デバイスで構成できる新しいデバイス制限設定が 2 つあります ([デバイス] > [iOS/iPadOS] > [構成プロファイル] > [プロファイルの作成] を選択し、プロファイルとして [デバイスの制限] を選択)。

Siri の翻訳をブロックする (組み込みアプリ): Siri サーバーへの接続を無効にして、ユーザーが Siri を使用してテキストを翻訳できないようにします。iOS と iPadOS バージョン 15 以降に適用されます。
マネージドオープンインの影響を受けられるように、コピー/貼り付けを許可する (App Store、ドキュメント表示、ゲーム): [アンマネージドアプリでの会社のドキュメントの表示をブロックする] と [社内アプリでの社外ドキュメントの表示をブロックする] を構成した方法に基づいて、コピー/貼り付け制限を適用します。

Intune の iOS デバイス制限プロファイルの詳細については、「Intune を使用する機能を許可または制限するための iOS および iPadOS デバイスの設定」を参照してください。

新しい macOS デバイス制限設定により、ユーザーはデバイス上のすべてのコンテンツと設定を消去できなくなります

Intune で使用できる新しい macOS デバイス制限設定があります ([デバイス] > [macOS] > [構成プロファイル] > [プロファイルの作成] を選択し、[テンプレート] > プロファイルとして [デバイスの制限] を選択)。

ユーザーがデバイス上のすべてのコンテンツと設定を消去することを禁止します (全般): ユーザーがデバイスを出荷時の設定にリセットできないように、監視対象デバイスのリセットオプションを無効にします。

Intune の macOS デバイス制限プロファイルの詳細については、「Intune を使用する機能を許可または制限するための macOS デバイスの設定」を参照してください。

適用対象:

macOS バージョン 12 以降

macOS の新しいソフトウェア更新プログラムの制限設定

Intune には、macOS デバイス制限プロファイルを構成するときに使用できる新しいソフトウェア更新プログラム用の設定が 5 つあります ([デバイス] > [macOS] > [構成プロファイル > [プロファイルの作成] を選択し、[テンプレート] > プロファイルとして [デバイスの制限] を選択)。

ソフトウェア更新プログラムの延期 (全般): 延期期間が経過するまで、ユーザーが特定の種類の新しくリリースされた更新プログラムを表示できないようにします。ソフトウェア更新プログラムを延期しても、スケジュールされた更新プログラムは停止または変更されません。延期できるソフトウェア更新プログラムの種類には、メジャーの OS ソフトウェア更新プログラム、マイナーの OS ソフトウェア更新プログラム、OS 以外のソフトウェア更新プログラム、またはこれら 3 つの任意の組み合わせが含まれます。
ソフトウェア更新プログラムの既定の表示を遅らせる (全般): すべてのソフトウェア更新プログラムの既定の表示を最大 90 日間延期します。延期期間が過ぎると、更新プログラムがユーザーに提供されます。この値は、既定の表示設定の値よりも優先されます。 macOS バージョン 10.13.4 以降に適用されます。
メジャーの OS ソフトウェア更新プログラムの表示を遅らせる (全般): メジャーの OS ソフトウェア更新プログラムの表示を最大 90 日間遅らせます。延期期間が過ぎると、更新プログラムがユーザーに提供されます。この値は、既定の表示設定の値よりも優先されます。 macOS バージョン 11.3 以降に適用されます。
マイナーの OS ソフトウェア更新プログラムの表示を遅らせる (全般): マイナーの OS ソフトウェア更新プログラムの表示を最大 90 日間遅らせます。延期期間が過ぎると、更新プログラムがユーザーに提供されます。この値は、既定の表示設定の値よりも優先されます。 macOS バージョン 11.3 以降に適用されます。
OS 以外のソフトウェア更新プログラムの表示を遅らせる (全般): OS 以外のソフトウェア更新プログラム (Safari 更新プログラムなど) の表示を最大 90 日間遅らせます。延期期間が過ぎると、更新プログラムがユーザーに提供されます。この値は、既定の表示設定の値よりも優先されます。 macOS バージョン 11.0 以降に適用されます。

Android Enterprise の新しいデバイス制限設定: 開発者向け設定

Intune には、Android Enterprise デバイス用の新しいデバイス制限設定があります ([デバイス] > [Android Enterprise] > [構成プロファイル] > [プロファイルの作成] を選択し、プロファイルとして [デバイスの制限] を選択)。

開発者向け設定: [許可] に設定すると、ユーザーは自分のデバイスで開発者向け設定にアクセスできます。既定では、[未構成] に設定されています。フルマネージド、専用、会社所有の仕事用プロファイルデバイスに適用されます。

Android Enterprise 制限プロファイルの詳細については、「Intune を使用する機能を許可または制限するための Android Enterprise デバイスの設定」を参照してください。

会社所有の仕事用プロファイルデバイスの新しいデバイス制限設定により、ユーザーは仕事用プロファイルの連絡先を、ペアリングされた Bluetooth デバイス (自動車やモバイルデバイスなど) と共有できなくなります。設定を構成するには、[デバイス] > [構成プロファイル] > [プロファイルの作成] > プラットフォームとして [Android Enterprise] > プロファイルとして [デバイスの制限] に移動します。

設定名:Bluetooth 経由の連絡先共有 (仕事用プロファイルレベル)
設定の切り替え:
ブロック: ユーザーが Bluetooth 経由で仕事用プロファイルの連絡先を共有できないようにします。
未構成: デバイスに制限を適用しないため、ユーザーは Bluetooth 経由で仕事用プロファイルの連絡先を共有できる可能性があります。

デバイスの管理

Intune で iOS/iPadOS 13 以降がサポートされるようになりました

Intune ポータルサイトおよび Intune アプリ保護ポリシーを含む Microsoft Intune では、iOS/iPadOS 13 以降が必要になりました。

Intune で macOS 10.15 以降がサポートされるようになりました

Intune の登録とポータルサイトで、macOS 10.15 以降がサポートされるようになりました。以前のバージョンはサポートされていません。

新しい Android デバイスフィルターオプション

Intune の [すべてのデバイス] 一覧で、OS でフィルター処理するときに、次の Android 登録の種類を選択できるようになりました。

Android (個人所有の仕事用プロファイル)
Android (会社所有の仕事用プロファイル)
Android (フルマネージド)
Android (専用)
Android (デバイス管理者)

Microsoft エンドポイントマネージャー管理センターで、[デバイス] > [すべてのデバイス] を選択し、[OS] 列で特定の Android 登録の種類を表示します。 Android 登録の種類の詳細については、「Intune レポート」を参照してください。

ポリシーセットの設定カタログポリシー

テンプレートに基づくプロファイルに加えて、設定カタログ に基づくプロファイルをポリシーセットに追加できます。 設定カタログ は、構成できるすべての設定の一覧です。 Microsoft Endpoint Manager admin center でポリシーセットを作成するには、[デバイス] > [ポリシーセット] > [ポリシーセット] > [作成] の順に選択します。詳細については、「ポリシーセットを使用して管理オブジェクトのコレクションをグループ化する」と「設定カタログを使用して Windows と macOS のデバイスで設定を構成する」を参照してください。

Azure AD 共有デバイスモードを使用して登録された Android Enterprise 専用デバイスを使用する場合は、デバイス構成で管理されたホーム画面のサインイン設定を構成できるようになりました。これらの設定にアプリ構成を使用する必要はなくなりました。関連情報については、「Android Enterprise 用の Microsoft 管理されたホーム画面アプリを構成する」を参照してください。

機能更新プログラムを使用してデバイスを Windows 11 にアップグレードする

Windows デバイス用のデバイスの一括操作として診断の収集リモート操作を使用する

Windows デバイスに対して実行できる デバイスの一括操作 として、診断の収集 リモート操作を追加しました。 Windows デバイス用のデバイスの一括操作として、診断の収集 を使用して、デバイスユーザーの作業を中断することなく、一度に最大 25 台のデバイスから Windows デバイスログを収集できます。

Android Enterprise 専用デバイスでのデバイスの検索リモート操作のサポート

デバイスの検索 リモート操作を使用して、紛失したまたは盗難にあった Android Enterprise 専用デバイスの現在の場所をオンラインで取得できます。現在オフラインのデバイスを探している場合、そのデバイスが過去 7 日以内に Intune でチェックインできていれば、代わりにそのデバイスの最後の既知の場所を確認できます。

詳細については、「紛失したまたは盗まれたデバイスを検索する」を参照してください。

Android Enterprise 専用デバイスで、名前の変更リモート操作がサポートされます

Android Enterprise 専用デバイスで 名前の変更 リモート操作を使用できるようになりました。デバイスの名前を個別に、一括で変更できます。名前の変更一括操作を使用する場合、デバイス名には、乱数またはデバイスのシリアル番号を追加する変数を含める必要があります。

詳細については、「Intune でデバイスの名前を変更する」を参照してください。

新しいAzure AD デバイス ID と Intune デバイス ID 検索パラメーターが追加されました

[デバイス] > [すべてのデバイス] でデバイスを検索するときに、Azure AD デバイス ID または Intune デバイス ID で検索できるようになりました。 Intune で使用可能なデバイスの詳細の一覧については、「Microsoft Intune でデバイスの詳細を確認する」を参照してください。

デバイスのセキュリティ

テナント接続: エンドポイントセキュリティポリシーのデバイスの状態

テナントに接続されたデバイスのエンドポイントセキュリティポリシーの状態を確認できます。 [デバイスの状態] ページには、テナントに接続されているクライアントのすべてのエンドポイントセキュリティポリシーの種類にアクセスできます。エンドポイントセキュリティポリシーの種類については、「デバイスの状態」を参照してください。

Configuration Manager テナント接続の攻撃面の減少プロファイル

Configuration Manager テナント接続で管理するデバイスで使用できる、攻撃面の減少 ポリシー用の 2 つのエンドポイントセキュリティプロファイルが追加されました。これらのプロファイルはプレビュー段階であり、Intune で管理されるデバイスに使用するものに類似した名前が付けられたプロファイルと同じ設定を管理します。これらの新しいプロファイルは、Windows 10 以降 (ConfigMgr) のプラットフォームの攻撃面の減少ポリシーを構成するときに確認できます。

テナント接続の新しいプロファイル:

Exploit Protection (ConfigMgr) (プレビュー) - Exploit Protection は、エクスプロイトを使用してデバイスに感染し、拡散するマルウェアから保護するのに役立ちます。 Exploit Protection は、オペレーティングシステムまたは個々のアプリに適用できるさまざまな軽減策で構成されています。
Web 保護 (ConfigMgr) (プレビュー) - Microsoft Defender for Endpoint の Web 保護では、ネットワーク保護を使用して Web の脅威からコンピューターを保護します。 Web 保護では Web プロキシを使用せずに Web の脅威を停止し、遠隔であってもオンプレミスでもコンピューターを保護できます。 Web 保護によって、フィッシングサイト、マルウェアベクトル、エクスプロイトサイト、信頼されていないサイトまたは低評判のサイト、およびカスタムインジケーターリストでブロックしたサイトへのアクセスを停止します。

テナント接続デバイスの Windows Defender セキュリティセンターのサポートの拡張

Configuration Manager テナント接続で管理するデバイスの追加設定をサポートするように、エンドポイントセキュリティの ウイルス対策 ポリシーの Windows セキュリティエクスペリエンス (プレビュー) プロファイルを更新しました。

以前は、このプロファイルはテナント接続デバイスの改ざん保護に制限されていました。更新されたプロファイルには、セキュリティセンターの Windows Defender が含まれています。これらの新しい設定を使用して、Intune マネージドデバイスに類似した名前が付けられたプロファイルで既に管理しているテナント接続デバイス用に同じ詳細を管理できます。

このプロファイルの詳細については、「エンドポイントセキュリティのウイルス対策ポリシー」を参照してください。

Intune アプリ

iOS/iPadOS ポータルサイトアプリからの通知

iOS/iPadOS ポータルサイトアプリからの通知は、無音で配信されるのではなく、既定の Apple のサウンドを使用してデバイスに配信されるようになりました。 iOS/iPadOS ポータルサイトアプリから通知音をオフにするには、[設定] > [通知] > [Comp Portal] を選択し、[サウンド] トグルを選択します。関連情報については、「ポータルサイトアプリの通知」を参照してください。

監視とトラブルシューティング

デバイスの構成に焦点を絞った組織レポート

新しい [デバイスの構成] 組織レポートがリリースされました。このレポートは、Microsoft エンドポイントマネージャー管理センターの [デバイス] > [監視] にある既存の [割り当ての状態] レポートに代わるものです。 [デバイスの構成] レポートを使用すると、テナント内にある、状態が成功、エラー、競合、または適用外のデバイスが含まれるプロファイルの一覧を生成できます。プロファイルの種類、OS、状態にフィルターを使用できます。返される結果には、検索、並べ替え、フィルター、改ページ、エクスポートの機能が用意されています。このレポートには、デバイス構成の詳細に加えて、リソースアクセスの詳細と、新しい設定カタログプロファイルの詳細が表示されます。関連情報については、「Intune のレポート」を参照してください。

Microsoft エンドポイントマネージャー管理センターのサポートエクスペリエンスの更新

Intune と共同管理のサポートフローで利用できる、Microsoft エンドポイントマネージャー管理センターのサポートエクスペリエンスを改善しました。新しいエクスペリエンスでは、問題固有のトラブルシューティングの分析情報と Web ベースのソリューションが提供され、より迅速に解決できるようになります。

この変更の詳細については、サポートのブログ投稿を参照してください。

[機能更新プログラムのエラー] レポートにセーフガードホールドが表示されるようになりました

割り当てエラー運用レポートの更新

セキュリティベースラインとエンドポイントセキュリティプロファイルが既存の [割り当てエラー] レポートに追加されました。プロファイルの種類は、フィルター処理が可能な [ポリシーの種類] 列を使用して区別されます。ロールベースのアクセス制御 (RBAC) アクセス許可がレポートに適用され、管理者が表示できるポリシーのセットをフィルター処理します。これらの RBAC アクセス許可には、セキュリティベースラインのアクセス許可、デバイス構成アクセス許可、およびデバイスコンプライアンスポリシーのアクセス許可が含まれます。このレポートには、特定のプロファイルのエラーと競合の状態にあるデバイスの数が表示され、それらのデバイスまたはユーザーの詳細なリストをドリルダウンし、さらに設定の詳細を確認できます。 Microsoft エンドポイントマネージャー管理センターで [割り当てエラー] レポートを確認するには、[デバイス] > [監視] を選択するか、[エンドポイントセキュリティ] > [監視] を選択します。詳細については、「[割り当てエラー] レポート (運用)」を参照してください。

2021 年 9 月 20 日の週

アプリ管理

iOS/iPadOS/macOS ポータルサイトバージョンの同期

iOS/iPadOS ポータルサイトと macOS ポータルサイトのバージョンは、次のリリースでバージョン 5.2019 に同期されます。今後、iOS/iPadOS と macOS ポータルサイトアプリのバージョン番号は同じになります。関連情報については、「Intune ポータルサイトアプリ、ポータルサイト Web サイト、および Intune アプリを構成する方法」を参照してください。

2021 年 8 月 23 日の週 (サービスリリース 2108)

アプリ管理

デバイスフィルター評価レポートへの割り当てられたアプリのフィルター結果の追加

アプリを使用可能として割り当てるためにフィルターを使用している場合、デバイスのフィルター評価レポートを使用して、アプリがインストール可能になっているかどうかを判断できるようになりました。このレポートはデバイスごとに、[デバイス] > [すべてのデバイス] > デバイスを選択 > [フィルター評価 (プレビュー)] で表示できます。

フィルターの詳細については、「Microsoft エンドポイントマネージャーでアプリ、ポリシー、プロファイルを割り当てるときにフィルターを使用する」を参照してください。
フィルターレポートの詳細については、「Microsoft エンドポイントマネージャーでのレポートのフィルター処理とトラブルシューティング」を参照してください。

適用対象:

Android デバイス管理者
Android Enterprise
iOS/iPadOS
macOS
Windows 11
Windows 10

条件付き起動ポリシーに追加された Android SafetyNet の評価の種類のサポート

条件付き起動で、[SafetyNet デバイスの構成証明] のサブ設定がサポートされるようになりました。条件付き起動に必須として [SafetyNet デバイスの構成証明] を選択する場合は、特定の SafetyNet の評価の種類を使用するように指定できます。この評価の種類は、ハードウェアによるキーです。評価の種類としてハードウェアを利用するキーが存在することは、デバイスの整合性の向上を意味します。ハードウェアによるキーがサポートされていないデバイスは、この設定で対象となる場合、MAM ポリシーによってブロックされます。 SafetyNet の評価とハードウェアを利用するキーのサポートの詳細については、Android 開発者向けドキュメントで評価の種類に関する記述をご確認ください。 Android の条件付き起動設定の詳細については、「条件付き起動」を参照してください。

iOS および Android デバイスの Outlook S/MIME 設定の更新

管理対象アプリのオプションを使用するときに、[Outlook S/MIME の設定] で、iOS および Android デバイスに対して常に署名したり、常に暗号化したりできるようになりました。この設定は、管理対象アプリの使用時に Microsoft Endpoint Manager admin center で使用できます。それには [アプリ] > [アプリ構成ポリシー] を選択します。また、管理対象アプリとマネージドデバイスの両方について、iOS および Android デバイスに対して Outlook S/MIME の LDAP (ライトウェイトディレクトリアクセスプロトコル) URL を追加できます。関連情報については、「Microsoft Intune のアプリ構成ポリシー」を参照してください。

managed Google Play アプリのスコープタグ

スコープタグによって、特定の権限を持つ管理者が Intune で表示できるオブジェクトが決まります。 Intune で新しく作成された項目のほとんどでは、作成者のスコープタグが使用されます。これは managed Google Play ストアアプリには当てはまりません。必要に応じて、[Managed Google Play コネクタ] ウィンドウで、新しく同期されたすべての管理対象の Google Play アプリに適用するスコープタグを割り当てることができるようになりました。選択したスコープタグは新しい managed Google Play アプリにのみ適用されます。テナントで既に承認されている managed Google Play アプリには適用されません。関連情報については、「Intune を使って managed Google Play アプリを Android Enterprise デバイスに追加する」と「分散 IT にロールベースのアクセス制御 (RBAC) とスコープタグを使用する」を参照してください。

macOS LOB アプリの内容が Intune に表示される

Intune によって、macOS LOB アプリ (.intunemac ファイル) の内容がコンソールに表示されるようになりました。 Intune コンソールで、macOS LOB アプリを追加するときに .intunemac ファイルから取得されたアプリ検出の詳細を確認および編集できるようになりました。 PKG ファイルをアップロードすると、検出規則が自動作成されます。 Microsoft エンドポイントマネージャー管理センターで、[アプリ] > [すべてのアプリ] > [追加] の順に選択します。続けて、基幹業務 アプリの種類と、.intunemac ファイルを含む [アプリのパッケージファイル] を選択します。詳細については、「macOS の基幹業務 (LOB) アプリを Microsoft Intune に追加する方法」を参照してください。

デバイス構成

Windows 10/11 以降のデバイスの DFCI 構成プロファイルでフィルターを使用する

エンドポイントマネージャーでは、さまざまなプロパティに基づいてデバイスをターゲットとするフィルターを作成できます。デバイスのファームウェア構成インターフェイス (DFCI) プロファイルを作成する場合、プロファイルを割り当てるときにフィルターを使用できるようになります。

フィルターの詳細については、アプリ、ポリシー、プロファイルを割り当てるときにフィルターを使用する方法に関する記事を参照してください。
DFCI プロファイルの詳細については、Windows デバイスのデバイスのファームウェア構成インターフェイスプロファイルを使用する方法に関する記事を参照してください。

適用対象:

サポートされている UEFI での Windows 11
サポートされている UEFI 上の Windows 10 RS5 (1809) 以降

macOS デバイス上のカスタムデバイス構成プロファイルの新しい展開チャネル設定

macOS デバイス用のカスタムデバイス制限ポリシーを作成するときに、新しい展開チャネル設定を利用できます ([デバイス] > [構成プロファイル] > [プロファイルの作成] > プラットフォームに [macOS] を選択 > [テンプレート] > プロファイルに [カスタム] を選択)。

展開チャネル 設定を使用して、構成プロファイルをユーザーチャネルまたはデバイスチャネルに展開します。プロファイルを間違ったチャネルに送信すると、展開が失敗する可能性があります。デバイスプロファイルまたはユーザープロファイルでペイロードを使用する方法の詳細については、「Profile-Specific Payload Keys (プロファイル固有のペイロードキー)」(Apple の開発者用 Web サイトが開きます) を参照してください。

Intune でのカスタム macOS プロファイルの詳細については、macOS デバイス用のカスタム設定の使用に関する記事を参照してください。

適用対象:

macOS

iOS および iPadOS 14.5 以降のデバイス用の構成プロファイル設定を使用して設定された Wi-Fi ネットワークを使用する

iOS および iPadOS デバイス用のデバイス制限ポリシーを作成する際に、利用可能な新しい設定があります ([デバイス] > [構成プロファイル] > [プロファイルの作成] > プラットフォームとして [iOS/iPadOS] を選択 > プロファイルとして [デバイスの制限] を選択)。

[Require devices to use Wi-Fi networks set up via configuration profiles](構成プロファイルを使用して設定された Wi-Fi ネットワークを使用するようデバイスに要求する): [はい] に設定すると、構成プロファイルを通じて設定された Wi-Fi ネットワークのみを使用するようデバイスに要求します。

現在構成できる設定を確認するには、「Intune を使用する機能を許可または制限するための iOS および iPadOS デバイスの設定」を参照してください。

適用対象:

iOS/iPadOS 14.5 以降

新しい macOS デバイス構成プロファイル設定と、iOS および iPadOS 設定名の変更

macOS 10.13 以降のデバイスで構成できる新しい設定があります ([デバイス] > [構成プロファイル] > [プロファイルの作成] > プラットフォームとして [macOS] を選択 > [テンプレート] > プロファイルの種類として [デバイスの制限] を選択)。

[Game Center の友達の追加をブロックする] ([アプリストア、ドキュメントの表示、ゲーム]): ユーザーが Game Center に友達を追加できないようにします。
[Game Center をブロックする] ([アプリストア、ドキュメントの表示、ゲーム]): Game Center が無効になり、Game Center アイコンが [ホーム] 画面から削除されます。
[Block multiplayer gaming in the Game Center](Game Center でマルチプレイヤーゲームをブロックする) ([アプリストア、ドキュメントの表示、ゲーム]): Game Center を使用するときに、マルチプレーヤーゲームをブロックします。
[壁紙の変更をブロックする] ([全般]): 壁紙を変更できないようにします。

現在構成できる設定を確認するには、機能を許可または制限するための macOS デバイスの設定に関する記事を参照してください。

また、iOS および iPadOS の [マルチプレイヤーゲームをブロックする] という設定名は、[Block multiplayer gaming in the Game Center](Game Center でマルチプレイヤーゲームをブロックする) に変更されます ([デバイス] > [構成プロファイル] > [プロファイルの作成] > プラットフォームとして [iOS/iPadOS] を選択 > プロファイルの種類として [デバイスの制限] を選択)。

この設定の詳細については、機能を許可または制限するための iOS および iPadOS デバイスの設定に関する記事を参照してください。

適用対象:

iOS/iPadOS
macOS 10.13 以降

追加の iOS および iPadOS ホーム画面レイアウトのグリッドサイズオプション

iOS および iPadOS デバイスでは、ホーム画面でグリッドサイズを構成できます ([デバイス] > [デバイスの構成] > [プロファイルの作成] > プラットフォームとして [iOS/iPadOS] を選択 > プロファイルとして [デバイス機能] を選択 > [ホーム画面のレイアウト])。たとえば、グリッドサイズを 4 列 x 5 行に設定できます。

グリッドサイズに次のオプションが追加されます。

4 列 x 5 行
4 列 x 6 行
5 列 x 6 行

現在構成できるホーム画面のレイアウト設定を確認するには、Intune で一般的な iOS および iPadOS 機能を使用するためのデバイスの設定に関する記事を参照してください。

適用対象:

iOS/iPadOS

仕事用プロファイルがある Android Enterprise の個人所有のデバイス上のエンタープライズ Wi-Fi プロファイルに証明書サーバー名を追加する

Android デバイスで、仕事用プロファイルがある個人用デバイスの Wi-Fi ネットワーク用に証明書ベースの認証を使用できます ([デバイス] > [構成プロファイル] > [プロファイルの作成] > プラットフォームに [Android Enterprise] を選択 >[個人所有の仕事用プロファイル] > [Wi-Fi])。

[Enterprise] Wi-Fi の種類を使用し、[EAP の種類] を選択すると、新しい [証明書サーバー名] 設定が表示されます。この設定を使用して、証明書で使用される証明書サーバーのドメイン名の一覧を追加します。たとえば、「srv.contoso.com」と入力します。

Android 11 以降のデバイスでは、[Enterprise] Wi-Fi の種類を使用する場合は、証明書サーバーの名前を追加する 必要があります。証明書サーバーの名前を追加しないと、ユーザーに接続の問題が発生します。

Android Enterprise デバイスに対して構成できる Wi-Fi 設定の詳細については、「Microsoft Intune で Android エンタープライズの専用デバイスおよびフルマネージドデバイス用の Wi-Fi 設定を追加する」を参照してください。

適用対象:

仕事用プロファイルがある Android Enterprise の個人所有のデバイス

デバイスの登録

デバイスの自動登録に対して、Apple セットアップアシスタントでの先進認証方法のプレビューが終了

デバイスの自動登録に対して、Apple セットアップアシスタントでの先進認証方法のプレビューが終了し、一般提供が開始されました。

iOS/iPadOS デバイスでのこの認証方法の使い方については、「Apple の Automated Device Enrollment を使用して iOS/iPadOS デバイスを自動登録する」を参照してください。

macOS デバイスでのこの認証方法の使い方については、「Apple Business Manager または Apple School Manager を使用して macOS デバイスを自動登録する」を参照してください。

デバイス管理

エンドポイント分析のデバイスごとのスコアリング

ユーザーエクスペリエンスに影響する可能性があるデバイスの特定をサポートするために、エンドポイント分析ではいくつかのデバイスごとのスコアが表示されます。デバイスごとのスコアを確認すると、ヘルプデスクに電話をかける前に、エンドユーザーに影響を与える問題を見つけて解決できる場合があります。各デバイスのエンドポイント分析、起動時のパフォーマンス、およびアプリケーションの信頼性スコアによって、表示と並べ替えを行うことが可能になります。詳細については、「デバイスごとのスコア」を参照してください。

デバイスのセキュリティ

macOS での Microsoft Defender for Endpoint の設定カタログの設定に対する変更

macOS 上の Microsoft Defender for Endpoint を管理するための 8 つの新しい設定が、Intune 設定カタログに追加されました。

新しい設定は、設定カタログの以下の 4 つのカテゴリの下に、次のように表示されます。これらの設定の詳細については、Mac 用 Microsoft Defender for Endpoint ドキュメントの「macOS 用 Microsoft Defender for Endpoint の基本設定を設定する」を参照してください。

Microsoft Defender - ウイルス対策エンジン:
- 許可されていない脅威アクション
- 除外のマージ
- スキャン履歴のサイズ
- スキャン結果の保持期間
- 脅威の種類の設定のマージ
Microsoft Defender - クラウドによる保護の基本設定:
- セキュリティインテリジェンスの自動更新
Microsoft Defender - ユーザーインターフェイスの基本設定:
- ユーザーが行ったフィードバック
Microsoft Defender - ネットワーク保護 - これは、カタログの Microsoft Defender for Endpoint 用の新しいカテゴリです。
- 実施レベル

Microsoft エンドポイントマネージャー管理センター内から Tunnel ゲートウェイサーバーが内部ネットワークにアクセスできることを確認する

Tunnel ゲートウェイサーバーが内部ネットワークにアクセスできることを、誰かがサーバーに直接アクセスすることなく確認できる機能が Microsoft Endpoint Manager admin center に追加されました。これを有効にするには、各 Tunnel ゲートウェイサイトのプロパティで、[URL for internal network access check](内部ネットワークのアクセスチェック用の URL) という名前の新しいオプションを構成します。

Tunnel ゲートウェイサイトに内部ネットワークの URL を追加すると、そのサイト内の各サーバーから定期的にアクセスが試みられ、結果が報告されます。

この内部ネットワークのアクセスチェックの状態は、サーバーの [正常性チェック] タブで "内部ネットワークのアクセス可能性" として報告されます。このチェックの状態の値は次のとおりです。

正常 - サーバーがサイトのプロパティで指定された URL にアクセスできます。
異常 - サーバーがサイトのプロパティで指定された URL にアクセスできません。
不明 - この状態はサイトのプロパティで URL を設定していない場合に表示され、サイトの全体的な状態には影響しません。

この機能を動作させるには、サーバーを最新バージョンの Tunnel ゲートウェイサーバーソフトウェアにアップグレードする必要があります。

個人所有の Android Enterprise 仕事用プロファイル用の SafetyNet のハードウェアによるキー構成証明のコンプライアンス設定

個人所有の Android Enterprise 仕事用プロファイルデバイス用の新しいデバイスコンプライアンス設定、[ [必須の SafetyNet の評価の種類] ](../protect/compliance-policy-create-android-for-work.md#google-play-protect---for-personally owned-work-profile)が追加されました。この新しい設定は、[SafetyNet デバイスの構成証明] を [基本的な整合性のチェック] または [基本的な整合性と認定デバイスのチェック] のいずれかに構成すると使用できるようになります。新しい設定:

[Required SafetyNet evaluation type](必須の SafetyNet の評価の種類):

[未構成 (既定値は基本評価)] – これが既定の設定です。
[ハードウェアを利用するキー] – SafetyNet の評価にハードウェアを利用するキー構成証明が使用されている必要があります。ハードウェアを利用するキー構成証明をサポートしていないデバイスは、非準拠としてマークされます。

SafetyNet とハードウェアを利用するキー構成証明をサポートしているデバイスの詳細については、Android 向けの SafetyNet ドキュメントで評価の種類に関する記述をご確認ください。

Intune アプリ

Intune 用に新しく利用可能になった保護されたアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

F2 Touch Intune (cBrain A/S 提供)

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

監視とトラブルシューティング

Windows クライアントデバイスでグループポリシー分析 (プレビュー) を使用する際に、エクスポートした GPO XML ファイルのサイズが 4 MB に増加する

Microsoft エンドポイントマネージャーでは、グループポリシー分析を使用してオンプレミスの GPO を分析し、GPO がクラウド内でどのように変換されるかを判断できます。この機能を使用するには、GPO を XML ファイルとしてエクスポートします。 XML ファイルのサイズは、750 KB から 4 MB に増加しています。

グループポリシー分析の使用方法の詳細については、「Microsoft エンドポイントマネージャーでグループポリシー分析を使用してオンプレミスのグループポリシーオブジェクト (GPO) を分析する」を参照してください。

適用対象:

Windows 11
Windows 10

デバイス構成レポートの更新

すべてのデバイス構成およびエンドポイントセキュリティプロファイルが 1 つのレポートにマージされました。改善されたデータを含む新しい 1 つのレポートで、デバイスに適用されるすべてのポリシーを表示できます。たとえば、新しい [ポリシーの種類] フィールドでは、プロファイルの種類を区別できます。また、ポリシーを選択すると、デバイスに適用される設定とデバイスの状態に関する追加の詳細情報が表示されます。ロールベースのアクセス制御 (RBAC) のアクセス許可が、アクセス許可に基づいてプロファイルの一覧をフィルター処理するために適用されています。 Microsoft Endpoint Manger admin center で [デバイス] > [すべてのデバイス] > "デバイスを選択" > [デバイス構成] を選択すると、このレポートを表示できます (利用可能な場合)。詳細については、Microsoft Intune のレポートに関する記事を参照してください。

Intune ウイルス対策レポートの新しい詳細

Windows 10 の異常なエンドポイントレポートとウイルス対策エージェント状態レポートの両方に、詳細の 2 つの新しい列が追加されました。

新しい詳細には以下が含まれます。

MDE オンボードの状態 - (HealthState/OnboardingState) は、デバイス上の Microsoft Defender for Endpoint エージェントの存在を識別します。
MDE センス実行状態 - (HealthState/SenseIsRunning) デバイス上の Microsoft Defender for Endpoint 正常性センサーの動作状態について報告します。

これらの設定の詳細については、「WindowsAdvancedThreatProtection CSP」を参照してください。

Microsoft Tunnel ゲートウェイサーバーの正常性状態のしきい値をカスタマイズする

Microsoft Tunnel ゲートウェイの複数のメトリックの正常性状態を決定するしきい値をカスタマイズできるようになりました。

正常性状態のメトリックには、その状態が "正常"、"警告"、または "異常" として報告されるかどうかを決定する既定値があります。メトリックをカスタマイズするときは、メトリックの状態のパフォーマンス要件を変更します。次のメトリックをカスタマイズできます。

CPU 使用率
メモリ使用量
ディスク領域の使用量
遅延

しきい値を変更すると、その変更はテナント内のすべての Tunnel サーバーに適用されます。また、すべてのメトリックを既定値にリセットするオプションを選択することもできます。

しきい値を更新すると、[正常性チェック] タブの値は、更新されたしきい値に基づく状態を反映するように自動的に更新されます。

Microsoft Tunnel ゲートウェイサーバーの正常性状態の傾向を表示する

グラフの形式で、Microsoft Tunnel ゲートウェイのいくつかの正常性メトリックの正常性状態の傾向を表示できます。正常性状態の傾向グラフは、[正常性状態] ページから選択した個々のサーバーについて利用できます。

傾向グラフがサポートされるメトリックは次のとおりです。

接続
CPU 使用率
ディスク領域の使用量
メモリ使用量
平均遅延時間
スループット

2021 年 8 月 16 日の週

アプリ管理

macOS デバイス用の Intune ポータルサイトがユニバーサルアプリになりました

macOS デバイス用の Intune ポータルサイトバージョン 2.18.2107 以降をダウンロードすると、Apple Silicon Macs でネイティブ実行される、アプリの新しいユニバーサルバージョンがインストールされます。同じアプリによって、Intel Macs コンピューターには x64 バージョンのアプリがインストールされます。関連情報については、macOS 用ポータルサイトアプリの追加に関するページを参照してください。

デバイス構成

Certificate Connector for Microsoft Intune の新しいバージョン

Certificate Connector for Microsoft Intune の新しいバージョン 6.2108.18.0 をリリースしました。この更新には次のものが含まれます。

Microsoft Endpoint Manager 管理センターで現在のコネクタ状態を正しく表示するための修正。
SCEP 証明書の配信エラーを正しく報告するための修正。

コネクタのリリースと更新プログラムの一覧を含む証明書コネクタの詳細については、「Certificate Connector for Microsoft Intune」を参照してください。

デバイスの管理

Windows 10 の診断への Windows Hello for Business の追加

Windows 10 のデバイス診断で収集されるデータに、Windows Hello for Business の Operational イベントビューアーからの情報を追加しました。収集されたデータを参照してください。

2021 年 8 月 2 日の週

Windows 365 の一般提供開始

Windows 365 は、エンドユーザー向けにクラウド PC を自動的に作成する Microsoft の新しいサービスです。クラウド PC は、クラウドとアクセスするデバイスの機能を使用して、完全かつパーソナライズされた Windows 仮想マシンを提供する、新しいハイブリッドパーソナルコンピューティングカテゴリです。管理者は、Microsoft エンドポイントマネージャーを使用して、各ユーザーのクラウド PC に対してプロビジョニングされる構成とアプリケーションを定義できます。エンドユーザーは、任意のデバイス、任意の場所から各自のクラウド PC にアクセスできます。 Windows 365 では、エンドユーザーのクラウド PC とデータが、デバイスではなくクラウドに格納されるため、セキュリティで保護されたエクスペリエンスが提供されます。

Windows 365 の詳細については、Windows 365 に関するページを参照してください。

組織で Windows 365 を管理する方法については、Windows 365 のドキュメントを参照してください。

2021 年 7 月 26 日の週 (サービスリリース 2107)

デバイス構成

ビジネス向け共有 iPad として登録された iPadOS デバイスに対するポリシーのサポートの強化 (パブリックプレビュー)

ビジネス向け共有 iPad 用のユーザー割り当てデバイス構成ポリシーのサポートが追加されました。

この変更により、ホーム画面のレイアウトなどの設定や、ユーザーグループに割り当てられているほとんどのデバイス制限が共有 iPad デバイスに適用され、割り当てられたユーザーグループのユーザーがデバイス上でアクティブになります。

個別の証明書コネクタを組み合わせた Certificate Connector for Microsoft Intune

Certificate Connector for Microsoft Intune がリリースされました。この新しいコネクタは、SCEP と PKCS 用の個別の証明書コネクタの使用に置き換わるもので、次の機能を備えています。

次の機能の 1 つ以上をサポートするように、コネクタの各インスタンスを構成します。
- SCEP
- PKCS
- PFX のインポートされた証明書
- 証明書の失効
コネクタサービスで通常の Active Directory アカウントまたはシステムアカウントを使用する。
テナントの場所に基づいて、政府機関または商用環境を選択する。
SCEP と NDES の統合に使用するクライアント証明書を選択する必要がなくなる。
最新バージョンのコネクタに自動更新する。このコネクタの手動更新もサポートされています。
改善されたログ記録。

前のコネクタは引き続きサポートされていますが、ダウンロードすることはできません。コネクタをインストールまたは再インストールする必要がある場合は、新しい Certificate Connector for Microsoft Intune をインストールしてください。

Windows Autopilot 診断ページ (パブリックプレビュー)

Windows 11 で提供される Windows Autopilot 診断ページをサポートするために、[登録ステータスページ] で使用できる設定は、[インストールエラーに関するログ収集をユーザーに許可する] から [Turn on log collection and diagnostics page for end users](エンドユーザーのログ収集と診断ページを有効にする) に更新されました。詳細については、「Windows オートパイロット: 新機能」を参照してください。

デバイス管理

Endpoint Manager admin center でフィルターを使用して Windows クライアント更新リングを割り当てる - パブリックプレビュー

エンドポイントマネージャー管理センターでは、フィルターを作成してから、アプリとポリシーを割り当てるときにこれらのフィルターを使用できます。

Windows クライアント更新リングポリシーを割り当てるときに、フィルター ([デバイス] > [Windows] > [Windows 10 更新リング]) を使用できます。 OS のバージョンやデバイスの製造元など、デバイスのプロパティに基づいて更新リングポリシーが取得されるデバイスをフィルター処理できます。フィルターを作成したら、更新リングポリシーを割り当てるときにフィルターを使用します。

フィルターの詳細については、「Microsoft エンドポイントマネージャーでアプリ、ポリシー、プロファイルを割り当てるときにフィルターを使用する」を参照してください。
Windows 10 更新リングポリシーの詳細については、「Intune での Windows 10 更新リングポリシー」を参照してください。

適用対象:

Windows 11
Windows 10

[診断情報の収集] リモートアクションが一般提供に移行

[診断情報の収集] リモートアクションを使用すると、エンドユーザーに中断や待機を発生させることなく、企業のデバイスから診断情報を収集できます。収集される診断情報には、MDM、オートパイロット、イベントビューアー、レジストリキー、構成マネージャークライアント、ネットワーク、およびその他の重要なトラブルシューティング診断情報が含まれます。詳細については、「Windows デバイスから診断情報を収集する」を参照してください。

Microsoft HoloLens 用オートパイロットサポートの一般公開

詳細については、「Windows Autopilot for HoloLens 2」を参照してください。

デバイスのセキュリティ

[どこからでも作業] レポート

エンドポイント分析に [Work from anywhere](どこからでも作業する) という名前の新しいレポートが追加されています。 [どこからでも作業] レポートは、[推奨されるソフトウェア] レポートの進化版です。新しいレポートには、Windows 10、クラウド管理、クラウド ID、およびクラウドプロビジョニングのメトリックが含まれています。詳細については、[どこからでも作業] レポートに関する記事を参照してください。

Intune アプリ

macOS 用ポータルサイトのシングルサインオンアプリ拡張機能の画面の改善

macOS ユーザーに対してシングルサインオン (SSO) を使用した各自のアカウントへのログインを求める Intune ポータルサイトの認証画面が改善されました。ユーザーは次のことができるようになりました。

SSO を要求しているアプリを確認する。
[今後このメッセージを表示しない] を選択して今後の SSO 要求をオプトアウトする。
ポータルサイト > [基本設定] に移動し、[Don't ask me to sign in with single sign-on for this account](このアカウントにシングルサインオンでサインインすることを要求しない) を選択解除して、SSO 要求にもう一度オプトインする。

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されているアプリを Microsoft Intune で使用できるようになりました。

Cisco Systems, Inc. による Intune 用 Webex
LumApps による Intune 用 LumApps
CEGB CO., Ltd. による ArchXtract (MDM)

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

2021 年 7 月 5 日の週

デバイスのセキュリティ

macOS 上の Microsoft Defender for Endpoint 用の設定カタログのサポート

macOS 上の Microsoft Defender for Endpoint を管理するための設定が Intune 設定カタログに追加され、macOS 上の Microsoft Defender for Endpoint を構成できるようになりました。

新しい設定は、設定カタログの以下の 4 つのカテゴリの下に、次のように表示されます。これらの設定の詳細については、"Mac 上の Microsoft Defender for Endpoint" に関するドキュメントの「macOS 上の Microsoft Defender for Endpoint を設定する」を参照してください。

Microsoft Defender - ウイルス対策エンジン:

許可される脅威
パッシブモードを有効にする
リアルタイム保護を有効にする
除外をスキャンする
脅威の種類の設定

Microsoft Defender - クラウドによる保護の設定:

診断収集のレベル
サンプルの自動送信を有効または無効にする
クラウドによる保護を有効または無効にする

Microsoft Defender - EDR の設定:

デバイスタグ
早期プレビューを有効または無効にする

Microsoft Defender - ユーザーインターフェイスの設定:

[状態] メニューアイコンの表示または非表示

2021 年 6 月 28 日の週

iOS および iPadOS の新しいリモートアクションにより eSIM 携帯ネットワークプランの更新が可能に (パブリックプレビュー)

新しい [Update cellular data plan (preview)](携帯データネットワークプランの更新 (プレビュー)) アクションを使用すると、サポート対象の iOS および iPadOS デバイスで eSIM 携帯ネットワークプランをリモートでアクティブ化できます。この機能は現在パブリックプレビューの段階です。詳細については、携帯データネットワークプランの更新に関する記事を参照してください。

2021 年 6 月 21 日の週 (サービスリリース 2106)

アプリ管理

管理対象アプリの状態の表示に関する機能強化

ユーザーまたはデバイスに展開された管理対象アプリに関する状態情報を Intune で表示する方法に対して、いくつかの機能強化が追加されました。

Intune では、表示しているデバイスのプラットフォームに固有のアプリだけが表示されるようになりました。また、Android および Windows プラットフォームに対するパフォーマンスの強化と追加のサポートも導入されました。

Apple VPP アプリに対する既定のライセンスの種類の更新

Apple Volume Purchase Program (VPP) アプリに対して新しい割り当てを作成する場合、既定のライセンスの種類は "device" になります。既存の割り当ては変更されません。 Apple VPP アプリの詳細については、「Apple Business Manager で購入した iOS アプリと macOS アプリを Microsoft Intune で管理する方法」を参照してください。

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されているアプリを Microsoft Intune で使用できるようになりました。

Confidential File Viewer (Hitachi Solutions, Ltd. 提供)
AventX Mobile Work Orders (STR Software 提供)
Slack for Intune (Slack Technologies, Inc. 提供)
Dynamics 365 Sales (Microsoft 提供)
Leap Work for Intune (LeapXpert Limited 提供)
iManage Work 10 For Intune (iManage, LLC 提供)
Microsoft Whiteboard (Microsoft 提供) (Android バージョン)

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

デバイス構成

iOS および iPadOS デバイスの Safari で Cookie とクロスサイトトラッキングを管理する

iOS および iPadOS デバイスのデバイス制限ポリシーを作成する場合は、Safari アプリで Cookie を管理できます ([デバイス] > [構成プロファイル] > [プロファイルの作成] > プラットフォームとして [iOS/iPadOS] を選択 > プロファイルとして [デバイスの制限] を選択 > [組み込みアプリ])。

Cookie とクロスサイトトラッキングの管理を支援するために、[Safari の Cookie] 設定が更新されました。この設定の詳細については、iOS および iPadOS デバイスの組み込みアプリに関する記事を参照してください。

適用対象:

iOS および iPadOS バージョン 4 以降

デバイスの登録

企業の Android の登録時にブラウザーアクセスが自動的に有効に

次のデバイスの新規登録時に、ブラウザーアクセスが自動的に有効になるようになりました。

Azure AD 共有デバイスモードで登録された Android Enterprise 専用デバイス
Android Enterprise のフルマネージドデバイス
Android Enterprise の会社所有の仕事用プロファイルデバイス

準拠デバイスでは、ブラウザーを使用して、条件付きアクセスによって保護されているリソースにアクセスできます。

この変更は、既に登録されているデバイスには影響しません。

仕事用プロファイルを備えた企業所有 Android Enterprise デバイスの Intune サポート

仕事用プロファイルを備えた企業所有 Android Enterprise デバイスの Intune サポートが一般提供になりました。詳細については、「仕事用プロファイルを備えた企業所有 Android Enterprise デバイスの一般提供の発表」を参照してください

デバイスの管理

設定カタログの構成プロファイルと、リスクスコアおよび脅威レベルのコンプライアンスポリシー設定に対してフィルターを使用する

フィルターを使用してポリシーを割り当てる場合、次の操作を実行できます。

リスクスコア と 脅威レベル の設定を使用するコンプライアンスポリシーに対してフィルターを使用する。
設定カタログ プロファイルの種類を使用する構成プロファイルに対してフィルターを使用する。

実行できる操作の詳細については、フィルターでサポートされているプラットフォーム、ポリシー、アプリの種類の一覧に関する記事を参照してください。

適用対象:

Android デバイス管理者
Android Enterprise
iOS/iPadOS
macOS
Windows 11
Windows 10

Android Enterprise のフィルターを作成するときに EnrollmentProfileName プロパティを使用する

エンドポイントマネージャーで、デバイス名や製造元などのさまざまなプロパティに基づいてデバイスを対象とするフィルターを作成できます。 iOS および iPadOS と Windows 10/11 デバイスでは、登録プロファイル名を使用してフィルターを作成できます。登録プロファイル名プロパティは、Android Enterprise デバイスで使用できます。

構成できるフィルタープロパティを確認するには、フィルターを作成するときのデバイスのプロパティ、演算子、ルールの編集に関する記事を参照してください。

適用対象:

Android Enterprise

監視とトラブルシューティング

プロアクティブな修復のエクスポートオプション

プロアクティブな修復は、ユーザーのデバイスに関する一般的なサポートの問題を、ユーザーが問題の存在に気付く前に検出して修正することができるスクリプトパッケージです。返された出力を簡単に分析できるように、出力を .csv ファイルとして保存できる エクスポート オプションが追加されました。詳細については、「プロアクティブな修復」を参照してください。

更新された証明書レポート

現在使用されているデバイス証明書を示す [証明書] レポートが更新され、レポートを検索、ページング、並べ替え、エクスポートする機能が強化されました。 Microsoft Endpoint Manager admin center で、[デバイス] > [監視] > [証明書] の順に選択します。 Intune のレポートの詳細については、「Intune レポート」を参照してください。

2021 年 6 月 14 日の週

デバイスのセキュリティ

Android 上の Microsoft Tunnel 用 Microsoft Defender for Endpoint のプレビューが終了

Android 上で Microsoft Tunnel の機能をサポートする Microsoft Defender for Endpoint アプリのプレビューが終了し、一般提供が開始されました。この変更により、以下のことが可能になります。

Defender for Endpoint を Android 上のトンネルアプリとして使用するようにオプトインする必要がなくなりました。
Android 用のスタンドアロンアプリは現在非推奨となっており、2022 年 1 月 31 日にサポートが終了すると Google アプリストアから削除されます。

更新された Android 向けの Microsoft Tunnel アプリ用 Microsoft Defender for Endpoint アプリをダウンロードして使用することを計画してください。プレビューに参加していた場合は、Google Play ストアの新しいバージョンの Defender for Endpoint を使用してデバイスを更新してください。まだスタンドアロントンネルアプリを使用している場合は、スタンドアロンアプリのサポートが終了する前に Microsoft Defender for Endpoint アプリに移行することを計画してください。

iOS 用のスタンドアロントンネルアプリはプレビューのままです。

デバイスの管理

テナント接続: オフボード

テナントのアタッチを有効にすることで、非常に大きな価値を得ることができますが、まれに、階層のオンボードが必要になることがあります。たとえば、オンプレミス環境が削除されたディザスターリカバリーシナリオの後に、オフボードが必要になる場合があります。 Microsoft Endpoint Manager admin center から Configuration Manager 階層を削除するには、[テナント管理]、[コネクタとトークン]、[Microsoft Endpoint Configuration Manager] の順に選択します。オフボードするサイトの名前を選択し、[削除] を選択します。詳細については、「テナントのアタッチの有効化」を参照してください。

2021 年 6 月 7 日の週

アプリ管理

Android ポータルサイトアプリと Intune アプリにポルトガルのポルトガル語のサポートを追加

Android ポータルサイトアプリと Android Intune アプリで、ポルトガルのポルトガル語 (言語コード pt-PT) がサポートされるようになりました。Intune では既にブラジルのポルトガル語がサポートされています。

2021 年 5 月 24 日の週 (サービスリリース 2105)

デバイスのセキュリティ

新しい Microsoft Tunnel Gateway バージョン

新しいバージョンの Microsoft Tunnel ゲートウェイがリリースされました。これには次の変更が含まれます。

軽微なバグ修正。
すべての依存関係のセキュリティ更新プログラムを含むイメージの更新。

自動的に更新するように構成されているサイトの場合、Tunnel Gateway サーバーは自動的に新しいバージョンに更新されます。手動で更新するように構成されているサイトの場合は、更新プログラムを承認する必要があります。

アプリ管理

アプリインストールの失敗数を表示する新しいタイル

[ホーム]、[ダッシュボード]、[アプリの概要] ペインに、テナントでのアプリインストールのエラー数を示す更新されたタイルが表示されるようになりました。 Microsoft エンドポイントマネージャー管理センターで、[ホーム] を選択して [ホーム] ペインを表示するか、[ダッシュボード] を選択して [ダッシュボード] ペインを表示します。 [アプリ] > [概要] を選択して、[アプリの概要] ペインを表示します。関連情報については、「Intune レポート」を参照してください。

デバイス構成

設定カタログの [設定ごとの状態] レポート

設定カタログ プロファイルを作成すると、各状態にあるデバイスの数 (成功、競合、エラーなど) を確認できます ([デバイス] > [構成プロファイル] > ポリシーを選択)。このレポートには、設定ごとのステータス が含まれています。

特定の設定の影響を受けるデバイスの合計数が表示されます。
検索、並べ替え、フィルター処理、エクスポート、前後のページへの移動を行うためのコントロールがあります。

設定カタログの詳細については、設定カタログを使用した Windows と macOS のデバイスでの設定の構成に関する記事を参照してください。

iOS/iPadOS 14.5 デバイス以降の新しい設定

[Apple Watch によるロック自動解除を禁止する]: [はい] に設定すると、ユーザーは Apple Watch でデバイスのロックを解除できなくなります。
[Allow users to boot devices into recovery mode with unpaired devices](ペアリングされていないデバイスで回復モードにデバイスをブートすることをユーザーに許可する): [はい] に設定すると、ユーザーはペアリングされていないデバイスでデバイスを回復にブートできます。
[ディクテーションのために Siri ブロックする]: [はい] に設定すると、Siri サーバーへの接続が無効になり、ユーザーが Siri を使用してテキストをディクテーションできなくなります。

これらの設定を確認するには、「Intune を使用した機能を許可または制限するための iOS および iPadOS デバイスの設定」を参照してください。

適用対象:

iOS/iPadOS 14.5 以降

デバイスの管理

仕事用プロファイルを備えた企業所有 Android Enterprise デバイスでの再起動リモート操作のサポート終了

仕事用プロファイルを備えた企業所有デバイスでの [再起動] リモート操作のサポートが終了しました。 [再起動] ボタンは、仕事用プロファイルを備えた企業所有デバイスの [デバイス] ページから削除されました。デバイスの一括操作を使用してデバイスを再起動しようとしても、企業所有の仕事用プロファイルデバイスは再起動されず、それらのデバイス操作は [サポートされていません] とマークされて報告されます。デバイスの一括操作に含まれるその他のデバイスの種類は、その操作に対して通常どおり再起動されます。

Windows 10/11 Enterprise マルチセッションサポート (パブリックプレビュー)

Windows 10/11 Enterprise マルチセッションは、Azure 上の Azure Virtual Desktop 専用の新しいリモートデスクトップセッションホストであり、複数のユーザーセッションを同時に実行できます。これにより、ユーザーは使い慣れた Windows クライアントエクスペリエンスを利用することができ、一方 IT 部門ではマルチセッションのコスト上の利点を得て、既存のユーザーごとの Microsoft 365 ライセンスを使用することができます。

Microsoft Intune では、共有のユーザーレス Windows クライアントなどのデバイスベースの構成で、マルチセッションリモートデスクトップを管理することができます。 Hybrid Azure AD Join を使用した VM を Intune に自動的に登録し、OS スコープポリシーとアプリでターゲットにできるようになりました。

次の操作を行うことができます:

Azure の Azure Virtual Desktop 専用の Windows 10/11 Enterprise マルチセッション SKU を使用して、複数の同時実行ユーザーセッションをホストする。
共有のユーザーレス Windows 10/11 Enterprise クライアントなどのデバイスベースの構成で、マルチセッションリモートデスクトップを管理する。
Hybrid Azure AD Join を使用した仮想マシンを Intune に自動的に登録し、デバイススコープポリシーとアプリでそれらをターゲットにする。

詳細については、「Windows 10/11 Enterprise マルチセッションリモートデスクトップ」を参照してください。

デバイスのセキュリティ

政府クラウド向けの Jamf で管理されている macOS デバイスの条件付きアクセスが利用可能に

Intune のコンプライアンスエンジンを使用して、政府クラウド向けの Jamf で管理されている macOS デバイスを評価できるようになりました。これを行うには、Jamf 用コンプライアンスコネクタをアクティブにします。詳細については、「コンプライアンスのために Jamf Pro を Intune と統合する」を参照してください。

Microsoft Tunnel Gateway の変更

今月は、Microsoft Tunnel Gateway について発表する更新プログラムが 2 つあります。

Microsoft Tunnel Gateway の一般提供が開始
今回のサービスリリースでは、Microsoft Tunnel Gateway のプレビューが終了し、一般提供されています。 Microsoft Tunnel Gateway サーバーコンポーネントのプレビューは終了しましたが、次の Microsoft Tunnel クライアントアプリはプレビューのままです。
- Android 用 Microsoft Tunnel スタンドアロンアプリ
- iOS 用 Microsoft Tunnel スタンドアロンアプリ
- Android 用 Microsoft Tunnel をサポートする Microsoft Defender for Endpoint
Android 用 Microsoft Defender for Endpoint の Microsoft Tunnel の VPN プロファイルでのカスタム設定のサポート

Microsoft Defender for Endpoint を Android 用の Microsoft Tunnel クライアントアプリとして、および Mobile Threat Defense (MTD) アプリとして使用する場合、Microsoft Tunnel の VPN プロファイルでカスタム設定を使用して Microsoft Defender for Endpoint を構成できるようになりました。

このシナリオでは、カスタム設定を使用して VPN プロファイルで Microsoft Defender for Endpoint を構成することにより、Microsoft Defender for Endpoint 用に個別のアプリ構成プロファイルを展開する必要がなくなります。

次のプラットフォームでは、VPN プロファイルでカスタム設定を使用するか、Microsoft Defender for Endpoint 用の個別のアプリ構成プロファイルを使用するかを選択できます。
- Android Enterprise のフルマネージド
- Android Enterprise の企業所有の仕事用プロファイル
ただし、Android Enterprise の個人所有の仕事用プロファイルの場合は、カスタム設定で VPN プロファイル "のみ" を使用してください。 Microsoft Tunnel VPN プロファイルに加えて、Microsoft Defender for Endpoint 用に個別のアプリ構成プロファイルを受け取る個人所有の仕事用プロファイルデバイスでは、Microsoft Tunnel に接続できない可能性があります。

監視とトラブルシューティング

アプリのインストール状態を提供する新しい運用レポート

新しい [アプリインストールの状態] レポートには、アプリとバージョンおよびインストールの詳細の一覧が表示されます。アプリのインストールの詳細は、一覧の個別の列として含まれています。また、インストールの詳細では、デバイスとユーザーに関するアプリのインストールと失敗の合計が表示されます。このレポートでは、並べ替えと検索を行うこともできます。 Microsoft Endpoint Manager admin center で、[アプリ] > [監視] > [アプリインストールの状態] の順に選択します。 Intune のレポートの詳細については、「Intune レポート」を参照してください。

デバイスに基づくアプリのインストール状態を提供する新しい運用レポート

新しい [デバイスのインストール状態] レポートには、選択したアプリに基づいて、特定のアプリに関連するデバイスと状態の情報の一覧が表示されます。デバイスに関連するアプリのインストールの詳細には、[UPN]、[プラットフォーム]、[バージョン]、[状態]、[状態の詳細]、[最後のチェックイン] が含まれます。このレポートでは、並べ替え、フィルター、検索を行うこともできます。 Microsoft Endpoint Manager admin center で、[アプリ] > [すべてのアプリ] > "アプリを選択" > [デバイスのインストール状態] の順に選択します。 Intune のレポートの詳細については、「Intune レポート」を参照してください。

ユーザーに基づくアプリのインストール状態を提供する新しい運用レポート

新しい [ユーザーのインストール状態] レポートには、選択したアプリに基づいて、特定のアプリに関連するユーザーと状態の情報の一覧が表示されます。ユーザーに関連するアプリのインストールの詳細には、[名前]、[UPN]、[失敗数]、[インストール数]、[保留中]、[インストールされていません]、[該当なし] が含まれます。このレポートでは、並べ替え、フィルター、検索を行うこともできます。 Microsoft Endpoint Manager admin center で、[アプリ] > [すべてのアプリ] > "アプリを選択" > [ユーザーのインストール状態] の順に選択します。 Intune のレポートの詳細については、「Intune レポート」を参照してください。

Graph API v1.0 またはベータを使用して Intune レポートをエクスポートする

Intune のレポートエクスポート API が Graph v1.0 で使用できるようになりました。また、Graph ベータでも引き続き使用できます。関連情報については、「Intune レポート」と「Graph API を使用して Intune レポートをエクスポートする」を参照してください。

スクリプト

Android オープンソースプロジェクトデバイスでサポートされる新しいプロパティ値

managementAgentType 列挙型で IntuneAosp プロパティ値がサポートされるようになりました。このプロパティの ManagementAgentTypeID 値は 2048 です。これは、Intune の AOSP (Android オープンソースプロジェクト) デバイス用 MDM で管理されるデバイスの種類を表します。関連情報については、Intune データウェアハウス API のベータセクションの「managementAgentType」を参照してください。

2021 年 5 月 10 日の週

アプリ管理

Android と iOS および iPadOS ユーザー向けの条件付きアクセスのメッセージングの改善

Azure Active Directory では、アクセスとセットアップの要件をユーザーにより詳しく説明するために、条件付きアクセス画面の表現が更新されました。 Android および iOS/iPadOS ユーザーが Intune 管理に登録されていないデバイスから会社のリソースにアクセスしようとすると、この画面が表示されます。この変更の詳細については、Azure Active Directory の新機能に関する記事を参照してください。

デバイスのセキュリティ

Windows セキュリティエクスペリエンスプロファイルによる 3 つの状態の設定のサポート

Windows 10 デバイスに対して、エンドポイントセキュリティのウイルス対策ポリシーの Windows セキュリティエクスペリエンスプロファイルで、2 つの状態の設定が 3 つの状態の設定に更新されました。

プロファイルのほとんどの設定で、以前は [はい] と [未構成] の 2 つのオプションのみがサポートされていました。今後は、これらの同じ設定に [はい]、[未構成]、および新しいオプションである [いいえ] が含まれるようになりました。

既存のプロファイルについては、[未構成] に設定された設定は [未構成] のままになります。新しいプロファイルを作成したり、既存のプロファイルを編集したりするときに、明示的に [いいえ] を指定できるようになりました。

さらに、[Windows セキュリティアプリの [ウイルスと脅威の防止] 領域を非表示にする] 設定とその子である [Windows セキュリティアプリの [ランサムウェア攻撃後のデータ回復] オプションを非表示にする] 設定の構成に、以下が適用されます。

親設定 ([Hide the Virus and threat protection area](ウイルスと脅威の防止領域を非表示にする)) が [未構成] に設定され、子設定が [はい] に設定されていた場合、親と子の両方の設定は [未構成] に設定されます。

デバイス管理

フィルターを使用して Endpoint Manager admin center でポリシーを割り当てる

アプリまたはポリシーをグループに割り当てるときに使用できる新しい [フィルター] オプションがあります。フィルターを作成するには、次の場所に移動します。

デバイス > フィルター > 作成
アプリ > フィルター > 作成
テナントの管理 > フィルター > 作成

デバイスのプロパティを使用して、影響を受けるデバイスのスコープをフィルター処理できます。たとえば、OS のバージョン、デバイスの製造元などをフィルター処理できます。フィルターを作成した後、ポリシーまたはプロファイルを割り当てるときにフィルターを使用できます。

詳細については、「Microsoft Endpoint Manager でアプリ、ポリシー、プロファイルを割り当てるときにフィルターを使用する」を参照してください。

適用対象:

Android デバイス管理者
Android Enterprise
iOS/iPadOS
macOS
Windows 11
Windows 10

Intune ポリシーを使用して Windows 10/11 更新プログラムのインストールを迅速化する

パブリックプレビューでは、Intune の Windows 10 品質更新プログラム ポリシーを使用して、Intune で管理するデバイスへの最新の Windows 10/11 セキュリティ更新プログラムのインストールを迅速化できます。

更新プログラムの適用を高速化すると、デバイスでの更新プログラムのダウンロードとインストールは可能な限り早く開始され、デバイスで更新プログラムがチェックインされるのを待つ必要がなくなります。更新プログラムのインストールが高速化されることを除けば、このポリシーを使用しても、更新プログラムの展開に関する既存のポリシーとプロセスはそのまま残ります。

迅速化された更新を監視するのに役立つように、次のオプションを使用できます。

Windows の迅速化された更新レポート
迅速化された更新エラーデバイスレポート

2021 年 4 月 26 日の週 (サービスリリース 2104)

アプリ管理

iOS 用ポータルサイトのプライバシー画面を更新

ポータルサイトで収集されたデータを使用する方法を明確にするために、ポータルサイトのプライバシー画面にテキストをさらに追加しました。これにより、デバイスが組織のポリシーに準拠しているかどうかを確認する場合にのみ収集されたデータが使用されることが、ユーザーに対して保証されます。

デバイスによって割り当てられた必須アプリのインストール状態

Windows ポータルサイトまたは Intune ポータルサイト Web サイトの [インストール済みアプリ] ページから、エンドユーザーはデバイスによって割り当てられた必須アプリのインストール状態と詳細を表示できます。この機能は、ユーザーによって割り当てられた必須アプリのインストール状態と詳細に加えて提供されます。ポータルサイトの詳細については、「Intune ポータルサイトアプリ、ポータルサイト Web サイト、および Intune アプリを構成する方法」を参照してください。

コンソールに表示される Win32 アプリのバージョン

お使いの Win32 アプリのバージョンが、Microsoft エンドポイントマネージャー管理センターに表示されるようになりました。アプリのバージョンは [すべてのアプリ] 一覧に表示されるようになります。ここで、Win32 アプリでフィルター処理して、オプションの [バージョン] 列を選択できます。 Microsoft エンドポイントマネージャー管理センターで、[アプリ] > [すべてのアプリ] > [列] > [バージョン] の順に選択して、アプリのバージョンをアプリ一覧に表示します。関連情報については、「Microsoft Intune での Win32 アプリの管理」を参照してください。

iOS デバイスでのアプリの条件付き起動の最大 OS バージョン設定

Intune アプリ保護ポリシーを使用して新しい条件付き起動設定を追加し、エンドユーザーが iOS デバイスでプレリリース版またはベータ版の OS ビルドを使用して職場または学校アカウントのデータにアクセスできないようにすることができます。この設定により、エンドユーザーが iOS デバイスで新しい OS 機能を活発に使用する前に、すべての OS リリースを詳しく調べることができます。 Microsoft エンドポイントマネージャー管理センターで、[アプリ] > [アプリ保護ポリシー] を選択します。関連情報については、「アプリ保護ポリシーを作成して割り当てる方法」を参照してください。

デバイス構成

Android Enterprise デバイス用に更新された OEMConfig ポリシーレポート

Android Enterprise デバイスでは、OEMConfig ポリシーを作成して、OEM 固有の設定を追加、作成、カスタマイズすることができます。ポリシーレポートが更新され、ユーザー、デバイス、およびポリシーの設定ごとに成功が表示されるようになりました。

詳細については、「Microsoft Intune で、OEMConfig を使って Android Enterprise デバイスを使用および管理する」を参照してください。

適用対象:

Android Enterprise

14.2 以降を実行している iOS/iPadOS デバイスで NFC ペアリングを無効にする

監視下にある iOS または iPadOS デバイスでは、NFC を無効にするデバイス制限プロファイルを作成できるようになります ([デバイス] > [構成プロファイル] > [プロファイルの作成] > プラットフォームの [iOS/iPadOS] > プロファイルの [デバイスの制限] > [接続されたデバイス] > [Disable near field communication (NFC)] (近距離無線通信 (NFC) の無効化))。この機能を無効にすると、デバイスは他の NFC 対応デバイスとペアリングできなくなり、NFC が無効になります。

この設定を確認するには、「Intune を使用した機能を許可または制限するための iOS および iPadOS デバイスの設定」を参照してください。

適用対象:

iOS/iPadOS 14.2 以降

デバイス管理

Windows クライアントデバイス用のデバイスの検索リモート操作

新しいデバイスの検索リモートアクションを使用して、デバイスの地理的な場所を取得できるようになりました。サポートされているデバイスは以下のとおりです。

Windows 11
Windows 10 バージョン 20H2 (10.0.19042.789) 以降
Windows 10 バージョン 2004 (10.0.19041.789) 以降
Windows 10 バージョン 1909 (10.0.18363.1350) 以降
Windows 10 バージョン 1809 (10.0.17763.1728) 以降

新しいアクションを表示するには、Microsoft エンドポイントマネージャー管理センターにサインインし、[デバイス] > [Windows] を選択し、デバイスを選択して、[デバイスを検索する] を選択します。

この操作は、現在の Apple デバイス用のデバイスの検索操作と同じように機能します (ただし、紛失モードの機能は含まれません)。

このリモートアクションが機能するには、デバイスでロケーションサービスが有効になっている必要があります。 Intune でデバイスの場所をフェッチできず、ユーザーがデバイスの設定で既定の場所を設定している場合は、既定の場所が表示されます。

Microsoft エンドポイントマネージャーの Android 5.x サポートの終了

Microsoft エンドポイントマネージャーで、Android 5.x デバイスがサポートされなくなりました。

会社の Android Enterprise デバイス用の電話番号表示のサポート

企業の Android Enterprise デバイス (専用、フルマネージド、仕事用プロファイルを持つフルマネージド) の場合、関連付けられているデバイスの電話番号が Microsoft エンドポイントマネージャー管理センターに表示されるようになりました。デバイスに複数の電話番号が関連付けられている場合は、1 つの電話番号だけが表示されます。

iOS および iPadOS デバイスでの EID プロパティのサポート

eSIM 識別子 (EID) は、埋め込み SIM (eSIM) の一意の識別子です。 iOS および iPadOS デバイスのハードウェアの詳細ページに、EID プロパティが表示されるようになりました。

Azure Active Directory 共有デバイスのプロビジョニングの Intune サポート

Microsoft Authenticator を自動的に Azure AD 共有デバイスモードに構成した Android Enterprise 専用デバイスをプロビジョニングする機能の一般提供が開始されました。この登録の種類を使用する方法の詳細については、「Android Enterprise 専用デバイスの Intune 登録を設定する」を参照してください。

機能更新プログラムプロファイルのサポート終了の詳細を表示する

Intune で展開する Windows 10 の機能更新プログラムのサービス終了を計画しやすいよう、Microsoft エンドポイントマネージャー管理センターの機能更新プロファイルに 2 つの新しい情報列が追加されました。

最初の新しい列には、プロファイルの更新プログラムがサービス終了に近づいている、または達したことを示す状態が表示され、2 番目の列には、サービス終了日が表示されます。更新プログラムがサービス終了に達すると、デバイスに展開されなくなり、Intune からポリシーを削除できます。

新しい列と詳細は次のとおりです。

[サポート] – この列には、機能更新プログラムの状態が表示されます。
- [サポートされています] – 配布で更新プログラムがサポートされています。
- [サポートの終了が近づいています] – 更新プログラムはサービス終了日の 2 か月以内です。
- [サポートされていません] – 更新プログラムはサポートされなくなり、サービス終了日に到達しました。
[サポート終了日] – この列には、プロファイルの機能更新プログラムのサービス終了日が表示されます。

Windows 10 リリースのサービス終了日の詳細については、Windows リリースの正常性に関するドキュメントの「Windows 10 リリース情報」を参照してください。

デバイスのセキュリティ

ウイルス対策プロファイルを使用して、デバイス上のウイルス対策除外リストのマージを禁止または許可する

"Microsoft Defender ウイルス対策" プロファイルの設定として Defender ローカル管理者によるマージ を構成して、Windows 10 デバイスで Microsoft Defender ウイルス対策のローカル除外リストのマージをブロックできるようになりました。

Microsoft Defender ウイルス対策の除外リストをデバイスでローカルに構成し、Intune ウイルス対策ポリシーによって指定できます。

除外リストがマージされると、ローカルで定義された除外が Intune からそれらとマージされます。
マージがブロックされると、ポリシーからの除外のみがデバイスで有効になります。

この設定と関連設定の詳細については、「Windows Defender ウイルス対策の除外」を参照してください。

Surface Duo デバイスでの条件付きアクセスのフローの改善

Surface Duo デバイスでの条件付きアクセスフローが効率化されました。これらの変更は自動的に行われるため、管理者による構成の更新は必要ありません。 ([エンドポイントセキュリティ] > [条件付きアクセス])

Duo デバイスの場合:

条件付きアクセスによってリソースへのアクセスがブロックされると、ユーザーはデバイスにプレインストールされているポータルサイトアプリにリダイレクトされるようになります。以前は、ポータルサイトアプリの Google Play ストアの一覧に送られていました。
個人所有の仕事用プロファイルとして登録されているデバイスの場合、ユーザーが仕事用の資格情報を使用して個人用バージョンのアプリにサインインしようとすると、仕事用バージョンのポータルサイトに送信されて、ガイダンスメッセージが表示されます。以前は、ユーザーは、Google Play ストアにある個人用バージョンのポータルサイトアプリの一覧に送信されました。そこでガイダンスメッセージを表示するには、個人用ポータルサイトを再度有効にする必要がありました。

Tunnel ゲートウェイサーバーのアップグレードに適用されるオプションを構成する

Microsoft Tunnel ゲートウェイサーバーのアップグレードの管理に役立つオプションが追加されました。新しいオプションはサイトの構成に適用され、次のものが含まれます。

各トンネルサイトのメンテナンス期間を設定します。この期間により、そのサイトに割り当てられている Tunnel サーバーのアップグレードをいつ開始できるかが定義されます。
サイトのすべてのサーバーでアップグレードを続行する方法を決定する、サーバーのアップグレードの種類を構成します。次から選択できます。
- 自動 - サイトのすべてのサーバーは、新しいバージョンのサーバーが使用可能になった後、できるだけ早くアップグレードされます。
- 手動 - サイトのサーバーは、管理者が明示的にアップグレードの許可を選択した後でのみアップグレードされます。
[正常性チェック] タブに、サーバーのソフトウェアバージョンの状態が表示されるようになりました。これにより、Tunnel サーバーソフトウェアが古くなったことがわかります。ステータスには以下のものが含まれます。
- 正常 - 最新のソフトウェアバージョンでの最新の状態。
- 警告 - 1 つ前のバージョン
- 異常 - 2 つ以上前のバージョン

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されているアプリを Microsoft Intune で使用できるようになりました。

Omnipresence Go (Omnipresence Technologies, Inc.)
Comfy (Building Robotics, Inc.)
M-Files for Intune (M-Files Corporation)

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

監視とトラブルシューティング

新しい運用レポートのデータをフィルター処理するための新しい UI

新しい運用レポートで、データフィルターを追加するための新しい UI がサポートされるようになりました。新しいフィルターピルにより、レポートデータのスライス、調整、表示に役立つエクスペリエンスが向上します。 Intune のレポートの詳細については、「Intune レポート」を参照してください。

エンドポイント分析での Windows 再起動頻度レポートの一般提供開始

現在、エンドポイント分析の [スタートアップパフォーマンス] により、PC の起動時間を計測して最適化するための分析情報が IT 担当者に提供されます。ただし、ブルースクリーンが原因で毎日再起動するデバイスは、起動時間が速い場合でもユーザーエクスペリエンスが低下するため、再起動の頻度はユーザーエクスペリエンスに影響を与える可能性があります。問題のあるデバイスを特定するのに役立つ、組織内の再起動頻度に関するレポートが追加されました。詳細については、「エンドポイント分析での再起動頻度」を参照してください。

2021 年 4 月 12 日の週

デバイス構成

Apple セットアップアシスタントでの新しい先進認証方法 (パブリックプレビュー)

自動デバイス登録プロファイルを作成するときに、新しい認証方法である 先進認証を備えたセットアップアシスタント を選択できます。この方法を使用すると、セットアップアシスタントのすべてのセキュリティが提供される一方で、Intune ポータルサイトによってデバイスへのインストールが行われている間はエンドユーザーがデバイスを使用できない状態になるという問題が回避されます。ユーザーは、セットアップアシスタント画面の間に Azure AD 多要素認証を使用して認証を行う必要があります。そのためには、条件付きアクセスによって保護された会社のリソースにアクセスするために、ポータルサイトアプリの登録後に追加の Azure AD ログインが必要です。正しいポータルサイトのバージョンが、必要なアプリとして iOS/iPadOS デバイスに自動的に送信されます。 macOS の場合、デバイスで Intune ポータルサイトを取得するためのオプションが macOS アプリ用の Intune ポータルサイトの追加に関する記事にあります。

ユーザーがホーム画面に移動すると登録は完了し、ユーザーは条件付きアクセスによって保護されていないリソースにデバイスを自由に使用できます。ユーザーがセットアップ画面の後のホーム画面に移動すると、ユーザーアフィニティが確立されますが、ポータルサイトにログインするまで、デバイスは Azure AD に完全に登録されません。ポータルサイトにログインするまで、デバイスは Azure AD ポータルの特定のユーザーのデバイス一覧に表示されません。テナントでこれらのデバイスまたはユーザーに対して多要素認証を有効にしている場合、セットアップアシスタントの登録中に多要素認証を完了するように求められます。多要素認証は必要ありませんが、必要に応じて条件付きアクセス内でこの認証方法を使用できます。

この方法には、ポータルサイトのインストールに関して次のオプションがあります。

iOS/iPadOS の場合: iOS/iPadOS でこのフローを選択しても、[ポータルサイトのインストール] の設定は表示されません。エンドユーザーがホーム画面に移動した後、CP は、適切なアプリ構成ポリシーが設定されたデバイスで必須のアプリとなります。ユーザーは、条件付きアクセスによって保護されたリソースにアクセスし、Azure AD に完全に登録されるには、登録後に Azure AD 資格情報で CP にサインインする必要があります。
macOS の場合: ユーザーは、Azure AD の登録を完了して、条件付きアクセスによって保護されたリソースにアクセスするには、ポータルサイトにサインインする必要があります。エンドユーザーは、ホームページに移動した後で CP にロックされることはありませんが、会社のリソースにアクセスし、準拠するためには、CP への追加ログインが必要になります。詳細については、「macOS ポータルサイトアプリを追加する」を参照してください。

2021 年 3 月 29 日の週 (サービスリリース 2103)

アプリ管理

macOS デバイス用の Intune 管理エージェントがユニバーサルアプリに

Microsoft エンドポイントマネージャーから macOS デバイス用のシェルスクリプトまたはカスタム属性を展開すると、Apple シリコンを搭載した Mac コンピューターでネイティブに実行される新しいユニバーサルバージョンの Intune 管理エージェントアプリが展開されます。同じ展開で、Intel Mac コンピューターには x64 バージョンのアプリがインストールされます。 Apple シリコンを搭載した Mac で x64 (Intel) バージョンのアプリを実行するには、Rosetta 2 が必要です。 Apple シリコンを搭載した Mac に Rosetta 2 を自動的にインストールするには、エンドポイントマネージャーでシェルスクリプトを展開します。詳細については、「macOS 用の Microsoft Intune 管理エージェント」を参照してください。

デバイスのセキュリティ

Microsoft Tunnel の更新プログラム

新しいバージョンの Microsoft Tunnel ゲートウェイがリリースされました。これには次の変更が含まれます。

さまざまなバグ修正と機能強化。

Tunnel ゲートウェイサーバーは、新しいリリースに自動的に更新されます。

2021 年 3 月 22 日の週 (サービスリリース 2103)

アプリ管理

macOS デバイス用の Microsoft 365 Apps がユニバーサルアプリになる

Microsoft エンドポイントマネージャーから macOS デバイス用の Microsoft 365 Apps をデプロイすると、Apple Silicon Macs でネイティブに実行される新しいユニバーサルバージョンのアプリがデプロイされるようになりました。同じデプロイで、macOS 10.14 以降を実行する Intel Macs には x64 バージョンのアプリがインストールされます。 macOS 用の Microsoft 365 Apps を追加するには、Microsoft エンドポイントマネージャー管理センター > [アプリ] > [すべてのアプリ] > [追加] に移動します。 [Microsoft 365 Apps] の [アプリの種類] の一覧で、[macOS] を選択します。関連情報については、「Microsoft Intune を使用して macOS デバイスに Microsoft 365 を割り当てる」を参照してください。

Microsoft Launcher アプリの追加の構成キー

Android Enterprise の会社所有フルマネージドデバイスで、Microsoft Launcher 用のフォルダー構成設定を設定できるようになりました。アプリ構成ポリシーと構成キーの値を使用すると、フォルダーの形状、全画面で開かれるフォルダー、フォルダーのスクロール方向に関する値を設定できます。また、アプリと Web リンクの配置に加えて、ホーム画面へのフォルダーの配置も可能です。さらに、エンドユーザーがアプリ内でフォルダーのスタイルの値を変更できるようにすることもできます。 Microsoft Launcher の詳細については、「Intune で Android Enterprise 用に Microsoft Launcher を構成する」を参照してください。

デバイス構成

Microsoft Edge の設定が増え、macOS の設定カタログで設定カテゴリが削除される

macOS デバイスでは、設定カタログを使用して Microsoft Edge バージョン 77 以降を構成できます ([デバイス] > [構成プロファイル] > [プロファイルの作成] > プラットフォームとして [macOS] > [設定カタログ])。

今回のリリースの内容:

さらに Microsoft Edge の設定が追加されています。
一時的に、設定カテゴリが削除されています。特定の設定を検索するには、[Microsoft Edge - すべて] カテゴリを使用するか、設定名を検索します。設定の一覧については、「Microsoft Edge - ポリシー」を参照してください。

設定カタログの詳細については、「設定カタログを使用して設定を構成する」を参照してください。

適用対象:

macOS
Microsoft Edge

クラウド構成の Windows 10/11 は、ガイド付きシナリオとして利用可能

クラウド構成の Windows 10/11 は、Microsoft によって推奨される Windows 10/11 のデバイス構成です。クラウド構成の Windows 10/11 はクラウド用に最適化されており、特化されたワークフローニーズを持つユーザー向けに設計されています。

自動的にアプリを追加し、クラウド構成の Windows 10/11 デバイスを構成するポリシーを作成する、ガイド付きシナリオがあります。

詳細については、クラウド構成の Windows 10/11 のガイド付きシナリオに関する記事を参照してください。

適用対象:

Windows 11
Windows 10

デバイス管理

登録トークンあたりの iOS/iPadOS および macOS デバイスの推奨最大数の引き上げ

以前は、自動デバイス登録 (ADE) トークンごとの iOS/iPadOS または macOS デバイスの数を 60,000 以下にすることが推奨されていました。この推奨される制限は、トークンあたり 200,000 デバイスに引き上げられました。 ADE トークンの詳細については、「Apple の Automated Device Enrollment を使用して iOS/iPadOS デバイスを自動登録する」を参照してください。

[すべてのデバイス] ビューとエクスポートレポートの列名の更新

[すべてのデバイス] ビューとエクスポートレポートの列名が、その列のデータを正確に反映するように、[Primary User UPN](プライマリユーザーの UPN)、[プライマリユーザーのメールアドレス]、[プライマリユーザーの表示名] に更新されました。

Internet Explorer 11 のサポートの終了

Intune は、管理ポータル Web アプリ UI への Internet Explorer 11 管理者アクセスのサポートを 2021 年 3 月 31 日に終了します。 Azure 上に構築されたお使いの Microsoft サービスを管理するには、それまでに Edge または他のサポートされているブラウザーに移行してください。

デバイスのセキュリティ

Microsoft Tunnel Gateway サーバーの正常性状態の詳細

Microsoft エンドポイントマネージャー管理センターで Tunnel Gateway サーバーの詳細な正常性状態情報を確認できる機能が追加されました。

新しい [正常性チェック] タブには、次の情報が表示されます。

最後のチェックイン - サーバーが Intune で最後にチェックインされた日時。
現在の接続数 - 最後のチェックイン時のアクティブな接続の数
スループット - 最後のチェックイン時にサーバー NIC を通過した 1 秒あたりのメガビット数。
CPU 使用率 - CPU の平均使用率。
メモリ使用量 - メモリの平均使用量。
待機時間 - IP パケットが NIC を通過する平均時間。
TLS 証明書の有効期限の状態と有効期限までの日数 - トンネルのクライアントからサーバーへの通信を保護する TLS 証明書が有効である期間。

Android 用 Microsoft Defender for Endpoint アプリの Tunnel クライアント機能のパブリックプレビュー

Ignite で発表されたように、Microsoft Tunnel クライアント機能は Microsoft Defender for Endpoint アプリに移行されつつあります。このプレビューでは、サポートされているデバイスの Tunnel アプリとして、Microsoft Defender for Endpoint のプレビューバージョンの使用を開始できます。既存の Tunnel クライアントは引き続き利用できますが、最終的には Defender for Endpoint アプリに移行されます。

このパブリックプレビューの適用対象:

Android Enterprise
- フルマネージド
- 会社所有の仕事用プロファイル
- 個人所有の仕事用プロファイル

このプレビューでは、Microsoft Defender for Endpoint のプレビューバージョンにアクセスするためにオプトインし、サポートされているデバイスをスタンドアロンの Tunnel クライアントアプリからプレビューアプリに移行する必要があります。詳細については、Microsoft Defender For Endpoint アプリへの移行に関する記事を参照してください。

Intune アプリ

Microsoft Launcher の構成キー

Android Enterprise のフルマネージドデバイスの場合、Intune アプリ用の Microsoft Launcher で追加のカスタマイズが可能になりました。 Launcher では、表示されるアプリと Web リンクのセットだけでなく、これらのアプリと Web リンクの順序も構成できます。ホーム画面のカスタマイズを簡単にするため、アプリの構成の表示されるアプリの一覧と位置 (順序) が統合されました。詳細については、「Microsoft Launcher の構成」を参照してください。

macOS デバイス用の Microsoft Edge がユニバーサルアプリになる

Microsoft エンドポイントマネージャーから macOS デバイス用の Microsoft Edge アプリをデプロイすると、Apple Silicon Macs でネイティブに実行される新しいユニバーサルバージョンのアプリがデプロイされるようになりました。同じ展開で、Intel Mac には x64 バージョンのアプリがインストールされます。 macOS 用の Microsoft Edge を追加するには、Microsoft エンドポイントマネージャー管理センター > [アプリ] > [すべてのアプリ] > [追加] に移動します。 Microsoft Edge バージョン 77 以降 の [アプリの種類] の一覧で、[macOS] を選択します。関連情報については、「Microsoft Intune を使用して Microsoft Edge を macOS デバイスに追加する」を参照してください。

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されているアプリを Microsoft Intune で使用できるようになりました。

Cogosense Technology Inc. の FleetSafer
Mazrica Inc. の Senses
Fuze, Inc. の Fuze Mobile for Intune
Movius Interactive Corporation の MultiLine for Intune

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

iOS/iPadOS ポータルサイトアプリでの通知エクスペリエンスの改善

ポータルサイトアプリでは、Microsoft エンドポイントマネージャー管理センターからユーザーの iOS および iPadOS デバイスに送信されたプッシュ通知を格納できるだけでなく、表示することもできるようになりました。ポータルサイトのプッシュ通知の受信をオプトインしているユーザーは、お客様がポータルサイトの [通知] タブでユーザーのデバイスに送信した、カスタマイズされた保存済みメッセージを表示および管理できます。関連情報については、「Intune ポータルサイトアプリ、ポータルサイト Web サイト、および Intune アプリをカスタマイズする方法」を参照してください。

スクリプト

Graph API を使用して、ローカライズされた Intune レポートデータをエクスポートする

Microsoft エンドポイントマネージャーレポートのエクスポート API を使用してエクスポートしたレポートデータに、ローカライズされた列のみ、またはローカライズされた列とローカライズされていない列を含めることができるように指定できるようになりました。ほとんどのレポートでは、ローカライズされた列とローカライズされていない列のオプションが既定で選択されます。これにより、重大な変更を防ぐことができます。レポートの関連情報については、「Graph API を使用して Intune レポートをエクスポートする」および Graph API をして利用できる Intune レポートとプロパティに関する記事を参照してください。

2021 年 3 月 8 日の週

デバイス構成

新しいバージョンの PFX 証明書コネクタ

PFX Certificate Connector の新しいバージョン (バージョン 6.2101.16.0) がリリースされました。この更新では PFX の作成フローが改善され、コネクタをホストするオンプレミスのサーバー上での証明書要求ファイルの重複が防止されます。

両方の証明書コネクタのコネクタリリースのリストを含む、証明書コネクタの詳細については、「証明書コネクタ」を参照してください。

2021 年 3 月 1 日の週 (サービスリリース 2102)

アプリ管理

Intune での Win32 アプリの置き換えのサポート

Intune でのアプリの置き換えのパブリックプレビューが有効になりました。アプリ間の置き換えの関係を作成できるようになりました。これにより、既存の Win32 アプリを更新して、同じアプリの新しいバージョンまたは完全に異なる Win32 アプリに置き換えることができます。詳細については、Win32 アプリ管理に関するページを参照してください。

Android デバイスでのアプリの条件付き起動の最大 OS バージョン設定

Intune アプリ保護ポリシーを使用して新しい条件付き起動設定を追加し、エンドユーザーが Android デバイスでプレリリース版またはベータ版の OS ビルドを使用して職場または学校アカウントのデータにアクセスできないようにすることができます。この設定により、エンドユーザーが Android デバイスで新しい OS 機能を活発に使用する前に、すべての OS リリースを詳しく調べることができます。 Microsoft エンドポイントマネージャー管理センターで [アプリ] > [アプリ保護ポリシー] を選択すると、この設定が見つかります。関連情報については、「アプリ保護ポリシーを作成して割り当てる方法」を参照してください。

デバイス構成

Windows 10/11 および Windows Holographic for Business の VPN 接続の種類として Cisco AnyConnect を使用する

接続の種類として Cisco AnyConnect を使用して VPN プロファイルを作成できます ([デバイス] > [デバイスの構成] > [プロファイルの作成] > [Windows 10 以降] (プラットフォーム) > [VPN] (プロファイル) > [Cisco AnyConnect] (接続の種類))。カスタムプロファイルを使用する必要はありません。

このポリシーには、Microsoft Store で入手できる Cisco AnyConnect アプリが使用されます。 Cisco AnyConnect デスクトップアプリケーションは使用されません。

Intune での VPN プロファイルの詳細については、「VPN プロファイルを作成して VPN サーバーに接続する」を参照してください。

適用対象:

Windows 11
Windows 10
Windows Holographic for Business

Windows 10/11 デバイスでシングルアプリキオスクモードの Microsoft Edge バージョン 87 以降を実行する

Windows クライアントデバイスで、1 つまたは多数のアプリが実行されるキオスクとして実行するようにデバイスを構成します ([デバイス] > [構成プロファイル] > [プロファイルの作成] > [Windows 10 以降] (プラットフォーム) > [テンプレート] > [キオスク])。シングルアプリモードを選択すると、次のことができます。

Microsoft Edge バージョン 87 以降を実行します。
[Add Microsoft Edge legacy browser](Microsoft Edge レガシブラウザーを追加する) を選択して、Microsoft Edge バージョン 77 以前を実行します。

キオスクモードで構成できる設定の詳細については、Windows クライアントデバイス用のキオスク設定に関するページを参照してください。

適用対象:

シングルアプリキオスクモードの Windows 11
シングルアプリキオスクモードの Windows 10
Microsoft Edge バージョン 87 以降
Microsoft Edge バージョン 77 以前

管理用テンプレートが設定カタログで使用可能になり、設定がさらに多くなった

Intune で管理用テンプレートを使用してポリシーを作成できます ([デバイス] > [構成プロファイル] > [プロファイルの作成] > [Windows 10 以降] (プラットフォーム) > [管理用テンプレート] (プロファイル))。

設定カタログでは、管理用テンプレートも使用でき、さらに多くの設定があります ([デバイス] > [構成プラファイル] > [プロファイルの作成] > [Windows 10 以降] (プラットフォーム) > [設定カタログ] (プロファイル))。

このリリースでは、管理者はオンプレミスのグループポリシーのみに存在していた、クラウドベースの MDM では利用できなかった追加の設定を構成できます。このような設定は、Windows Insider クライアントエンドポイントビルドで使用でき、1909、2004、2010 などの入手可能な Windows バージョンにバックポートできる場合があります。

管理用テンプレートを作成し、Windows によって公開されているすべての設定を使用する場合は、設定カタログを使用します。

詳細については、以下を参照してください。

適用対象:

Windows 11
Windows 10

デバイスの登録

Enrollment Program トークンの同期状態

[Enrollment Program トークン] ペインに一覧表示される自動デバイス登録トークンの同期状態は、混乱を最小限に抑えるために削除されました。トークンごとの情報は引き続き表示されます。 Enrollment Program トークンは、Apple Business Manager と Apple School Manager への自動デバイス登録を管理するために使用されます。 Microsoft エンドポイントマネージャー管理センターで、iOS および iPadOS デバイスのトークンリストを表示するには、[デバイス] > [iOS/iPadOS] > [iOS/iPadOS 登録] > [Enrollment Program トークン] を選択します。 macOS デバイスのトークンリストを表示するには、[デバイス] > [macOS] > [macOS 登録] > [Enrollment Program トークン] を選択します。関連情報については、iOS/iPadOS デバイスの自動登録および macOS デバイスの自動登録に関するページを参照してください。

デバイスの管理

診断リモートアクションの収集

新しいリモート操作である [診断情報の収集] を使用すると、エンドユーザーに中断や待機を発生させることなく、企業のデバイスからログを収集できます。収集されるログには、MDM、オートパイロット、イベントビューアー、キー、構成マネージャークライアント、ネットワーク、その他の重要なトラブルシューティングログが含まれます。詳細については、「Windows デバイスから診断情報を収集する」を参照してください。

デバイスデータをエクスポートするための新しいオプション

デバイスデータをエクスポートするときに、次の新しいオプションを使用できます。

エクスポートされるファイルに、選択した列のみを含めます。
エクスポートされるファイルに、すべてのインベントリデータを含めます。これらのオプションを表示するには、Microsoft エンドポイントマネージャー管理センター > [デバイス] > [すべてのデバイス] > [エクスポート] に移動します。

デバイスのセキュリティ

Android Enterprise デバイス用の SCEP および PKCS 証明書プロファイルのサブジェクトと SAN で変数 CN={{UserPrincipalName}} を使用する

Android デバイス用の PKCS 証明書プロファイルまたは SCEP 証明書プロファイルのサブジェクトまたは SAN で、ユーザー属性 CN={{UserPrincipalName}} 変数を使用できるようになりました。このサポートを利用するには、次のように登録されたデバイスのように、デバイスにユーザーが存在する必要があります。

完全に管理されている Android Enterprise
個人所有 Android Enterprise の仕事用プロファイル。

ユーザー属性は、Android Enterprise 専用として登録されているデバイスなど、ユーザーが関連付けられていないデバイスではサポートされていません。たとえば、サブジェクトまたは SAN に CN={{UserPrincipalName}} が使用されているプロファイルで、デバイスにユーザーが存在しないときに、ユーザープリンシパル名を取得することはできません。

Android および iOS で Defender for Endpoint のアプリ保護ポリシーを使用する

Android または iOS を実行するデバイスを対象にしたアプリ保護ポリシーで Microsoft Defender for Endpoint を使用できるようになりました。

iOS デバイスと Android デバイスの Microsoft Defender for Endpoint からの 許容される最大脅威レベル のシグナルを含めるように、MAM 条件付き起動ポリシーを構成します。
デバイスが予想される脅威レベルを満たしているかどうかに基づいて、アクセスのブロック または データのワイプ を選択します。

構成すると、エンドユーザーは、適切なアプリストアから Microsoft Defender for Endpoint アプリをインストールしてセットアップするように求められます。前提条件として、Microsoft Defender for Endpoint コネクタを設定し、トグルをオンにしてリスクデータがアプリ保護ポリシーに送信されるようにする必要があります。関連情報については、「アプリ保護ポリシーの概要」と、Microsoft Intune での Microsoft Defender for Endpoint の使用に関するページを参照してください。

マルウェアが WMI を介して永続化されるのをブロックするために攻撃面の減少ルールを構成する

エンドポイントセキュリティの攻撃面の減少ルールプロファイルの一部として、[WMI イベントサブスクリプションを使用した永続化をブロックする] という規則を構成できるようになりました。

この規則により、マルウェアが WMI を悪用してデバイスでの永続性を獲得するのを防ぎます。ファイルレス脅威は、さまざまな戦術を採用して潜伏し、ファイルシステムに見つからないようにして、定期的に実行制御を獲得します。脅威の中には、WMI リポジトリとイベントモデルを悪用して、潜伏できるものがあります。

エンドポイントセキュリティの "攻撃面の減少" ポリシーの設定として構成する場合、次のオプションを使用できます。

未構成 (既定値) – 設定が Windows の既定値であるオフに戻され、永続化はブロックされません。
ブロック – WMI による永続化をブロックします。
監査 – 有効になっている場合 (ブロックに設定)、この規則が組織に与える影響を評価します。
無効 - この規則をオフにします。永続化はブロックされません。

この規則は、[警告] オプションをサポートしておらず、設定カタログにあるデバイス構成設定としても使用できます。

Intune アプリ

ポータルサイト Web サイトの読み込みパフォーマンスの改善

ページ読み込みのパフォーマンスを向上させるため、アプリアイコンがバッチで読み込まれるようになりました。エンドユーザーがポータルサイト Web サイトにアクセスすると、一部のアプリケーションでプレースホルダーアイコンが表示されることがあります。関連するアイコンは、そのすぐ後に読み込まれます。ポータルサイトの詳細については、「Intune ポータルサイトアプリ、ポータルサイト Web サイト、および Intune アプリをカスタマイズする方法」と「ポータルサイト Web サイトからアプリを管理する」を参照してください。

監視とトラブルシューティング

Microsoft 生産性スコアのエンドポイント分析

Microsoft 生産性スコアに、組織レベルの分析情報を Microsoft endpoint Manager 外部の他のロールと共有する新しいエンドポイント分析ページがあります。ユーザーが目標を達成できるようにするには、デバイスがエンドユーザーのエクスペリエンスにどのように影響しているかを理解することが重要です。詳細については、「Microsoft の生産性スコアのエンドポイント分析」を参照してください。

エンドポイント分析のアプリケーションの信頼性レポート

エンドポイント分析で新しい アプリケーションの信頼性 レポートを使用できるようになります。このレポートには、管理対象 PC 上のデスクトップアプリケーションの潜在的な問題に関する分析情報が提供されます。エンドユーザーの生産性に影響している上位のアプリケーションをすばやく特定できるだけでなく、これらのアプリケーションの全体的なアプリ使用状況とアプリのエラーメトリックを確認することもできます。特定のデバイスにドリルダウンし、アプリの信頼性イベントのタイムラインを表示することで、トラブルシューティングを行うことができます。このレポートは、2021 年 3 月中にパブリックプレビューで提供される予定です。詳細については、「エンドポイント分析のアプリケーションの信頼性」を参照してください。

エンドポイント分析での再起動頻度 (プレビュー)

現在、エンドポイント分析の [スタートアップパフォーマンス] により、PC の起動時間を計測して最適化するための分析情報が IT 担当者に提供されます。ただし、再起動の頻度も同様にユーザーエクスペリエンスに影響する可能性があります。なぜなら、ブルースクリーンが原因でデバイスが毎日再起動されたら、起動時間が高速であったとしても、ユーザーエクスペリエンスは低下するからです。問題のあるデバイスを特定するのに役立つ、組織内の再起動頻度に関するプレビューレポートが追加されました。詳細については、「エンドポイント分析での再起動頻度 (プレビュー)」を参照してください。

役割ベースのアクセス制御

Microsoft Tunnel ゲートウェイ用のロールベースのアクセス許可の更新

Microsoft Tunnel を管理する権限をだれが持つかを制御するために、Intune のロールベースのアクセス制御に新しいアクセス許可グループとして Microsoft Tunnel ゲートウェイを追加しました。この新しいグループには、次のアクセス許可が含まれます。

作成 - Microsoft Tunnel ゲートウェイサーバー、サーバー構成、およびサイトを構成します。
更新 (変更) - Microsoft Tunnel ゲートウェイサーバー、サーバー構成、およびサイトを更新します。
削除 - Microsoft Tunnel ゲートウェイサーバー、サーバー構成、およびサイトを削除します。
読み取り - Microsoft Tunnel ゲートウェイサーバー、サーバー構成、およびサイトを表示します。

既定では、Intune 管理者と Azure Active Directory 管理者には、これらのアクセス許可があります。 Intune テナント用にご自身で作成したカスタムロールにこれらのアクセス許可を追加することもできます。

政府機関向け Intune および 21Vianet 用のカスタマイズポリシーでのスコープタグのサポート

政府機関向け Intune および 21Vianet で運用されている Intune のカスタマイズポリシーにスコープタグを割り当てることができるようになりました。これを行うには、Microsoft エンドポイントマネージャー管理センター > [テナント管理] > [カスタマイズ] に移動します。ここに、スコープタグ の構成オプションが表示されます。

2021 年 2 月 22 日の週

デバイス構成

新しいバージョンの PFX 証明書コネクタ

PFX Certificate Connector の新しいバージョン (バージョン 6.2101.13.0) がリリースされました。この新しいコネクタバージョンでは、次に示すログに関する機能強化が PFX コネクタに加えられます。

イベントログの新しい場所。ログが管理、操作、デバッグに分割されます。
管理および操作ログの既定値は 50 MB で、自動アーカイブが有効になっています。
PKCS インポート、PKCS 作成、および取り消しの EventID。

両方の証明書コネクタのコネクタリリースのリストを含む、証明書コネクタの詳細については、「証明書コネクタ」を参照してください。

2021 年 2 月 8 日の週

アプリ管理

エンドユーザーは、Windows ポータルサイトからアプリのインストールを再開可能

エンドユーザーは、進行状況が停滞している、または停止していると思われる場合、Windows ポータルサイトを使用してアプリのインストールを再開できます。この機能は、アプリのインストールの進行状況が 2 時間以内に変化していない場合に使用できます。関連情報については、「Microsoft Intune にアプリを追加する」をご覧ください。

デバイス構成

キオスクモードで実行している Android Enterprise 9.0 以降の専用デバイスでは、Google のコンプライアンス画面が自動的に表示されます

Intune で、Android Enterprise デバイスに対するデバイス構成パスワードポリシーとデバイスコンプライアンスパスワードポリシーを作成できます。

ポリシーを作成すると、キオスクモードで実行している Android Enterprise 専用デバイスでは、自動的に Google のコンプライアンス画面が使用されます。これらの画面により、ユーザーはポリシーの規則を満たすパスワードを設定するように強制的にガイドされます。

パスワードとキオスクポリシーの作成の詳細については、以下を参照してください。

適用対象:

キオスクモードの Android Enterprise 9 以降

2021 年 2 月 1 日の週 (2101 サービスリリース)

アプリ管理

必須の iOS または iPadOS アプリを削除可能にするかどうかを構成する

必須の iOS または iPadOS アプリをエンドユーザーが削除できるアプリとしてインストールするかどうかを構成できるようになりました。この新しい設定は、iOS ストア、LOB、および組み込みアプリに適用されます。この設定は、Microsoft Endpoint Manager admin center で、[アプリ] > [iOS/iPadOS] > [追加] を選択すると表示されます。アプリの割り当てを設定する際に、[Install as removable](削除可能としてインストールする) を選択できます。既定値は [はい] で、アプリが削除可能であることを意味します。 iOS 14 上の既存の必須インストールが、既定の (削除可能な) 設定値に更新されました。 iOS または iPadOS アプリの詳細については、Microsoft Intune アプリの管理に関する記事を参照してください。

共有 iPad デバイスでサポートされている基幹業務アプリ

共有 iPad デバイスに基幹業務 (LOB) アプリを展開できるようになりました。基幹業務アプリは、Microsoft エンドポイントマネージャー管理センターから共有 iPad デバイスを含むデバイスグループに必須として割り当てられている必要があります。 Microsoft エンドポイントマネージャー管理センターで、[アプリ] > [すべてのアプリ] > [追加] の順に選択します。関連情報については、「iOS/iPadOS の基幹業務アプリを Microsoft Intune に追加する」を参照してください。

Microsoft Endpoint Configuration Manager コネクタ

Microsoft Endpoint Configuration Manager のコネクタが管理センターに表示されるようになりました。コネクタを確認するには、[テナントの管理] > [コネクタとトークン] > [Microsoft Endpoint Configuration Manager] にアクセスします。バージョン 2006 以降を実行する Configuration Manager 階層を選択して、その追加情報を表示します。

デバイス構成

新しいバージョンの PFX 証明書コネクタ

PFX Certificate Connector の新しいバージョン (バージョン 6.2009.2.0) がリリースされました。この新しいコネクタのバージョンの内容:

コネクタサービスを実行するアカウントを保持するようにコネクタのアップグレードを改善します。

両方の証明書コネクタのコネクタリリースのリストを含む、証明書コネクタの詳細については、「証明書コネクタ」を参照してください。

デバイス構成を使用して、Managed Home Screen でフォルダーの作成やグリッドサイズの設定を行う

Android Enterprise 専用デバイスでは、Managed Home Screen の設定を構成できます ([デバイス] > [デバイス構成] > [プロファイルの作成] > [Android Enterprise] (プラットフォームとして) > [フルマネージド、専用、会社所有の仕事用プロファイル] > [デバイスの制限] (プロファイルとして) > [デバイスエクスペリエンス])。

マルチアプリキオスクモードで Managed Home Screen を使用する場合は、[Custom app layout](カスタムアプリレイアウト) 設定が存在します。この設定を使用すると、次のことができます。

フォルダーを作成し、それらのフォルダーにアプリを追加し、Managed Home Screen にフォルダーを配置します。各フォルダーを順序付けする必要はありません。
Managed Home Screen でアプリとフォルダーを順序付けするかどうかを選択します。順序付けする場合、次のことも行えます。
- グリッドのサイズを設定する。
- グリッド上の別の場所にアプリとフォルダーを追加する。

以前は、アプリ構成ポリシーを使用する必要がありました。

詳細については、Android Enterprise 専用デバイスのデバイスエクスペリエンス設定に関する記事を参照してください。

適用対象:

Android Enterprise 専用デバイス

設定カタログを使用して macOS デバイスで Microsoft Edge ブラウザーを構成する

現在、macOS デバイスでは、.plist 設定ファイルを使用して Microsoft Edge ブラウザーを構成します ([デバイス] > [構成プロファイル] > [プロファイルの作成] > プラットフォームとして [macOS] > プロファイルとして [基本設定ファイル])。

Microsoft Edge ブラウザーを構成するための更新された UI があります: [デバイス] > [構成プロファイル] > [プロファイルの作成] > プラットフォームとして [macOS] > プロファイルとして [設定カタログ]。必要な Microsoft Edge 設定を選択した後、それらを構成します。プロファイルでは、設定を追加したり、既存の設定を削除したりすることもできます。

構成できる設定の一覧を確認するには、「Microsoft Edge - ポリシー」を参照してください。 macOS がサポート対象プラットフォームとして一覧に表示されていることを確認してください。一部の設定が設定カタログで使用できない場合は、引き続き基本設定ファイルのみを使用することをお勧めします。

詳細については、以下を参照してください。

構成したポリシーを確認するには、Microsoft Edge を開き、edge://policyに移動します。

適用対象:

Microsoft Edge ブラウザーバージョン 77 以降 (macOS)

Android Enterprise デバイスの VPN 接続の種類として NetMotion Mobility を使用する

VPN プロファイルを作成する場合、Android Enterprise 用の VPN 接続の種類として NetMotion Mobility を使用できます。

[デバイス] > [デバイス構成] > [プロファイルの作成] > [Android Enterprise] > [フルマネージド、専用、会社所有の仕事用プロファイル] > プロファイルとして [VPN] > 接続の種類として [NetMotion Mobility]
[デバイス] > [デバイス構成] > [プロファイルの作成] > [Android Enterprise] > [個人所有の仕事用プロファイル] > プロファイルとして [VPN]> 接続の種類として [NetMotion Mobility]

Intune での VPN プロファイルの詳細については、「VPN プロファイルを作成して VPN サーバーに接続する」を参照してください。

適用対象:

Android Enterprise の個人所有の仕事用プロファイル
Android Enterprise のフルマネージド、専用、会社所有の仕事用プロファイル

macOS および Windows クライアントデバイスのデバイス構成プロファイルを作成する場合の設定カタログとテンプレート

macOS および Windows 10/11 デバイスのデバイス構成プロファイルを作成する場合の UI が更新されます ([デバイス] > [構成プロファイル] > [プロファイルの作成] > [macOS] または [Windows 10 以降] (プラットフォームとして))。

プロファイルには、設定カタログ と テンプレート が表示されます。

設定カタログ: このオプションを使用して、最初から開始し、使用可能な設定のライブラリから必要な設定を選択します。 macOS の場合、設定カタログには、Microsoft Edge バージョン 77 以降を構成するための設定が含まれています。 Windows クライアントの設定カタログには、多数の既存の設定と新しい設定が、すべて 1 か所にまとめて含まれています。
テンプレート: デバイスの制限、デバイス機能、VPN、Wi-Fi など、既存のすべてのプロファイルを構成するには、このオプションを使用します。

これは UI の変更のみで、既存のプロファイルには影響しません。

詳細については、「設定カタログ」を参照してください。

適用対象:

macOS
Windows 11
Windows 10

監視下にある iOS/iPadOS デバイスのホーム画面のレイアウト更新

iOS/iPadOS デバイスでは、ホーム画面のレイアウトを構成できます ([デバイス] > [デバイスの構成] > [プロファイルの作成] > プラットフォームとして [iOS/iPadOS] > プロファイルとして [デバイス機能] > [ホーム画面のレイアウト])。Intune のホーム画面のレイアウト機能が更新されます。

ホーム画面のレイアウトのデザインが新しくなります。この機能により、管理者は、アプリとアプリアイコンがページ、ドック、およびフォルダー内でどのように表示されるかをリアルタイムで確認できます。この新しいデザイナーでアプリを追加する場合、別のページを追加することはできません。ただし、フォルダーに 9 つ以上のアプリを追加すると、それらのアプリは自動的に次のページに移動します。既存のポリシーに影響はなく、変更する必要はありません。設定値は、悪影響を及ぼすことなく新しい UI に転送されます。デバイス上での設定の動作は同じです。
ページまたはドックに Web リンク (Web アプリ) を追加します。 Web リンクの特定の URL は、必ず 1 回だけ追加するようにしてください。既存のポリシーに影響はなく、変更する必要はありません。

ホーム画面のレイアウトを含め、構成できる設定の詳細については、「Intune で一般的な iOS および iPadOS 機能を使用するための iOS および iPadOS デバイスの設定」を参照してください。

適用対象:

監視下にある iOS/iPadOS デバイス

iOS/iPadOS デバイスで Apple の個人用広告を制限する

iOS/iPadOS デバイスでは、Apple の個人用広告を構成できます。有効にすると、個人用広告は、App Store、Apple News、Stocks アプリに制限されます ([デバイス] > [デバイスの構成] > [プロファイルの作成] > [iOS/iPadOS] (プラットフォームとして) > [デバイスの制限] (プロファイルとして) > [全般] > [Limit Apple personalized advertising](Apple 個人用広告の制限))。

この設定は、パーソナライズされた広告にのみ影響します。この設定を構成すると、[設定] > [プライバシー] > [Apple の広告] が [オフ] に設定されます。これは、App Store、Apple News、Stocks アプリ内のパーソナライズされていない広告には影響しません。 Apple の広告ポリシーの詳細については、Apple の広告とプライバシーを参照してください (Apple の Web サイトが開きます)。

Intune で構成できる現在の設定を確認するには、機能を許可または制限するための iOS および iPadOS デバイスの設定に関する記事を参照してください。

適用対象:

デバイス登録またはデバイスの自動登録で登録された iOS/iPadOS 14.0 以降のデバイス

管理用テンプレートに Microsoft Edge バージョン 88 用の新しいポリシーを追加

Microsoft Edge バージョン 88 に適用される新しい ADMX 設定を構成して展開することができます。新しいポリシーを確認するには、Microsoft Edge のリリースノートにアクセスしてください。

Intune でのこの機能の詳細については、Microsoft Edge のポリシー設定の構成に関する記事を参照してください。

適用対象:

Windows 11
Windows 10

コンプライアンス違反のメール通知でのロケールのサポート

コンプライアンスポリシーにより、異なるロケールごとに別のメッセージが含まれる通知メッセージテンプレートがサポートされるようになりました。複数の言語をサポートするために、ロケールごとに個別のテンプレートおよびポリシーを作成する必要がなくなりました。

テンプレートでロケール固有のメッセージを構成すると、準拠していないエンドユーザーが、各自の O365 の優先言語に基づいて、ローカライズされた適切な電子メール通知メッセージを受信します。また、テンプレートでは、"既定の" メッセージとして、ローカライズされたメッセージを 1 つ指定します。既定のメッセージは、優先言語を設定していないユーザーに送信されるか、テンプレートにユーザーのロケール固有のメッセージが含まれていない場合に送信されます。

デバイスの登録

Apple 自動デバイス登録セットアップアシスタントのさらに多くの画面を非表示にする

iOS および iPadOS 14.0 以降、および macOS 11 以降のデバイスに対して、以下の設定アシスタント画面が表示されないように、自動デバイス登録 (ADE) プロファイルを設定できるようになりました。

復元完了、iOS/iPadOS 14.0 以降の場合。
ソフトウェア更新完了、iOS/iPadOS 14.0 以降の場合。
アクセシビリティ、macOS 11 以降の場合 (Mac デバイスがイーサネットに接続されている必要があります)。

デバイス管理

デバイスセキュリティポリシーを基本的なモビリティとセキュリティから Intune に移行する

ポリシー移行ツールを使用すると、Basic Mobility and Security (以前の MDM for Office 365 または Office MDM) によって展開されたモバイルデバイス管理 (MDM) デバイスセキュリティポリシーを、標準の Intune MDM 構成プロファイルおよびコンプライアンスポリシーに完全に移行できます。このツールを使用すると、Basic Mobility and Security デバイスセキュリティポリシーで今後行われるポリシーの作成と編集がすべて無効になります。

このツールを使用するには、次のことが必要です。

Basic Mobility and Security によって管理されるデバイスのすべてのユーザーの Intune ライセンスを既に購入している (ただし、まだ割り当てられていない)。
Intune for Education サブスクリプションを購入している場合、サポートに連絡して資格を確認する。

詳細については、「モバイルデバイス管理を基本的なモビリティとセキュリティから Intune に移行する」を参照してください。

会社所有の Windows デバイスの [プロパティ] ページのサブネット ID と IP アドレス

会社所有の Windows デバイス用の [プロパティ] ページに、サブネット ID と IP アドレスが表示されるようになりました。これらを表示するには、エンドポイントマネージャー管理センター > [デバイス] > [すべてのデバイス] > 会社所有の Windows デバイスを選択 > [プロパティ] の順に移動します。

デバイスのセキュリティ

Microsoft Defender Application Guard の Intune サポートに分離 Windows 環境が追加された

エンドポイントセキュリティの攻撃面の減少ポリシーにある Intune のアプリとブラウザーの分離プロファイルで、[Turn on Application Guard](Application Guard を有効にする) を構成する場合、Application Guard を有効にするときに次のオプションから選択することができます。

Microsoft Edge - "以前から使用可能"
分離 Windows 環境 - "今回の更新の新機能"
Microsoft Edge "および_" _ 分離 Windows 環境 - "今回の更新の新機能"

今回より前のリリースでは、この設定の名前は、[Turn on Application Guard for Edge (Options)](Edge に対して Application Guard を有効にする (オプション)) でした。

この設定の新しいオプションでは、Application Guard サポートが、単なる Edge 用の URL から拡張されます。 Application Guard を有効にして、ハードウェアの分離 Windows VM 環境 (コンテナー) で潜在的な脅威を開くことで、デバイスを保護できるようになりました。たとえば、分離された Windows 環境がサポートされている場合、Application Guard により、分離された Windows VM で信頼されていない Office ドキュメントを開くことができます。

この変更により:

Intune で、Windows MDM CSP で見つかるすべての値がサポートされるようになりました: AllowWindowsDefenderApplicationGuard。
分離された Windows 環境を使用する場合のデバイスユーザーへの影響について理解を深めるには、Windows セキュリティドキュメントの「Application Guard のテストシナリオ」を参照してください。
Application Guard および Office アプリのサポートの詳細については、Microsoft 365 のドキュメントの Office 用 Application Guard に関する記事を参照してください。

攻撃面の減少ポリシーの新しい Application Guard 設定

Intune のエンドポイントセキュリティの攻撃面の減少ポリシーにあるアプリとブラウザーの分離プロファイルに、2 つの新しい設定が追加されました。

[Application Guard allow camera and microphone access](Application Guard でカメラとマイクへのアクセスを許可する) – Application Guard アプリによるデバイスのカメラとマイクへのアクセスを管理します。
[Application Guard allow use of Root Certificate Authorities from the user's device](Application Guard でユーザーのデバイスからのルート証明機関の使用を許可する) – 1 つ以上のルート証明書の拇印を指定すると、一致する証明書が Microsoft Defender Application Guard コンテナーに転送されます。

詳細については、「アプリとブラウザーの分離」の設定を参照してください。

セキュリティベースラインの更新

次のセキュリティベースラインでは新しいバージョンを使用できます。

ベースラインバージョンが更新されて、各製品チームが推奨するベストプラクティス構成を維持するのに役立つ最新の設定がサポートされます。

バージョン間の変更点について理解するために、「ベースラインのバージョンを比較する」を参照し、変更内容が示された .CSV ファイルのエクスポート方法を確認してください。

エンドポイントセキュリティファイアウォールレポート

エンドポイントセキュリティのファイアウォールポリシー専用として 2 つの新しいレポートが追加されました。

ファイアウォールがオフになっている Windows 10 MDM デバイスはエンドポイントセキュリティノードにあり、ファイアウォールがオフになっている Windows 10 デバイスの一覧が表示されます。このレポートでは、デバイス名、デバイス ID、ユーザー情報、ファイアウォールの状態によって各デバイスが識別されます。
Windows 10 MDM ファイアウォールの状態は [レポート] ノードにある組織レポートであり、Windows 10 デバイスのファイアウォールの状態が一覧表示されます。このレポートには、ファイアウォールが有効か、無効か、制限付きか、または一時的に無効か、などの状態情報が表示されます。

Defender ウイルス対策レポートの [概要] ビュー

Microsoft Endpoint Manager admin center の [レポート] ノードにある Microsoft Defender ウイルス対策レポートのビューが更新されました。現在、[レポート] ノードで [Microsoft Defender ウイルス対策] を選択すると、[概要] タブの既定のビューと、[レポート] の 2 つ目のタブが表示されます。 [レポート] タブには、以前に使用可能だった [Antivirus agent status](ウイルス対策エージェントの状態) および [Detected malware](検出されたマルウェア) 組織レポートが表示されます。

新しい [概要] タブには、以下の情報が表示されます。

ウイルス対策レポートの集計の詳細が表示される。
各ウイルス対策状態のデバイス数を更新する、更新オプションが含まれている。
[Antivirus agent status](ウイルス対策エージェントの状態) 組織レポートに含まれるものと同じデータが反映されます。これは、[レポート] タブからアクセスできるようになりました。

追加のモバイル脅威防御パートナー向けの Android および iOS/iPadOS でのアプリ保護ポリシーのサポート

2019 年 10 月に、Intune アプリ保護ポリシーに、Microsoft の脅威防御パートナーのデータを使用する機能が追加されました。

この更新により、アプリ保護ポリシーを使用することでデバイスの正常性に基づいてユーザーの企業データをブロックまたは選択的に消去できるように、次のパートナーに対してこのサポートを拡張しています。

Android、iOS、iPadOS の McAfee MVision Mobile

詳細については、「Intune でモバイル脅威防御アプリ保護ポリシーを作成する」を参照してください。

SCEP および PKCS プロファイルの証明書の有効期間の延長

Intune では、Simple Certificate Enrollment Protocol (SCEP) および公開キー暗号化標準 (PKCS) の証明書プロファイルで、最長 24 か月の 証明書の有効期間 がサポートされるようになりました。これは、最長 12 か月という以前のサポート期間からの延長です。

このサポートは、Windows および Android に適用されます。 iOS/iPadOS および macOS では、証明書の有効期間は無視されます。

監視とトラブルシューティング

新しい [共同管理の適格性] 組織レポート

共同管理適格性 レポートでは、共同管理可能なデバイスの適格性評価が提供されます。共同管理により、Configuration Manager と Microsoft Intune の両方を使用して、Windows 10 デバイスを同時に管理できます。このレポートの概要を Microsoft Endpoint Manager admin center で表示するには、[レポート] > [Cloud attached devices](クラウド接続デバイス) > [レポート] タブ > [Co-management eligibility](共同管理の適格性) の順に選択します。関連するレポートの情報については、「Intune レポート」を参照してください。

新しい共同管理されたワークロード組織レポート

[Co-Managed Workloads](共同管理されたワークロード) レポートでは、現在共同管理されているデバイスのレポートが提供されます。共同管理により、Configuration Manager と Microsoft Intune の両方を使用して、Windows 10 デバイスを同時に管理できます。このレポートを Microsoft Endpoint Manager admin center で表示するには、[レポート] > [Cloud attached devices](クラウド接続デバイス) > [レポート] タブ > [Co-Managed Workloads](共同管理されたワークロード) の順に選択します。詳細については、「Intune レポート」を参照してください。

Log Analytics にデバイスの詳細ログが含まれる

Intune デバイスの詳細ログを利用できるようになりました。 Microsoft Endpoint Manager admin center で、[レポート] > [Log Analytics] の順に選択します。デバイスの詳細のセットを相互に関連付けて、カスタムクエリと Azure ブックを作成することができます。詳細については、「Azure Monitor 統合レポート (スペシャリスト)」を参照してください。

役割ベースのアクセス制御

[登録ステータス] ページの [スコープ] タグのサポート

[登録ステータス] ページにスコープタグを割り当てて、定義したロールのみがそれを表示できるようにすることが可能になりました。詳細については、「登録ステータスページのプロファイルを作成してグループに割り当てる」を参照してください。

スクリプト

追加のデータウェアハウスベータプロパティ

Intune データウェアハウスベータ API を使って、追加のプロパティを使用できるようになりました。次のプロパティは、ベータ API でデバイスエンティティを介して公開されます。

SubnetAddressV4Wifi - IPV4 Wi-Fi 接続のサブネットアドレス。
IpAddressV4Wifi - IPV4 Wi-Fi 接続の IP アドレス。

関連情報については、「Microsoft Intune データウェアハウス API」を参照してください。

2021 年 1 月 25 日の週

アプリ管理

iOS、macOS、Web ポータルサイト用のアプリケーションアイコンの更新

iOS、macOS、および Web 用のポータルサイトのアプリアイコンが更新されました。このアイコンは、Windows のポータルサイトでも使用されています。エンドユーザーに対して、デバイスのアプリケーションランチャーとホーム画面、Apple の App Store、およびポータルサイトアプリ内のエクスペリエンスに新しいアイコンが表示されます。

個人所有の仕事用プロファイルでの Android Enterprise システムアプリのサポート

個人所有 Android Enterprise 仕事用プロファイルデバイスに Android Enterprise システムアプリを展開できるようになりました。システムアプリは、managed Google Play ストアには表示されず、多くの場合デバイスにプレインストールされているアプリです。システムアプリを展開すると、システムアプリをアンインストールしたり、非表示にしたり、削除したりすることはできなくなります。システムアプリの関連情報については、「Android Enterprise システムアプリを Microsoft Intune に追加する」を参照してください。

監視とトラブルシューティング

Graph API を使用して Intune レポートをエクスポートするときの更新

デバイスレポートの列を選択しないで exportJobs Graph API を使用して Intune レポートをエクスポートすると、既定の列セットが提供されます。混乱を軽減するために、既定の列セットから列が削除されました。削除された列は、PhoneNumberE164Format、_ComputedComplianceState、_OS、および OSDescription です。これらの列は引き続き、必要に応じて選択できます。ただし、明示的にのみ選択でき、既定では選択されません。デバイスのエクスポートの既定の列に関する自動化を作成し、その自動化でこれらの列のいずれかを使用する場合、プロセスをリファクタリングして、これらの列とその他の関連する列を明示的に選択する必要があります。関連情報については、「Graph API を使用して Intune レポートをエクスポートする」を参照してください。

2021 年 1 月 18 日の週

デバイス構成

Microsoft Tunnel で Red Hat Enterprise Linux 8 がサポートされるようになりました

Microsoft Tunnel で Red Hat Enterprise Linux (RHEL) 8 を使用できるようになりました。 RHEL 8 を使用するために、何らかの操作を行う必要はありません。自動的に更新される Docker コンテナーにサポートが追加されました。さらに、この更新によって余分なログも抑制されます。

2021 年 1 月 11 日の週

アプリ管理

依存関係のある Win32 アプリの削除

Intune に追加された Win32 アプリに依存関係がある場合は、削除できません。そのようなアプリは、依存関係を削除した後にのみ削除できます。この要件は、依存関係にある親アプリと子アプリの両方に適用されます。また、この要件によって、依存関係が適切に適用され、依存関係の動作をより予測しやすくなります。詳細については、「Microsoft Intune での Win32 アプリの管理」を参照してください。

カスタマイズポリシーのスコープタグのサポート

スコープタグをカスタマイズポリシーに割り当てられるようになりました。これを行うには、Microsoft エンドポイントマネージャー管理センター > [テナント管理] > [カスタマイズ] に移動します。ここに、スコープタグ の構成オプションが表示されます。政府機関向け Intune または 21Vianet が運用している Intuneで、この機能が使用できるようになりました。

デバイス構成

新しいバージョンの PFX 証明書コネクタ

PFX Certificate Connector の新しいバージョン (バージョン 6.2009.1.9) がリリースされました。この新しいコネクタのバージョンの内容:

コネクタ証明書の更新の改善。

両方の証明書コネクタのコネクタリリースのリストを含む、証明書コネクタの詳細については、「証明書コネクタ」を参照してください。

2021 年 1 月 4 日の週

アプリ管理

Android 仕事用プロファイルの登録時にブラウザーアクセスが自動的に有効化される

Android Enterprise の個人所有の仕事用プロファイルの新規登録時に、ブラウザーアクセスが自動的に有効化されるようになりました。この変更により、準拠デバイスはブラウザーを使用して、追加の操作を行うことなく、条件付きアクセスによって保護されているリソースにアクセスできます。この変更の前には、ユーザーがポータルサイトを起動し、[設定] > [ブラウザーアクセスを有効にする] を選択してから [有効にする] をクリックする必要がありました。

この変更は、既に登録されているデバイスには影響しません。

Win32 アプリのダウンロード進行状況バー

Win32 アプリのダウンロード中、Windows ポータルサイトで、エンドユーザーに進行状況バーが表示されるようになります。この機能を使用すると、アプリのインストールの進行状況をより深く理解するのに役立ちます。

Android 用ポータルサイトアプリアイコンの更新

Android 用ポータルサイトアプリアイコンを更新し、デバイスユーザー向けのより新しい外観を作成しました。新しいアイコンの外観を確認するには、Google Play の Intune ポータルサイトの掲載ページにアクセスしてください。

2020 年 12 月 7 日の週

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

Dynamics 365 Remote Assist
Box - Cloud Content Management
STid Mobile ID
FactSet 3.0
Notate for Intune
Field Service (Dynamics 365)

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

新機能の公開履歴

以前の月については、新機能の公開履歴を参照してください。

通知

この通知では、今後の Intune の変更と機能に備えるために役立つ重要な情報が提供されます。

Microsoft Intuneの証明書コネクタを更新する

2022 年 6 月 1 日時点で、バージョン 6.2101.13.0 より前のIntune証明書コネクタは、期待どおりに機能しなくなり、Intune サービスへの接続が停止される可能性があります。証明書コネクタのライフサイクルとサポートの詳細については、「Microsoft Intuneの証明書コネクタ」を参照してください。

これは自分やユーザーにどのような影響を与えますか?

この変更の影響を受けた場合は、メッセージセンターの MC393815 を参照してください。

どのように準備できますか?

最新の証明書コネクタをダウンロード、インストール、構成します。詳細については、「Microsoft Intune用の証明書コネクタをインストールする」を参照してください。

使用している証明書コネクタのバージョンを確認するには、次の手順に従います。

Intune証明書コネクタを実行している Windows Server で、"プログラムの追加と削除" を起動します。
インストールされているプログラムとアプリケーションの一覧が表示されます。
Microsoft Intune証明書コネクタに関連するエントリを探します。コネクタに関連付けられている "バージョン" があります。 メモ： 古いコネクタの名前は異なる場合があります。

変更の計画: Android デバイスの新しい APP 生体認証設定と承認要件

現在、生体認証の設定では、クラス 2 とクラス 3 の生体認証は区別されません。 Intuneの 2207 年 7 月のサービスリリースで、クラス 3 生体認証に対応するために Android デバイスに適用されるIntune アプリ保護ポリシー (APP) の指紋と生体認証の設定を変更しています。

アプリ保護ポリシーを作成または変更すると、[ アクセス要件 ] ページに次の変更が表示されます。

アクセス用の PIN ではなく指紋の 設定は、アクセス 用の PIN ではなく、既存の生体認証設定にロールされます。この設定は、すべての生体認証 (クラス 2 とクラス 3) に適用されます。
タイムアウト後に PIN で指紋をオーバーライド する設定は、タイムアウト 後に PIN で生体認証をオーバーライド するように変更されます。この設定は、すべての生体認証 (クラス 2 とクラス 3) に適用されます。
新しい設定があります: クラス 3 生体認証 (Android 9.0 以降) と新しいサブ設定: 生体認証の更新後に PIN で生体認証をオーバーライドします。このサブ設定は、選択した場合、クラス 3 生体認証にのみ適用されます。

注意

クラス 3 生体認証のサポートはデバイスによって異なるため、デバイス固有の制限事項を理解するためにデバイスの製造元に問い合わせる必要がある場合があります。

これは自分やユーザーにどのような影響を与えますか?

認証用の指紋または生体認証を許可する既存のポリシーは、ユーザーの影響を受けずに移行されます。

この変更後、 クラス 3 生体認証 (Android 9.0 以降) を要求するようにポリシーを構成すると、次の処理が行われます。

クラス 3 生体認証をサポートする Android デバイスを持つユーザーの場合、APP で保護されたアプリに初めてサインインする際に、APP PIN の入力を求めるメッセージが表示されます。以降のサインインでは、認証にクラス 3 生体認証が使用されます。ただし、ユーザーがクラス 3 の要件を満たす生体認証を構成していない場合は、後続のサインインごとに PIN を入力するように求められます。
クラス 3 生体認証をサポートしていない Android デバイスを持つユーザーの場合、ユーザーは APP で保護されたアプリにサインインするたびに PIN を入力するように求められます。

生体認証の更新後に PIN で生体認証をオーバーライド する必要がある場合、保存されているクラス 3 生体認証を更新するユーザーは、次回 APP で保護されたアプリにサインインする際に、APP PIN を入力するように求められます。

どのように準備できますか?

管理者は、指紋とクラス 2 生体認証の組み合わされた設定に注意する必要があります。既存のポリシーで指紋認証が許可されているが、他の生体認証が許可されていない場合は、移行後の両方が許可されます。また、以前に指紋タイムアウト後に APP PIN を必要としていた場合、このタイムアウト設定はすべての生体認証に適用されます。

注意

Microsoft Graph APIの FingerprintBlocked および BiometricAuthenticationBlocked を使用している場合は、新しい組み合わされた FingerprintAndBiometricEnabled API を使用するように API を更新することを計画します。現在の API は既存のポリシーの値を保持します。新しい FingerprintAndBiometricEnabled API は、ポリシーが更新されるまで、これらのポリシーの既定値は Null に設定されます。

変更の計画: Intuneは、今年後半に macOS 11.6 以降をサポートする予定です

Apple は今年後半に macOS 13 (Tty) をリリースする予定です。Microsoft Intune、ポータルサイトアプリ、Intuneモバイルデバイス管理エージェントは、macOS 11.6 (Big Sur) 以降をサポートする予定です。 iOS と macOS 用のポータルサイトアプリは統合アプリであるため、この変更は iOS/iPadOS 16 のリリース直後に行われます。

これは自分やユーザーにどのような影響を与えますか?

この変更は、Intuneを使用して macOS デバイスを現在管理している場合、または管理する予定がある場合にのみ影響します。ユーザーが既に macOS デバイスをアップグレードしている可能性が高いので、この変更は影響を受けない可能性があります。サポートされているデバイスの一覧については、「 macOS Big Sur は、これらのコンピューターと互換性がある」を参照してください。

注意

macOS 10.15 以前に現在登録されているデバイスは、それらのバージョンがサポートされなくなった場合でも引き続き登録されます。 macOS 10.15 以前を実行している場合、新しいデバイスは登録できません。

どのように準備できますか?

Intune レポートをチェックして、影響を受ける可能性のあるデバイスまたはユーザーを確認してください。 [デバイス] > [すべてのデバイス] に移動し、macOS でフィルター処理します。さらに列を追加すると、組織内で macOS 10.15 以前を実行しているデバイスを持っているユーザーを特定するのに役立ちます。サポートされている OS バージョンにデバイスをアップグレードするようにユーザーに依頼します。

変更の計画: Intuneは iOS/iPadOS 14 以降のサポートに移行しています

今年の後半には、iOS 16 が Apple によってリリースされる予定です。 Intune ポータルサイトおよびIntuneアプリ保護ポリシー (MAM とも呼ばれる APP) を含むMicrosoft Intuneには、iOS 14/iPadOS 14 以降が iOS 16 のリリース直後に必要になります。

これは自分やユーザーにどのような影響を与えますか?

iOS/iPadOS デバイスを管理している場合は、サポートされている最小バージョン (iOS/iPadOS 14) にアップグレードできないデバイスがある可能性があります。

Office 365モバイルアプリは iOS/iPadOS 14.0 以降でサポートされているため、この変更は影響を受けない可能性があります。 OS またはデバイスを既にアップグレードしている可能性があります。

iOS 14 または iPadOS 14 をサポートしているデバイス (該当する場合) を確認するには、次の Apple ドキュメントを参照してください。

注意

自動デバイス登録 (ADE) を通じて登録されたユーザーレス iOS デバイスと iPadOS デバイスには、共有の使用状況に関して若干微妙なサポートステートメントがあります。詳細については、「https://aka.ms/ADE_userless_support」を参照してください。

どのように準備できますか?

Intune レポートをチェックして、影響を受ける可能性のあるデバイスまたはユーザーを確認してください。モバイルデバイス管理を備えたデバイスの場合は、[デバイス] > [すべてのデバイス] に移動し、OS でフィルター処理します。アプリ保護ポリシーを使用しているデバイスの場合は、[アプリ] > [モニター] > [アプリの保護状態] > [アプリ保護レポート: iOS、Android] に移動します。

組織でサポートされている OS バージョンを管理するには、モバイルデバイス管理と APP の両方に Microsoft エンドポイントマネージャーコントロールを使用できます。詳細については、「Intune を使用したオペレーティングシステムのバージョンの管理」を参照してください。

変更の計画: PKG タイプのインストーラーファイルをアップロードして macOS LOB アプリをデプロイする

最近、Microsoft エンドポイントマネージャー管理センターに PKG タイプのインストーラーファイルを直接アップロードすることで、macOS 基幹業務 (LOB) アプリを展開する一般提供を発表しました。このプロセスでは、macOS のIntune App Wrapping Toolを使用して .pkg ファイルを .intunemac 形式に変換する必要がなくなりました。

2022 年 7 月に、macOS のIntune App Wrapping Toolを Microsoft Intune App SDK GitHub リポジトリから削除します。まもなく、ラップされた .intunemac ファイルを Microsoft エンドポイントマネージャー管理センターにアップロードする機能が削除されます。

これは自分やユーザーにどのような影響を与えますか?

以前に .intunemac ファイルでアップロードされたアプリには影響しません。以前にアップロードしたアプリは、 .pkg ファイルの種類をアップロードすることでアップグレードできます。

どのように準備できますか?

今後は、Microsoft エンドポイントマネージャー管理センターに PKG タイプのインストーラーファイルをアップロードしてデプロイすることで、macOS LOB アプリをデプロイします。

変更の計画: Intune は、2022 年 1 月に Android 8.0 以降をサポートするように移行しています

Microsoft Intune は、2022 年 1 月 7 日以降、モバイルデバイス管理 (MDM) に登録されたデバイスで Android バージョン 8.0 (Oreo) 以降をサポートするように移行されます。

これは自分やユーザーにどのような影響を与えますか?

2022 年 1 月 7 日以降、Android バージョン 7.x 以前を実行している MDM 登録デバイスは、Android ポータルサイトまたは Intune アプリの更新プログラムを受け取らなくなります。登録済みデバイスには引き続き Intune ポリシーが適用されますが、Intune のシナリオではサポートされなくなります。 2 月中旬以降、Android 7.x 以下を実行しているデバイスは、ポータルサイトと Intune アプリを利用できなくなります。ただし、この変更の前に必要なアプリがインストールされている場合、これらのデバイスは登録の完了をブロックされません。 Android 7.x 以下を実行している MDM 登録済みデバイスがある場合は、Android バージョン 8.0 (Oreo) 以降に更新するか、Android バージョン 8.0 以降のデバイスに置き換えます。

注意

Microsoft Teams デバイスはこの発表の影響を受けず、Android OS のバージョンに関係なく引き続きサポートされます。

どのように準備できますか?

今後予定されているサポートの変更について、該当する場合は、御社のヘルプデスクにお知らせください。現在 Android 7.x 以下を実行しているデバイスの数を特定するには、[デバイス] > [すべてのデバイス] > [フィルター] の順に移動します。次に、OS でフィルターし、OS バージョンで並べ替えます。ユーザーに通知したり、登録をブロックしたりするのに役立つ管理者オプションがあります。

ユーザーに警告する方法は次のとおりです。

アプリ保護ポリシーを作成し、ユーザーに警告する最小 OS バージョン要件を使用して、条件付き起動を構成します。
Android デバイス管理者または Android Enterprise に対してデバイスコンプライアンスポリシーを利用し、非準拠に対するアクションを設定して、非準拠をマークする前にユーザーに電子メールまたはプッシュ通知を送信します。

Android 8.0 より前のバージョンで実行されているデバイスをブロックする方法を次に示します。

アプリ保護ポリシーを作成し、ユーザーのアプリへのアクセスをブロックする最小 OS バージョン要件を使用して、条件付き起動を構成します。
Android デバイス管理者または Android Enterprise のデバイスコンプライアンスポリシーを利用して、Android 7.x 以前を実行しているデバイスを非準拠にします。
Android 7.x 以前を実行しているデバイスの登録を禁止する登録制限を設定します。

注意

Intune アプリ保護ポリシーは、Android 9.0 以降を実行しているデバイスでサポートされています。詳細については、MC282986 を参照してください。

変更の計画: Intune APP/MAM は Android 9 以降をサポートするように移行しています

Android 12 の次のリリースに伴い、Android 用の Intune アプリ保護ポリシー (APP、モバイルアプリケーション管理とも呼ばれます) は、2021 年 10 月 1 日以降に Android 9 (Pie) をサポートするように移行します。この変更は、Android の最後の 4 つのメジャーバージョンの Android サポート用の Office モバイルアプリに合わせて行われます。

フィードバックに基づいて、サポートステートメントを更新しました。Microsoft アプリのライフサイクルに合わせて、組織を安全に保ち、ユーザーとデバイスを保護するために最善を尽くしています。

注意

このアナウンスは、Microsoft Teams Android デバイスには影響しません。これらのデバイスは、Android OS のバージョンに関係なく引き続きサポートされます。

これは自分やユーザーにどのような影響を与えますか?

Android バージョン 8.x 以前を実行しているデバイスでアプリ保護ポリシー (APP) を使用している場合、または Android バージョン 8.x 以前を実行しているデバイスを登録することにした場合、これらのデバイスは APP でサポートされなくなります。

APP ポリシーは、Android 6.x から Android 8.x を実行しているデバイスに引き続き適用されます。ただし、Office アプリと APP に問題がある場合、サポートはトラブルシューティングのためにサポートされている Office バージョンに更新するよう要求します。 APP のサポートを継続するには、デバイスを Android バージョン 9 (Pie) 以降に更新するか、2021 年 10 月 1 日より前に Android バージョン 9.0 以降のデバイスと交換してください。

どのように準備できますか?

該当する場合は、この更新されたサポートステートメントについてヘルプデスクに通知します。また、ユーザーに警告する 2 つの管理オプションがあります。

ユーザーに警告するための最小 OS バージョン要件を使用して、APP の条件付き起動設定を構成します。
Android デバイス管理者または Android Enterprise 用のデバイスコンプライアンスポリシーを使用します。非準拠としてマークする前にユーザーにメッセージを送信するように、非準拠のアクションを設定します。

アクションの実行: 最新バージョンの Android 用ポータルサイトアプリに更新する

10 月 (2110) のサービスリリース以降、Intune はポータルサイトバージョン 5.04993.0 以前を使用する新しい Android デバイス管理者の登録をサポートしなくなります。その理由は、Intune と Samsung デバイスの統合が変更されたためです。

これは自分やユーザーにどのような影響を与えますか?

以前のバージョンのポータルサイトアプリ (5.04993.0 より前のバージョン) を使用して Samsung デバイスを Android デバイス管理者に登録する必要があるユーザーは、成功しなくなります。登録を成功させるには、ポータルサイトアプリを更新する必要があります。

どのように準備できますか?

Intune 10 月 (2110) サービスリリース前に、Android デバイス管理者の登録をサポートするために、ご使用の環境でステージングされた以前のバージョンのポータルサイトを更新します。 Samsung デバイスを登録するには、Android ポータルサイトの最新バージョンに更新する必要があることをユーザーに通知します。

該当する場合、ユーザーが登録する前にアプリを更新しない場合に備えて、ヘルプデスクに通知します。また、デバイスで最新の修正プログラムを利用できるように、ポータルサイトアプリを最新の状態に維持することをお勧めします。

詳細情報

Microsoft Intune 管理拡張機能へのアップグレード

Windows 10 デバイスでのトランスポート層セキュリティ (TLS) エラーの処理を改善するために、Microsoft Intune 管理拡張機能へのアップグレードがリリースされました。

Microsoft Intune管理拡張機能の新しいバージョンは、1.43.203.0 です。 Intune は、1.43.203.0 より前の拡張機能のすべてのバージョンをこの最新バージョンに自動的にアップグレードします。デバイス上の拡張機能のバージョンを確認するには、[アプリと機能] の下にあるプログラムの一覧で、Microsoft Intune 管理拡張機能 のバージョンを確認してください。

詳細については、Microsoft Security Response Center のセキュリティの脆弱性 CVE-2021-31980 に関する情報を参照してください。

これは自分やユーザーにどのような影響を与えますか?

操作は必要ありません。クライアントがサービスに接続されるとすぐに、アップグレードのメッセージが自動的に表示されます。

エンドポイントセキュリティウイルス対策の Windows 10 プロファイルの更新

Windows 10 用ウイルス対策プロファイルエクスペリエンスを向上させるために、マイナー変更を行いました。この変更は UI に表示される内容にのみ影響するため、ユーザーへの影響はありません。

これは自分やユーザーにどのような影響を与えますか?

以前は、Endpoint Security ウイルス対策ポリシーの Windows セキュリティプロファイルを構成するときに、ほとんどの設定に 2 つのオプション [はい] と [未構成] がありました。これらの設定には、[はい]、[未構成]、および [いいえ] の新しいオプションが含まれるようになりました。

[未構成] に設定された以前に構成された設定は、[未構成] のままです。新しいプロファイルを作成したり、既存のプロファイルを編集したりするときに、明示的に [いいえ] を指定できるようになりました。

さらに、[Windows セキュリティアプリの [ウイルスと脅威の防止] 領域を非表示にする] 設定には、[Windows セキュリティアプリの [ランサムウェア攻撃後のデータ回復] オプションを非表示にする] という子設定があります。親設定が [未構成] に設定され、子設定が [はい] に設定されている場合、親と子の両方の設定が [未構成] に設定されます。この変更は、プロファイルを編集するときに有効になります。

どのように準備できますか?

操作は必要ありません。しかし、この変更についてヘルプデスクに通知することをお勧めします。

変更の計画: Intune は、サポートされていないバージョンの Windows に対するポータルサイトのサポートを終了します

Intune は、サポートされている Windows 10 バージョンの Windows 10 ライフサイクルに従います。現在、Modern Support ポリシーの対象外である Windows バージョン用の関連する Windows 10 ポータルサイトのサポートを削除しています。

これは自分やユーザーにどのような影響を与えますか?

Microsoft はこれらのオペレーティングシステムをサポートしなくなったため、この変更による影響はない可能性があります。 OS またはデバイスを既にアップグレードしている可能性があります。この変更は、サポートされていない Windows 10 バージョンをまだ管理している場合にのみ影響します。

この変更が影響する Windows およびポータルサイトのバージョンは次のとおりです。

Windows 10 バージョン 1507、ポータルサイトバージョン 10.1.721.0
Windows 10 バージョン 1511、ポータルサイトバージョン 10.1.1731.0
Windows 10 バージョン 1607、ポータルサイトバージョン 10.3.5601.0
Windows 10 バージョン 1703、ポータルサイトバージョン 10.3.5601.0
Windows 10 バージョン 1709、すべてのポータルサイトバージョン

これらのポータルサイトのバージョンはアンインストールしませんが、Microsoft Store から削除し、サービスリリースのテストを停止します。

サポートされていないバージョンの Windows 10 を引き続き使用すると、ユーザーは、最新のセキュリティ更新プログラム、新機能、バグ修正、遅延の改善、アクセシビリティの改善、およびパフォーマンスへの投資を利用できなくなります。 System Center Configuration Manager と Intune を使用してユーザーを共同管理することはできません。

どのように準備できますか?

Microsoft エンドポイントマネージャー管理センターで、[検出されたアプリ] 機能を使用して、これらのバージョンのアプリを検索します。ユーザーのデバイスでは、ポータルサイトのバージョンがポータルサイトの [設定] ページに表示されます。サポートされている Windows およびポータルサイトのバージョンに更新します。

Microsoft Intune の新機能

2022 年 7 月 25 日の週

デバイス管理

リモート ヘルプ バージョン: 4.1.0.12 リリース

2022 年 7 月 18 日の週

デバイス管理

WMI の問題のデバッグに役立つ新しいイベント ビューアー

2022 年 7 月 4 日の週

デバイスの管理

デバイス モデルごとのエンドポイント分析スコア

監視とトラブルシューティング

[診断の収集] を使用して、Windows の迅速な更新に関する詳細を収集する

2022 年 6 月 27 日の週 (サービス リリース 2206)

アプリ管理

Web ポータル サイトのエンタープライズ フィードバック ポリシー

Android Enterprise 専用デバイスと Android (AOSP) デバイスを使用したアプリ保護ポリシー

デバイスのセキュリティ

エンドポイント セキュリティー マネージャー管理者ロールを割り当てられたユーザーは、モバイル脅威防御コネクタの設定を変更できます

Android Enterprise フル マネージド デバイスの証明書プロファイルのサポートが強化されました

デバイス構成

Android (ASOP) デバイスの証明書プロファイルのサポート

Windows 10/11 デバイス上の DFCI プロファイルの新しい設定

Android Enterprise デバイスにカスタム サポート情報を追加する

Wi-Fi プロファイルを作成して Android AOSP デバイスに展開する

設定カタログは、Windows および macOS デバイスで一般公開 (GA) されています

グループ ポリシー分析の移行機能はソブリン クラウドをサポートしています

iOS/iPadOS プラットフォームは設定カタログにあります

Windows デバイスのワイヤード ネットワーク デバイス構成プロファイルで TEAP 認証を使用する

パスワード、PIN、またはパターンを使用して、設定した時間後に Android Enterprise 企業所有の仕事用プロファイル (COPE) デバイスで作業プロファイルのロックを解除する

設定カタログでの新しい macOS 設定

macOS 設定カタログの新しい Microsoft Office と Microsoft Outlook の基本設定

デバイス管理

macOS デバイスをリモートで再起動およびシャットダウンする

Android (AOSP) 企業デバイス用のその他のリモート アクション

Windows 11 マルチセッション VM のユーザー構成のサポートは、パブリック プレビュー段階にあります。

マネージド デバイスのグループ メンバーシップを表示する

証明書レポートの改善に関する詳細

デバイスの登録

macOS デバイスでブートストラップ トークンを利用する

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

2022 年 6 月 13 日の週

デバイスのセキュリティ

Red Hat Enterprise Linux 8.6 に対する Microsoft Tunnel のサポート

2022 年 6 月 6 日の週

アプリ管理

アプリ保護ポリシーを介したフォト ライブラリ データ転送のサポート

UI の改善により、Android の登録が利用できることを示しています。必須ではありません

デバイス管理

アプリケーションとドライバの Windows Update 互換性レポート(パブリック プレビュー)

2022 年 5 月 30 日の週 (サービス リリース 2205)

アプリ管理

iOS ポータル サイトに必要な最小バージョン

デバイスの所有権が [個人] から [企業] に変更されると、プッシュ通知が自動的に送信されます

iOS/iPadOS の通知には 3 月のポータル サイトまたはそれ以降が必要です

PKG タイプのインストーラー ファイルのアップロードによる macOS LOB アプリの展開が一般公開されました

[管理対象アプリ] ウィンドウでのレポート エクスペリエンスの向上

MSfB ライセンスと Apple VPP ライセンス

ライセンス未付与のユーザーのレポート

デバイスのセキュリティ

Intune のエンドポイント セキュリティにおける攻撃面の減少ポリシー用の新しいデバイス制御プロファイル

デバイス構成

設定した時間の経過後に、パスワード、PIN、パターンを使用して Android Enterprise デバイスのロックを解除する

設定カタログを使用して Windows 11 デバイスにユニバーサル プリント ポリシーを作成する

新しい macOS 設定 (設定 カタログ)

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

デバイス管理

テナントに接続されたデバイスの [ソフトウェア更新プログラム] ページ

iOS/iPadOS での App Sync のMicrosoft Defender for Endpoint サポート

仕事用プロファイルを設定した会社所有の Android Enterprise デバイスでの廃止のサポート

デバイスの登録

Apple 自動デバイス登録用の登録プロファイルの機能強化

Windows Autopilot から共同管理に登録する

2022 年 5 月 9 日の週

デバイスのセキュリティ

Defender for Endpoint を使用したセキュリティ管理が一般的に利用可能です

デバイス管理

リモート ヘルプの昇格の機能強化

2022 年 5 月 2 日の週

リモートヘルプバージョン: 4.1.0.12 リリース

WMI の問題のデバッグに役立つ新しいイベントビューアー

デバイスモデルごとのエンドポイント分析スコア

2022 年 6 月 27 日の週 (サービスリリース 2206)

Web ポータルサイトのエンタープライズフィードバックポリシー

エンドポイントセキュリティーマネージャー管理者ロールを割り当てられたユーザーは、モバイル脅威防御コネクタの設定を変更できます

Android Enterprise フルマネージドデバイスの証明書プロファイルのサポートが強化されました

Android Enterprise デバイスにカスタムサポート情報を追加する

グループポリシー分析の移行機能はソブリンクラウドをサポートしています

Windows デバイスのワイヤードネットワークデバイス構成プロファイルで TEAP 認証を使用する

Android (AOSP) 企業デバイス用のその他のリモートアクション

Windows 11 マルチセッション VM のユーザー構成のサポートは、パブリックプレビュー段階にあります。

マネージドデバイスのグループメンバーシップを表示する

macOS デバイスでブートストラップトークンを利用する

アプリ保護ポリシーを介したフォトライブラリデータ転送のサポート

アプリケーションとドライバの Windows Update 互換性レポート(パブリックプレビュー)

2022 年 5 月 30 日の週 (サービスリリース 2205)

iOS ポータルサイトに必要な最小バージョン

iOS/iPadOS の通知には 3 月のポータルサイトまたはそれ以降が必要です

PKG タイプのインストーラーファイルのアップロードによる macOS LOB アプリの展開が一般公開されました

[管理対象アプリ] ウィンドウでのレポートエクスペリエンスの向上

Intune のエンドポイントセキュリティにおける攻撃面の減少ポリシー用の新しいデバイス制御プロファイル

設定カタログを使用して Windows 11 デバイスにユニバーサルプリントポリシーを作成する

新しい macOS 設定 (設定カタログ)

リモートヘルプの昇格の機能強化

2022 年 4 月 25 日の週 (サービスリリース 2204)

Win32 アプリログコレクションの機能強化

Microsoft Intune アプリで Android (AOSP) ユーザーが使用できるデバイスアクション

Andriod 企業所有の職場用プロファイルとフルマネージド (COBO および COPE) デバイスでのオーディオアラートのサポート

Apple 自動デバイス登録用の新しい登録プロファイルの設定 (パブリックプレビュー)

iOS 用の Tunnel クライアントアプリとして Microsoft Defender for Endpoint の一般公開を開始

攻撃面の減少ルールプロファイル

エンドポイントセキュリティプロファイルは、フィルターをサポートします

グループポリシー分析でインポートした GPO を使用して設定カタログポリシーを作成する (パブリックプレビュー)

Windows デバイスの新しいワイヤード (有線) ネットワークデバイス構成プロファイル

マネージド macOS デバイスで DMG 型アプリケーションをアンインストールする (パブリックプレビュー)

エンドポイントセキュリティポリシーのための新しいプロファイルテンプレートと設定の構造

Microsoft エンドポイントマネージャープレミアムアドオン

2022 年 3 月 21 日の週 (サービスリリース 2203)

iOS/iPadOS の通知には、3 月ポータルサイト更新プログラムが必要です

ポータルサイトアプリと Microsoft Intune アプリのフィードバック設定

PKG タイプのインストーラーファイルをアップロードして、macOS LOB アプリを展開する (パブリックプレビュー)

Android エンタープライズデバイスの IPv4 アドレスと Wi-Fi サブネット ID を確認する

iOS/iPadOS の eSim 携帯データ通信プランを一括更新する (パブリックプレビュー)

iOS/iPadOS デバイスの一括ワイプ時に携帯データネットワークプランを保持する

AppxPackaging イベントビューアーは、診断の収集の一部です

登録済みの macOS デバイスでブートストラップトークンを利用する (パブリックプレビュー)

デバイス構成プロファイルの新しいレポートエクスペリエンス

新しい macOS 設定 (設定カタログ)

Android (AOSP) では、スコープタグと RBAC 設定がサポートされる

Apple の自動デバイス登録のためのセルラーデータプラン

2022 年 2 月 21 日の週 (2202 サービスリリース)