Microsoft Intune の新機能 (過去数か月)

2020 年 11 月

アプリ管理

Android 用ポータル サイトでの仕事用プロファイルのメッセージの機能強化

仕事用プロファイルの動作の紹介と説明がいっそうわかりやすいように、Android 用ポータル サイトのメッセージを更新しました。 新しいメッセージは次のように表示されます。

  • 仕事用プロファイルのセットアップ フローの後。 仕事用アプリを見つける場所の説明とヘルプ ドキュメントへのリンクが記載された、新しい情報画面がユーザーに表示されます。
  • ユーザーが誤って個人プロファイルでポータル サイト アプリを再度有効にしたとき。 ユーザーを仕事用アプリに誘導するわかりやすい説明と新しい図およびヘルプ ドキュメントへのリンクを使用して、画面が再設計されました (デバイスに仕事のためだけのプロファイルが含まれるようになりました)。
  • [ヘルプ] ページについて。 [よく寄せられる質問] セクションに、仕事用プロファイルを設定してアプリを探す方法に関するヘルプ ドキュメントへの新しいリンクがあります。

PowerShell スクリプトがアプリの前に実行され、タイムアウトが減りました

PowerShell スクリプトにいくつかの更新があります。

  • Microsoft Intune 管理拡張実行フローが元に戻され、まず PowerShell スクリプトを処理し、それから Win32 アプリを実行するようになりました。
  • 登録ステータス ページ (ESP) のタイムアウト問題を解決するため、PowerShell スクリプトは 30 分後にタイムアウトします。 以前は、60 分後にタイムアウトになりました。

詳細については、「Intune で Windows 10 デバイスに対して PowerShell スクリプトを使用する」を参照してください。

デバイスの構成

Android Enterprise 専用デバイスで使用可能な電源メニュー、ステータス バーの通知、より制限の厳しい設定

Intune に登録された Android Enterprise 専用デバイスでシングルまたはマルチ アプリ キオスク モードを実行している場合、次のことが可能になります。

  • 電源メニュー、システム エラーの警告、[設定] アプリへのアクセスを制限する。
  • ユーザーに [ホーム] および [概要] ボタンと通知を表示するかどうかを選択する。

これらの設定を構成するには、デバイス制限構成プロファイルを作成します ( [デバイス] > [構成プロファイル] > [プロファイルの作成] > (プラットフォームとして) [Android Enterprise] > [フル マネージド、専用、会社所有の仕事用プロファイル] > [デバイスの制限] > 全般 )。

これらの設定の詳細と、構成可能なその他の設定については、「Intune を使用して機能を許可または制限するように Android エンタープライズ デバイスを設定する」を参照してください。

適用対象:

  • Android Enterprise 専用デバイス

iOS/iPadOS デバイスでのアプリ通知に対する新しいプレビュー表示設定

iOS/iPadOS デバイスには、 [Show Previews](プレビューの表示) 設定があります ( [デバイス] > [構成プロファイル] > [プロファイルの作成] > プラットフォームとして [iOS/iPadOS] > プロファイルとして [デバイス機能] > [アプリの通知] )。 最近のアプリ通知のプレビューをデバイスに表示するときは、この設定を使用します。

アプリ通知の設定および構成できる他の設定の詳細については、iOS/iPadOS の一般的な機能を使用するためのデバイスの設定に関するページを参照してください。

iOS 用 Microsoft Tunnel でのオンデマンド ルール

Microsoft Tunnel で iOS/iPad デバイス向けオンデマンド ルールがサポートされるようになりました。 オンデマンド ルールを使用すると、特定の FQDN または IP アドレスに対する条件が満たされたときに VPN を使用することを指定できます。

Microsoft Tunnel を使用して iOS/iPadOS のオンデマンド ルールを構成するには、デバイス構成ポリシーの一部として iOS/iPadOS 用 VPN プロファイルを構成します。 プロファイルの " [構成設定] " ページで、" [接続の種類] " として " [Microsoft Tunnel] " を選択すると、オンデマンド VPN ルール を構成するためにアクセスできるようになります。

構成できるオンデマンド VPN ルールについては、自動 VPN 設定に関するページを参照してください。

適用対象:

  • iOS/iPadOS

Windows 10 以降のデバイスでの Wi-Fi プロファイルに関するその他の認証設定

Windows 10 以降を実行しているデバイスでの Wi-Fi プロファイルに関する新しい設定と機能 ( [デバイス] > [デバイス構成] > [プロファイルの作成] > (プラットフォームとして) [Windows 10 以降] > (プロファイルとして) [Wi-Fi] > [Enterprise] ):

  • [認証モード] : ユーザー、デバイスを認証するか、またはゲスト認証を使用します。

  • [ログオンするたびに資格情報を記憶する] :VPN に接続するたびに資格情報を入力するようにユーザーに強制します。 または、ユーザーが資格情報を 1 回入力するだけで済むように、資格情報をキャッシュします。

  • 次のような認証動作をより細かく制御します。

    • 認証期間
    • 認証の再試行の待ち時間
    • 開始期間
    • EAPOL 開始メッセージの最大数
    • 認証エラーの最大数
  • [Use separate VLANs for device and user authentication](デバイスとユーザーの認証に個別の VLAN を使用する) : シングル サインオンを使用する場合、Wi-Fi プロファイルでは、ユーザーの資格情報に基づいて別の仮想 LAN を使用できます。 Wi-Fi サーバーでこの機能をサポートする必要があります。

これらの設定と構成できるすべての設定を確認するには、「Intune での Windows 10 以降のデバイス向けの Wi-Fi 設定の追加」を参照してください。

適用対象:

  • Windows 10 以降

デバイス管理

個人所有の仕事用プロファイルの用語

混乱を避けるため、"仕事用プロファイル" という Android Enterprise 管理シナリオの用語が、Intune のドキュメントやユーザー インターフェイスの全体で、"仕事用プロファイルを使用する個人所有デバイス" または "個人所有の仕事用プロファイル" に変更されます。 これは、それを "会社所有の仕事用プロファイル" (COPE) 管理シナリオと区別するためです。

Windows Autopilot for HoloLens 2 (プレビュー)

Windows Autopilot for HoloLens 2 デバイスは現在、パブリック プレビュー段階です。 管理者は、フライト化するために自分のテナントを登録する必要がなくなりました。 HoloLens での Autopilot の使用の詳細については、Windows Autopilot for HoloLens 2に関する記事を参照してください。

iOS 11 のサポートの終了

Intune の登録とポータル サイトで、iOS バージョン 12 以降がサポートされるようになりました。 以前のバージョンはサポートされませんが、ポリシーは引き続き受け取られます。

macOS 10.12 のサポートの終了

macOS Big Sur がリリースされたため、Intune の登録とポータル サイトで macOS 10.13 以降がサポートされるようになりました。 以前のバージョンはサポートされません。

デバイス セキュリティ

エンドポイント セキュリティのデバイス制御プロファイルの新しい設定

エンドポイント セキュリティの攻撃の回避ポリシーの デバイス制御プロファイルに、新しい設定 [Block write access to removable storage](リムーバブル記憶域への書き込みアクセスをブロックする) が追加されました。 " [はい] " に設定すると、リムーバブル記憶域への書き込みアクセスがブロックされます。

攻撃の回避規則プロファイルの設定の機能強化

エンドポイント セキュリティの攻撃の回避ポリシーの一部である攻撃の回避規則プロファイルの適用可能な設定のオプションを更新しました。

" [無効] " および " [有効] " などの既存のオプションに設定全体の一貫性を持たせ、新しいオプション " [警告] " を追加しました。

  • [警告] - Windows 10 バージョン 1809 以降が実行されているデバイスでは、デバイス ユーザーは、設定をバイパスできるメッセージを受け取ります。 たとえば、設定 " [Adobe Reader による子プロセスの作成をブロックする] " では、" [警告] " のオプションにより、そのブロックをバイパスし、Adobe Reader で子プロセスを作成できるオプションがユーザーに提供されます。 以前のバージョンの Windows 10 を実行するデバイスでは、この規則により、それをバイパスするオプションを使用しない場合の動作が強制されます。

エンドポイント セキュリティの攻撃の回避ポリシーのデバイス制御プロファイルでの USB デバイス ID に対するポリシー結合のサポート

エンドポイント セキュリティの攻撃の回避ポリシーに対する デバイス制御プロファイルに、USB デバイス ID の "ポリシー結合" のサポートが追加されました。 ポリシーの結合では、"デバイス制御" プロファイルからの次の設定が評価されます。

  • デバイス識別子によるハードウェア デバイス インストールを許可する
  • デバイス識別子によるハードウェア デバイス インストールをブロックする
  • セットアップ クラスによるハードウェア デバイス インストールを許可する
  • セットアップ クラスによるハードウェア デバイス インストールをブロックする
  • デバイス インスタンス識別子によるハードウェア デバイス インストールを許可する
  • デバイス インスタンス識別子によるハードウェア デバイス インストールをブロックする

ポリシーの結合は、デバイスに適用されるさまざまなプロファイルの各設定の構成に適用されます。 2 つの設定が密接に関連している場合でも、異なる設定間の評価は含まれません。

結合の詳細な例、およびサポートされる各設定に対する許可およびブロックリストが結合されてデバイスで適用される方法の詳細については、デバイス制御プロファイルの設定のポリシー結合に関するページを参照してください。

エンドポイント セキュリティの強化されたウイルス対策状態操作レポート

エンドポイント セキュリティ ポリシー レポートである Windows Defender ウイルス対策のウイルス対策の状態操作レポートに、新しい詳細が追加されました。

各デバイスについて、次の新しい情報列を利用できます。

  • [製品の状態] - デバイス上の Windows Defender の状態。
  • [改ざん保護] - 改ざん保護が有効であるか無効であるか。
  • [仮想マシン] - デバイスが仮想マシンであるか物理デバイスであるか。

攻撃の回避規則に対する規則の結合の改善

デバイスごとにポリシーのスーパーセットを作成するために、攻撃の回避規則で、さまざまなポリシー設定のマージャーの新しい動作がサポートされるようになりました。 競合していない設定のみがマージされ、競合しているものは規則のスーパーセットに追加されません。 以前は、1 つの設定で 2 つのポリシーが競合していた場合、両方のポリシーに競合しているというフラグが設定され、どちらのプロファイルの設定も展開されませんでした。

攻撃面の減少規則のマージ動作は次のとおりです。

  • 次のプロファイルからの攻撃の回避規則は、規則が適用されるデバイスごとに評価されます。
    • [デバイス] > [構成ポリシー] > [Endpoint Protection プロファイル] > [Microsoft Defender Exploit Guard] > [攻撃の回避]
    • [エンドポイント セキュリティ] > 攻撃の回避ポリシー > 攻撃の回避規則
    • エンドポイント セキュリティ > セキュリティ ベースライン > Microsoft Defender for Endpoint ベースライン > 攻撃面の減少規則
  • 競合がない設定は、デバイス用のポリシーのスーパーセットに追加されます。
  • 2 つ以上のポリシーの設定が競合している場合、競合する設定は結合されたポリシーに追加されませんが、競合しない設定は、デバイスに適用されるスーパーセット ポリシーに追加されます。
  • 競合する設定の構成のみが抑制されます。

MVISION Mobile - 新しい Mobile Threat Defense パートナー

MVISION Mobile (Microsoft Intune に統合できる McAfee のモバイル脅威防御ソリューション) によって実行されるリスク評価に基づき、条件付きアクセスを利用して、モバイル デバイスから企業リソースへのアクセスを制御できます。

監視とトラブルシューティング

構成プロファイルに関する問題のトラブルシューティングに役立つ新しい Intune 運用レポート

デバイスの対象となっている構成プロファイルのエラーや競合のトラブルシューティングを行うために、新しい 割り当て失敗 運用レポートをパブリック プレビューで使用できます。 このレポートには、テナントの構成プロファイルの一覧と、エラーまたは競合の状態にあるデバイスの数が表示されます。 この情報を使用して、プロファイルにドリルダウンし、プロファイルに関連するエラー状態のデバイスとユーザーの一覧を表示できます。 また、さらにドリルダウンして、設定の一覧や、エラーの原因に関連する設定の詳細を表示できます。 レポート全体のすべてのレコードのフィルター処理、並べ替え、検索を行うことができます。 このレポートは、Microsoft エンドポイント マネージャー管理センターで、 [デバイス] > [監視] > [Assignment failures (preview)](割り当て失敗 (プレビュー)) を選択すると参照できます。 Intune でのレポートの詳細については、「Intune レポート」を参照してください。

Azure Virtual Desktop VM に関するレポートの更新

次の設定は、ポリシー レポートで [適用なし] としてマークされます。

  • BitLocker 設定
  • デバイスの暗号化
  • Defender Application Guard の設定
  • Defender 改ざん保護
  • Wi-Fi プロファイル

エラーまたは非準拠のデバイスをトラブルシューティングするための非準拠ポリシー レポート

プレビューでは、新しい 非準拠ポリシー レポートは、デバイスを対象とするコンプライアンス ポリシーのエラーと競合のトラブルシューティングに役立つ運用レポートです。 非準拠ポリシー レポートには、エラーまたはポリシーに準拠していない状態の 1 つまたは複数のデバイスがあるコンプライアンス ポリシーの一覧が表示されます。

このレポートを使用して、次のことを行います。

  • 準拠していないまたはエラー状態であるデバイスがあるデバイス コンプライアンス ポリシーを表示し、エラー状態のデバイスとユーザーの一覧のビューをドリルインする。
  • さらにドリルダウンして、設定の一覧と、エラーの原因になった設定の情報を表示する。
  • レポート内のすべてのレコードのフィルター処理、並べ替え、検索を行います。 ページング コントロールを追加し、csv ファイルへのエクスポート機能を改善しました。
  • 問題が発生していることを認識し、トラブルシューティングを効率化します。

デバイスのコンプライアンスの監視に関する詳細については、「Intune デバイスのコンプライアンス対応ポリシーの監視」を参照してください。

2020 年 10 月

アプリ管理

登録が利用不可に設定されている場合は、登録を必要とするアプリが非表示になる

[登録済みデバイスで使用可能] および [必須] の意図が割り当てられたアプリは、デバイス登録の設定が [利用不可] に設定されているユーザーのポータル サイトに表示されません。 この変更は、アプリ保護ポリシー (MAM-WE) を使用する未登録デバイスなどの未登録のデバイスから、ポータル サイト アプリまたは Web サイトを表示する場合にのみ適用されます。 登録済みデバイスからポータル サイトを見ているユーザーには、アプリが引き続き表示されます。 [デバイスの登録] 設定の値は関係ありません。 詳細については、「デバイス登録設定のオプション」を参照してください。

iOS ポータル サイトのプライバシー メッセージのカスタマイズの機能強化

iOS ポータル サイトでプライバシー メッセージをカスタマイズする機能が強化されています。 組織で "表示できない" ものをカスタマイズできる以前のサポートに加えて、iOS ポータル サイトでエンド ユーザーに表示されるプライバシー メッセージで組織が "表示できる" ものもカスタマイズできるようになりました。 この機能をサポートするには、表示可能な内容に関するカスタマイズされたメッセージを確認するために、デバイス上で少なくともポータル サイト バージョン 4.11 が実行されている必要があります。 この機能は、Microsoft エンドポイント マネージャー管理センター[テナント管理] > [カスタマイズ] を選択することで使用できます。 関連情報については、ポータル サイトでプライバシー メッセージを参照してください。

COPE デバイスでの Android アプリ保護ポリシー (MAM)

新しく追加されたモバイル アプリケーション管理 (MAM) のサポートを使用すると、Android Enterprise の仕事用プロファイルを使用する会社所有デバイス (COPE) で Android アプリ保護ポリシーが有効になります。 アプリ保護ポリシーの詳細については、アプリ保護ポリシーの概要に関するページを参照してください。

Android デバイスのポータル サイト バージョンの最大経過期間

Android デバイスのポータル サイト (CP) バージョンの有効期間を最大経過日数として設定できます。 この設定により、エンド ユーザーが特定の範囲 (日数) の CP リリースを使用するようになります。 デバイスの設定が満たされていない場合、この設定に対して選択したアクションがトリガーされます。 アクションには アクセスのブロックデータのワイプ、または 警告 が含まれます。 この設定は、Microsoft エンドポイント マネージャー管理センターで、 [アプリ] > [アプリ保護ポリシー] > [ポリシーの作成] を選択することで見つかります。 [ポータル サイト バージョンの最大経過期間 (日数)] の設定は、 [条件付き起動] ステップの [デバイスの条件] セクションで使用できます。 詳細については、Android アプリ保護ポリシー設定 - 条件付き起動に関する記事をご覧ください。

Mac LOB アプリが macOS 11 以降でマネージド アプリとしてサポートされる

macOS 11 以降にデプロイされる Mac 基幹業務 (LOB) アプリ用に構成できる [管理対象としてインストールする] アプリ プロパティが、Intune でサポートされます。 この設定を有効にすると、Mac LOB アプリはサポートされているデバイス (macOS 11 以降) にマネージド アプリとしてインストールされます。 マネージド基幹業務アプリは、サポートされているデバイス (macOS 11 以降) で割り当ての種類の アンインストール を使用して削除できます。 さらに、MDM プロファイルを削除すると、すべてのマネージド アプリがデバイスから削除されます。 Microsoft エンドポイント マネージャー管理センターで、 [アプリ] > [macOS] > [追加] を選択します。 アプリを追加する方法の詳細については、「Microsoft Intune にアプリを追加する」を参照してください。

Outlook S/MIME メールを常に署名または暗号化できるようにする

iOS/iPadOS、および Android Enterprise デバイス用のアプリ構成で Outlook メール プロファイルを作成するときに、Outlook S/MIME メールが常に署名または暗号化されるようにすることができます。 この設定は、Outlook アプリ構成ポリシーを作成するときに、 [マネージド デバイス] を選択すると使用できます。 この設定は、Microsoft エンドポイント マネージャー管理センターで、 [アプリ] > [アプリ構成ポリシー] > [追加] > [マネージド デバイス] を選択することで見つかります。 関連情報については、「Microsoft Intune 用アプリ構成ポリシー」を参照してください。

Workplace Join (WPJ) デバイスの Win32 アプリ サポート

Workplace Join (WPJ) デバイスで既存の Win32 アプリがサポートされています。 WPJ デバイスでこれまでサポートされていなかった PowerShell スクリプトを WPJ デバイスにデプロイできるようになりました。 具体的には、デバイス コンテキストの PowerShell スクリプトは WPJ デバイスで機能しますが、ユーザー コンテキストの PowerShell スクリプトは設計上、無視されます。 ユーザー コンテキスト スクリプトは WPJ デバイスで無視され、Microsoft エンドポイント マネージャー コンソールに報告されません。 PowerShell の詳細については、「Intune で Windows 10 デバイスに対して PowerShell スクリプトを使用する」を参照してください。

デバイスの構成

デバイス ファームウェア構成インターフェイス (DFCI) の一般提供

DFCI はオープンソースの Unified Extensible Firmware Interface (UEFI) フレームワークです。 これを使うと、Microsoft エンドポイント マネージャーを使用して Windows Autopilot デバイスの UEFI (BIOS) 設定を安全に管理できるようになります。 また、エンド ユーザーによるファームウェア構成の制御も制限されます。

従来の UEFI 管理とは異なり、DFCI ではサードパーティのソリューションを管理する必要がありません。 また、Microsoft エンドポイント マネージャーを使用してクラウド管理を行うことで、ゼロタッチのファームウェア管理も提供されます。 DFCI では、承認のために既存の Windows Autopilot デバイス情報もアクセスされます。

この機能の詳細については、Intune で Windows デバイスの DFCI プロファイルを使用する方法に関する記事を参照してください。

重要

Endpoint Manager admin center での DFCI ポリシーの報告が想定どおりに動作していませんでした。 すべてのポリシーで "保留中" 状態が報告されました。 この動作は修正されています。

Android Enterprise の基本 Wi-Fi プロファイルで [自動的に接続する] の設定を使用する

Android Enterprise デバイスでは、接続名などの一般的な Wi-Fi 設定が含まれる基本 Wi-Fi プロファイルを作成できます。 デバイスが範囲内にあるときは Wi-Fi ネットワークに自動的に接続するように、設定 [自動的に接続する] を構成できます。

これらの設定を確認するには、「Microsoft Intune で Android Enterprise の専用デバイスおよびフル マネージド デバイス用の Wi-Fi 設定を追加する」を参照してください。

適用対象:

  • Android Enterprise のフル マネージド、専用、会社所有の仕事用プロファイル

関連付けられたドメインを使用する macOS デバイスでの新しいユーザー エクスペリエンスと、直接ダウンロードを有効にする新しい設定

macOS デバイスで関連付けられたドメインの構成プロファイルを作成すると、ユーザー エクスペリエンスが更新されます ( [デバイス] > [構成プロファイル] > [プロファイルの作成] > プラットフォームとして [macOS] > プロファイルとして [デバイス機能] > [関連付けられたドメイン] )。 引き続き、アプリ ID とドメインを入力します。

ユーザーが承認したデバイス登録またはデバイスの自動登録を使用して登録されている、macOS 11 以降の監視対象デバイスでは、 [Enable direct download](直接ダウンロードを有効にする) の設定を使用できます。 直接ダウンロードを有効にすると、コンテンツ配信ネットワーク (CDN) 経由でダウンロードするのではなく、ドメイン データをデバイスから直接ダウンロードすることができます。

詳細については、macOS デバイスでの関連付けられたドメインに関するページを参照してください。

適用対象:

  • macOS 11 以降 (監視モード)

macOS デバイスでの新しいロックアウト パスワードの設定

新しい設定は、macOS パスワード プロファイルを作成するときに使用できます ( [デバイス] > [構成プロファイル] > [プロファイルの作成] > プラットフォームとして [macOS] > プロファイルとして [デバイスの制限] > [パスワード] )。

  • [許可されるサインインの最大試行回数] : デバイスがロックアウトされる前に、ユーザーが連続してサインインを試行できる最大回数は、2 - 11 回です。 この値には、大きめの数値を設定します。 間違いはよくあることなので、この値を 2 または 3 に設定することはお勧めしません。

    すべての登録の種類に適用されます。

  • [ロックアウト期間] : ロックアウトの継続時間を選択します (分単位)。 デバイスがロックアウトされている間、サインイン画面は非アクティブになり、ユーザーはサインインできません。 ロックアウト期間が終了すると、ユーザーは再びサインインできるようになります。 この設定を使用するには、設定 [許可されるサインインの最大試行回数] を構成します。

    macOS 10.10 以降の、すべての登録の種類に適用されます。

これらの設定を確認するには、macOS パスワード デバイスの制限に関するページを参照してください。

適用対象:

  • macOS

Android Enterprise デバイスで必要なパスワードの種類の既定の設定が変更されている

Android Enterprise デバイスでは、 [必要なパスワードの種類] を設定するデバイス パスワード プロファイルを作成できます ( [デバイス] > [構成プロファイル] > [プロファイルの作成] > プラットフォームとして [Android Enterprise] > [フル マネージド、専用、会社所有の仕事用プロファイル] > [デバイスの制限] > [デバイスのパスワード] )。

[必要なパスワードの種類] の設定の既定値は、 [数値] から [デバイスの既定値] に変更されています。

既存のプロファイルには影響ありません。 新しいプロファイルでは、 [デバイスの既定値] が自動的に使用されます。

[デバイスの既定値] が選択されていると、ほとんどのデバイスでパスワードは不要です。 デバイスでパスコードを設定するようユーザーに要求する場合は、 [必要なパスワードの種類] の設定を、 [デバイスの既定値] より安全なものに構成します。

制限できる設定を確認するには、機能を許可または制限するための Android エンタープライズ デバイスの設定に関するページを参照してください。

適用対象:

  • Android エンタープライズ

macOS Microsoft Enterprise SSO プラグインを構成する

重要

macOS では、Microsoft Azure AD SSO 拡張機能は Intune ユーザー インターフェイスに表示されますが、想定どおりに動作しませんでした。 この機能は現在動作しており、パブリック プレビューで使用できます。

Microsoft Azure AD チームは、リダイレクト シングル サインオン (SSO) アプリ拡張機能を作成しました。 このアプリ拡張機能を使用すると、macOS 10.15 以上のユーザーは、Apple の SSO 機能をサポートする Microsoft アプリ、組織のアプリ、および Web サイトにアクセスできます。 1 回のサインオンで、Azure AD を使用して認証されます。

Microsoft Enterprise SSO プラグインのリリースに伴い、Intune の新しい Microsoft Azure AD アプリ拡張機能の種類を使用して SSO 拡張機能を構成できるようになります ( [デバイス] > [構成プロファイル] > [プロファイルの作成] > [macOS] (プラットフォーム) > [デバイスの機能] (プロファイル) > [シングル サインオン アプリの拡張機能] > [SSO アプリ拡張機能の種類] > [Microsoft Azure AD] )。

Microsoft Azure AD SSO アプリ拡張機能の種類を使用した SSO を取得するには、ユーザーが各自の macOS デバイスにポータル サイト アプリをインストールしてサインインする必要があります。

macOS SSO アプリ拡張機能について詳しくは、「シングル サインオン アプリ拡張機能」をご覧ください。

適用対象:

  • macOS 10.15 以降

デバイスの制限プロファイルでのパスワード設定の変更 (Android デバイス管理者向け)

最近、"Android デバイス管理者" 向けの デバイス コンプライアンス ポリシーおよび デバイスの制限の新しい設定として、"パスワードの複雑さ" が追加されました。 両方の種類のポリシーの設定において、UI にさらなる変更が加えられました。これにより、Intune は Android バージョン 10 以降でのパスワードの変更に対応できるようになります。 これらの変更により、パスワードの設定が引き続きデバイスに適用されるようになります。

これらの 2 種類のポリシーに関するパスワード設定について、Intune UI に次の変更が加えられています。これらの変更は、既存のプロファイルには影響を与えません。

  • 設定が適用されるデバイスのバージョン (Android 9 以前、Android 10 以降など) に基づくセクションに、設定が再構成されている。
  • UI のラベルおよびサンプル テキストが更新されている。
  • "数字" か "アルファベット"、または "英数字" としての PIN の参照が明確化されている。

適用対象:

  • Android デバイス管理者

新しいバージョンの PFX Certificate Connector

PFX Certificate Connector の新しいバージョン (バージョン 6.2008.60.612) がリリースされました。 この新しいコネクタのバージョン:

  • Android Enterprise のフル マネージド デバイスへの PKCS 証明書の配信に関する問題が修正されます。 この問題では、暗号化キー格納プロバイダー (KSP) がレガシ プロバイダーである必要がありました。 Cryptographic Next Generation (CNG) キー格納プロバイダーも使用できるようになりました。
  • PFX Certificate Connector の [CA アカウント] タブに対する変更:指定したユーザー名とパスワード (資格情報) は、証明書の発行と証明書の失効に使用されるようになりました。 以前は、これらの資格情報は証明書の失効のみに使用されていました。

両方の証明書コネクタのコネクタ リリースの一覧など、証明書コネクタの詳細については、証明書コネクタに関するページを参照してください。

デバイスの登録

Azure Active Directory 共有デバイスのプロビジョニングの Intune によるサポート

Intune で、Microsoft Authenticator を自動的に Azure AD 共有デバイス モードに構成した Android Enterprise 専用デバイスをプロビジョニングできるようになりました。 この登録の種類を使用する方法の詳細については、「Android Enterprise 専用デバイスの Intune 登録を設定する」を参照してください。

新規および更新された計画、セットアップ、および登録の展開ガイド

既存の計画および移行ガイドは書き換えられ、新しいガイダンスに沿って更新されています。 Intune のセットアップと、Android、iOS/iPadOS、macOS、および Windows デバイスの登録に焦点を当てた新しい展開ガイドもあります。

詳細については、概要のページを参照してください。

デバイス セキュリティ

Microsoft Tunnel の更新プログラム

新しいバージョンの Microsoft Tunnel ゲートウェイがリリースされました。これには次のような変更が含まれます。

Tunnel ゲートウェイ サーバーは、新しいリリースに自動的に更新されます。

追加のパートナー向けの Android、iOS/iPadOS でのアプリ保護ポリシーのサポート

2019 年 10 月に、Intune アプリ保護ポリシーに、Microsoft の脅威防御パートナーのデータを使用する機能が追加されました。

この更新により、アプリ保護ポリシーを使用することでデバイスの正常性に基づいてユーザーの企業データをブロックまたは選択的に消去できるように、次の 2 つのパートナーに対してこのサポートを拡張しています。

  • Android、iOS、および iPadOS 上での Check Point Sandblast
  • Android、iOS、および iPadOS 上での Symantec Endpoint Security

詳細については、「Intune で Mobile Threat Defense アプリ保護ポリシーを作成する」をご覧ください。

エンドポイント マネージャーのセキュリティ タスクに Microsoft Defender for Endpoint TVM の正しく構成されていない設定の詳細が含まれる

Microsoft エンドポイント マネージャーのセキュリティ タスクに、脅威と脆弱性の管理 (TVM) によって検出された構成の誤りが報告され、修復の詳細が提供されるようになりました。 Intune に報告される構成の誤りは、修復ガイダンスを提供できる問題に限定されます。

TVM は、Microsoft Defender for Endpoint の一部です。 この更新より前は、TVM の詳細にはアプリケーションの詳細と修復手順のみが含まれていました。

セキュリティ タスクを表示すると、問題の種類を識別する [修復の種類] という名前の新しい列があります。

  • アプリケーション – 脆弱なアプリケーションと修復手順。 これは、この更新プログラムより前はセキュリティ タスクで使用できました。
  • 構成 – TVM からの詳細の新しいカテゴリで、構成の誤りを特定し、それらを修復するための手順が提供されます。

セキュリティ タスク詳細については、「Intune を使用して Microsoft Defender for Endpoint によって検出された脆弱性を修復する」を参照してください。

テナントにアタッチされているデバイスのエンドポイント セキュリティ ファイアウォール ポリシー

パブリック プレビューとして、エンドポイント セキュリティのファイアウォール用ポリシーを、Configuration Manager で管理しているデバイスに展開することができます。 このシナリオでは、サポートされているバージョンの Configuration Manager と Intune サブスクリプションの間に、テナントの接続を構成する必要があります。

テナントに接続されているデバイスのファイアウォール ポリシーは、Windows 10 以降 を実行するデバイスでサポートされており、お使いの環境でコンソール内の修正プログラム KB4578605 を適用した Configuration Manager Current Branch 2006 を実行している必要があります。

詳細については、テナントの接続をサポートするための Intune エンドポイント セキュリティ ポリシーの要件に関する記事を参照してください。

ブロックと許可リストを使用してハードウェア デバイスのインストールを管理するための拡張設定

エンドポイント セキュリティの 攻撃の回避ポリシーの一部である デバイス制御 プロファイルにおいて、ハードウェア デバイスのインストールを管理するための設定が変更および拡張されました。 "デバイス ID"、"セットアップ クラス"、および "インスタンス識別子" を使用して "ブロックリスト" を定義し、"許可リスト" を分離するための設定が見つかります。 次の 6 つの設定を使用できるようになりました。

  • デバイス識別子によるハードウェア デバイス インストールを許可する
  • デバイス識別子によるハードウェア デバイス インストールをブロックする
  • セットアップ クラスによるハードウェア デバイス インストールを許可する
  • セットアップ クラスによるハードウェア デバイス インストールをブロックする
  • デバイス インスタンス識別子によるハードウェア デバイス インストールを許可する
  • デバイス インスタンス識別子によるハードウェア デバイス インストールをブロックする

これらの各設定には、 [はい][いいえ][未構成] というオプションがサポートされています。 [はい] を構成した場合は、その設定のブロックまたは許可リストを定義できます。 デバイスでは、許可リストに指定されているハードウェアをインストールまたは更新できます。 ただし、その同じハードウェアがブロックリストに指定されている場合、許可リストよりもブロックが優先され、ハードウェアのインストールまたは更新は禁止されます。

エンドポイント セキュリティのファイアウォール規則の機能強化

エンドポイント セキュリティ ファイアウォール ポリシーの "Microsoft Defender ファイアウォール規則" プロファイルのファイアウォール規則を構成するためのエクスペリエンスで、機能強化のためのいくつかの変更が行われました。

機能強化は次のとおりです。

  • ビューを整理するためのセクション ヘッダーなど、UI の改善されたレイアウト。
  • 説明フィールドの制限文字数の増加。
  • IP アドレス エントリの確認。
  • IP アドレス リストの並べ替え。
  • IP アドレス リストからエントリをクリアするときに、アドレスを "すべて選択" するためのオプション。

iOS 用のコンプライアンス ポリシーでエンドポイントに対して Microsoft Defender を使用する

パブリック プレビューとして、Intune のデバイス コンプライアンス ポリシーを使用して、iOS デバイスを Microsoft Defender for Endpoint にオンボードできるようになりました。

登録済みの iOS/iPadOS デバイスをオンボードした後は、iOS 用のコンプライアンス ポリシーで、Microsoft Defender の "脅威レベル" シグナルを使用できます。 これらは、Android および Windows 10 のデバイスで使用できるものと同じシグナルです。

年末までに、iOS アプリ用 Defender は、パブリック プレビューから一般提供に移行します。

エンドポイント セキュリティ ウイルス対策ポリシーのセキュリティ エクスペリエンス プロファイルで 3 状態オプションを使用可能

エンドポイント セキュリティ ウイルス対策ポリシーの Windows セキュリティ エクスペリエンス プロファイルでの設定に、3 番目の構成の状態が追加されました。 この更新は、Windows 10 以降の Windows セキュリティ エクスペリエンスに適用されます。

たとえば、以前の設定に [未構成][はい] が提供されていた場合、プラットフォームでサポートされていれば、 [いいえ] という追加オプションを使用できるようになりました。

Edge セキュリティ ベースラインの更新バージョン

新しい Edge 用セキュリティ ベースラインが Intune に追加されました。2020 年 9 月 (Edge バージョン 85 以降)。

ベースラインの更新バージョンでは、それぞれの製品チームが推奨するベストプラクティスの構成を維持するのに役立つ最新の設定がサポートされます。

バージョン間の変更点について理解するために、「ベースラインのバージョンを比較する」を参照し、変更内容が示された .CSV ファイルのエクスポート方法について学習してください。

新しいバージョンの Microsoft Tunnel

新しいバージョンの Microsoft Tunnel ゲートウェイがリリースされました。 この新しいバージョンには、次の変更が含まれています。

  • Microsoft Tunnel によって、syslog 形式で Linux サーバー ログに操作および監視の詳細が記録されるようになりました。 Tunnel サーバーで journalctl -t コマンド ラインを実行すると、Microsoft Tunnel システム ログを表示できます。
  • さまざまなバグを修正しました。

監視とトラブルシューティング

新しい Windows 10 の機能更新プログラムのエラー レポート

Feature update failures (機能更新プログラム エラー) 運用レポートでは、Windows 10 の機能更新プログラム ポリシーがあり、更新が試行されたターゲットのデバイスについてエラーの詳細が提供されます。 Microsoft エンドポイント マネージャー管理センターで、 [デバイス] > [監視] > [機能更新プログラムのエラー] の順に選択して、このレポートを表示します。 詳細については、機能更新プログラムのエラー レポートに関するページを参照してください。

ウイルス対策レポートに対する更新

Antivirus agent status (ウイルス対策エージェントの状態) レポート と、Detected malware (検出されたマルウェア) レポートの両方が更新されています。 これらのレポートには、データの視覚化が表示されるようになり、追加の情報列 (SignatureUpdateOverdueMalwareIDdisplayName、および InitialDetectionDateTime) が提供されます。 また、Antivirus agent status (ウイルス対策エージェントの状態) レポートにはリモート アクションも含まれています。 詳細については、Antivirus agent status (ウイルス対策エージェントの状態) レポートDetected malware (検出されたマルウェア) レポートに関するセクションを参照してください。

Microsoft エンドポイント マネージャーのヘルプとサポートの更新

ヘルプとサポートのエクスペリエンスに機械学習が使用され、問題の解決に役立つソリューション、診断、分析情報が表示されます。 Microsoft エンドポイント マネージャー管理センターのヘルプとサポートのページが更新されました。これにより、より簡単に移動できて一貫性のある、新しい UX エクスペリエンスが提供されます。 新しい UX がコンソールのすべてのブレードにロールアウトされ、より関連性の高いヘルプを表示するのに役立ちます。

管理センター内から、次のクラウドベースのサービスについて、更新および統合されたサポート エクスペリエンスを確認できます。

  • Intune
  • 構成マネージャー
  • 共同管理
  • Microsoft マネージド デスクトップ

スクリプト

Intune トラブルシューティング ウィンドウに PowerShell スクリプトを表示する

割り当てられている PowerShell スクリプトをトラブルシューティング ウィンドウに表示できるようになりました。 PowerShell スクリプトを使用すると、Windows 10 クライアントと Intune との通信が提供され、高度なデバイス構成やトラブルシューティングなどのエンタープライズ管理タスクを実行できます。 詳細については、「Intune で Windows 10 デバイスに対して PowerShell スクリプトを使用する」を参照してください。

管理対象の Mac でシェル スクリプトを使用してカスタム デバイスまたはユーザーのプロパティを収集する

カスタム属性プロファイルを作成し、シェル スクリプトを使用して管理対象の macOS デバイスからカスタム プロパティを収集することができます。 この機能は、Microsoft エンドポイント マネージャー管理センター[デバイス] > [macOS] > [カスタム属性] を選択することで見つかります。 関連情報については、「Intune で macOS デバイスに対してシェル スクリプトを使用する」を参照してください。

2020 年 9 月

アプリ管理

Android 用ポータル サイトでの仕事用プロファイル メッセージングの改善

以前は [まだ途中です] というタイトルだったポータル サイトの画面 が更新され、仕事用プロファイルの管理のしくみの説明が改善されました。 ユーザーが仕事用プロファイルの登録を既に終了した後に、個人プロファイルでポータル サイトを再び有効にすると、この画面が表示されます。 また、Android 仕事用プロファイルを使用した登録に関するヘルプ ドキュメントに示されているように、Android OS のバージョンによっては、仕事用プロファイルの登録中にこの画面が表示されることもあります。

Windows ポータル サイトでの Azure AD Enterprise と Office Online アプリケーションの統合配信

2006 リリースでは、ポータル Web サイトでの Azure AD Enterprise と Office Online アプリケーションの統合配信を発表しました。 この機能は、Windows ポータル サイトでサポートされています。 Intune の [カスタマイズ] ウィンドウで、Azure AD Enterprise アプリケーションOffice Online アプリケーション の両方を、Windows ポータル サイトで [非表示] または [表示] することを選択します。 各エンド ユーザーには、選択された Microsoft サービスによるアプリケーション カタログ全体が表示されます。 既定では、追加のアプリ ソースがそれぞれ [非表示] に設定されるようになります。 この構成設定を見つけるには、Microsoft Endpoint Manager 管理センターで、 [テナント管理] > [カスタマイズ] の順に選択します。 関連情報については、「Intune ポータル サイト アプリ、ポータル サイト Web サイト、および Intune アプリをカスタマイズする方法」を参照してください。

リッチ テキストを使用する Windows ポータル サイト アプリの説明

マークダウンを使用することで、Windows ポータル サイトでリッチ テキストを使ってアプリの説明を表示できるようになりました。 ポータル サイトの詳細については、「Intune ポータル サイト アプリ、ポータル サイト Web サイト、および Intune アプリをカスタマイズする方法」をご覧ください。

管理者は、アプリ保護ポリシーを使用して、受信した組織データの場所を構成することができます

組織ドキュメント内に開くことが許可されている信頼できるデータ ソースを制御できるようになりました。 既存の [組織データのコピーを保存] アプリ保護ポリシー オプションと同様に、信頼されている受信データの場所を定義することができます。 この機能は、次のアプリ保護ポリシーの設定に関連しています。

  • 組織データのコピーを保存
  • データを開いて組織ドキュメントに読み込む
  • 選択したサービスからデータを開くことをユーザーに許可する

Microsoft Endpoint Manager admin center で、 [アプリ] > [アプリ保護ポリシー] > [ポリシーの作成] の順に選択します。 この機能を使用するには、Intune ポリシー マネージド アプリケーションで、この制御のサポートを実装する必要があります。 詳細については、「iOS アプリ保護ポリシー設定」と「Android アプリ保護ポリシー設定」をご覧ください。

デバイス構成

COPE プレビュー更新プログラム : 仕事用プロファイルを使用する Android Enterprise 企業所有デバイスに対して、仕事用プロファイルのパスワードに関する要件を作成するための新しい設定

新しい設定では、管理者は、仕事用プロファイルを使用する Android Enterprise 会社所有デバイスに対して、仕事用プロファイルのパスワードに関する要件を設定できるようになりました。

  • 必要なパスワードの種類
  • パスワードの最小文字数
  • パスワードの有効期限が切れるまでの日数
  • ユーザーがあるパスワードを再使用できるようになるまでに必要なパスワード数
  • デバイスがワイプされるまでのサインイン失敗回数

詳細については、「Android Enterprise device settings to allow or restrict features using Intune (Intune を使用して機能を許可または制限する Android Enterprise デバイス設定)」を参照してください。

COPE プレビュー更新プログラム : 仕事用プロファイルを使用する Android Enterprise 会社所有デバイスの個人プロファイルを構成するための新しい設定

仕事用プロファイルを使用する Android Enterprise 会社所有デバイスの場合、個人プロファイルにのみ適用される新しい設定を構成することができます ( [デバイス] > [構成プロファイル] > [プロファイルの作成] > [Android Enterprise] (プラットフォーム) > [Fully Managed, Dedicated, and Corporate-Owned Work profile](フル マネージド、専用、会社所有の仕事用プロファイル) > [デバイスの制限] (プロファイル) > [個人プロファイル] )。

  • [カメラ] :個人的に使用しているときにカメラへのアクセスをブロックするには、この設定を使用します。
  • [画面キャプチャ] :個人的に使用しているときに画面キャプチャをブロックするには、この設定を使用します。
  • Allow users to enable app installation from unknown sources in the personal profile (ユーザーが個人プロファイルで不明なソースからのアプリのインストールを有効化するのを許可する) : ユーザーが個人プロファイルで不明のソースからアプリをインストールするのを許可するには、この設定を使用します。

適用対象:

  • 仕事用プロファイルを使用する Android Enterprise 会社所有デバイス、個人対応デバイス。

構成できるすべての設定を確認するには、機能を許可または制限する Android エンタープライズ デバイスの設定に関するページを参照してください。

グループ ポリシー分析を使用してオンプレミスの GPO を分析する

[デバイス] > [グループ ポリシー分析 (プレビュー)] では、エンドポイント マネージャー管理センターでグループ ポリシー オブジェクト (GPO) をインポートできます。 インポートすると、Intune では、GPO を自動的に分析し、Intune に同等の設定があるポリシーを表示します。 また、非推奨の (サポートされなくなった) GPO も表示されます。 詳細情報を得るには、 [レポート] > [グループ ポリシー分析 (プレビュー)] > 移行の準備レポートに移動します。

この機能の詳細については、「グループ ポリシー分析」を参照してください。

適用対象:

  • Windows 10 以降

iOS および iPadOS での App Clips のブロック、macOS デバイスでの OS 以外のソフトウェア更新プログラムの延期

iOS/iPadOS および macOS デバイスでデバイスの制限プロファイルを作成する場合、新しい設定がいくつかあります。

iOS/iPadOS 14.0+ Block App Clips (App Clips のブロック (iOS/iPadOS 14.0 以降))

  • iOS/iPadOS 14.0 以降に適用されます。
  • デバイス登録またはデバイスの自動登録 (監視対象デバイス) にデバイスを登録する必要があります。
  • [App Clips のブロック] 設定により、マネージド デバイスで App Clips がブロックされます ( [デバイス] > [構成プロファイル] > [プロファイルの作成] > [iOS/iPadOS] (プラットフォーム) > [デバイスの制限] (プロファイル) > 全般 )。 ブロックされると、ユーザーはどの App Clips も追加できなくなり、既存の App Clips は削除されます。

ソフトウェア更新プログラムの延期 (macOS 11 以降)

  • macOS 11 以降に適用されます。 監視対象 macOS デバイスで、デバイスは、ユーザーが承認したデバイス登録されているか、デバイスの自動登録によって登録されている必要があります。
  • 既存の [ソフトウェア更新プログラムの延期] 設定で、OS および OS 以外の更新プログラムを遅らせることができるようになりました ( [デバイス] > [構成プロファイル] > [プロファイルの作成] > [macOS] (プラットフォーム) > [デバイスの制限] (プロファイル) > 全般 )。 既存の [ソフトウェア更新プログラムの表示を遅らせる] 設定は、OS および OS 以外の更新プログラムに適用されます。 OS 以外のソフトウェア更新プログラムを延期しても、スケジュールされた更新プログラムには影響しません。
  • 既存のポリシーの動作は変更されず、影響を受けることも削除されることもありません。 既存のポリシーは、同じ構成で新しい設定に自動的に移行されます。

構成できるデバイスの制限設定を確認する場合は、iOS/iPadOSmacOS に関するページを参照してください。

iOS または iPadOS および macOS デバイスでアプリごとの VPN またはオンデマンド VPN の使用に関する新しい設定

自動 VPN プロファイルは、 [デバイス] > [構成プロファイル] > [プロファイルの作成] > [iOS/iPadOS] または [macOS] (プラットフォーム) > [VPN] (プロファイル) > [自動 VPN] で構成できます。 構成できる新しいアプリごとの VPN の設定は以下のとおりです。

  • ユーザーが自動 VPN を無効にするのを禁止する: 自動の アプリごとの VPN または オンデマンド VPN 接続を作成する場合、ユーザーが自動 VPN を有効にしたまま実行し続けることを強制できます。
  • 関連付けられたドメイン: 自動の アプリごとの VPN 接続を作成する場合は、VPN プロファイルで、VPN 接続を自動的に開始する、関連付けられたドメインを追加することができます。 関連付けられたドメインの詳細については、「関連付けられたドメイン」を参照してください。
  • 除外されるドメイン: 自動の アプリごとの VPN 接続を作成する場合は、アプリごとの VPN が接続されたときに VPN 接続をバイパスできるドメインを追加できます。

これらの設定と、構成できるその他の設定を確認するには、iOS/iPadOS VPN 設定macOS VPN 設定に関するページに移動します。

iOS/iPadOS デバイスに対してアプリごとの仮想プライベート ネットワーク (VPN) を設定します。

適用対象:

  • iOS/iPadOS 14 以降
  • macOS Big Sur (macOS 11)

iOS および iPadOS デバイスで IKEv2 VPN 接続の最大伝送速度を設定する

iOS/iPadOS 14 以降のデバイスでは、IKEv2 VPN 接続を使用する場合、カスタムの最大伝送速度 (MTU) を構成できます ( [デバイス] > [構成プロファイル] > [プロファイルの作成] > [iOS/iPadOS] (プラットフォーム) > [VPN] (プロファイル) > [IKEv2] (接続の種類))。

この設定と、構成できるその他の設定の詳細については、「IKEv2 設定」を参照してください。

適用対象:

  • iOS/iPadOS 14 以降

iOS および iPadOS デバイスでの電子メール プロファイル用のアカウントごとの VPN 接続

iOS/iPadOS 14 以降、ユーザーが使用しているアカウントに基づいて、ネイティブ メール アプリの電子メール トラフィックを VPN 経由でルーティングできます。 Intune では、 [VPN profile for per account VPN](アカウントごとの VPN 用の VPN プロファイル) 設定を構成することができます ( [デバイス] > [構成プロファイル] > [プロファイルの作成] > [iOS/iPadOS] (プラットフォーム) > [電子メール] (プロファイル) > [Exchange ActiveSync の電子メール設定] )。

この機能を利用すると、アカウントベースの VPN 接続に使用するアプリごとの VPN プロファイルを選択できます。 ユーザーがメール アプリで組織のアカウントを使用する場合、アプリごとの VPN 接続は自動的に有効になります。

この設定と、構成できるその他の設定を確認するには、iOS および iPadOS デバイス用の電子メール設定の追加に関するページに移動します。

適用対象:

  • iOS/iPadOS 14 以降

iOS および iPadOS デバイスで Wi-Fi ネットワークの MAC アドレスのランダム化を無効にする

iOS/iPadOS 14 以降、既定では、ネットワーク接続時に物理 MAC アドレスの代わりに、ランダム化された MAC アドレスがデバイスによって示されます。 MAC アドレスでデバイスを追跡することは困難であるため、この動作はプライバシーのために推奨されます。 さらに、この機能は、ネットワーク アクセス制御 (NAC) などの静的 MAC アドレスに依存する機能を中断します。

MAC アドレスのランダム化は、Wi-Fi プロファイルでネットワークごとに無効にすることができます ( [デバイス] > [構成プロファイル] > [プロファイルの作成] > [iOS/iPadOS] (プラットフォーム) > [Wi-Fi] (プロファイル) > [基本] または [エンタープライズ] (Wi-Fi の種類))。

この設定と、構成できるその他の設定を確認するには、iOS および iPadOS デバイス用の Wi-Fi 設定の追加に関するページに移動します。

適用対象:

  • iOS/iPadOS 14 以降

デバイス制御プロファイルの新しい設定

Windows 10 以降を実行するデバイス用の "攻撃の回避ポリシー" の "デバイス制御" プロファイルに、設定のペアが追加されました。

  • リムーバブル記憶域
  • USB 接続 (HoloLens のみ)

"攻撃の回避" ポリシーは、Intune の エンドポイント セキュリティの一部です。

デバイスの登録

登録ステータス ページに重要なキオスク ポリシーが表示される

登録ステータス ページで追跡される次のポリシーを確認できるようになります

  • 割り当てられたアクセス
  • キオスク ブラウザーの設定
  • Edge ブラウザーの設定

他のすべてのキオスク ポリシーは現在、追跡されません。

デバイス管理

Zebra デバイスの PowerPrecision および PowerPrecision+ Batteries のサポート

デバイスのハードウェアの詳細ページで、PowerPrecision および PowerPrecision+ batteries を使用する Zebra デバイスについて、次の情報を確認できるようになりました。

  • Zebra で決定された正常性状態の評価 (PowerPrecision+ batteries のみ)
  • 使用された完全充電サイクルの数
  • デバイスで最後に検出されたバッテリの最終チェックインの日付
  • デバイスで最後に検出されたバッテリ パックのシリアル番号

COPE プレビュー更新プログラム : 仕事用プロファイルを使用する Android Enterprise 会社所有デバイスの仕事用プロファイルのパスワードをリセットする

仕事用プロファイルを使用する Android Enterprise 会社所有デバイスで、仕事用プロファイルのパスワードをリセットできるようになりました。 詳細については、「パスコードのリセット」を参照してください。

Azure Active Directory に参加している共同管理デバイスの名前を変更する

Azure AD に参加している共同管理デバイスの名前を変更できるようになりました。 詳細については、「Intune 上でデバイスの名前を変更する」を参照してください。

テナントのアタッチ:管理センターのデバイス タイムライン

Configuration Manager で、テナントのアタッチを使用してデバイスを Microsoft Endpoint Manager と同期すると、イベントのタイムラインを確認できるようになります。 このタイムラインにはそのデバイス上での過去の活動が表示され、問題のトラブルシューティングに役立ちます。 詳細については、「テナントのアタッチ:管理センターのデバイスのタイムライン」を参照してください。

テナントのアタッチ:管理センターのリソース エクスプローラー

Microsoft エンドポイント管理の管理センターから、リソース エクスプローラーを使用して、アップロードされた Configuration Manager デバイスのハードウェア インベントリを表示できます。 詳細については、「テナントのアタッチ:管理センターのリソース エクスプローラー」を参照してください。

テナントのアタッチ:管理センターからの CMPivot

CMPivot の機能を、Microsoft エンドポイント マネージャー管理センターに導入できます。 Helpdesk などの追加のペルソナが、ConfigMgr マネージド デバイスそれぞれに対してクラウドからリアルタイムのクエリを開始して、結果を管理センターに返すことができるようになりました。 これにより、CMPivot の従来の利点すべてを利用して、IT 管理者やその他の指定されたペルソナが環境内のデバイスの状態をすばやく評価し、アクションを実行することが可能になります。

管理センターからの CMPivot の詳細については、CMPivot の前提条件CMPivot の概要CMPivot のサンプル スクリプトに関するページを参照してください。

テナントのアタッチ:管理センターからスクリプトを実行する

Configuration Manager のオンプレミスのスクリプト実行機能を、Microsoft エンドポイント マネージャー管理センターに導入できます。 Helpdesk などの追加のペルソナが、Configuration Manager マネージド デバイスそれぞれに対してクラウドから PowerShell スクリプトをリアルタイムで実行できるようになります。 この機能により、Configuration Manager 管理者によって既に定義され、承認されている PowerShell スクリプトの従来の利点すべてを、この新しい環境でも利用できるようになります。 詳細については、「テナントのアタッチ:管理センターからスクリプトを実行する」を参照してください。

プレビューでのテナントにアタッチされているデバイスの改ざん保護ポリシー

プレビューでは、Intune エンドポイント セキュリティのウイルス対策ポリシーに新しいプロファイルが追加されました。これを使用して、テナントにアタッチされているデバイスの改ざん防止を管理することができます。Windows セキュリティ エクスペリエンス (プレビュー)

新しいウイルス対策ポリシーを作成する場合、新しいプロファイルは Windows 10 および Windows Server (ConfigMgr) プラットフォームの下にあります。

テナントにアタッチされているデバイスで Intune エンドポイント セキュリティ ポリシーを使用するには、事前に Configuration Manager のテナントのアタッチを構成し、デバイスを Intune と同期させる必要があります。

Intune ポリシーによる改ざん保護の使用とサポートに必要な特定の前提条件にも注意してください。

デバイス セキュリティ

プレビューでの Microsoft Tunnel ゲートウェイ VPN ソリューション

Microsoft Tunnel ゲートウェイを展開して、iOS および Android Enterprise (フル マネージド、会社所有の仕事用プロファイル、仕事用プロファイル) デバイス上のオンプレミス リソースへのリモート アクセスを提供できるようになりました。

Microsoft Tunnel では、アプリごとおよびフル デバイスの VPN、分割トンネリング、先進認証を使用する条件付きアクセス機能がサポートされています。 Tunnel では、運用準備のために、高可用性を実現するための複数のゲートウェイ サーバーをサポートできます。

Android デバイス向けの生体認証の追加サポート

新しい Android デバイスでは、指紋以外のより多様な生体認証が利用されます。 OEM で指紋以外の生体認証のサポートが実装されている場合、エンド ユーザーは、アクセスをセキュリティで保護してエクスペリエンスを向上させるためにこの機能を使用する可能性があります。 Intune の 2009 年のリリースでは、Android デバイスでサポートされている内容に応じて、エンド ユーザーが指紋または顔を使用したロック解除を利用できるようにすることができます。 認証に指紋以外のすべての種類の生体認証を使用できるようにするかどうかを構成できます。 詳細については、「Android デバイスでのアプリ保護のエクスペリエンス」を参照してください。

デバイスのエンドポイント セキュリティ構成の新しい詳細

デバイスの "エンドポイント セキュリティ構成" の一部として、デバイスの追加の詳細を表示できるようになりました。 ドリルインして、デバイスにデプロイしたポリシーの状態の詳細を表示すると、次の設定が示されるようになります。

  • UPN (ユーザー プリンシパル名): UPN により、デバイス上の特定のユーザーに割り当てられているエンドポイント セキュリティ プロファイルを特定します。 この情報は、デバイス上の複数のユーザー、およびデバイスに割り当てられているプロファイルまたはベースラインの複数のエントリを区別するのに役立ちます。

詳細については、「セキュリティ ベースラインの競合の解消」を参照してください。

エンドポイント セキュリティ ロールの RBAC アクセス許可の強化

Intune の エンドポイント セキュリティ マネージャー ロールには、リモート タスク のロールベースのアクセス制御 (RBAC) アクセス許可が追加されています。

このロールで、Microsoft Endpoint Manager admin center へのアクセス許可を付与します。これは、セキュリティ ベースライン、デバイスのコンプライアンス、条件付きアクセス、Microsoft Defender for Endpoint などのセキュリティとコンプライアンスの機能を管理するユーザーが使用できます。

"リモート タスク" の新しいアクセス許可には、次のようなものがあります。

  • 今すぐ再起動
  • リモート ロック
  • BitLockerKeys のローテーション (プレビュー)
  • FileVault キーのローテーション
  • デバイスの同期
  • Microsoft Defender
  • 構成マネージャー アクションの開始

Intune RBAC ロールのアクセス許可をすべて表示するには、次のようにします: [テナント管理者] > [Intune ロール] の順に移動する > "ロールを選ぶ" > [アクセス許可] を選択する。

セキュリティ ベースラインの更新

次のセキュリティ ベースラインでは新しいバージョンを使用できます。

ベースラインの更新バージョンでは、それぞれの製品チームが推奨するベストプラクティスの構成を維持するのに役立つ最新の設定がサポートされます。

バージョン間の変更点について理解するために、「ベースラインのバージョンを比較する」を参照し、変更内容が示された .CSV ファイルのエクスポート方法について学習してください。

エンドポイント セキュリティ構成の詳細を使用してデバイスのポリシー競合の原因を特定する

競合の解消を支援するために、セキュリティ ベースライン プロファイルをドリルインして、選択されたデバイスの "エンドポイント セキュリティ構成" を表示できるようになりました。 そこから、"競合" または "エラー" を示す設定を選択し、さらにドリルインを続け、競合に関係するプロファイルやポリシーを含む詳細の一覧を表示できます。

その後、競合の原因であるポリシーを選択すると、Intune により、そのポリシーの [概要] ペインが開かれ、そこでポリシーの構成を確認したり、変更したりすることができます。

セキュリティ ベースラインをドリルインすると、次のポリシーの種類を、競合の原因として特定できます。

  • デバイスの構成ポリシー
  • エンドポイント セキュリティ ポリシー

詳細については、「セキュリティ ベースラインの競合の解消」を参照してください。

iOS および macOS デバイスでのキー サイズが 4096 ビットの証明書のサポート

iOS/iPadOS または macOS デバイス用の "SCEP 証明書" プロファイルを構成するときに、4096 ビットの キー サイズ (ビット) を指定できるようになりました。

Intune では、次のプラットフォームで 4096 ビットのキーがサポートされます。

  • iOS 14 以降
  • macOS 11 以降

SCEP 証明書プロファイルを構成する場合は、「SCEP 証明書プロファイルを作成する」を参照してください。

Android 11 で、デバイス管理者登録されたデバイスへの信頼されたルート証明書の展開を非推奨にする

Android 11 以降、信頼されたルート証明書では、"Android デバイス管理者" として登録されたデバイスに信頼されたルート証明書をインストールできなくなりました。 この制限は Samsung Knox デバイスには影響しません。 Samsung 以外のデバイスについては、ユーザーは、信頼されたルート証明書をデバイスに手動でインストールする必要があります。

信頼されたルート証明書をデバイスに手動でインストールした後、SCEP を使用して、そのデバイスに証明書をプロビジョニングすることができます。 それでも、"信頼された証明書" ポリシーを作成してデバイスに展開し、そのポリシーを "SCEP 証明書" プロファイルにリンクする必要があります。

  • 信頼されたルート証明書がデバイス上にある場合は、SCEP 証明書プロファイルを正常にインストールできます。
  • 信頼された証明書がデバイスに見つからない場合、SCEP 証明書プロファイルは失敗します。

詳細については、「Android デバイス管理者向けの信頼された証明書プロファイル」を参照してください。

エンドポイント セキュリティ ファイアウォール ポリシーの追加設定の Tri-state オプション

構成の 3 番目の状態が、Windows 10 用のエンドポイント セキュリティ ファイアウォール ポリシーのいくつかの設定に追加されました。

次の設定が更新されました。

  • [ステートフル ファイル転送プロトコル (FTP)] では、"未構成"、"許可"、"無効" がサポートされるようになりました。
  • [サポートしていない認証スイートのみを無視するようにキー モジュールに求める] では、"未構成"、"有効"、"無効" がサポートされるようになりました。

Android Enterprise の証明書展開の改善

Outlook 用の S/MIME 証明書を使用して、フル マネージド、専用、および会社所有の仕事用プロファイルとして登録される Android Enterprise デバイスでの暗号化と署名を行うためのサポートが強化されました。 以前は、S/MIME を使用するには、デバイス ユーザーがアクセスを許可する必要がありました。 現在は、ユーザー操作なしで S/MIME 証明書を使用することができます。

サポートされている Android デバイスに S/MIME 証明書を展開するには、デバイス構成用の PKCS のインポートされた証明書プロファイルまたは SCEP 証明書プロファイルを使用します。 Android Enterprise 用のプロファイルを作成してから、"フル マネージド、専用、会社所有の仕事用プロファイル" のカテゴリから [PKCS のインポートされた証明書] を選択します。

セキュリティ ベースライン レポートの状態の詳細の改善

セキュリティ ベースラインの状態の詳細の多くの改善が開始されました。 展開したベースラインのバージョンに関する情報を表示するときに、よりわかりやすい詳細な状態が表示されるようになります。

具体的には、ベースラインを選び、" [バージョン] " を選択し、そのベースラインのインスタンスを選ぶと、初期の [概要] に次の情報が表示されます。

  • セキュリティ ベースラインのポスチャ グラフ - このグラフには、次の状態の詳細が表示されるようになりました。
    • Matches default baseline(既定のベースラインと一致) – この状態は [ベースラインと一致] に代わるものであり、デバイスの構成が既定 (未変更) のベースライン構成と一致するときに示されます。
    • Matches custom settings(カスタム設定と一致) – この状態は、構成 (カスタマイズ) してデプロイしたベースラインと、デバイスの構成が一致するときに示されます。
    • 正しく構成されていません - この状態は、デバイスの次の 3 つの状態条件を表すロールアップです: "エラー"、"保留中"、"競合"。 これらの個別の状態は、以下に詳しく説明されているように、他のビューから使用できます。
    • 適用できません - この状態は、ポリシーを受信できないデバイスを表します。 たとえば、最新バージョンの Windows に固有の設定はポリシーによって更新されますが、デバイスでは、その設定がサポートされていない古い (以前の) バージョンが実行されます。
  • カテゴリ別のセキュリティ ベースライン ポスチャ - これは、カテゴリ別にデバイスの状態を表示するリスト ビューです。 使用可能な列には "セキュリティ ベースラインのポスチャ" グラフの多くが反映されますが、"正しく構成されていません" ではなく、[正しく構成されていません] を構成する状態の次の 3 つの列が表示されます。
    • エラー: ポリシーを適用できませんでした。 メッセージは通常、説明のリンクを含むエラー コードと共に表示されます。
    • [競合] :2 つの設定が同じデバイスに適用されます。Intune では競合に対処できません。 管理者が確認する必要があります。
    • Pending:デバイスはまだ、ポリシーを受信するために Intune にチェックインされていません。

デバイス管理者として登録されているデバイスの Android 10 以降のパスワードの複雑さに関する新しい設定

Android デバイス管理者として登録されているデバイスで Android 10 以降の新しいオプションをサポートするために、"デバイスのコンプライアンス" ポリシーと "デバイスの制限" ポリシーの両方に、パスワードの複雑さ という新しい設定が追加されました。 この新しい設定を使用して、パスワードの種類、長さ、質を考慮したパスワードの強度の "測定" を管理します。

パスワードの複雑さは、Samsung Knox デバイスには適用されません。 これらのデバイスでは、パスワードの長さおよび種類の設定によって、パスワードの複雑さがオーバーライドされます。

パスワードの複雑では、次のオプションがサポートされます。

  • なし - パスワードなし
  • - パスワードは、次のいずれかを満たします。
    • Pattern
    • 繰り返し (4444) または順序付け (1234、4321、2468) シーケンスを使用した PIN
  • - パスワードは、次のいずれかを満たします。
    • 繰り返し (4444) または順序付け (1234、4321、2468) シーケンスを使用せず、長さが 4 文字以上の PIN
    • アルファベット、長さが 4 文字以上
    • 英数字、長さが 4 文字以上
  • - パスワードは、次のいずれかを満たします。
    • 繰り返し (4444) または順序付け (1234、4321、2468) シーケンスを使用せず、長さが 8 文字以上の PIN
    • アルファベット、長さが 6 文字
    • 英数字、長さが 6 文字以上

この新しい設定に関する作業は進行中のままです。 2020 年 10 月下旬に、[パスワードの複雑さ] はデバイスで有効になります。

[パスワードの複雑さ][なし] 以外に設定した場合は、複雑さの要件を満たしていないパスワードを使用するエンド ユーザーに対して、パスワードの更新に関する警告が必ず表示されるように、追加の設定を構成する必要もあります。

  • デバイス コンプライアンス: [モバイル デバイスのロック解除にパスワードを必要とする][必要] に設定します。
  • デバイスの制限: [パスワード][必須] に設定します

追加の設定を [必須] に設定していない場合、脆弱なパスワードを持つユーザーには警告が表示されません。

監視とトラブルシューティング

エンドポイント分析の一般提供

エンドポイント分析は、ユーザー エクスペリエンスに関する分析情報を提供することで、ユーザーの生産性を向上させ、IT サポートのコストを削減することを目的としています。 IT 部門は、これらの分析情報を使用して、プロアクティブなサポートによりエンド ユーザー エクスペリエンスを最適化したり、構成変更によるユーザーへの影響を評価して、ユーザー エクスペリエンスの低下を検知したりすることができます。 詳細については、エンドポイント分析に関するページを参照してください。

運用レポートに一覧表示されているデバイスの一括操作

Microsoft Endpoint Manager のセキュリティ下で提供される新しいウイルス対策レポートの一部として、Windows 10 で検出されたマルウェア 運用レポートでは、レポート内で選択されたデバイスに適用できる一括操作が提供されます。 操作には、再起動クイック スキャンフル スキャン が含まれます。 詳細については、Windows 10 で検出されたマルウェア レポートに関するページを参照してください。

Graph API を使用して Intune レポートをエクスポートする

Intune レポート インフラストラクチャに移行されたすべてのレポートは、1 つの最上位レベルのエクスポート API からエクスポートすることができます。 詳細については、「Graph API を使用して Intune レポートをエクスポートする」を参照してください。

Windows 10 以降用の新しいおよび改善された Microsoft Defender ウイルス対策レポート

Microsoft Endpoint Manager では、Windows 10 の Microsoft Defender ウイルス対策に 4 つの新しいレポートを追加しています。 これらのレポートには、次のようなものがあります。

  • 2 つの運用レポートである、"Windows 10 の異常なエンドポイント" と "Windows 10 で検出されたマルウェア"。 Microsoft Endpoint Manager で、 [エンドポイント セキュリティ] > [ウイルス対策] の順に選択します。
  • 2 つの組織レポートである、"ウイルス対策エージェントの状態" と "検出されたマルウェア"。 Microsoft Endpoint Manager で、 [レポート] > [Microsoft Defender ウイルス対策] の順に選択します。

詳細については、「Intune レポート」と、Microsoft Intune でのエンドポイント セキュリティの管理に関するページを参照してください。

新しい Windows 10 の機能更新プログラム レポート

Windows 10 の機能更新プログラム レポートでは、Windows 10 の機能更新プログラム ポリシーがあるターゲットのデバイスについてコンプライアンスの全体的なビューが表示されます。 Microsoft エンドポイント管理センターで、 [レポート] > [Windows の更新プログラム] の順に選択して、このレポートのサマリを表示します。 特定のポリシーのレポートを表示するには、 [Windows の更新プログラム] ワークロードから、 [レポート] タブを選択し、Windows 機能更新プログラム レポート を開きます。 詳細については、Windows 10 の機能更新プログラムに関するページを参照してください。

2020 年 8 月

アプリ管理

Apple VPP トークンの削除前に関連ライセンスが失効する

Microsoft エンドポイント マネージャーで Apple VPP トークンを削除すると、そのトークンに関連付けられているすべての Intune 割り当てライセンスが、削除前に自動的に失効します。

Android 用ポータル サイト アプリの [デバイス設定の更新] ページを説明が表示されるように改善

Android デバイス上のポータル サイト アプリの [デバイス設定の更新] ページには、準拠するために更新する必要がある設定の一覧が表示されます。 ユーザーは問題を展開して詳細情報を確認し、 [解決] ボタンを表示します。

このユーザー エクスペリエンスが改善されました。 一覧表示される設定が既定で展開されて、説明が表示され、 [解決] ボタン (適用できる場合) が表示されるようになりました。 以前は、問題は既定では折りたたまれていました。 この新しい既定の動作によってクリック回数が減るため、ユーザーがより迅速に問題を解決できるようになります。

ポータル サイトに Configuration Manager アプリケーションのサポートが追加される

ポータル サイトでは、Configuration Manager アプリケーションがサポートされるようになりました。 エンド ユーザーはこの機能によって、共同管理されている顧客に対して、ポータル サイト上で Configuration Manager および Intune の両方にデプロイされているアプリケーションを表示できるようになります。 この新しいバージョンのポータル サイトには、共同管理されているすべての顧客に対して、Configuration Manager にデプロイされているアプリが表示されます。 このサポートによって、管理者は異なるエンド ユーザー ポータルのエクスペリエンスを統合できます。 詳細については、「共同管理デバイスでポータル サイト アプリを使用する」を参照してください。

デバイスの構成

iOS/iPadOS および macOS デバイスの VPN 接続の種類として NetMotion を使用する

VPN プロファイルを作成するときに、VPN 接続の種類として NetMotion を使用できます ( [デバイス] > [デバイス構成] > [プロファイルの作成] > [iOS/iPadOS] または [macOS] (プラットフォーム) > [VPN] (プロファイル) > [NetMotion] (接続の種類))。

Intune での VPN プロファイルの詳細については、VPN サーバーに接続するための VPN プロファイルの作成に関する記事をご覧ください。

適用対象:

  • iOS/iPadOS
  • macOS

Windows 10 Wi-Fi プロファイル用の保護された拡張認証プロトコル (PEAP) オプションの追加

Windows 10 デバイスで、Wi-Fi 接続を認証するために拡張認証プロトコル (EAP) を使用する Wi-Fi プロファイルを作成できます ( [デバイス] > [構成プロファイル] > [プロファイルの作成] > [Windows 10 以降] (プラットフォーム) > [Wi-Fi] (プロファイル) > [Enterprise] )。

保護された EAP (PEAP) を選択する場合、次のような新しい設定を使用できます。

  • PEAP フェーズ 1 でサーバー検証を実行する:PEAP ネゴシエーション フェーズ 1 では、サーバーが証明書の検証によって検証されます。
    • PEAP フェーズ 1 でのサーバー検証に関するユーザー プロンプトを無効にする:PEAP ネゴシエーション フェーズ 1 では、信頼された証明機関に対して新しい PEAP サーバーの承認を求めるユーザー プロンプトは表示されません。
  • 暗号化バインドを要求する:PEAP ネゴシエーションの間に、暗号化バインドを使用していない PEAP サーバーへの接続を禁止します。

構成できる設定を確認するには、Windows 10 以降のデバイス向けの Wi-Fi 設定の追加に関する記事をご覧ください。

適用対象:

  • Windows 10 以降

ユーザーが顔や虹彩のスキャンを使用して Android Enterprise 仕事用プロファイル デバイスのロックを解除できないようにする

ユーザーが顔や虹彩のスキャンを使用して、デバイス レベルまたは仕事用プロファイル レベルで、仕事用のプロファイル マネージド デバイスのロックを解除することを禁止できるようになりました。 これは、 [デバイス] > [構成プロファイル] > [プロファイルの作成] > [Android Enterprise] (プラットフォーム) > [仕事用プロファイル] > [デバイスの制限] (プロファイル) > [仕事用プロファイルの設定] および [パスワード] セクションで設定できます。

詳細については、「Android Enterprise device settings to allow or restrict features using Intune (Intune を使用して機能を許可または制限する Android Enterprise デバイス設定)」を参照してください。

適用対象:

  • Android Enterprise 仕事用プロファイル

Microsoft Enterprise SSO プラグインを使用して、さらに多くの iOS および iPadOS アプリで SSO アプリ拡張機能を使用する

Apple デバイス用の Microsoft Enterprise SSO プラグインは、SSO アプリ拡張機能がサポートされているすべてのアプリで使用できます。 Intune の場合、この機能は、Apple デバイス用の Microsoft Authentication Library (MSAL) を使用しない iOS および iPadOS のモバイル アプリで、プラグインが動作するということを意味します。 アプリで MSAL を使用する必要はありませんが、Azure AD エンドポイントを使用して認証する必要があります。

プラグインで SSO を使用するように iOS または iPadOS アプリを構成するには、iOS または iPadOS の構成プロファイルにアプリ バンドル ID を追加します ( [デバイス] > [構成プロファイル] > [プロファイルの作成] > [iOS/iPadOS] (プラットフォーム) > [デバイスの機能] (プロファイル) > [シングル サインオン アプリの拡張機能] > [Microsoft Azure AD] (SSO アプリ拡張機能の種類) > [アプリ バンドル ID] )。

構成できる現在の SSO アプリ拡張機能設定を確認するには、「シングル サインオン アプリの拡張機能」にアクセスしてください。

適用対象:

  • iOS/iPadOS

新しいバージョンの PFX Certificate Connector および PKCS 証明書プロファイルのサポートに対する変更

PFX Certificate Connector の新しいバージョン (バージョン 6.2008.60.607) がリリースされました。 この新しいコネクタのバージョン:

  • サポートされているすべてのプラットフォーム (Windows 8.1 を除く) の PKCS 証明書プロファイルをサポートします

    PFX Certificate Connector では、すべての PCKS サポートを統合しました。 つまり、お使いの環境で SCEP を使用せず、他の目的で NDES を使用しない場合は、Microsoft Certificate Connector を削除して、お使いの環境から NDES をアンインストールできます。

  • Microsoft Certificate Connector では機能が削除されていないため、PKCS 証明書プロファイルをサポートするために引き続き使用できます。

  • Outlook S/MIME に対する証明書の失効をサポートします

  • .NET Framework 4.7.2 が必要です

両方の証明書コネクタのコネクタ リリースの一覧など、証明書コネクタの詳細については、証明書コネクタに関するページを参照してください。

デバイス管理

テナントのアタッチ:管理センターからアプリケーションをインストールする

Microsoft エンドポイント マネージャーの管理センターからテナントに接続されたデバイスへのアプリケーションのインストールを、リアルタイムで開始できるようになりました。 詳細については、「テナントのアタッチ:管理センターからアプリケーションをインストールする」。

デバイス セキュリティ

エンドポイント セキュリティ ウイルス対策ポリシーをテナントに接続されたデバイスに展開する (プレビュー)

プレビューとして、エンドポイント セキュリティのウイルス対策用ポリシーを、Configuration Manager で管理しているデバイスに展開することができます。 このシナリオでは、サポートされているバージョンの Configuration Manager と Intune サブスクリプションの間に、テナントの接続を構成する必要があります。 次のバージョンの Configuration Manager がサポートされています。

  • Configuration Manager Current Branch 2006

詳細については、テナントのアタッチをサポートするための [Intune エンドポイント セキュリティ ポリシーの要件](../protect/tenant-attach-intune.md# requirements-for-intune-endpoint-security-policies) に関するページを参照してください。

エンドポイント セキュリティ ウイルス対策ポリシーの除外に関する変更

エンドポイント セキュリティ ウイルス対策ポリシーの一部として構成する Microsoft Defender ウイルス対策の除外リストの管理について、2 点の変更が導入されました。 これらの変更は、異なるポリシー間の競合を回避し、以前に展開したポリシーに存在する可能性がある除外リストの競合を解決するのに役立ちます。

どちらの変更も、次の Microsoft Defender ウイルス対策構成サービス プロバイダー (CSP) のポリシー設定に適用されます。

  • Defender/ExcludedPaths
  • Defender/ExcludedExtensions
  • Defender/ExcludedProcesses

変更点は次のとおりです。

  • 新しいプロファイルの種類: Microsoft Defender ウイルス対策の除外 - Windows 10 以降で、ウイルス対策の除外のみを対象とするポリシーを定義するには、この新しいプロファイルの種類を使用します。 このプロファイルは、除外リストを他のポリシー構成から分離し、除外リストの管理を簡素化するのに役立ちます。

    構成できる除外には、Microsoft Defender でスキャンしない Defender の "プロセス"、"ファイル拡張子"、"ファイル" と "フォルダー" が含まれます。

  • ポリシーの結合 – Intune では、異なるプロファイルで定義した除外リストを、1 つの除外リストに結合して、各デバイスまたはユーザーに適用できるようになりました。 たとえば、3 つの異なるポリシーで 1 人のユーザーが対象になっている場合、それら 3 つのポリシーからの除外リストが "Microsoft Defender ウイルス対策の除外" の単一のスーパーセットに結合されて、そのユーザーに適用されます。

Windows ファイアウォール規則のアドレス範囲のインポートおよびエクスポート一覧

エンドポイントのセキュリティのためにファイアウォール ポリシーの Microsoft Defender ファイアウォール規則に .csv ファイルを利用してアドレス範囲の一覧を インポート または エクスポート するためのサポートを追加しました。 次の Windows ファイアウォール規則の設定でインポートとエクスポートがサポートされるようになりました。

  • ローカル アドレス範囲
  • リモート アドレス範囲

また、重複するエントリや無効なエントリを防ぐために、ローカルとリモートの両方のアドレス範囲エントリを検証する機能も改善されました。

これらの設定に関する詳細については、Microsoft Defender ファイアウォール規則の設定を参照してください。

サード パーティの MDM プロバイダーからデバイス コンプライアンスの状態を設定する

Intune では、デバイス コンプライアンスの詳細のソースとしてサードパーティの MDM ソリューションがサポートされるようになりました。 Microsoft Intune との統合により、このサードパーティのコンプライアンス データを使用して、iOS および Android 上の Microsoft 365 アプリに条件付きアクセス ポリシーを適用できます。 Intune により、サードパーティ プロバイダーからのコンプライアンスの詳細が評価され、デバイスが信頼されているかどうかが判断された後、Azure AD で条件付きアクセス属性が設定されます。 お客様は引き続き、Microsoft エンドポイント マネージャー管理センターまたは Azure AD ポータル内から、Azure AD 条件付きアクセス ポリシーを作成します。

このリリースでは、パブリック プレビューとして、次のサードパーティ MDM プロバイダーがサポートされています。

  • VMware Workspace ONE UEM (旧称 AirWatch)

この更新は、世界中のお客様にロールアウトされています。翌週中には、この機能を利用できるようになるはずです。

Intune アプリ

Windows ポータル サイトのプロファイル ページに、カスタム ブランド イメージが表示されるようになりました。

Microsoft Intune 管理者は、Windows ポータル サイト アプリ内のユーザーのプロファイル ページに背景イメージとして表示されるカスタム ブランド イメージを、Intune にアップロードできます。 詳細については、「Intune ポータル サイト アプリ、ポータル サイト Web サイト、および Intune アプリをカスタマイズする方法」を参照してください。

2020 年 7 月

アプリ管理

Android 上のポータル サイトおよび Intune アプリのデバイス アイコンを更新する

Microsoft では、より新しい外観を作成し、Microsoft Fluent Design System に準拠するように、Android デバイス上のポータル サイトと Intune アプリのデバイス アイコンを更新しました。 関連する情報については、「iOS または iPadOS および macOS 用のポータル サイト アプリのアイコンの更新」を参照してください。

Exchange On-Premises コネクタのサポート

Intune では、2007 (7 月) リリース以降、Intune サービスから Exchange On-Premises Connector 機能のサポートが削除されます。 アクティブなコネクタを使用している既存のお客様は、現時点では現在の機能を引き続きお使いいただけます。 新規のお客様や、アクティブなコネクタをお持ちでない既存のお客様は、Intune での新しいコネクタの作成、または Exchange ActiveSync (EAS) デバイスの管理ができなくなります。 そのようなお客様の場合、Microsoft では、Exchange のハイブリッド先進認証 (HMA) を使用して Exchange On-Premises へのアクセスを保護することをお勧めします。 HMA を使用すると、Intune App Protection ポリシー (MAM とも呼ばれます) と Outlook Mobile を使用した条件付きアクセスの両方が Exchange On-Premises に対して有効になります。

登録なしの iOS および Android デバイス上での Outlook の S/MIME

マネージド アプリのアプリ構成ポリシーを使用して、iOS および Android デバイスで Outlook の S/MIME を有効にできるようになりました。 これにより、デバイスの登録状態に関係なく、ポリシーの配信が可能になります。 Microsoft Endpoint Manager admin center で、 [アプリ] > [アプリ構成ポリシー] > [追加] > [マネージド アプリ] の順に選択します。 さらに、Outlook 上でユーザーによるこの設定の変更を許可するかどうかの選択ができます。 ただし、Outlook for iOS および Outlook for Android に S/MIME 証明書を自動的に展開するには、デバイスを登録する必要があります。 S/MIME の一般情報については、「Intune で電子メールに署名し、暗号化する S/MIME の概要」を参照してください。 Outlook の構成設定の詳細については、Microsoft Outlook の構成設定に関するページと、「デバイス登録なしで管理対象アプリ用アプリ構成ポリシーを追加する」を参照してください。 Outlook for iOS および Outlook for Android の S/MIME 情報については、「S/MIME シナリオ」と、「構成キー」の「S/MIME 設定」を参照してください。

デバイスの構成

Windows 10 以降のデバイス向けの新しい VPN 設定

IKEv2 の接続の種類を使用して VPN プロファイルを作成する場合、構成可能な新しい設定があります ( [デバイス] > [構成プロファイル] > [プロファイルの作成] > プラットフォームに [Windows 10 以降] を選択 > プロファイルに [VPN] を選択 > [基本 VPN] )。

  • デバイス トンネル:ユーザーのログオンなど、ユーザー操作を必要とせずに、デバイスが VPN に自動的に接続できるようにします。 この機能を使用するには、 [Always On] を有効にし、認証方法として [コンピューターの証明書] を使用する必要があります。
  • 暗号化スイートの設定:IKE と子セキュリティ アソシエーションをセキュリティで保護するために使用するアルゴリズムを構成します。これにより、クライアントとサーバーの設定を一致させることができます。

構成できる設定を確認するには、Intune を使用して VPN 接続を追加するための Windows デバイス設定に関する記事をご覧ください。

適用対象:

  • Windows 10 以降

Android Enterprise デバイス (COBO) のデバイス制限プロファイルで、その他の Microsoft Launcher 設定を構成する

Android Enterprise フル マネージド デバイスでは、デバイスの制限プロファイルを使用して、その他の Microsoft Launcher 設定を構成できます ( [デバイス] > [構成プロファイル] > [プロファイルの作成] > プラットフォームとして [Android Enterprise] > [デバイスの所有者のみ] > [デバイスの制限] > [デバイス エクスペリエンス] > [フル マネージド] )。

これらの設定を確認するには、Android Enterprise デバイスの機能を許可または制限する設定に関するページを参照してください。

アプリ構成プロファイルを使用して Microsoft Launcher 設定を構成することもできます。

適用対象:

  • Android エンタープライズ デバイス所有者フル マネージド デバイス (COBO)

Android エンタープライズ デバイス所有者の専用デバイス (COSU) 上での Managed Home Screen の新機能

Android Enterprise デバイス上で、管理者はデバイス構成プロファイルを使用して、マルチアプリ キオスク モードを使用している専用デバイスの Managed Home Screen をカスタマイズできます ( [デバイス] > [構成プロファイル] > [プロファイルの作成] > プラットフォームとして [Android Enterprise] > [デバイスの所有者のみ] > プロファイルの [デバイスの制限] > [デバイス エクスペリエンス] > [専用デバイス] > [複数アプリ] )。

具体的には次のことができます。

  • アイコンをカスタマイズする、画面の向きを変更する、バッジ アイコンでアプリ通知を表示する
  • マネージド設定のショートカットを非表示にする
  • より簡単にデバッグ メニューにアクセスする
  • 許可されている Wi-Fi ネットワークの一覧を作成する
  • より簡単にデバイス情報にアクセスする

詳細については、機能を許可または制限する Android Enterprise デバイスの設定に関するページと、こちらのブログを参照してください。

適用対象:

  • Android エンタープライズ デバイス所有者、専用デバイス (COSU)

更新された Microsoft Edge 84 管理用テンプレート

Microsoft Edge で使用可能な ADMX 設定が更新されました。 エンド ユーザーは、Edge 84 で追加された新しい ADMX 設定を構成して展開できるようになりました。 詳細については、Edge 84 のリリース ノートを参照してください。

デバイスの登録

iOS ポータル サイトでは、ユーザー アフィニティなしでの Apple の自動デバイス登録がサポートされます

割り当てられたユーザーを必要とせずに Apple の自動デバイス登録を使用して登録されたデバイス上で、iOS ポータル サイトがサポートされるようになりました。 エンド ユーザーは、iOS ポータル サイトにサインインして、デバイス アフィニティなしで登録された iOS/iPadOS デバイス上で、自身をプライマリ ユーザーとして確立できます。 自動デバイス登録に関する詳細については、「Apple の自動デバイス登録を使用して iOS または iPadOS デバイスを自動登録する」を参照してください。

企業所有の個人対応デバイス (プレビュー)

Intune では、OS バージョンが Android 8 以降の仕事用プロファイルを使用する Android Enterprise 企業所有デバイスがサポートされるようになりました。 仕事用プロファイルを使用する企業所有デバイスは、Android Enterprise ソリューション セットの企業管理シナリオの 1 つです。 このシナリオは、企業および個人使用が想定されている単一ユーザーのデバイスに対応しています。 この企業所有の個人対応 (COPE) シナリオでは、次のことが実現されます。

  • 仕事用プロファイルと個人プロファイルのコンテナー化
  • 管理者向けのデバイス レベルの制御
  • エンド ユーザーの個人データとアプリケーションがプライベートのままであることの保証

最初のパブリック プレビュー リリースには、一般提供のリリースに組み入れられる予定の機能のサブセットが含まれます。 追加機能は、ローリング方式で追加されます。 最初のプレビューで使用できる機能は、次のとおりです。

  • 登録:管理者は、有効期限のない一意のトークンを含む複数の登録プロファイルを作成できます。 デバイスの登録は、NFC、トークン エントリ、QR コード、Zero Touch、または Knox Mobile Enrollment 経由で行うことができます。
  • デバイスの構成:既存のフル マネージドおよび専用デバイス設定のサブセット。
  • デバイス コンプライアンス:フル マネージド デバイスに現在利用できるコンプライアンス ポリシー。
  • デバイス アクション:デバイスの削除 (出荷時の設定に戻す)、デバイスの再起動、デバイスのロック。
  • アプリ管理:アプリの割り当て、アプリの構成、および関連付けられているレポート機能
  • 条件付きアクセス

仕事用プロファイル プレビューでの企業所有の詳細については、サポートのブログを参照してください。

デバイス管理

テナントのアタッチ:管理センターでの ConfigMgr クライアントの詳細 (プレビュー)

Microsoft Endpoint Manager admin center で、特定のデバイスのコレクション、境界グループのメンバーシップ、およびリアルタイムのクライアント情報を含む ConfigMgr クライアントの詳細を確認できるようになりました。 詳細については、「テナントのアタッチ:管理センターでの ConfigMgr クライアントの詳細 (プレビュー)」をご覧ください。

macOS デバイスのリモート ロック操作に対する更新

macOS デバイスのリモート ロック操作に対する変更には、以下が含まれます。

  • 回復用 PIN は、削除される 30 日前 (7 日ではなく) に表示されます。
  • 管理者が 2 つ目のブラウザーを開いていて、別のタブまたはブラウザーからコマンドのトリガーを再試行した場合、Intune によってコマンドの実行が許可されます。 ただし、新しい PIN は生成されず、レポートの状態は "失敗" に設定されます。
  • 前のコマンドが引き続き保留中の場合、またはデバイスが再チェックインされていない場合、管理者は別のリモート ロック コマンドを発行することはできません。 これらの変更は、複数のリモート ロック コマンドの後に正しい PIN が上書きされないように設計されています。

デバイス アクション レポートでワイプと保護されたワイプが区別される

デバイス アクション レポートで、ワイプと保護されたワイプのアクションが区別されるようになりました。 レポートを確認するには、Microsoft エンドポイント マネージャー管理センター > [デバイス] > [モニター] > [デバイス操作] ( [その他] の下) の順に移動します。

デバイス セキュリティ

Microsoft Defender ファイアウォール規則の移行ツール プレビュー

パブリック プレビューとして、Microsoft では Microsoft Defender ファイアウォール規則を移行する PowerShell ベースのツールに取り組んでいます。 ツールをインストールして実行すると、Windows 10 クライアントの現在の構成に基づいた Intune 用のエンドポイント セキュリティ ファイアウォール規則ポリシーが自動的に作成されます。 詳細については、「エンドポイント セキュリティ ファイアウォール規則の移行ツールの概要」を参照してください。

テナントに接続されたデバイスを Microsoft Defender for Endpoint にオンボードするためのエンドポイントの検出と応答ポリシーの一般提供が開始

Intune のエンドポイント セキュリティの一部として、Configuration Manager によって管理されているデバイスで使用する、エンドポイントの検出と応答 (EDR) ポリシーは、"プレビュー" が終了し、"一般提供" が開始されました。

デバイスで、サポートされているバージョンの Configuration Manager から EDR ポリシーを使用するには、Configuration Manager にテナントの接続を構成します。 テナント接続の構成を完了した後、EDR ポリシーを展開して、Configuration Manager によって管理されているデバイスを Microsoft Defender for Endpoint にオンボードできます。

エンドポイント セキュリティ攻撃の回避ポリシーのデバイス制御プロファイルで Bluetooth の設定が使用可能

"エンドポイント セキュリティ攻撃の回避ポリシー" の デバイス制御プロファイルに、Windows 10 デバイスの Bluetooth を管理するための設定が追加されました。 これらは、"デバイス構成" のデバイス制限プロファイルで従来から使用できる設定と同じです。

Windows 10 デバイスのエンドポイント セキュリティ ウイルス対策ポリシーを使用して、定義の更新用のソースの場所を管理する

デバイスで更新定義を取得する方法の管理に役立つ、Windows 10 デバイス向けエンドポイント セキュリティのウイルス対策ポリシーで、"更新" カテゴリに 2 つの新しい設定を追加しました。

  • 定義ファイルの更新をダウンロードするためのファイル共有を定義する
  • 定義ファイルの更新をダウンロードするためのソースの順序を定義する

新しい設定を利用すると、定義の更新用のダウンロード元の場所として UNC ファイル共有を追加したり、異なるソースの場所に接続するときの順序を定義したりできます。

改善されたセキュリティ ベースライン ノード

Microsoft エンドポイント マネージャー管理センターのセキュリティ ベースライン ノードの使いやすさを向上させるためにいくつかの変更が加えられました。 [エンドポイント セキュリティ] > [セキュリティのベースライン] にドリルインし、MDM セキュリティ ベースラインなどのセキュリティ ベースラインの種類を選択すると、 [プロファイル] ペインが表示されます。 [プロファイル] ペインに、そのベースラインの種類用に作成したプロファイルが表示されます。 以前は、コンソールに [概要] ペインが表示されていました。そこに含まれていた集計データの累計は、個々のプロファイルのレポートに示されている詳細情報と必ずしも一致していませんでした。

引き続き、[プロファイル] ペインからプロファイルを選択してドリルインしたそのプロファイルのプロパティのほかに、 [モニター] で使用できるさまざまなレポートも表示することができます。 同様に、[プロファイル] と同じレベルでは引き続き、 [バージョン] を選択し、デプロイしたそのプロファイルの種類のさまざまなバージョンを表示できます。 プロファイル レポートと同様に、バージョンにドリルインすると、レポートにもアクセスできます。

Windows の派生資格情報のサポート

Windows デバイスで、派生した資格情報を使用できるようになりました。 iOS/iPadOS と Android に対する既存のサポートが拡張され、同じ派生資格情報プロバイダーで使用できるようになります。

  • Entrust
  • Intercede
  • DISA Purebred

Widows のサポートには、Wi-Fi または VPN プロファイルを認証するための派生資格情報の使用が含まれます。 Windows デバイスの場合、派生資格情報は、使用する派生資格情報プロバイダーによって提供されるクライアント アプリから発行されます。

Intune ではなく、デバイスのユーザーによって暗号化されたデバイスの FileVault 暗号化を管理する

Intune では、Intune ポリシーではなく、macOS デバイスでデバイスのユーザーによって暗号化された FileVault ディスク暗号化の管理を想定できるようになりました。 このシナリオでは、次のことが必要です。

  • デバイスで、FileVault を有効にする Intune からディスク暗号化ポリシーを受信します。
  • デバイスのユーザーが、ポータル Web サイトを使用して、暗号化されたデバイスの個人用回復キーを Intune にアップロードします。 キーをアップロードするには、暗号化された macOS デバイスの [Store recovery key](回復キーの保存) オプションを選択します。

ユーザーが回復キーをアップロードすると、Intune によってキーがローテーションされて、それが有効であることが確認されます。 Intune では、ポリシーを使用してデバイスを直接暗号化した場合と同様に、キーと暗号化を管理できるようになりました。 ユーザーは、デバイスを回復する必要がある場合、次の場所にある任意のデバイスを使用して回復キーにアクセスできます。

  • ポータル Web サイト
  • iOS/iPadOS 用ポータル サイト アプリ
  • Android 用ポータル サイト アプリ
  • Intune アプリ

macOS FileVault のディスク暗号化中にデバイス ユーザーの個人用回復キーを非表示にする

エンドポイント セキュリティ ポリシーを使用して macOS FileVault ディスク暗号化を構成するとき、 [Hide recovery key](回復キーを非表示にする) 設定を使用して、デバイスが暗号化されている間、デバイスのユーザーに "個人用回復キー" が表示されないようにします。 暗号化中にキーを非表示にすることで、デバイスの暗号化を待機している間にユーザーが書き留めることはできなくなるため、セキュリティを確保することができます。

後から、回復が必要な場合は、ユーザーはいつでも任意のデバイスを使用して、Intune ポータル Web サイト、iOS/iPadOS ポータル サイト、Android ポータル サイト、または Intune アプリ経由で個人用回復キーを表示することができます。

デバイスのセキュリティ ベースラインの詳細のビューが改善されている

デバイスの詳細にドリルインして、デバイスに適用されるセキュリティ ベースラインの設定の詳細を表示できるようになりました。 設定はシンプルで単純なリストに表示されます。このリストには、設定カテゴリ、設定名、状態が含まれます。 詳細については、「デバイスごとのエンドポイントのセキュリティ構成を表示する」を参照してください。

監視とトラブルシューティング

デバイス コンプライアンス ログが英語で利用可能になっている

Intune DeviceComplianceOrg のログには、以前は ComplianceState、OwnerType、および DeviceHealthThreatLevel の列挙のみが含まれていました。 現在、これらのログには、列内に英語の情報が含まれています。

Power BI コンプライアンス レポート テンプレート V2.0

Power BI テンプレート アプリを使用すると、Power BI パートナーはコーディングをほとんどまたはまったく行わずに Power BI アプリを構築し、それを Power BI の顧客にデプロイすることができます。 管理者は、Power BI コンプライアンス レポート テンプレートのバージョンを V1.0 から V2.0 に更新できます。 V2.0 では、設計が改善され、テンプレートの一部として表示される計算とデータが変更されます。 詳細については、「Power BI でデータ ウェアハウスに接続する」と「テンプレート アプリを更新する」を参照してください。 また、ブログ記事「Intune Data Warehouse を使用した Power BI コンプライアンス レポートの新しいバージョンの発表」を参照してください。

ロール ベースのアクセス制御

[プロファイルの割り当て] と [プロファイルの更新] アクセス許可の変更

自動デバイス登録フローの割り当てプロファイルおよび更新プロファイルで、ロールベースのアクセス制御のアクセス許可が変更されました。

プロファイルの割り当て:このアクセス許可を持つ管理者は、自動デバイス登録の場合、複数のトークンへのプロファイルの割り当てと、1 つのトークンへの既定のプロファイルの割り当てもできます。

プロファイルの更新:このアクセス許可を持つ管理者は、自動デバイス登録の場合にのみ、既存のプロファイルを更新できます。

これらのロールを表示するには、Microsoft エンドポイント マネージャー管理センター > [テナント管理] > [ロール] > [All roles](すべてのロール) > [作成] > [アクセス許可] > [ロール] に移動します。

スクリプト

追加の Data Warehouse v1.0 プロパティ

Intune Data Warehouse v1.0 を使用して、追加のプロパティを使用できます。 次のプロパティが、device エンティティを介して公開されるようになりました。

  • ethernetMacAddress - このデバイスの一意のネットワーク識別子。
  • office365Version - デバイスにインストールされている Microsoft 365 のバージョン。

次のプロパティが、devicePropertyHistory エンティティを介して公開されるようになりました。

  • physicalMemoryInBytes - 物理メモリ (バイト単位)。
  • totalStorageSpaceInBytes - 記憶域の合計容量 (バイト単位)。

詳細については、「Microsoft Intune データ ウェアハウス API」を参照してください。

2020 年 6 月

アプリ管理

マネージド アプリの通信データ転送保護

保護されたアプリでハイパーリンクされた電話番号が検出されると、その番号をダイヤラー アプリに転送できるようにするための保護ポリシーが適用されているかどうかが Intune によって確認されます。 ポリシー マネージド アプリから開始された場合に、この種のコンテンツ転送をどのように扱うかを選択することができます。 Microsoft Endpoint Manager でアプリ保護ポリシーを作成する場合は、 [他のアプリに組織データを送信] からマネージド アプリ オプションを選び、 [Transfer telecommunications data to](通信データの転送先) からオプションを選択します。 このデータ保護設定の詳細については、「Microsoft Intune の Android アプリ保護ポリシー設定」と「iOS アプリ保護ポリシー設定」を参照してください。

Windows ポータル サイトでの Azure Active Directory Enterprise と Office Online アプリケーションの統合配信

Intune の [カスタマイズ] ウィンドウで、Azure AD Enterprise アプリケーションOffice Online アプリケーション の両方を、ポータル サイトで [非表示] または [表示] することを選択できます。 各エンド ユーザーには、選択された Microsoft サービスによるアプリケーション カタログ全体が表示されます。 既定では、追加のアプリ ソースがそれぞれ [非表示] に設定されるようになります。 この機能は、まず、ポータル サイト Web サイトで有効になり、Windows ポータル サイトでサポートされる予定です。 この構成設定を見つけるには、Microsoft Endpoint Manager 管理センターで、 [テナント管理] > [カスタマイズ] の順に選択します。 関連情報については、「Intune ポータル サイト アプリ、ポータル サイト Web サイト、および Intune アプリをカスタマイズする方法」を参照してください。

macOS 用ポータル サイトの登録エクスペリエンスの改善

macOS の登録エクスペリエンス用のポータル サイトには、よりシンプルな登録プロセスが備わっています。これにより、iOS の登録エクスペリエンス用のポータル サイトと、より厳密な一致がとれます。 デバイス ユーザーには以下のものが表示されます。

  • より洗練されたユーザー インターフェイス。
  • 強化された登録チェックリスト。
  • デバイスの登録方法に関するより明確な説明。
  • 強化されたトラブルシューティング オプション。

ポータル サイトの詳細については、「Intune ポータル サイト アプリ、ポータル サイト Web サイト、および Intune アプリをカスタマイズする方法」をご覧ください。

iOS または iPadOS および macOS のポータル サイトの [デバイス] ページの改善

iOS/iPadOS および Mac ユーザーのアプリ エクスペリエンスを向上させるために、ポータル サイトの [デバイス] ページに変更を加えました。 最新のルック アンド フィールを作成するだけでなく、ユーザーがデバイスの状態をより簡単に確認できるように、セクション ヘッダーが定義された 1 つの列でデバイスの詳細を再構成しました。 また、デバイスがコンプライアンスに準拠していないユーザーのために、より明確なメッセージングとトラブルシューティングの手順を追加しました。 ポータル サイトの詳細については、「Intune ポータル サイト アプリ、ポータル サイト Web サイト、および Intune アプリをカスタマイズする方法」を参照してください。 デバイスを手動で同期する場合は、「iOS デバイスを手動で同期する」を参照してください。

iOS/iPadOS ポータル サイト アプリ用のクラウド設定

iOS/iPadOS ポータル サイト用の新しい クラウド 設定を使用すると、ユーザーは組織に適したクラウドに認証をリダイレクトできます。 既定では、この設定は [自動] に構成されています。この場合、ユーザーのデバイスによって自動的に検出されたクラウドに認証が送信されます。 自動的に検出されるクラウド以外の (パブリックや政府などの) クラウドに組織の認証をリダイレクトする必要がある場合、ユーザーは [設定] アプリ > [ポータル サイト] > [クラウド] の順に選択して、適切なクラウドを手動で選ぶことができます。 ユーザーは、別のデバイスからサインインしていて、適切なクラウドがデバイスによって自動的に検出されない場合にのみ、 [クラウド] 設定を [自動] から変更する必要があります。

重複する Apple VPP トークン

トークンの場所 が同じである Apple VPP トークンは、重複 としてマークされるようになり、重複するトークンが削除されたときに再度同期することができます。 重複としてマークされたトークンのライセンスは、引き続き割り当ておよび取り消すことができます。 しかし、トークンが重複としてマークされると、購入した新しいアプリやブックのライセンスが反映されない場合があります。 テナントの Apple VPP トークンを見つけるには、Microsoft Endpoint Manager admin center から、 [テナント管理] > [コネクタとトークン] > [Apple VPP トークン] の順に選択します。 VPP トークンの詳細については、「Apple Volume Purchase Program で購入した iOS アプリと macOS アプリを Microsoft Intune で管理する方法」をご覧ください。

iOS/iPadOS 用ポータル サイトの情報画面の更新

iOS/iPadOS 用ポータル サイトの情報画面が更新され、管理者がデバイスで表示および実行できる内容についての説明が改善されました。 これらの説明は企業所有のデバイスのみに関するものです。 更新されたのはテキストのみです。管理者がユーザー デバイスで表示または実行できる内容は実際には変更されていません。 更新された画面を確認するには、「Intune エンド ユーザー アプリの UI 更新」を参照してください。

Android アプリの条件付き起動のエンド ユーザー エクスペリエンスの更新

Android ポータル サイトの 2006 リリースは、2005 リリースからの更新に基づいて変更されています。 2005 では、アプリ保護ポリシーによって警告、ブロック、またはワイプが発行された Android デバイスのエンド ユーザーに、その警告、ブロック、またはワイプの理由、および問題を修復するための手順を説明するメッセージをページ全体に表示する更新をロールアウトしました。 2006 では、アプリ保護ポリシーが割り当てられた Android アプリの最初のユーザーは、ガイド付きフローを通じて、アプリのアクセスがブロックされる原因となった問題を修復します。

Intune 用に新しく利用可能になった保護されたアプリ

次の保護されたアプリを使用できるようになりました。

  • BlueJeans Video Conferencing
  • Cisco Jabber for Intune
  • Tableau Mobile for Intune
  • ZERO for Intune

保護されたアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

デバイスの構成

macOS デバイスの Wi-Fi プロファイルに EAP-TLS 認証用の複数のルート証明書を追加する

macOS デバイスでは、Wi-Fi プロファイルを作成し、認証の種類として拡張認証プロトコル (EAP) を選択できます ( [デバイス] > [構成プロファイル] > [プロファイルの作成] > [macOS] (プラットフォーム) > [Wi-Fi] (プロファイル) の順に選択し、 [Wi-Fi の種類] として Enterprise を設定)。

[EAP の種類][EAP-TLS][EAP-TTLS] 、または [PEAP] 認証に設定した場合は、複数のルート証明書を追加できます。 以前は、追加できるルート証明書は 1 つのみでした。

構成できる設定の詳細については、「Microsoft Intune で macOS デバイス向けの Wi-Fi 設定を追加する」を参照してください。

適用対象:

  • macOS

Windows 10 以降のデバイスの Wi-Fi プロファイルで PKCS 証明書を使用する

SCEP 証明書で Windows Wi-Fi プロファイルを認証することができます ( [デバイス構成] > [プロファイル] > [プロファイルの作成] > [Windows 10 以降] (プラットフォーム) > [Wi-Fi] (プロファイルの種類) > [Enterprise] > [EAP の種類] )。 これで、Windows Wi-Fi プロファイルで PKCS 証明書を使用することができます。 この機能により、ユーザーはテナント内の新規または既存の PKCS 証明書プロファイルを使用して、Wi-Fi プロファイルを認証できます。

構成できる Wi-Fi 設定の詳細については、「Intune での Windows 10 以降のデバイス向けの Wi-Fi 設定の追加」を参照してください。

適用対象:

  • Windows 10 以降

macOS デバイス用の有線ネットワーク デバイス構成プロファイル

有線ネットワークを構成する新しい macOS デバイス構成プロファイルを使用することができます ( [デバイス] > [構成プロファイル] > [プロファイルの作成] > [macOS] (プラットフォーム) > [ワイヤード (有線) ネットワーク] (プロファイル))。 この機能を使用して、有線ネットワークを管理する 802.1x プロファイルを作成し、この有線ネットワークを macOS デバイスに展開します。

この機能の詳細については、macOS の有線ネットワークに関するページを参照してください。

適用対象:

  • macOS

フル マネージドの Android エンタープライズ デバイスの起動ツールとして Microsoft Launcher を使用する

Android エンタープライズ デバイス所有者デバイスでは、Microsoft Launcher をフル マネージド デバイスの既定の起動ツールとして設定できます ( [デバイス] > [構成プロファイル] > [プロファイルの作成] > プラットフォームに [Android エンタープライズ] を選択 > [デバイスの所有者] > プロファイルに [デバイスの制限] を選択 > [デバイス エクスペリエンス] )。 その他のすべての Microsoft Launcher 設定を構成するには、アプリ構成ポリシーを使用します。

また、他にもいくつかの UI 更新があります。たとえば、 [専用デバイス][デバイス エクスペリエンス] に名前変更されます。

制限できるすべての設定を確認するには、「Intune を使用して機能を許可または制限するように Android エンタープライズ デバイスを設定する」をご覧ください。

適用対象:

  • Android エンタープライズ デバイス所有者フル マネージド デバイス (COBO)

自律的シングル App モード設定を使用して、iOS ポータル サイト アプリをサインイン/サインアウト アプリとして構成する

iOS/iPadOS デバイスでは、自律的シングル App モード (ASAM) で実行するようにアプリを構成できます。 現在、ポータル サイト アプリでは ASAM がサポートされており、"サインイン/サインアウト" アプリとして構成することができます。 このモードでは、ユーザーは、デバイスの他のアプリとホーム画面のボタンを使用するために、ポータル サイト アプリにサインインする必要があります。 ポータル サイト アプリからサインアウトすると、デバイスはシングル App モードに戻り、ポータル サイト アプリ上でロックされます。

ASAM になるようにポータル サイトを構成するには、 [デバイス] > [構成プロファイル] > [プロファイルの作成] > [iOS/iPadOS] (プラットフォーム) > [デバイスの制限] (プロファイル) > [自律的シングル App モード] の順に移動します。

詳細については、「自律的シングル App モード (ASAM)」と、シングル App モードに関するページ (Apple の Web サイトが開きます) をご覧ください。

適用対象:

  • iOS/iPadOS

macOS デバイスでコンテンツ キャッシングを構成する

macOS デバイスで、コンテンツ キャッシングを構成する構成プロファイルを作成できます ( [デバイス] > [構成プロファイル] > [プロファイルの作成] > プラットフォームに [macOS] を選択 > プロファイルに [デバイス機能] を選択)。 これらの設定を使用して、キャッシュの削除、共有キャッシュの許可、ディスク上のキャッシュ制限などを行います。

コンテンツ キャッシングの詳細については、「ContentCaching」をご覧ください (Apple の Web サイトが開きます)。

構成できる設定を確認する場合は、「Intune での macOS デバイスの機能設定」に移動してください。

適用対象:

  • macOS

Android エンタープライズで OEMConfig を使用し、新しいスキーマ設定の追加と既存のスキーマ設定の検索を行う

Intune で、OEMConfig を使用して Android エンタープライズ デバイスの設定を管理できます ( [デバイス] > [構成プロファイル] > [プロファイルの作成] > プラットフォームに [Android エンタープライズ] を選択 > プロファイルに [OEMConfig] を選択)。 構成デザイナー を使用すると、アプリ スキーマのプロパティが表示されます。 現在、構成デザイナー では次のことができます。

  • アプリ スキーマに新しい設定を追加する。
  • アプリ スキーマで新しい設定および既存の設定を検索する。

Intune での OEMConfig プロファイルの詳細については、「Microsoft Intune で、OEMConfig を使って Android Enterprise デバイスを使用および管理する」をご覧ください。

適用対象:

  • Android エンタープライズ

共有 iPad デバイスで共有 iPad の一時セッションをブロックする

Intune に、共有 iPad デバイスでの一時的なセッションをブロックする新しい [Block Shared iPad temporary sessions](共有 iPad の一時セッションをブロックする) 設定があります ( [デバイス] > [構成プロファイル] > [プロファイルの作成] > プラットフォームに [iOS/iPadOS] を選択 > プロファイルの種類に [デバイスの制限] を選択 > [共有 iPad] )。 有効にすると、エンド ユーザーが Guest アカウントを使用できなくなります。 ユーザーは、各自の管理対象の Apple ID とパスワードを使用してデバイスにサインインする必要があります。

詳細については、機能を許可または制限するための iOS および iPadOS デバイスの設定に関するページをご覧ください。

適用対象:

  • iOS または iPadOS 13.4 以降を実行している共有 iPad デバイス

デバイスの登録

個人所有デバイスでは、VPN を使用して展開できる

新しいオートパイロット プロファイル [ドメインの接続チェックをスキップする] 切り替えを使用すると、社内のネットワークにアクセスせずに、独自のサードパーティ製の Win32 VPN クライアントを使用して、Hybrid Azure AD Join デバイスを展開できます。 新しい切り替えを表示するには、Microsoft Endpoint Manager admin center > [デバイス] > [Windows] > [Windows 登録] > [展開プロファイル] > [プロファイルの作成] > [Out-of-box experience (OOBE)] の順に移動します。

登録ステータス ページのプロファイルをデバイス グループに設定できる

以前は、登録ステータス ページ (ESP) のプロファイルはユーザー グループのみを対象にすることができました。 現在は、ターゲット デバイス グループに設定することもできます。 詳細については、「登録ステータス ページを設定する」を参照してください。

デバイスの自動登録の同期エラー

iOS または iPadOS および macOS デバイスに対して、次のような新しいエラーが報告されます

  • 電話番号に無効な文字が含まれているか、そのフィールドが空である。
  • プロファイルの構成名が無効または空である。
  • カーソルの値が無効または期限切れであるか、カーソルが見つからない。
  • トークンが拒否されたか、期限切れである。
  • 部署フィールドが空であるか、長すぎる。
  • Apple でプロファイルが見つからず、新しいプロファイルを作成する必要がある。
  • 削除された Apple Business Manager デバイスの数が [概要] ページに追加され、デバイスの状態が表示される。

法人向け共有 iPad

Intune と Apple Business Manager を使用して、複数の従業員がデバイスを共有できるように共有 iPad を簡単かつ安全に設定することができます。 Apple の 共有 iPad では、ユーザー データを保持しながら、複数のユーザーに対してパーソナライズされたエクスペリエンスが提供されます。 ユーザーは、管理対象 Apple ID を使用して、組織内の共有 iPad にサインインした後、アプリ、データ、設定にアクセスできます。 共有 iPad はフェデレーション ID と連動します。

この機能を表示するには、Microsoft Endpoint Manager admin center > [デバイス] > [iOS] > [iOS の登録] > [Enrollment Program トークン] > トークンを選択 > [プロファイル] > [プロファイルの作成] > [iOS] の順に移動します。 [管理の設定] ページで、 [ユーザー アフィニティを使用しないで登録する] を選択すると、 [共有 iPad] オプションが表示されます。

必須: iPadOS 13.4 以降。 このリリースでは、ユーザーが管理対象 Apple ID を使用せずにデバイスにアクセスできるように、共有 iPad での一時的なセッションのサポートが追加されました。 ログアウト時に、デバイスではすべてのユーザー データが消去されるため、デバイスをすぐに使用できる状態になり、デバイスのワイプは不要になります。

Apple のデバイスの自動登録用に更新されたユーザー インターフェイス

Apple の Device Enrollment Program をデバイスの自動登録に置き換えて、Apple の用語を反映するようにユーザー インターフェイスが更新されました。

デバイス管理

macOS で使用できるデバイスのリモート ロック PIN

macOS デバイスのリモート ロック PIN の可用性が、7 日から 30 日に延長されました。

共同管理デバイスのプライマリ ユーザーを変更する

共同管理されている Windows デバイスについて、デバイスのプライマリ ユーザーを変更することができます。 その確認および変更方法の詳細については、「Intune デバイスのプライマリ ユーザーを確認する」をご覧ください。 この機能は、今後数週間で徐々にロールアウトされます。

Intune プライマリ ユーザーを設定すると Azure AD の所有者プロパティも設定される

この新機能では、新しく登録された Hybrid Azure AD Join を使用したデバイスの所有者プロパティが、Intune プライマリ ユーザーが設定されるのと同時に自動的に設定されます。 プライマリ ユーザーの詳細については、「Intune デバイスのプライマリ ユーザーを確認する」をご覧ください。

これは登録プロセスに加えられる変更であり、新しく登録されたデバイスにのみ適用されます。 既存の Hybrid Azure AD Join を使用したデバイスの場合、Azure AD の所有者プロパティを手動で更新する必要があります。 これを行うには、プライマリ ユーザーの変更機能またはスクリプトを使用できます。

Windows 10 デバイスに対して Hybrid Azure Active Directory Join が使用されるようになると、デバイスの最初のユーザーがエンドポイント マネージャーのプライマリ ユーザーになります。 現時点では、このユーザーは、対応する Azure AD デバイス オブジェクトでは設定されません。 これにより、Azure AD ポータルの "所有者" プロパティと Microsoft Endpoint Manager admin center の "プライマリ ユーザー" プロパティを比較したときに不整合が生じます。 Azure AD の所有者プロパティは、BitLocker 回復キーへのアクセスをセキュリティで保護するために使用されます。 このプロパティは、Hybrid Azure AD Join を使用したデバイスでは設定されません。 この制限により、Azure AD からの BitLocker 回復のセルフサービスの設定が妨げられます。 この今後の機能では、この制限が解決されます。

デバイス セキュリティ

macOS デバイスの FileVault 2 の暗号化中はユーザーに対して回復キーを非表示にする

macOS Endpoint Protection テンプレート内の FileVault カテゴリに、次の新しい設定を追加しました: 回復キーを非表示にする。 この設定により、FileVault 2 の暗号化中は、エンド ユーザーに対して個人用キーが非表示になります。

暗号化された macOS デバイスの個人用回復キーを表示する場合、デバイス ユーザーは次のいずれかの場所に移動し、macOS デバイスの [回復キーの取得] をクリックすることができます。

  • iOS/iPadOS ポータル サイト アプリ
  • Intune アプリ
  • ポータル サイト Web サイト
  • Android 用ポータル サイト アプリ

Android フル マネージドの Outlook での S/MIME 署名と暗号化証明書のサポート

Android Enterprise フル マネージドを実行するデバイス上の Outlook で、S/MIME 署名と暗号化に証明書を使用できるようになりました。

これにより、他の Android バージョンで先月追加されたサポート (Android 上の Outlook での S/MIME 署名と暗号化証明書のサポート) が拡張されます。 SCEP および PKCS がインポートされた証明書プロファイルを使用して、これらの証明書をプロビジョニングすることができます。

このサポートの詳細については、Exchange のドキュメントで「iOS および Android 向け Outlook での秘密度ラベルと保護」を参照してください。

コンプライアンス違反の電子メール通知を送信するために 通知メッセージ テンプレートを構成する場合は、新しい設定の ポータル サイト Web サイト リンク を使用して、ポータル サイト Web サイトへのリンクが自動的に含まれるようにします。 このオプションを [有効にする] に設定すると、このテンプレートに基づいて電子メールを受信する非準拠デバイスを持つユーザーは、リンクを使用して Web サイトを開き、自分のデバイスが準拠していない理由の詳細を知ることができます。

Android 用のコンプライアンス ポリシーでエンドポイントに対して Microsoft Defender を使用する

Intune を使用して、Android デバイスを Microsoft for Endpoint にオンボードできるようになりました。 登録済みデバイスがオンボードされた後、Android 用のコンプライアンス ポリシーでは、Microsoft Defender for Endpoint の "脅威レベル" シグナルを使用することができます。 これらは、Windows 10 デバイスで以前に使用できたものと同じシグナルです。

Android デバイス用に Defender for Endpoint Web 保護を構成する

Android デバイス用に Microsoft Defender for Endpoint を使用する場合は、Microsoft Defender for Endpoint Web 保護を構成して、フィッシング スキャン機能を無効にしたり、スキャンで VPN が使用されないようにしたりすることができます。

Android デバイスがどのように Intune に登録されるかに応じて、次のオプションを使用できます。

  • Android デバイス管理者 - カスタム OMA-URI 設定を使用して、Web 保護機能を無効にするか、スキャン中の VPN の使用のみを無効にします。
  • Android Enterprise 仕事用プロファイル - アプリ構成プロファイルと構成デザイナーを使用して、すべての Web 保護機能を無効にします。

ライセンス

管理者は Microsoft Endpoint Manager 管理コンソールにアクセスするための Intune ライセンスが不要になった

管理者が MEM 管理コンソールとクエリ グラフ API にアクセスするための Intune ライセンス要件を削除する、テナント全体の切り替えを設定できるようになりました。 ライセンス要件を削除してから復帰させることはできません。

注意

Teamviewer Connector フローを含む一部のアクションでは、引き続き Intune ライセンスを完了する必要があります。

監視とトラブルシューティング

エンドポイント分析を使用してユーザーの生産性を向上させ、IT サポート コストを削減する

次の週の間、この機能はロール アウトされます。エンドポイント分析は、ユーザー エクスペリエンスに関する分析情報を提供することで、ユーザーの生産性を向上させ、IT サポートのコストを削減することを目的としています。 IT 部門は、この分析情報を使用して、プロアクティブなサポートによりエンド ユーザー エクスペリエンスを最適化したり、構成変更がもたらすユーザーへの影響を評価して、ユーザー エクスペリエンスの低下を検知したりすることができます。 詳細については、エンドポイント分析のプレビューに関する記事を参照してください。

スクリプト パッケージを使用してエンド ユーザー デバイスの問題を事前に修復する

エンド ユーザー デバイスでスクリプト パッケージを作成して実行し、組織内の上位のサポート問題を事前に見つけて修復することができます。 スクリプト パッケージを展開することは、サポートへの問い合わせを減らすのに役立ちます。 独自のスクリプト パッケージを作成するか、当社が作成して社内で使用しているスクリプト パッケージのいずれかを展開するかを選択してサポート チケットを減らします。 Intune では、展開されたスクリプト パッケージの状態を確認したり、検出と修復の結果を監視したりすることができます。 Microsoft Endpoint Manager admin center で、 [レポート] > [エンドポイント分析] > [プロアクティブな修復] の順に選択します。 詳細については、「プロアクティブな修復」を参照してください。

スクリプト

macOS デバイスでのシェル スクリプトの可用性

macOS デバイス用のシェル スクリプトが、米国政府機関向けおよび中国のお客様にご利用いただけるようになりました。 シェル スクリプトの詳細については、「Intune で macOS デバイスに対してシェル スクリプトを使用する」を参照してください。

2020 年 5 月

アプリ管理

ARM64 デバイス上での Windows 32 ビット (x86) アプリ

ARM64 デバイスで利用可能なものとして展開されている Windows 32 ビット (x86) アプリが、ポータル サイトに表示されるようになりました。 Windows 32 ビット アプリについて詳しくは、Win32 アプリの管理に関するページをご覧ください。

Windows ポータル サイト アプリのアイコン

Windows ポータル サイト アプリのアイコンが更新されました。 ポータル サイトの詳細については、「Intune ポータル サイト アプリ、ポータル サイト Web サイト、および Intune アプリをカスタマイズする方法」をご覧ください。

iOS または iPadOS および macOS 用のポータル サイト アプリのアイコンの更新

より新しい外観を作成するために、ポータル サイトのアイコンが更新されました。これはデュアル スクリーン デバイスでサポートされ、Microsoft Fluent Design System と適合します。 更新されたアイコンを確認するには、「Intune エンド ユーザー アプリの UI 更新」をご覧ください。

ポータル サイトでセルフサービス デバイス アクションをカスタマイズする

ポータル サイト アプリと Web サイトでエンド ユーザーに表示される利用可能なセルフサービス デバイス アクションをカスタマイズすることができます。 意図しないデバイス アクションの防止に役立てるために、ポータル サイト アプリに対して設定を構成できます。そのためには、 [テナント管理] > [カスタマイズ] の順に選択します。 次の操作を実行できます。

VPP の利用可能なアプリの自動更新

Volume Purchase Program (VPP) の利用可能なアプリとして公開されるアプリは、VPP トークンに対して アプリの自動更新 が有効になっている場合、自動的に更新されるようになります。 以前は、VPP の利用可能なアプリは自動的に更新されませんでした。 代わりに、エンドユーザーはポータル サイトに移動し、新しいバージョンが利用可能な場合はアプリを再インストールする必要がありました。 必須アプリでは引き続き自動更新がサポートされています。

Android ポータル サイトのユーザー エクスペリエンス

2005 リリースの Android ポータル サイトでは、アプリ保護ポリシーによって警告、ブロック、またはワイプが発行された Android デバイスのエンドユーザーに、新しいユーザー エクスペリエンスが表示されるようになります。 現在のダイアログ エクスペリエンスの代わりに、エンドユーザーには、警告、ブロック、またはワイプの理由、および問題を修正するための手順を説明するメッセージがページ全体に表示されます。 詳細については、「Android デバイスでのアプリ保護のエクスペリエンス」と「Microsoft Intune の Android アプリ保護ポリシー設定」を参照してください。

macOS 用ポータル サイトでの複数アカウントのサポート

macOS デバイスのポータル サイトでユーザー アカウントがキャッシュされるようになり、サインインがより簡単になりました。 ユーザーは、アプリケーションを起動するたびにポータル サイトにサインインする必要がなくなりました。 また、複数のユーザー アカウントがキャッシュされている場合、ポータル サイトにアカウント ピッカーが表示されるため、ユーザーは自分のユーザー名を入力する必要がありません。

新しく利用可能な保護されたアプリ

次の保護されたアプリを使用できるようになりました。

  • Board Papers
  • Breezy for Intune
  • Hearsay Relate for Intune
  • ISEC7 Mobile Exchange Delegate for Intune
  • Lexmark for Intune
  • Meetio Enterprise
  • Microsoft Whiteboard
  • Now® Mobile - Intune
  • Qlik Sense Mobile
  • ServiceNow® Agent - Intune
  • ServiceNow® Onboarding - Intune
  • Smartcrypt for Intune
  • Tact for Intune
  • Zero - email for attorneys

保護されたアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

ポータル サイトから Intune ドキュメントを検索する

macOS アプリ用のポータル サイトから、Intune のドキュメントを直接検索できるようになりました。 メニュー バーで、 [ヘルプ] > [検索] の順に選択し、検索キー ワードを入力すれば、質問に対する回答がすばやく見つかります。

Android 用ポータル サイトで仕事用プロファイルの登録後にアプリを取得する方法がユーザーに示される

ユーザーがアプリをより簡単に見つけてインストールできるように、ポータル サイトのアプリ内ガイダンスが改善されました。 仕事用プロファイルの管理に登録した後、バッジ付きバージョンの Google Play でおすすめのアプリを見つける方法を説明するメッセージがユーザーに表示されます。 Android のプロファイルでデバイスを登録する方法に関する記事の最後の手順は、新しいメッセージを示すように更新されています。 また、ユーザーには、左側のポータル サイト ドロアーで新しい [アプリの取得] リンクが表示されます。 これらの新規および改善されたエクスペリエンスの場所を空けるために、 [アプリ] タブは削除されました。 更新された画面を確認するには、「Intune エンド ユーザー アプリの UI 更新」を参照してください。

デバイスの構成

Zebra Technologies デバイスの OEMConfig サポートの機能強化

Intune は、Zebra OEMConfig によって提供されるすべての機能を完全にサポートしています。 Android Enterprise と OEMConfig を使用して Zebra Technologies デバイスを管理しているお客様は、複数の OEMConfig プロファイルを 1 つのデバイスにデプロイできます。 また、Zebra OEMConfig プロファイルの状態に関する豊富なレポートを表示することもできます。

詳細については、「Microsoft Intuneで複数の OEMConfig プロファイルを Zebra デバイスにデプロイする」を参照してください。

他の OEM の OEMConfig の動作は変更されていません。

適用対象:

  • Android エンタープライズ
  • OEMConfig をサポートする Zebra Technologies デバイス。 サポートの詳細については、Zebra にお問い合わせください。

macOS デバイスでシステム拡張機能を構成する

macOS デバイスでは、カーネル レベルで設定を構成するためのカーネル拡張機能プロファイルを作成することができます ( [デバイス] > [構成プロファイル] > [macOS] (プラットフォーム) > [カーネル拡張機能] (プロファイル))。 Apple では、最終的にカーネル拡張機能を非推奨とし、今後のリリースでシステム拡張機能に置き換える予定です。

システム拡張機能はユーザー領域で実行され、カーネルへのアクセス権がありません。 目標は、カーネル レベルでの攻撃を制限しながら、セキュリティを強化し、さらにエンド ユーザー制御を提供することです。 カーネル拡張機能とシステム拡張機能の両方で、ユーザーは、オペレーティング システムのネイティブ機能を拡張するアプリ拡張機能をインストールできます。

Intune では、カーネル拡張機能とシステム拡張機能の両方を構成できます ( [デバイス] > [構成プロファイル] > [macOS] (プラットフォーム) > [システム拡張機能] (プロファイル))。 カーネル拡張機能は 10.13.2 以降に適用されます。 システム拡張機能は 10.15 以降に適用されます。 macOS 10.15 から macOS 10.15.4 では、カーネル拡張機能とシステム拡張機能を並行して実行できます。

macOS デバイスのこれらの拡張機能の詳細については、macOS 拡張機能の追加に関するページを参照してください。

適用対象:

  • macOS 10.15 以降

macOS デバイスでアプリとプロセスのプライバシー設定を構成する

macOS Catalina 10.15 のリリースでは、Apple によって新しいセキュリティとプライバシーの強化が加えられました。 既定では、アプリケーションとプロセスで、ユーザーの同意なしで特定のデータにアクセスすることはできません。 ユーザーが同意しない場合、アプリケーションとプロセスが機能しなくなる可能性があります。 Intune では、macOS 10.14 以降を実行しているデバイスでエンドユーザーに代わって、IT 管理者がデータ アクセスの同意を許可または許可しないようにできる設定のサポートを追加しています。 これらの設定により、アプリケーションとプロセスは引き続き正常に機能し、プロンプトの数が削減されます。

管理できる設定の詳細については、macOS のプライバシー設定に関するセクションを参照してください。

適用対象:

  • macOS 10.14 以降

デバイスの登録

登録制限でスコープ タグがサポートされます

登録制限にスコープ タグを割り当てられるようになりました。 そのためには、Microsoft Endpoint Manager admin center > [デバイス] > [登録制限] > [制限の作成] の順に移動します。 いずれかの種類の制限を作成すると、 [スコープ タグ] ページが表示されます。 詳細は、「登録制限を設定する」を参照してください。

HoloLens 2 デバイスの Autopilot サポート

Windows Autopilot で、HoloLens 2 デバイスがサポートされるようになりました。 HoloLens での Autopilot の使用の詳細については、Windows Autopilot for HoloLens 2に関する記事を参照してください。

デバイス管理

iOS での同期リモート アクションの一括使用

一度に最大 100 台の iOS デバイスに対して、同期リモート アクションを使用できるようになりました。 この機能を確認するには、Microsoft Endpoint Manager admin center > [デバイス] > [すべてのデバイス] > [デバイスの一括操作] の順に移動します。

自動デバイス同期間隔を 12 時間に短縮

Apple の自動デバイス登録では、Intune と Apple Business Manager の自動デバイス同期間隔が 24 時間から 12 時間に短縮されました。 同期の詳細については、「マネージド デバイスを同期する」を参照してください。

デバイス セキュリティ

Android デバイスでの DISA Purebred の派生資格情報のサポート

DISA Purebred を、Android Enterprise のフル マネージド デバイスで 派生資格情報として使用できるようになりました。 サポートには、DISA Purebred の派生資格情報の取得が含まれます。 アプリ認証、Wi-Fi、VPN、または S/MIME 署名や、それをサポートするアプリでの暗号化に、派生資格情報を使用できます。

非準拠に対するアクションとしてプッシュ通知を送信する

デバイスがコンプライアンス ポリシーの条件を満たせない場合にユーザーにプッシュ通知を送信する非準拠のアクションを構成できるようになりました。 新しいアクションは、 [エンド ユーザーにプッシュ通知を送信する] で、Android および iOS デバイスでサポートされています。

ユーザーがデバイスでプッシュ通知を選択すると、ポータル サイトまたは Intune アプリが開き、準拠していない理由の詳細が表示されます。

エンドポイント セキュリティのコンテンツと新機能

Intune のエンドポイント セキュリティに関するドキュメントを利用できるようになりました。 Microsoft Endpoint Manager admin center のエンドポイント セキュリティ ノードでは、次のことができます。

  • マネージド デバイスに重点を置いたセキュリティ ポリシーを作成して展開する
  • Microsoft Defender for Endpoint との統合を構成し、Defender for Endpoint チームによって特定された危険な状態のデバイスのリスクを修復するのに役立つセキュリティ タスクを管理する
  • セキュリティ ベースラインを構成する
  • デバイスのコンプライアンスと条件付きアクセス ポリシーを管理する
  • Configuration Manager がクライアント接続用に構成されている場合に、Intune と Configuration Manager の両方でデバイスのコンプライアンス対応状態を表示する

コンテンツが利用できることに加えて、今月のエンドポイント セキュリティの新機能は次のとおりです。

  • エンドポイント セキュリティ ポリシー" *プレビュー" でなくなり、"一般公開" として運用環境で使用できるようになりました。ただし、次の 2 つの例外があります。

    • 新しい "パブリック プレビュー" では、Windows 10 ファイアウォール ポリシーで Microsoft Defender ファイアウォール規則 プロファイルを使用できます。 このプロファイルの各インスタンスでは、Microsoft Defender ファイアウォール プロファイルを補完するために、最大 150 のファイアウォール規則を構成できます。
    • アカウント保護セキュリティポリシーはプレビューのままです。
  • エンドポイント セキュリティ ポリシーの複製を作成できるようになりました。 複製には、元のポリシーの設定構成が保持されますが、新しい名前が付けられます。 新しいポリシー インスタンスには、新しいポリシー インスタンスを編集して追加するまで、グループへの割り当ては含まれません。 次のポリシーを複製することができます。

    • ウイルス対策
    • ディスクの暗号化
    • ファイアウォール
    • エンドポイントの検出と応答
    • 攻撃の回避
    • アカウント保護
  • セキュリティ ベースラインの複製を作成できるようになりました。 複製には、元のベースラインの設定構成が保持されますが、新しい名前が付けられます。 新しいベースライン インスタンスでは、新しいベースライン インスタンスを編集して追加するまで、グループへの割り当ては含まれません。

  • エンドポイント セキュリティのウイルス対策ポリシーの新しいレポートを使用できます。Windows 10 の異常なエンドポイント。 このレポートは、エンドポイント セキュリティのウイルス対策ポリシーを表示するときに選択できる新しいページです。 このレポートには、MDM で管理されている Windows 10 デバイスのウイルス対策の状態が表示されます。

Android 上の Outlook での S/MIME 署名と暗号化証明書のサポート

Android 上の Outlook で S/MIME 署名と暗号化に証明書を使用できるようになりました。 このサポートにより、SCEP、PKCS、および PKCS がインポートされた証明書プロファイルを使用して、これらの証明書をプロビジョニングすることができます。 次の Android プラットフォームがサポートされます。

  • Android Enterprise 仕事用プロファイル
  • Android デバイス管理者

Android Enterprise フル マネージド デバイスのサポートは近日中に導入されます。

このサポートの詳細については、Exchange のドキュメントで「iOS および Android 向け Outlook での秘密度ラベルと保護」を参照してください。

エンドポイント検出と応答のポリシーを使用してデバイスを Defender for Endpoint にオンボードする

エンドポイント検出と応答 (EDR) のエンドポイント セキュリティ ポリシーを使用して、Microsoft Defender for Endpoint の展開のためにデバイスをオンボードして構成します。 EDR では、Intune (MDM) で管理されている Windows デバイスのポリシーと、Configuration Manager によって管理される Windows デバイス用の個別のポリシーがサポートされます。

Configuration Manager デバイスのポリシーを使用するには、EDR ポリシーをサポートするように Configuration Manager を設定する必要があります。 設定には次が含まれます。

  • "テナントのアタッチ" 用に Configuration Manager 構成する。
  • Configuration Manager のコンソール内の更新プログラムをインストールして、EDR ポリシーのサポートを有効にする。 この更新プログラムは、"テナントのアタッチ" を有効にした階層にのみ適用されます。
  • 階層のデバイス コレクションを Microsoft Endpoint Manager admin center に同期する。

監視とトラブルシューティング

デバイス レポートの UI の更新

[レポートの概要] ウィンドウに、 [概要][レポート] タブが表示されるようになりました。Microsoft Endpoint Manager admin center で、 [レポート] を選択し、 [レポート] タブを選択して、使用可能なレポートの種類を表示します。 関連情報については、「Intune のレポート」を参照してください。

スクリプト

macOS のスクリプト サポート

macOS のスクリプト サポートが一般公開されるようになりました。 さらに、Apple の自動デバイス登録 (旧称: Device Enrollment Program) に登録されているユーザー割り当てスクリプトと macOS デバイスの両方のサポートが追加されました。 詳細については、「Intune で macOS デバイスに対してシェル スクリプトを使用する」を参照してください。

アプリ管理

Microsoft Office 365 ProPlus 名前変更

Microsoft Office 365 ProPlus は Microsoft 365 Apps for enterprise に名前変更されています。 詳細については、「Office 365 ProPlus の名前の変更」を参照してください。 このドキュメントでは、これを通例 Microsoft 365 アプリと呼びます。 Microsoft Endpoint Manager admin center で、 [アプリ][Windows][追加] の順に選択して、このアプリを見つけることができます。 アプリを追加する方法の詳細については、「Microsoft Intune にアプリを追加する」を参照してください。

Android Enterprise デバイスで Outlook の S/MIME 設定を管理する

アプリ構成ポリシーを使用して、Android Enterprise を実行するデバイス上で Outlook の S/MIME 設定を管理できます。 また、デバイスのユーザーが Outlook の設定で S/MIME を有効または無効にすることを許可するかどうかも選択できます。 Android 用のアプリ構成ポリシーを使用するには、Microsoft Endpoint Manager admin center で、 [アプリ] > [アプリ構成ポリシー] > [追加] > [マネージド デバイス] の順に移動します。 Outlook の設定を構成する方法の詳細については、「Microsoft Outlook の構成設定」を参照してください。

マネージド Google Play アプリのプレリリース テスト

アプリのプレリリース テストに Google Play のクローズド テスト トラックを使用している組織は、Intune でこれらのトラックを管理できます。 テストを実行するために、Google Play の実稼働前のトラックに発行されたアプリをパイロット グループに選択的に割り当てることができます。 Intune では、アプリに運用前のビルド テスト トラックが発行されているかどうかや、そのトラックを Azure AD ユーザーまたはデバイス グループに割り当てることができるかどうかを確認できます。 この機能は、現在サポートされているすべての Android Enterprise シナリオ (仕事用プロファイル、フル マネージド、および専用) で利用できます。 Microsoft Endpoint Manager admin center で、 [アプリ] > [Android] > [追加] を選択して、マネージド Google Play アプリを追加できます。 詳細については、「マネージド Google Play のクローズド テスト トラックの操作」を参照してください。

Microsoft Teams は現在、Microsoft 365 for macOS に含まれています

Microsoft エンドポイント マネージャーで Microsoft 365 for macOS が割り当てられているユーザーは、既存の Microsoft 365 アプリ (Word、Excel、PowerPoint、Outlook、OneNote) に加えて、Microsoft Teams を受け取るようになります。 Intune は、他の Office for macOS アプリがインストールされている既存の Mac デバイスを認識し、次回デバイスが Intune にチェックインするときに Microsoft Teams のインストールを試行します。 Microsoft Endpoint Manager admin center で、 [アプリ] > [macOS] > [追加] の順に選択して、Office 365 Suite for macOS を見つけることができます。 詳しくは、「Microsoft Intune を使用して macOS デバイスに Office 365 を割り当てる」をご覧ください。

Android アプリ構成ポリシーの更新

Android アプリ構成ポリシーは、アプリ構成プロファイルを作成する前に、管理者がデバイス登録の種類を選択できるように更新されています。 この機能は、登録の種類 (仕事用プロファイルまたはデバイス所有者) に基づく証明書プロファイルのために追加されます。 この更新の内容は次のとおりです。

  1. 新しいプロファイルが作成され、デバイス登録の種類として [仕事用プロファイルとデバイス所有者プロファイル] が選択されている場合は、証明書プロファイルをアプリ構成ポリシーに関連付けることはできません。
  2. 新しいプロファイルが作成され、[仕事用プロファイルのみ] が選択されている場合は、[デバイスの構成] で作成された仕事用プロファイルの証明書ポリシーを利用できます。
  3. 新しいプロファイルが作成され、[デバイスの所有者のみ] が選択されている場合は、[デバイスの構成] で作成されたデバイスの所有者の証明書ポリシーを利用できます。

重要

この機能がリリースされる前 (2020 年 4 月リリース- 2004 年) に作成され、ポリシーに関連付けられている証明書プロファイルがない既存のポリシーは、デバイス登録の種類の既定値が [仕事用プロファイルとデバイス所有者プロファイル] になります。 また、この機能がリリースされる前に作成され、関連付けられている証明書プロファイルがある既存のポリシーは、既定値が [仕事用プロファイルのみ] になります。

さらに、仕事用プロファイルとデバイス所有者の両方の登録タイプに対して機能する、Gmail および Nine の電子メール構成プロファイルを追加しています。これには、両方の電子メール構成の種類での証明書プロファイルの使用が含まれます。 仕事用プロファイル用に [デバイスの構成] で作成した Gmail または Nine のポリシーはすべて、デバイスに引き続き適用されるため、アプリ構成ポリシーに移動する必要はありません。

Microsoft Endpoint Manager admin center で、 [アプリ] > [アプリ構成ポリシー] を選択して、アプリ構成ポリシーを検索できます。 アプリ構成ポリシーの詳細については、「Microsoft Intune 用アプリ構成ポリシー」を参照してください。

デバイスの所有権の種類が変更されたときのプッシュ通知

Android と iOS の両方のポータル サイト ユーザーに、自身のデバイスの所有権の種類が個人用から企業に変更されている場合に、プライバシーを尊重するため、プッシュ通知を送信するように構成できます。 既定では、このプッシュ通知はオフに設定されています。 この設定は、Microsoft エンドポイント マネージャーで [テナント管理] > [カスタマイズ] を選択すると見つかります。 デバイスの所有権がエンドユーザーに与える影響の詳細については、「デバイス所有権を変更する」を参照してください。

[カスタマイズ] ペインのグループのターゲット サポート

[カスタマイズ] ペインの設定をユーザー グループをターゲットにすることができます。 Intune でこれらの設定を見つけるには、Microsoft Endpoint Manager admin center に移動し、 [テナント管理] > [カスタマイズ] の順に選択します。 カスタマイズに関する詳細については、「Intune ポータル サイト アプリ、ポータル サイト Web サイト、および Intune アプリをカスタマイズする方法」を参照してください。

デバイスの構成

iOS、iPadOS、macOS でサポートされている、複数の "接続が試みられるたびに評価する" オンデマンド VPN 規則

Intune ユーザー エクスペリエンスでは、接続が試みられるたびに評価する アクションによって、同じ VPN プロファイル内で複数のオンデマンド VPN 規則を使用できます。( [デバイス] > [構成プロファイル] > [プロファイルの作成] > プラットフォームが [iOS/iPadOS] または [macOS] > プロファイルが [VPN] > [自動 VPN] > [オンデマンド] )。

リスト内の最初の規則のみが受け入れられます。 この動作は固定で、Intune によってリスト内のすべての規則が評価されます。 各規則は、オンデマンド規則リストに表示されている順序で評価されます。

注意

これらのオンデマンド VPN 規則を使用する既存の VPN プロファイルがある場合、次回 VPN プロファイルを変更したときに修正が適用されます。 たとえば、接続の名前を変更してから、プロファイルを保存するなど、小さな変更を行います。

認証に SCEP 証明書を使用している場合、この変更により、この VPN プロファイルの証明書が再発行されます。

適用対象:

  • iOS/iPadOS
  • macOS

VPN プロファイルの詳細については、「VPN プロファイルの作成」を参照してください。

iOS/iPadOS デバイスでの SSO および SSO アプリ拡張機能プロファイルの追加オプション

iOS/iPadOS デバイスでは、次のことができます。

  • SSO プロファイル ( [デバイス] > [構成プロファイル] > [プロファイルの作成] > プラットフォームに [iOS/iPadOS] > プロファイルに [デバイスの機能] > [シングル サインオン] ) で、Kerberos プリンシパル名が SSO プロファイルのセキュリティ アカウント マネージャー (SAM) アカウント名になるように設定します。
  • SSO アプリ拡張機能プロファイル ( [デバイス] > [構成プロファイル] > [プロファイルの作成] > プラットフォームに [iOS/iPadOS] > プロファイルに [デバイスの機能] > [シングル サインオン アプリの拡張機能] ) で、新しい SSO アプリ拡張機能の種類を使用して、より少ないクリック回数で iOS/iPadOS Microsoft Azure AD 拡張機能を構成します。 共有デバイス モードでデバイスの Azure AD 拡張機能を有効にし、拡張機能固有データを拡張機能に送信できます。

適用対象:

  • iOS/iPadOS 13.0 以降

iOS/iPadOS デバイスでのシングル サインオンの使用に関する詳細については、シングル サインオン アプリの拡張機能の概要シングル サインオンの設定リストを参照してください。

macOS デバイス向けの新しいシェル スクリプト設定

macOS デバイス向けのシェル スクリプトを構成するときに、次の新しい設定を構成できるようになりました。

  • デバイスでスクリプトの通知を非表示にする
  • スクリプトの頻度
  • スクリプトが失敗した場合の再試行回数の最大値

詳細については、「Intune で macOS デバイスに対してシェル スクリプトを使用する」を参照してください。

デバイスの登録

既定のプロファイルが存在する場合に、Apple 自動デバイス登録トークンを削除する

以前は、既定のプロファイルを削除できませんでした。これは、関連付けられている自動デバイス登録トークンを削除できなかったことを意味します。 次の場合にトークンを削除できるようになりました。

  • トークンに割り当てられているデバイスがない
  • 既定のプロファイルが存在する。それを行うには、既定のプロファイルを削除してから、関連付けられているトークンを削除します。 詳細については、「Intune から ADE トークンを削除する」を参照してください。

Apple 自動デバイス登録と Apple Configurator 2 デバイス、プロファイル、トークンの拡張されたサポート

分散した IT 部門と組織を支援するために、Intune では、トークンあたり最大 1000 の登録プロファイル、Intune アカウントあたり 2000 の自動デバイス登録 (旧称 DEP) トークン、およびトークンあたり 75000 のデバイスがサポートされるようになりました。 登録プロファイルあたりのデバイス数に特定の制限はなく、トークンあたりのデバイスの最大数未満です。

Intune では、最大 1000 の Apple Configurator 2 プロファイルがサポートされるようになりました。

詳細については、「サポートされるボリューム」を参照してください。

[すべてのデバイス] ページの列エントリの変更

すべてのデバイス ページで、管理者 列のエントリが変更されました。

  • MDM ではなく、Intune が 表示されるようになりました
  • MDM/ConfigMgr エージェント ではなく、 共同管理 が表示されるようになりました

エクスポート値は変更されていません。

デバイス管理

トラステッド プラットフォーム マネージャー (TPM) のバージョン情報がデバイス ハードウェア ページに表示される

デバイスのハードウェア ページに TPM バージョン番号が表示されるようになりました (Microsoft Endpoint Manager admin center > [デバイス] > デバイスの選択 > [ハードウェア] > [システム格納装置] の下を参照)。

Microsoft Endpoint Manager テナントのアタッチ:デバイスの同期とデバイスのアクション

Microsoft Endpoint Manager によって、Configuration Manager と Intune が 1 つのコンソールに統合されます。 Configuration Manager バージョン 2002 以降、ご利用の Configuration Manager デバイスをクラウド サービスにアップロードし、管理センターからそれらに対するアクションを実行できます。 詳細については、「Microsoft Endpoint Manager テナントのアタッチ: デバイスの同期とデバイスのアクション」を参照してください。

監視とトラブルシューティング

ログを収集して macOS デバイスに割り当てられているスクリプトのトラブルシューティングを改善する

macOS デバイスに割り当てられているスクリプトのトラブルシューティングを改善するために、ログを収集できるようになりました。 ログは、60 MB (圧縮) または 25 個のファイルのどちらか先に発生するまで収集できます。 詳細については、「ログ収集を使用した macOS シェル スクリプト ポリシーのトラブルシューティング」を参照してください。

セキュリティ

証明書によって Android Enterprise のフル マネージド デバイスをプロビジョニングするための派生資格情報

Intune では、Android デバイスの認証方法として、派生資格情報の使用がサポートされるようになりました。 派生資格情報は、証明書をデバイスに展開するためのアメリカ国立標準技術研究所 (NIST) 800-157 標準を実装したものです。 Android のサポートは、iOS/iPadOS を実行するデバイスのサポートを拡張したものです。

派生資格情報は、スマート カードのように、Personal Identity Verification (PIV) または Common Access Card (CAC) カードの使用に依存します。 モバイル デバイスのために派生資格情報を得るには、ユーザーは Microsoft Intune アプリから開始し、使用しているプロバイダーに固有の登録ワークフローに従います。 すべてのプロバイダーに共通することは、コンピューターのスマート カードを使用し、派生資格情報プロバイダーに対して認証するという要件です。 そのプロバイダーはその後、ユーザーのスマート カードから誘導されたデバイスに証明書を発行します。

VPN および Wi-Fi のデバイス構成プロファイル用の認証方法として派生資格情報を使用できます。 それらは、アプリ認証や、それをサポートするアプリケーションの S/MIME 署名と暗号化にも使用できます。

Intune では、Android で次の派生資格情報プロバイダーをサポートするようになりました。

  • Entrust
  • Intercede

サードパーティ プロバイダーの DISA Purebred は、今後のリリースで Android で使用できるようになります。

Microsoft Edge のセキュリティ ベースラインの一般提供が開始

Microsoft Edge のセキュリティ ベースラインの新しいバージョンの提供が開始され、一般公開 (GA) としてリリースされました。 以前の Microsoft Edge のベースラインはプレビュー段階でした。 新しいベースライン バージョンは 2020 年 4 月 (Microsoft Edge バージョン 80 以降) に含まれます。

この新しいベースラインのリリースによって、以前のベースライン バージョンに基づいてプロファイルを作成できなくなりますが、それらのバージョンで作成したプロファイルは引き続き使用できます。 また、最新のベースライン バージョンを使用するように、既存のプロファイルを更新することもできます。

2020 年 3 月

アプリ管理

Android 用ポータル サイトでのサインイン エクスペリエンスの向上

エクスペリエンスをユーザーにとってより新しく、シンプルでクリーンなものにするために、Android 用ポータル サイト アプリのいくつかのサインイン画面のレイアウトを更新しました。 機能強化の詳細については、「アプリの UI の新機能」を参照してください。

Win32 アプリ コンテンツをダウンロードするときに配信の最適化エージェントを構成する

配信の最適化エージェントを、割り当てに基づいてバックグラウンドまたはフォアグラウンド モードで Win32 アプリ コンテンツをダウンロードするように構成できます。 既存の Win32 アプリでは、コンテンツは引き続きバックグラウンド モードでダウンロードされます。 Microsoft Endpoint Manager admin center で、 [アプリ] > [すべてのアプリ] > "Win32 アプリを選択" > [プロパティ] の順に選択します。 [割り当て] の横にある [編集] を選択します。 [必須] セクションの [モード] の下で [含める] を選択して、割り当てを編集します。 [アプリの設定] セクションに新しい設定が表示されます。 配信の最適化の詳細については、「Win32 アプリ管理」の「配信の最適化」を参照してください。

iOS 用ポータル サイトでの横向きモードのサポート

ユーザーは、好みの画面の向きを使用して、デバイスを登録したり、アプリを検索したり、IT サポートを受けたりできるようになりました。 ユーザーが縦向きモードで画面をロックしない限り、アプリでは画面を縦向きまたは横向きモードに合わせて自動的に検出して調整します。

macOS デバイスのスクリプト サポート (パブリック プレビュー)

macOS デバイスにスクリプトを追加して展開できます。 このサポートにより、macOS デバイスを構成する機能が拡張され、macOS デバイスでネイティブの MDM 機能を使用してできること以上のことが可能になります。 詳細については、「Intune で macOS デバイスに対してシェル スクリプトを使用する」を参照してください。

macOS および iOS ポータル サイトの更新

macOS および iOS ポータル サイトの [プロファイル] ウィンドウが更新され、サインアウト ボタンが追加されました。 さらに、macOS ポータル サイトの [プロファイル] ウィンドウは UI が改善されました。 ポータル サイトの詳細については、「Microsoft Intune ポータル サイト アプリを構成する方法」をご覧ください。

iOS デバイス上の Microsoft Edge に Web クリップを再ターゲットする

保護されたブラウザーで開く必要がある、iOS デバイス上の新たに展開された Web クリップ (ピン留めされた Web アプリ) は、Intune Managed Browser ではなく Microsoft Edge で開かれます。 既存の Web クリップを再ターゲットして、Managed Browser ではなく Microsoft Edge で開くようにする必要があります。 詳細については、「Microsoft Edge と Microsoft Intune を使用して Web アクセスを管理する」および「Web アプリを Microsoft Intune に追加する」をご覧ください。

Android 用 Microsoft Edge で Intune 診断ツールを使用する

Android 用 Microsoft Edge が Intune 診断ツールと統合されました。 iOS 用 Microsoft Edge のエクスペリエンスと同様に、デバイス上の Microsoft Edge の URL バー (アドレス ボックス) に「about:intunehelp」と入力すると、Intune 診断ツールが開始されます。 このツールでは、詳細なログが提供されます。 ユーザーは、ガイドを利用しながら、これらのログを収集して IT 部門に送信したり、特定のアプリの MAM ログを表示したりできます。

Intune のブランド化とカスタマイズの更新

"ブランド化とカスタマイズ" という名前だった Intune ウィンドウが更新され、次のような改善が加えられました。

  • ペインの名前を カスタマイズ に変更。
  • 設定の編成と設計の改善。
  • 設定のテキストとヒントの改善。

Intune でこれらの設定を見つけるには、Microsoft Endpoint Manager admin center に移動し、 [テナント管理] > [カスタマイズ] の順に選択します。 既存のカスタマイズについては、「Microsoft Intune ポータル サイト アプリを構成する方法」を参照してください。

ユーザーの個人用の暗号化された回復キー

ユーザーが Android ポータル サイト アプリケーションまたは Android Intune アプリケーションを介して、Mac デバイスの個人用の暗号化された FileVault 回復キーを取得できるようにする、新しい Intune 機能を使用できます。 ポータル サイト アプリケーションと Intune アプリケーションの両方にリンクが表示されます。これを使用すると、Chrome ブラウザーで Web ポータル サイトが開き、そこでユーザーは Mac デバイスにアクセスするために必要な FileVault 回復キーを確認できます。 暗号化の詳細については、「Intune でデバイスの暗号化を使用する」を参照してください。

専用デバイスの登録の最適化

Android エンタープライズ専用デバイスの登録を最適化し、Wi-Fi に関連付けられた SCEP 証明書を 2019 年 11 月 22 日より前に登録した専用デバイスに適用しやすくしています。 新しい登録の場合、Intune アプリは引き続きインストールされますが、エンド ユーザーは登録中に Intune エージェントを有効にする 手順を実行する必要がなくなります。 インストールはバックグラウンドで自動的に行われ、Wi-Fi に関連付けられた SCEP 証明書はエンド ユーザーの介入なしで展開および設定できます。

これらの変更は、Intune サービス バックエンドの展開として 3 月中に段階的にロールアウトされます。 3 月の終わりまでに、すべてのテナントでこの新しい動作が実現されます。 関連情報については、「Android エンタープライズ専用デバイスでの SCEP 証明書のサポート」をご覧ください。

デバイスの構成

Windows デバイスに対する管理用テンプレートを作成するときの新しいユーザー エクスペリエンス

お客様からのフィードバックに基づき、新しい Azure の全画面表示エクスペリエンスへの移行に伴って、管理用テンプレート プロファイルのエクスペリエンスをフォルダー ビューを使用して再構築しました。 設定や既存のプロファイルに対する変更は加えられていません。 そのため、お使いの既存のプロファイルは変更されず、そのまま新しいビューで使用できます。 [すべての設定] を選択し、検索を使用することで、引き続きすべての設定オプションを参照できます。 ツリー ビューは、コンピューターの構成とユーザーの構成によって分割されます。 Windows、Office、Microsoft Edge の設定は、その関連するフォルダーに配置されます。

適用対象:

  • Windows 10 以降

IKEv2 VPN 接続を使用する VPN プロファイルでは iOS/iPadOS デバイスで常時接続を使用できる

iOS/iPadOS デバイスでは、IKEv2 接続を使用する VPN プロファイルを作成することができます ( [デバイス] > [構成プロファイル] > [プロファイルの作成] > プラットフォームの [iOS/iPadOS] > プロファイル タイプの [VPN] )。 現在、IKEv2 を使用して常時接続を構成できます。 構成すると、IKEv2 VPN プロファイルは自動的に接続され、VPN に接続されたままになります (またはすぐに再接続されます)。 ネットワーク間を移動したり、デバイスを再起動したりしても、接続されたままになります。

iOS/iPadOS では、常時接続 VPN は IKEv2 プロファイルに限定されます。

構成できる IKEv2 設定については、Microsoft Intune で iOS デバイス向けの VPN 設定を追加する方法に関する記事をご覧ください。

適用対象:

  • iOS/iPadOS

Android Enterprise デバイスで OEMConfig デバイス構成プロファイルのバンドルとバンドル配列を削除する

Android エンタープライズ デバイスでは、OEMConfig プロファイルを作成して構成します ( [デバイス] > [構成プロファイル] > [プロファイルの作成] > プラットフォームの [Android Enterprise] > プロファイルの種類の [OEMConfig] )。 現在、ユーザーは、Intune の 構成デザイナー を使用して、バンドルとバンドル配列を削除できます。

OEMConfig プロファイルの詳細については、「Microsoft Intune で、OEMConfig を使って Android Enterprise デバイスを使用および管理する」を参照してください。

適用対象:

  • Android エンタープライズ

iOS/iPadOS の Microsoft Azure AD SSO アプリ拡張機能を構成する

Microsoft Azure AD チームは、iOS/iPadOS 13.0 以降のユーザーが、1 回のサインオンで Microsoft アプリと Web サイトにアクセスできるようにするために、リダイレクト シングル サインオン (SSO) アプリ拡張機能を開発しました。 以前に Microsoft Authenticator アプリで仲介型認証を使用していたすべてのアプリは、新しい SSO 拡張機能で引き続き SSO を取得します。 Azure AD SSO アプリ拡張機能のリリースに伴い、リダイレクト SSO アプリ拡張機能の種類を使用して SSO 拡張機能を構成できます ( [デバイス] > [構成プロファイル] > [プロファイルの作成] > プラットフォームの [iOS/iPadOS] > プロファイルの種類の [デバイスの機能] > [シングル サインオン アプリ拡張機能] )。

適用対象:

  • iOS 13.0 以降
  • iPadOS 13.0 以降

iOS SSO アプリ拡張機能について詳しくは、「シングル サインオン アプリ拡張機能」をご覧ください。

[エンタープライズ アプリの信頼設定の変更] 設定が iOS/iPadOS デバイスの制限プロファイルから削除される

iOS/iPadOS デバイス上に、デバイスの制限プロファイルを作成します ( [デバイス] > [構成プロファイル] > [プロファイルの作成] > プラットフォームとして [iOS/iPadOS] > プロファイルの種類として [デバイスの制限] )。 [エンタープライズ アプリの信頼設定の変更] 設定は、Apple によって削除され、Intune から削除されます。 プロファイルで現在この設定を使用している場合、それは影響を及ぼさず、既存のプロファイルから削除されます。 この設定は、Intune のレポートからも削除されます。

適用対象:

  • iOS/iPadOS

制限できる設定を確認するには、機能を許可または制限するための iOS および iPadOS デバイスの設定に関するページに移動します。

トラブルシューティング:保留中の MAM ポリシーの通知が情報アイコンに変更されました

トラブルシューティング ブレードでの保留中の MAM ポリシーの通知アイコンが、情報アイコンに変更されました。

コンプライアンス ポリシーを構成するときの UI の更新

Microsoft Endpoint Manager で コンプライアンス ポリシーを作成するための UI が更新されました ( [デバイス] > [コンプライアンス ポリシー] > [ポリシー] > [ポリシーの作成] )。 以前に使用していたのと同じ設定と詳細情報を含む新しいユーザー エクスペリエンスが提供されます。 新しいエクスペリエンスでは、ウィザードのようなプロセスに従ってコンプライアンス ポリシーを作成することができ、ポリシーの [割り当て] を追加できるページと、ポリシーを作成する前に構成を確認できる [確認および作成] ページが含まれます。

非準拠デバイスをインベントリから削除する

任意のポリシーに追加できる、準拠していないデバイスに対する新しいアクション、準拠していないデバイスをインベントリから削除が追加されました。 この新しいアクション [準拠していないデバイスを削除します] を使用すると、そのデバイスから会社のデータがすべて削除され、また、そのデバイスが Intune による管理対象から削除されます。 このアクションは、構成した日数の値に達し、その時点でデバイスがインベントリから削除可能になったときに実行されます。 最小値は 30 日間です。 デバイスをインベントリから削除するには、IT 管理者の明示的な承認が必要になります。その場合、 [準拠していないデバイスを削除します] セクションを使用し、そこで管理者は対象となるすべてのデバイスをインベントリから削除できます。

iOS エンタープライズ Wi-Fi プロファイルでの WPA と WPA2 のサポート

iOS 用エンタープライズ Wi-Fi プロファイルで、 [セキュリティの種類] フィールドがサポートされるようになりました。 [セキュリティの種類] には、WPA エンタープライズ または WPA/WPA2 エンタープライズ のいずれかを選択した後、 [EAP の種類] の選択を指定できます。 ( [デバイス] > [構成プロファイル] > [プロファイルの作成] で、 [プラットフォーム][iOS/iPadOS] を選択し、 [プロファイル][Wi-Fi] を選択します)。

新しいエンタープライズ オプションは、iOS 用の基本的な Wi-Fi プロファイルに対して使用できたオプションと似ています。

証明書、電子メール、VPN、および Wi-Fi、VPN プロファイルの新しいユーザー エクスペリエンス

Endpoint Management 管理センターで次のプロファイルの種類の作成および変更を行うための ユーザー エクスペリエンスが更新されました ( [デバイス] > [構成プロファイル] > [プロファイルの作成] )。 新しいエクスペリエンスでは、以前と同じ設定が表示されますが、あまり水平スクロールを必要としないウィザードのようなエクスペリエンスが使用されます。 新しいエクスペリエンスで既存の構成を変更する必要はありません。

  • 派生資格情報
  • 電子メール
  • PKCS 証明書
  • PKCS のインポートされた証明書
  • SCEP 証明書
  • 信頼された証明書
  • VPN
  • Wi-Fi

Android および Android Enterprise デバイスでデバイス制限プロファイルを作成するときのユーザー インターフェイス エクスペリエンスの向上

Android または Android Enterprise デバイス用のプロファイルを作成するときの、Endpoint Management 管理センターのエクスペリエンスが更新されます。 この変更は、次のデバイス構成プロファイルに影響します ( [デバイス] > [構成プロファイル] > [プロファイルの作成] > プラットフォームの [Android デバイス管理者] または [Android Enterprise] )。

  • デバイスの制限:Android デバイス管理者
  • デバイスの制限:Android Enterprise デバイス所有者
  • デバイスの制限:Android Enterprise 仕事用プロファイル

構成できるデバイスの制限の詳細については、Android デバイス管理者Android Enterprise に関するページを参照してください。

iOS/iPadOS および macOS デバイスで構成プロファイルを作成するときのユーザー インターフェイス エクスペリエンスの向上

iOS または macOS デバイス用のプロファイルを作成するときの、エンドポイント管理センターのエクスペリエンスが更新されます。 この変更は、次のデバイス構成プロファイルに影響します ( [デバイス] > [構成プロファイル] > [プロファイルの作成] > プラットフォームの [iOS/iPadOS] または [macOS] ):

  • カスタム: iOS/iPadOS、macOS
  • デバイスの機能: iOS/iPadOS、macOS
  • デバイスの制限: iOS/iPadOS、macOS
  • エンドポイント保護: macOS
  • 拡張機能: macOS
  • 設定ファイル: macOS

macOS デバイスのデバイス機能でユーザー構成設定を非表示にする

macOS デバイスでデバイス機能の構成プロファイルを作成するときに、新しい設定 [ユーザーの構成を非表示にします] があります ( [デバイス] > [構成プロファイル] > [プロファイルの作成] > プラットフォームに [macOS] > プロファイルに [デバイスの機能] > [ログイン項目] )。

この機能では、macOS デバイスの [ユーザーとグループ] ログイン項目アプリのリストに、アプリの非表示のチェックマークが設定されます。 既存のプロファイルでは、この設定が未構成としてリスト内に表示されます。 この設定を構成するために、管理者は既存のプロファイルを更新できます。

[非表示] に設定すると、アプリの [非表示] チェックボックスがオンになり、ユーザーは変更することはできません。 また、ユーザーが自分のデバイスにサインインした後に、ユーザーに対してアプリを非表示にします。

Microsoft Intune とエンドポイント マネージャーでユーザーがデバイスにサインインした後に macOS デバイスでアプリを非表示にする

構成できる設定の詳細については、macOS デバイスの機能設定に関する記事を参照してください。

この機能は、以下に適用されます。

  • macOS

デバイスの登録

Android と iOS 用のポータル サイトで登録を使用できるようにするかどうかを構成する

Android および iOS デバイス上のポータル サイトでのデバイス登録を、プロンプトを表示して使用できるようにするか、プロンプトを表示せずに使用できるようにするか、またはユーザーが使用できないようにするかを構成できます。 Intune でこれらの設定を見つけるには、Microsoft Endpoint Manager admin center に移動し、 [テナント管理] > [カスタマイズ] > [編集] > [デバイスの登録] の順に選択します。

デバイス登録設定をサポートするには、エンド ユーザーに次のバージョンのポータル サイトが必要です。

  • iOS 上のポータル サイト: バージョン 4.4 以降
  • Android 上のポータル サイト: バージョン 5.0.4715.0 以降

既存のポータル サイトのカスタマイズについては、「Microsoft Intune ポータル サイト アプリを構成する方法」を参照してください。

デバイス管理

Android デバイスの概要ページの新しい Android レポート

Microsoft Endpoint Manager 管理コンソールの Android デバイスの概要ページに、各デバイス管理ソリューションに登録されている Android デバイスの数を表示するレポートが追加されました。 このグラフ (Azure コンソールに既にあるのと同じような) には、仕事用プロファイル、フル マネージド、専用、およびデバイス管理者が登録したデバイスの数が表示されます。 レポートを表示するには、 [デバイス] > [Android] > [概要] の順に選択します。

Android デバイス管理者の管理から仕事用プロファイルの管理にユーザーをガイドする

Android デバイス管理者プラットフォーム用の新しいコンプライアンス設定をリリースしています。 この設定を使用すると、デバイス管理者によって管理される場合にデバイスを非準拠にすることができます。

これらの非準拠デバイスでは、 [デバイス設定の更新] ページに、ユーザーに対して [新しいデバイス管理セットアップに移動する] メッセージが表示されます。 [解決] ボタンをタップすると、次のようにガイドされます。

  1. デバイス管理者の管理からの登録解除
  2. 仕事用プロファイルの管理への登録
  3. コンプライアンスに関する問題の解決

Google では、Android Enterprise を使用した最新のより豊富で安全なデバイス管理への移行の一環として、新しい Android リリースでデバイス管理者のサポートが縮小されています。 Intune では、Android 10 以降を実行している、デバイス管理者が管理する Android デバイスのフル サポートを 2020 年第 2 四半期までのみ提供できます。 これを過ぎると、Android 10 以降を実行している、デバイス管理者が管理するデバイス (Samsung を除く) は、完全には管理できなくなります。 具体的には、影響を受けるデバイスが新しいパスワード要件を受け取ることはありません。

この設定の詳細については、「Android デバイスをデバイス管理者から仕事用プロファイル管理に移動する」をご覧ください。

Microsoft Endpoint Manager admin center の新しい URL

昨年の Ignite での Microsoft エンドポイント マネージャーの発表に合わせて、Microsoft Endpoint Manager admin center (旧称 Microsoft 365 デバイス管理) の URL を https://endpoint.microsoft.com に変更しました。 古い管理センターの URL (https://devicemanagement.microsoft.com) は引き続き機能しますが、新しい URL を使用して Microsoft Endpoint Manager admin center へのアクセスを開始することをお勧めします。

詳細については、「Microsoft Endpoint Manager admin center を使用して IT タスクを簡略化する」を参照してください。

Windows デバイスのプライマリ ユーザーを変更する

Windows ハイブリッド デバイスと Azure AD 参加済みデバイスのプライマリ ユーザーを変更できます。 これを行うには、 [Intune] > [デバイス] > [すべてのデバイス] > デバイスを選択 > [プロパティ] > [プライマリ ユーザー] を選択します。 詳細については、「デバイスのプライマリ ユーザーを変更する」をご覧ください。

このタスクに対して、新しい RBAC アクセス許可 (マネージド デバイス/プライマリ ユーザーの設定) も作成されています。 このアクセス許可は、ヘルプデスク オペレーター、学校管理者、エンドポイント セキュリティ マネージャーなどの組み込みロールに追加されています。

この機能は、プレビューとしてグローバルにお客様にロールアウトされています。 この機能は、今後数週間以内に表示されるはずです。

Microsoft Endpoint Manager テナントのアタッチ:デバイスの同期とデバイスのアクション

Microsoft Endpoint Manager によって、Configuration Manager と Intune が 1 つのコンソールに統合されます。 Configuration Manager Technical Preview バージョン 2002.2 以降、ご利用の Configuration Manager デバイスをクラウド サービスにアップロードし、管理センターからそれらに対するアクションを実行できます。 詳細については、Configuration Manager Technical Preview バージョン 2002.2 の機能に関する記事をご覧ください。

この更新プログラムをインストールする前に、Configuration Manager Technical Preview に関する記事をご確認ください。 この記事により、Technical Preview の使用に関する一般的な要件と制限事項、バージョン間の更新方法、フィードバックを提供する方法についての理解を深めることができます。

一括リモート操作

次のリモート操作に対して、一括コマンドを発行できるようになりました: 再起動、名前変更、Autopilot リセット、ワイプ、削除。 新しい一括操作を表示するには、Microsoft Endpoint Manager admin center > [デバイス] > [すべてのデバイス] > [Bulk actions](一括操作) の順に移動します。

すべてのデバイス リストで検索、並べ替え、フィルターが改善

[すべてのデバイス] リストが改善され、パフォーマンスが上がり、検索、並べ替え、フィルター処理の各種機能が強化されました。 詳細については、こちらのサポート ヒントに関する記事をご覧ください。

監視とトラブルシューティング

データ ウェアハウスでの MAC アドレスの提供開始

Intune データ ウェアハウスでは、device エンティティ内の新しいプロパティ (EthernetMacAddress) として MAC アドレスが提供され、管理者がユーザーとホスト間の MAC アドレスを関連付けることができるようになります。 このプロパティは、特定のユーザーに接続し、そのネットワーク上で発生しているインシデントをトラブルシューティングするのに役立ちます。 また、管理者は、Power BI レポート内でこのプロパティを使用し、より豊富な機能を備えたレポートを作成することもできます。 詳細については、Intune データ ウェアハウスの device エンティティを参照してください。

追加のデータ ウェアハウス デバイス インベントリ プロパティ

Intune データ ウェアハウスを使用して、追加のデバイス インベントリ プロパティを使用できます。 次のプロパティが、device ベータ版コレクションを介して公開されるようになりました。

  • ethernetMacAddress - このデバイスの一意のネットワーク識別子。
  • model - デバイスのモデル。
  • office365Version - デバイスにインストールされている Microsoft 365 のバージョン。
  • windowsOsEdition - オペレーティング システムのバージョン。

次のプロパティが、devicePropertyHistory ベータ版コレクションを介して公開されるようになりました。

  • physicalMemoryInBytes - 物理メモリ (バイト単位)。
  • totalStorageSpaceInBytes - 記憶域の合計容量 (バイト単位)。

詳細については、「Microsoft Intune データ ウェアハウス API」を参照してください。

追加サービスをサポートするためのヘルプとサポート ワークフローの更新

Microsoft Endpoint Manager admin center の [ヘルプとサポート] ページが更新され、使用する管理の種類を選択できるようになりました。 この変更により、次の管理の種類から選択できるようになります。

  • Configuration Manager (Desktop Analytics を含む)
  • Intune
  • 共同管理

セキュリティ

エンドポイント セキュリティの一部としてセキュリティ管理者に焦点を当てたポリシーのプレビューを使用する

パブリック プレビューとして、Microsoft Endpoint Management 管理センターのエンドポイント セキュリティ ノードに、いくつかの新しいポリシー グループが追加されました。 セキュリティ管理者は、これらの新しいポリシーを使用してデバイス セキュリティに関する特定の側面に焦点を当て、より大きなデバイス構成ポリシー本文によるオーバーヘッドを発生させることなく、関連する設定の個別のグループを管理できます。

"Microsoft Defender ウイルス対策のウイルス対策ポリシー" を除き (下記参照)、これらの新しいプレビューの各ポリシーおよびプロファイルの設定は、現在既に デバイス構成プロファイルを使用して構成している可能性がある設定と同じものです。

すべてプレビューである新しいポリシーの種類と、その使用可能なプロファイルの種類を次に示します。

  • [ウイルス対策 (プレビュー)] :

    • macOS:

    • Windows 10 以降:

      • [Microsoft Defender ウイルス対策] - クラウド保護、ウイルス対策の除外、修復、スキャン オプションなどのための ウイルス対策ポリシーの設定を管理します。

        [Microsoft Defender ウイルス対策] のウイルス対策プロファイルは、デバイス制限プロファイルの一部として検出される、設定の新しいインスタンスを導入する例外です。 これらの新しいウイルス対策の設定は:

        • デバイス制限で使用されるのと同じ設定ですが、デバイス制限として構成する場合は使用できない、構成の 3 番目のオプションがサポートされています。
        • Endpoint Protection の共同管理ワークロードのスライダーが Intune に設定されている場合に、Configuration Manager で共同管理されているデバイスに適用されます。

      デバイス制限プロファイルを使用して構成する代わりに、新しい [ウイルス対策] > [Microsoft Defender ウイルス対策] プロファイルを使用することを計画してください。

    • [Windows セキュリティ エクスペリエンス] - エンド ユーザーが Microsoft Defender セキュリティ センターで表示できる Windows セキュリティ設定と、エンド ユーザーが受信する通知を管理します。 これらの設定は、デバイス構成 Endpoint Protection プロファイルとして使用できる設定から変更されていません。

  • [ディスク暗号化 (プレビュー)] :

    • macOS:
      • FileVault
    • Windows 10 以降:
      • BitLocker
  • [ファイアウォール (プレビュー)] :

    • macOS:
      • [macOS ファイアウォール]
    • Windows 10 以降:
      • Microsoft Defender ファイアウォール
  • [エンドポイントの検出と応答 (プレビュー)] :

    • Windows 10 以降:-Windows 10 Intune
  • [攻撃面の減少 (プレビュー)] :

    • Windows 10 以降:
      • [アプリとブラウザーの分離]
      • [Web 保護]
      • [アプリケーションの制御]
      • [攻撃の回避規則]
      • [デバイス制御]
      • [悪用に対する保護]
  • [アカウント保護 (プレビュー)] :

    • Windows 10 以降:
      • [アカウント保護]

2020 年 2 月

アプリ管理

macOS 用 Microsoft Defender for Endpoint アプリ

Intune を使用すると、macOS 用 Microsoft Defender for Endpoint アプリを管理対象 Mac デバイスに簡単に展開できます。 詳細については、「Microsoft Intune を使用して Microsoft Defender for Endpoint を macOS デバイスに追加する」と「Mac 用 Microsoft Defender for Endpoint」を参照してください。

macOS ポータル サイトのユーザー エクスペリエンスの向上

macOS デバイスを登録しやすくし、Mac 用ポータル サイト アプリを改善しました。 次の点が改善されています。

  • 登録時の Microsoft AutoUpdate エクスペリエンスが向上し、ユーザーが最新バージョンのポータル サイトを確実に使用できるようになります。
  • 登録時のコンプライアンス チェック手順が強化されます。
  • インシデント ID のコピーがサポートされるため、ユーザーは自分のデバイスから会社のサポート チームにエラーを迅速に送信することができます。

Mac の登録とポータルサイトアプリの詳細については、「ポータル サイト アプリを使用して macOS デバイスを登録する」を参照してください。

Better Mobile のアプリ保護ポリシーで iOS と iPadOS がサポートされるようになりました

2019 年 10 月に、Intune アプリ保護ポリシーに、Microsoft の脅威防御パートナーのデータを使用する機能が追加されました。 この更新により、アプリ保護ポリシーを使用して、iOS と iPadOS で Better Mobile を使用するデバイスの正常性に基づいてユーザーの企業データをブロックしたり選択的にワイプしたりできるようになりました。 詳細については、「Intune で Mobile Threat Defense アプリ保護ポリシーを作成する」をご覧ください。

Windows 10 デバイスの Microsoft Edge バージョン 77 以降

Intune で、Windows 10 デバイスでの Microsoft Edge バージョン 77 以降のアンインストールがサポートされるようになりました。 詳細については、「Microsoft Edge for Windows 10 を Microsoft Intune に追加する」を参照してください。

ポータル サイトの Android 仕事用プロファイルの登録から削除される画面

ユーザー エクスペリエンスを効率化するために、ポータル サイトの Android 仕事用プロファイルの登録フローから [次の手順] 画面が削除されました。 更新後の Android 仕事用プロファイルの登録フローを確認するには、Android 仕事用プロファイルへの登録に関する記事を参照してください。

ポータル サイト アプリのパフォーマンスの向上

ポータル サイト アプリが更新され、Surface Pro X などの ARM64 プロセッサを使用したデバイス向けのパフォーマンスの向上がサポートされました。これまでは、ポータル サイトはエミュレートされた ARM32 モードで動作していました。 現在、バージョン 10.4.7080.0 以降では、ポータル サイト アプリは ARM64 用にネイティブ コンパイルされています。 ポータル サイト アプリの詳細については、「Microsoft Intune ポータル サイト アプリを構成する方法」をご覧ください。

Microsoft の新しい Office アプリ

Microsoft の新しい Office アプリが一般公開され、ダウンロードして使用できるようになりました。 Office アプリは統合環境であり、ユーザーは 1 つのアプリ内で Word、Excel、PowerPoint をまたいで作業できます。 アクセスするデータが保護されるよう、アプリをアプリ保護ポリシーの対象にできます。

詳細については、「Office モバイル プレビュー アプリで Intune アプリ保護ポリシーを有効にする方法」を参照してください。

デバイスの構成

iOS デバイスで Cisco AnyConnect VPN を利用し、ネットワーク アクセス制御 (NAC) を有効にする

iOS デバイスで、VPN プロファイルを作成し、Cisco AnyConnect など ( [デバイス構成] > [プロファイル] > [プロファイルの作成] の順に選択し > プラットフォームに [iOS] を選択し、プロファイルの種類に [VPN] を選択し、接続の種類に [Cisco AnyConnect] を選択する)、さまざまな種類の接続を使用できます。

Cisco AnyConnect を利用し、ネットワーク アクセス制御 (NAC) を有効にできます。 この機能を使用するには、以下を行います。

  1. Cisco Identity Services Engine 管理者ガイド」の「Configuring Microsoft Intune as an MDM Server」(Microsoft Intune の MDM サーバーとしての構成) に記載されている手順を利用し、Azure で Cisco Identity Services Engine (ISE) を構成します。
  2. Intune デバイス構成プロファイルで、 [ネットワーク アクセス制御 (NAC) を有効にする] 設定を選択します。

利用できる VPN 設定については、iOS デバイスへの VPN 設定の構成に関する記事を参照してください。

デバイスの登録

[Apple MDM プッシュ通知証明書] ページのシリアル番号

[Apple MDM プッシュ通知証明書] ページにシリアル番号が表示されるようになりました。 証明書を作成した Apple ID へのアクセスが失われた場合に、Apple MDM プッシュ通知証明書へのアクセスを回復するには、シリアル番号が必要です。 シリアル番号を表示するには、 [デバイス] > [iOS] > [iOS enrollment](iOS の登録) > [Apple MDM プッシュ通知証明書] に移動します。

デバイス管理

登録された iOS デバイスまたは iPadOS デバイスに OS 更新プログラムをプッシュするための新しい更新スケジュール オプション

iOS/iPadOS デバイスのオペレーティング システムの更新をスケジュールするとき、次のオプションから選択できます。 これらのオプションは、Apple Business Manager または Apple School Manager の登録タイプを使用したデバイスに適用されます。

  • 次回のチェックイン時に更新する
  • スケジュールされた時刻に更新する
  • スケジュールされた時刻以外に更新する

後者の 2 つのオプションでは、複数の時間帯を作成できます。

新しいオプションを確認するには、MEM > [デバイス] > [iOS] > [Update policies for iOS/iPadOS](iOS または iPadOS のポリシーを更新する) > [プロファイルの作成] に移動します。

登録されたデバイスにプッシュする iOS または iPadOS の更新プログラムを選択する

Apple Business Manager または Apple School Manager を使用すると、登録されたデバイスにプッシュする特定の iOS/iPadOS の更新プログラムを選択できます (最新の更新プログラムを除く)。 これらのデバイスでは、ソフトウェア更新プログラムの可視性を一定の日数だけ遅らせるようにデバイス構成ポリシーを設定する必要があります。 この機能を確認するには、MEM > [デバイス] > [iOS] > [Update policies for iOS/iPadOS](iOS または iPadOS のポリシーを更新する) > [プロファイルの作成] に移動します。

すべてのデバイスのリストのエクスポートが CSV 形式で圧縮されるようになりました

[デバイス] > [すべてのデバイス] ページからのエクスポートが CSV 形式で圧縮されるようになりました。

Windows 7 の延長サポートの終了

Windows 7 の延長サポートは、2020 年 1 月 14 日に終了しました。 同時に、Intune では Windows 7 を稼働しているデバイスのサポートが非推奨になりました。 PC の保護に役立つ技術的なサポートや自動更新が利用できなくなりました。 Windows 10 にアップグレードする必要があります。 詳細については、変更の計画に関するブログ記事を参照してください。

デバイス セキュリティ

Intune レポート エクスペリエンスの向上

Intune では、新しいレポートの種類、より優れたレポート編成、より対象を絞ったビュー、より優れたレポート機能、より一貫性のあるタイムリーなデータを含め、レポート エクスペリエンスが向上しています。 レポート エクスペリエンスは、パブリック プレビューから GA (一般公開) に移行します。 また、GA リリースでは、Microsoft Endpoint Manager 管理センターのタイルで、ローカライズ サポート、バグ修正、設計の改善、デバイス コンプライアンス データの集計を行うことができます。

新しいレポートの種類では、次の情報に重点が置かれています。

  • 運用 - 正常性への悪影響に焦点を置いた最新のレコードが表示されます。
  • 組織 - 全体的な状態の概要が表示されます。
  • 履歴 - 一定期間におけるパターンと傾向が表示されます。
  • スペシャリスト - 生データを使用して独自のカスタム レポートを作成できます。

新しいレポートの最初のセットでは、デバイスのコンプライアンスに重点が置かれています。 詳細については、ブログ - Microsoft Intune レポート フレームワークおよびIntune レポートに関するページを参照してください。

UI でセキュリティ ベースラインの場所を統合

いくつかの UI の場所から セキュリティ ベースライン を削除し、パスを統合して、Microsoft Endpoint Manager admin center で セキュリティ ベースラインを見つけられるようにしました。 セキュリティ ベースラインを見つける場合、今後は次のパスを使用します。エンドポイント セキュリティ > セキュリティ ベースライン

インポートした PKCS 証明書のサポート拡張

インポートされた PKCS 証明書を使用するためのサポートが拡張され、"Android Enterprise フル マネージド デバイス" がサポートされるようになりました。 一般的に、PFX 証明書のインポートは S/MIME 暗号化シナリオで利用されます。ここでは、電子メールを復号化できるよう、ユーザーのすべてのデバイスでユーザーの暗号化証明書が必須となります。

次のプラットフォームでは、PFX 証明書のインポートがサポートされています。

  • Android - デバイス管理者
  • Android Enterprise - フル マネージド
  • Android Enterprise - 仕事用プロファイル
  • iOS
  • Mac
  • Windows 10

デバイスのエンドポイント セキュリティ構成を表示する

特定のデバイスに適用されるエンドポイント セキュリティ構成を表示する目的で、Microsoft Endpoint Manager admin center のオプションの名前を更新しました。 このオプションの名前は エンドポイント セキュリティ構成 に変更されました。該当するセキュリティ ベースラインと、セキュリティ ベースラインの外部で作成された追加ポリシーを示すためです。 このオプションの以前の名前は "セキュリティ ベースライン" でした。

ロール ベースのアクセス制御

Intune ロールのユーザー インターフェイスが変更予定

Microsoft Endpoint Manager admin center > [テナント管理] > [ロール] のユーザー インターフェイスが改善され、ユーザーにとって使いやすく、直観的なデザインになりました。 このエクスペリエンスでは、現在使用しているのと同じ設定と詳細が提供されます。ただし、新しいエクスペリエンスでは、ウィザードに似たプロセスが採用されています。

2020 年 1 月

アプリ管理

macOS 用の追加の Microsoft Edge バージョン 77 展開チャネルの Intune サポート

Microsoft Intune で、macOS 用 Microsoft Edge アプリの追加の [安定] 展開チャネルがサポートされるようになりました。 [安定] チャネルは、Microsoft Edge をエンタープライズ環境で幅広く展開する場合に推奨されるチャネルです。 これは 6 週間ごとに更新され、各リリースには [Beta] チャネルからの機能強化が組み込まれています。 [安定] および [Beta] チャネルに加えて、Intune では [Dev] チャネルもサポートされています。 パブリック プレビューでは、macOS 用の Microsoft Edge バージョン 77 以降の [安定] および [Dev] チャネルが提供されます。 ブラウザーの自動更新は、既定で有効になっています。 詳細については、Microsoft Intune を使用した macOS デバイスへの Microsoft Edge の追加に関する記事をご覧ください。

Intune Managed Browser の提供終了

Intune Managed Browser の提供は終了します。 保護された Intune ブラウザー エクスペリエンスには Microsoft Edge を使用してください。

Intune にアプリを追加するときのユーザー エクスペリエンスの変更

Intune を使用してにアプリを追加するときに、新しいユーザー エクスペリエンスを確認できます。 このエクスペリエンスでは、以前使用していたのと同じ設定と詳細が提供されます。ただし、新しいエクスペリエンスでは、Intune にアプリを追加する前に、ウィザードに似たプロセスが実行されます。 この新しいエクスペリエンスでは、アプリを追加する前にレビュー ページも提供されます。 Microsoft Endpoint Manager 管理センターから、 [アプリ] > [すべてのアプリ] > [追加] の順に選択します。 詳しくは、「Microsoft Intune にアプリを追加する」をご覧ください。

Win32 アプリの再起動を要求する

正常にインストールされた後、Win32 アプリの再起動を要求することができます。 また、再起動が発生するまでの時間 (猶予期間) を選択することもできます。

Intune でアプリを構成するときのユーザー エクスペリエンスの変更

Intune でアプリ構成ポリシーを作成するときに、新しいユーザー エクスペリエンスを確認できます。 このエクスペリエンスでは、以前使用していたのと同じ設定と詳細が提供されます。ただし、新しいエクスペリエンスでは、Intune にポリシーを追加する前に、ウィザードに似たプロセスが実行されます。 Microsoft Endpoint Manager admin center から、 [アプリ] > [アプリ構成ポリシー] > [追加] の順に選択します。 詳細については、「Microsoft Intune 用アプリ構成ポリシー」を参照してください。

追加の Windows 10 用 Microsoft Edge 展開チャネルの Intune サポート

Microsoft Intune で、Windows 10 用 Microsoft Edge (バージョン 77 以降) アプリの追加の [安定] 展開チャネルがサポートされるようになりました。 [安定] チャネルは、Windows 10 用 Microsoft Edge をエンタープライズ環境で幅広く展開する場合に推奨されるチャネルです。 このチャネルは 6 週間ごとに更新され、各リリースには [Beta] チャネルからの機能強化が組み込まれています。 [安定] および [Beta] チャネルに加えて、Intune では [Dev] チャネルもサポートされています。 詳細については、Windows 10 用 Microsoft Edge - アプリ設定の構成に関する記事をご覧ください。

Microsoft Outlook for iOS での S/MIME のサポート

Intune では、iOS デバイス上の Outlook for iOS で使用できる S/MIME 署名証明書と暗号化証明書の配信がサポートされています。 詳細については、「iOS 向けおよび Android 向け Outlook の秘密度ラベルと保護」を参照してください。

Microsoft 接続キャッシュ サーバーを使用して Win32 アプリのコンテンツをキャッシュする

Configuration Manager の配布ポイントに Microsoft 接続キャッシュ サーバーをインストールして、Intune Win32 アプリのコンテンツをキャッシュできます。 詳細については、「Configuration Manager における Microsoft 接続済みキャッシュ」の「Intune Win32 アプリのサポート」を参照してください。

デバイスの構成

Exchange ActiveSync のオンプレミス コネクタ UI を構成するときのユーザー インターフェイス エクスペリエンスの向上

Exchange ActiveSync のオンプレミス コネクタを構成するためのエクスペリエンスが更新されました。 更新されたエクスペリエンスでは、1 つのペインを使用して、オンプレミス コネクタの詳細を構成、編集、および要約することができます。

Android エンタープライズ仕事用プロファイルの Wi-Fi プロファイルに自動プロキシ設定を追加する

Android Enterprise 仕事用プロファイル デバイスで、Wi-Fi プロファイルを作成できます。 Wi-Fi Enterprise の種類を選択した場合は、Wi-Fi ネットワークで使用される拡張認証プロトコル (EAP) の種類を入力することもできます。

今回、Enterprise の種類を選択したときに、プロキシ サーバーの URL (例: proxy.contoso.com) などの自動プロキシ設定も入力できるようになりました。

現在構成できる Wi-Fi の設定については、Microsoft Intune で Android エンタープライズおよび Android キオスクを稼働しているデバイス用の Wi-Fi 設定を追加する方法に関する記事を参照してください。

適用対象:

  • Android Enterprise 仕事用プロファイル

デバイスの登録

デバイスの製造元で Android の登録をブロックする

デバイスの製造元に基づいてデバイスの登録をブロックすることができます。 この機能は、Android デバイス管理者と Android Enterprise 仕事用プロファイル デバイスに適用されます。 登録制限を確認するには、Microsoft Endpoint Manager admin center > [デバイス] > [登録制限] の順に移動します。

iOS、iPadOS の [登録の種類のプロファイルの作成] UI の機能強化

iOS、iPadOS のユーザー登録に関して、 [登録の種類のプロファイルの作成][設定] ページが合理化され、 [登録の種類] の選択プロセスが強化されました (機能は同じです)。 新しい UI を確認するには、Microsoft Endpoint Manager admin center > [デバイス] > [iOS] > [iOS の登録] > [登録の種類] > [プロファイルの作成] > [設定] の順に移動します。 詳細については、「Intune でユーザー登録プロファイルを作成する」を参照してください。

デバイス管理

デバイスの詳細の新しい情報

デバイスの [概要] ページに、次の情報が追加されました。

  • メモリ容量 (デバイスの物理メモリの容量)
  • ストレージ容量 (デバイスの物理ストレージの容量)
  • CPU アーキテクチャ

iOS の [アクティベーション ロックのバイパス] リモート操作の [アクティベーション ロックの無効化] への名前変更

リモート操作 [アクティベーション ロックのバイパス] の名前が、 [アクティベーション ロックの無効化] に変更されています。 詳細については、Intuneで iOS のアクティベーション ロックを無効にする方法に関する記事をご覧ください。

Autopilot デバイスに対する Windows 10 機能更新プログラムの展開のサポート

Intune では、Windows 10 機能更新プログラムの展開を使用して Autopilot に登録されたデバイスを対象にすることができるようになりました。

Windows 10 の機能更新ポリシーは、Autopilot の Out-of-Box Experience (OOBE) 中には適用できず、デバイスのプロビジョニングの完了後 (通常は 1 日)、最初の Windows Update のスキャン時にのみ適用されます。

監視とトラブルシューティング

Windows Autopilot の展開レポート (プレビュー)

新しいレポートでは、Windows Autopilot によって展開された各デバイスについて詳しく報告されます。 詳しくは、Autopilot の展開レポートに関するページをご覧ください。

ロール ベースのアクセス制御

新しい Intune 組み込みロールであるエンドポイント セキュリティ マネージャー

新しい Intune 組み込みロール: エンドポイント セキュリティ マネージャーを利用できます。 この新しいロールにより、管理者には、Intune の Endpoint Manager ノードへのフル アクセス権、およびその他の領域への読み取り専用アクセス権が付与されます。 このロールは、Azure AD の "セキュリティ管理者" ロールを拡張したものです。 現在、ロールとしてグローバル管理者のみを使用している場合、変更は必要ありません。 複数のロールを使用し、エンドポイント セキュリティ マネージャーで提供される粒度が必要な場合は、使用可能であればこのロールを割り当ててください。 組み込みロールの詳細については、ロールベースのアクセス制御に関するページを参照してください。

Windows 10 管理用テンプレート (ADMX) プロファイルでのスコープ タグのサポートの開始

スコープ タグを管理用テンプレート プロファイル (ADMX) に割り当てることができるようになりました。 これを行うには、 [Intune] > [デバイス] > [構成プロファイル] に移動し、一覧から管理用テンプレート プロファイルを選択して、 [プロパティ] > [スコープ タグ] を選択します。 スコープ タグの詳細については、「スコープ タグを他のオブジェクトに割り当てる」をご覧ください。

2019 年 12 月

アプリ管理

MEM 暗号化 macOS デバイスから個人用回復キーを取得する

エンド ユーザーは、iOS ポータル サイト アプリを使用して個人用回復キー (FileVault キー) を取得できます。 個人用回復キーを持つデバイスは、Intune に登録され、Intune により FileVault を使用して暗号化されている必要があります。 iOS ポータル サイト アプリを使うと、エンド ユーザーは、 [回復キーを取得する] をクリックして、暗号化された macOS デバイス上の個人用回復キーを取得できます。 また、 [デバイス] > "暗号化されて登録された macOS デバイス" > [回復キーの取得] を選択することで、Intune から回復キーを取得することもできます。 FileVault の詳細については、「macOS 用 FileVault 暗号化」を参照してください。

iOS と iPadOS のユーザー ライセンス VPP アプリ

ユーザーが登録した iOS および iPadOS デバイスの場合、エンド ユーザーには、利用可能として展開された、新しく作成されたデバイス ライセンス VPP アプリケーションが表示されなくなります。 ただし、エンド ユーザーには、Intune ポータル サイト内のすべてのユーザー ライセンス VPP アプリが引き続き表示されます。 VPP アプリの詳細については、「Apple Volume Purchase Program で購入した iOS アプリと macOS アプリを Microsoft Intune で管理する方法」をご覧ください。

注意 - Windows 10 1703 (RS2) がサポート対象外になる

2018 年 10 月 9 日以降、Windows 10 1703 (RS2) は、Home、Pro、および Pro for Workstations の各エディションに対する Microsoft プラットフォーム サポートの対象外になりました。 Windows 10 Enterprise および Education エディションについては、Windows 10 1703 (RS2) は 2019 年 10 月 8 日にプラットフォーム サポートの対象外になりました。 2019 年 12 月 26 日以降、Windows ポータル サイト アプリケーションの最小バージョンは Windows 10 1709 (RS3) に更新されます。 1709 より前のバージョンが実行されているコンピューターでは、アプリケーションの更新されたバージョンを Microsoft Store から受け取ることができなくなります。 古いバージョンの Windows 10 を管理しているお客様には、メッセージ センター経由でこの変更を既にお知らせしてあります。 詳細については、「Windows ライフサイクルのファクト シート」を参照してください。

アプリ管理

マネージド ブラウジング シナリオのための Microsoft Edge への移行

Intune Managed Browser の提供終了が近づいているため、アプリ保護ポリシーを変更して、ユーザーを Edge に移動するために必要な手順を簡略化しました。 アプリ保護ポリシー設定 [その他のアプリでの Web コンテンツの転送を制限する] のオプションを、次のいずれかになるように更新しました。

  • すべてのアプリ
  • Intune Managed Browser
  • Microsoft Edge
  • アンマネージド ブラウザー

[Microsoft Edge] を選択すると、マネージド ブラウジング シナリオには Microsoft Edge が必要であることを通知する、条件付きアクセス メッセージングがエンド ユーザーに表示されます。 自身の Azure AD アカウントを使用して Microsoft Edge をダウンロードし、サインインするように求められます (まだ行っていない場合)。 これは、アプリの構成設定 com.microsoft.intune.useEdgeTrue に設定されている MAM 対応アプリをターゲットにすることと同じです。 ポリシーで管理されているブラウザー 設定を使用していた既存のアプリ保護ポリシーでは、 [Intune Managed Browser] が選択されるようになります。動作が変更されることはありません。 これは、useEdge アプリの構成設定を True に設定している場合は、ユーザーに Microsoft Edge を使用するようにメッセージングが表示されることを意味します。 アプリ保護ポリシーを更新するためにマネージド ブラウジング シナリオを利用しているすべてのお客様に、 [その他のアプリでの Web コンテンツの転送を制限する] を使用して、ユーザーがどのアプリからリンクを起動しているかに関係なく、Microsoft Edge に移行するための適切なガイダンスがユーザーに表示されるようにすることをお勧めします。

組織アカウント向けのアプリ通知の内容を構成する

Android および iOS デバイスで Intune アプリ保護ポリシー (APP) を使用すると、組織アカウントに対するアプリ通知の内容を制御できます。 オプション ([許可]、[組織データをブロック]、[ブロック済み]) を選択して、組織アカウントに対する通知の内容が選択したアプリでどのように表示されるかを指定できます。 この機能は、アプリケーションからのサポートを必要とし、APP 対応のすべてのアプリケーションで使用できるとは限りません。 Outlook for iOS バージョン 4.15.0 (以降) および Outlook for Android 4.83.0 (以降) では、この設定がサポートされます。 コンソールでは設定を使用できますが、機能が有効になるのは 2019 年 12 月 16 日以降です。 アプリの詳細については、「アプリ保護ポリシーとは」を参照してください。

Microsoft アプリ アイコンの更新

アプリ保護ポリシーとアプリ構成ポリシーのアプリ ターゲット設定ウィンドウで Microsoft アプリに対して使用されるアイコンが更新されました。

Android で承認済みキーボードの使用を要求する

アプリ保護ポリシーの一部として、承認済みキーボードの設定を指定し、マネージド Android アプリで使用できる Android キーボードを管理できます。 ユーザーがマネージド アプリを開いたとき、そのアプリに対する承認済みキーボードが使われていない場合は、デバイスに既にインストールされている承認済みキーボードのいずれかに切り替えるように求められます。 必要に応じて、承認済みキーボードを Google Play ストアからダウンロードするためのリンクが表示されます。このリンクを使用して、インストールとセットアップを行うことができます。 アクティブなキーボードが承認済みキーボードでない場合、ユーザーがマネージド アプリで編集できるのはテキスト フィールドだけです。

デバイスの構成

Windows 10 デバイス用の管理用テンプレートの更新

Microsoft Intune の ADMX テンプレートを使用して、Microsoft Edge、Office、Windows の設定を制御および管理できます。 Intune の管理用テンプレートでは、次のポリシー設定が更新されました。

Intune での ADMX テンプレートの詳細については、「Windows 10 テンプレートを使用し、Microsoft Intune でグループ ポリシー設定を構成する」を参照してください。

適用対象:

  • Windows 10 以降

iOS、iPadOS、macOS デバイスでのアプリと Web サイトに対するシングル サインオン エクスペリエンスが更新された

Intune では、iOS、iPadOS、macOS デバイス向けのシングル サインオン (SSO) の設定が追加されました。 組織または ID プロバイダーによって作成されたリダイレクト SSO アプリ拡張機能を構成できるようになりました。 これらの設定は、OAuth や SAML2 などの最新の認証方法を使用するアプリと Web サイトに対してシームレスなシングル サインオン エクスペリエンスを構成するために使用します。

これらの新しい設定では、SSO アプリ拡張機能および Apple の組み込み Kerberos 拡張機能に対する以前の設定が拡張されます ( [デバイス] > [デバイスの構成] > [プロファイル] > [プロファイルの作成] > [iOS/iPadOS] または [macOS] (プラットフォームの種類) > [デバイス機能] (プロファイルの種類))。

構成できるすべての SSO アプリ拡張機能の設定については、iOS での SSO および macOS での SSO に関する記事を参照してください。

適用対象:

  • iOS/iPadOS
  • macOS

動作を修正するため、iOS および iPadOS デバイスに対する 2 つのデバイス制限設定を更新した

iOS デバイスの場合、 [無線による PKI の更新を許可する] および [USB 制限モードをブロックする] が有効なデバイス制限プロファイルを作成できま ( [デバイス] > [デバイスの構成] > [プロファイル] > [プロファイルの作成] > [iOS/iPadOS] (プラットフォーム) > [デバイスの制限] (プロファイルの種類))。 このリリースより前では、次の設定の UI 設定と説明は正しくありませんでしたが、現在は修正されています。 このリリース以降では、設定の動作は次のようになります。

[無線による PKI の更新をブロックする] : [Block](ブロックする) に設定すると、デバイスがコンピューターに接続されていない場合、ユーザーはソフトウェア更新プログラムを受信できません。 [未構成] (既定値): コンピューターに接続されていなくても、デバイスはソフトウェア更新プログラムを受信できます。

  • 以前のこの設定では、次のように構成できます: [許可] を選択すると、ユーザーはデバイスをコンピューターに接続せずにソフトウェア更新プログラムを受信できるようになります。 [デバイスのロック中に USB アクセサリの使用を許可する] : [許可] を選択すると、USB アクセサリは 1 時間以上ロックされているデバイスとデータを交換できます。 [未構成] (既定値) では、デバイスでの USB 制限モードは更新されず、USB アクセサリは、1 時間以上ロックされている場合、デバイスからのデータの転送をブロックされます。
  • 以前のこの設定では、次のように構成できます: [ブロック] を選択すると、監視対象のデバイスで USB 制限モードが無効になります。

構成できる設定の詳細については、「Intune を使用した機能を許可または制限するための iOS および iPadOS デバイスの設定」を参照してください。

この機能は、以下に適用されます。

  • iOS/iPadOS

Android Enterprise デバイス所有者デバイスでマネージド キーストア内の証明書資格情報をユーザーが構成できないようにする

Android Enterprise デバイス所有者デバイスでは、マネージド キーストア内の証明書資格情報をユーザーが構成できないようにする新しい設定を構成できます ( [デバイスの構成] > [プロファイル] > [プロファイルの作成] > [Android Enterprise] (プラットフォーム) > [デバイスの所有者のみ] > [デバイスの制限] (プロファイルの種類) > [ユーザーとアカウント] )。

新しい Microsoft Endpoint Configuration Manager の共同管理ライセンス

ソフトウェア アシュアランスをお持ちの Configuration Manager のお客様は、Windows 10 PC 向けの Intune 共同管理を利用できるようになりました。共同管理のために追加の Intune ライセンスを購入する必要はありません。 Windows 10 を共同管理するために個別の Intune または EMS ライセンスをエンド ユーザーに割り当てる必要はなくなりました。

  • Configuration Manager によって管理され、共同管理に登録されているデバイスは、Intune スタンドアロン MDM によって管理されている PC とほぼ同じ権限を持ちます。 ただし、これらをリセットすると、オートパイロットを使用して再プロビジョニングすることはできません。
  • 他の方法を使用して Intune に登録された Windows 10 デバイスには、Intune のフル ライセンスが必要です。
  • その他のプラットフォームのデバイスには、引き続き Intune のフル ライセンスが必要です。

詳細については、ライセンス条項を参照してください。

デバイス管理

保護されたワイプ アクションを使用できるようになった

デバイスのワイプ アクションを使用して、デバイスの保護されたワイプを実行できるようになりました。 保護されたワイプは標準のワイプと同じですが、デバイスの電源をオフにしても回避できない点が異なります。 保護されたワイプは、成功するまでデバイスをリセットしようとします。 一部の構成では、このアクションによってデバイスを再起動できなくなる場合があります。 詳細については、デバイスのインベントリからの削除またはワイプに関する記事を参照してください。

デバイスの [概要] ページにデバイスのイーサネット MAC アドレスが追加された

デバイスの詳細ページで、デバイスのイーサネット MAC アドレスを確認できるようになりました ( [デバイス] > [すべてのデバイス] > デバイスを選択 > [概要] )。

デバイス セキュリティ

デバイス ベースの条件付きアクセス ポリシーが有効になっているときの、共有デバイスでのエクスペリエンスが向上した

ポリシーの適用時にユーザーの最新のコンプライアンス評価をチェックすることで、デバイス ベースの条件付きアクセス ポリシーの対象となっている複数のユーザーが使用する共有デバイスでのエクスペリエンスが向上しました。 詳細については、以下の概要記事を参照してください。

PKCS 証明書プロファイルを使用し、証明書でデバイスをプロビジョニングする

Wi-Fi や VPN のようなプロファイルに関連付けられている場合に、PKCS 証明書プロファイルを使用して、Android for Work、iOS/iPadOS、Windows を実行する デバイス に証明書を発行できるようになりました。 以前は、それら 3 つのプラットフォームではユーザー ベースの証明書のみがサポートされており、デバイス ベースのサポートは macOS に限定されていました。

注意

PKCS 証明書プロファイルは、Wi-Fi プロファイルではサポートされていません。 代わりに、EAP の種類を使用する場合は SCEP 証明書プロファイルを使用します。

デバイス ベースの証明書を使用するには、サポートされるプラットフォーム用の PKCS 証明書プロファイルを作成するときに、 [設定] を選択します。 [証明書の種類] の設定が表示されるようになり、そこでは [デバイス] または [ユーザー] のオプションがサポートされています。

監視とトラブルシューティング

一元化された監査ログ

新しい一元化された監査ログ エクスペリエンスでは、すべてのカテゴリの監査ログが 1 ページに収集されるようになりました。 ログをフィルター処理して、探しているデータを取得できます。 監査ログを表示するには、 [テナント管理] > [監査ログ] に移動します。

監査ログ アクティビティの詳細に組み込まれたスコープ タグ情報

監査ログ アクティビティの詳細に、スコープ タグ情報が含まれるようになりました (スコープ タグをサポートする Intune オブジェクトの場合)。 監査ログの詳細については、監査ログを使用したイベントの追跡と監視に関する記事を参照してください。

2019 年 11 月

アプリ管理

アプリ データを選択的にワイプするときの UI の更新

Intune でアプリ データを選択的にワイプするための UI が更新されました。 UI に対する次のような変更があります。

  • ウィザード方式による簡単操作が 1 つのウィンドウ内に凝縮されました。
  • 作成フローを更新し、割り当てを含めました。
  • プロパティを表示するときに、新しいポリシーを作成する前に、プロパティを編集するときに、まとめページに全部設定されます。 また、プロパティを編集するとき、編集されるプロパティのカテゴリから項目の一覧のみがまとめに表示されます。

詳細については、「Intune で管理されているアプリから会社のデータをワイプする方法」を参照してください。

iOS と iPadOS のサード パーティ キーボードのサポート

2019 年 3 月に、iOS アプリ保護ポリシー設定の "サードパーティのキーボード" のサポートが削除されたことが発表されました。 この機能は、iOS と iPadOS の両方のサポートと共に Intune に再び備わります。 この設定を有効にするには、新規または既存の iOS および iPadOS アプリ保護ポリシーの [データ保護] タブを開いて、 [データ転送][サードパーティのキーボード] 設定を見つけます。

このポリシー設定の動作は、以前の実装と若干異なります。 SDK バージョン 12.0.16 以降を使用するマルチ ID アプリでは、この設定が [ブロック] に構成されているアプリ保護ポリシーにより、エンド ユーザーは組織と個人の両方のアカウントでサード パーティのキーボードを選択できなくなります。 SDK バージョン 12.0.12 以前を使用しているアプリでは、引き続き既知の問題: 個人用アカウントの iOS でサードパーティのキーボードがブロックされないという問題に関するブログ投稿に記載された動作が発生します。

ポータル サイトにおける macOS の登録エクスペリエンスの改善

macOS の登録エクスペリエンス用のポータル サイトには、よりシンプルな登録プロセスが備わっています。これにより、iOS の登録エクスペリエンス用のポータル サイトと、より厳密な一致がとれます。 デバイス ユーザーに次が表示されるようになりました。

  • より洗練されたユーザー インターフェイス。
  • 強化された登録チェックリスト。
  • デバイスの登録方法に関するより明確な説明。
  • 強化されたトラブルシューティング オプション。

Windows ポータル サイト アプリから起動する Web アプリ

エンド ユーザーは、Windows ポータル サイト アプリから直接 Web アプリを起動できるようになりました。 エンド ユーザーは、Web アプリを選択してから、 [ブラウザーで開く] オプションを選択できます。 発行された Web URL は、Web ブラウザー内で直接開かれます。 この機能は、次の週にわたってロールアウトされます。 Web アプリの詳細については、「Web アプリを Microsoft Intune に追加する」をご覧ください。

Windows 10 のポータル サイトにおける新しい割り当ての種類の列

ポータル サイト > [インストール済みアプリ] > [割り当ての種類] 列の名前が、 [組織で必要] に変更されました。 その列の下に、アプリが組織によって必須、省略可能のいずれに設定されているかを示す [はい] または [いいえ] の値がユーザーに表示されます。 デバイス ユーザーが利用可能なアプリの概念について混乱していたため、このような変更が行われました。 ユーザーは、「デバイスにアプリをインストールして共有する」で、ポータル サイトからのアプリのインストールに関する詳細情報を参照できます。 ユーザーに対するポータル サイト アプリの構成方法の詳細については、「Microsoft Intune ポータル サイト アプリを構成する方法」をご覧ください。

デバイスの構成

Jamf による管理を必要とする macOS ユーザー グループをターゲットにする

Jamf による macOS デバイスの管理を利用する特定のユーザー グループをターゲットにすることができます。 このターゲット設定により、macOS デバイスのサブセットに Jamf コンプライアンス統合を適用しながら、その他のデバイスを Intune によって管理することができます。 Jamf 統合を既に使用している場合は、すべてのユーザーが既定で統合のターゲットとなります。

iOS デバイスでメール デバイス構成プロファイルを作成するときの新しい Exchange ActiveSync 設定

iOS および iPadOS デバイスにおいて、デバイス構成プロファイルでメール接続を構成できます ( [デバイス構成] > [プロファイル] > [プロファイルの作成] > [iOS および iPadOS] (プラットフォーム) > [メール] (プロファイルの種類))。

次のような新しい Exchange ActiveSync 設定を使用できます。

  • [同期する Exchange データ] :予定表、連絡先、アラーム、メモ、メールに対して同期する (または同期をブロックする) Exchange サービスを選択します。
  • [同期の設定の変更をユーザーに許可する] :デバイスでこれらのサービスの同期設定を変更することをユーザーに許可 (またはブロック) します。

これらの設定の詳細については、Intune での iOS デバイスのメール プロファイル設定に関するページを参照してください。

適用対象:

  • iOS 13.0 以降
  • iPadOS 13.0 以降

Android Enterprise のフル マネージド専用デバイスにユーザーが個人用 Google アカウントを追加できないようにする

Android Enterprise のフル マネージド デバイスおよび専用デバイスには、ユーザーが個人用 Google アカウントを作成できないようにする新しい設定があります ( [デバイスの構成] > [プロファイル] > [プロファイルの作成] > [Android Enterprise] (プラットフォーム) > [デバイスの所有者のみ] > [デバイスの制限] (プロファイルの種類) > [ユーザーとアカウント] 設定 > [個人用 Google アカウント] )。

構成できる設定を確認するには、「Intune を使用して機能を許可または制限するように Android エンタープライズ デバイスを設定する」をご覧ください。

適用対象:

  • Android エンタープライズのフル マネージド デバイス
  • Android Enterprise 専用デバイス

iOS および iPadOS デバイス制限プロファイルから Siri コマンド設定のサーバー側のログ記録が削除されます

iOS および iPadOS デバイスでは、Microsoft Endpoint Manager 管理コンソールから Siri コマンド 設定のサーバー側のログ記録が削除されます ( [デバイスの構成] > [プロファイル] > [プロファイルの作成] > [iOS および iPadOS] (プラットフォーム) > [デバイスの制限] (プロファイルの種類) > [組み込みアプリ] )。

この設定は、デバイスには影響を与えません。 既存のプロファイルから設定を削除するには、プロファイルを開いて変更を加え、プロファイルを保存します。 プロファイルが更新され、デバイスから設定が削除されます。

構成できるすべての設定を確認するには、Intune を使用した機能を許可または制限するための iOS および iPadOS デバイスの設定に関するページを参照してください。

適用対象:

  • iOS/iPadOS

Windows 10 機能更新プログラム (パブリック プレビュー)

Windows 10 機能更新プログラムを Windows 10 デバイスに展開できるようになりました。 Windows 10 機能更新プログラムは、デバイスにインストールして維持する必要がある Windows 10 のバージョンを設定できる、新しいソフトウェア更新プログラムのポリシーです。 この新しいポリシーの種類は、既存の Windows 10 更新プログラムのリングと共に使用できます。

Windows 10 機能更新ポリシーを受け取ったデバイスでは、指定されたバージョンの Windows がインストールされ、そのポリシーが編集または削除されるまでそのバージョンにとどまります。 より新しいバージョンの Windows を稼働しているデバイスは、その現在のバージョンにとどまります。 Windows の特定のバージョンで固定されているデバイスでも、Windows 10 更新プログラムのリングから、そのバージョンの品質更新プログラムおよびセキュリティ更新プログラムをインストールできます。

この新しい種類のポリシーは、今週テナントへのロールアウトが開始されます。 ご自分のテナントでまだこのポリシーを使用できない場合は、間もなく使用できるようになります。

macOS アプリケーションの plist ファイルのキー情報を追加および変更する

macOS デバイスでは、アプリまたはデバイスに関連付けられているプロパティ リスト ファイル (.plist) をアップロードするデバイス構成プロファイルを作成できるようになりました ( [デバイス] > [構成プロファイル] > [プロファイルの作成] > [macOS] (プラットフォーム) > [設定ファイル] (プロファイルの種類))。

マネージド基本設定は一部のアプリでのみサポートされており、これらのアプリではすべての設定を管理できるとは限りません。 ユーザー チャネルの設定ではなく、デバイス チャネルの設定を構成するプロパティ リスト ファイルを必ずアップロードします。

この機能の詳細については、Microsoft Intune を使用した macOS デバイスへのプロパティ リスト ファイルの追加に関するページを参照してください。

適用対象:

  • 10.7 以降を実行している macOS デバイス

デバイス管理

Autopilot デバイスの [デバイス名] 値を編集する

Azure AD 参加済み Autopilot デバイスの [デバイス名] 値を編集できます。 詳細については、Autopilot デバイスの属性の編集に関するページを参照してください。

Autopilot デバイスの [グループ タグ] 値を編集する

Autopilot デバイスの [グループ タグ] 値を編集できます。 詳細については、Autopilot デバイスの属性の編集に関するページを参照してください。

監視とトラブルシューティング

更新されたサポート エクスペリエンス

本日から、Intune のヘルプとサポートの取得に関する、更新および合理化されたコンソール内のエクスペリエンスがテナントにロールアウトされます。 お客様がまだこの新しいエクスペリエンスを利用できない場合は、間もなく利用できるようになります。

コンソール内でのよくあるイシューの検索とフィードバック、およびサポートへの問い合わせに使用するワークフローが改善されました。 サポート イシューを作成するときに、コールバックまたはメールの返信をいつ受け取ることができるのかについての推定が、リアルタイムで表示されます。また、Premier および統合サポートのお客様は、より迅速なサポートを受けるために、それぞれのイシューについて、簡単に重大度を指定できます。

Intune レポート エクスペリエンスの向上 (パブリック プレビュー)

Intune では、新しいレポートの種類、より優れたレポート編成、より対象を絞ったビュー、より優れたレポート機能、より一貫性のあるタイムリーなデータを含め、レポート エクスペリエンスが向上しています。 新しいレポートの種類では、次のことに重点が置かれています。

  • 運用 - 正常性への悪影響に焦点を置いた最新のレコードが表示されます。
  • 組織 - 全体的な状態の概要が表示されます。
  • 履歴 - 一定期間におけるパターンと傾向が表示されます。
  • スペシャリスト - 生データを使用して独自のカスタム レポートを作成できます。

新しいレポートの最初のセットでは、デバイスのコンプライアンスに重点が置かれています。 詳細については、ブログ - Microsoft Intune レポート フレームワークおよびIntune レポートに関するページを参照してください。

ロール ベースのアクセス制御

カスタム ロールまたは組み込みロールを複製する

組み込みロールとカスタム ロールをコピーできるようになりました。 詳細については、ロールのコピーに関するページを参照してください。

学校管理者ロールの新しいアクセス許可

学校管理者ロール > [アクセス許可] > [登録プログラム] に、2 つの新しいアクセス許可である [プロファイルの割り当て][デバイスの同期] が追加されました。 [デバイスの同期] アクセス許可を使用すると、グループ管理者は Windows Autopilot デバイスを同期できます。 [プロファイルの割り当て] アクセス許可を使用すると、これらの管理者はユーザーが開始した Apple 登録プロファイルを削除できます。 また、Autopilot デバイスの割り当てと Autopilot 展開プロファイルの割り当てを管理するためのアクセス許可も付与されます。 すべての学校管理者またはグループ管理者のアクセス許可の一覧については、グループ管理者の割り当てに関するページを参照してください。

セキュリティ

BitLocker キーの交換

Intune デバイス アクションを使用することで、Windows バージョン 1909 以降を実行するマネージド デバイスの BitLocker 回復キーをリモートで交換できます。 回復キーが交換されるようにするには、回復キーの交換をサポートするようにデバイスを構成する必要があります。

SCEP デバイス証明書の展開をサポートするための専用デバイス登録の更新

Intune では、Wi-Fi プロファイルに証明書ベースでアクセスできるよう、Android Enterprise 専用デバイスへの SCEP デバイス証明書の展開がサポートされるようになりました。 展開が機能するには、Microsoft Intune アプリがデバイス上に存在する必要があります。 そのため、Android Enterprise 専用デバイスの登録エクスペリエンスが更新されました。 新しい登録は、今までと同様に (QR、NFC、ゼロタッチ、またはデバイス識別子を使用して) 開始されますが、ユーザーが Intune アプリをインストールすることが必要になりました。 既存のデバイスでは、アプリのインストールがローリング方式で自動的に開始されます。

企業間コラボレーションのための Intune 監査ログ

企業間 (B2B) コラボレーションにより、会社のアプリケーションやサービスを他の組織のゲスト ユーザーと安全に共有しながら、自社データの管理を維持することができます。 Intune では、B2B ゲスト ユーザーの監査ログがサポートされるようになりました。 たとえば、ゲスト ユーザーが変更を行うと、Intune では監査ログを使用してこのデータをキャプチャできます。 詳細については、Azure Active Directory B2B でのゲスト ユーザー アクセスに関するページを参照してください。

セキュリティ ベースラインが Microsoft Azure Government でサポートされる

Microsoft Azure Government でホストされている Intune のインスタンスで、セキュリティ ベースラインを使用して、ユーザーとデバイスのセキュリティ保護と保護を行えるようになりました。

2019 年 10 月

アプリ管理

Android 用 Intune ポータル サイト アプリでのチェックリストの設計の改良

Android 用 Intune ポータル サイト アプリのセットアップ チェックリストが、軽量のデザインと新しいアイコンによって更新されました。 この変更は、iOS 用 Intune ポータル サイト アプリに対して行われた最近の更新に合わせたものです。 変更の比較については、「アプリの UI の新機能」を参照してください。 更新された登録手順の詳細については、「Android 仕事用プロファイルを使用して登録する」および「Android デバイスを登録する」をご覧ください。

Windows 10 S モード デバイス上の Win32 アプリ

Windows 10 S モードのマネージド デバイスに Win32 アプリをインストールして実行できます。 そのために、Windows Defender アプリケーション制御 (WDAC) PowerShell ツールを使用して、S モード用の補足ポリシーを作成できます。 Device Guard 署名ポータルで補足ポリシーに署名した後、Intune 経由でポリシーをアップロードして配布します。 Intune でこの機能を利用するには、 [クライアント アプリ] > [Windows 10S 補足ポリシー] を選択します。 詳しくは、「S モード デバイスで Win32 アプリを有効にする」をご覧ください。

日付と時刻に基づいて Win32 アプリの可用性を設定する

管理者は、必須 Win32 アプリの開始時刻と期限の時刻を構成できます。 開始時刻になると、Intune 管理拡張機能によってアプリのコンテンツのダウンロードが開始されて、キャッシュされます。 期限時刻になると、アプリはインストールされます。 利用可能なアプリの場合、開始時刻はアプリが Intune ポータル サイトに表示されるタイミングを示します。 詳細については、Intune の Win32 アプリの管理に関する記事を参照してください。

Win32 アプリのインストール後に猶予期間に基づいてデバイスの再起動を必要にする

Win32 アプリが正常にインストールされた後でデバイスを再起動することを必要にできます。 詳細については、Win32 アプリ管理に関するページを参照してください。

iOS ポータル サイトのダーク モード

iOS ポータル サイトでダーク モードを使用できます。 ユーザーは、デバイス設定に基づく任意の配色で、会社のアプリをダウンロードし、デバイスを管理し、IT サポートを受けることができます。 iOS ポータル サイトは、ダーク モードまたはライト モードについて、エンド ユーザーのデバイス設定に自動的に一致します。 詳細については、「iOS 用 Microsoft Intune ポータル サイトのダーク モードの概要」をご覧ください。 iOS ポータル サイトの詳細については、「Microsoft Intune ポータル サイト アプリを構成する方法」をご覧ください。

Android ポータル サイトでの最小アプリ バージョンの適用

アプリ保護ポリシーの [ポータル サイトの最小バージョン] 設定を使用することにより、エンド ユーザーのデバイスに適用される、ポータル サイトの特定の定義済み最小バージョンを指定できます。 この条件付き起動の設定を使用すると、その値が満たされなかった場合に、実行可能なアクションとして [アクセスのブロック][データのワイプ][警告] を行うことができます。 この値に使用できる形式は、" [メジャー].[マイナー] "、" [メジャー].[マイナー].[ビルド] "、または " [メジャー].[マイナー].[ビルド].[リビジョン] " というパターンに従います。

[ポータル サイトの最小バージョン] 設定を構成した場合、バージョン 5.0.4560.0 のポータル サイトおよび今後のバージョンのポータル サイトを取得したすべてのエンド ユーザーに影響があります。 この設定は、この機能がリリースされたバージョンより古いバージョンのポータル サイトを使用しているユーザーには影響しません。 デバイス上でアプリの自動更新を使用しているエンド ユーザーは、おそらく最新バージョンのポータル サイトを使用しているため、この機能のダイアログが表示されない可能性があります。 この設定は、登録済みのデバイスと未登録のデバイスのアプリ保護と共に、Android に対してのみ使用できます。 詳細については、Android アプリ保護ポリシー設定 - 条件付き起動に関する記事をご覧ください。

Mobile Threat Defense アプリを未登録のデバイスに追加する

お客様は、デバイスの正常性に基づいてユーザーの会社データをブロックしたり、選択的にワイプしたりすることができる、Intune アプリ保護ポリシーを作成できます。 デバイスの正常性は、お客様が選択した Mobile Threat Defense (MTD) ソリューションを使って判断されます。 現在、この機能は、Intune に登録されたデバイスで、デバイス コンプライアンス設定として使用できます。 この新機能では、脅威検出が Mobile Threat Defense ベンダーから拡張され、未登録デバイス上で機能するようになります。 Android でこの機能を使用するには、デバイス上に最新の Intune ポータル サイトが必要です。 iOS では、アプリに最新の Intune SDK (v 12.0.15+) が統合されている場合に、この機能を使用できるようになります。 最新の Intune SDK が最初のアプリで採用されたときに、新機能に関するトピックが更新されます。 残りのアプリは、ローリング方式で利用可能になっていきます。 詳細については、「Intune で Mobile Threat Defense アプリ保護ポリシーを作成する」をご覧ください。

Android の仕事用プロファイルに使用できる Google Play アプリのレポート

Android Enterprise の仕事用プロファイル デバイス、専用デバイス、フル マネージド デバイスに使用できるアプリのインストールについては、アプリのインストール状態とマネージド Google Play アプリのインストール バージョンを確認できます。 詳細については、アプリの保護ポリシーを監視する方法Intune を使用した Android の仕事用プロファイル デバイスの管理、およびマネージド Google Play アプリの種類に関する記事を参照してください。

Windows 10 と macOS 向けの Microsoft Edge バージョン 77 以降 (パブリック プレビュー)

Microsoft Edge バージョン 77 以降は、Windows 10 と macOS を稼働している PC に展開できるようになります。

パブリック プレビューからは、Windows 10 の Dev チャンネルと Beta チャンネルが、macOS の Beta チャンネルが提供されます。 展開は英語版 (EN) のみですが、エンド ユーザーはブラウザーの [設定] > [言語] で表示言語を変更することができます。 Microsoft Edge は、システム コンテキスト、およびアーキテクチャに合わせてインストールされる Win32 アプリです (x86 OS の場合は x86、x64 OS の場合は x64)。 さらに、ブラウザーの自動更新は既定で オン になっています。また、Microsoft Edge はアンインストールできません。 詳細については、「Microsoft Edge for Windows 10 を Microsoft Intune に追加する」と「Microsoft Edge ドキュメント」を参照してください。

アプリ保護 UI と iOS アプリ プロビジョニング UI の更新

Intune でアプリ保護ポリシーと iOS アプリ プロビジョニング プロファイルを作成し、編集するための UI が更新されました。 UI に対する次のような変更があります。

  • ウィザード方式による簡単操作が 1 つのブレード内に凝縮されました。
  • 作成フローを更新し、割り当てを含めました。
  • プロパティを表示するときに、新しいポリシーを作成する前に、プロパティを編集するときに、まとめページに全部設定されます。 また、プロパティを編集するとき、編集されるプロパティのカテゴリから項目の一覧のみがまとめに表示されます。

詳細については、「アプリ保護ポリシーを作成して割り当てる方法」と「iOS アプリ プロビジョニング プロファイルを使用する」を参照してください。

Intune のガイド付きシナリオ

Intune では、Intune 内で特定のタスクまたは一連のタスクを完了するのに役立つガイド付きシナリオが提供されるようになりました。 ガイド付きシナリオは、1 つのエンドツーエンドのユースケースを中心にカスタマイズされた一連の手順 (ワークフロー) です。 一般的なシナリオは、組織内で管理者、ユーザー、またはデバイスが果たす役割に基づいて定義されます。 これらのワークフローでは通常、最適なユーザーエクスペリエンスとセキュリティを提供するために、慎重に調整されたプロファイル、設定、アプリケーション、セキュリティ制御のコレクションが必要です。 新しいガイド付きシナリオは次のとおりです。

詳細については、「Intune のガイド付きシナリオの概要」を参照してください。

追加のアプリ構成変数を利用できる

アプリ構成ポリシーを作成するとき、構成設定の一部として AAD_Device_ID 構成変数を含めることができます。 Intune で [クライアント アプリ] > [アプリ構成ポリシー] > [追加] の順に選択します。 構成ポリシーの詳細を入力し、 [構成設定] を選択して [構成設定] ブレードを表示します。 詳細については、「マネージド Android Enterprise デバイス用にアプリ構成ポリシーを追加する」の「構成デザイナーを使用する」を参照してください。

ポリシー セットと呼ばれる管理オブジェクトのグループを作成する

ポリシー セットを使用すると、1 つの概念単位として識別、対象化、監視する必要がある既存の管理エンティティへの参照のバンドルを作成できます。 ポリシー セットによって、既存の概念やオブジェクトが置き換えられることはありません。 Intune で引き続き個々のオブジェクトを割り当てることができて、ポリシー セットの一部として個々のオブジェクトを参照できます。 そのため、個々のオブジェクトに対する変更は、ポリシー セットに反映されます。 Intune では、 [ポリシーセット][作成] の順に選択し、新しいポリシー セットを作成します。

デバイスの構成

'

Windows 10 以降のデバイス用の新しいデバイス ファームウェア構成インターフェイス プロファイル (パブリック プレビュー)

Windows 10 以降では、デバイス構成プロファイルを作成し、設定と機能を制御できます ( [デバイスの構成] > [プロファイル] > [プロファイルの作成] > [Windows 10 以降] (プラットフォーム))。 この更新には、Intune で UEFI (BIOS) 設定の管理を可能にする新しいデバイス ファームウェア構成インターフェイスがあります。

この機能の詳細については、「Microsoft Intune で Windows デバイスの DFCI プロファイルを使用する」を参照してください。

適用対象:

  • Windows 10 RS5 (1809) 以降でサポートされているファームウェア

Windows 10 更新プログラム リングを作成し、編集するための UI 更新プログラム

Intune 用に Windows 10 更新プログラム リングを作成し、編集するための UI エクスペリエンスが更新されました。 UI の変更点は次のとおりです。

  • ウィザード形式が 1 つのコンソール ブレードに凝縮されました。更新プログラム リングを構成するとき、以前見られたようにブレードがまとまりなく広がることがなくなりました。
  • 変更後のワークフローでは、リングの初期構成を完了する前に割り当てが追加されました。
  • 概要ページを利用し、行った構成をすべて見直してから新しい更新プログラム リングを保存したり、展開したりできます。 更新プログラム リングの編集時、編集中のプロパティのカテゴリ内に設定されている項目のみがまとめに一覧表示されます。

iOS ソフトウェアの更新ポリシーを作成し、編集するための UI の更新

Intune 用に iOS ソフトウェアの更新ポリシーを作成し、編集するための UI エクスペリエンスが更新されました。 UI の変更点は次のとおりです。

  • ウィザード形式が 1 つのコンソール ブレードに凝縮されました。更新プログラム ポリシーを構成するとき、以前見られたようにブレードがまとまりなく広がることがなくなりました。
  • 変更後のワークフローでは、ポリシーの初期構成を完了する前に割り当てが追加されました。
  • 概要ページを利用し、行った構成をすべて見直してから新しいポリシーを保存したり、展開したりできます。 ポリシーの編集時、編集中のプロパティのカテゴリ内に設定されている項目のみがまとめに一覧表示されます。

Windows 更新プログラム リングから再起動猶予期間設定が削除された

前に発表したように、Intune の Windows 10 更新プログラム リングでは、期限の設定がサポートされるようになり、再起動猶予期間 はサポートされなくなりました。 Intune で更新プログラム リングを構成または管理するときに、再起動猶予期間 の設定は利用できなくなりました。

この変更は、最近の Windows サービス変更に合わせるためのものであり、Windows 10 1903 以降で実行されるデバイスでは、期限再起動猶予期間 の構成より優先されます。

Android Enterprise の仕事用プロファイル デバイスに不明ソースからアプリをインストールできなくする

Android Enterprise の仕事用プロファイル デバイスでは、ユーザーは不明ソースからアプリをインストールできなくなりました。 この更新プログラムには、個人プロファイルでは、不明ソースからのアプリ インストールが禁止される という新しい設定があります。 既定では、この設定により、ユーザーはデバイスで不明ソースから個人プロファイルにアプリをサイドロードできなくなります。

構成できる設定を確認する方法については、「Intune を使用して機能を許可または制限するための Android エンタープライズ デバイス設定」を参照してください。

適用対象:

  • Android Enterprise 仕事用プロファイル

Android エンタープライズ デバイス所有者デバイスでグローバル HTTP プロキシを作成する

Android Enterprise デバイスでは、組織の Web 閲覧標準を満たすようにグローバル HTTP プロキシを構成できます ( [デバイス構成] > [プロファイル] > [プロファイルの作成] > [Android Enterprise] (プラットフォーム) > [デバイス所有者] > [デバイスの制限] (プロファイルの種類) > [接続] )。 構成後、すべての HTTP トラフィックでこのプロキシが使用されます。

この機能を構成し、構成したすべての設定を表示する方法については、「Intune を使用して機能を許可または制限するための Android エンタープライズ デバイス設定」を参照してください。

適用対象:

  • Android Enterprise デバイス所有者

Android デバイス管理者と Android Enterprise の Wi-Fi プロファイルで [自動的に接続する] 設定が削除される

Android デバイス管理者と Android Enterprise デバイスで、Wi-Fi プロファイルを作成し、さまざまな設定を構成できます ( [デバイス構成] > [プロファイル] > [プロファイルの作成] > [Android デバイス管理者] または [Android Enterprise] (プラットフォーム) > [Wi-Fi] (プロファイルの種類))。 この更新プログラムでは、Android ではサポートされていないため、 [自動的に接続する] 設定が削除されます。

Wi-Fi プロファイルでこの設定を使用すると、 [自動的に接続する] が機能しないことに気付くことがあります。 何の措置もとる必要はありませんが、この設定は Intune ユーザー インターフェイスから削除されることにご留意ください。

現在の設定を表示するには、Android Wi-Fi 設定に関するページか、Android Enterprise Wi-Fi 設定に関するページをご覧ください。

適用対象:

  • Android デバイス管理者
  • Android エンタープライズ

監視対象の iOS デバイスと iPadOS デバイスの新しいデバイス構成設定

iOS デバイスと iPadOS デバイスでは、デバイス上の機能と設定を制限するプロファイルを作成できます ( [デバイス構成] > [プロファイル] > [プロファイルの作成] > [iOS/iPadOS] (プラットフォーム) > [デバイスの制限] (プロファイルの種類))。 この更新では、制御できる新しい設定があります。

  • Files アプリでネットワーク ドライブにアクセスする
  • Files アプリで USB ドライブにアクセスする
  • Wi-Fi を常にオンにする

これらの設定を確認するには、「Intune を使用して機能を許可または制限するように iOS デバイスを設定する」を参照してください。

適用対象:

  • iOS 13.0 以降
  • iPadOS 13.0 以降

デバイスの登録

out-of-box experience (OOBE) によってプロビジョニングされたデバイスにのみ登録ステータス ページを表示するように切り替える

Autopilot OOBE によってプロビジョニングされたデバイスにのみ、登録ステータス ページを表示するように選択できるようになりました。

新しい切り替えを表示するには、 [Intune] > [デバイスの登録] > [Windows の登録] > [登録ステータス ページ] > [プロファイルの作成] > [設定] > [out-of-box experience (OOBE) でプロビジョニングされたデバイスにのみページを表示する] の順に選択します。

仕事用プロファイルまたはデバイス管理者の登録で登録する Android デバイスのオペレーティング システムのバージョンを指定する

Intune のデバイスの種類の制限を利用し、Android Enterprise 仕事用プロファイルの登録または Android デバイス管理者の登録を使用するユーザー デバイスをデバイスの OS バージョンで指定できます。 詳細は、「登録制限を設定する」を参照してください。

デバイス管理

Intune による iOS 11 以降のサポート

Intune の登録とポータル サイトで、iOS バージョン 11 以降がサポートされるようになりました。 以前のバージョンはサポートされません。

Windows デバイスの名前変更に関する新しい制限

Windows デバイスの名前を変更するとき、新しい規則に従う必要があります。

  • 15 文字以下 (後続の NULL を除き、63 バイト以下にする必要があります)
  • null または空の文字列にしない
  • 許可される ASCII: 文字 (a-z、A-Z)、数字 (0-9)、ハイフン
  • 許可される Unicode: 文字数 >= 0x80、有効な UTF8 であることが必須、IDN マッピング可能であることが必須 (つまり、RtlIdnToNameprepUnicode は合格です。RFC 3492 参照)
  • 名前は数字だけにすることができない
  • 名前にスペースを使用できない
  • 許可されていない文字: { | } ~ [ \ ] ^ ' : ; < = > ? & @ ! " # $ % ` ( ) + / , . _ *)

詳細については、「Intune 上でデバイスの名前を変更する」を参照してください。

デバイス概要ページの新しい Android レポート

デバイス概要ページの新しいレポートには、登録されている Android デバイスの数がデバイス管理ソリューションごとに表示されます。 このグラフには、仕事用プロファイル デバイス、フル マネージド デバイス、専用デバイス、デバイス管理者登録デバイスの数が表示されます。 レポートを表示するには、 [Intune][デバイス][概要] を選択します。

デバイス セキュリティ

Microsoft Edge のベースライン (プレビュー)

Microsoft Edge の設定に対してセキュリティのベースライン (プレビュー) を追加しました。

macOS の PKCS 証明書

macOS で PKCS 証明書を利用できるようになりました。 macOS のプロファイルの種類として PKCS 証明書を選択し、サブジェクトとサブジェクト代替名のフィールドがカスタマイズされているユーザーおよびデバイス証明書を展開できます。

macOS 向け PKCS 証明書では、すべてのアプリ アクセスを許可する 新しい設定もサポートされています。 この設定により、証明書の秘密鍵に関連付けられているすべてのアプリ アクセスを有効にできます。 この設定に関する詳細については、 https://developer.apple.com/business/documentation/Configuration-Profile-Reference.pdf にある Apple ドキュメントを参照してください。

証明書で iOS モバイル デバイスをプロビジョニングするための派生資格情報

Intune では、認証方法として、また、iOS デバイスの S/MIME の署名と暗号化のために派生資格情報を使用できます。 派生資格情報は、証明書をデバイスに展開するための アメリカ国立標準技術研究所 (NIST) 800-157 標準を実装したものです。

派生資格情報は、スマート カードのように、Personal Identity Verification (PIV) または Common Access Card (CAC) カードの使用に依存します。 モバイル デバイスのために派生資格情報を得るには、ユーザーはポータル サイト アプリから開始し、使用しているプロバイダーに固有の登録ワークフローに従います。 すべてのプロバイダーに共通することは、コンピューターのスマート カードを使用し、派生資格情報プロバイダーに対して認証するという要件です。 そのプロバイダーはその後、ユーザーのスマート カードから誘導されたデバイスに証明書を発行します。

Intune では、次の派生資格情報プロバイダーがサポートされています。

  • DISA Purebred
  • Entrust
  • Intercede

VPN、Wi-Fi、電子メールのデバイス構成プロファイル用の認証方法として派生資格情報を使用します。 アプリ認証や S/MIME 署名と暗号化にも使用できます。

この標準に関する詳細については、 www.nccoe.nist.gov にある「Derived PIV Credentials」を参照してください。

Graph API を使用し、SCEP 証明書の変数としてオンプレミスのユーザー プリンシパル名を指定します

Intune Graph API を使用するとき、SCEP 証明書のサブジェクト代替名 (SAN) の変数として onPremisesUserPrincipalName を指定できます。

'

Microsoft 365 デバイス管理

Microsoft 365 デバイス管理の管理エクスペリエンスの改善

Microsoft 365 デバイス管理のスペシャリスト向けワークスペース (https://endpoint.microsoft.com) で、更新され合理化された管理エクスペリエンスの一般提供が開始されました。これには以下が含まれます。

  • 更新されたナビゲーション:機能が論理的にグループ化される、簡略化された第 1 レベルのナビゲーションが提供されます。
  • 新しいプラットフォーム フィルター:[デバイスとアプリ] ページで、単一のプラットフォームを選択できます。これにより、選択したプラットフォームのポリシーとアプリだけが表示されます。
  • 新しいホーム ページ:新しいホーム ページでは、サービスの正常性、テナントの状態、ニュースなどを、すばやく確認できます。 これらの機能強化の詳細については、Microsoft Tech Community の Web サイトの Enterprise Mobility + Security に関するブログ記事をご覧ください。

Microsoft 365 デバイス管理のエンドポイント セキュリティ ノードの概要

Microsoft 365 デバイス管理のスペシャリスト向けワークスペース (https://endpoint.microsoft.com ) で、エンドポイント セキュリティ ノードの一般提供が開始されました。これにより、エンドポイントをセキュリティで保護するための次のような機能がまとめてグループ化されます。

  • セキュリティ ベースライン:Microsoft によって推奨される設定および規定値の既知のグループを適用するのに役立つ、事前構成された設定のグループ。
  • セキュリティ タスク:Microsoft Defender for Endpoint の脅威と脆弱性の管理 (TVM) の利用と Intune の使用により、エンドポイントの脆弱性を修復します。
  • Microsoft Defender for Endpoint:セキュリティ違反を防ぐのに役立つ、統合された Microsoft Defender for Endpoint。""

これらの設定は、デバイスなどの他の適用可能なノードから、引き続きアクセスできます。また、どこでこれらの機能にアクセスし、有効化したかに関係なく、現在構成されている状態は同じになります。

これらの機能強化の詳細については、Microsoft Tech Community の Web サイトの Intune Customer Success に関するブログ記事をご覧ください。

2019 年 9 月

アプリ管理

マネージド Google Play プライベート LOB アプリ'

Intune では、IT 管理者は、Intune コンソールに埋め込まれた iframe を使用して、マネージド Google Play にプライベート Android LOB アプリを発行できるようになりました。 以前は、IT 管理者は、Google の Play 発行コンソールに LOB アプリを直接発行する必要がありました。これにはいくつかの手順が必要で、時間がかかりました。 この新機能により、最小限の手順で LOB アプリを簡単に発行できるようになります。Intune コンソールを離れる必要はありません。 管理者は、Google を使用して開発者として手動で登録する必要がなくなり、Google の 25 ドルの登録手数料の支払いは不要になります。 マネージド Google Play を使用する Android Enterprise の管理シナリオでは、この機能 (仕事用プロファイル デバイス、専用デバイス、フル マネージド デバイス、および登録されていないデバイス) を利用できます。 Intune から、 [クライアント アプリ] > [アプリ] > [追加] の順に選択します。 その後、 [アプリの種類] の一覧から [マネージド Google Play] を選択します。 マネージド Google Play アプリについて詳しくは、「Intune で managed Google Play アプリを Android エンタープライズ デバイスに追加する」をご覧ください。

Windows ポータル サイトのエクスペリエンス

Windows ポータル サイトが更新されています。 Windows ポータル サイト内の [アプリ] ページでは、複数のフィルターを使用できるようになります。 [デバイスの詳細] ページも向上したユーザー エクスペリエンスで更新されています。 これらの更新をすべてのお客様にロールアウトしている最中であり、来週の終わりまでに完了する予定です。

Web アプリの macOS によるサポート

Web アプリは、Web 上の URL へのショートカットを追加できるようにするもので、macOS ポータル サイトを使用して Dock にインストールできます。 エンド ユーザーは、macOS ポータル サイト内の Web アプリ用のアプリの詳細ページから [インストール] アクションにアクセスできます。 Web リンク アプリの種類について詳しくは、「Microsoft Intune にアプリを追加する」と「Web アプリを Microsoft Intune に追加する」をご覧ください。

VPP アプリの macOS によるサポート

Apple Business Manager を使用して購入した macOS アプリは、Intune 内で Apple VPP トークンが同期されるとコンソールに表示されます。 Intune コンソールを使用して、グループのデバイスおよびユーザーベースのライセンスの割り当て、取り消し、再割り当てを行うことができます。 Microsoft Intune は、ご自身の会社で使用するために購入した VPP アプリを管理するのに役立ちます。

  • アプリ ストアからライセンス情報を報告する。
  • 使用しているライセンスの数を追跡記録する。
  • 所有しているより多くアプリのコピーをインストールできないようにする。

Intune と VPP の詳細については、「Microsoft Intune によるボリューム購入アプリとブックの管理」を参照してください。

マネージド Google Play iframe のサポート

Intune では、マネージド Google Play iframe を使用して Intune コンソールに直接 Web リンクを追加したり管理したりできるようになりました。 これにより、IT 管理者は URL とアイコンのグラフィックを送信し、通常の Android アプリと同じようにデバイスにそれらのリンクを展開できます。 マネージド Google Play を使用する Android Enterprise の管理シナリオでは、この機能 (仕事用プロファイル デバイス、専用デバイス、フル マネージド デバイス、および登録されていないデバイス) を利用できます。 Intune から、 [クライアント アプリ] > [アプリ] > [追加] の順に選択します。 その後、 [アプリの種類] の一覧から [マネージド Google Play] を選択します。 マネージド Google Play アプリについて詳しくは、「Intune で managed Google Play アプリを Android エンタープライズ デバイスに追加する」をご覧ください。

Android LOB アプリを Zebra デバイスにサイレント インストールする

Android 基幹業務 (LOB) アプリを Zebra デバイスにインストールするときに、LOB アプリのダウンロードとインストールの両方を求められるのではなく、サイレント モードでアプリをインストールできるようになります。 Intune で、 [クライアント アプリ] > [アプリ] > [追加] を選択します。 [アプリケーションの種類の選択] ウィンドウで、 [基幹業務アプリ] を選択します。 詳しくは、「Android の基幹業務アプリを Microsoft Intune に追加する」をご覧ください。

現時点では、LOB アプリがダウンロードされると、ユーザーのデバイスに ダウンロード成功 通知が表示されます。 通知を閉じることができるのは、通知の網掛けで [すべてクリア] をタップした場合のみです。 この通知の問題は今後のリリースで修正される予定であり、視覚的なインジケーターなしで完全にサイレント モードでインストールされます。

Intune アプリの Graph API 操作の読み取りと書き込み

アプリケーションでは、ユーザー資格情報がなくても、アプリの ID を使用して、読み取りと書き込み両方の操作で Intune Graph API を呼び出すことができます。 Microsoft Graph API for Intune にアクセスする方法については、「Microsoft Graph での Intune の操作」を参照してください。

iOS 用 Intune App SDK での保護されたデータ共有と暗号化

アプリ保護ポリシーによって暗号化が有効にされると、iOS 用 Intune App SDK では 256 ビット暗号化キーが使用されるようになります。 すべてのアプリでは、保護されたデータの共有を許可するために、SDK バージョン 8.1.1 が必要になります。

Microsoft Intune アプリに対する更新

次の機能強化によって Android 用の Microsoft Intune アプリが更新されています。

  • 最も重要な操作のための下部ナビゲーションが含まれるように、レイアウトの更新と強化が行われました。
  • ユーザーのプロファイルを表示するページが追加されました。
  • ユーザーがアクション可能な通知 (例: デバイス設定の更新が必要) の表示がアプリに追加されました。
  • カスタム プッシュ通知の表示がサポートされるようになり、iOS と Android 用のポータル サイト アプリに最近追加されたサポートと連携します。 詳細は、「Intune でカスタム通知を送信する」を参照してください。 ""

iOS デバイスの場合は、ポータル サイトの登録プロセスのプライバシー画面をカスタマイズします

Markdown を使用すると、iOS の登録時にエンド ユーザーに表示されるポータル サイトのプライバシー画面をカスタマイズできます。 具体的には、組織がデバイス上で参照または実行できない項目の一覧をカスタマイズできます。 詳しくは、Intune ポータル サイト アプリを構成する方法に関するページをご覧ください。

デバイスの構成

iOS 用の IKEv2 VPN プロファイルのサポート

この更新では、IKEv2 プロトコルを使用して、iOS ネイティブ VPN クライアント用の VPN プロファイルを作成できます。 IKEv2 は、 [デバイス構成] > [プロファイル] > [プロファイルの作成] > [iOS] (プラットフォーム) > [VPN] (プロファイルの種類) > [接続の種類] での、新しい接続の種類です。

これらの VPN プロファイルではネイティブ VPN クライアントが構成されるので、マネージド デバイスに対して VPN クライアント アプリがインストールまたはプッシュされることはありません。 この機能を使用するには、デバイスを Intune に登録する必要があります (MDM 登録)。

現在構成できる VPN 設定については、iOS デバイスでの VPN 設定の構成に関する記事をご覧ください。

適用対象:

  • iOS

iOS と macOS の設定のデバイス機能、デバイス制限、および拡張機能プロファイルは、登録の種類別に表示されます

Intune で、iOS デバイスおよび macOS デバイス用のプロファイルを作成します ( [デバイスの構成] > [プロファイル] > [プロファイルの作成] > [iOS] または [macOS] (プラットフォーム) > [デバイス機能][デバイスの制限] 、または [拡張機能] (プロファイルの種類))。

この更新では、Intune ポータルで利用可能な設定は、適用対象の登録の種類によって分類されます。

  • iOS

    • ユーザーの登録
    • デバイスの登録
    • デバイスの自動登録 (監視)
    • すべての登録の種類
  • macOS

    • ユーザー承認済み
    • デバイスの登録
    • デバイスの自動登録
    • すべての登録の種類

適用対象:

  • iOS

キオスク モードで実行されている監視対象 iOS デバイスの新しい音声制御設定

Intune では、監視対象の iOS デバイスをキオスクまたは専用デバイスとして実行するポリシーを作成することができます ( [デバイスの構成] > [プロファイル] > [プロファイルの作成] > [iOS] (プラットフォーム) > [デバイスの制限] (プロファイルの種類) > [キオスク] )。

この更新では、制御できる新しい設定があります。

  • 音声制御: キオスク モードのときにデバイスでの音声制御を有効にします。
  • 音声制御の変更: キオスク モードのときに、ユーザーはデバイスで音声制御の設定を変更できます。

現在の設定を見るには、iOS キオスクの設定に関する記事をご覧ください。

適用対象:

  • iOS 13.0 以降

iOS および macOS デバイスでアプリと Web サイトに対するシングル サインオンを使用する

この更新では、iOS デバイスおよび macOS デバイス用にいくつかの新しいシングル サインオン設定があります ( [デバイスの構成] > [プロファイル] > [プロファイルの作成] > [iOS] または [macOS] (プラットフォーム) > [デバイス機能] (プロファイルの種類))。

これらの設定を使用して、シングル サインオン エクスペリエンスを構成します (特に、Kerberos 認証を使用するアプリと Web サイトの場合)。 汎用資格情報シングル サインオン アプリ拡張機能と、Apple の組み込み Kerberos 拡張機能のいずれかを選択できます。

構成できる現在のデバイス機能を確認するには、iOS デバイスの機能および macOS デバイスの機能に関する記事をご覧ください。

適用対象:

  • iOS 13 以降
  • macOS 10.15 以降

macOS 10.15 以降のデバイス上のアプリにドメインを関連付ける

macOS デバイスでは、さまざまな機能を構成し、ポリシーを使用してこれらの機能をデバイスにプッシュすることができます ( [デバイスの構成] > [プロファイル] > [プロファイルの作成] > [macOS] (プラットフォーム) > [デバイス機能] (プロファイルの種類))。 この更新では、ドメインをアプリに関連付けることができます。 この機能は、資格情報をアプリに関連する Web サイトと共有するのに役立ち、Apple のシングル サインオン拡張機能、ユニバーサル リンク、パスワード オートフィルで使用できます。

構成できる現在の機能を確認するには、「Intune での macOS デバイスの機能設定」をご覧ください。

適用対象:

  • macOS 10.15 以降

iOS 監視対象デバイスでアプリを表示または非表示にするときは、iTunes App ストアの URL で "iTunes" と "apps" を使用する

Intune では、監視対象の iOS デバイスでアプリの表示と非表示を切り替えるポリシーを作成することができます ( [デバイスの構成] > [プロファイル] > [プロファイルの作成] > [iOS] (プラットフォーム) > [デバイスの制限] (プロファイルの種類) > [アプリの表示/非表示] )。

https://itunes.apple.com/us/app/work-folders/id950878067?mt=8 などの iTunes App ストア URL を入力できます。 この更新では、次のように、appsitunes の両方を URL で使用できます。

  • https://itunes.apple.com/us/app/work-folders/id950878067?mt=8
  • https://apps.apple.com/us/app/work-folders/id950878067?mt=8

これらの設定の詳細については、「アプリの表示/非表示」を参照してください。

適用対象:

  • iOS

Windows 10 コンプライアンス ポリシーのパスワードの種類の値が、より明確になり、CSP と一致する

Windows 10 デバイスでは、特定のパスワード機能を必要とするコンプライアンス ポリシーを作成できます ( [デバイスのポリシー準拠] > [ポリシー] > [ポリシーの作成] > [Windows 10 以降] (プラットフォーム) > [システム セキュリティ] )。 この更新では:

  • [パスワードの種類] の値がより明確になり、DeviceLock/AlphanumericDevicePasswordRequired CSP と一致するように更新されています。
  • [パスワードの有効期限 (日数)] の設定が、1 - 730 日の値を指定できるように更新されています。

Windows 10 のコンプライアンス設定について詳しくは、「Intune を使用してデバイスを準拠または非準拠としてマークするための Windows 10 以降の設定」をご覧ください。

適用対象:

  • Windows 10 以降

Microsoft Exchange のオンプレミス アクセスを構成するための更新された UI

Microsoft Exchange のオンプレミス アクセスを構成するコンソールを更新しました。 Exchange オンプレミス アクセスのすべての構成を、"Exchange オンプレミス アクセス制御を有効にする" コンソールの同じウィンドウで使用できるようになりました。

Android Enterprise 仕事用プロファイル デバイスのホーム画面へのアプリ ウィジェットの追加を許可または制限する

Android Enterprise デバイスでは、仕事用プロファイルで機能を構成することができます ( [デバイスの構成] > [プロファイル] > [プロファイルの作成] > [Android Enterprise] (プラットフォーム) > [仕事用プロファイルのみ] > [デバイスの制限] (プロファイルの種類))。 この更新では、仕事用プロファイル アプリによって公開されているウィジェットをデバイスのホーム画面に追加することを、ユーザーに許可できます。

構成できる設定を確認するには、「Intune を使用して機能を許可または制限するように Android エンタープライズ デバイスを設定する」をご覧ください。

適用対象:

  • Android Enterprise 仕事用プロファイル

デバイスの登録

新しいテナントは既定で Android デバイス管理者の管理から外れる

Android のデバイス管理者の機能は、Android Enterprise によって置き換えられています。 そのため、新しい登録には代わりに Android Enterprise を使用することをお勧めします。 今後の更新では、新しいテナントでデバイス管理者の管理を使用するには、Android の登録で次の前提条件手順を完了する必要があります。 [Intune] > [デバイスの登録] > [Android の登録] > [デバイス管理者特権を持つ個人所有のデバイスと会社所有のデバイス] > [デバイス管理者によってデバイスを管理します] に移動します。

既存テナントの環境は変更されません。

Intune での Android デバイス管理者について詳しくは、「Android デバイス管理者の登録」をご覧ください。

プロファイルに関連付けられている DEP デバイスの一覧

プロファイルに関連付けられている Apple Automated Device Enrollment Program (DEP) デバイスのページ分割された一覧が表示されるようになりました。 一覧の任意のページから一覧を検索できます。 一覧を表示するには、 [Intune] > [デバイスの登録] > [Apple の登録] > [Enrollment Program トークン] > トークンを選択 > [プロファイル] > プロファイルを選択 > [割り当てられたデバイス] ( [監視] の下) に移動します。

iOS ユーザー登録 (プレビュー)

Apple の iOS 13.1 リリースには、iOS デバイス用の新しい形式の簡易管理である、ユーザー登録が含まれています。 個人所有のデバイスでは、Device Enrollment や Automated Device Enrollment (旧称 Device Enrollment Program) の代わりに使用できます。 Intune のプレビューでは、この機能セットがサポートされており、次のことが可能です。

  • User Enrollment の対象をユーザー グループにする。
  • エンド ユーザーが、デバイスの登録時により軽量な User Enrollment とより強固な Device Enrollment のどちらかを選択できる。

iOS 13.1 のリリースがあった 2019 年 9 月 24 日より、これらの更新プログラムをすべてのお客様にロールアウトしており、来週の終わりまでに完了する見込みです。

適用対象:

  • iOS 13.1 以降

デバイス管理

Android フル マネージドのサポートの向上

Android フル マネージド デバイスに対して次のサポートが追加されました。

  • フル マネージド Android 用の SCEP 証明書を、デバイス所有者として管理されているデバイスでの証明書認証に使用できます。 SCEP 証明書は、仕事用プロファイル デバイスで既にサポートされています。 デバイス所有者の SCEP 証明書を使用すると、次のことが可能になります。
    • Android Enterprise の DO セクションで SCEP プロファイルを作成する
    • 認証用の DO Wi-Fi プロファイルに SCEP 証明書をリンクする
    • 認証用の DO VPN プロファイルに SCEP 証明書をリンクする
    • 認証用の DO 電子メール プロファイルに SCEP 証明書をリンクする (AppConfig を使用)
  • システム アプリは Android Enterprise デバイスでサポートされています。 Intune で、 [クライアント アプリ] > [アプリ] > [追加] を選択して、Android Enterprise システム アプリを追加します。 [アプリの種類] の一覧で、 [Android Enterprise システム アプリ] を選択します。 詳しくは、「Microsoft Intune に Android Enterprise システム アプリを追加する」をご覧ください。
  • [デバイスのポリシー準拠] > [Android Enterprise] > [デバイスの所有者] で、Google SafetyNet 構成証明レベルを設定するコンプライアンス ポリシーを作成できます。
  • Android Enterprise フル マネージド デバイスでは、モバイル脅威防御プロバイダーがサポートされています。 [デバイスのポリシー準拠] > [Android Enterprise] > [デバイスの所有者] では、許容される脅威レベルを選択できます。 Intune を使用してデバイスを準拠または非準拠としてマークするための Android エンタープライズ設定に関するページに、現在の設定が記載されています。
  • Android Enterprise フル マネージド デバイスでは、アプリ構成ポリシーを使用して Microsoft Launcher アプリを構成し、フル マネージド デバイスでの標準化されたエンド ユーザー エクスペリエンスを実現できるようになりました。 Microsoft Launcher アプリを使用して、Android デバイスを個人用に設定することができます。 Microsoft アカウントまたは職場/学校アカウントでアプリを使用して、カスタマイズしたフィード内で予定表、ドキュメント、最近のアクティビティにアクセスできます。

この更新では、Android Enterprise フル マネージドに対する Intune のサポートが一般提供になったことをお知らせします。

適用対象:

  • Android エンタープライズのフル マネージド デバイス

1 台のデバイスにカスタム通知を送信する

1 台のデバイスを選択してから、リモート デバイス操作を使用して、そのデバイスだけにカスタム通知を送信することができるようになりました。

ユーザー登録を使用して登録された iOS デバイスでは、ワイプとパスコードのリセット操作は使用できません

ユーザー登録は、新しい種類の Apple デバイス登録です。 ユーザー登録を使用してデバイスを登録すると、そのようなデバイスではワイプとパスコードのリセットのリモート操作を実行できなくなります。

Intune での iOS 13 および macOS Catalina デバイスのサポート

Intune では、iOS 13 デバイスと macOS Catalina デバイス両方の管理がサポートされるようになりました。 詳しくは、iOS 13 と iPadOS の Microsoft Intune サポートに関するブログ投稿をご覧ください。

iPadOS および iOS 13.1 デバイスでの Intune サポート

Intune では、iPadOS および iOS 13.1 デバイス両方の管理がサポートされています。 詳細については、このブログ投稿を参照してください。

デバイス セキュリティ

クライアント主導の回復パスワード ローテーションの BitLocker サポート

Intune Endpoint Protection の設定を使用して、Windows バージョン 1909 以降が実行されているデバイス上の BitLocker に対するクライアント主導の回復パスワード ローテーションを構成します。

この設定により、OS ドライブの復旧 (bootmgr または WinRE を使用して) および固定データ ドライブでの回復パスワードのロック解除の後で、クライアント主導の回復パスワード更新が開始します。 この設定により、使用されていた特定の回復パスワードは更新され、ボリューム上の他の未使用のパスワードは変更されません。 詳しくは、ConfigureRecoveryPasswordRotation に関する BitLocker CSP のドキュメントをご覧ください。

Windows Defender ウイルス対策の改ざん保護

Intune を使用して、Windows Defender ウイルス対策の "改ざん保護" を管理します。 Windows 10 エンドポイント保護用のデバイス構成プロファイルを使用するときに、Microsoft Defender セキュリティ センター グループで改ざん保護の設定を探します。 改ざん保護を "有効" に設定すると改ざん保護の制限をオンにでき、"無効" に設定するとオフにでき、"未構成" に設定するとデバイスを現在の構成のままにすることができます。

改ざん保護について詳しくは、Windows ドキュメントの「改ざん防止機能によってセキュリティ設定の変更を防止する」をご覧ください。

Windows Defender ファイアウォールの詳細設定が一般提供されるようになった

デバイス構成プロファイルの一部として構成するエンドポイント保護用の Windows Defender カスタム ファイアウォール規則は、パブリック プレビューを終了し、一般提供 (GA) されています。 これらの規則を使用して、アプリケーション、ネットワーク、アドレス、ポートに対する受信と送信の動作を指定できます。 これらの規則は、7 月にパブリック プレビューとしてリリースされました。

監視とトラブルシューティング

Intune ユーザー インターフェイスの更新 – テナントの状態ダッシュボード

テナントの状態ダッシュボード用のユーザー インターフェイスが、Azure ユーザー インターフェイスの形式に準拠するように更新されました。 詳しくは、テナントの状態に関する記事をご覧ください。

ロール ベースのアクセス制御

スコープ タグで使用条件ポリシーがサポートされるようになりました

スコープ タグを使用条件ポリシーに割り当てることができるようになりました。 これを行うには、 [Intune] > [デバイスの登録] > [使用条件] > 一覧の項目を選択 > [プロパティ] > [スコープ タグ] に移動し、スコープ タグを選択します。

2019 年 8 月

アプリ管理

デバイス登録解除時の iOS アプリのアンインストール動作を制御する

管理者は、ユーザーまたはデバイス グループ レベルでデバイスが登録解除された場合に、デバイス上のアプリを削除するか保持するかを管理できます。

ビジネス向け Microsoft Store アプリの分類

ビジネス向け Microsoft ストア アプリを分類できます。 これを行うには、 [Intune] > [クライアント アプリ] > [アプリ] > [Select a Microsoft Store for Business app](ビジネス向け Microsoft ストア アプリを選択する) > [アプリ情報] > [カテゴリ] の順に選択します。 ドロップダウン メニュー上で、カテゴリを割り当てます。

Microsoft Intune アプリ ユーザー向けにカスタマイズされた通知

Microsoft Intune の Android 用アプリでは、カスタム プッシュ通知の表示がサポートされるようになりました。iOS および Android 用のポータル サイト アプリに最近追加されたサポートと連携しています。 詳細は、「Intune でカスタム通知を送信する」を参照してください。

デバイスの構成

Windows 10 以降向けの管理用テンプレートを使用し、Microsoft Edge 設定を構成する

Windows 10 以降のデバイスでは、Intune でグループポリシー設定を構成するための管理用テンプレートを作成できます。 この更新プログラムでは、Microsoft Edge バージョン 77 以降に適用される設定を構成できます。

管理用テンプレートの詳細については、Windows 10 テンプレートを使用し、Intune でグループ ポリシー設定を構成する方法に関するページを参照してください。

適用対象:

  • Windows 10 以降 (Windows RS4 +)

マルチアプリ モードでの Android エンタープライズ専用デバイスの新機能

Intune では、Android エンタープライズ専用デバイス上のキオスク スタイルのエクスペリエンスの機能と設定を制御できます ( [デバイス構成] > [プロファイル] > [プロファイルの作成] > [Android エンタープライズ] (プラットフォーム) > [デバイスの所有者のみ]、[デバイスの制限] (プロファイルの種類))。

この更新プログラムでは、次の機能が追加されています。

  • [専用デバイス] > [複数アプリ] : [仮想ホーム ボタン] は、デバイス上で上方向にスワイプするか、またはユーザーが移動できるように画面上でのフローティングによって、表示できます。
  • [専用デバイス] > [複数アプリ] : [懐中電灯へのアクセス] を利用すると、ユーザーは懐中電灯を使用できます。
  • [専用デバイス] > [複数アプリ] : [メディア ボリューム コントロール] を利用すると、ユーザーはスライダーを使用してデバイスのメディア ボリュームを制御できます。
  • [専用デバイス] > [複数アプリ] : [Enable a screensaver](スクリーンセーバーを有効にする) では、カスタム画像をアップロードして、スクリーンセーバーが表示されるタイミングを制御します。

現在の設定を確認するには、Intune を使用して Android エンタープライズ デバイスの機能を許可または制限する設定に関するページを参照してください。

適用対象:

  • Android Enterprise 専用デバイス

Android エンタープライズのフル マネージド デバイスにおける新しいアプリと構成プロファイル

プロファイルを使用して、Android エンタープライズ デバイスの所有者 (フル マネージド) デバイスに VPN、電子メール、および Wi-Fi 設定を適用する設定を構成できます。 この更新プログラムでは、次のことができます。

重要

この機能を使用すると、ユーザーは VPN、Wi-Fi、および電子メール プロファイル用のユーザー名とパスワードを使って認証されます。 現時点では、証明書ベースの認証は使用できません。

適用対象:

  • Android エンタープライズ デバイス所有者 (フル マネージド)

ユーザーが macOS デバイスにサインインするときに開くアプリ、ファイル、ドキュメント、およびフォルダーを制御する

macOS デバイス上で機能を有効にして構成できます ( [デバイスの構成] > [プロファイル] > [プロファイルの作成] > [macOS] (プラットフォーム) > [デバイス機能] (プロファイルの種類))。

この更新プログラムには、登録済みデバイスにユーザーがサインインするときにどのアプリ、ファイル、ドキュメント、フォルダーが開かれるかを制御するために、新しい [ログイン項目] 設定があります。

現在の設定を確認するには、「Intune での macOS デバイスの機能設定」を参照してください。

適用対象:

  • macOS

Windows Update リングでの再起動猶予期間の設定が [期限] に置き換わった

最近の Windows サービスの変更に合わせて、Intune の Windows 10 更新リングでは期限の設定がサポートされるようになりました。 "期限" によって、デバイスに機能とセキュリティの更新プログラムがインストールされるタイミングが決まります。 Windows 10 1903 以降を実行しているデバイス上では、"期限" が "再起動猶予期間" の構成よりも優先されます。 将来は、Windows 10 の以前のバージョンでも、"期限" が "再起動猶予期間" よりも優先される予定です。

"期限" を構成しない場合、デバイスでは引き続き "再起動猶予期間" の設定が使用されますが、将来の更新プログラムでは Intune による再起動猶予期間の設定のサポートは廃止される予定です。

お使いのすべての Windows 10 デバイスに対して、"期限" を使用することを計画してください。 "期限" の設定が行われたら、"再起動猶予期間" に関する Intune の構成を未構成に変更できます。 未構成に設定されている場合、Intune ではデバイス上のそれらの設定の管理を停止しますが、その設定に対応する最後の構成をデバイスから削除することはありません。 そのため、"再起動猶予期間" に設定された最後の構成は、それらの設定が Intune 以外の方法によって変更されるまで、デバイス上でアクティブに使用されたままになります。 その後、Windows のデバイス バージョンが変更された場合、または "期限" に対する Intune のサポートがそのデバイスの Windows バージョンまで拡張された場合、デバイスでは、既に設定されている新しい設定の使用が開始されます。

複数の Microsoft Intune Certificate Connector のサポート

Intune では、PKCS 操作に対応した Microsoft Intune Certificate Connector の複数のインストールと使用がサポートされるようになりました。 この変更により、コネクタの負荷分散と高可用性がサポートされます。 各コネクタ インスタンスでは、Intune からの証明書要求を処理できます。 1 つのコネクタが使用できない場合は、それ以外のコネクタが引き続き要求を処理します。

複数のコネクタを使用するために、最新バージョンのコネクタ ソフトウェアにアップグレードする必要はありません。

iOS および macOS デバイス上で機能を制限するための新しい設定と既存の設定の変更

プロファイルを作成して iOS および macOS を実行するデバイス上での設定を制限できます ( [デバイス構成] > [プロファイル] > [プロファイルの作成] > [iOS] または [macOS] (プラットフォームの種類) > [デバイスの制限] )。 この更新プログラムには、次の機能が含まれます。

  • [macOS] > [デバイスの制限] > [クラウドとストレージ] で、新しい [ハンドオフ] 設定を使用して、1 つの macOS デバイス上でユーザーによる作業の開始をブロックし、別の macOS または iOS デバイス上で作業を続行します。

    現在の設定を確認するには、「Intune を使用して機能を許可または制限するように macOS デバイスを設定する」を参照してください。

  • [iOS] > [デバイスの制限] には、いくつかの変更点があります。

    • [組み込みアプリ] > [iPhone を探す (監視モードのみ)] :Find My アプリ機能にあるこの機能をブロックするための新しい設定。
    • [組み込みアプリ] > [友達を探す (監視モードのみ)] :Find My アプリ機能にあるこの機能をブロックするための新しい設定。
    • [ワイヤレス] > [Wi-Fi 状態の変更 (監視モードのみ)] :ユーザーがデバイス上で Wi-Fi をオンまたはオフにできないようにする新しい設定。
    • [キーボードと辞書] > [QuickPath (監視モードのみ)] :QuickPath 機能をブロックする新しい設定。
    • [クラウドとストレージ] : [アクティビティの継続][ハンドオフ] に名称変更されました。

    現在の設定を確認するには、「Intune を使用して機能を許可または制限するように iOS デバイスを設定する」を参照してください。

適用対象:

  • macOS 10.15 以降
  • iOS 13 以降

監視されていない一部の iOS デバイスの制限が iOS 13.0 リリースでは監視モードのみになる

この更新プログラムでは、iOS 13.0 リリースによって一部の設定は監視モードのみのデバイスに適用されます。 これらの設定が構成済みであり、iOS 13.0 リリースより前の監視されていないデバイスに割り当てられている場合は、監視されていないそれらのデバイスに引き続き設定が適用されます。 また、デバイスが iOS 13.0 にアップグレードされた後も、引き続き適用されます。 バックアップおよび復元された監視されていないデバイス上では、これらの制限は削除されます。

設定は次のとおりです。

  • アプリ ストア、ドキュメント表示、ゲーム
    • アプリ ストア
    • 成人指定の iTunes ミュージック、ポッドキャスト、またはニュース コンテンツ
    • Game Center の友だちの追加
    • マルチプレイヤー ゲーム
  • 組み込みアプリ
    • カメラ
      • FaceTime
    • Safari
      • オートフィル
  • クラウドとストレージ
    • iCloud へのバックアップ
    • iCloud ドキュメントの同期のブロック
    • iCloud キーチェーンの同期をブロックする

現在の設定を確認するには、「Intune を使用して機能を許可または制限するように iOS デバイスを設定する」を参照してください。

適用対象:

  • iOS 13.0 以降

macOS の FileVault 暗号化に対するデバイス ステータスの改善

macOS デバイス上での FileVault 暗号化に対するデバイス ステータス メッセージが、いくつか更新されました。

レポート内の一部の Windows Defender ウイルス対策スキャンの設定に失敗のステータスが表示される

Intune では、Windows Defender ウィルス対策を使用するポリシーを作成して、お使いの Windows 10 デバイスをスキャンできます ( [デバイス構成] > [プロファイル] > [プロファイルの作成] > [Windows 10 以降] (プラットフォーム) > [デバイスの制限] (プロファイルの種類) > [Windows Defender ウィルス対策] )。 [毎日のクイック スキャンを実行する時刻] および [実行するシステム スキャンの種類] のレポートで、実際には成功のステータスになる場合に、失敗のステータスが表示されます。

この更新プログラムでは、この動作は変更されています。 そのため、 [Time to perform a daily quick scan](毎日のクイック スキャンを実行する時刻)[Type of system scan to perform](実行するシステム スキャンの種類) の設定には、スキャンが正常に終了した場合には成功ステータスが表示され、設定の適用に失敗した場合には失敗のステータスが表示されます。

Windows Defender ウイルス対策の設定の詳細については、Intune を使用して機能を許可または制限する Windows 10 (以降) のデバイス設定に関するページを参照してください。

Android エンタープライズ デバイス上で Zebra Technologies 社が OEMConfig に対してサポートされている OEM となる

Intune では、デバイス構成プロファイルを作成して、OEMConfig を使用する Android エンタープライズ デバイスに設定を適用できます (デバイス構成 > [プロファイル] > [プロファイルの作成] > [Android エンタープライズ] (プラットフォーム) > [OEMConfig] (プロファイルの種類))。

この更新プログラムでは、Zebra Technologies 社は、OEMConfig に対してサポートされている Original Equipment Manufacturer (OEM) です。 OEMConfig の詳細については、「OEMConfig を利用して Android エンタープライズ デバイスを使用および管理する」を参照してください。

適用対象:

  • Android エンタープライズ

デバイスの登録

既定のスコープ タグ

新しい組み込みの既定のスコープ タグを使用できるようになりました。 スコープ タグをサポートしているタグ付けされていないすべての Intune オブジェクトが、自動的に既定のスコープ タグに割り当てられます。 現在の管理エクスペリエンスに合うように、既定 のスコープ タグがすべての既存のロール割り当てに追加されます。 既定のスコープ タグが付与された Intune オブジェクトを管理者に表示しないようにする場合は、ロールの割り当てから既定のスコープ タグを削除します。 この機能は、Configuration Manager のセキュリティ スコープ機能とほぼ同じです。 詳細については、分散型 IT での RBAC とスコープ タグの使用に関するページを参照してください。

Android 登録のデバイス管理者のサポート

Android デバイス管理者の登録オプションが、[Android 登録] ページに追加されました ( [Intune] > [デバイスの登録] > [Android の登録] )。 Android デバイス管理者は引き続き、すべてのテナントに対して既定で有効になります。 詳細については、「Android デバイス管理者の登録」を参照してください。

セットアップ アシスタントにある画面をさらにスキップする

Device Enrollment Program プロファイルを設定して、次のセットアップ アシスタントの画面をスキップできます。

  • iOS の場合
    • 表示形式
    • 簡易言語
    • 優先する言語
    • デバイスからデバイスへの移行
  • macOS の場合
    • 画面の表示時間
    • Touch ID の設定

セットアップ アシスタントのカスタマイズの詳細については、iOS 用の Apple 登録プロファイルの作成および macOS 用の Apple 登録プロファイルの作成に関するページを参照してください。

Autopilot デバイスの CSV アップロード プロセスにユーザー列を追加する

Autopilot デバイスの CSV アップロードにユーザー列を追加できるようになりました。 これにより、CSV をインポートするときにユーザーを一括で割り当てることができます。 詳細については、「Windows Autopilot を使用して Intune に Windows デバイスを登録する」を参照してください。

デバイス管理

自動デバイス クリーンアップの制限時間を 30 日まで短く構成する

自動デバイス クリーンアップの制限時間を、最後にサインインしてから 30 日 (以前の制限は 90 日) に短縮して設定できます。 これを行うには、 [Intune] > [デバイス] > [セットアップ] > [デバイスのクリーン アップ ルール] に移動します。

Android デバイスの [ハードウェア] ページに含まれるビルド番号

各 Android デバイスの [ハードウェア] ページにある新しい項目には、デバイスのオペレーティング システムのビルド番号が含まれます。 詳細については、「Intune でデバイスの詳細を確認する」を参照してください。

2019 年 7 月

アプリ管理

ユーザーとグループ向けにカスタマイズされた通知

Intune で管理している iOS デバイスと Android デバイスで、ポータル サイト アプリケーションからユーザーに宛て、カスタムのプッシュ通知を送信します。 このようなモバイル プッシュ通知は自由形式のテキストで高度なカスタマイズが可能であり、あらゆる目的に使用できます。 組織のさまざまなユーザー グループに通知の対象を設定できます。 詳細は、「カスタム通知」を参照してください。

Google のデバイス ポリシー コントローラー アプリ

マネージド ホーム スクリーン アプリで、Google の Android デバイス ポリシー アプリにアクセスできるようになりました。 マネージド ホーム スクリーン アプリは、マルチアプリ キオスク モードを使用する Android Enterprise (AE) 専用デバイスとして Intune に登録されているデバイスで使用されるカスタム ランチャーです。 Android デバイス ポリシー アプリにアクセスしたり、ユーザーを Android デバイス ポリシー アプリに案内したりして、サポートとデバッグを行うことができます。 この起動機能は、デバイスが登録され、マネージド ホーム スクリーンにロックされているときに使用できます。 この機能を使用するために追加のインストールは必要ありません。

iOS デバイスと Android デバイスの Outlook 保護設定

デバイスを登録しなくても、シンプルな Intune 管理者コントロールを利用し、iOS と Android を対象に Outlook の一般アプリ設定とデータ保護設定の両方を構成できるようになりました。 一般的なアプリ構成設定からは、登録したデバイスで iOS 向け Outlook か Android 向け Outlook を管理するときに管理者が有効にできるものと同じような設定が与えられます。 Outlook 設定の詳細は、iOS と Android 用 Outlook のアプリ構成設定の展開に関する記事をご覧ください。

マネージド ホーム スクリーンとマネージド設定のアイコン

[マネージド ホーム スクリーン] アプリ アイコンと [マネージド設定] のアイコンが更新されました。 [マネージド ホーム スクリーン] アプリは、Android Enterprise (AE) 専用デバイスとして Intune に登録され、マルチアプリ キオスク モードで実行されるデバイスでのみ使用されます。 [マネージド ホーム スクリーン] アプリの詳細は、「Android Enterprise 用 Microsoft Managed Home Screen アプリを構成する」を参照してください。

Android Enterprise 専用デバイスの Android デバイス ポリシー

[マネージド ホーム スクリーン] アプリのデバッグ画面から Android デバイス ポリシー アプリケーションにアクセスできます。 [マネージド ホーム スクリーン] アプリは、Android Enterprise (AE) 専用デバイスとして Intune に登録され、マルチアプリ キオスク モードで実行されるデバイスでのみ使用されます。 詳細は、「Android Enterprise 用 Microsoft Managed Home Screen アプリを構成する」を参照してください。

iOS ポータル サイトの更新

iOS アプリ管理プロンプトの会社名が現在の "i.manage.microsoft.com" テキストに取って代わります。 たとえば、ユーザーがポータル サイトから iOS アプリをインストールしようとすると、あるいはユーザーがアプリの管理を許可すると、"i.manage.microsoft.com" ではなく、会社名がユーザーに表示されます。 これは、今後数日間にわたってすべてのお客様にロールアウトされます。

Android Enterprise デバイスの Azure AD と APP

フル マネージドの Android Enterprise デバイスをオンボードするとき、ユーザーは新しい (工場出荷時の状態の) デバイスの初回セットアップ中、Azure Active Directory (Azure AD) に登録するようになりました。 以前は、フル マネージド デバイスの場合、セットアップの完了後、ユーザーは手動で Microsoft Intune アプリを起動し、Azure AD 登録を開始する必要がありました。 今後は、初回セットアップ後、ユーザーがデバイスのホーム ページを開くと、デバイスの登録も完了しています。

Azure AD 更新プログラムに加え、Intune アプリ保護ポリシー (APP) がフル マネージドの Android Enterprise デバイスでサポートされるようになりました。 ロールアウト次第、この機能は利用できるようになります。詳細は、「Intune で managed Google Play アプリを Android エンタープライズ デバイスに追加する」を参照してください。

デバイスの構成

Windows 10 デバイス構成プロファイルを作成するときは "適用規則" を使用する

Windows 10 デバイス構成プロファイルを作成します ( [デバイスの構成][プロファイル][プロファイルの作成] の順に選択し、プラットフォームに [Windows 10] を選択し、 [適用規則] を選択します)。 今回の更新で、適用規則 を作成し、プロファイルが特定のエディションまたは特定のバージョンにのみ適用されるようにすることができます。 たとえば、いくつかの BitLocker 設定を有効にするプロファイルを作成します。 プロファイルを追加したら、適用規則を使用して Windows 10 Enterprise を実行しているデバイスにのみプロファイルを適用します。

適用規則を追加するには、「適用規則」を参照してください。

適用対象:Windows 10 以降

トークンを利用し、iOS デバイスと macOS デバイス向けのカスタム プロファイルでデバイス固有の情報を追加します

iOS デバイスと macOS デバイスでカスタム プロファイルを利用し、Intune には組み込まれていない設定や機能を構成できます ( [デバイス構成][プロファイル][プロファイルの作成] の順に選択し、プラットフォームに [iOS] または [macOS] を選択し、プロファイルの種類に [カスタム] を選択します)。 今回の更新では、トークンを .mobileconfig ファイルに追加し、デバイス固有の情報を追加できます。 たとえば、デバイスのシリアル番号を表示する目的で構成ファイルに Serial Number: {{serialnumber}} を追加できます。

カスタム プロファイルを作成するには、「iOS カスタム設定」または「macOS カスタム設定」を参照してください。

適用対象:

  • iOS
  • macOS

Android Enterprise 向けに OEMConfig プロファイルを作成するときの新しい構成デザイナー

Intune では、OEMConfig アプリを使用するデバイス構成プロファイルを作成できます ([デバイス構成]、[プロファイル]、[プロファイルの作成] の順に選択し、プラットフォームに [Android Enterprise] を選択し、プロファイルの種類に [OEMConfig] を選択します)。 これを行うと、JSON エディターが開き、テンプレートと値を変更できます。

今回の更新には、使い勝手が改善された構成デザイナーが含まれています。タイトルや説明など、アプリに組み込まれた詳細が表示されます。 JSON エディターも引き続き使用できます。構成デザイナーで行ったすべての変更が表示されます。

現在の設定を確認するには、「OEMConfig で Android Enterprise デバイスを使用し、管理する」を参照してください。

適用対象:Android エンタープライズ

Windows Hello を構成する目的で更新された UI

Windows Hello for Business を使用するように Intune を構成するコンソールを更新しました。 構成設定はすべて、Windows Hello のサポートを有効にしたコンソールの同じウィンドウで利用できるようになりました。

Intune PowerShell SDK

Microsoft Graph 経由で Intune API のサポートを提供する Intune PowerShell SDK がバージョン 6.1907.1.0 に更新されました。 SDK で以下がサポートされるようになりました。

  • Azure Automation と連動します。
  • アプリ専用の認証読み取り操作をサポートします。
  • わかりやすく省略した名前を別名としてサポートします。
  • PowerShell の名前付け規則に準拠します。 具体的には、PSCredential パラメーター (Connect-MSGraph コマンドレット) の名前が Credential に変更されました。
  • Invoke-MSGraphRequest コマンドレットの使用時、Content-Type ヘッダーの値を手動で指定できるようになりました。

詳細は、「PowerShell SDK for Microsoft Intune Graph API」を参照してください。

macOS 向け FileVault の管理

Intune を使用し、macOS デバイスの FileVault キー暗号化を管理できます。 デバイスを暗号化するには、エンドポイント保護デバイス構成プロファイルを使用します。

FileVault のサポートには、暗号化されていないデバイスの暗号化、デバイスの個人用回復キーのエスクロー、個人用暗号化キーの自動または手動ローテーション、会社デバイスのキー取得が含まれます。 エンド ユーザーはポータル サイト Web サイトを使用し、暗号化している自分のデバイスの個人用回復キーを取得することもできます。

また、デバイス暗号化に関するすべての詳細を 1 か所で表示できるように、BitLocker に関する情報に加えて、FileVault に関する情報が含まれるよう、暗号化レポートを拡張しました。

Windows 10 管理用テンプレートの新しい Office、Windows、OneDrive の設定

オンプレミス グループ ポリシー管理を模倣する管理用テンプレートを Intune で作成できます ( [デバイス管理][プロファイル][プロファイルの作成] の順に選択し、プラットフォームに [Windows 10 以降] を選択し、プロファイルの種類に [管理用テンプレート] を選択します)。

この更新には、テンプレートに追加できる Office 設定、Windows 設定、OneDrive 設定が含まれています。 このような新しい設定を利用することで、100% クラウドベースの 2500 を超える設定を構成できるようになりました。

この機能の詳細については、Windows 10 テンプレートを使用し、Intune でグループ ポリシー設定を構成する方法に関するページを参照してください。

適用対象:Windows 10 以降

デバイスの登録

登録制限の更新

Android Enterprise の仕事用プロファイルが既定で許可されるように、新しいテナントの登録制限が更新されました。 既存のテナントは変更の萍郷を受けません。 Android Enterprise の仕事用プロファイルを使用するには、Managed Google Play アカウントに Intune アカウントを接続する必要があります。

Apple 登録と登録制限の UI 更新

次の両方のプロセスでウィザードスタイルのユーザー インターフェイスが使用されます。

Android Q デバイスの会社デバイス ID の事前構成を処理する

Google は Android Q (v10) で、レガシ マネージド (デバイス管理者) Android デバイスの MDM エージェントでデバイス ID 情報を収集する機能を削除しました。 Intune には、デバイスに会社所有のタグを自動的に付ける目的で、IT 管理者がデバイス シリアル番号または IMEI の一覧を事前構成できる機能が与えられています。 この機能は、デバイス管理者によって管理される Android Q デバイスでは作動しません。 デバイスのシリアル番号または IMEI に関係なく、Intune 登録中、デバイスは常に個人所有として見なされます。 登録後、会社に所有権を手動で切り替えることができます。 これは新しい登録のみに関係します。登録済みのデバイスは影響を受けません。 仕事用プロファイルで管理される Android デバイスはこの変更の影響を受けません。今後も今までどおり動作します。 また、デバイス管理者として登録されている Android Q デバイスでは、Intune コンソールでシリアル番号または IMEI をデバイス プロパティとして報告できなくなります。

Android Enterprise 登録のアイコンが変更されました (仕事用プロファイル、専用デバイス、完全に管理されるデバイス)。

Android Enterprise 登録プロファイルのアイコンが変更されました。 新しいアイコンを見るには、 [Intune][登録][Android 登録] の順に進み、 [登録プロファイル] の下を探してください。

Windows 診断データ収集の変更

Windows 10 バージョン 1903 以降を実行するデバイスに関して、診断データ収集の既定値が変更されました。 Windows 10 1903 より、診断データ収集は既定で有効になります。 Windows 診断データは、Windows デバイスから取得される、デバイスと、Windows と関連ソフトウェアの性能に関する極めて重要な技術データです。 詳しくは、「組織内の Windows 診断データの構成」をご覧ください。 AutoPilot デバイスでも、System/AllowTelemetry で AutoPilot プロファイルに完全以外が設定されていない限り、"完全な" テレメトリが選択されます。

Windows AutoPilot リセットを実行すると、デバイスのプライマリ ユーザーが削除されます。

AutoPilot リセットがデバイスで使用されると、デバイスのプライマリ ユーザーが削除されます。 リセット後に初めてサインインしたユーザーがプライマリ ユーザーとして設定されます。 この機能は、今後数日間にわたってすべてのお客様にロールアウトされます。

デバイス管理

デバイスの位置検索機能の向上

[デバイスを検索する] アクションを使用し、デバイスの正確な座標にズームインできます。 紛失した iOS デバイスの位置を見つける方法については、紛失した iOS デバイスを見つける方法に関するページを参照してください。

デバイス セキュリティ

Windows Defender ファイアウォールの詳細設定 (パブリック プレビュー)

Windows 10 のエンドポイント保護としてデバイス構成プロファイルの一部としてカスタム ファイアウォール規則を管理するには、Intune を使用します。 規則では、アプリケーション、ネットワーク、アドレス、ポートに対する受信と送信の動作を指定できます。

セキュリティ ベースラインを管理するための UI が更新されました

Intune コンソールでセキュリティ ベースラインを作成し、編集するエクスペリエンス を更新しました。 変更内容:

ウィザードスタイルの形式がシングル ブレードに圧縮され、わかりやすくなりました。 1 つのブレードに収まるようになりました。 ブレードがスプロールしていると IT の専門家は複数の個別ウィンドウにドリルダウンしなければなりませんが、この新しい設計ではそれがなくなりました。
作成または編集の間に割り当てを作成できるようになりました。後で割り当てベースラインに戻る必要がありません。 設定のまとめを追加しました。新しいベースラインを作成する前に、あるいは既存のベースラインを編集するときに表示できます。 編集時、編集中のプロパティの 1 カテゴリ内に設定されているアイテムのみがまとめに一覧表示されます。

2019 年 6 月

アプリ管理

Android と iOS デバイスで Intune App Protection ポリシー (APP) を使用すると、組織の Web リンクを Intune Managed Browser または Microsoft Edge 以外の特定のブラウザーに転送できるようになりました。 アプリの詳細については、「アプリ保護ポリシーとは」を参照してください。

[すべてのアプリ] ページでは、オンライン/オフラインの Microsoft Store for Business アプリが識別されます。

[すべてのアプリ] ページには、Microsoft Store for Business (MSFB) アプリをオンラインまたはオフライン アプリとして識別するためのラベル付けが含まれるようになりました。 各 MSFB アプリには、 [オンライン][オフライン] の接尾辞が含まれるようになりました。 [アプリの詳細] ページには、ライセンスの種類デバイス コンテキスト インストールのサポート (オフラインの認可アプリのみ) に関する情報も含まれています。

Windows 共有デバイスのポータル サイト アプリ

ユーザーは Windows 共有デバイスでポータル サイト アプリにアクセスできるようになりました。 エンドユーザーには、デバイス タイルで 共有 ラベルが表示されます。 これは、Windows ポータルサイト アプリ バージョン 10.3.45609.0 以降に適用されます。

新しいポータル サイト Web ページにインストールされたすべてのアプリが表示

ポータル サイト Web サイトの新しい [インストール済みアプリ] ページに、ユーザーのデバイスにインストールされているすべてのマネージド アプリ (必須および使用可能の両方) が一覧表示されます。 割り当ての種類だけでなく、アプリの発行元、発行日、現在のインストール状態も表示されます。 ユーザーに対して必須または使用可能とされているアプリがない場合は、会社アプリがインストールされていないというメッセージが表示されます。 Web 上で新しいページを参照するには、ポータル サイト Web サイトに移動して、 [インストール済みアプリ] をクリックします。

新しいビューでデバイスにインストールされているすべてのマネージド アプリが表示可能に

Windows 用ポータル サイトのアプリに、ユーザーのデバイスにインストールされているすべてのマネージド アプリ (必須および使用可能の両方) が一覧表示されるようになりました。 ユーザーは、試行した、および保留中のアプリのインストールと、それらの現在の状態も確認できます。 ユーザーに対して必須または使用可能とされているアプリがない場合は、アプリがインストールされていないというメッセージが表示されます。 新しいビューを表示するには、ポータル サイトのナビゲーション ウィンドウに移動し、 [アプリ] > [インストール済みアプリ] の順に選択します。

Microsoft Intune アプリの新機能

Android 用 Microsoft Intune アプリ (プレビュー) に新機能が追加されました。 フル マネージド Android デバイスのユーザーは次のことが可能になりました。

  • Intune ポータル サイトまたは Microsoft Intune のアプリを介して登録したデバイスを表示して管理する。
  • サポートが必要な場合はお客様の組織に問い合わせてください。
  • Microsoft にフィードバックを送信する。
  • 組織で設定されている場合は、使用条件を表示する。

GitHub で入手できる Intune SDK 統合を示す新しいサンプル アプリ

msintuneappsdk GitHub アカウントで、iOS (Swift)、Android、Xamarin.iOS、Xamarin Forms、Xamarin.Android 向けの新しいサンプル アプリケーションが追加されました。 これらのアプリの目的は、既存のドキュメントを補完し、Intune APP SDK をお客様のモバイル アプリに統合する方法のデモを提供することです。 Intune SDK の追加のガイダンスが必要なアプリ開発者の場合は、次のリンク先のサンプルを参照してください。

  • Chatr - 仲介型認証に Azure Active Directory 認証ライブラリ (ADAL) を使用するネイティブ iOS (Swift) インスタント メッセージング アプリ。
  • Taskr - 仲介型認証に ADAL を使用するネイティブの Android todo リスト アプリ。
  • Taskr - 仲介型認証に ADAL を使用する Xamarin.Android の todo リスト アプリ。このリポジトリには Xamarin.Forms アプリもあります。
  • Xamarin.iOS サンプル アプリ - 必要最低限の Xamarin.iOS サンプル アプリ。

デバイスの構成

macOS デバイスのカーネル拡張機能の設定を構成する

macOS デバイスで、デバイス構成プロファイルを作成できます ( [デバイス構成] > [プロファイル] > [プロファイルの作成] > プラットフォームに [macOS] を選択します)。 この更新プログラムには、デバイスのカーネル拡張機能を構成して使用することができる新しい設定のグループが含まれます。 特定の拡張機能を追加したり、特定のパートナーまたは開発者からの拡張機能をすべて許可したりすることができます。

この機能の詳細については、カーネル拡張機能の概要カーネル拡張機能の設定に関するページを参照してください。

適用対象: macOS 10.13.2 以降

Windows 10 デバイスのストアのアプリのみ設定に含まれるその他の構成オプション

ユーザーが Windows アプリ ストアからのみアプリをインストールするように、Windows デバイス用のデバイス制限プロファイルを作成するときに [Apps from the store only] (ストアのアプリのみ) 設定を使用することがでます ( [デバイス構成] > [プロファイル] > [プロファイルの作成] > プラットフォームに [Windows 10 以降] > プロファイルの種類に [デバイスの制限] )。 この更新では、この設定はより多くのオプションをサポートするように拡張されています。

新しい設定を確認するには、機能を許可または制限する Windows 10 (以降) デバイス設定に関するページを参照してください。

適用対象:Windows 10 以降

複数の Zebra モビリティ拡張機能デバイス プロファイルを 1 つのデバイス、同じユーザー グループ、または同じデバイス グループに展開する

Intune では、デバイス構成プロファイル内で Zebra モビリティ拡張機能 (MX) を使用し、Intune に組み込まれていない Zebra デバイス向けに設定をカスタマイズできます。 現在、1 つのデバイスに 1 つのプロファイルを展開できます。 今回の更新では、以下に複数のプロファイルを展開できます。

  • 同じユーザー グループ
  • 同じデバイス グループ
  • 1 つのデバイス

Microsoft Intune で Zebra モビリティ拡張機能を備えた Zebra デバイスを使用および管理する」には、Intune で MX を使用する方法が説明されています。

適用対象:Android

iOS デバイス上の一部のキオスク設定は、[許可] の代わりに [ブロック] を使用して設定されています。

iOS デバイス上にデバイス制限プロファイルを作成した場合は ( [デバイス構成] > [プロファイル] > [プロファイルの作成] > プラットフォームに [iOS] > プロファイルの種類に [デバイスの制限] > [キオスク] )、 [自動ロック][着信音スイッチ][画面の回転][画面スリープ ボタン] 、および [音量ボタン] を設定します。

今回の更新で、値は [ブロック] (機能をブロックする) と [未構成] (機能を許可する) になりました。 設定を確認するには、機能を許可または制限する iOS デバイスの設定に関するページを参照してください。

適用対象: iOS

iOS デバイスのパスワード認証に Face ID を使用する

iOS デバイス用のデバイス制限プロファイルを作成するときは、パスワードに指紋を使用できます。 今回の更新では、指紋のパスワード設定でも顔認識が可能になりました ( [デバイス構成][プロファイル][プロファイルの作成] の順に選択し、プラットフォームに [iOS] を選択し、プロファイルの種類に [デバイスの制限] を選択し、 [パスワード] を選択します)。 その結果、次の設定が変更されています。

  • [指紋によるロック解除][Touch ID と Face ID のロック解除] になりました。
  • [指紋の変更 (管理モードのみ)][Touch ID と Face ID の変更 (監視モードのみ)] になりました。

Face ID は iOS 11.0 以降で使用できます。 設定を確認するには、「Intune を使用して機能を許可または制限するように iOS デバイスを設定する」を参照してください。

適用対象: iOS

iOS デバイスでのゲームやアプリ ストアの機能制限が年齢区分の地域によって異なるようになりました

iOS デバイスでは、ゲーム、アプリ ストア、およびドキュメントの表示に関連する機能を許可または制限できます ( [デバイス構成] > [プロファイル] > [プロファイルの作成] > プラットフォームに [iOS] > プロファイルの種類に [デバイスの制限] > [アプリ ストア、ドキュメント表示、ゲーム] )。 米国などの年齢区分の地域を選択することもできます。

今回の更新では、 [アプリ] 機能が [年齢区分の地域] の子に移動され、 [年齢区分の地域] に依存するようになりました。 設定を確認するには、「Intune を使用して機能を許可または制限するように iOS デバイスを設定する」を参照してください。

適用対象: iOS

デバイスの登録

Hybrid Azure AD Join の Windows AutoPilot サポート

既存デバイスの Windows AutoPilot で、(既存の Azure AD Join サポートに加え) Hybrid Azure AD Join がサポートされるようになりました。 Windows 10 バージョン 1809 以降のデバイスに適用されます。 詳細は、既存のデバイスの Windows AutoPilot に関するページを参照してください。

デバイス管理

Android デバイス用のセキュリティ パッチ レベルを確認する

Android デバイスのセキュリティ パッチ レベルを確認できるようになりました。 これを行うには、 [Intune][デバイス][すべてのデバイス] の順に進んでデバイスを選択し、 [ハードウェア] を選択します。 パッチ レベルの一覧は [オペレーティング システム] セクションにあります。

セキュリティ グループ内のすべてのマネージド デバイスにスコープ タグを割り当てる

スコープ タグをセキュリティ グループに割り当てられるようになりました。セキュリティ グループのすべてのデバイスもそのスコープ タグに関連付けられます。 これらのグループ内のすべてのデバイスにもスコープ タグが割り当てられます。 この機能で設定されたスコープ タグによって、現在のデバイス スコープ タグ フローで設定されたスコープ タグは上書きされる予定です。 詳細は、分散 IT に RBAC とスコープ タグを使用する方法に関するページを参照してください。

デバイス セキュリティ

セキュリティ ベースラインでキーワード検索を使用する

セキュリティ ベースライン プロファイルを作成または編集するとき、新しい [検索] バーにキーワードを指定し、利用できる設定グループを検索基準に含まれるグループに絞り込むことができるようになりました。

セキュリティ ベースライン機能の一般提供が開始されました

セキュリティ ベースライン 機能のプレビューが終わり、一般提供 (GA) になりました。 これは、機能が運用環境で使用できる状態であることを意味します。 ただし、個々のベースライン テンプレートはプレビューのままであり、独自のスケジュールに基づいて評価され、GA リリースされます。

MDM セキュリティ ベースライン テンプレートが一般提供になりました

MDM セキュリティ ベースラインのプレビューが終わり、一般提供 (GA) になりました。 GA テンプレートは、2019 年 5 月の MDM セキュリティ ベースライン として識別されています。 これは新しいテンプレートであり、前のバージョンからのアップグレードではありません。 新しいテンプレートであるため、それに含まれる設定を確認する必要があり、その後、新しいプロファイルを作成し、テンプレートをデバイスに配備する必要があります。 その他のセキュリティ ベースライン テンプレートはプレビューのままでも構いません。 利用できるベースラインの一覧は、「使用可能なセキュリティ ベースライン」を参照してください。

新しいテンプレートであるだけではなく、2019 年 5 月の MDM セキュリティ ベースライン テンプレートには、"開発中" 記事で最近告知した 2 つの設定が含まれています。

  • Above Lock (ロックの上から):ロックされた画面から音声でアプリを起動します
  • DeviceGuard:仮想化ベースのセキュリティ (VBS) をデバイスの次回起動で使用します

2019 年 5 月の MDM セキュリティ ベースライン には、新しい設定がさらにいくつか追加されています。また、削除された設定もあり、設定の既定値が見直されたものもあります。 プレビューから GA に変更された機能の詳しい一覧は、新しいテンプレートで変更された箇所 に関するページを参照してください。

セキュリティ ベースラインのバージョン管理

Intune のセキュリティ ベースラインはバージョン管理に対応しています。 バージョン管理に対応していることで、セキュリティ ベースラインの新しいバージョンがリリースされるたびに、新しいベースラインを一から作り直して配備しなくても、最新のベースライン バージョンを使用するように、既存のセキュリティ ベースライン プロファイルを更新できます。 また、Intune コンソールでは、ベースラインが使用される個別プロファイルの数、プロファイルで使用されるさまざまなベースライン バージョンの数、特定のセキュリティ ベースラインの最新リリースの日付など、各ベースラインに関する情報を表示できます。 詳細は、「セキュリティ ベースライン」を参照してください。

[サインインのセキュリティ キーを使用] 設定が移動しました

サインインのセキュリティ キーを使用 という名称の ID 保護用デバイス構成設定は、「Windows Hello for Business の構成」の下位設定から削除されました。 Windows Hello for Business の使用を有効にしなくても、常に使用できる最上位の設定になりました。 詳細は、「ID 保護」を参照してください。

ロール ベースのアクセス制御

割り当てられたグループ管理者の新しいアクセス許可

Intune の組み込み学校管理者ロールに管理対象アプリに対する作成、読み取り、更新、削除 (CRUD) のアクセス許可が付与されるようになりました。 今回の更新は、教育機関向け Intune のグループ管理者として任命されたとき、自分に与えられているすべての既存のアクセス許可と共に、iOS MDM プッシュ通知証明書、iOS MDM サーバー トークン、iOS VPP トークンを作成、表示、更新、削除できるようになりました。 これらのアクションを実行するには、 [テナント設定][iOS デバイス管理] の順に進みます。

アプリケーションでは Graph API を利用し、ユーザー資格情報なしで読み取り操作を呼び出すことができます。

アプリケーションでは、ユーザー資格情報がなくても、アプリの ID で Intune Graph API 読み取り操作を呼び出すことができます。 Microsoft Graph API for Intune にアクセスする方法については、「Microsoft Graph での Intune の操作」を参照してください。

Microsoft Store for Business アプリにスコープ タグを適用する

Microsoft Store for Business アプリにスコープ タグを適用できるようになりました。 スコープ タグの詳細は、分散 IT にロールベースのアクセス制御 (RBAC) とスコープ タグを使用する方法に関するページを参照してください。

2019 年 5 月

アプリ管理

Android デバイス上の有害な可能性のあるアプリについてのレポート

Intune により、Android デバイス上の有害な可能性のあるアプリに関する追加レポート情報が提供されるようになりました。

Microsoft ポータル サイト アプリ

Windows ポータル サイト アプリには、 [デバイス] とラベル付けされた新しいページが設けられました。 [デバイス] ページには、登録されているデバイスのすべてのエンド ユーザーが表示されます。 バージョン 10.3.4291.0 以降を使用している場合、ユーザーはポータル サイト上でこの変更を確認できます。 ポータル サイトの構成方法については、「Microsoft Intune ポータル サイト アプリを構成する方法」をご覧ください。

Intune ポリシーによって認証方法とポータル サイト アプリのインストールを更新する

Apple の会社用デバイスの登録方法のいずれかを使ってセットアップ アシスタント経由で既に登録されているデバイスの場合、Intune では、特定のデバイスで App Store からインストールされる場合に、ポータル サイト アプリがサポートされなくなります。 この変更は、登録時に Apple セットアップ アシスタントで認証を行う場合にのみ関係があります。 また、この変更は、以下から登録される iOS デバイスのみに影響します。

  • Apple Configurator
  • Apple Business Manager
  • Apple School Manager
  • Apple Device Enrollment Program (DEP)

App Store からポータル サイト アプリをインストールした後、これらのデバイスを登録しようとすると、エラーが発生します。 登録時に Intune によって自動的にプッシュされた場合、これらのデバイスではポータル サイトだけを使用することが期待されます。 Azure portal での Intune の登録プロファイルは、デバイスの認証方法およびポータル サイト アプリを受信するかどうかを指定できるように更新されます。 DEP デバイス ユーザーがポータル サイトを使用するようにしたい場合は、登録プロファイルでユーザー設定を指定する必要があります。

さらに、iOS ポータル サイト内の [デバイスの特定] 画面は、削除される予定です。 そのため、条件付きアクセスの有効化または業務用アプリのデプロイを行う管理者は、DEP 登録プロファイルを更新する必要があります。 この要件は、DEP 登録が設定アシスタントによって認証された場合にのみ、適用されます。 その場合、デバイス上にポータル サイトをプッシュする必要があります。 これを行うには、 [Intune] > [デバイスの登録] > [Apple の登録] > [Enrollment Program トークン] の順に選択し、1 つのトークンを選んで [プロファイル] から 1 つのプロファイルを選択し、 [プロパティ] から [ポータル サイトのインストール][はい] に設定します。

既に登録されている DEP デバイス上にポータル サイトをインストールするには、Intune 上で [クライアント アプリ] に移動し、アプリ構成ポリシーを利用してマネージド アプリとしてプッシュする必要があります。

アプリ保護ポリシーを利用してエンド ユーザーが基幹業務 (LOB) アプリを更新する方法を構成する

エンド ユーザーが基幹業務 (LOB) アプリの更新バージョンを取得できる場所を構成できるようになりました。 この機能がエンド ユーザーに対して表示されるのは [アプリの最小バージョン] 条件付き起動ダイアログであり、エンド ユーザーは最小バージョンの LOB アプリに更新することを求められます。 LOB アプリ保護ポリシー (APP) の一部として、これらの更新の詳細を提供する必要があります。 この機能は iOS および Android 上で使用できます。 iOS の場合、この機能ではアプリを統合する (または、ラッピング ツールを使用しラップする) ことが必要になります。その際に利用するのは、iOS 用の Intune SDK 10.0.7 以降です。 Android の場合、この機能では最新のポータル サイトが必要になります。 エンド ユーザーが LOB アプリを更新する方法を構成するには、キー com.microsoft.intune.myappstore を含むマネージド アプリ構成ポリシーをアプリに送信する必要があります。 送信される値により、エンド ユーザーがアプリをダウンロードするストアが定義されます。 アプリがポータル サイト経由で展開される場合、値は CompanyPortal である必要があります。 他のストアの場合は、完全な URL を入力する必要があります。

Intune 管理拡張機能の PowerShell スクリプト

ユーザーの管理者特権を使用してデバイス上で実行するように、PowerShell スクリプトを構成できます。 詳しくは、「Intune で Windows 10 デバイスに対して PowerShell スクリプトを使用する」と、Win32 アプリ管理に関するページをご覧ください。

Android Enterprise アプリの管理

IT 管理者がより簡単に Android Enterprise 管理を構成および使用できるよう、Intune では 4 つの一般的な Android Enterprise 関連のアプリが Intune 管理コンソールに自動的に追加されます。 この 4 つの Android Enterprise アプリは次のアプリです。

  • Microsoft Intune - Android Enterprise フル マネージド シナリオで使用されます。
  • Microsoft Authenticator - 2 要素認証を使用している場合、アカウントへのサインインを支援します。
  • Intune ポータル サイト - アプリ保護ポリシー (APP) と Android Enterprise 仕事用プロファイルのシナリオで使用されます。
  • Managed Home Screen - Android Enterprise 専用またはキオスクのシナリオで使用されます。

以前は、IT 管理者はセットアップの一部として、手動でこれらのアプリを Managed Google Play ストアで探して承認する必要がありました。 この変更により、以前の手動による手順は不要となり、お客様は Android Enterprise 管理をより簡単に素早く使用できるようになります。

管理者は Intune テナントを Managed Google Play に最初に接続したときに、これらの 4 つのアプリが自動的に Intune アプリ一覧に追加されていることを確認できます。 詳細については、Managed Google Play アカウントへの Intune アカウントの接続に関するページを参照してください。 自分のテナントを既に接続済みであるか、Android Enterprise を既に使用済みのテナントの場合、管理者が行う必要のある処理はありません。 以上の 4 つのアプリは、2019 年 5 月のサービス ロールアウトの完了から 7 日以内に自動的に表示されます。

デバイスの構成

PFX Certificate Connector for Microsoft Intune の更新

新しい要求の処理を停止するコネクタの原因である、既存の PFX 証明書の再処理が続行する問題に対処する、Microsoft Intune の PFX 証明書コネクタの更新プログラムをリリースしました。

Defender for Endpoint 用の Intune セキュリティ タスク (パブリック プレビュー)

パブリック プレビューでは、Intune を使用して Microsoft Defender for Endpoint 用のセキュリティ タスクを管理できます。 この Defender for Endpoint との統合によってリスク ベースの手法が追加され、エンドポイントの脆弱性や誤設定を検出し、優先度を付けて修復できるようになり、検出から軽減までにかかる時間が短縮されます。

Windows 10 デバイスのコンプライアンス ポリシーでの TPM チップセットのチェック

Windows 10 以降のデバイスの多くには、トラステッド プラットフォーム モジュール (TPM) チップセットが含まれています。 この更新プログラムには、デバイスの TPM チップのバージョンを確認する新しいコンプライアンス設定が含まれています。

Windows 10 以降のコンプライアンス ポリシー設定で、この設定が説明されています。

適用対象:Windows 10 以降

エンド ユーザーによる個人用ホットスポットの変更を防止し、iOS デバイス上での Siri サーバーのログ記録を無効にする

iOS デバイス上にデバイスの制限プロファイルを作成します ( [デバイスの構成] > [プロファイル] > [プロファイルの作成] > [iOS] (プラットフォーム) > [デバイスの制限] (プロファイルの種類))。 この更新プログラムには構成できる新しい設定が含まれています。

  • 組み込みアプリ:Siri コマンドに対するサーバー側のログ記録
  • ワイヤレス:個人用ホットスポットのユーザー変更 (監視モードのみ)

これらの設定を確認するには、iOS 用の組み込みのアプリ設定iOS 用のワイヤレス設定に移動します。

iOS デバイス 12.2 以降に適用されます。

macOS デバイス用の新しい Classroom アプリ デバイス制限の設定

macOS デバイス用のデバイス構成プロファイルを作成できます ( [デバイスの構成] > [プロファイル] > [プロファイルの作成] > [macOS] (プラットフォーム) > [デバイスの制限] (プロファイルの種類))。 この更新には、新しい教室アプリ設定、スクリーンショットをブロックするオプション、iCloud フォト ライブラリを無効にするオプションが含まれています。

現在の設定を確認するには、「Intune を使用して機能を許可または制限するように macOS デバイスを設定する」を参照してください。

適用対象: macOS

iOS の [アプリ ストアにアクセスするためのパスワード] 設定の名前が変更される

[アプリ ストアにアクセスするためのパスワード] 設定の名前が、 [すべての購入に iTunes Store パスワードを要求します] に変更されています ( [デバイス構成] > [プロファイル] > [プロファイルの作成] > [iOS] (プラットフォーム) > [デバイスの制限] (プロファイルの種類) > [アプリ ストア、ドキュメント表示、ゲーム] )

使用可能な設定を確認するには、[アプリ ストア、ドキュメントの表示、ゲーム] の iOS 設定に移動します。

適用対象: iOS

Microsoft Defender for Endpoint のベースライン (プレビュー)

Microsoft Defender for Endpoint 設定に対してセキュリティのベースライン (プレビュー) を追加しました。 ご使用の環境が Microsoft Defender for Endpoint を使用するための前提条件を満たしている場合は、このベースラインを使用できます。

iOS および Android デバイス用の Outlook 署名と生体認証の設定

iOS および Android デバイス上では、Outlook 内で既定の署名を有効にするかどうかを指定できるようになりました。 さらに、iOS 上の Outlook では、ユーザーによる生体認証設定の変更を許可する選択ができるようになっています。

iOS デバイス用 F5 Access に向けたネットワーク アクセス制御 (NAC) のサポート

F5 は、iOS 上の Intune に、F5 Access で NAC 機能を許可する BIG-IP 13 の更新プログラムをリリースしました。 この機能を使用するには、以下を行います。

  • BIG-IP を 13.1.1.5 refresh に更新します。 BIG-IP 14 はサポートされていません。
  • NAC 用に Intune に BIG-IP を統合します。 「Overview:Configuring APM for device posture checks with endpoint management systems」 (概要: エンドポイント管理システムを使用したデバイス ポスチャ チェック用の APM の構成) の手順。
  • Intune の VPN プロファイルの Enable Network Access Control (NAC) 設定を確認します。

利用できる設定については、iOS デバイスへの VPN 設定の構成に関する記事を参照してください。

適用対象: iOS

PFX Certificate Connector for Microsoft Intune の更新

ポーリング間隔を 5 分から 30 秒に減らす PFX Certificate Connector for Microsoft Intune の更新プログラムをリリースしました。

デバイスの登録

Autopilot デバイスの OrderID 属性の名前がグループ タグに変更された

直感的にわかりやすくするために、Autopilot デバイス上での OrderID 属性の名前が、グループ タグ に変更されました。 Autopilot デバイス情報をアップロードするために CSV を使用する場合は、OrderID ではなく、列ヘッダーとしてグループ タグを使用する必要があります。

Windows 登録ステータス ページ (ESP) が一般提供される

登録ステータス ページがプレビューではなくなりました。 詳しくは、「登録ステータス ページを設定する」をご覧ください。

Intune ユーザー インターフェイスの更新 - Autopilot 登録プロファイルの作成

Autopilot 登録プロファイルを作成するためのユーザー インターフェイスが、Azure ユーザー インターフェイスの形式に準拠するように更新されました。 詳細は、AutoPilot 登録プロファイルの作成に関するページを参照してください。 Intune の追加のシナリオでは、今後はこの新しい UI 形式に更新されます。

すべての Windows デバイスに対して Autopilot リセットを有効にする

登録ステータス ページを使用するように構成されていない場合であっても、AutoPilot リセットがすべての Windows デバイスにおいて有効になりました。 初期のデバイス登録時に、登録ステータス ページがデバイスに対して構成されていなかった場合、デバイスではサインイン後、デスクトップへと直接移動します。 同期して Intune 内での適合が確認できるまでに、最大で 8 時間かかる場合があります。 詳しくは、「Windows Autopilot のリセット」をご覧ください。

[すべてのデバイス] を検索する場合に厳密な IMEI 形式を必須としない

[すべてのデバイス] を検索するときに、IMEI 番号にスペースを含める必要がなくなります。

Apple ポータルでデバイスを削除すると、Intune ポータルに反映される

Apple の Device Enrollment Program または Apple Business Manager ポータルからデバイスが削除されると、そのデバイスは Intune から次回の同期中に自動的に削除されます。

登録ステータス ページによる Win32 アプリの追跡

これは、Windows 10 バージョン 1903 以降を稼働しているデバイスにのみ適用されます。 詳しくは、「登録ステータス ページを設定する」をご覧ください。

デバイス管理

Graph API を使用してデバイスを一括でリセットおよびワイプする

Graph API を使用して 100 台までのデバイスを一括でリセットおよびワイプできるようになりました。

監視とトラブルシューティング

暗号化レポートのパブリック プレビューが終了する

BitLocker およびデバイス暗号化用のレポートが一般提供されるようになり、パブリック プレビュー段階ではなくなりました。

2019 年 4 月

アプリ管理

iOS 用ポータル サイト アプリに関するユーザー エクスペリエンスの更新プログラム

iOS デバイス用ポータル サイト アプリのホーム ページが再設計されました。 この変更によって、ホーム ページでは iOS UI パターンにより適切に従うようになり、アプリと電子ブックの検出可用性も向上しました。

iOS 12 デバイス ユーザー用ポータル サイトの登録の変更

Apple iOS 12.2 でリリースされた MDM 登録変更に合わせて、iOS 用ポータル サイトの登録画面と手順が更新されました。 更新されたワークフローでは、次のような場合にユーザーにメッセージが表示されます。

  • Safari でポータル Web サイトを開き、ポータル サイト アプリに戻る前に管理プロファイルをダウンロードできるようにする。
  • [設定] アプリを開き、デバイスに管理プロファイルをインストールする。
  • ポータル サイト アプリに戻り、登録を完了する。

更新された登録の手順と画面については、Intune への iOS デバイスの登録に関するページを参照してください。

Android アプリ保護ポリシー用の OpenSSL 暗号化

Android デバイスに対する Intune アプリ保護ポリシー (APP) で、FIPS 140-2 に準拠した OpenSSL 暗号化ライブラリが使用されるようになりました。 詳細については、「Microsoft Intune の Android アプリ保護ポリシー設定」の「暗号化」のセクションを参照してください。

Win32 アプリ依存関係の有効化

管理者は、Win32 アプリのインストール前に他のアプリが依存関係としてインストールされていることを要求できます。 つまり、デバイスで Win32 アプリをインストールする前に、依存するアプリをインストールする必要があります。 Intune で、 [クライアント アプリ] > [アプリ] > [追加] を選択して [アプリの追加] ブレードを表示します。 [アプリの種類] として [Windows アプリ (Win32)] を選択します。 アプリを追加した後、 [依存関係] を選択し、Win32 アプリをインストールする前にインストールする必要がある依存するアプリを追加できます。 詳細については、「Intune スタンドアロン - Win32 アプリ管理」を参照してください。

ビジネス向け Microsoft Store のアプリに関する、アプリのバージョンのインストール情報

アプリ インストール レポートには、ビジネス向け Microsoft Store のアプリのバージョン情報が含まれます。 Intune で、 [クライアント アプリ] > [アプリ] を選択します。 [ビジネス向け Microsoft Store アプリ] を選択し、次に [モニター] セクションの [デバイスのインストール状態] を選択します。

Win32 アプリ要件規則への追加

PowerShell スクリプト、レジストリ値、ファイル システム情報に基づく要件規則を作成できます。 Intune で、 [クライアント アプリ] > [アプリ] > [追加] を選択します。 次に、 [アプリの追加] ブレードで [アプリの種類] として [Windows アプリ (Win32)] を選択します。 [要件] > [追加] を選択して追加の要件規則を構成します。 次に、 [ファイルの種類][レジストリ][スクリプト] のいずれかを [要件の種類] として選択します。 詳細については、Win32 アプリ管理に関するページを参照してください。

Intune に登録された Azure AD 参加済みデバイスにインストールされるように Win32 アプリを構成する

Intune に登録された Azure AD 参加済みデバイスにインストールされるように Win32 アプリを割り当てることができます。 Intune での Win32 アプリの詳細については、Win32 アプリ管理に関するページを参照してください。

デバイス概要でのプライマリ ユーザーの表示

デバイスの概要ページに、ユーザーとデバイスのアフィニティ ユーザー (UDA) とも呼ばれるプライマリ ユーザーが表示されます。 デバイスのプライマリ ユーザーを表示するには、 [Intune] > [デバイス] > [すべてのデバイス] を選択し、デバイスを選びます。 プライマリ ユーザーは、 [概要] ページの上部近くに表示されます。

Android エンタープライズ仕事用プロファイル デバイスに関するマネージド Google Play アプリの追加レポート

Android エンタープライズ仕事用プロファイル デバイスに展開されたマネージド Google Play アプリについて、デバイスにインストールされているアプリの特定のバージョン番号を表示できます。 これは必須アプリのみに適用されます。

iOS サード パーティ製キーボード

iOS 用の サードパーティ製キーボード の設定での Intune アプリ保護ポリシー (APP) のサポートは、iOS プラットフォームの変更によりサポートされなくなりました。 この設定は、Intune の管理コンソールからは構成できなくなり、Intune App SDK でクライアントに強制されなくなります。

デバイスの構成

更新された証明書コネクタ

Intune Certificate Connector と Microsoft Intune 用 PFX 証明書コネクタの両方の更新プログラムをリリースしました。 新しいリリースでは、いくつかの既知の問題を修正しています。

macOS デバイスでログイン設定を行い、再起動オプションを制御する

macOS デバイスで、デバイス構成プロファイルを作成できます ( [デバイス構成] > [プロファイル] > [プロファイルの作成] > プラットフォームに [macOS] を選択し、プロファイルの種類に [デバイス機能] を選択します)。 この更新には、カスタム バナーの表示、ユーザーのサインイン方法の選択、電源設定の表示または非表示などの新しいログイン ウィンドウ設定が含まれています。

これらの設定を表示するには、macOS デバイスの機能設定に関するページを参照してください。

マルチアプリ キオスク モードで実行されている Android エンタープライズのデバイスの所有者専用デバイスに対する WiFi の構成

マルチアプリ キオスク モードで専用デバイスとして実行されている場合、Android エンタープライズのデバイスの所有者に対して設定を有効にできます。 この更新では、ユーザーが WiFi ネットワークを構成して接続できるようにすることができます ( [Intune] > [デバイス構成] > [プロファイル] > [プロファイルの作成] > プラットフォームに [Android エンタープライズ] > プロファイルの種類に [デバイスの所有者のみ]、[デバイスの制限] > [専用デバイス] > [キオスク モード] : [複数アプリ] > [WiFi 構成] )。

構成できるすべての設定を確認するには、機能を許可または制限する Android エンタープライズ デバイスの設定に関するページを参照してください。

適用対象:マルチアプリ キオスク モードで実行されている Android エンタープライズ専用デバイス

マルチアプリ キオスク モードで実行されている Android エンタープライズのデバイスの所有者専用デバイスに対する Bluetooth とペアリングの構成

マルチアプリ キオスク モードで専用デバイスとして実行されている場合、Android エンタープライズのデバイスの所有者に対して設定を有効にできます。 この更新では、エンドユーザーが Bluetooth を有効にして Bluetooth 経由でデバイスをペアリングできるようになります ( [Intune] > [デバイス構成] > [プロファイル] > [プロファイルの作成] > プラットフォームに [Android エンタープライズ] > プロファイルの種類に [デバイスの所有者のみ]、[デバイスの制限] > [専用デバイス] > [キオスク モード] : [複数アプリ] > [Bluetooth の構成] )。

構成できるすべての設定を確認するには、機能を許可または制限する Android エンタープライズ デバイスの設定に関するページを参照してください。

適用対象:マルチアプリ キオスク モードで実行されている Android エンタープライズ専用デバイス

Intune での OEMConfig デバイス構成プロファイルの作成と使用

この更新では、Intune で OEMConfig を使用した Android エンタープライズ デバイスの構成がサポートされています。 具体的には、デバイス構成プロファイルを作成し、OEMConfig を使用して Android エンタープライズ デバイスに設定を適用できます ( [デバイス構成] > [プロファイル] > [プロファイルの作成] > プラットフォームに [Android エンタープライズ] )。

現在、OEM のサポートは OEM ごとになっています。 必要な OEMConfig アプリが OEMConfig アプリの一覧にない場合は、IntuneOEMConfig@microsoft.com にお問い合わせください。

この機能の詳細については、「Use and manage Android Enterprise devices with OEMConfig in Microsoft Intune」(Microsoft Intune での OEMConfig を使用した Android エンタープライズ デバイスの使用と管理) を参照してください。

適用対象:Android エンタープライズ

Windows Update の通知

Windows Update リングの構成に、Intune コンソール内から管理できる 2 つの ユーザー エクスペリエンス設定 を追加しました。 次のことができるようになりました。

Android エンタープライズのデバイスの所有者に関する新しいデバイス制限の設定

Android エンタープライズ デバイスでは、機能を許可または制限したり、パスワード規則を設定したりするデバイス制限プロファイルを作成できます ( [デバイス構成] > [プロファイル] > [プロファイルの作成] > プラットフォームに [Android エンタープライズ] を選択し、プロファイルの種類に [デバイスの所有者のみ] > [デバイスの制限] を選択します)。

この更新プログラムには、新しいパスワード設定が含まれています。また、この更新プログラムによって、フル マネージド デバイス用に Google Play ストア内のアプリへのフル アクセスができます。 現在の設定一覧を確認するには、Android エンタープライズ デバイスの機能を許可または制限する設定に関するページを参照してください。

適用対象:Android エンタープライズのフル マネージド デバイス

Windows 10 デバイスのコンプライアンス ポリシーでの TPM チップセットのチェック

この機能のリリースは遅延しており、もう少し後になる予定です。

Windows 10 以降のデバイスでの Microsoft Edge ブラウザーの更新された UI の変更

デバイス構成プロファイルを作成するとき、Windows 10 以降のデバイスで Microsoft Edge の機能を許可または制限することができます ( [デバイス構成] > [プロファイル] > [プロファイルの作成] > プラットフォームに [Windows 10 以降] > プロファイルの種類に [デバイスの制限] > [Microsoft Edge ブラウザー] )。 この更新では、Microsoft Edge の設定がよりわかりやすく、より簡単に理解できるようになっています。

これらの機能を表示するには、Microsoft Edge ブラウザーのデバイス制限の設定に関するページを参照してください。

適用対象:

  • Windows 10 以降
  • Microsoft Edge バージョン 45 以前

Android エンタープライズ フル マネージド デバイス向け拡張サポート (プレビュー)

引き続きパブリック プレビュー段階にある Android エンタープライズ フル マネージド デバイスのサポートを、以下を含むように拡張しました (最初の発表は 2019 年 1 月)。

  • フル マネージドの専用デバイスでは、コンプライアンス ポリシーを作成してパスワード規則やオペレーティング システムの要件を含めることができます ( [デバイスのポリシー準拠] > [ポリシー] > [ポリシーの作成] > プラットフォームに [Android エンタープライズ] を選択し、プロファイルの種類に [デバイスの所有者] を選択します)。

    専用デバイスでは、デバイスが [非準拠] と表示されることがあります。 条件付きアクセスは、専用デバイスでは使用できません。 専用デバイスを割り当てられたポリシーに準拠させるためのタスクやアクションを必ず完了してください。

  • 条件付きアクセス - Android に適用される条件付きアクセスのポリシーは、Android エンタープライズ フル マネージド デバイスにも適用されます。 ユーザーは Microsoft Intune アプリ を使用して、自分のフル マネージド デバイスを Azure Active Directory に登録できるようになりました。 そのうえで、コンプライアンスの問題を確認して解決し、組織のリソースにアクセスします。

  • 新しいエンド ユーザー アプリ (Microsoft Intune アプリ) - Android フル マネージド デバイス向けの新しいエンド ユーザー アプリがあります。Microsoft Intune という名前です。 この新しいアプリは軽量かつ最新のものであり、ポータル サイト アプリと同様の機能が提供されますが、フル マネージド デバイスの場合です。 詳細については、Google Play の Microsoft Intune アプリに関するページを参照してください。

Android のフル マネージド デバイスを設定するには、 [デバイスの登録] > [Android の登録] > [Corporate-owned, fully managed user devices](会社が所有する完全に管理されたユーザー デバイス) に移動します。 フル マネージド Android デバイスのサポートはプレビュー段階であり、一部の Intune 機能は完全に機能しない可能性があります。

このプレビューの詳細については、「Microsoft Intune - Preview 2 for Android Enterprise Fully Managed devices」(Microsoft Intune - Android エンタープライズ フル マネージド デバイス用プレビュー 2) のブログを参照してください。

コンプライアンス マネージャーを使用した Microsoft Intune の評価の作成

コンプライアンス マネージャー (別の Microsoft サイトが開きます) は、Microsoft Service Trust Portal 上のワークフローベースのリスク評価ツールです。 これを使用すると、Microsoft のサービスに関連する組織の法令遵守活動の追跡、割り当て、検証を行うことができます。 Microsoft 365、Azure、Dynamics、Professional Services、Intune の使用時に独自のコンプライアンス評価を作成できます。 Intune では、FFIEC と GDPR の 2 つの評価が利用可能です。

コンプライアンス マネージャーは、コントロールを Microsoft が管理するコントロールと、組織が管理するコントロールに分類することによって、労力を集中させるのに役立ちます。 評価の完了後、評価をエクスポートして印刷することができます。

連邦金融機関検査協議会 (FFIEC) (別の Microsoft サイトが開きます) のコンプライアンスは、FFIEC によって発行されたオンライン バンキングのための一連の規格です。 Intune を使用する金融機関に最も必要とされる評価です。 これにより、パブリック クラウドのワークロードに関連する FFIEC サイバー セキュリティのガイドラインを満たすために、Intune がどのように役立つかが解釈されます。 Intune の FFIEC 評価は、コンプライアンス マネージャーの 2 つ目の FFIEC 評価です。

次の例で FFIEC コントロールの内訳を確認できます。 64 のコントロールが Microsoft によって管理されます。 残りの 12 のコントロールはお客様の責任となります。

お客様のアクションと Microsoft のアクションを含む、FFIEC に関する Intune の評価のサンプルを参照してください。

一般データ保護規則 (GDPR) (別の Microsoft サイトが開きます) は、個人の権利とデータの保護に役立つ欧州連合 (EU) の法律です。 GDPR は、プライバシー規制の遵守に役立てるために最も必要とされる評価です。

次の例で GDPR コントロールの内訳を確認できます。 49 のコントロールが Microsoft によって管理されます。 残りの 66 のコントロールはお客様の責任となります。

お客様のアクションと Microsoft のアクションを含む、GDPR に関する Intune の評価のサンプルを参照してください。

デバイスの登録

セットアップ アシスタント中、一部の画面をスキップするようにプロファイルを構成する

macOS 登録プロファイルを作成するとき、セットアップ アシスタントを使用中のユーザーに表示される次の画面のスキップを構成できます。

  • 外観
  • ディスプレイの色調
  • iCloudStorage 新しいプロファイルを作成するかプロファイルを編集する場合は、選択したスキップする画面が Apple MDM サーバーと同期している必要があります。 ユーザーは、プロファイルの変更を取得するときに遅延が発生しないように、手動でのデバイスの同期を発行できます。 詳しくは、「Device Enrollment Program または Apple School Manager を使用して macOS デバイスを自動登録する」をご覧ください。

企業の iOS デバイスを登録するときのデバイスの一括名前付け

Apple の会社登録方法 (DEP/ABM/ASM) のいずれかを使用する場合、受信 iOS デバイスに自動的に名前を付けるためにデバイス名の形式を設定できます。 テンプレートで、デバイスの種類とシリアル番号を含む形式を指定できます。 これを行うには、 [Intune] > [デバイスの登録] > [Apple の登録] > [Enrollment Program トークン] > [トークンの選択] > [プロファイルの作成] > [Device naming format](デバイスの名前付け形式) を選択します。 既存のプロファイルを編集できますが、新しく同期されたデバイスのみに名前が適用されます。

登録ステータス ページの更新された既定のタイムアウト メッセージ

登録ステータス ページ (ESP) が ESP プロファイルに指定されたタイムアウト値を超えたときにユーザーに表示される、既定のタイムアウト メッセージを更新しました。 新しい既定のメッセージは、ユーザーに表示され、ユーザーが ESP 展開で行う次のアクションを理解するのに役立ちます。

デバイス管理

非準拠デバイスをインベントリから削除する

この機能は遅れており、将来のリリースが予定されています。

監視とトラブルシューティング

ベータに反映された Intune データ ウェアハウス V1.0 の変更

V1.0 が 1808 で初めて導入されたとき、ベータ API とはいくつかの重要な点で異なっていました。 1903 では、それらの変更がベータ API バージョンに反映されます。 ベータ API バージョンを使用する重要なレポートがある場合は、破壊的な変更を回避するためにそれらのレポートを V1.0 に切り替えることを強くお勧めします。 詳細については、「Intune データ ウェアハウス API の変更ログ」を参照してください。

セキュリティ ベースライン状態のモニター (パブリック プレビュー)

セキュリティ ベースラインのモニタリングにカテゴリごとのビューを追加しました (セキュリティ ベースラインは引き続きプレビュー段階です)。 カテゴリごとのビューには、ベースラインの各カテゴリと、そのカテゴリの各状態グループに分類されるデバイスの割合が表示されます。 個々のカテゴリに一致しない、構成が間違っている、または適用されないデバイスの数を把握できるようになりました。

ロール ベースのアクセス制御

Apple VPP トークンのスコープ タグ

Apple VPP トークンにスコープ タグを追加できるようになりました。 同じスコープ タグを割り当てられたユーザーだけが、そのタグを使用して Apple VPP トークンにアクセスできます。 そのトークンを使用して購入した VPP アプリと電子ブックにスコープ タグが継承されます。 スコープ タグの詳細については、RBAC とスコープ タグの使用に関するページを参照してください。

2019 年 3 月

アプリ管理

Microsoft Visio と Microsoft Project の展開

Microsoft Intune を使用して、Windows 10 デバイスに Microsoft Visio Pro for Microsoft 365 と Microsoft Project Online デスクトップ クライアントを独立したアプリとして展開できるようになりました (これらのアプリのライセンスを所有している場合)。 Intune で、 [クライアント アプリ] > [アプリ] > [追加] を選択して [アプリの追加] ブレードを表示します。 [アプリの追加] ブレードで、 [アプリの種類] として [Windows 10] を選択します。 次に、 [アプリ スイートの構成] を選択してインストールするアプリを選びます。 Windows 10 デバイス用 Microsoft 365 アプリの詳細については、Microsoft Intune での Windows 10 デバイスへの Microsoft 365 アプリの割り当てに関する記事を参照してください。

Microsoft Visio Pro for Office 365 製品名の変更

Microsoft Visio Pro for Office 365 は、Microsoft Visio Online プラン 2 と呼ばれるようになりました。 Microsoft Visio の詳細については、「Visio Online プラン 2」を参照してください。 Windows 10 デバイス用 Office 365 アプリの詳細については、「Microsoft Intune で Windows 10 デバイスに Office 365 アプリを割り当てる」を参照してください。

Intune アプリ保護ポリシー (APP) の文字制限の設定

Intune 管理者は、Intune APP の [他のアプリとの間で切り取り、コピー、貼り付けを制限する] ポリシー設定の例外を指定できます。 管理者は、マネージド アプリから切り取りまたはコピーできる文字数を指定できます。 この設定により、[他のアプリとの間で切り取り、コピー、貼り付けを制限する] 設定に関係なく、指定した文字数を任意のアプリと共有できます。 Android 用 Intune ポータル サイト アプリのバージョンは、バージョン 5.0.4364.0 またはそれ以降である必要があることに注意してください。 詳細については、iOS のデータの保護Android のデータの保護、およびクライアント アプリの保護ログのレビューに関するページを参照してください。

Office 展開ツール (ODT) の Microsoft 365 Apps for enterprise 展開用 XML

Intune 管理コンソールで Microsoft 365 Apps for enterprise のインスタンスを作成するときに、Office 展開ツール (ODT) XML を提供できるようになります。 これにより、既存の Intune の UI オプションによってニーズが満たされない場合に、より大きなカスタマイズが可能になります。 詳細については、Microsoft Intune での Windows 10 デバイスへの Microsoft 365 アプリの割り当てに関する記事と、「Office 展開ツールのオプションの構成」を参照してください。

自動的に生成される背景でのアプリ アイコンの表示

Windows ポータル サイト アプリで、アプリのアイコンが、アイコンの主調色に基づいて自動生成される背景で表示されます (主調色を検出できた場合)。 適用できる場合は、アプリ タイルで以前表示されていた灰色の枠線が、この背景によって置き換えられます。 この変更は、10.3.3451.0 より後のバージョンのポータル サイトでユーザーに表示されます。

Windows 一括登録後にポータル サイト アプリを使用して利用可能なアプリをインストールする

Windows 一括登録 (プロビジョニング パッケージ) を使用して Intune に登録されている Windows デバイスは、ポータル サイト アプリを使用して、使用可能なアプリをインストールできるようになります。 ポータル サイト アプリの詳細については、手動での Windows 10 ポータル サイトの追加に関するページと、「Microsoft Intune ポータル サイト アプリを構成する方法」を参照してください。

Microsoft Teams アプリを Office アプリ スイートの一部として選択できる

Microsoft Teams アプリを Microsoft 365 Apps for enterprise アプリ スイートのインストールの一部として含めるか除外することができます。 この機能は、Microsoft 365 Apps for enterprise のビルド番号 16.0.11328.20116 以降で動作します。 インストールを完了するには、サインアウトしてからデバイスにサインインする必要があります。 Intune で、 [クライアント アプリ] > [アプリ] > [追加] を選択します。 [Office 365 スイート] アプリの種類の 1 つを選択し、次に [アプリ スイートの構成] を選択します。

デバイスの構成

Windows 10 以降のデバイスのキオスク モードで複数のアプリを実行しているときに、アプリを自動的に開始する

Windows 10 以降のデバイスでは、デバイスをキオスク モードで実行し、多くのアプリを実行できます。 この更新には、 [自動起動] 設定があります ( [デバイス構成] > [プロファイル] > [プロファイルの作成] > プラットフォームに [Windows 10 以降] > プロファイルの種類に [キオスク] > [複数アプリのキオスク] )。 この設定を使用して、ユーザーがデバイスにサインインしたときにアプリを自動的に起動できます。

すべてのキオスク設定の説明を見るには、「Intune で Windows 10 以降のデバイスをキオスクとして実行するための設定」を参照してください。

適用対象:Windows 10 以降

操作ログにも非準拠デバイスの詳細を表示

Intune のログを Azure Monitor の機能にルーティングする場合、操作ログもルーティングすることができます。 この更新では、操作ログで非準拠デバイスに関する情報も提供されます。

この機能の詳細については、「Intune でストレージ、イベント ハブ、または Log Analytics にログ データを送信する」を参照してください。

より多くの Intune ワークロードで Azure Monitor にログをルーティングする

Intune では、監査ログと操作ログを Azure Monitor のイベント ハブ、ストレージ、ログ分析にルーティングできます ( [Intune] > [モニター] > [診断設定] )。 この更新では、コンプライアンス、構成、クライアント アプリなど、より多くの Intune ワークロードでこれらのログをルーティングできます。

Azure Monitor へのログのルーティングの詳細については、「Intune でストレージ、イベント ハブ、または Log Analytics にログ データを送信する」を参照してください。

Intune で Android Zebra デバイス上にモビリティ拡張機能を作成して使用する

この更新では、Intune で Android Zebra デバイスの構成がサポートされています。 具体的には、デバイス構成プロファイルを作成し、StageNow によって生成されたモビリティ拡張機能 (MX) プロファイルを使用して Android Zebra デバイスに設定を適用できます ( [デバイス構成] > [プロファイル] > [プロファイルの作成] > プラットフォームに [Android] を選択し、プロファイルの種類に [MX プロファイル (Zebra のみ)] を選択します)。

この機能の詳細については、Intune のモビリティ拡張機能による Zebra デバイスの使用と管理に関するページを参照してください。

適用対象:Android

デバイス管理

Windows 10 デバイスでの暗号化レポート (パブリック プレビュー)

新しい暗号化レポート (プレビュー) を使用して、Windows 10 デバイスの暗号化の状態に関する詳細を確認できます。 利用可能な詳細には、デバイスの TPM バージョン、暗号化の準備と状態、エラー レポートなどが含まれます。

Intune ポータルからの BitLocker 回復キーへのアクセス (パブリック プレビュー)

Intune を使用して、Azure Active Directory から BitLocker キー ID や BitLocker 回復キーに関する詳細を表示できるようになりました。

iOS および Android デバイスでの Intune シナリオに対する Microsoft Edge サポート

エンドユーザー エクスペリエンスが改善されたことで、Microsoft Edge で Intune Managed Browser と同じ管理シナリオがすべてサポートされるようになります。 Intune ポリシーで有効になっている Microsoft Edge のエンタープライズ機能には、デュアル ID、アプリ保護ポリシーの統合、Azure アプリケーション プロキシの統合、マネージドのお気に入り、ホーム ページのショートカットが含まれます。 詳細については、Microsoft Edge のサポートに関するページを参照してください。

EAS 専用デバイスに対する Exchange Online/Intune コネクタのサポート廃止

Intune コンソールでは、Intune コネクタを使用して Exchange Online に接続されている EAS 専用デバイスの表示と管理がサポートされなくなりました。 代わりに次のオプションがあります。

  • モバイルデバイス管理 (MDM) でデバイスを登録する
  • Intune App Protection ポリシーを使用してデバイスを管理する
  • Exchange Online のクライアントとモバイル」で説明されているように Exchange コントロールを使用する

すべてのデバイスの検索ページで [名前] を使用して正確なデバイスを探す

正確なデバイス名を検索できるようになりました。 [Intune] > [デバイス] > [すべてのデバイス] に移動し、検索ボックスでデバイス名を {} で囲って完全一致を検索します。 たとえば、 {Device12345} のようにします。

監視とトラブルシューティング

テナントの状態ページでの追加のコネクタのサポート

テナントの状態ページに、Windows Defender for Endpoint やその他の Mobile Threat Defense コネクタなど、追加のコネクタに関する追加情報が表示されるようになりました。

Microsoft Intune での Power BI コンプライアンス アプリのデータ ウェアハウス ブレードのサポート

以前、 [Intune データ ウェアハウス] ブレードの [Power BI ファイルのダウンロード] リンクでは、Intune データ ウェアハウス レポート (.pbix ファイル) がダウンロードされていました。 このレポートは Power BI コンプライアンス アプリに置き換えられました。 Power BI コンプライアンス アプリには特別な読み込みまたはセットアップは必要ありません。 Power BI オンライン ポータル上で直接開き、資格情報に基づいて、お使いの Intune テナントのデータを具体的に表示します。 Intune で、[Intune] ブレードの右側にある [Intune データ ウェアハウスの設定] リンクを選択します。 次に [Power BI アプリを取得する] をクリックします。 詳細については、「Power BI でデータ ウェアハウスに接続する」を参照してください。

ロール ベースのアクセス制御

Intune の読み取り専用アクセス権を一部の Azure Active Directory ロールに付与する

Intune の読み取り専用アクセス権が次の Azure AD ロールに付与されています。 Azure AD ロールで付与されたアクセス許可は、Intune ロールベース アクセス制御 (RBAC) で付与されたアクセス許可よりも優先されます。

Intune の監査データへの読み取り専用アクセス:

  • コンプライアンス管理者
  • コンプライアンス データ管理者

すべての Intune データへの読み取り専用アクセス:

  • セキュリティ管理者
  • セキュリティ オペレーター
  • セキュリティ閲覧者

詳細については、ロールベースのアクセス制御に関するページを参照してください。

iOS アプリ プロビジョニング プロファイルでのスコープのタグ

iOS アプリ プロビジョニング プロファイルにスコープのタグを追加すると、ロールを持つユーザーのうち、そのスコープのタグも割り当てられているユーザーだけが iOS アプリ プロビジョニング プロファイルにアクセスできるようになります。 スコープのタグの詳細については、RBAC とスコープのタグの使用に関するページを参照してください。

アプリ構成ポリシー用のスコープのタグ

アプリ構成ポリシーにスコープのタグを追加すると、ロールを持つユーザーのうち、そのスコープのタグも割り当てられているユーザーだけがアプリ構成ポリシーにアクセスできるようになります。 同じスコープのタグが割り当てられているアプリのみをアプリ構成ポリシーの対象にする、またはアプリ構成ポリシーと関連付けることができます。 スコープのタグの詳細については、RBAC とスコープのタグの使用に関するページを参照してください。

iOS および Android デバイスでの Intune シナリオに対する Microsoft Edge サポート

Microsoft Edge で、Intune Managed Browser と同じ管理シナリオがすべてサポートされ、エンド ユーザー エクスペリエンスの機能強化が追加されます。 Intune ポリシーで有効になっている Microsoft Edge のエンタープライズ機能には、デュアル ID、アプリ保護ポリシーの統合、Azure アプリケーション プロキシの統合、マネージドのお気に入り、ホーム ページのショートカットが含まれます。 詳細については、Microsoft Edge のサポートに関するページを参照してください。

2019 年 2 月

アプリ管理

Intune の macOS ポータル サイトのダーク モード

Intune の macOS ポータル サイトで、macOS 用にダーク モードがサポートされるようになりました。 macOS 10.14 以降のデバイスでダーク モードを有効にすると、Intune ポータル サイトではそのモードの色に外観が調整されます。

Android デバイスで Intune が Google Play Protect API を利用する

一部の IT 管理者は、エンド ユーザーが自身の携帯電話を root 化したり脱獄させたりする可能性がある BYOD 環境に直面しています。 この行動は、悪意のないものであっても、エンド ユーザーのデバイス上にある組織のデータを保護するために設定されている多くの Intune ポリシーをバイパスする結果となります。 したがって、Intune では、登録済みのデバイスと未登録のデバイスの両方にルート化および脱獄の検出を提供しています。 このリリースでは、Intune は未登録のデバイスに対する既存のルート検出チェックに追加するため、Google Play Protect API を利用します。 Google では発生するルート検出チェックのすべてを共有してはいませんが、これらの API により、デバイスのカスタマイズ化から何らかの理由で自身のデバイスをルート化しているユーザーを検出して、古いデバイスで新しい OS の更新プログラムを取得できるようにすることを想定しています。 これにより、これらのユーザーが会社のデータにアクセスすることをブロックしたり、これらのユーザーの会社のアカウントをポリシーを有効にしたアプリからワイプしたりすることができます。 付加価値として、IT 管理者は Intune App Protection ブレード内で複数の更新されたレポートが使用できるようになります。"フラグ付きのユーザー" レポートでは、Google Play Protect の SafetyNet API スキャンにより検出されたユーザーが示されます。"潜在的に有害なアプリ" レポートでは、Google の Verify Apps API スキャンにより検出されたアプリが示されます。 この機能は Android で使用できます。

トラブルシューティング ブレードで利用可能な Win32 アプリ情報

Intune のアプリの トラブルシューティング ブレードから、Win32 アプリのインストールのエラー ログ ファイルを収集できるようになりました。 アプリのインストールに関するトラブルシューティングについて詳しくは、「アプリのインストールに関する問題のトラブルシューティング」と「Win32 アプリの問題をトラブルシューティングする」を参照してください。

iOS アプリの状態の詳細

以下に関するアプリのインストールの新しいエラー メッセージが追加されています。

  • 共有 iPad に VPP アプリをインストールするときのエラー
  • アプリ ストアが無効になっているときのエラー
  • アプリの VPP ライセンスが見つからない
  • MDM プロバイダーでシステム アプリのインストールが失敗する
  • デバイスが紛失モードまたはキオスク モードの場合に、アプリのインストールが失敗する
  • ユーザーが App Store にサインインしていないときに、アプリのインストールが失敗する

Intune で、 [クライアント アプリ] > [アプリ] > "アプリ名" > [デバイスのインストール状態] の順に選択します。 [状態の詳細] 列で新しいエラー メッセージが使用できるようになります。

Windows 10 用ポータル サイト アプリでの新しい [アプリのカテゴリ] 画面

[アプリのカテゴリ] という新しい画面が追加され、Windows 10 用ポータル サイトでのアプリの参照と選択のエクスペリエンスが向上しました。 ユーザーには、 [おすすめ][教育][生産性] などのカテゴリに並べ替えられたアプリが表示されるようになります。 この変更は、ポータル サイト バージョン 10.3.3451.0 以降で表示されます。 新しい画面を表示するには、「アプリの UI の新機能」を参照してください。 ポータル サイトでのアプリの詳細については、「デバイスにアプリをインストールして共有する」を参照してください。

Power BI コンプライアンス アプリ

Intune コンプライアンス (データ ウェアハウス) アプリを使用して、Power BI Online 内の Intune データ ウェアハウスにアクセスします。 この Power BI アプリを使用すると、設定を行うことも、Web ブラウザーを離れることもなく、事前に作成されたレポートにアクセスし、共有することができます。 詳細については、変更ログ - Power BI コンプライアンス アプリに関するページを参照してください。

デバイスの構成

PowerShell スクリプトが 64 ビット デバイスの 64 ビット ホストで実行できる

PowerShell スクリプトをデバイス構成プロファイルに追加すると、64 ビット オペレーティング システムであっても、スクリプトは常に 32 ビットで実行されます。 この更新により、管理者はスクリプトを実行 64 ビット デバイスの 64 ビット PowerShell ホストでスクリプトを実行できます ( [デバイス構成] > [PowerShell スクリプト] > [追加] > [構成] > [Run script in 64 bit PowerShell Host](64 ビット PowerShell ホストでスクリプトを実行) )。

PowerShell の使用に関する詳細については、Intune での PowerShell スクリプトに関するページを参照してください。

適用対象:Windows 10 以降

macOS ユーザーにパスワードの更新を求める

Intune では、macOS デバイスに対して ChangeAtNextAuth 設定を強制しています。 この設定は、コンプライアンス パスワード ポリシーまたはデバイス制限パスワード プロファイルが設定されているエンドユーザーとデバイスに影響します。 エンド ユーザーはスワードの更新を 1 回求められます。 このプロンプトは、デバイスへのサインインなどの認証を必要とするタスクをユーザーが初めて実行するたびに発生します。 また、キーチェーン アクセスの要求など、管理者特権が必要なことをユーザーが行うときにも、パスワードの更新を求めることができます。

管理者によって新規または既存のパスワード ポリシーが変更されると、エンド ユーザーは再度パスワードの更新を求められます。

適用対象:
macOS

ユーザーレス macOS デバイスに SCEP 証明書を割り当てる

ユーザー アフィニティのないデバイスを含む macOS デバイスにデバイス属性を使用して Simple Certificate Enrollment Protocol (SCEP) 証明書を割り当て、その証明書プロファイルを Wi-Fi または VPN プロファイルに関連付けることができます。 これにより既にあるサポートを拡張して、Windows、iOS、Android を実行するユーザー アフィニティのあるデバイスまたはユーザー アフィニティのないデバイスに SCEP 証明書を割り当て済みです。 この更新では、macOS の SCEP 証明書プロファイルを構成するときに、 [デバイス] という証明書の種類を選択するオプションが追加されています。

適用対象:

  • macOS

Intune の条件付きアクセスの UI の更新

Intune コンソール内の条件付きアクセスの UI の改善を行いました。 次の設定があります。

  • Intune の "条件付きアクセス" ブレードを Azure Active Directory のブレードに置き換え。 これにより、Azure AD テクノロジのまま条件付きアクセスのすべての設定と構成に Intune コンソール内からアクセスできるようになります。
  • [オンプレミス アクセス] ブレードの名前を [Exchange へのアクセス] に変更し、 [Exchange サービス コネクタ] の設定をこの名前変更されたブレードに再配置しました。 この変更により、Exchange Online とオンプレミスに関する詳細を構成および監視する場所が統合されました。

キオスク ブラウザーと Microsoft Edge ブラウザー アプリを、キオスク モードの Windows 10 デバイスで実行できる

キオスク モードの Windows 10 デバイスを使用して、1 つまたは多数のアプリを実行することができます。 この更新プログラムには、キオスク モードでブラウザー アプリを使用するための次のような複数の変更が含まれています。

  • Microsoft Edge ブラウザーまたはキオスク ブラウザーを追加して、キオスク デバイスでアプリとして実行します ( [デバイス構成] > [プロファイル] > [新しいプロファイル] > プラットフォームに [Windows 10 以降] を選択し、プロファイルの種類に [キオスク] を選択します)。

  • 新しい機能や設定を使用して、以下のことを許可または制限できます ( [デバイス構成] > [プロファイル] > [新しいプロファイル] > プラットフォームに [Windows 10 以降] を選択し、プロファイルの種類に [デバイスの制限] を選択します)。

  • Microsoft Edge ブラウザー:

    • Microsoft Edge キオスク モードを使用する
    • アイドル時間が経過した後、ブラウザーを更新する
  • お気に入りおよび検索:

    • 検索エンジンへの変更を許可する

これらの設定の一覧については、次を参照してください。

適用対象:Windows 10 以降

iOS および macOS デバイスの新しいデバイス制限の設定

iOS および macOS を実行するデバイスで一部の設定と機能を制限することができます ( [デバイス構成] > [プロファイル] > [新しいプロファイル] > プラットフォームに [iOS] または [macOS] を選択し、プロファイルの種類に [デバイスの制限] を選択します)。 この更新プログラムにより、制御可能な機能と設定がさらに追加されます。これには、画面の表示時間の設定、eSIM 設定とセルラー プランの変更が含まれ、iOS デバイスではその他にもあります。 また、ユーザーへのソフトウェア更新プログラムの表示の遅延や、macOS デバイスでのコンテンツ キャッシュのブロックがあります。

制限可能な機能と設定を確認するには、次を参照してください。

適用対象:

  • iOS
  • macOS

Android エンタープライズ デバイスで "キオスク" デバイスが "専用デバイス" と呼ばれるようになった

Android の用語に合わせるため、Android エンタープライズ デバイスの キオスク は、専用デバイス に変更されました ( [デバイス構成] > [プロファイル] > [プロファイルの作成] プラットフォームに [Android エンタープライズ] を選択し、 [デバイスの所有者のみ] > [デバイスの制限] > [専用デバイス] を選択します)。

使用可能な設定を確認するには、機能を許可または制限するデバイスの設定に関するページを参照してください。

適用対象:
Android エンタープライズ

Safari の設定と、iOS のソフトウェア更新プログラムのユーザーへの表示を遅らせる設定を Intune UI の中で移動

iOS デバイスの場合、Safari を設定し、ソフトウェア更新プログラムを構成できます。 この更新プログラムでは、これらの設定が Intune UI のさまざまな部分に移動されています。

  • Safari の設定は、 [Safari] ( [デバイス構成] > [プロファイル] > [新しいプロファイル] > プラットフォームに [iOS] を選択し、プロファイルの種類に [デバイスの制限] を選択します) から [組み込みアプリ] に移動されました。
  • [Delaying user software update visibility for supervised iOS devices](監視対象の iOS デバイスのソフトウェア更新プログラムのユーザーへの表示を遅らせる) 設定 ( [ソフトウェア更新プログラム] > [iOS のポリシーを更新する] ) は、 [デバイスの制限] > [全般](../configuration/device-restrictions-ios.md#general) に移動されています。 既存のポリシーへの影響の詳細については、iOS ソフトウェア更新プログラムに関するページを参照してください。

設定の一覧については、次を参照してください。

この機能は、以下に適用されます。

  • iOS

iOS デバイスで、[デバイス設定での制限の有効化] 設定が [画面の表示時間] に名前が変更される

監視対象の iOS デバイスで、 [デバイス設定での制限の有効化] を構成することができます ( [デバイス構成] > [プロファイル] > [新しいプロファイル] > プラットフォームに [iOS] を選択し、プロファイルの種類に [デバイスの制限] を選択し、 全般 を選択します)。 この更新プログラムでは、この設定の名前が [画面の表示時間 (監視モードのみ)] に変更されています。

動作は同じです。 具体的には次のとおりです。

  • iOS 11.4.1 以前のバージョン: [ブロック] は、エンド ユーザーがデバイス設定で独自の制限を設定できないようにします。
  • iOS 12.0 以降: [ブロック] は、エンド ユーザーがデバイス設定 (コンテンツとプライバシーの制限を含む) で独自の 画面の表示時間 を設定できないようにします。 iOS 12.0 にアップグレードされたデバイスでは、デバイスの設定に制限のタブが表示されなくなります。 これらの設定は [画面の表示時間] にあります。

設定の一覧については、iOS デバイスの制限事項に関するページを参照してください。

適用対象:

  • iOS

Intune PowerShell モジュール

Microsoft Graph を通じて Intune API のサポートを提供する PowerShell モジュールが、Microsoft PowerShell ギャラリーで利用可能になりました。

配信の最適化のサポート強化

配信の最適化を構成するための Intune でのサポートを拡張しました。 配信の最適化設定の拡張された一覧を構成し、それを Intune コンソールから直接、デバイスに対して指定することができます。

デバイス管理

登録済み Windows デバイスの名前変更

登録済み Windows 10 デバイス (RS4 以降) の名前を変更できるようになりました。 これを行うには、 [Intune] > [デバイス] > [すべてのデバイス] > デバイスを選択 > [デバイス名の変更] の順に選択します。 この機能では、ハイブリッド Azure AD Windows デバイスの名前変更は現在サポートされていません。

自動割り当てスコープにより、そのスコープを使用して管理者によって作成されたリソースにタグが割り当てられる

管理者がリソースを作成するときに、管理者に割り当てられた任意のスコープのタグが自動的にこれらの新しいリソースに割り当てられます。

監視とトラブルシューティング

失敗した登録レポートをデバイスの登録ブレードに移動

失敗した登録 レポートは、デバイスの登録 ブレードの [監視] セクションに移動されました。 2 つの新しい列 ([登録方法] と [OS のバージョン]) も追加されています。

ポータル サイト破棄レポートの名前が不完全なユーザー登録に変更されました

ポータル サイト破棄 レポートの名前が 不完全なユーザー登録 に変更されました。

2019 年 1 月

アプリ管理

Intune アプリの PIN

IT 管理者は、エンド ユーザーによる Intune アプリ PIN の変更が必要になるまでの待機日数を構成できるようになりました。 新しい設定では、その日数後に PIN がリセットされます。この設定を使用するには、Azure portal で [Intune] > [クライアント アプリ] > [アプリ保護ポリシー] > [ポリシーの作成] > [設定] > [アクセス要件] の順に選択します。 この機能は、iOS デバイスと Android デバイスで使用でき、正の整数値をサポートしています。

Intune のデバイス レポートのフィールド

Intune では、アプリ登録 ID、Android の製造元、モデル、セキュリティ更新プログラムのバージョン、iOS のモデルなど、デバイス レポートのフィールドが提供されています。 Intune でこれらのフィールドを使用するには、 [クライアント アプリ] > [アプリの保護状態] を選択して、 [アプリ保護レポート: iOS、Android] を選択します。 さらに、これらのパラメーターは、デバイス製造元 (Android) の 許可 リスト、デバイス モデル (Android および iOS) の 許可 リスト、および Android セキュリティ修正プログラムの最小バージョンの設定を構成するのに役立ちます。

Win32 アプリのトースト通知

アプリ割り当てごとに、エンド ユーザーにトースト通知が表示されるのを抑制することができます。 Intune で [クライアント アプリ] > [アプリ] > アプリを選択 > [割り当て] > [グループを含める] を選択します。

Intune アプリ保護ポリシーの UI の更新

Intune のアプリ保護に関する設定とボタンのラベルを、理解しやすいように変更しました。 変更の一部を次に示します。

  • コントロールが、はい / いいえ から、主として ブロック / 許可 および 無効 / 有効 に変更されています。 ラベルも更新されています。
  • 設定は形式が変更されて、設定とそのラベルがコントロールに並べて配置されるようになり、ナビゲーションが容易になっています。

既定の設定および多くの設定は同じままですが、この変更により、ユーザーは、これまでより簡単に設定を理解し、ナビゲートし、利用して、選択したアプリ保護ポリシーを適用できます。 詳細については、iOS の設定Android の設定に関する記事をご覧ください。

Outlook の追加設定

Intune を使用して、Outlook for iOS と Outlook for Android の以下の追加設定を構成できるようになりました。

  • 職場または学校のアカウントを iOS および Android の Outlook でのみ使用することを許可する
  • Microsoft 365 およびハイブリッド先進認証オンプレミス アカウントの先進認証をデプロイする
  • 基本認証が選択されている場合に、メール プロファイルのユーザー名フィールドで SAMAccountName を使用する
  • 連絡先の保存を許可する
  • 外部受信者メール ヒントを構成する
  • 優先受信トレイ を構成する
  • Outlook for iOS へのアクセスに生体認証を要求する
  • 外部の画像をブロックする

注意

Intune アプリ保護ポリシーを使用して企業 ID のアクセスを管理している場合は、生体認証を要求する オプションを有効にしないよう考慮する必要があります。 詳細については、iOS のアクセス設定および Android のアクセス設定について、アクセスのための企業認証情報の要求 に関する記事を参照してください。

詳細については、「Microsoft Outlook の構成設定」を参照してください。

Android エンタープライズ アプリを削除する

Microsoft Intune から managed Google Play アプリを削除できます。 managed Google Play アプリを削除するには、Azure portal で Microsoft Intune を開き、 [クライアント アプリ] > [アプリ] の順に選択します。 アプリの一覧から、managed Google Play アプリの右側にある省略記号 (...) を選択し、表示された一覧で [削除] を選択します。 アプリの一覧からマネージド Google Play アプリを削除すると、そのマネージド Google Play アプリは自動的に未承認になります。

managed Google Play アプリの種類

マネージド Google Play アプリの種類では、特定の マネージド Google Play アプリを Intune に追加できます。 Intune の管理者は、Intune 内で managed Google Play アプリを参照、検索、承認、同期および割り当てできるようになりました。 managed Google Play コンソールに別途移動する必要はなく、また再認証する必要もありません。 Intune で、 [クライアント アプリ] > [アプリ] > [追加] を選択します。 [アプリケーションの種類] 一覧で、アプリの種類として [マネージド Google Play] を選択します。

既定の Android PIN キーボード

Android デバイスで PIN タイプが "数値" の Intune アプリ保護ポリシー (APP) PIN を設定しているエンド ユーザーの場合、以前の設計のような固定の Android キーボード UI ではなく、既定の Android キーボードが表示されるようになります。 この変更は、"数値" と "パスコード" 両方の PIN タイプについて、既定のキーボードを使用するときの動作が Android と iOS の両方で同じになるようにするために行われました。 Android での APP PIN などのエンド ユーザー アクセス設定について詳しくは、Android のアクセス要件に関する記事をご覧ください。

デバイスの構成

管理用テンプレートがパブリック プレビューになり、専用の構成プロファイルに移動される

Intune の管理用テンプレート ( [デバイス構成] > [管理用テンプレート] ) は現在、パブリック プレビュー段階です。 この更新プログラムでは:

  • 管理用テンプレートには、Intune で管理可能な約 300 の設定が含まれます。 以前は、これらの設定はグループ ポリシー エディターにのみ存在しました。
  • 管理用テンプレートはパブリック プレビューで使用できます。
  • 管理用テンプレートは、 [デバイス構成] > [管理用テンプレート] から、 [デバイス構成] > [プロファイル] > [プロファイルの作成] を選択し、 [プラットフォーム][Windows 10 以降] を選択し、 [プロファイルの種類][管理用テンプレート] を選択した場所に移動されています。
  • レポートが有効です。

この機能の詳細については、グループ ポリシー設定を構成するための Windows 10 テンプレートに関するページを参照してください。

適用対象:Windows 10 以降

S/MIME を使って暗号化し、ユーザーの複数のデバイスに署名する

この更新プログラムには、新しくインポートされる証明書プロファイル ( [デバイス構成] > [プロファイル] > [プロファイルの作成] 、該当するプラットフォーム、 [PKCS のインポートされた証明書] プロファイルの種類の順に選択) を使用する S/MIME メールの暗号化が含まれます。 Intune では、PFX 形式で証明書をインポートできます。 その後、Intune はその同じ証明書を、単一ユーザーによって登録された複数のデバイスに配信できます。 これには、次のものも含まれます。

  • ネイティブ iOS メール プロファイルでは、PFX 形式でインポートされた証明書を使用する S/MIME 暗号化を有効にすることができます。
  • Windows Phone 10 デバイス上のネイティブ メール アプリでは、自動的に S/MIME 証明書が使用されます。
  • プライベート証明書は複数のプラットフォームに配信できます。 しかし、すべてのメール アプリで S/MIME がサポートされるわけではありません。
  • 他のプラットフォームでは、S/MIME を有効にするようにメール アプリを手動で構成する必要がある場合があります。
  • S/MIME 暗号化をサポートするメール アプリでは、発行元の証明書ストアからの読み取りなど、MDM ではサポートできない方法で S/MIME メール暗号化のための証明書の検索を処理する場合があります。 この機能の詳細については、電子メールの署名と暗号化のための S/MIME の概要に関するページを参照してください。 サポート対象:Windows、Windows Phone 10、macOS、iOS、Android

Windows 10 以降のデバイスで DNS 設定を使用するときに、自動的に接続してルールを保持する新しいオプション

Windows 10 以降のデバイスでは、contoso.com などのドメインを解決するための DNS サーバーのリストを含む VPN 構成プロファイルを作成できます。 この更新には、名前解決のための新しい設定が含まれます ( [デバイス構成] > [プロファイル] > [プロファイルの作成] > プラットフォームとして [Windows 10 以降] を選択 > プロファイルの種類として [VPN] を選択 > [DNS 設定] > [追加] )。

  • 自動接続: 有効 にすると、デバイスは、入力された contoso.com などのドメインにアクセスするときに、VPN に自動的に接続します。
  • 永続性: この VPN プロファイルを使用してデバイスに接続している限り、既定で、名前解決ポリシー テーブル (NRPT) のすべてのルールがアクティブになります。 NRPT ルールでこの設定を 有効 にすると、VPN が切断されても、ルールはデバイス上でアクティブなままになります。 VPN プロファイルを削除するか、ルールを手動で削除するまで (PowerShell を使って実行できます)、ルールは保持されます。 Windows 10 の VPN 設定に関するページでは、これらの設定について説明されています。

Windows 10 デバイスで VPN プロファイルに対して信頼されたネットワーク検出を使用する

信頼されたネットワーク検出を使用すると、ユーザーが信頼されたネットワーク上に既にいるときに、VPN プロファイルで VPN 接続が自動的に作成されるのを防ぐことができます。 この更新により、Windows 10 以降を実行するデバイスでは、DNS サフィックスを追加して信頼されたネットワーク検出を有効にすることができます ( [デバイス構成] > [プロファイル] > [プロファイルの作成] > プラットフォームとして [Windows 10 以降] > プロファイルの種類として [VPN] )。 Windows 10 の VPN 設定に関するページには、現在の VPN 設定の一覧があります。

複数のユーザーによって使用される Windows Holographic for Business デバイスを管理する

現在、共有 PC の設定は、Windows 10 デバイスと Windows Holographic for Business デバイスでカスタム OMA-URI の設定を使用して構成できます。 この更新により、共有デバイスの設定を構成するための新しいプロファイルが追加されます ( [デバイス構成] > [プロファイル] > [プロファイルの作成] > [Windows 10 以降] > [共有のマルチユーザーのデバイス] )。 この機能の詳細については、共有デバイスを管理するための Intune の設定に関するページを参照してください。 適用対象:Windows 10 以降、Windows Holographic for Business

新しい Windows 10 更新プログラムの設定

Windows 10 更新リングで、次の構成を行うことができます。

  • [自動更新の動作] - 新しいオプション [既定にリセット] を使用して、"2018 年 10 月更新" を実行している Windows 10 コンピューターで、元の自動更新設定を復元する。
  • [ユーザーによる Windows Update の一時停止をブロックする] - コンピューターの "設定" から、ユーザーによる更新プログラムのインストールの一時停止を許可またはブロックできる、新しいソフトウェア更新プログラムの設定を構成する。

iOS の電子メール プロファイルで S/MIME の署名と暗号化を使用できる

異なる設定を含む電子メール プロファイルを作成することができます。 この更新には、iOS デバイスでのメール通信の署名と暗号化に使用できる S/MIME の設定が含まれます ( [デバイス構成] > [プロファイル] > [プロファイルの作成] > プラットフォームとして [iOS] を選択 > プロファイルの種類として [電子メール] を選択)。 iOS での電子メール構成の設定に関するページに、設定の一覧が示されています。

BitLocker の一部の設定で Windows 10 Pro エディションがサポートされる

Windows 10 デバイスで、BitLocker などの Endpoint Protection の設定を行う構成プロファイルを作成できます。 この更新により、BitLocker の一部の設定に Windows 10 Professional エディションのサポートが追加されます。 これらの保護設定を確認するには、Windows 10 用の Endpoint Protection 設定に関するページを参照してください。

Azure portal で iOS デバイスの共有デバイスの構成が、ロック画面メッセージに名前を変更される

iOS デバイス用の構成プロファイルを作成するときに、ロック画面に特定のテキストを表示する 共有デバイス構成 の設定を追加できます。 この更新には、次の変更が含まれます。

  • Azure portal で [共有デバイスの構成] 設定の名前が、[Lock Screen Message (supervised only)](ロック画面のメッセージ (監視モードのみ)) に変更されます ( [デバイス構成] > [プロファイル] > [プロファイルの作成] > プラットフォームとして [iOS] を選択 > プロファイルの種類として [デバイス機能] を選択 > [Lock Screen Message](ロック画面のメッセージ) )。
  • ロック画面のメッセージを追加するときは、 [資産タグ情報] および [ロック画面の脚注 ] の変数として、シリアル番号、デバイス名、または別のデバイス固有値を挿入できます。 たとえば、中かっこを使用して Device name: {{devicename}}Serial number is {{serialnumber}} などと入力できます。 iOS トークンに関するページでは、使用できるトークンの一覧が示されています。 ロック画面にメッセージを表示するための設定に関するページでは、設定の一覧が示されています。

iOS デバイスに App Store、ドキュメント表示、ゲーム デバイスの新しい制限の設定が追加される

[デバイスの構成] > [プロファイル] > [プロファイルの作成] > プラットフォームとして [iOS] を選択 > プロファイルの種類として [デバイスの制限] を選択 > [アプリ ストア、ドキュメント表示、ゲーム] の順に選択すると、次の設定が追加されます。[Allow managed apps to write contacts to unmanaged contacts accounts](マネージド アプリによるアンマネージド連絡先アカウントへの連絡先の書き込みを許可する)、[Allow unmanaged apps to read from managed contacts accounts](アンマネージド アプリによるマネージド連絡先アカウントからの読み取りを許可する)。これらの設定については、iOS デバイスの制限に関するページをご覧ください。

Android エンタープライズ デバイス所有者デバイスに対する新しい通知、ヒント、キーガードの設定

この更新には、デバイス所有者として実行するときの Android エンタープライズ デバイスに関するいくつかの新機能が含まれます。 これらの機能を使用するには、 [デバイス構成] > [プロファイル] > [プロファイルの作成] に移動し、 [プラットフォーム][Android エンタープライズ] を選択し、 [プロファイルの種類][デバイスの所有者のみ] > [デバイスの制限] を選択します。

新機能は次のとおりです。

  • 着信、システム アラート、システム エラーなどのシステム通知の表示を無効にします。
  • 初めて開いたアプリのチュートリアルとヒントの開始をスキップすることを提案します。
  • カメラ、通知、指紋によるロック解除など、高度なキーガード設定を無効にします。

これらの設定については、Android エンタープライズ デバイスの制限の設定に関するページを参照してください。

Android エンタープライズ デバイス所有者デバイスで、Always On VPN 接続を使用できる

この更新では、Android エンタープライズ デバイス所有者デバイスで常時 VPN 接続を使用できます。 常時 VPN 接続では接続状態が常に維持されるか、ユーザーが自分のデバイスをロックしたとき、デバイスが再起動したとき、ワイヤレス ネットワークに変更があったとき、すぐに再接続されます。 接続を "ロックダウン" モードにすることもできます。このモードでは、VPN 接続が有効になるまですべてのネットワーク トラフィックがブロックされます。 [デバイス構成] > [プロファイル] > [プロファイルの作成] の順に選択し、プラットフォームとして [Android エンタープライズ] を選択し、[デバイスの所有者のみ] として [デバイスの制限] を選択し、 [接続] 設定を選択することで、常時 VPN を有効にできます。 これらの設定については、Android エンタープライズ デバイスの制限の設定に関するページを参照してください。

Windows 10 デバイスのタスク マネージャーでプロセスを終了するための新しい設定

この更新には、Windows 10 デバイスのタスク マネージャーでプロセスを終了するための新しい設定が含まれます。 デバイス構成プロファイルを使用して ( [デバイス構成] > [プロファイル] > [プロファイルの作成] > [プラットフォーム][Windows 10] を選択 > [プロファイルの種類][デバイスの制限] を選択 > 全般 設定)、この設定の許可または禁止を選択します。 これらの設定については、Windows 10 デバイスの制限の設定に関するページを参照してください。 適用対象:Windows 10 以降

Intune は、セキュリティに的を絞ったその他のサービス (Windows Defender for Endpoint や Office 365 Defender for Endpoint など) と統合されます。 一般的な戦略と、Microsoft 365 サービス間での結束的なエンドツーエンドのセキュリティ ワークフローをお客様から求められています。 目標としているのは、セキュリティの運用と一般的な管理者タスクをブリッジするソリューションを構築できるように戦略を調整することにあります。 Intune では、Microsoft が推奨する一連の "セキュリティ ベースライン" を公開することによって、この目標の達成を目指しています ( [Intune] > [セキュリティ ベースライン] )。 管理者はこれらのベースラインから直接セキュリティ ポリシーを作成し、それを各自のユーザーにデプロイできます。 また、ご自分の組織のニーズに合わせてベスト プラクティスのレコメンデーションをカスタマイズすることもできます。 Intune では、これらのベースラインにデバイスが準拠した状態に維持されていることが確認され、管理者には準拠した状態にないユーザーまたはデバイスが通知されます。

この機能はパブリック プレビューなので、現在作成されているプロファイルは、一般提供 (GA) されるセキュリティ ベースラインのテンプレートには引き継がれません。 運用環境でこれらのプレビュー テンプレートを使用することは計画しないでください。

セキュリティ ベースラインについて詳しくは、Intune での Windows 10 セキュリティ ベースラインの作成に関する記事をご覧ください。

この機能は、以下に適用されます。Windows 10 以降

管理者以外のユーザーが、Azure AD 参加済み Windows 10 デバイスで BitLocker を有効にできる

Windows 10 デバイスで BitLocker の設定を有効にすると ( [デバイス構成] > [プロファイル] > [プロファイルの作成] > プラットフォームとして [Windows 10 以降] を選択 > プロファイルの種類として [Endpoint Protection] > [Windows 暗号化] )、BitLocker の設定が追加されます。

この更新には、標準ユーザー (管理者以外) が暗号化を有効にするのを許可する新しい BitLocker の設定が含まれます。

設定を確認するには、Windows 10 用の Endpoint Protection 設定に関する記事を参照してください。

Configuration Manager コンプライアンスの確認

この更新には、新しい Configuration Manager コンプライアンス設定 ( [デバイスのポリシー準拠] > [ポリシー] > [ポリシーの作成] > [Windows 10 以降] > [Configuration Manager のコンプライアンス] ) が含まれます。 Configuration Manager から Intune コンプライアンスにシグナルが送信されます。 この設定を使用して、すべての Configuration Manager シグナルで "準拠" を返すように要求することができます。

たとえば、すべてのソフトウェア更新プログラムをデバイスにインストールすることを要求します。 Configuration Manager では、この要求は "インストール済み" 状態となります。 デバイス上のいずれかのプログラムが不明な状態である場合、Intune ではデバイスが非準拠となります。

この設定については、「Configuration Manager Compliance (Configuration Manager コンプライアンス)」で説明されています。

適用対象:Windows 10 以降

デバイスの構成プロファイルを使用した監視対象の iOS デバイスの壁紙のカスタマイズ

iOS デバイス用のデバイス構成プロファイルを作成するときに、一部の機能をカスタマイズできます ( [デバイスの構成] > [プロファイル] > [プロファイルの作成] > プラットフォームに [iOS] > プロファイルの種類に [デバイス機能] )。 この更新には新しい [壁紙] 設定が含まれています。これを使うと、管理者はホーム画面またはロック画面上で .png、.jpg、または .jpeg 画像を使うことができます。 これらの壁紙の設定は、監視対象のデバイスにのみ適用できます。

これらの設定の一覧については、iOS デバイスの機能設定に関する記事をご覧ください。

Windows 10 キオスクの一般提供

この更新では、Windows 10 以降のデバイスでのキオスク機能が一般提供 (GA) になりました。 追加および構成できるすべての設定については、Windows 10 (およびそれ以降) のキオスク設定に関する記事をご覧ください。

Android エンタープライズの [デバイスの制限] > [デバイスの所有者] での [Bluetooth 経由での連絡先の共有] の削除

Android エンタープライズ デバイス用にデバイスの制限プロファイルを作成した場合、 [Bluetooth 経由での連絡先の共有 ] 設定があります。 この更新では、 [Bluetooth 経由での連絡先の共有] の設定が削除されます ( [デバイスの構成] > [プロファイル] > [プロファイルの作成] > プラットフォーム用の Android エンタープライズ > [デバイスの制限] > プロファイルの種類の [デバイスの所有者] > 全般 )。

[Bluetooth 経由での連絡先の共有] 設定は、Android エンタープライズのデバイス所有者の管理ではサポートされていません。 したがって、この設定が削除されると、この設定が環境で有効および構成されていた場合でもいかなるデバイスやテナントにも影響はありません。

現在の設定一覧を確認するには、Android エンタープライズ デバイスの機能を許可または制限する設定に関するページを参照してください。

適用対象:Android エンタープライズ デバイスの所有者

デバイスの登録

より詳細な登録制限のエラー メッセージ

登録の制限が満たされていないときに表示されるエラー メッセージが、より詳細になります。 これらのメッセージを見るには、 [Intune] > [トラブルシューティング] に移動し、[登録エラー] のテーブルを確認します。 詳細については、登録エラーの一覧を参照してください。

デバイス管理

会社が所有する完全に管理された Android デバイスのサポートのプレビュー

Intune では、フル マネージドの Android デバイス、つまりデバイスが IT によって厳格に管理され、個々のユーザーと関連付けられる、企業所有の "デバイス所有者" のシナリオがサポートされるようになりました。 これにより、管理者は、デバイス全体を管理し、仕事用プロファイルでは利用できない拡張範囲のポリシー制御を適用し、managed Google Play からのみアプリをインストールするようにユーザーを制限することができます。 詳細については、Android フル マネージド デバイスの Intune 登録の設定および専用デバイスまたはフル マネージド デバイスの登録に関するページをご覧ください。 なお、この機能はプレビュー段階です。 証明書、コンプライアンス、および条件付きのアクセスなど、一部の Intune 機能は、現在 Android の完全に管理されたユーザー デバイスでは利用できません。

登録なしの WIP デバイスに対する選択的ワイプのサポート

登録なしの Windows Information Protection (WIP-WE) を使うと、MDM への完全な登録を必要とせずに Windows 10 デバイス上の企業データを保護することができます。 WIP-WE ポリシーを使用してドキュメントが保護されると、Intune 管理者は保護されたデータを選択的にワイプすることができます。 ユーザーとデバイスを選択してワイプ要求を送信することにより、WIP-WE ポリシーを介して保護されたデータはすべて使用できなくなります。 Azure portal 内で Intune から、 [モバイル アプリ] > [アプリの選択的ワイプ] の順に選択します。

監視とトラブルシューティング

テナントの状態ダッシュボード

新しい [テナントの状態] ページでは、テナントの状態および関連する詳細を 1 か所に表示できます。 このダッシュボードは、次の 4 つの領域に分かれています。

  • テナントの詳細 - テナントの名前と場所、ご利用の MDM 機関、ご利用のテナントに登録されたデバイスの総数、ご利用のライセンス数などの情報が表示されます。 このセクションには、そのテナントに対する現在のサービス リリースも示されます。
  • コネクタの状態 - 構成済みの使用可能なコネクタに関する情報が表示されるほか、まだ有効にしていないコネクタの一覧も表示できます。
    各コネクタの現在の状態に基づいて、正常、警告、または異常を示すフラグが付けられます。 コネクタを選択してドリルスルーし、詳細を表示したり、追加情報を構成したりします。
  • Intune サービスの正常性 - ご利用のテナントでのアクティブなインシデントまたは障害に関する詳細が表示されます。 このセクション内の情報は、Office メッセージ センターから直接取得されます。
  • Intune ニュース - テナントのアクティブなメッセージが表示されます。 メッセージには、テナントが Intune の最新の機能を受信する際の通知などが含まれます。 このセクション内の情報は、Office メッセージ センターから直接取得されます。

Windows 10 用ポータル サイトの新しいヘルプとサポート エクスペリエンス

ポータル サイトの新しい [ヘルプとサポート] ページでは、ユーザーがアプリやアクセスの問題に対して、トラブルシューティングを行ったりヘルプを要求したりできます。 この新しいページで、エラーと診断ログの詳細を電子メールで送信し、組織のヘルプデスクの詳細を確認することができます。 また、関連する Intune ドキュメントへのリンクを含む FAQ セクションもあります。

Intune の新しいヘルプとサポート エクスペリエンス

今後数日間で、新しいヘルプとサポート エクスペリエンスをすべてのテナントにロールアウトする予定です。 この新しいエクスペリエンスは Intune で利用でき、Azure portal で Intune のブレードを使用しているときにアクセスできます。 新しいエクスペリエンスでは、自分の言葉で問題を説明し、トラブルシューティングの分析情報と Web ベースの修復コンテンツを受け取ることができます。 これらの解決策は、ユーザーの照会により、ルール ベースの機械学習アルゴリズムを使用して提供されます。 問題固有のガイダンスに加えて、新しいケース作成ワークフローを使用して、電子メールまたは電話でサポート ケースを開きます。 ヘルプとサポートを開いたコンソールの領域に基づいて事前選択されているオプションの静的セットである以前のヘルプとサポート エクスペリエンスが、この新しいエクスペリエンスに置き換えられます。 詳細については、「Microsoft Intune のサポートを受ける方法」を参照してください。

新しい操作ログ、およびログを Azure Monitor サービスに送信する機能

Intune には、変更が加えられるとイベントを追跡する組み込みの監査ログが備わっています。 この更新には、次の新しいログ記録機能が含まれます。

  • 登録したユーザーおよびデバイスの詳細を示す操作ログ (プレビュー) (成功および失敗した試行を含む)。
  • 監査ログと操作ログは Azure Monitor に送信することができます (ストレージ アカウント、イベント ハブ、ログ分析を含む)。 これらのサービスを使うと、保存したり、Splunk や QRadar などの分析を使ったり、ログ データの視覚化を取得したりできます。

この機能について詳しくは、Intune でのストレージ、イベント ハブ、またはログ分析へのログ データの送信に関する記事をご覧ください。

iOS DEP デバイスでスキップできるセットアップ アシスタントの画面が増える

現在スキップすることができる画面に加えて、ユーザーがデバイスを登録するときにセットアップ アシスタント内で次の画面をスキップするように iOS DEP デバイスを設定できます: [ディスプレイの色調]、[プライバシー]、[Android 移行]、[ホーム ボタン]、[iMessage & FaceTime]、[オンボード]、[Watch の移行]、[外観]、[画面の表示時間]、[ソフトウェア更新プログラム]、[SIM のセットアップ]。 スキップする画面を選択するには、 [デバイスの登録] > [Apple の登録] > [Enrollment Program トークン] に移動し、トークンを選択します。次に、 [プロファイル] を選択してプロファイルを選択し、 [プロパティ] > [セットアップ アシスタントのカスタマイズ] を選択し、スキップする画面の [非表示] を選択して、 [OK] を選択します。 新しいプロファイルを作成するかプロファイルを編集する場合は、選択したスキップする画面が Apple MDM サーバーと同期している必要があります。 ユーザーは、プロファイルの変更を取得するときに遅延が発生しないように、手動でのデバイスの同期を発行できます。

Android エンタープライズ APP-WE アプリの展開

登録のないアプリ保護ポリシー (APP-WE) の展開シナリオでの Android デバイスでは、マネージド Google Play を使用してストア アプリと LOB アプリをユーザーに展開できるようになりました。 具体的には、不明なソースからのインストールを許可することによってデバイスのセキュリティ状態を損なう必要がないアプリ カタログとインストール エクスペリエンスをエンド ユーザーに提供できます。 さらに、この展開シナリオでは、向上したエンド ユーザー エクスペリエンスが提供されます。

ロール ベースのアクセス制御

アプリのスコープ タグ

ロールとアプリへのアクセスを制限するために、スコープのタグを作成できます。 アプリにスコープのタグを追加すると、ロールを持つユーザーのうち、そのスコープのタグも割り当てられているユーザーだけがアプリにアクセスできるようになります。 現在、managed Google Play から Intune に追加されたアプリや、Apple Volume Purchase Program (VPP) を使って購入されたアプリにスコープ タグを割り当てることはできません (今後のサポートが予定されています)。 詳細については、「スコープのタグを使用してポリシーをフィルター処理する」を参照してください。

2018 年 12 月

アプリ管理

Application Transport Security 対応のための更新

Microsoft Intune によって、クラス最高の暗号化を提供する、既定の状態でも安全であることを保証する、また、Microsoft 365 などの他の Microsoft サービスと連携することを目的に、トランスポート層セキュリティ (TLS) 1.2 以降がサポートされています。 この要件を満たすために、iOS と macOS のポータル サイトには、やはり TLS 1.2 以降が要求されている Apple の改定後の Application Transport Security (ATS) 要件が適用されます。 ATS では、HTTPS 経由で行われるアプリ通信すべてに、より厳格なセキュリティ保護が適用されます。 この変更により、iOS および macOS のポータル サイト アプリを使用している Intune ユーザーが影響を受けます。 詳しくは、Intune サポートのブログをご覧ください。

256 ビット暗号化キーをサポートするようになる Intune App SDK

アプリ保護ポリシーによって暗号化が有効化されると、Android 用 Intune App SDK では現在、256 ビット暗号化キーが使用されます。 古いバージョンの SDK を使用するコンテンツやアプリとの互換性のため、SDK では引き続き 128 ビット キーのサポートが提供されます。

macOS デバイスに必要な Microsoft Auto Update バージョン 4.5.0

ポータル サイトおよびその他の Office アプリケーション用の更新プログラムの受信を継続するには、Intune によって管理されている macOS デバイスを Microsoft Auto Update 4.5.0 にアップグレードする必要があります。 ユーザーは自分の Office アプリに対してこのバージョンを既に使用している可能性があります。

デバイス管理

Intune には macOS 10.12 以降が必要

Intune には、macOS バージョン 10.12 以降が必要になりました。 以前の macOS バージョンが使用されているデバイスでは、ポータル サイトを使用して Intune に登録することはできません。 サポートを受けて新しい機能を利用するには、デバイスを macOS 10.12 以降にアップグレードすると共に、ポータル サイト アプリを最新版にアップグレードする必要があります。

2018 年 11 月

アプリ管理

企業所有の監視対象 iOS デバイス上のアプリのアンインストール

企業所有の監視対象 iOS デバイス上のアプリを削除できます。 [アンインストール] 割り当て種類でユーザーまたはデバイスのグループを対象とすることにより、すべてのアプリを削除できます。 個人所有または監視対象外の iOS デバイスの場合は、引き続き Intune を使用してインストールされたアプリのみを削除できます。

Intune Win32 アプリのコンテンツのダウンロード

Windows 10 RS3 以降のクライアントでは、Windows 10 クライアント上の配信最適化コンポーネントを使用して、Intune Win32 アプリ コンテンツがダウンロードされます。 配信の最適化では、既定で有効になるピア ツー ピア機能が提供されます。 現在、配信の最適化は、グループ ポリシーによって構成できます。 詳しくは、Windows 10 の配信の最適化に関するページをご覧ください。

エンド ユーザー デバイスとアプリのコンテンツのメニュー

エンド ユーザーはデバイス上のコンテキスト メニューとアプリを使用して、デバイスの名前変更、準拠状況の確認などの一般的なアクションをトリガーできるようになりました。

Managed Home Screen アプリでのカスタム背景の設定

Android エンタープライズのマルチアプリ キオスク モード デバイス上の Managed Home Screen アプリの背景の外観をカスタマイズできる設定が追加されています。 カスタム URL の背景 を構成するには、Azure portal で Intune に移動し、[デバイス構成] を選択します。 現在のデバイス構成プロファイルを選択するか、新しいプロファイルを作成してキオスク設定を編集します。 キオスクの設定については、Android エンタープライズ デバイスの制限に関するページをご覧ください。

アプリ保護ポリシーの割り当ての保存と適用

アプリ保護ポリシーの割り当ての制御が向上しました。 [割り当て] を選んでポリシーの割り当てを設定または編集したときは、変更を適用する前に構成を 保存する 必要があります。 対象リストまたは除外リストに変更を保存しないで、行ったすべての変更をクリアするには、 [破棄] を使います。 保存または破棄を必要とすることにより、意図したユーザーのみにアプリ保護ポリシーが割り当てられます。

Windows 10 以降向けの新しい Microsoft Edge ブラウザー設定

この更新には、デバイス上の Microsoft Edge ブラウザー バージョン 45 以前を制御および管理するための新しい設定が含まれます。 これらの設定の一覧については、Windows 10 (以降) に対するデバイスの制限に関するページをご覧ください。

アプリ保護ポリシーでの新しいアプリのサポート

Intune アプリ保護ポリシーで次のアプリを管理できるようになりました。

  • Stream (iOS)
  • To DO (Android、iOS)
  • PowerApps (Android、iOS)
  • Flow (Android、iOS)

これらのアプリでも、他の Intune ポリシーで管理されたアプリと同じように、アプリ保護ポリシーを使って、企業データを保護し、データ転送を制御してください。 注:Flow がまだコンソールに表示されない場合は、アプリ保護ポリシーを作成または編集するときに Flow を追加します。 これを行うには、 [+ その他のアプリ] オプションを使い、入力フィールドで Flow の [アプリ ID] を指定します。 Android の場合は com.microsoft.flow を使い、iOS の場合は com.microsoft.procsimo を使います。

デバイスの構成

iOS 電子メール プロファイルでの iOS 12 OAuth のサポート

Intune の iOS 電子メール プロファイルでは、iOS 12 Open Authorization (OAuth) がサポートされています。 この機能を確認するには、新しいプロファイルを作成するか ( [デバイス構成] > [プロファイル] > [プロファイルの作成] > プラットフォームで [iOS] > プロファイルの種類で [電子メール] )、既存の iOS 電子メール プロファイルを更新します。 ユーザーに既にデプロイされているプロファイルで OAuth を有効にした場合、ユーザーは再認証し、電子メールをもう一度ダウンロードすることを求められます。

iOS での電子メール プロファイルに関するページには、電子メール プロファイルでの OAuth の使用に関する詳細情報があります。

iOS 用 Citrix SSO に向けたネットワーク アクセス制御 (NAC) のサポート

Citrix によって Citrix ゲートウェイの更新プログラムがリリースされ、Intune で iOS 用 Citrix SSO のネットワーク アクセス制御 (NAC) を使用できるようになりました。 Intune で VPN プロファイル内にデバイス ID を含めることを選択し、このプロファイルを iOS デバイスにプッシュすることができます。 この機能を使用するには、Citrix ゲートウェイに対する最新の更新プログラムをインストールする必要があります。

追加の要件など、NAC の使用に関する詳細については、iOS デバイスに対する VPN 設定の構成に関する記事をご覧ください。

iOS および macOS のバージョン番号とビルド番号が表示される

[デバイスのポリシー準拠] > [デバイスのポリシー準拠] に、iOS および macOS のオペレーティング システム バージョンが表示され、コンプライアンス ポリシーで使用できます。 この更新には、両方のプラットフォームで構成可能なビルド番号が含まれます。 セキュリティ更新がリリースされるとき、Apple は通常、バージョン番号を現状のまま残しますが、ビルド番号を更新します。 コンプライアンス ポリシーでビルド番号を使用することで、脆弱性更新がインストールされているかどうかを簡単に確認できます。 この機能を使うには、iOS および macOS のコンプライアンス ポリシーをご覧ください。

Windows 10 以降では、更新プログラムのリングが配信の最適化の設定に置き換えられる

配信の最適化は、Windows 10 以降での新しい構成プロファイルです。 この機能では、組織内のデバイスにソフトウェア更新プログラムを配信するためのエクスペリエンスが、いっそう合理化されています。 また、この更新では、構成プロファイルを使用して新規および既存の更新プログラムのリングで設定を配信することもできます。 配信の最適化の構成プロファイルを構成するには、Windows 10 (以降) での配信の最適化の設定に関するページをご覧ください。

iOS および macOS デバイスに追加された新しいデバイス制限の設定

この更新プログラムには、iOS 12 と共にリリースされた iOS および macOS デバイス用の新しい設定が含まれています。

iOS の設定:

  • 全般:USB 制限モードをブロックする (監視モードのみ)
  • [パスワード]:パスワード オートフィルをブロックする (監視モードのみ)
  • [パスワード]:パスワード近接要求をブロックする (監視モードのみ)
  • [パスワード]:パスワード共有をブロックする (監視モードのみ)

macOS の設定:

  • [パスワード]:パスワード オートフィルをブロックする
  • [パスワード]:パスワード近接要求をブロックする
  • [パスワード]:パスワード共有をブロックする

これらの設定の詳細については、iOS および macOS デバイスの制限の設定を参照してください。

デバイスの登録

ハイブリッド Azure AD 参加済みデバイスに対する Autopilot のサポート (プレビュー)

Autopilot を使用してハイブリッド Azure AD 参加済みデバイスを設定できるようになります。 ハイブリッド Autopilot 機能を使用するには、デバイスを組織のネットワークに参加させる必要があります。 詳しくは、「Intune と Windows Autopilot を使用してハイブリッド Azure AD 参加済みデバイスをデプロイする」をご覧ください。 この機能は、今後数日にわたってユーザー ベース全体にロールアウトされます。 そのため、自分のアカウントにロールアウトされるまで、以下の手順を実行できない可能性があります。

登録ステータス ページで追跡するアプリの選択

[登録ステータス] ページで追跡するアプリを選択できます。 これらのアプリをインストールするまで、ユーザーはデバイスを使用できません。 詳しくは、「登録ステータス ページを設定する」をご覧ください。

シリアル番号による Autopilot デバイスの検索

シリアル番号で Autopilot デバイスを検索できるようになりました。 これを行うには、 [デバイスの登録] > [Windows の登録] > [デバイス] の順に選択し、 [シリアル番号による検索] ボックスにシリアル番号を入力して、Enter キーを押します。

Office ProPlus のインストールの追跡

ユーザーは、[登録ステータス] ページを使用して、Office ProPlus のインストールの進行状況を追跡できます。 詳しくは、「登録ステータス ページを設定する」をご覧ください。

VPP トークンの期限が切れているか、ポータル サイトのライセンスが不足している場合のアラート

Volume Purchase Program (VPP) を使用して、DEP 登録時にポータル サイトを事前プロビジョニングする場合、Intune では、VPP トークンの有効期限が近づいている場合やポータル サイトのライセンスが不足している場合にアラートが表示されます。

Apple School Manager アカウントに対する macOS Device Enrollment Program のサポート

Intune では、macOS デバイスで Apple School Manager アカウントに対する Device Enrollment Program の使用がサポートされるようになりました。 詳しくは、「Device Enrollment Program または Apple School Manager を使用して macOS デバイスを自動登録する」をご覧ください。

Intune デバイスの新しいサブスクリプション

企業でのデバイスの管理コストの削減に役立つ、デバイスに基づく新しいサブスクリプション SKU がご利用いただけるようになりました。 この Intune デバイス SKU は、月単位でのデバイスごとのライセンスです。 価格はライセンス プログラムによって変わります。 これは、Microsoft 365 管理センターを通して直接入手することも、Enterprise Agreement (EA)、Microsoft Products and Services Agreement (MPSA)、Microsoft Open Agreement、およびクラウド ソリューション プロバイダー (CSP) を通して入手することもできます。

デバイス管理

Android デバイスで変更を行うためのキオスク モードの一時停止

IT 管理者は、マルチアプリ キオスク モードで使用している Android デバイスの変更が必要になることがあります。 この更新には、IT 管理者が PIN を使用してキオスク モードを一時的に停止し、デバイス全体にアクセスすることができる、新しいマルチアプリ キオスクの設定が含まれます。 キオスクの設定については、Android エンタープライズ デバイスの制限に関するページをご覧ください。

Android エンタープライズ キオスク デバイスでの仮想ホーム ボタンの有効化

新しい設定により、ユーザーは、デバイスのソフトキー ボタンをタップして、マルチアプリ キオスク デバイスの Managed Home Screen アプリと他の割り当て済みアプリを切り替えることができるようになります。 この設定は、ユーザーのキオスク アプリが戻るボタンに適切に応答しない状況で特に役に立ちます。 この設定は、企業所有の単一ユーザー Android デバイスに対して構成することができます。 [仮想ホーム ボタン] を有効または無効にするには、Azure portal で Intune に移動し、[デバイス構成] を選択します。 現在のデバイス構成プロファイルを選択するか、新しいプロファイルを作成してキオスク設定を編集します。 キオスクの設定については、Android エンタープライズ デバイスの制限に関するページをご覧ください。

2018 年 10 月

アプリ管理

ポータル サイト アプリを使用したキーのプロファイル プロパティへのアクセス

エンド ユーザーがポータル サイト アプリからキー アカウントのプロパティと、パスワード リセットなどのアクションにアクセスできるようになりました。

iOS でのアプリ設定によりサード パーティ製キーボードをブロックできる

Intune 管理者は、iOS デバイスで、ポリシーによって保護されているアプリ内の組織データにアクセスするときのサード パーティ製キーボードの使用をブロックできます。 サード パーティ製キーボードをブロックするようにアプリケーション保護ポリシー (APP) が設定されていると、デバイス ユーザーは、サード パーティ製キーボードを使って初めて企業データを操作するときに、メッセージを受け取ります。 ネイティブ キーボード以外のすべてのオプションはブロックされ、デバイスのユーザーに表示されません。 デバイス ユーザーにこのダイアログ メッセージが表示されるのは 1 回だけです。

管理対象の Android デバイスと iOS デバイスでの Intune アプリのユーザー アカウント アクセス

Microsoft Intune 管理者は、マネージド デバイス上の Microsoft Office アプリケーションにどのユーザー アカウントを追加するかを制御することができます。 許可されている組織ユーザー アカウントのみにアクセスを制限したり、登録済みデバイス上の個人アカウントをブロックしたりできます。

iOS と Android 向けの Outlook アプリの構成ポリシー

基本認証と ActiveSync プロトコルを活用するオンプレミス ユーザーのために、iOS と Android 向けの Outlook アプリの構成ポリシーを作成できるようになりました。 追加の構成設定は iOS と Android 向けの Outlook に対して有効になったときに追加されます。

Microsoft 365 Apps for enterprise 言語パック

Intune 管理者は、Intune によって管理されている Microsoft 365 Apps for enterprise アプリに追加の言語を展開することができます。 使用可能な言語のリストには、言語パックの 種類 (コア、部分、校正) が含まれます。 Azure Portal で、 [Microsoft Intune] > [クライアント アプリ] > [アプリ] > [追加] の順に選びます。 [アプリの追加] ブレードの [アプリの種類] 一覧で、 [Office 365 スイート][Windows 10] を選びます。 [アプリ スイートの設定] ブレードで [言語] を選びます。

Windows 基幹業務 (LOB) アプリのファイル拡張子

Windows LOB アプリのファイル拡張子に、 .msi.appx.appxbundle.msix、および .msixbundle が含まれるようになりました。 Microsoft Intune にアプリを追加するには、 [クライアント アプリ] > [アプリ] > [追加] の順に選択します。 [アプリの追加] ウィンドウが表示され、そこで [アプリの種類] を選択できます。 Windows LOB アプリの場合は、アプリの種類として [基幹業務] アプリを選び、 [アプリのパッケージ ファイル] を選択して、適切な拡張子を持つインストール ファイルを入力します。

Intune を使用する Windows 10 アプリの展開

管理者は Intune を利用することで、基幹業務 (LOB) と Microsoft Store for Business アプリの既存サポートを基盤に、組織の既存アプリケーションの多くを Windows 10 デバイスのエンド ユーザーにデプロイできます。 管理者は、MSI、Setup.exe、MSP など、さまざまな形式で Windows 10 ユーザー用のアプリケーションを追加、インストール、アンインストールできます。 Intune は要件ルールを評価してからダウンロードとインストールを開始し、Windows 10 Action Center を利用して状態や再起動の必要性をエンド ユーザーに通知します。 この機能によって、このワークロードを Intune やクラウドに移行することに関心がある組織に対してブロックが効果的に解除されます。 この機能は現在パブリック プレビューの段階にあり、これから数か月の間に重要な新機能を追加する予定です。

Web データ用のアプリ保護ポリシー (APP) 設定

Android デバイスと iOS デバイスの両方での Web コンテンツに対する APP ポリシー設定は、http リンクと https Web リンクの両方の処理、ならびに iOS ユニバーサル リンクおよび Android アプリ リンクを介したデータ転送の処理をより適切に行えるように更新されます。

エンド ユーザー デバイスとアプリのコンテンツのメニュー

エンド ユーザーはデバイス上のコンテキスト メニューとアプリを使用して、デバイスの名前変更、準拠状況の確認などの一般的なアクションをトリガーできるようになりました。

Windows ポータル サイトのキーボード ショートカット

エンドユーザーは、Windows ポータル サイトでキーボード ショートカット (アクセラレータ) を使用してアプリとデバイスのアクションをトリガーできるようになりました。

指定したタイムアウト後に生体認証以外の PIN を要求する

管理者指定のタイムアウト後に生体認証以外の PIN を要求することにより、Intune では、企業データ アクセス用の生体認証 ID の使用を制限することで、モバイル アプリケーション管理 (MAM) が有効になっているアプリのセキュリティが強化されます。 この設定は、Touch ID (iOS)、Face ID (iOS)、Android バイオメトリック、またはその他の将来の生体認証方法に依存して APP/MAM が有効なアプリケーションにアクセスするユーザーに影響します。 これらの設定により、Intune 管理者は、ユーザー アクセスをいっそうきめ細かく制御し、複数のフィンガープリントまたは他の生体認証アクセス方法を使うデバイスによって不適切なユーザーに会社のデータが公開されるのを防ぐことができます。 Azure Portal で Microsoft Intune を開きます。 [クライアント アプリ] > [アプリ保護ポリシー] > [ポリシーの追加] > [設定] の順に選択します。 特定の設定の [アクセス] セクションを探します。 アクセスの設定については、「iOS の設定」および「Android の設定」をご覧ください。

iOS MDM に登録されたデバイスに対する Intune APP データ転送設定

登録されたユーザーの ID (ユーザー プリンシパル名 (UPN) とも呼ばれます) を指定することにより、iOS MDM に登録されたデバイスに対する Intune APP データ転送設定の制御を区別することができます。 IntuneMAMUPN を使用しない管理者に、動作の変更は表示されなくなります。 この機能が使用できるようになると、登録されたデバイス上でのデータ転送動作を制御するために IntuneMAMUPN を使用する管理者は、新しい設定を確認し、必要に応じて、自分の APP 設定を更新する必要があります。

Windows 10 Win32 アプリ

デバイスのすべてのユーザー用にアプリをインストールするのではなく、個別のユーザーに対するユーザー コンテキストにインストールされるように、Win32 アプリを構成できます。

Windows Win32 アプリと PowerShell スクリプト

エンド ユーザーは、Win32 アプリをインストールしたり、PowerShell スクリプトを実行したりするために、デバイスにログインする必要がなくなります。

クライアント アプリのインストールのトラブルシューティング

[トラブルシューティング] ブレードの [アプリのインストール] 列を調べることで、クライアント アプリのインストールの成功をトラブルシューティングできます。 [トラブルシューティング] ブレードを表示するには、Intune ポータルで [ヘルプとサポート][トラブルシューティング] を選択します。

デバイスの構成

Windows 10 を実行するデバイスの VPN 構成プロファイルで DNS サフィックスを作成する

VPN デバイス構成プロファイルを作成するとき ( [デバイス構成][プロファイル][プロファイルの作成] の順に選択し、プラットフォームに [Windows 10 以降] を選択し、プロファイルの種類に [VPN] を選択します)、DNS 設定を入力します。 この更新プログラムでは、Intune で DNS サフィックス を複数入力することもできるようになりました。 DNS サフィックスを使用する場合は、完全修飾ドメイン名 (FQDN) ではなく、短い名前を使用してネットワーク リソースを検索できます。 この更新プログラムでは、Intune で DNS サフィックスの順序を変更することもできます。 Windows 10 VPN 設定によって、現在の DNS 設定が一覧表示されます。 適用対象:Windows 10 デバイス

Android エンタープライズ作業プロファイル向けの常時 VPN のサポート

この更新プログラムでは、管理対象の作業プロファイルが与えられた Android エンタープライズ デバイスで常時 VPN 接続を使用できます。 常時 VPN 接続では接続状態が常に維持されるか、ユーザーが自分のデバイスをロックしたとき、デバイスが再起動したとき、ワイヤレス ネットワークに変更があったとき、すぐに再接続されます。 接続を "ロックダウン" モードにすることもできます。このモードでは、VPN 接続が有効になるまですべてのネットワーク トラフィックがブロックされます。 [デバイス構成][プロファイル][プロファイルの作成] の順に選択し、プラットフォームに [Android エンタープライズ] を選択し、 [デバイスの制限] を選択し、設定に [接続] を選択することで常時 VPN を有効にできます。

ユーザーのいないデバイスに SCEP 証明書を発行する

現在のところ、証明書はユーザーに発行されます。 この更新プログラムでは、キオスクのようなユーザーのいないデバイスも含め、デバイスに SCEP 証明書を発行できます ( [デバイス構成][プロファイル][プロファイルの作成] の順に選択し、プラットフォームに [Windows 10 以降] を選択し、プロファイルに [SCEP 証明書] を選択します)。 その他の更新プログラム:

  • SCEP プロファイルの サブジェクト プロパティがカスタム テキストボックスになり、新しい変数を含めることができます。

  • SCEP プロファイルの サブジェクト代替名 (SAN) プロパティが表形式になり、新しい変数を含めることができます。 この表では、管理者は属性を追加し、カスタム テキストボックスに値を入力できます。 SAN では次の属性がサポートされます。

    • DNS
    • 電子メール アドレス
    • UPN

    これらの新しい変数は、カスタム値ボックスに静的テキストで追加できます。 たとえば、DNS = {{AzureADDeviceId}}.domain.com という DNS 属性を追加できます。

    注意

    SAN の静的テキストの場合、中かっこ { }、セミコロン ;、パイプ記号 | は使用できません。 Subject または Subject alternative name に受け取らせるには、中かっこで囲む新しいデバイスの証明書変数を 1 つに限る必要があります。

新しいデバイスの証明書変数:

"{{AAD_Device_ID}}",
"{{Device_Serial}}",
"{{Device_IMEI}}",
"{{SerialNumber}}",
"{{IMEINumber}}",
"{{AzureADDeviceId}}",
"{{WiFiMacAddress}}",
"{{IMEI}}",
"{{DeviceName}}",
"{{FullyQualifiedDomainName}}",
"{{MEID}}",

注意

  • {{FullyQualifiedDomainName}} は Windows とドメインに参加しているデバイスでのみ機能します。
  • サブジェクトまたは SAN の IMEI、シリアル番号、完全修飾ドメイン名などのデバイスのプロパティをデバイス証明書に指定する場合、これらのプロパティは、デバイスにアクセスできる人物が偽装する可能性があることに注意してください。

[SCEP 証明書プロファイルを作成する] には、SCEP 構成プロファイルの作成時、現在の変数が一覧表示されます。

適用対象:Windows 10 以降と iOS、Wi-Fi でサポート。

非準拠デバイスのリモート ロック

デバイスが非準拠のとき、そのデバイスをリモートでロックするアクションをコンプライアンス ポリシーで作成できます。 Intune で [デバイスのポリシー準拠] を選択して新しいポリシーを作成するか、既存のポリシーを選択し、 [プロパティ] を選択します。 [コンプライアンス非対応に対するアクション][追加] の順に選択し、デバイスのリモート ロックを選択します。 サポート対象:

  • Android
  • iOS
  • macOS
  • Windows 10 Mobile
  • Windows Phone 8.1 以降

Azure portal で Windows 10 以降のキオスク プロファイルを改善

この更新プログラムでは、Windows 10 キオスク デバイスの構成プロファイルが次のように改善されています ( [デバイス構成][プロファイル][プロファイルの作成] の順に選択し、プラットフォームに [Windows 10 以降] を選択し、プロファイルの種類に [キオスク プレビュー] を選択します)。

  • 現在のところ、同じデバイスで複数のキオスク プロファイルを作成できます。 この更新プログラムで Intune はデバイスあたりキオスク プロファイルを 1 つだけサポートするようになります。 1 台のデバイスに複数のキオスク プロファイルが必要な場合は、カスタム URI を使用できます。
  • マルチアプリ キオスク プロファイルでは、アプリケーション グリッドの スタート メニュー レイアウト でアプリケーション タイルのサイズと順序を選択できます。 さらにカスタマイズする場合、続けて XML ファイルをアップロードできます。
  • キオスク ブラウザーの設定が キオスク 設定に移動します。 現在のところ、Azure portal には キオスク Web ブラウザー 設定に独自のカテゴリがあります。 適用対象:Windows 10 以降

iOS デバイス上での指紋または Face ID の変更時の PIN プロンプト

iOS デバイス上での生体認証の変更後、ユーザーに PIN の入力が求められるようになりました。 これには、登録済みの指紋や Face ID の変更が含まれます。 プロンプトのタイミングは、 [アクセス要件を再確認するまでの時間 (分)] の構成によって異なります。 PIN が設定されていない場合は、ユーザーに設定を求められます。

この機能は iOS でのみ使用可能で、iOS 向け Intune App SDK のバージョン 9.0.1 以降を統合するアプリケーションの参加が必要です。 SDK の統合は、対象のアプリケーション上で動作を適用するために必要です。 この統合は、ローリング方式で行われ、特定のアプリケーション チームに依存します。 参加するアプリケーションには、WXP、Outlook、Managed Browser、Yammer などが含まれます。

iOS VPN クライアントでのネットワーク アクセス制御のサポート

この更新では、Cisco AnyConnect、F5 Access、Citrix SSO for iOS 用の VPN 構成プロファイルを作成するときに、ネットワーク アクセス制御 (NAC) を有効にするための新しい設定があります。 この設定では、デバイスの NAC ID を VPN プロファイルに含めることができます。 現時点では、この新しい NAC ID をサポートする VPN クライアントまたは NAC パートナー ソリューションはありませんが、サポートされるようになったらサポートのブログ投稿でお知らせします。

NAC を使用するには、以下のことが必要です。

  1. デバイス ID を VPN プロファイルに含めることを Intune に許可します
  2. NAC プロバイダーから直接提供されるガイダンスを使用して、NAC プロバイダーのソフトウェア/ファームウェアを更新します

iOS VPN プロファイルでのこの設定については、「Microsoft Intune で iOS デバイスに対する VPN 設定を構成する」をご覧ください。 ネットワーク アクセス制御について詳しくは、「ネットワーク アクセス制御 (NAC) と Intune の統合」をご覧ください。

適用対象: iOS

メール プロファイルが 1 つだけの場合でも、デバイスからメール プロファイルを削除する

以前は、電子メール プロファイルが 1 つしかない 場合、デバイスからその電子メール プロファイルを削除することはできませんでした。 今回の更新では、この動作が変更されました。 デバイス上に 1 つしかない電子メール プロファイルでも削除できるようになりました。 詳細については、「Microsoft Intune で電子メールの設定を構成する方法」をご覧ください。

PowerShell スクリプトと Azure AD

Intune 内の PowerShell スクリプトは、Azure AD デバイスのセキュリティ グループを対象にすることができます。

Android および Android エンタープライズでの [必要なパスワードの種類] の新しい既定値の設定

新しいコンプライアンス ポリシーを作成すると ( [Intune] > [デバイスのポリシー準拠] > [ポリシー] > [ポリシーの作成] > [Android] 、または [プラットフォーム] > [システム セキュリティ] の [Android エンタープライズ] )、 [必要なパスワードの種類] の既定値が変更されます。

開始:デバイスの既定値:最小数の数字

適用対象:Android、Android Enterprise

これらの設定については、Android および Android エンタープライズのページをご覧ください。

Windows 10 Wi-Fi プロファイル内で事前共有キーを使用する

この更新では、事前共有キー (PSK) を WPA/WPA2-パーソナル セキュリティ プロトコルと一緒に使用することで、Windows 10 向け Wi-Fi 構成プロファイルを認証できるようになります。 また、2018 年 10 月更新の Windows 10 上のデバイスに対して従量制課金接続のコストの構成を指定することもできます。

現時点では、Wi-Fi プロファイルをインポートするか、またはカスタム プロファイルを作成して事前共有キーを使用する必要があります。 Windows 10 向けの Wi-Fi 設定に関するページに現在の設定が一覧されています。

デバイスから PKCS および SCEP 証明書を削除する

一部のシナリオでは、グループからポリシーを削除したり、構成またはコンプライアンスの展開を削除したり、既存の SCEP プロファイルまたは PKCS プロファイルを管理者が更新したりした場合でも、PKCS 証明書および SCEP 証明書がデバイス上に残りました。 今回の更新ではこの動作が変更されます。 PKCS 証明書および SCEP 証明書がデバイスから削除されるシナリオと、証明書がデバイス上に残るシナリオが存在します。 各シナリオについては、「Microsoft Intune で SCEP 証明書と PKCS 証明書を削除する」をご覧ください。

コンプライアンスのために macOS デバイスでゲートキーパーを使用する

この更新には、デバイスのコンプライアンスを評価するための macOS ゲートキーパーが含まれています。 ゲートキーパーの正しい設定については、「Intune で macOS デバイス用のデバイス コンプライアンス ポリシーを追加する」をご覧ください。

デバイスの登録

Autopilot に関してまだ登録されていない登録 Win 10 デバイスに Autopilot プロファイルを適用する

Autopilot に関してまだ登録されていない登録 Win 10 デバイスに Autopilo プロファイルを適用できます。 Autopilot プロファイルで [すべての対象デバイスを Autopilot に変換する] オプションを選択し、非 Autopilot デバイスを Autopilot デプロイ サービスに自動登録します。 登録が処理されるまで 48 時間待ちます。 デバイスが登録解除されリセットされると、Autopilot によってそのデバイスがプロビジョニングされます。

登録ステータス ページ プロファイルを複数作成し、Azure AD グループに割り当てる

登録ステータス ページ プロファイルを複数作成し、Azure AD グループに割り当てることができるようになりました。

Intune で Device Enrollment Program から Apple Business Manager に移行する

Apple Business Manager (ABM) は Intune で動作します。Device Enrollment Program (DEP) から ABM にアカウントをアップグレードできます。 Intune でのプロセスは同じです。 DEP から ABM に Apple アカウントをアップグレードするには、https://support.apple.com/HT208817 に移動します。

デバイス登録概要ページのアラートと登録ステータスのタブ

デバイス登録概要ページでは、アラートや登録エラーが別々のタブに表示されるようになりました。

登録の破棄に関するレポート

破棄された登録の詳細を示す新しいレポートを使用できます。 [デバイスの登録] > [モニター] の順に移動します。 詳しくは、「ポータル サイトの破棄レポート」をご覧ください。

新しい Azure Active Directory Terms of Use 機能

Azure Active Directory では、既存の Intune の使用条件の代わりに使用できる terms of use 機能が用意されます。 Azure AD terms of use 機能では、どの使用条件をどのタイミングで表示するかについての柔軟性が高くなり、ローカライズのサポートが強化され、使用条件の表示方法をより細かく制御でき、レポート機能が改善されています。 Azure AD terms of use 機能を使用するには、Enterprise Mobility + Security E3 スイートにも含まれている Azure Active Directory Premium P1 が必要です。 詳しくは、「ユーザー アクセスに関する会社の使用条件を管理する」をご覧ください。

Android デバイス所有者モードのサポート

Samsung Knox Mobile Enrollment について、Android デバイス所有者管理モードへのデバイスの登録を Intune がサポートするようになりました。 WiFi または移動体通信ネットワークのユーザーは、初めてデバイスをオンにしたときに、ほんの数タップで登録できます。 詳しくは、「Samsung の Knox Mobile Enrollment を使用して Android デバイスを自動的に登録する」をご覧ください。

デバイス管理

ソフトウェア更新プログラムの新しい設定

  • 最新のソフトウェア更新プログラムのインストールを完了するのに必要な再起動に関して、エンドユーザーに警告するための通知を構成できるようになりました。
  • 勤務時間外に実行される再起動に対して表示する再起動警告メッセージを構成できるようになりました。これにより、BYOD シナリオがサポートされます。

Windows Autopilot に登録されたデバイスを correlator ID によってグループ化する

Configuration Manager で 既存デバイス向け Autopilot を使用することによって登録するとき、correlator ID による Windows デバイスのグループ化が Intune によってサポートされます。 correlator ID は、Autopilot 構成ファイルのパラメーターです。 Intune では Azure AD デバイス属性 enrollmentProfileName が等しい "OfflineAutopilotprofile-" に自動的に設定されます。 これにより、オフライン Autopilot 登録用の enrollmentprofileName 属性を介して、correlator ID に基づく任意の Azure AD 動的グループを作成することができます。 詳細については、「Windows Autopilot for existing devices」 (既存のデバイス向け Windows Autopilot) を参照してください。

Intune のアプリ保護ポリシー

Intune アプリ保護ポリシーを使用すると、Microsoft Outlook や Microsoft Word など、Intune で保護されているアプリに対するさまざまなデータ保護設定を構成できます。 iOSAndroid 両方でのこれらの設定のルック アンド フィールが、個々の設定を見つけやすいように変更されました。 ポリシー設定にはカテゴリが 3 つあります。

  • データ再配置 - このグループには、切り取り、コピー、貼り付け、名前を付けて保存の制限など、データ損失防止 (DLP) コントロールが含まれます。 これらの設定によって、アプリでユーザーがデータを操作する方法が決定されます。
  • アクセス要件 - このグループには、エンド ユーザーが仕事でアプリにアクセスする方法を決定するアプリ別の PIN オプションが含まれます。
  • 条件付き起動 - このグループには、最小 OS 設定、脱獄またはルート化されたデバイスの検出、オフライン猶予期間などの設定が含まれます。

設定の機能は変更されていませんが、ポリシー作成フローで作業するときに、設定を見つけやすくなります。

Android デバイスでアプリを制限し、会社のリソースへのアクセスをブロックする

[デバイス コンプライアンス][ポリシー][ポリシーの作成][Android][システム セキュリティ] の順に選択すると、 [デバイス セキュリティ] セクションの下に [制限付きアプリ] という新しい設定が表示されます。 [制限付きアプリ] 設定ではコンプライアンス ポリシーが使用され、特定のアプリがデバイスにインストールされている場合、会社のリソースへのアクセスがブロックされます。 制限付きアプリケーションがデバイスから削除されるまで、デバイスは非準拠と見なされます。 適用対象:

  • Android

Intune アプリ

Intune でサポートされる LOB アプリの最大パッケージ サイズが 8 GB になる

Intune では、基幹業務 (LOB) アプリの最大パッケージ サイズが 8 GB に増加します。 詳しくは、「Microsoft Intune にアプリを追加する」をご覧ください。

ポータル サイト アプリ用のカスタム ブランド イメージを追加する

Microsoft Intune 管理者は、iOS ポータル サイト アプリ内のユーザーのプロファイル ページに背景イメージとして表示されるカスタム ブランド イメージをアップロードできるようになります。 ポータル サイト アプリの構成方法の詳細については、「Microsoft Intune ポータル サイト アプリを構成する方法」を参照してください。

エンドユーザーのコンピューター上で Office を更新するとき、Office のローカライズされた言語は Intune によって維持される

エンドユーザーのコンピューターに Office が Intune によってインストールされる場合、エンド ユーザーには前の .MSI Office インストールで使用していたのと同じ言語パックが自動的に提供されます。 詳細については、Microsoft Intune での Windows 10 デバイスへの Microsoft 365 アプリの割り当てに関する記事を参照してください。

監視とトラブルシューティング

Microsoft 365 デバイス管理ポータルでの新しい Intune サポート エクスペリエンス

Microsoft 365 デバイス管理ポータルでの Intune の新しいヘルプとサポート エクスペリエンスがロールアウトされています。 新しいエクスペリエンスでは、自分の言葉で問題を説明し、トラブルシューティングの分析情報と Web ベースの修復コンテンツを受け取ることができます。 これらの解決策は、ユーザーの照会により、ルール ベースの機械学習アルゴリズムを使用して提供されます。

問題固有のガイダンスに加えて、新しいケース作成ワークフローを使用して、メールまたは電話でサポート ケースを開くこともできます。

ロールアウトの一部であるお客様の場合、ヘルプとサポートを開いたコンソールの領域に基づいて事前選択されているオプションの静的セットである現在のヘルプとサポート エクスペリエンスが、この新しいエクスペリエンスに置き換えられます。

この新しいヘルプとサポート エクスペリエンスは、全部ではなく一部のテナントにロールアウトされており、デバイス管理ポータルで使用できます。この新しいエクスペリエンスの参加者は、利用可能な Intune テナントからランダムに選択されます。ロールアウトが拡張されると、新しいテナントが追加されます。

詳細については、「Microsoft Intune のサポートを受ける方法」の「新しいヘルプとサポート エクスペリエンス」を参照してください。

Intune 用の PowerShell モジュール – プレビュー版

Microsoft Graph を通じて Intune API のサポートを提供する新しい PowerShell モジュールのプレビュー版が、GitHub で利用可能になりました。 このモジュールの使用方法について詳しくは、その場所にある README ファイルをご覧ください。

2018 年 9 月

アプリ管理

アプリ保護ステータス タイルの重複削除

[iOS のユーザーの状態] タイルと [Android のユーザーの状態] タイルは、 [クライアント アプリ - 概要] ページと [クライアント アプリ - アプリ保護ステータス] ページの両方に表示されていました。 重複を避けるために、 [クライアント アプリ - 概要] ページからステータス タイルが削除されました。

デバイスの構成

サードパーティ証明書機関 (CA) のサポート追加

Simple Certificate Enrollment Protocol (SCEP) を利用することで、Windows、iOS、Android、macOS を搭載するモバイル デバイスで新しい証明書を発行したり、証明書を更新したりできるようになりました。

デバイスの登録

Intune サポートが iOS 10 以降に

今後、Intune の登録、ポータル サイト、Managed Browser は iOS 10 以降を搭載して iOS デバイスのみでサポートされます。 組織で影響を受けるデバイスやユーザーを確認するには、Azure portal で Intune にアクセスし、 [デバイス][すべてのデバイス] の順に選択します。 OS で絞り込み、 [列] をクリックして OS バージョン詳細を表示します。 サポートされている OS バージョンにデバイスをアップグレードするようにユーザーに依頼します。

以下に一覧したデバイスのいずれかを所有している場合、または以下に一覧したデバイスのいずれかを登録する場合、それらのデバイスは iOS 9 以前しかサポートしていないので注意してください。 Intune ポータル サイトに引き続きアクセスするには、iOS 10 以降をサポートするデバイスにそれらのデバイスをアップグレードする必要があります。

  • iPhone 4S
  • iPod Touch
  • iPad 2
  • iPad (第 3 世代)
  • iPad Mini (第 1 世代)

デバイス管理

Microsoft 365 デバイス管理の管理センター

Microsoft 365 で Microsoft が約束することの 1 つは簡単な管理です。長年、Intune や Azure AD の条件付きアクセスなどのエンドツーエンド シナリオを届けるべく、Microsoft はバックエンド Microsoft 365 サービスを統合してきました。 新しい Microsoft 365 管理センターは、管理業務を連結、簡素化、統合する場所です。 デバイス管理のスペシャリスト向けワークスペースでは、組織で必要とされるあらゆるデバイス/アプリ管理情報/作業に簡単にアクセスできます。 企業のエンドユーザー コンピューティング チームにとってはこれが主要なクラウド ワークスペースになるものと Microsoft は予想しています。

2018 年 8 月

アプリ管理

接続の種類がカスタムと Pulse Secure の場合における、iOS のアプリごとの VPN プロファイルに対するパケット トンネル サポート

iOS のアプリごとの VPN プロファイルを使用するときに、アプリ層トンネリング (アプリプロキシ) またはパケット レベル トンネリング (パケットトンネル) を使用することを選択できます。 これらのオプションは、次の接続の種類で利用できます。

  • カスタム VPN
  • Pulse Secure: 使用する値がわからない場合、ご利用の VPN プロバイダーのドキュメントを参照してください。

iOS ソフトウェア更新がデバイスに表示されるときの遅延

Intune の [ソフトウェアの更新][iOS のポリシーを更新する] で、デバイスにあらゆる更新プログラムをインストールしない日時を構成できます。 今後の更新では、1 日から 90 日までの間で、ソフトウェア更新が表示されるタイミングを遅らせることができるようになります。 こちらに Microsoft Intune で iOS 更新ポリシーを構成する方法が説明されていますが、ここに現在の設定が一覧になっています。

Microsoft 365 Apps for enterprise のバージョン

Intune を利用して Microsoft 365 Apps for enterprise アプリを Windows 10 デバイスに割り当てるとき、Office のバージョンを選択できるようになります。 Azure portal で、 [Microsoft Intune][アプリ][アプリの追加] の順に選択します。 次に、 [種類] ドロップダウン リストから [Office 365 ProPlus Suite (Windows 10)] を選択します。 [アプリ スイートの設定] を選択し、関連ブレードを表示します。 [更新チャネル][毎月] などの値に設定します。 任意で、 [はい] を選択し、エンド ユーザー デバイスから Office のその他のバージョン (msi) を削除します。 [特定] を選択すると、選択されているチャネルで特定のバージョンの Office がエンド ユーザー デバイスにインストールされます。 この時点で、使用する 特定のバージョン の Office を選択できます。 使用できるバージョンは随時変更されます。 そのため、新しいデプロイを作成するとき、利用できるバージョンが新しく、特定の古いバージョンを利用できないことがあります。 現在のデプロイでは引き続き古いバージョンをデプロイできますが、バージョンの一覧はチャネル単位で継続的に更新されます。 詳細については、Microsoft 365 アプリの更新チャネルの概要に関するページをご覧ください。

Windows 10 VPN の DNS 登録設定をサポート

この更新では、カスタム プロファイルを使用しなくても、内部 DNS を使用し、VPN インターフェイスに割り当てられている IP アドレスを動的に登録するように、Windows 10 VPN プロファイルを構成できるようになります。 現在の VPN プロファイルの設定に関する詳細については、「Intune での Windows 10 VPN の設定」を参照してください。

macOS ポータル インストーラーはインストーラー ファイル名にバージョン番号を含む

iOS のアプリの自動更新

アプリの自動更新は、iOS バージョン 11.0 以上のデバイスとユーザー ライセンスされたアプリの両方で機能します。

デバイスの構成

Windows Hello の対象はユーザーとデバイスになります

Windows Hello for Business ポリシーを作成すると、そのポリシーは組織内 (テナント全体) のすべてのユーザーに適用されます。 今回の更新によって、デバイス構成ポリシーを使用する特定のユーザーまたは特定のデバイスにもポリシーを適用できるようになりました ( [デバイス構成][プロファイル][プロファイルの作成][ID 保護][Windows Hello for Business] )。 Azure portal の Intune では、Windows Hello の構成と設定は、 [デバイスの登録][デバイス構成] の両方に存在するようになりました。 [デバイスの登録] の対象は組織全体 (テナント全体) であり、Windows AutoPilot (OOBE) がサポートされます。 [デバイス構成] の対象は、チェックイン中に適用されたポリシーを使用するデバイスとユーザーになります。 この機能は、以下に適用されます。

  • Windows 10 以降
  • Windows Holographic for Business

iOS の VPN プロファイルには、Zscaler を接続として利用可能

iOS VPN デバイス構成プロファイルを作成するとき ( [デバイス構成][プロファイル][プロファイルの作成] の順に選択し、プラットフォームに iOS を選択し、プロファイルの種類に VPN を選択する)、Cisco や Citrix など、接続の種類がいくつかあります。 この更新では、接続の種類として Zscaler が追加されます。 こちらのiOS を実行するデバイスの VPN 設定リストには、利用できる接続の種類がまとめられています。

Windows 10 用の Enterprise Wi-Fi プロファイルに対する FIPS モード

Intune Azure portal 内の Windows 10 用の Enterprise Wi-Fi プロファイルに対して、Federal Information Processing Standards (FIPS) モードを有効にできるようになりました。 Wi-Fi プロファイルで有効にする場合は、ご使用の Wi-Fi インフラストラクチャで FIPS モードを有効にしていることを確認してください。 「Intune での Windows 10 以降のデバイス向けの Wi-Fi 設定」では、Wi-Fi プロファイルを作成する方法について示します。

Windows 10 以降のデバイスで S モードを制御する - パブリック プレビュー

この機能更新プログラムでは、Windows 10 デバイスの S モードを解除するデバイス構成プロファイルを作成したり、ユーザーがデバイスの S モードを解除することを禁止したりできます。 この機能は Intune の [デバイス構成] > [プロファイル] > [Windows 10 以降] > [Edition upgrade and mode switch](エディション アップグレードとモード切替) にあります。 S モードの詳細は「Windows 10 (S モード) について」でご覧いただけます。 適用対象: 一番新しい Windows Insider ビルド (プレビュー段階)。

構成プロファイルに自動的に追加される Windows Defender for Endpoint 構成パッケージ

Intune で Defender for Endpoint を使用してデバイスをオンボードする場合、前もって構成パッケージをダウンロードし、それを構成プロファイルに追加する必要があります。 この更新では、Intune で Windows Defender Security Center からパッケージを自動的に取得し、それをプロファイルに追加します。 Windows 10 以降に適用されます。

デバイスのセットアップ中に接続するためのユーザーが必要

Windows 10 のセットアップ中にネットワーク ページから進む前に、デバイスがネットワークに接続することを要求するように、デバイス プロファイルを設定できるようになりました。 この機能はプレビュー中ですが、Windows Insider ビルド 1809 以降ではこの設定を使用する必要があります。 適用対象: 一番新しい Windows Insider ビルド (プレビュー段階)。

iOS デバイスと Android エンタープライズ デバイスでアプリを制限し、会社のリソースへのアクセスをブロックする

[デバイスのポリシー準拠] > [ポリシー] > [ポリシーの作成] > [iOS] > [システム セキュリティ] の順に選択したところに、制限付きアプリケーション の新しい設定があります。 この新しい設定ではコンプライアンス ポリシーが使用され、特定のアプリがデバイスにインストールされている場合、会社のリソースへのアクセスがブロックされます。 制限付きアプリケーションがデバイスから削除されるまで、デバイスは非準拠と見なされます。 適用対象: iOS

最新の VPN サポートの更新で iOS に対応

この更新では、次の iOS VPN クライアントがサポート対象になります。

  • F5 Access (バージョン 3.0.1 以降)
  • Citrix SSO
  • Palo Alto Networks GlobalProtect バージョン 5.0 以降。この更新では以下もサポートされます。
  • 既存の F5 Access の接続の種類は、iOS 用の F5 Access Legacy という名前に変更されました。
  • 既存の Palo Alto Networks GlobalProtect の接続の種類の名前は、iOS 用の Palo Alto Networks GlobalProtect (Legacy) に変更されます。 これらの接続の種類を持つ既存のプロファイルは、引き続きそれぞれのレガシ VPN クライアントで動作します。 Cisco Legacy AnyConnect、F5 Access Legacy、Citrix VPN、または Palo Alto Networks GlobalProtect バージョン 4.1 以前を iOS で使用している場合、新しいアプリに移ってください。 iOS 12 に更新されたときに iOS デバイスで VPN アクセスを利用できるように、できるだけ速やかに移ってください。 iOS 12 と VPN プロファイルの詳細については、Microsoft Intune サポート チームのブログに関するページを参照してください。

Azure クラシック ポータルのコンプライアンス ポリシーをエクスポートして、Intune Azure portal でこれらのポリシーを再作成する

Azure クラシック ポータルで作成されたコンプライアンス ポリシーは非推奨になる予定です。 既存のコンプライアンス ポリシーは確認したり、削除したりできますが、更新することはできません。 現在の Intune Azure portal に任意のコンプライアンス ポリシーを移行する必要がある場合は、コンマ区切りファイル ( .csv ファイル) としてポリシーをエクスポートできます。 その後、ファイルの詳細を使って、Intune Azure portal でこれらのポリシーを再作成します。

重要

Azure クラシック ポータルが廃止されると、ご自分のコンプライアンス ポリシーにアクセスしたり、表示したりすることはできなくなります。 そのため、Azure クラシック ポータルが廃止される前に、必ずご利用のポリシーをエクスポートし、Azure portal で再作成してください。

Better Mobile - 新しい Mobile Threat Defense パートナー

Microsoft Intune に統合された Mobile Threat Defense ソリューションである Better Mobile によって実行されるリスク評価に基づき、条件付きアクセスを利用し、モバイル デバイスから会社のリソースへのアクセスを制御できます。

デバイスの登録

ユーザーがサインインするまで、シングル アプリ モードでポータル サイトをロックする

DEP 登録中、セットアップ アシスタントの代わりに、ポータル サイトを介してユーザーを認証する場合、シングル アプリ モードでポータル サイトを実行するオプションを使用できるようになりました。 このオプションによってセットアップ アシスタントの完了直後にデバイスがロックされます。そのため、デバイスを利用するには、ユーザーはサインインする必要があります。 このプロセスにより、デバイスはオンボードを完了し、ユーザーが関連付けられていない状態で孤立することはありません。

Autopilot デバイスにユーザーとわかりやすい名前を割り当てる

ユーザーを 1 つの Autopilot デバイスに割り当てることができるようになりました。 管理者はまた、AutoPilot でデバイスを設定するユーザーにとってわかりやすい名前を与えることができます。 適用対象: 一番新しい Windows Insider ビルド (プレビュー段階)。

VPP デバイス ライセンスを使用して DEP 登録時にポータル サイトを事前プロビジョニングする

Volume Purchase Program (VPP) デバイス ライセンスを使用して、Device Enrollment Program (DEP) 登録時にポータル サイトを事前プロビジョニングすることができます。 そのためには、登録プロファイルを作成または編集するときに、ポータル サイトをインストールするために使用する VPP トークンを指定します。 トークンの期限が切れていないことと、ポータル サイト アプリの十分なライセンスがあることを確認してください。 トークンの期限が切れているか、ライセンスが不足している場合、Intune は代わりに App Store ポータル サイトをプッシュします (この場合、Apple ID の入力が求められます)。

ポータル サイトの事前プロビジョニングに使用されている VPP トークンを削除するために必要な構成

DEP 登録時にポータル サイトの事前プロビジョニングに Volume Purchase Program (VPP) トークンが使用されている場合、そのトークンを削除するための構成が必要になりました。

Windows 個人デバイス登録を禁止する

Intune のモバイル デバイス管理Windows 個人デバイスの登録を禁止できます。 Intune PC エージェントで登録されているデバイスはこの機能でブロックできません。 この機能は次の数週間でロールアウトされます。そのため、ユーザー インターフェイスにはすぐに表示されないことがあります。

Autopilot プロファイルにコンピューター名パターンを指定する

Autopilot の登録時に、生成するコンピューター名テンプレートを指定したり、コンピューター名を設定したりできます。 適用対象: 一番新しい Windows Insider ビルド (プレビュー段階)。

Windows Autopilot プロファイルの場合、会社のサインイン ページとドメイン エラー ページでアカウント変更オプションを非表示にする

会社のサインイン ページとドメイン エラー ページでアカウント変更オプションを管理者が非表示にするための新しい Windows Autopilot プロファイル オプションがあります。 これらのオプションを非表示にするには、Azure Active Directory で会社のブランドを構成する必要があります。 適用対象: 一番新しい Windows Insider ビルド (プレビュー段階)。

Apple Device Enrollment Program の macOS によるサポート

Intune は、Apple Device Enrollment Program (DEP) への macOS デバイスの登録をサポートするようになりました。 詳細については、「Apple の Device Enrollment Program を使用して macOS デバイスを自動登録する」を参照してください。

デバイス管理

Jamf デバイスを削除する

[デバイス] に移動し、Jamf デバイスを選択して、 [削除] を選択することにより、Jamf で管理されたデバイスを削除できます。

"削除" と "ワイプ" への用語変更

Graph API との一貫性を保つために、Intune のユーザー インターフェイスとドキュメントにおいて次の用語が変更されています。

  • [会社データの削除] は、"廃止" に変更されます
  • [出荷時の設定にリセット][ワイプ] に変更されます

管理者が MDM プッシュ通知証明書を削除しようとする場合の確認ダイアログ

任意のユーザーが Apple MDM プッシュ通知証明書を削除しようとすると、確認ダイアログ ボックスには関連する iOS と macOS デバイスの数が表示されます。 証明書が削除された場合、これらのデバイスは再登録される必要があります。

Windows インストーラーの追加のセキュリティ設定

ユーザーがアプリのインストールを制御することを許可できます。 有効にすると、セキュリティ違反が原因で本来は停止される可能性があるインストールを続行することが許可されます。 Windows インストーラーによってシステムに任意のプログラムをインストールする場合、管理者特権のアクセス許可を使用するよう Windows インストーラーに指示することができます。 さらに、Windows 情報保護 (WIP) アイテムのインデックス付け、および暗号化されていない場所に格納されたそれらのアイテムに関するメタデータを有効にすることができます。 このポリシーが無効な場合、WIP で保護されたアイテムにはインデックスが付けられず、Cortana またはエクスプローラーの結果に表示されません。 既定では、これらのオプションの機能は無効になっています。

Intune ポータル サイトの新しいユーザー エクスペリエンスの更新

顧客からのフィードバックに基づいて、Intune ポータル サイト Web サイトに新機能を追加しています。 ご利用のデバイスから、既存の機能と使いやすさの大幅な向上を体験できます。 –デバイス詳細、フィードバックとサポート、デバイス概要など–のサイトの領域には、最新の応答性の高いデザインが採用されています。 次の点も改善されています。

  • すべてのデバイス プラットフォームにわたる合理化されたワークフロー
  • 改善されたデバイスの識別と登録のフロー
  • より役立つエラー メッセージ
  • 技術的な専門用語を減らした、わかりやすい言語
  • アプリへの直接リンクを共有する機能
  • 大規模なアプリケーション カタログのパフォーマンスの向上
  • すべてのユーザーのアクセシビリティの向上

Intune ポータル サイト Web サイトのドキュメントは、これらの変更を反映するように更新されています。 アプリの拡張機能の例を表示するには、「Intune とエンド ユーザー アプリの UI の更新」を参照してください。

監視とトラブルシューティング

コンプライアンス レポートでの脱獄の高度な検出

脱獄の高度な検出の設定の状態は、管理コンソール内のすべてのコンプライアンス レポートに表示されるようになりました。

ロール ベースのアクセス制御

ポリシーのスコープ タグ

Intune リソースへのアクセスを制限するために、スコープのタグを作成できます。 スコープ タグをロールの割り当てに追加し、同じスコープ タグを構成プロファイルに追加します。 そのロールでは、スコープ タグが一致する (あるいはスコープ タグがない) 構成プロファイルを持つリソースにのみアクセスできます。

2018 年 7 月

アプリ管理

macOS の基幹業務 (LOB) アプリのサポート

Microsoft Intune では、macOS LOB アプリを [必須] として、または [Available with enrollment](登録して利用可能) として展開することができます。 エンド ユーザーは、macOS 用のポータル サイトまたは ポータル サイト Web サイトを使用して、アプリを [利用可能] として展開してもらうことができます。

キオスク モードに対応する iOS 組み込みアプリのサポート

ストア アプリおよび管理対象アプリに加えて、iOS デバイス上でキオスク モードで実行される組み込みアプリ (Safari など) を選択できるようになりました。

Microsoft 365 Apps for enterprise アプリの展開を編集する

Microsoft Intune 管理者は、Microsoft 365 Apps for enterprise アプリの展開を編集するための強化された機能を使用できます。 さらに、スイートのいずれかのプロパティを変更するのに、デプロイを削除しなくてもよくなりました。 Azure portal で、 [Microsoft Intune] > [クライアント アプリ] > [アプリ] の順に選択します。 アプリの一覧から、Microsoft 365 Apps for enterprise スイートを選択します。

更新された Android 用の Intune App SDK が利用可能になった

Android P のリリースをサポートする Android 用 Intune アプリ SDK の更新バージョンが使用可能になりました。 Android 用 Intune SDK を使用しているアプリ開発者は、Intune アプリ SDK の更新バージョンをインストールして、Android P デバイス上でも Android アプリの Intune 機能が正常に動作するようにする必要があります。 このバージョンの Intune App SDK には、SDK の更新プログラムを実行する組み込みのプラグインが用意されています。 統合されている既存のコードを書き直す必要はありません。 詳細については、Android 用 Intune SDK に関するページをご覧ください。 Intune に対して古いバッジのスタイルを使用している場合は、ブリーフケース アイコンを使用することをお勧めします。 ブランド化について詳しくは、この GitHub リポジトリをご覧ください。

Windows 用ポータル サイト アプリでの同期の機会の増加

Windows 用ポータル サイト アプリでは、Windows タスク バーと [スタート] メニューから直接同期を開始できるようになりました。 この機能は、唯一のタスクがデバイスを同期して、企業リソースへのアクセスを取得することで場合に特に便利です。 この新しい機能にアクセスするには、ご利用のタスク バーまたは [スタート] メニューに固定されているポータル サイト アイコンを右クリックします。 メニュー オプション (ジャンプ リストとも呼ばれる) で、 [Sync this device](このデバイスを同期) を選択します。 ポータル サイトが開いて、 [設定] ページが表示され、同期が開始されます。新しい機能については、UI の新機能に関するページを参照してください。

Windows 用ポータル サイト アプリでの新しい閲覧エクスペリエンス

Windows 用ポータル サイト アプリでアプリを参照または検索するときに、既存の [タイル] ビューと新しく追加された [詳細] ビューを切り替えることができるようになりました。 新しいビューには、名前、発行元、発行日、インストール状態などのアプリケーションの詳細が一覧表示されます。

[アプリ] ページの [インストール済み] ビューでは、完了したアプリのインストールと進行中のアプリのインストールに関する詳細を見ることができます。 新しいビューの外観を確認するには、UI の新機能を参照してください。

デバイス登録マネージャー向けのポータル サイト アプリの操作性の改善

デバイス登録マネージャー (DEM) が Windows 用ポータル サイト アプリにサインインすると、アプリには DEM の現在 (実行中のデバイス) のみが一覧表示されるようになります。 この改善により、DEM に登録されたデバイスをすべて表示しようとしたときに以前に発生していたタイムアウトが削減されます。

未承認のデバイス ベンダーとモデルに基づくアプリのアクセスのブロック

Intune の IT 管理者は、Intune App Protection ポリシーによって、Android 製造元や iOS モデルの指定された一覧を適用できます。 IT 管理者は、Android ポリシーの製造元と iOS ポリシーのデバイス モデルのセミコロン区切り一覧を提供できます。 Intune App Protection ポリシーは、Android および iOS 専用です。 この指定されたリストでは 2 つの個別操作を実行できます。

  • 指定されていないデバイスでのアプリ アクセスからブロック。
  • または、指定されていないデバイスでの企業データの選択的ワイプ。

ユーザーは、ポリシーによる要件が満たされない場合、対象となるアプリケーションにアクセスすることができません。 設定に基づいて、ユーザーは、ブロックされるか、アプリ内の企業データを選択的にワイプされます。 iOS デバイス上でこの機能を利用するには、対象のアプリケーションに適用するこの機能の Intune アプリ SDK を統合するアプリケーション (WXP、Outlook、Managed Browser、Yammer など) の参加が必要となります。 この統合は、ローリング方式で行われ、特定のアプリケーション チームに依存します。 Android でこの機能を利用するには、最新の Intune ポータル サイトが必要です。

エンド ユーザー デバイスの Intune クライアントは、アプリケーション保護ポリシーに対して Intune ブレードで指定されている文字列の単純一致に基づいてアクションを実行します。 これは、デバイスを報告する値に完全に依存します。 そのため、IT 管理者には、意図した動作が正確であることを確認することをお勧めします。 これは、小さなユーザー グループを対象に、さまざまなデバイス製造元とモデルに基づいてこの設定をテストすることによって実現できます。 Microsoft Intune で、アプリ保護ポリシーを表示および追加するには、 [クライアント アプリ] > [アプリ保護ポリシー] の順に選択します。 アプリ保護ポリシーの詳細については、「アプリ保護ポリシーとは」および「Intune でアプリ保護ポリシーのアクセス アクションを利用し、データを選択的にワイプする」を参照してください。

macOS ポータル サイトのプレリリース ビルドへのアクセス

Microsoft AutoUpdate を使用すれば、Insider Program に参加することにより、早期にビルドを受け取るためにサインアップできます。 サインアップすると、エンド ユーザーが使用できるようになる前に更新されたポータル サイトを使用できます。 詳細については、Microsoft Intune に関するブログ を参照してください。

デバイスの構成

macOS デバイスでファイアウォール設定を使ってデバイスのコンプライアンス ポリシーを作成する

macOS の新しいコンプライアンス ポリシーを作成するとき ( [デバイスのポリシー準拠] > [ポリシー] > [ポリシーの作成] > [プラットフォーム: macOS] > [システム セキュリティ] )、ファイアウォール に関するいくつかの新しい設定を使用できます。

  • ファイアウォール: ご利用の環境における着信接続の処理方法を構成します。
  • 着信接続: DHCP、Bonjour、IPSec など、基本的なインターネット サービスに必要な接続を除き、すべての着信接続を [ブロック] します。 この設定は、すべての共有サービスもブロックします。
  • ステルス モード: ステルス モードを [有効] にして、デバイスがプローブ要求に応答するのを防ぎます。 デバイスは引き続き、許可されているアプリに関する着信要求に応答します。

適用対象: macOS 10.12 以降

Windows 10 以降用の新しい Wi-Fi デバイス構成プロファイル

現時点では、XML ファイルを使用して、Wi-Fi プロファイルをインポートおよびエクスポートすることができます。 この更新プログラムを使用すると、他のプラットフォームの場合と同じように、Intune で直接 Wi-Fi デバイス構成プロファイルを作成できるようになります。

プロファイルを作成するには、 [デバイス構成] > [プロファイル] > [プロファイルの作成] > [Windows 10 以降] > [Wi-Fi] の順に開きます。

Windows 10 以降に適用されます。

[Kiosk - obsolete](キオスク - 古い) が灰色で表示され、変更できない

キオスク (プレビュー) の機能 ( [デバイス構成] > [プロファイル] > [プロファイルの作成] > [Windows 10 以降] > [デバイスの制限] ) は使用されなくなり、Windows 10 以降用のキオスク設定に置き換えられます。 この更新プログラムを使用すると、 [Kiosk - Obsolete](キオスク - 古い) 機能は灰色で表示され、ユーザー インターフェイスの変更や更新はできません。

キオスク モードを有効にする場合は、Windows 10 以降用のキオスクの設定に関するページを参照してください。

Windows 10 以降、Windows Holographic for Business に適用されます

サード パーティ証明機関を使用する API

この更新プログラムでは、Java API でサード パーティ証明機関を使用して、Intune と SCEP を統合できるようになります。 その後、ユーザーは SCEP 証明書をプロファイルに追加し、MDM を使用してデバイスに適用できます。

現時点では、Intune で Active Directory 証明書サービスを使用する SCEP 要求がサポートされています。

キオスク ブラウザーで [セッションの終了] ボタンの表示と非表示を切り替える

キオスク ブラウザーに [セッションの終了] ボタンを表示するかどうかを構成できるようになりました。 コントロールは [デバイス構成] > [キオスク (プレビュー)] > [キオスク Web ブラウザー] で表示できます。 有効にした場合、ユーザーがボタンをクリックしたときに、アプリでセッションを終了するための構成が求められます。 確認すると、ブラウザーで閲覧データがすべてクリアされ、既定の URL に戻ります。

eSIM 携帯電話の構成プロファイルの作成

[デバイス構成] では、eSIM 携帯電話のプロファイルを作成することができます。 携帯電話会社によって提供される携帯電話のアクティブ化コードを含むファイルをインポートできます。 その後、これらのプロファイルを、Surface Pro LTE やその他の eSIM 対応デバイスなど、eSIM LTE を有効にした Windows 10 デバイスに展開することができます。

ご利用のデバイスで eSIM プロファイルがサポートされているかどうかを確認してください。

Windows 10 以降に適用されます。

[職場または学校にアクセスする] 設定を使用したデバイス カテゴリの選択

デバイス グループ マッピングを有効にした場合、 [設定] > [アカウント] > [職場または学校にアクセスする][接続] から登録後、または Windows 10 のユーザーはデバイス カテゴリの選択を求められるようになります。

電子メール プロファイルのアカウント ユーザー名として sAMAccountName を使用する

Android、iOS、および Windows 10 用の電子メール プロファイルのアカウント ユーザー名として、オンプレミスの sAMAccountName を使うことができます。 また、Azure Active Directory (Azure AD) の domain または ntdomain 属性から、ドメインを取得できます。 または、カスタムの静的ドメインを入力します。

この機能を使うには、オンプレミスの Active Directory 環境から Azure AD に sAMAccountName 属性を同期する必要があります。

適用対象: AndroidiOSWindows 10 以降

競合しているデバイス構成プロファイルの確認

[デバイス構成] には、既存のプロファイルのリストが表示されます。 今回の更新プログラムでは、競合しているプロファイルに関する詳細を示す新しい列が追加されます。 競合する行を選択することで、競合しているプロファイルと設定を確認できます。

詳細については、構成プロファイルの管理に関するページを参照してください。

デバイスのポリシー準拠でのデバイスの新しい状態

[デバイスのポリシー準拠] > [ポリシー] 、該当するポリシー、 [概要] の順に選択すると、次の新しい状態が追加されます。

  • 成功
  • エラー
  • 競合
  • pending
  • 適用不可。異なるプラットフォームのデバイス数を示すイメージも表示されます。 たとえば、iOS プロファイルを見ている場合、新しいタイルでは、そのプロファイルに割り当てられている iOS 以外のデバイスの数も示されます。 デバイス コンプライアンス ポリシーに関するポリシーを参照してください。

デバイスのコンプライアンスはサード パーティのウイルス対策ソリューションをサポートする

デバイス コンプライアンス ポリシーを作成する場合 ( [デバイスのポリシー準拠] > [ポリシー] > [ポリシーの作成] > [プラットフォーム: Windows 10 以降] > [設定] > [システム セキュリティ] )、新しい デバイス セキュリティ オプションを利用できます。

  • [ウイルス対策] : [必要] に設定すると、Windows Security Center に登録されている Symantec や Windows Defender などのウイルス対策ソリューションを使って、コンプライアンスを確認できます。
  • [スパイウェア対策] : [必要] に設定すると、Windows Security Center に登録されている Symantec や Windows Defender などのスパイウェア対策ソリューションを使って、コンプライアンスを確認できます。

適用対象:Windows 10 以降

デバイスの登録

Samsung Knox Mobile Enrollment を使用して登録された Android デバイスを自動的に "企業" としてマークする。

既定で、Samsung Knox Mobile Enrollment を使用して登録された Android デバイスは、 [デバイスの所有権]企業 としてマークされるようになりました。 Knox Mobile Enrollment を使用して登録する前に、IMEI やシリアル番号を使って企業のデバイスを手動で特定する必要はありません。

登録プログラム トークンのリスト内にあるプロファイルを持たないデバイスを示す列

登録プログラムのトークン リストには、プロファイルが割り当てられていないデバイスの数を示す新しい列があります。 この列は、管理者が、そのようなデバイスをユーザーに渡す前に、プロファイルを割り当てるのに役立ちます。 新しい列を参照するには、 [デバイスの登録] > [Apple の登録] > [Enrollment Program トークン] の順に選択します。

デバイス管理

デバイス ブレードでのデバイスの一括削除

[デバイス] ブレードでは、一度に複数のデバイスを削除できるようになりました。 [デバイス] > [すべてのデバイス] 、削除するデバイス、 [削除] の順に選択します。 削除できないデバイスについては、アラートが表示されます。

Android for Work および Play for Work の Google 名の変更

Intune では、Google ブランドの変更を反映するように "Android for Work" の用語が更新されました。 "Android for Work" および "Play for Work" という用語は使われなくなりました。 コンテキストに応じて異なる用語が使われます。

  • "Android エンタープライズ" は、最新の Android 管理スタック全体を指します。
  • "Work profile" または "Profile Owner" は、作業プロファイルで管理されている BYOD デバイスを指します。
  • "Managed Google Play" は、Google アプリ ストアを指します。

デバイス削除のルール

設定した日数の間チェックインしていないデバイスを自動的に削除する新しいルールを使用できます。 新しいルールを表示するには、 [Intune] ウィンドウ、 [デバイス][デバイスのクリーンアップ ルール] の順に選択します。

Android デバイスの会社所有、単一使用のサポート

Intune は、高度に管理されてロック ダウンされた、キオスク スタイルの Android デバイスをサポートするようになりました。 これにより、管理者は、デバイスの使用を 1 つのアプリまたはアプリの小さなセットにさらにロックダウンし、ユーザーが他のアプリを有効にしたり、デバイスで他の操作を実行したりすることを禁止できます。 Android キオスクを設定するには、Intune > [デバイスの登録] > [Android の登録] > [Kiosk and task device enrollments](キオスクおよびタスク デバイス登録) の順に進みます。 詳細については、Android エンタープライズ キオスク デバイスの登録の設定に関するページを参照してください。

アップロードされた重複する業務用デバイス ID の行ごとのレビュー

業務用 ID をアップロードすると、重複の一覧が提供され、既存の情報を置き換えるか、保持することができるようになりました。 [デバイスの登録] > [業務用デバイスの ID] > [ID の追加] を選ぶと、重複がある場合はレポートが表示されます。

業務用デバイスの ID を手動で追加する

業務用デバイスの ID を手動で追加できるようになりました。 [デバイスの登録] > [業務用デバイスの ID] > [追加] の順に選びます。

2018 年 6 月

アプリ管理

Microsoft Edge モバイルでの Intune アプリ保護ポリシーのサポート

モバイル デバイス向けの Microsoft Edge ブラウザーで、Intune で定義されるアプリ保護ポリシーがサポートされるようになりました。

キオスク モードのビジネス向け Microsoft Store アプリの関連付けられたアプリ ユーザー モデル ID (AUMID) を取得する

Intune で、ビジネス向け Microsoft Store (WSfB) アプリのアプリ ユーザー モデル ID (AUMID) を取得して、キオスク プロファイルの構成を改善できるようになりました。

ビジネス向け Microsoft Store アプリについて詳しくは、「ビジネス向け Microsoft Store からのアプリの管理」をご覧ください。

新しいポータル サイトのブランド化ページ

ポータル サイトのブランド化ページには、新しいレイアウト、メッセージ、ヒントがあります。

デバイスの構成

Pradeo - 新しい Mobile Threat Defense パートナー

Microsoft Intune に統合されたモバイル脅威保護ソリューションである Pradeo によって実行されるリスク評価に基づき、条件付きアクセスを利用し、モバイル デバイスから会社のリソースへのアクセスを制御できます。

NDES 証明書コネクタで FIPS モードを使用する

Federal Information Processing Standard (FIPS) モードが有効な NDES 証明書コネクタをコンピューターにインストールすると、証明書の発行や無効化が期待どおりに動作しません。 この更新プログラムでは、NDES 証明書コネクタに FIPS のサポートが含まれています。

この更新プログラムには、次も含まれています。

  • NDES 証明書コネクタには、Windows Server 2016 と Windows Server 2012 R2 に自動的に含まれる .NET 4.5 Framework が必要です。 これまでは、最小で .NET 3.5 Framework バージョンが必須でした。
  • NDES 証明書コネクタには、TLS 1.2 のサポートが含まれています。 したがって、NDES 証明書コネクタがインストールされているサーバーが TLS 1.2 をサポートする場合、TLS 1.2 が使用されます。 サーバーが TLS 1.2 をサポートしない場合、TLS 1.1 が使用されます。 現在、デバイスとサーバー間の認証には、TLS 1.1 が使用されています。

詳細については、SCEP 証明書の構成と使用と、PKCS 証明書の構成と使用に関するページを参照してください。

Palo Alto Networks GlobalProtect VPN プロファイルのサポート

今回の更新で、Intune での VPN プロファイルの VPN 接続の種類として、Palo Alto Networks GlobalProtect を選択できるようになりました ( [デバイス構成] > [プロファイル] > [プロファイルの作成] > [プロファイルの種類] > [VPN] )。 このリリースでは、次のプラットフォームがサポートされます。

  • iOS
  • Windows 10

ローカル デバイス セキュリティ オプションの設定への追加

Windows 10 デバイスに対して追加のローカル デバイス セキュリティ オプションの設定を構成できるようになりました。 追加設定を利用できるのは、Microsoft ネットワーク クライアント、Microsoft ネットワーク サーバー、ネットワーク アクセスとセキュリティ、および対話型ログオンなどに関する部分です。 これらの設定は、Windows 10 デバイスの構成ポリシーを作成するときに、[Endpoint Protection] カテゴリに表示されます。

Windows 10 デバイスでキオスク モードを有効にする

Windows 10 デバイスでは、構成プロファイルを作成して、キオスク モードを有効にすることができます ( [デバイス構成] > [プロファイル] > [プロファイルの作成] > [Windows 10] > [デバイスの制限] > [キオスク] )。 この更新では、 [キオスク (プレビュー)] の設定の名前が [キオスク (古い)] に変更されています。 [キオスク (古い)] は使用を推奨されませんが、7 月の更新までは機能し続けます。 [キオスク (古い)] は新しい [キオスク] プロファイルの種類に置き換えられ ( [プロファイルの作成] > [Windows 10] > [キオスク (プレビュー)] )、Windows 10 RS4 以降でキオスクを構成する設定が含まれます。

Windows 10 以降に適用されます。

デバイス プロファイルのグラフィカル ユーザー グラフが戻った

デバイス プロファイルのグラフィカルなグラフに表示される数値カウントの向上で ( [デバイス構成] > [プロファイル] > 既存のプロファイルを選択 > [概要] )、グラフィカルなユーザー グラフが一時的に削除されました。

この更新では、グラフィカル ユーザー グラフが元に戻り、Azure portal に表示されます。

デバイスの登録

ユーザー認証なしの Windows Autopilot 登録のサポート

Intune では、ユーザー認証なしの Windows Autopilot 登録がサポートされるようになりました。 これは Windows Autopilot Deployment プロファイルの新しいオプションであり、"Autopilot Deployment モード" が "自己配置" に設定されます。 デバイスでは Windows 10 Insider プレビュー ビルド 17672 以降を実行しており、この種類の登録を正常に完了させるために TPM 2.0 チップがある必要があります。 ユーザー認証は不要であるため、このオプションを割り当てる必要があるのは、物理的に制御できるデバイスのみとなります。

Autopilot の OOBE を構成するときの新しい言語/リージョンの設定

Out of Box Experience (OOBE) の間に、Autopilot プロファイルの言語とリージョンを設定する、新しい構成設定を使用できます。 新しい設定を表示するには、 [デバイスの登録] > [Windows の登録] > [Deployment profiles](展開プロファイル) > [プロファイルの作成] > [配置モード] = [Self-deploying](自己配置) > [既定値が構成済み] の順に選択します。

デバイス キーボードを構成するための新しい設定

Out of Box Experience (OOBE) の間に、Autopilot プロファイルのキーボードを構成する新しい設定を使用できます。 新しい設定を表示するには、 [デバイスの登録] > [Windows の登録] > [Deployment profiles](展開プロファイル) > [プロファイルの作成] > [配置モード] = [Self-deploying](自己配置) > [既定値が構成済み] の順に選択します。

Autopilot プロファイルの対象がグループに移動

AutoPilot 展開プロファイルは AutoPilot デバイスを含む Azure AD のグループに割り当てることができます。

デバイス管理

デバイスの場所によるコンプライアンスの設定

状況によっては、ネットワーク接続で定義される特定の場所に、企業リソースへのアクセスを制限することが必要な場合あります。 デバイスの IP アドレスに基づき、コンプライアンス ポリシーを作成できるようになりました ( [デバイスのポリシー準拠] > [場所] )。 デバイスが IP 範囲外に移動した場合、デバイスは会社のリソースにアクセスできません。

適用対象:Android デバイス 6.0 以降 (ポータル サイト アプリ更新済み)

Windows 10 Enterprise RS4 Autopilot デバイスでのコンシューマー アプリおよびエクスペリエンスの禁止

Windows 10 Enterprise RS4 Autopilot デバイスへのコンシューマー アプリおよびエクスペリエンスのインストールを禁止することができます。 この機能を表示するには、 [Intune] > [デバイス構成] > [プロファイル] > [プロファイルの作成] > [プラットフォーム] = [Windows 10 or later](Windows 10 以降) > [プロファイルの種類] = [デバイスの制限] > [構成] > [Windows スポットライト] > [コンシューマー向けの機能] の順に移動します。

Windows 10 ソフトウェア更新プログラムの最新のものをアンインストールする

Windows 10 コンピューターで重大な問題が見つかった場合は、最新の機能更新プログラムまたは最新の品質更新プログラムをアンインストール (ロールバック) できます。 機能更新プログラムまたは品質更新プログラムをアンインストールできるのは、デバイスが存在するサービス チャネルの場合のみです。 アンインストールすると、Windows 10 コンピューター上の以前の更新プログラムを復元するためのポリシーがトリガーされます。 機能更新プログラムの場合、最新バージョンのアンインストールを適用できる期間を 2 日から 60 日間で制限できます。 ソフトウェア更新プログラムのアンインストール オプションを設定するには、Azure Portal 内の [Microsoft Intune] ブレードで [ソフトウェア更新プログラム] を選択します。 次に、 [ソフトウェア更新プログラム] ブレードで [Windows 10 更新プログラムのリング] を選択します。 これで、 [概要] セクションから [アンインストール] オプションを選択できます。

すべてのデバイスで IMEI およびシリアル番号を検索する

[すべてのデバイス] ブレードで IMEI およびシリアル番号を検索できるようになりました (電子メール、UPN、デバイス名、管理名は引き続き使用できます)。 Intune で、 [デバイス] > [すべてのデバイス] の順に選択し、検索ボックスに検索語句を入力します。

管理名フィールドが編集可能になる

デバイスの [プロパティ] ブレードで、管理名フィールドを編集できるようになりました。 このフィールドを編集するには、 [デバイス] > [すべてのデバイス] > デバイスを選択 > [プロパティ] の順に選びます。 管理名フィールドを使って、デバイスを一意に識別できます。

新しい [すべてのデバイス] フィルター処理: デバイスのカテゴリ

デバイスのカテゴリごとに [すべてのデバイス] リストをフィルター処理できるようになりました。 これを行うには、 [デバイス] > [すべてのデバイス] > [フィルター] > [デバイスのカテゴリ] の順に選択します。

TeamViewer を使用して iOS デバイスと macOS デバイスの画面を共有する

管理者は TeamViewer に接続し、iOS および macOS デバイスとの画面共有セッションを開始できるようになりました。 iPhone、iPad、macOS ユーザーは、他のデスクトップ デバイスまたはモバイル デバイスと画面をライブで共有できます。

複数の Exchange Connector のサポート

テナントごとの Microsoft Intune Exchange Connector の数が 1 個だけという制限がなくなりました。 Intune で複数の Exchange Connector がサポートされ、複数のオンプレミス Exchange の組織で Intune の条件付きアクセスを設定できるようになりました。

Intune のオンプレミス Exchange Connector を使うと、デバイスが Intune に登録されているかどうか、およびデバイスが Intune のデバイス コンプライアンス ポリシーに準拠しているかどうかに基づいて、お使いのオンプレミスの Exchange メールボックスに対するデバイス アクセスを管理できます。 コネクタを設定するには、Azure Portal から Intune のオンプレミス Exchange Connector をダウンロードして、Exchange の組織内のサーバーにインストールします。 Microsoft Intune ダッシュ ボードで [オンプレミス アクセス] を選択し、 [セットアップ][Exchange ActiveSync のコネクタ] を選択します。 Exchange のオンプレミス コネクタをダウンロードし、Exchange の組織内のサーバーにインストールします。 テナントごとに 1 個という Exchange Connector の制限がなくなったので、他に Exchange の組織がある場合は、他の各 Exchange の組織にも同じ手順でコネクタをダウンロードしてインストールできます。

新しいデバイス ハードウェアの詳細: CCID

CCID (Chip Card Interface Device) 情報がデバイスごとに含まれるようになりました。 これを表示するには、 [デバイス] > [すべてのデバイス] の順に選択します。次に、該当するデバイス、 [ハードウェア] の順に選び、 [ネットワークの詳細] の下を確認します。

スコープ グループとしてすべてのユーザーとすべてのデバイスを割り当てる

スコープ グループ内のすべてのユーザー、すべてのデバイス、およびすべてのユーザーとすべてのデバイスを割り当てられるようになりました。 これを行うには、 [Intune の役割] > [すべてのロール] > [Policy and profile manager](ポリシーとプロファイル マネージャー) > [割り当て] の順に選び、割り当てを選んで、 [スコープ (グループ)] を選びます。

iOS および macOS デバイスの UDID 情報が含まれるようになりました

iOS および macOS デバイスの UDID (一意のデバイス識別子) を表示するには、 [デバイス] > [すべてのデバイス] の順に選択します。次に、該当するデバイス、 [ハードウェア] の順に選びます。 UDID は会社のデバイスでのみ利用できます ( [デバイス] > [すべてのデバイス] 、該当するデバイス、 [プロパティ] > [デバイスの所有権] の順に選択して設定した場合)。

Intune アプリ

アプリのインストールのトラブルシューティングの向上

Microsoft Intune の MDM で管理されたデバイスでは、アプリのインストールが失敗することがあります。 アプリのインストールが失敗した場合、失敗の理由を理解したり、問題をトラブルシューティングするのが難しい場合があります。 アプリ トラブルシューティング機能のパブリック プレビューが提供されています。 各デバイスの下に [管理対象アプリ] という新しいノードがあります。 これには、Intune MDM 経由で配布されたアプリが表示されます。 ノード内では、アプリのインストール状態が一覧表示されます。 個々のアプリを選ぶと、その特定のアプリのトラブルシューティング ビューが表示されます。 トラブルシューティング ビューでは、アプリが作成、変更、ターゲット指定、デバイス配布されたときなど、アプリのエンド ツー エンドのライフサイクルが表示されます。 さらに、アプリのインストールが成功しなかった場合は、エラー コードとエラーの原因に関する便利なメッセージが表示されます。

Intune アプリ保護ポリシーと Microsoft Edge

モバイル デバイス (iOS と Android) 向けの Microsoft Edge ブラウザーが Microsoft Intune アプリ保護ポリシー対応になりました。 Microsoft Edge アプリケーションで企業の Azure AD アカウントを使用してサインインした iOS および Android デバイスのユーザーは、Intune によって保護されます。 管理されている iOS デバイスでは、 [Require managed browser for web content] (Web コンテンツに管理されているブラウザーが必要) ポリシーにより、ユーザーは Microsoft Edge でリンクを開くことができます。

2018 年 5 月

アプリ管理

アプリ保護ポリシーの構成

Azure portal では、Intune App Protection サービス ブレードに移動する代わりに、Intune に移動するようになりました。 Intune 内のアプリ保護ポリシーのための場所は 1 つだけになりました。 すべてのアプリ保護ポリシーが Intune の アプリ保護ポリシー[モバイル アプリ] ブレードに置かれていることに注意してください。 この統合は、クラウド管理の簡素化に役立ちます。 ただし、すべてのアプリ保護ポリシーが既に Intune にあり、以前に構成した任意のポリシーを変更することができます。 Intune アプリ ポリシー保護 (APP) および条件付きアクセス (CA) ポリシーは現在、 [条件付きアクセス] の下にあります。[条件付きアクセス] は、 [Microsoft Intune] ブレードの [管理] セクション、または [Azure Active Directory] ブレードの [セキュリティ] セクションにあります。 条件付きアクセス ポリシーの変更の詳細については、「Azure Active Directory の条件付きアクセス」を参照してください。 その他の情報については、「アプリ保護ポリシーとは」をご覧ください。

デバイスの構成

ポリシー、アプリ、証明書、およびネットワーク プロファイルのインストールを必要にする

管理者は、AutoPilot デバイスのプロビジョニングの間、Intune がポリシー、アプリ、証明書、ネットワーク プロファイルをインストールするまで、エンド ユーザーによる Windows 10 RS4 デスクトップへのアクセスをブロックすることができます。 詳細については、「登録ステータス ページを設定する」を参照してください。

デバイスの登録

Samsung Knox Mobile Enrollment のサポート

Knox Mobile Enrollment (KME) で Intune を使用すると、企業が所有する多数の Android デバイスを登録できます。 WiFi または移動体通信ネットワークのユーザーは、初めてデバイスをオンにしたときに、ほんの数タップで登録できます。 Knox Deployment App を使うと、Bluetooth または NFC を使ってデバイスを登録することもできます。 詳しくは、「Samsung の Knox Mobile Enrollment を使用して Android デバイスを自動的に登録する」をご覧ください。

監視とトラブルシューティング

Windows 10 ポータル サイト でのヘルプの要求

ユーザーが問題に関するヘルプを入手するワークフローを開始すると、Windows 10 用 Intune ポータル サイトは Microsoft に直接アプリのログを送信するようになります。 これにより、Microsoft に問題を送ってすばやくトラブルシューティングして解決できます。

2018 年 4 月

アプリ管理

Android での MAM PIN のパスコードのサポート

Intune 管理者は、アプリケーション起動要件を設定して、数値の MAM PIN の代わりにパスコードを強制することができます。 構成した場合、ユーザーは、MAM 対応のアプリケーションにアクセスする前に、要求された時点で、パスコードを設定および使用する必要があります。 パスコードは、少なくとも 1 つの特殊文字または大文字/小文字アルファベットを含む数値 PIN と定義されます。 Intune によるパスコードのサポート方法は既存の数値 PIN と似ており、管理コンソールで最小の長さを設定したり、文字やシーケンスの繰り返しを許可したりできます。 この機能を利用するには、Android に最新バージョンの Intune ポータル サイトが必要です。 この機能は、iOS では既に利用できます。

macOS の基幹業務 (LOB) アプリのサポート

Microsoft Intune では、Azure Portal から macOS LOB アプリをインストールできます。 GitHub で利用可能なツールを使って前処理した macOS LOB アプリを、Intune に追加できます。 Azure portal で、 [Intune] ブレードから [クライアント アプリ] を選択します。 [クライアント アプリ] ブレードで、 [アプリ] > [追加] の順に選択します。 [アプリの追加] ブレードで、 [基幹業務アプリ] を選択します。

Android エンタープライズ仕事用プロファイルのアプリの割り当て用の、組み込みのすべてのユーザー グループとすべてのデバイス グループ

Android エンタープライズ仕事用プロファイルのアプリの割り当て用に、組み込みの [すべてのユーザー] グループと [すべてのデバイス] グループを利用できます。 詳細については、「Microsoft Intune でのアプリ割り当ての組み込みと除外」を参照してください。

ユーザーがアンインストールした必要なアプリは Intune によって再インストールされる

エンド ユーザーが必要なアプリをアンインストールした場合、Intune は 7 日間の再評価サイクルを待機するのではなく、24 時間以内に該当するアプリを自動的に再インストールします。

アプリの保護ポリシーを構成する場所を更新

Microsoft Intune サービス内の Azure Portal で、ユーザーが一時的に [Intune App Protection] サービス ブレードから [モバイル アプリ] ブレードにリダイレクトされます。 すべてのアプリ保護ポリシーが Intune のアプリ構成の [モバイル アプリ] ブレードに既に置かれていることに注意してください。 Intune App Protection に移動する代わりに、Intune に移動します。 2018 年 4 月にリダイレクトを停止し、 [Intune App Protection] サービス ブレードを完全に削除する予定です。したがって、Intune 内のアプリ保護ポリシーのための場所は 1 つだけになります。

ユーザーへの影響 この変更は、Intune スタンドアロンのお客様とハイブリッド (Intune と Configuration Manager) のお客様の両方に影響します。 この統合は、クラウド管理の簡素化に役立ちます。

この変更に対して必要な準備 [Intune App Protection] サービス ブレードの代わりに Intune をお気に入りとして登録し、Intune の [モバイル アプリ] ブレードのアプリ保護ポリシーのワークフローを習熟してください。 リダイレクトを短期間行い、その後 [Intune App Protection] ブレードを削除します。 すべてのアプリ保護ポリシーが既に Intune にあり、任意の条件付きアクセス ポリシーを変更できることを思い出してください。 条件付きアクセス ポリシーの変更の詳細については、「Azure Active Directory の条件付きアクセス」を参照してください。 その他の情報については、「アプリ保護ポリシーとは」をご覧ください。

デバイスの構成

デバイス プロファイル チャートと状態リストでグループ内のすべてのデバイスが表示されるようになる

デバイス プロファイルを構成するときは ( [デバイス構成] > [プロファイル] )、iOS などのデバイス プロファイルを選択します。 このプロファイルを、iOS デバイスと iOS 以外のデバイスを含むグループに割り当てます。 グラフィカル チャートの数では、プロファイルが iOS デバイス "および" iOS 以外のデバイスに適用されているように示されます ( [デバイス構成] > [プロファイル] > 既存のプロファイルを選択 > [概要] )。 [概要] タブでグラフィカル チャートを選択すると、 [デバイスの状態] に、iOS デバイスだけではなく、グループ内のすべてのデバイスが一覧表示されます。

この更新により、グラフィカル チャート ( [デバイス構成] > [プロファイル] > 既存のプロファイルを選択 > [概要] ) では、特定のデバイス プロファイルの数のみが表示されるようになります。 たとえば、構成デバイス プロファイルが iOS デバイスに適用される場合、チャートの一覧には iOS デバイスの数だけが表示されます。 グラフィカル チャートを選択すると開く [デバイスの状態] では、iOS デバイスだけが一覧表示されます。

この更新が行われている間、グラフィカル ユーザー チャートは一時的に削除されます。

Windows 10 の Always On VPN

現在、Always On は、OMA-URI を使って作成されたカスタム仮想プライベート ネットワーク (VPN) プロファイルを使うことで、Windows 10 デバイスで使用できます。

この更新では、管理者は Azure Portal の Intune で直接、Windows 10 VPN プロファイルに対する Always On を有効にできるようになります。 Always On VPN プロファイルは、次のときに自動的に接続します。

  • ユーザーが自分のデバイスにサインインしたとき
  • デバイスでネットワークが変更されたとき
  • デバイスの画面がオフにされた後でオンに戻されたとき

教育プロファイル用の新しいプリンター設定

教育プロファイルの場合、 [プリンター] カテゴリで次に示す新しい設定を利用できます: [プリンター][通常使うプリンター][新しいプリンターの追加]

個人プロファイルでの発信者番号通知 - Android エンタープライズ仕事用プロファイル

デバイス上で個人プロファイルを使用する場合、勤務先の作業連絡先からの発信者番号の詳細がエンド ユーザーに表示されない場合があります。

今回の更新では、 [Android エンタープライズ] > [デバイスの制限] > [仕事用プロファイルの設定] に新しい設定が表示されます。

  • 個人プロファイルに勤務先の連絡先の発信者番号を表示する

有効にすると (構成されていない場合)、勤務先の連絡先の発信者番号の詳細が個人プロファイルに表示されます。 ブロックすると、勤務先の連絡先の発信者番号は個人プロファイルに表示されません。

適用対象:Android OS v6.0 以降の Android 仕事用プロファイル デバイス

Endpoint Protection の設定に追加された新しい Windows Defender Credential Guard の設定

この更新により、Windows Defender Credential Guard ( [デバイス構成] > [プロファイル] > [Endpoint Protection] ) に、次の設定が含まれます。

  • Windows Defender Credential Guard: 仮想化ベースのセキュリティによる Credential Guard が有効になります。 [Platform Security Level with Secure Boot](セキュア ブートでのプラットフォーム セキュリティ レベル)[仮想化ベースのセキュリティ] の両方が有効な場合にこの機能を有効にすると、次回の再起動時に資格情報を保護することができます。 次のオプションがあります。
    • [無効] : 以前に Credential Guard が [ロックなしで有効化] オプションで有効になっていた場合に、Credential Guard をリモートで無効にします。

    • [UEFI ロックで有効化] : レジストリ キーまたはグループ ポリシーを使って Credential Guard を無効にできないようにします。 この設定を使用した後に Credential Guard を無効にする場合は、グループ ポリシーを [無効] に設定する必要があります。 次に、実際に存在するユーザーの各コンピューターからセキュリティ機能を削除します。 この手順により、UEFI に存在した構成がクリアされます。 UEFI の構成が保持されている限り、Credential Guard は有効になっています。

    • [ロックなしで有効化] : グループ ポリシーを使ってリモートで Credential Guard を無効にできるようにします。 この設定を使うデバイスは、Windows 10 (バージョン 1511) 以降を実行している必要があります。

Credential Guard を構成すると、次の関連するテクノロジが自動的に有効になります。

  • [仮想化ベースのセキュリティ (VBS) を有効にする] : 仮想化ベースのセキュリティ (VBS) を次の再起動時にオンにします。 仮想化ベースのセキュリティは、Windows ハイパーバイザーを使用してセキュリティ サービスのサポートを提供し、セキュア ブートを要求します。
  • [セキュア ブートと直接メモリ アクセス (DMA)] : セキュア ブートと直接メモリ アクセスで VBS をオンにします。 DMA 保護は、ハードウェアのサポートを必要とし、正しく構成されたデバイスでのみ有効にされます。

SCEP 証明書でのカスタム サブジェクト名の使用

SCEP 証明書プロファイルでカスタム サブジェクトの共通名 OnPremisesSamAccountName を使うことができます。 たとえば、CN={OnPremisesSamAccountName}) のように使用できます。

Android エンタープライズ仕事用プロファイルでカメラと画面キャプチャをブロックする

Android デバイスのデバイス制限を構成するときに、次の 2 つの新しいプロパティをブロックに利用できます。

  • カメラ: デバイス上のすべてのカメラへのアクセスを禁止します
  • 画面の取り込み: 画面のキャプチャをブロックし、セキュリティで保護されたビデオ出力を持たないディスプレイ デバイスにコンテンツが表示されないようにします

Android エンタープライズ仕事用プロファイルに適用されます。

iOS 向け Cisco AnyConnect クライアントを使用する

iOS 用の VPN プロファイルを新規に作成するときに、次の 2 つのオプションを利用できるようになりました。 [Cisco AnyConnect][Cisco Legacy AnyConnect] 。 Cisco AnyConnect プロファイルは、4.0.7x 以降のバージョンに対応しています。 既存の iOS Cisco AnyConnect VPN プロファイルは [Cisco Legacy AnyConnect] と表示されるようになり、現在と同じように Cisco AnyConnect 4.0.5x 以前のバージョンで引き続き動作します。

注意

この変更は iOS にのみ適用されます。 Android、Android エンタープライズ仕事用プロファイル、macOS プラットフォーム向けの Cisco AnyConnect オプションは、これまでどおり 1 つだけです。

デバイスの登録

macOS High Sierra 10.13.2 以降のデバイスでのユーザーの新しい登録手順

macOS High Sierra 10.13.2 では、"ユーザー承認済み" MDM 登録の概念が導入されました。 承認済みの登録で、セキュリティ上重要な一部の設定の Intune による管理が許可されます。 詳細については、Apple のサポート ドキュメント https://support.apple.com/HT208019 をご覧ください。

macOS ポータル サイトを使って登録されたデバイスは、エンド ユーザーがシステム環境設定を開いて手動で承認しない限り、"ユーザー承認されていない" ものと見なされます。 そのため、macOS ポータル サイトでは、macOS 10.13.2 以降のユーザーは、登録プロセスの最後に、登録の手動承認に移動するようになりました。 Intune 管理コンソールでは、登録されているデバイスがユーザー承認済みかどうかが示されます。

Jamf 登録 macOS デバイスを Intune に登録できるようになりました

macOS ポータル サイトのバージョン 1.3 と 1.4 では、Jamf デバイスが Intune に正常に登録されませんでした。 macOS ポータル サイトのバージョン 1.4.2 でこの問題が解決されました。

Android 用ポータル サイト アプリでのヘルプ エクスペリエンスの更新

Android プラットフォームのベスト プラクティスに合うように、Android 用ポータル サイト アプリのヘルプ エクスペリエンスが更新されました。 ご使用のアプリで問題が発生した場合は、 [メニュー] > [ヘルプ] の順にタップして、次のことが行えます。

  • 診断ログを Microsoft にアップロードします。
  • 問題とインシデント ID を記載した電子メールを社内のサポート担当者に送信する。

更新されたヘルプ エクスペリエンスを確認するには、[Send logs using email](メールでログを送信) および [Send errors to Microsoft](エラーを Microsoft に送信) に進みます。

新しい登録エラー傾向グラフと失敗の理由テーブル

[Enrollment Overview](登録の概要) ページで、登録エラーの傾向と、上位 5 つのエラーの原因を表示することができます。 グラフやテーブルをクリックすると、トラブルシューティングのアドバイスや改善の提案の詳細にドリル ダウンすることができます。

デバイス管理

Defender for Endpoint と Intune の完全な統合

Defender for Endpoint により、Windows 10 デバイスのリスク レベルが表示されます。 Windows Defender Security Center では、Microsoft Intune への接続を作成できます。 作成後、許容できる脅威レベルの決定に Intune コンプライアンス ポリシーが使用されます。 その脅威レベルを超えた場合、Azure Active Directory (AD) の条件付きアクセス ポリシーによって、組織内のさまざまなアプリへのアクセスを阻止できます。

この機能によって Defender for Endpoint でファイルをスキャンし、脅威を検出し、Windows 10 デバイス上のあらゆるリスクを報告できます。

Intune で条件付きアクセスを使用して Defender for Endpoint を有効にする方法に関する記事を参照してください。

ユーザーのいないデバイスのサポート

Intune は、Microsoft Surface Hub など、ユーザーのいないデバイスでコンプライアンスを評価する機能をサポートします。 コンプライアンス ポリシーは、特定のデバイスを対象にすることができます。 したがって、ユーザーが関連付けられていないデバイスのコンプライアンス (および非コンプライアンス) を判断できます。

Autopilot デバイスを削除する

Intune 管理者は、Autopilot デバイスを削除することができます。

デバイス削除エクスペリエンスの向上

Intune からデバイスを削除する前に、会社のデータを削除したり、デバイスを工場出荷時の状態にリセットしたりする必要はなくなります。

新しいエクスペリエンスを表示するには、Intune にサインインし、 [デバイス] > [すべてのデバイス] > デバイスの名前 > [削除] の順に選びます。

ワイプ/使用停止の確認が必要な場合は、 [削除] の前に [会社データを削除する][出荷時の設定にリセット] を実行して、標準のデバイス ライフサイクル ルートを使うことができます。

紛失モードになったときに iOS で音を鳴らす

監視対象の iOS デバイスがモバイル デバイス管理 (MDM) の 紛失モードになったときに、音を鳴らすことができます ( [デバイス] > [すべてのデバイス] > iOS デバイスを選択 > [概要] > [詳細] )。 音は、デバイスが紛失モードではなくなるまで、またはユーザーがデバイスで音を無効にするまで、鳴り続けます。 iOS デバイス 9.3 以降に適用されます。

Intune デバイスで行った Web 検索の結果のブロックまたは許可

管理者は、デバイスで行った Web 検索の結果をブロックできるようになりました。

Apple MDM プッシュ通知証明書のアップロード失敗のエラー メッセージの改善

既存の MDM 証明書を更新するときは同じ Apple ID を使う必要があることが、エラー メッセージで説明されます。

仮想マシンでの macOS 用ポータル サイトのテスト

IT 管理者が Parallels Desktop と VMware Fusion の仮想マシンで macOS 用ポータル サイト アプリをテストする際に役立つガイダンスを公開しました。 詳しくは、「テスト用に仮想 macOS マシンを登録する」を参照してください。

Intune アプリ

iOS 用ポータル サイト アプリに関するユーザー エクスペリエンスの更新プログラム

iOS 用のポータル サイト アプリに対して、主要なユーザー エクスペリエンスの更新プログラムをリリースしました。 この更新プログラムでは、ビジュアル面の完全な再設計により、最新の外観に一新されています。 アプリの機能が更新されていますが、その使いやすさとアクセシビリティも向上しています。

次の点も改善されています。

  • iPhone X のサポート。
  • アプリの起動時間と応答の読み込み時間の短縮。
  • 最新の状態情報をユーザーに提供する追加の進行状況バー。
  • ログのアップロード方法を改善。これにより、問題が生じた場合に、その内容を簡単にレポートできる。

更新後の外観を確認するには、アプリの UI の新機能に関するページを参照してください。

Intune APP および CA を使用したオンプレミス Exchange データの保護

Intune アプリ ポリシー保護 (APP) および条件付きアクセス (CA) を使用して、Outlook Mobile によるオンプレミスの Exchange データへのアクセスを保護できるようになりました。 Azure portal 内でアプリ保護ポリシーを追加または変更するには、 [Microsoft Intune] > [クライアント アプリ] > [アプリ保護ポリシー] の順に選択します。 この機能を使用する前に、iOS および Android 用 Outlook の要件を満たしていることを確認します。

ユーザー インターフェイス

Windows 10 ポータル サイトのデバイス タイルの改善

視覚障碍のあるユーザーにより簡単にお使いいただけるように、また、画面読み取りツールのパフォーマンスを向上させるためにタイルが更新されました。

macOS 用ポータル サイト アプリでの診断レポートの送信

macOS デバイス用ポータル サイト アプリが更新され、ユーザーが Intune に関連するエラーを報告する方法が改善されました。 ポータル サイト アプリから、従業員は次の操作を行うことができます。

  • Microsoft 開発者チームに直接診断レポートをアップロードする。
  • 会社の IT サポート チームにインシデント ID をメールで送信する。

詳細については、macOS のエラーの送信に関するページを参照してください。

Intune は、Windows 10 のポータル サイト アプリの Fluent Design System に適合します。

Windows 10 の Intune ポータル サイト アプリは、Fluent Design System のナビゲーション ビューで更新済みです。 アプリの側面だけでなく、すべてのトップ レベルのページに静的な縦方向リストが表示されます。 リンクをクリックすると、ページをすばやく表示したり、ページを切り替えたりできます。 これは現在作成中の更新の一部であり、今後さらにアダプティブで馴染みがあり、使いやすい Intune の機能を提供していきます。 更新後の外観を確認するには、アプリの UI の新機能に関するページを参照してください。

2018 年 3 月

アプリ管理

Microsoft Intune 用の iOS 基幹業務 (LOB) アプリの有効期限切れを示すアラート

Azure Portal の Intune では、有効期限が近づいている iOS 基幹業務アプリが警告されます。 iOS 基幹業務アプリの新しいバージョンをアップロードすると、有効期限に関する通知が Intune によってアプリ一覧から削除されます。 この有効期限に関する通知は、iOS 基幹業務アプリが新たにアップロードされた場合にのみアクティブになります。 警告が表示されるのは、iOS LOB アプリのプロビジョニング プロファイルの有効期限が切れる 30 日前となります。 有効期限が切れると、アラート表示が "期限切れ" 表示に変わります。

Intune ポータル サイトのテーマを 16 進コードでカスタマイズする

Intune ポータル サイト アプリのテーマの色を、16 進コードを使ってカスタマイズできます。 16 進コードを入力すると、Intune はテキストの色と背景の色の間のコントラストが最高レベルになるようにテキストの色を決定します。 [クライアント アプリ] > [ポータル サイト] で、テキストの色および色に対する会社のロゴの両方をプレビューできます。

Android Enterprise に対するグループに基づくアプリ割り当ての追加と除外

Android エンタープライズ (旧称 Android for Work) では、グループの追加と除外をサポートしていますが、事前に作成された すべてのユーザーすべてのデバイス の組み込みグループはサポートしていません。 詳細については、「Microsoft Intune でのアプリ割り当ての組み込みと除外」を参照してください。

デバイス管理

IE、Microsoft Edge、または Chrome ですべてのデバイスを CSV ファイルにエクスポートする

[デバイス] > [すべてのデバイス] で、デバイスを CSV 形式の一覧に エクスポート することができます。 10,000 を超えるデバイスを持つ Internet Explorer (IE) ユーザーは、デバイスを複数のファイルに正常にエクスポートできます。 各ファイルには、最大 10,000 のデバイスが含まれます。

30,000 を超えるデバイスを持つ Microsoft Edge と Chrome ユーザーは、デバイスを複数のファイルに正常にエクスポートできます。 各ファイルには、最大 30,000 のデバイスが含まれます。

管理するデバイスに対して実行できる操作の詳細については、デバイスの管理に関するページを参照してください。

Intune サービスでの新たなセキュリティ強化

Azure 上の Intune にトグルが導入されました。このスイッチを利用することにより、Intune スタンドアロンのお客様は、ポリシーが割り当てられていないデバイスを [準拠] として処理 (セキュリティ機能オフ) することも、そのようなデバイスを [非準拠] として処理 (セキュリティ機能オン) することもできます。 これにより、デバイスのポリシー準拠が評価された後でのみ、リソースへのアクセスが保証されます。

この機能がユーザーに及ぼす影響は、コンプライアンス ポリシーが割り当て済みかどうかによって異なります。

  • 新しいアカウントまたは既存のアカウントがあるが、コンプライアンス ポリシーをデバイスに割り当てていない場合、トグルは自動的に [準拠] に設定されます。 コンソールの既定の設定では、この機能はオフになっています。 エンドユーザーに与える影響はありません。
  • 既存のアカウントがあり、デバイスにはコンプライアンス ポリシーが割り当てられている場合、トグルは自動的に [非準拠] に設定されます。 この機能は、3 月の更新のロールアウト時に、既定の設定としてオンになっています。

コンプライアンス ポリシーを条件付きアクセス (CA) と共に使用し、この機能がオンになっている場合、少なくとも 1 つのコンプライアンス ポリシーが割り当てられているデバイスは、CA によってブロックされるようになりました。 これらのデバイスに関連付けられていて、以前は電子メールへのアクセスを許可されていたエンド ユーザーは、少なくとも 1 つのコンプライアンス ポリシーをすべてのデバイスに割り当てない限り、アクセスできなくなります。

Intune サービスの 3 月の更新プログラムにより、既定のトグル状態は UI にすぐに表示されるようになりましたが、このトグル状態はすぐに適用されないので注意してください。 トグルに変更を加えても、アカウントがフライトされて準備が整うまで、デバイスのポリシー準拠に影響はありません。 アカウントのフライトが完了したら、メッセージ センターを介してお知らせします。 これには、3 月の Intune サービスの更新が行われてから、数日かかる場合があります。

追加情報: https://aka.ms/compliance_policies

脱獄の検出の機能強化

強化された脱獄の検出の新しいコンプライアンス設定により、Intune による脱獄されたデバイスの評価方法が向上します。 この設定を使用すると、デバイスはこれまでより頻繁に Intune にチェックインされます。このときデバイスの場所サービスが使用されるため、バッテリの使用量に影響を与えます。

Android O デバイスのパスワードをリセットする

作業プロファイルで、登録済みの Android 8.0 デバイスのパスワードをリセットできるようになります。 Android 8.0 デバイスに "パスワード リセット" 要求を送信すると、新しいデバイス ロック解除パスワードまたはマネージド プロファイルのチャレンジが、現在のユーザーに設定されます。 パスワードまたはチャレンジが送信され、すぐには有効になります。

デバイス グループのデバイスへのコンプライアンス ポリシーのターゲット

ユーザー グループ内のユーザーを、コンプライアンス ポリシーのターゲットにすることができます。 この更新プログラムを使用すると、デバイス グループ内のデバイスを、コンプライアンス ポリシーのターゲットにすることができます。 デバイス グループの一部としてターゲットにされたデバイスがコンプライアンス アクションを受け取ることはありません。

新しい [管理名] 列

[管理名] という名前の新しい列がデバイス ブレードで使用できます。 これは、次の式に基づいてデバイスごとに割り当てられる、自動生成された編集不可能な名前です。

  • すべてのデバイスの既定の名前:
  • 一括追加デバイスの場合: <PackageId/ProfileId>

これは、デバイス ブレードの省略可能な列です。 既定では使用できず、列セレクターを使用してのみアクセスできます。 この新しい列によるデバイス名への影響はありません。

iOS デバイスで 15 分ごとに PIN の入力を求める

iOS デバイスにコンプライアンスまたは構成ポリシーが適用されると、ユーザーは 15 分ごとに PIN を設定するように求められます。 PIN を設定するまで継続してユーザーは入力を求められます。

自動更新スケジュールの設定

Intune では、Windows Update リングの設定を使用して、自動更新のインストールを制御することができます。 この更新プログラムでは、週、日、時刻などを指定して、繰り返し更新が発生するようスケジュールすることができます。

SCEP 証明書のサブジェクトとして完全な識別名を使用する

SCEP 証明書プロファイルを作成するときには、サブジェクト名を入力します。 この更新プログラムでは、サブジェクト名として、完全な識別名を使用できるようになります。 サブジェクト名 に対して [カスタム] を選択し、CN={{OnPrem_Distinguished_Name}} と入力します。 {{OnPrem_Distinguished_Name}} 変数を使用するには、Azure Active Directory (AD) Connect を使用して、onpremisesdistingishedname ユーザー属性を Azure AD と同期させます。

デバイスの構成

Bluetooth での連絡先の共有の有効化 - Android for Work

Android の既定では、仕事用プロファイルの連絡先が Bluetooth デバイスと同期することはできません。 その結果、Bluetooth デバイスに対して、仕事用プロファイルの連絡先が発信者 ID に表示されません。

この更新プログラムでは、 [Android for Work] > [デバイスの制限] > [仕事用プロファイルの設定] に、次の新しい設定が表示されます。

  • Bluetooth 経由での連絡先の共有

Intune の管理者は、これらの設定を構成して共有を有効にできます。 これは、デバイスを、ハンズフリー使用のために発信者 ID を表示する、車を拠点とする Bluetooth デバイスとペアリングする場合に便利です。 有効にすると、仕事用プロファイルの連絡先が表示されます。 無効にすると、仕事用プロファイルの連絡先は表示されません。

macOS アプリ ダウンロード ソースを制御するための Gatekeeper の構成

ダウンロードできるアプリの場所を制御することでアプリからデバイスを保護するように、Gatekeeper を構成することができます。 次のダウンロード ソースを構成することができます: [Mac App Store][Mac App Store と識別された開発者] 、または [指定なし] 。 また、ユーザーが Ctrl キーを押しながらクリックしてアプリをインストールすることによりこれらの Gatekeeper 制御をオーバーライドできるかどうかも構成できます。

これらの設定は、 [デバイス構成] -> [プロファイルの作成] -> [macOS] -> [Endpoint Protection] にあります。

Mac アプリケーションのファイアウォールの構成

Mac アプリケーションのファイアウォールを構成できます。 これを使って、ポートごとではなく、アプリケーションごとに接続を制御できます。 これにより、ファイアウォールによる保護を簡単に利用できるようになり、正当なアプリ用に開かれているネットワーク ポートを望ましくないアプリが制御するのを防ぐのに役立ちます。

この設定は、 [デバイス構成] -> [プロファイルの作成] -> [macOS] -> [Endpoint Protection] にあります。

ファイアウォールの設定を有効にすると、2 つの戦略を使ってファイアウォールを構成できます。

  • すべての着信接続をブロックする

    対象デバイスに対するすべての着信接続をブロックすることができます。 この方法を選択した場合、すべてのアプリの着信接続がブロックされます。

  • 特定のアプリを許可またはブロックする

    特定のアプリからの着信接続の受信を許可またはブロックできます。 ステルス モードを有効にして、プローブ要求への応答を防ぐこともできます。

詳しいエラー コードとメッセージ

デバイス構成で、より詳しいエラー コードとエラー メッセージを確認できます。 この改善された報告機能には、設定、設定の状態、トラブルシューティングの詳細が表示されます。

説明
  • すべての着信接続をブロックする

    すべての共有サービス (ファイル共有や画面共有など) が着信接続を受信するのをブロックします。 その場合でも、次のシステム サービスは着信接続を受信できます。

    • configd - DHCP および他のネットワーク構成サービスを実装します

    • mDNSResponder - Bonjour を実装します

    • racoon - IPSec を実装します

      共有サービスを使うには、 [着信接続] を ( [ブロック] ではなく) [未構成] に設定します。

  • ステルス モード

    これを有効にすると、コンピューターはプローブ要求に応答しなくなります。 その場合でも、コンピューターは承認されたアプリの着信要求には応答します。 ICMP (ping) などの予期しない要求は無視されます。

デバイス再起動時のチェックの無効化

Intune によってソフトウェア更新プログラムの管理を制御することができます。 この更新プログラムでは、[再起動チェック] プロパティが提供され、既定では有効になります。 デバイスを再起動する際に発生する一般的なチェック (アクティブなユーザー、バッテリのレベルなど) をスキップするには、[スキップ] を選択します。

展開リングで利用できる新しい Windows 10 Insider Preview チャンネル

Windows 10 展開リングを作成するときに、次の Windows 10 Insider Preview サービス チャンネルを選択するオプションが使用できるようになりました。

  • Windows Insider ビルド - 高速
  • Windows Insider ビルド - 低速
  • Windows Insider ビルドのリリース

これらのチャネルの詳細については、「Insider Preview ビルドの管理」を参照してください。 Intune での展開チャネルの作成の詳細については、「ソフトウェア更新プログラムの管理」を参照してください。

Windows Defender Exploit Guard の新しい設定

[攻撃の回避] の 6 つの新しい設定と、拡張された [フォルダー アクセスの制御: フォルダーの保護] 機能が利用できるようになりました。 これらの設定は、Device configuration\Profiles\ にあります。 [プロファイルの作成] > [Endpoint Protection] > [Windows Defender Exploit Guard] にあります。

攻撃の回避

設定の名前 設定オプション [説明]
Advanced ransomware protection (高度なランサムウェア防止) 有効、監査、未構成 積極的なランサムウェア防止を使います。
Flag credential stealing from the Windows local security authority subsystem (Windows ローカル セキュリティ機関サブシステムからの資格情報の盗難にフラグを設定する) 有効、監査、未構成 Windows ローカル セキュリティ機関サブシステム (lsass.exe) からの資格情報の盗難にフラグを設定します。
Process creation from PSExec and WMI commands (PSExec および WMI コマンドからのプロセス作成) ブロック、監査、未構成 PSExec および WMI コマンドから開始されるプロセス作成をブロックします。
Untrusted and unsigned processes that run from USB (USB から実行された信頼されていない署名なしのプロセス) ブロック、監査、未構成 USB から実行された信頼されていない署名なしのプロセスをブロックします。
普及、経過時間、または信頼されたリストの条件を満たしていない実行可能ファイル ブロック、監査、未構成 普及、経過時間、または信頼されたリストの条件を満たしていない実行可能ファイルの実行をブロックします。

フォルダー アクセスの制御

設定の名前 設定オプション [説明]
フォルダーの保護 (実装済み) 未構成、有効、監査のみ (実装済み)

新規
Block disk modification (ディスクの変更をブロックする)、Audit disk modification (ディスクの変更を監査する)

ファイルおよびフォルダーを、悪意のあるアプリによる未承認の変更から保護します。

有効: 信頼されていないアプリによって、保護されたフォルダー内のファイルの変更または削除、およびディスク セクターへの書き込みが行われないようにブロックします。

Block disk modification only (ディスクの変更のみをブロック) :
信頼されていないアプリによるディスク セクターへの書き込みをブロックします。 信頼されていないアプリは、保護されたフォルダー内のファイルを変更または削除することはできます。

Intune アプリ

Azure Active Directory の Web サイトでは、Intune Managed Browser アプリを要求し、Managed Browser (パブリック プレビュー) に対するシングル サインオンをサポートすることができる

Azure Active Directory (Azure AD) を使用している場合、モバイル デバイスでの Web サイトへのアクセスを Intune Managed Browser アプリに制限できるようになりました。 Managed Browser では、Web サイトのデータは安全性が維持され、エンド ユーザーの個人データと分離されます。 さらに、Managed Browser は、Azure AD によって保護されているサイトに対するシングル サインオン機能をサポートします。 Managed Browser にサインインすると、または Intune によって管理されている別のアプリでデバイスの Managed Browser を使うと、ユーザーが資格情報を入力しなくても、Managed Browser は Azure AD によって保護されている会社サイトにアクセスできます。 この機能は、Outlook Web Access (OWA) や SharePoint Online などのサイトだけでなく、Azure App プロキシ経由でアクセスされるイントラネット リソースのような他の企業サイトにも適用されます。 詳細については、「Azure Active Directory の条件付きアクセスのアクセス制御」を参照してください。

Android 用ポータル サイト アプリのビジュアルの更新

Android 用 Intune ポータル サイト アプリを、Android のマテリアル デザイン ガイドラインに合わせて更新しています。 「アプリ UI の新機能」の記事で、新しいアイコンの画像を確認することができます。

ポータル サイトの登録の機能強化

Windows 10 ビルド 1709 以降の Intune ポータル サイトを使ってデバイスを登録するユーザーは、アプリを離れることなく登録の最初の手順を完了できるようになりました。

HoloLens と Surface Hub がデバイス リストに表示されるようになった

Intune に登録された HoloLens および Surface Hub のデバイスを Android 用ポータル サイト アプリに表示するためのサポートが追加されました。

ボリューム購入プログラム (VPP) 電子ブックのカスタム ブック カテゴリ

電子ブックのカスタム カテゴリを作成し、VPP の電子ブックをカスタム電子ブック カテゴリに割り当てることができます。 エンド ユーザーは、新しく作成された電子ブック カテゴリとそのカテゴリに割り当てられているブックを見ることができます。 詳細については、「Microsoft Intune によるボリューム購入アプリとブックの管理」を参照してください。

Windows 用 Intune ポータル サイト アプリのフィードバック送信オプションのサポートの変更

2018 年 4 月 30 日以降、Windows 用 Intune ポータル サイト アプリの [フィードバックの送信] オプションは、Windows 10 Anniversary Update (1607) 以降を実行するデバイスでのみ動作します。 次の Windows で Intune ポータル サイト アプリを使用している場合、フィードバック送信オプションはサポートされません。

  • Windows 10、1507 リリース
  • Windows 10、1511 リリース
  • Windows Phone 8.1

お使いのデバイスが Windows 10 RS1 以降を実行している場合は、Store から最新バージョンの Windows 用 Intune ポータル サイト アプリをダウンロードしてください。 サポートされないバージョンを実行している場合は、引き続き次のチャネルでフィードバックを送信してください。

  • Windows 10 のフィードバック ハブ アプリ
  • WinCPfeedback@microsoft.com へのメール

Windows Defender Application Guard の新しい設定

  • グラフィック アクセラレータを有効にする: 管理者は、Windows Defender Application Guard の仮想グラフィック プロセッサを有効にすることができます。 この設定を使うと、CPU はグラフィックのレンダリングを vGPU にオフロードできます。 これにより、グラフィックが多用されている Web サイトを操作するとき、またはコンテナー内のビデオを見るときのパフォーマンスが向上します。

  • SaveFilestoHost: 管理者は、コンテナーで実行されている Microsoft Edge からホスト ファイル システムへのファイルの受け渡しを有効にすることができます。 これをオンにすると、ユーザーはコンテナー内の Microsoft Edge からホスト ファイル システムにファイルをダウンロードできます。

管理の状態に基づいて対象とされる MAM 保護ポリシー

デバイスの管理状態に基づいて、MAM ポリシーを対象とすることができます。

  • Android デバイス - アンマネージド デバイス、Intune で管理されたデバイス、Intune で管理された Android Enterprise Profiles (旧称 Android for Work) を対象にできます。

  • iOS デバイス - アンマネージド デバイス (MAM のみ) または Intune で管理されたデバイスを対象にできます。

    注意

    • この機能用の iOS サポートは、2018 年 4 月を通してロールアウトされます。

詳細については、デバイス管理状態に基づくターゲット アプリ保護ポリシーに関するページを参照してください。

Windows 用ポータル サイト アプリの言語を改善

ユーザーにわかりやすく、組織に特有の言語となるように、Windows 10 用ポータル サイトの言語に改善を加えました。 改善された内容を示すサンプル画像を確認するには、アプリ UI の新機能に関するページを参照してください。

ユーザー プライバシーに関する Microsoft ドキュメントへの新規追加

エンドユーザーが自身のデータとプライバシーをより厳密に制御できるようにするための Microsoft の取り組みの一環として、ポータル サイト アプリによってローカルに格納されたデータの表示および削除方法を説明した Microsoft ドキュメントに対する更新内容を公開しました。 これらの更新内容は以下で確認できます。

2018 年 2 月

デバイスの登録

複数の Apple DEP および Apple School Manager アカウントに対する Intune サポート

最大 100 個の異なる Apple Device Enrollment Program (DEP) または Apple School Manager アカウントからのデバイス登録が、Intune でサポートされます。 アップロードされる各トークンは、登録プロファイルとデバイスで、別々に管理できます。 アップロードされる DEP および School Manager のトークンごとに、異なる登録プロファイルを自動で割り当てることができます。 複数の School Manager トークンがアップロードされた場合、Microsoft 学校データ同期と共有できるのは、一度に 1 つのみです。

移行後、Graph で Apple DEP および ASM を管理するベータ版の Graph API と公開されたスクリプトは、動作しなくなります。 現在、新しいベータ版の Graph API の開発が進行中で、移行後にリリースされる予定です。

ユーザーごとに登録の制限を表示する

[トラブルシューティング] ブレードの [割り当て] 一覧から [登録制限] を選択すると、各ユーザーに対して有効な 登録制限を参照することができます。

Apple の一括登録に対するユーザー認証の新しいオプション

注意

新しいテナントでは、これは直ちに表示されます。 既存のテナントでは、この機能は 4 月にロールアウトされます。 このロールアウトが完了するまで、これらの新しい機能にアクセスできないことがあります。

Intune では現在、次の登録方法について、ポータル サイト アプリを使用してデバイスを認証できます。

  • Apple Device Enrollment Program
  • Apple School Manager
  • Apple Configurator Enrollment

このポータル サイト オプションを使用すると、これらの登録方法をブロックすることなく、Azure Active Directory の多要素認証を強制できます。

このポータル サイト オプションを使用する場合、iOS 設定アシスタントでの、ユーザー アフィニティ登録用のユーザー認証がスキップされます。 つまり、このデバイスは、最初はユーザーのいないデバイスとして登録されるため、ユーザー グループの構成やポリシーは受信しません。 デバイス グループの構成とポリシーのみを受信します。 ただし、ポータル サイト アプリは自動的にデバイスにインストールされます。 ポータル サイト アプリを最初に起動してサインインするユーザーは、Intune でそのデバイスと関連付けられます。 この時点で、ユーザー グループの構成とポリシーが、このユーザーに送信されます。 ユーザーの関連付けを変更するには、再登録が必要です。

複数の Apple DEP および Apple School Manager アカウントに対する Intune サポート

最大 100 個の異なる Apple Device Enrollment Program (DEP) または Apple School Manager アカウントからのデバイス登録が、Intune でサポートされます。 アップロードされる各トークンは、登録プロファイルとデバイスで、別々に管理できます。 アップロードされる DEP および School Manager のトークンごとに、異なる登録プロファイルを自動で割り当てることができます。 複数の School Manager トークンがアップロードされた場合、Microsoft 学校データ同期と共有できるのは、一度に 1 つのみです。

移行後、Graph で Apple DEP および ASM を管理するベータ版の Graph API と公開されたスクリプトは、動作しなくなります。 現在、新しいベータ版の Graph API の開発が進行中で、移行後にリリースされる予定です。

セキュリティで保護されたネットワークでのリモート印刷

PrinterOn のワイヤレス モバイル印刷ソリューションは、時間や場所を問わない、セキュリティで保護されたネットワークでのリモート印刷を可能にします。 PrinterOn は、iOS 向けと Android 向けのどちらの Intune APP SDK とも統合します。 管理コンソールの Intune の [アプリ保護ポリシー] ブレードから、アプリ保護ポリシーのターゲットをこのアプリにすることもできます。 エンド ユーザーは、Play ストア、または iTunes から PrinterOn for Microsoft アプリをダウンロードして、Intune エコシステム内で使用できます。

デバイス登録マネージャーを使う登録の macOS ポータル サイトによるサポート

ユーザーは、macOS ポータル サイトで登録するときに、デバイス登録マネージャーを使うことができるようになりました。

デバイス管理

Windows Defender の正常性状態レポートと脅威状態レポート

Windows Defender の正常性と状態を理解することは、Windows PC の管理において重要なことです。 この更新では、Intune に、Windows Defender エージェントの状態と正常性の新しいレポートやアクションが追加されています。 デバイスのポリシー準拠ワークロードの状態ロールアップ レポートを使用すると、次のことが必要なデバイスを確認できます。

  • 署名の更新
  • 再起動
  • 手動介入
  • フル スキャン
  • 介入を必要とする他のエージェント状態

各状態カテゴリのドリルイン レポートでは、注意の必要な PC または クリーン と報告されている PC が個別に一覧表示されます。

デバイス制限のための新しいプライバシー設定

2 つの新しいプライバシー設定をデバイスで利用できるようになりました。

  • ユーザー アクティビティの公開: これを [ブロック] に設定すると、タスク スイッチャーでの共有エクスペリエンスおよび最近使われたリソースの検出が行われなくなります。
  • ローカル アクティビティの場合のみ: これを [ブロック] に設定すると、ローカル アクティビティのみに基づいて、タスク スイッチャーでの共有エクスペリエンスおよび最近使われたリソースの検出が行われなくなります。

Microsoft Edge ブラウザーの新しい設定

Microsoft Edge ブラウザー バージョン 45 以前を備えたデバイスで、2 つの新しい設定 [Path to favorites file](お気に入りファイルへのパス)[Changes to Favorites](お気に入りの変更) が利用できるようになりました。

アプリ管理

アプリケーションのプロトコル例外

Intune モバイル アプリケーション管理 (MAM) データ転送ポリシーの例外を作成し、特定の管理されていないアプリケーションを開くことができまるようになりました。 このようなアプリケーションは、IT 担当者によって信頼されている必要があります。 データ転送ポリシーを 管理対象アプリのみ に設定すると、作成した例外以外については、やはりデータ転送が Intune で管理されているアプリケーションだけに制限されます。 プロトコル (iOS) またはパッケージ (Android) を使って制限を作成することができます。

たとえば、MAM データ転送ポリシーに対する例外として、Webex パッケージを追加できます。 これにより、管理された Outlook メール メッセージ内の Webex リンクを、Webex アプリケーションで直接開くことができます。 他の管理されていないアプリケーションでは、データ転送が制限されます。 詳細については、「Data transfer policy exceptions for apps」(アプリのデータ転送ポリシーの例外) を参照してください。

Windows 検索結果の Windows 情報保護 (WIP) 暗号化データ

Windows 情報保護 (WIP) ポリシーの設定により、WIP で暗号化されたデータを Windows の検索結果に含めるかどうかを制御できるようになりました。 このアプリ保護ポリシー オプションを設定するには、Windows 情報保護 (WIP) ポリシーの [詳細設定][Allow Windows Search Indexer to search encrypted items] (暗号化されたアイテムの検索を Windows Search Indexer に許可する) を選択します。 アプリの保護ポリシーは、 [Windows 10] プラットフォームに設定し、アプリ ポリシーの [登録状態][With enrollment] (登録あり) に設定する必要があります。 詳細については、「Allow Windows Search Indexer to search encrypted items」 (暗号化されたアイテムの検索を Windows Search Indexer に許可する) を参照してください。

自己更新モバイル MSI アプリの構成

バージョン チェック プロセスを無視するように、既知の自己更新モバイル MSI アプリを構成することができます。 この機能は、競合状態になるのを防ぐのに役立ちます。 たとえば、この種類の競合状態は、アプリ開発者によって自動更新されているアプリが、Intune によっても更新されると、発生する可能性があります。 両方が Windows クライアント上のアプリのバージョンを強制しようとして、競合が発生することがあります。 これらの自動更新される MSI アプリには、 [アプリ情報] ブレードで [Ignore app version] (アプリのバージョンを無視する) を設定できます。 この設定を [はい] に切り替えると、Microsoft Intune で Windows クライアントにインストールされているアプリのバージョンは無視されます。

Azure Portal 内の Intune で、UI の単一アプリ項目として、アプリ ライセンスの関連する設定がサポートされるようになりました。 さらに、ビジネス向け Microsoft Store から同期されるすべてのオフライン ライセンス アプリは単一のアプリ エントリに統合され、個別のパッケージからの展開の詳細は 1 つのエントリに移行されます。 Azure portal でアプリ ライセンスの関連するセットを表示するには、 [クライアント アプリ] ブレードから [アプリ ライセンス] を選択します。

デバイスの構成

Windows 情報保護 (WIP) ファイルの自動暗号化用拡張子

会社の境界内のサーバー メッセージ ブロック (SMB) 共有からコピーする場合、WIP ポリシーの定義に従って、自動的に暗号化するファイル拡張子を、Windows 情報保護 (WIP) ポリシーで指定できるようになりました。

Surface Hub のリソース アカウント設定を構成する

Surface Hub のリソース アカウント設定をリモートで構成することができるようになりました。

このリソース アカウントは、Skype または Exchange でミーティングに参加できるように認証する場合に Surface Hub で使用されます。 Surface Hub がミーティングで会議室として表示されるように、一意のリソース アカウントを作成できます。 たとえば、会議室 B41/6233 のようなリソース アカウントです。

注意

  • フィールドを空白のままにすると、デバイスで以前に構成された属性がオーバーライドされます。

  • リソース アカウントのプロパティは、Surface Hub で動的に変更できます。 たとえば、パスワードのローテーションが有効かどうか、などです。 そのため、Azure コンソールの値が、デバイス上の現実に反映されるまでに時間がかかることがあります。

    Surface Hub での現在の構成を理解するには、リソース アカウント情報をハードウェア インベントリ (既に 7 日間隔になっています) または読み取り専用プロパティに含めることができます。 リモート操作が行われた後の精度を向上させるには、操作実行直後にパラメーターの状態を取得し、Surface Hub のアカウント/パラメーターを更新できます。

攻撃の回避
設定の名前 設定オプション [説明]
電子メールのパスワードで保護されている実行可能ファイルのコンテンツの実行 ブロック、監査、未構成 メールからのパスワードで保護されている実行可能ファイルのダウンロードを防止します。
Advanced ransomware protection (高度なランサムウェア防止) 有効、監査、未構成 積極的なランサムウェア防止を使います。
Flag credential stealing from the Windows local security authority subsystem (Windows ローカル セキュリティ機関サブシステムからの資格情報の盗難にフラグを設定する) 有効、監査、未構成 Windows ローカル セキュリティ機関サブシステム (lsass.exe) からの資格情報の盗難にフラグを設定します。
Process creation from PSExec and WMI commands (PSExec および WMI コマンドからのプロセス作成) ブロック、監査、未構成 PSExec および WMI コマンドから開始されるプロセス作成をブロックします。
Untrusted and unsigned processes that run from USB (USB から実行された信頼されていない署名なしのプロセス) ブロック、監査、未構成 USB から実行された信頼されていない署名なしのプロセスをブロックします。
普及、経過時間、または信頼されたリストの条件を満たしていない実行可能ファイル ブロック、監査、未構成 普及、経過時間、または信頼されたリストの条件を満たしていない実行可能ファイルの実行をブロックします。
フォルダー アクセスの制御
設定の名前 設定オプション [説明]
フォルダーの保護 (実装済み) 未構成、有効、監査のみ (実装済み)

新規
Block disk modification (ディスクの変更をブロックする)、Audit disk modification (ディスクの変更を監査する)

ファイルおよびフォルダーを、悪意のあるアプリによる未承認の変更から保護します。

有効: 信頼されていないアプリによって、保護されたフォルダー内のファイルの変更または削除、およびディスク セクターへの書き込みが行われないようにブロックします。

Block disk modification only (ディスクの変更のみをブロック) :
信頼されていないアプリによるディスク セクターへの書き込みをブロックします。 信頼されていないアプリは、保護されたフォルダー内のファイルを変更または削除することはできます。

Windows 10 以降のコンプライアンス ポリシーのシステム セキュリティ設定への追加

ファイアウォールと Windows Defender ウイルス対策の要求など、Windows 10 のコンプライアンス設定への追加機能が使用可能になりました。

Intune アプリ

ビジネス向け Microsoft ストアから入手したオフライン アプリのサポート

ビジネス向け Microsoft ストアから購入したオフライン アプリが Azure Portal と同期されまるようになりました。 その後、これらのアプリをデバイス グループまたはユーザー グループに展開できます。 オフライン アプリは、ストアからではなく Intune でインストールします。

エンド ユーザーが作業プロファイルのアカウントを手動で追加または削除できないようにする

Gmail アプリを Android for Work プロファイルに展開するとき、Android for Work デバイス制限プロファイルで [Add and remove accounts](アカウントを追加および削除する) 設定を使うことで、エンド ユーザーが作業プロファイルのアカウントを手動で追加または削除できないようにすることができるようになりました。

2018 年 1 月

デバイスの登録

期限切れトークンと有効期限が近いトークンのアラート

有効期限が切れているトークンと、有効期限が近づいているトークンのアラートが概要ページに表示されるようになりました。 1 つのトークンのアラートをクリックすると、そのトークンの詳細ページに移動します。 複数のトークンのアラートをクリックすると、トークンのステータスが表示された全トークンの一覧に移動します。 管理者は、有効期限が来る前にトークンを更新する必要があります。

デバイス管理

macOS デバイスのリモートの "消去" コマンド サポート

管理者は、macOS デバイスの消去コマンドをリモートで発行できます。

重要

消去コマンドは、元に戻すことができないため、使用する際は注意が必要です。

消去コマンドでは、オペレーティング システムを含むすべてのデータが、デバイスから削除されます。 また、そのデバイスも、Intune 管理から削除されます。 ユーザーに対して警告は表示されません。また、コマンドを発行すると、消去は即座に実行されます。

6 桁の回復用 PIN を構成する必要があります。 この PIN を使用すると、消去されたデバイスのロックが解除され、オペレーティング システムの再インストールが開始されます。 PIN は、消去が開始されると、Intune のデバイスの概要ブレードのステータス バーに表示されます。 消去が完了するまでの間、PIN はずっと表示されます。 消去が完了したら、デバイスは Intune 管理から完全に削除されます。 デバイスを復元する人が誰であっても、そのデバイスを使用できるように、回復用 PIN は必ず記録するようにしてください。

iOS Volume Purchasing Program トークンのライセンスの取り消し

特定の VPP トークンのすべての iOS Volume Purchasing Program (VPP) アプリのライセンスを取り消すことができます。

アプリ管理

iOS Volume-Purchase Program アプリの取り消し

1 つ以上の iOS Volume-Purchase Program (VPP) アプリがインストールされた特定のデバイスでは、そのデバイスで関連付けられているデバイス ベース アプリのライセンスを取り消すことができます。 アプリのライセンスを取り消しても、関連する VPP アプリがデバイスからアンインストールされるわけではありません。 VPP アプリをアンインストールするには、割り当てアクションを [アンインストール] に変更する必要があります。 詳細については、「Volume Purchase Program で購入した iOS アプリを Microsoft Intune で管理する方法」をご覧ください。

組み込み型のアプリを利用し、iOS デバイスまたは Android デバイスに Microsoft 365 モバイル アプリを割り当てる

組み込み 型のアプリであれば、Microsoft 365 アプリを作成し、管理している iOS または Android デバイスに割り当てることが簡単にできます。 これらのアプリには、Word、Excel、PowerPoint、OneDrive などの Microsoft 365 アプリがあります。 アプリの種類に特定のアプリを割り当て、アプリ情報構成を編集できます。

グループに基づくアプリ割り当ての追加と除外

アプリの割り当て時、および割り当ての種類の選択後に、含めるグループと、除外するグループを選択できます。

デバイスの構成

割り当てを含めたり除外したりしてグループにアプリケーション構成ポリシーを割り当てることができる

含める割り当てと除外する割り当ての組み合わせを使って、ユーザーとデバイスのグループにアプリケーション構成ポリシーを割り当てることができます。 割り当ては、グループのカスタム選択または仮想グループとして選べます。 仮想グループは、すべてのユーザーすべてのデバイス、または すべてのユーザーとすべてのデバイス を含むことができます。

Windows 10 エディション アップグレード ポリシーのサポート

Windows 10 デバイスを Windows 10 Education、Windows 10 Education N、Windows 10 Professional、Windows 10 Professional N、Windows 10 Professional Education、Windows 10 Professional Education N にアップグレードする Windows 10 エディション アップグレード ポリシーを作成できます。Windows 10 エディションのアップグレードについては、「Windows 10 エディションのアップグレードを構成する方法」をご覧ください。

Intune の条件付きアクセス ポリシーの利用可能場所が Azure Portal のみに

このリリース以降は、 [Azure Active Directory] > [条件付きアクセス] から Azure Portal の条件付きアクセス ポリシーを構成して管理する必要があります。 便宜上、 [Intune] > [条件付きアクセス] の、Azure Portal 内にある Intune からこのブレードにアクセスすることもできます。

コンプライアンスのメールに対する変更

コンプライアンス違反のデバイスを報告するメールが送信される際に、そのコンプライアンス違反のデバイスの詳細が含まれます。

Intune アプリ

Android デバイスの "解決" アクションの新機能

Android 用ポータル サイト アプリは、デバイス暗号化の問題を解決するために、 [デバイス設定の更新] の "解決" アクションを拡張しています。

Windows 10 用の Intune ポータル サイトで利用できるリモート ロック

エンドユーザーは、Windows 10 向けポータル サイト アプリから自分のデバイスをリモートでロックできるようになりました。 この機能はエンド ユーザーがアクティブに使用しているローカル デバイスには表示されません。

Windows 10 でポータル サイト アプリのコンプライアンスの問題解決が簡単に

Windows デバイスを持つエンド ユーザーは、ポータル サイト アプリのコンプライアンス非対応の理由をタップできます。 可能な場合には、問題を解決するために設定アプリの適切な場所に直接移動します。

2017

2017 年 12 月

新しい自動再配置設定

自動再展開 設定では、管理権限を持つユーザーが、デバイス ロック画面で CTRL + Win + R を使用してすべてのユーザー データとユーザー設定を削除できます。 このデバイスは自動的に再構成され、管理対象に再登録されます。 この設定には、[Windows 10] -> [デバイスの制限] -> 全般 -> [自動再展開] でアクセスできます。 詳細については、Intune での Windows 10 のデバイス制限設定に関するページをご覧ください。

Windows 10 エディションのアップグレード ポリシーにおける、その他のソース エディションのサポート

Windows 10 エディションのアップグレード ポリシーを使用して、Windows 10 の他のエディション (Windows 10 Pro、Windows 10 Pro Education、Windows 10 Cloud など) からアップグレードできるようになりました。 以前のリリースでは、サポートされるエディションのアップグレードのパスは、今よりも限定されていました。 詳細については、Windows 10 エディションのアップグレードを構成する方法に関するページをご覧ください。

新しい Windows Defender セキュリティ センター (WDSC) デバイス構成プロファイルの設定

Intune の Windows Defender セキュリティ センター という名前の Endpoint Protection に、デバイス構成プロファイル設定の新しいセクションが追加されます。 IT 管理者は、Windows Defender セキュリティ センター アプリで、エンドユーザーがどの機能にアクセス可能かを構成できます。 IT 管理者が Windows Defender セキュリティ センター アプリで、ある機能を非表示にすると、ユーザーのデバイスで、その機能に関連するすべての通知が非表示になります。

管理者が Windows Defender セキュリティ センター デバイス構成プロファイル設定で非表示にできる機能は、以下のとおりです。

  • ウイルスと脅威の防止
  • デバイスのパフォーマンスと正常性
  • ファイアウォールとネットワーク保護
  • アプリとブラウザー コントロール
  • ファミリー オプション

IT 管理者は、ユーザーが受け取る通知をカスタマイズすることもできます。 たとえば、ユーザーが WDSC に表示される機能で生成されたすべての通知を受け取るか、または重要な通知のみを受け取るかを構成できます。 重要度の低い通知には、Windows Defender Antivirus のアクティビティに関する定期的な概要や、スキャン完了時の通知があります。 その他のすべての通知は重要とみなされます。 さらに、通知の内容自体をカスタマイズすることもできます。たとえば、IT 担当の連絡先情報を、ユーザーのデバイスに表示される通知に組み込むなどです。

SCEP の複数コネクタ サポートと PFX 証明書処理

オンプレミス NDES コネクタを使用してデバイスに証明書を配信するお客様は、1 つのテナントに複数のコネクタを構成できるようになりました。

この新しい機能では、次のシナリオがサポートされています。

  • 高可用性

各 NDES コネクタは、Intune から証明書の要求を取得します。 1 つの NDES コネクタがオフラインになっても、その他のコネクタは要求の処理を続行できます。

カスタム サブジェクト名で AAD_DEVICE_ID 変数が使用可能に

Intune で SCEP 証明書プロファイルを作成する際、カスタム サブジェクト名の作成時に AAD_DEVICE_ID 変数を使用できるようになりました。 この SCEP プロファイルを使用して証明書が要求されると、証明書の要求を行っているデバイスの Azure AD デバイス ID が、この変数に置き換わえられます。

Intune のデバイス コンプライアンス エンジンを使用した Jamf に登録された macOS デバイスの管理

Jamf を使って、macOS デバイスの状態情報を Intune に送信できるようになりました。情報はその後、Intune コンソールで定義されたポリシーに準拠しているかどうかが評価されます。 条件付きアクセスでは、デバイスのコンプライアンスの状態や、その他の条件 (場所やユーザー リスクなど) に基づいて、Azure AD に接続されたクラウド アプリケーションやオンプレミス アプリケーション (Microsoft 365 など) にアクセスする macOS デバイスにコンプライアンスを適用します。 Jamf 統合の設定Jamf で管理されたデバイスのコンプライアンスの強制について、詳細をご覧ください。

新しい iOS デバイス アクション

iOS 10.3 監視下のデバイスをシャット ダウンできるようになりました。 このアクションでは、エンド ユーザーへの警告なしにデバイスが即時シャットダウンされます。 シャット ダウン (監視モードのみ) アクションは、デバイス ワークロードでデバイスを選択した場合に、デバイス プロパティに表示されます。

Samsung KNOX デバイスへの日付および時刻の変更禁止

Samsung KNOX デバイスでの日付と時刻の変更をブロックできる機能が新たに追加されました。 この機能は、 [デバイス構成プロファイル] > [デバイスの制限 (Android)] > 全般 にあります。

サポートされる Surface Hub リソース アカウント

Surface Hub に関連付けられたリソース アカウントを、管理者が定義、更新できる新しいデバイス アクションが追加されました。

このリソース アカウントは、Skype または Exchange でミーティングに参加できるように認証する場合に Surface Hub で使用されます。 Surface Hub がミーティングで会議室として表示されるように、一意のリソース アカウントを作成できます。 たとえば、リソース アカウントは 会議室 B41/6233 と表示されます。 Surface Hub のリソース アカウント (デバイス アカウントと呼ばれる) は通常、会議室の場所や、他のリソース アカウントのパラメーターをいつ変更するかを構成するのに必要となります。

管理者はデバイスでリソース アカウントを更新する場合、デバイスに関連付けられた現在の Active Directory または Azure Active Directory 資格情報を指定する必要があります。 デバイスでパスワードのローテーションがオンに設定されている場合には、管理者は Azure Active Directory に移動してパスワードを検索する必要があります。

注意

すべてのフィールドがまとめて送信され、以前に構成されたすべてのフィールドを上書きします。 また、空のフィールドも既存のフィールドを上書きします。

管理者が行える構成は次のとおりです。

  • リソース アカウント

    • Active Directory ユーザー

      Domainname\username、またはユーザー プリンシパル名: user@domainname.com

    • パスワード

  • オプションのリソース アカウント パラメーター (指定されたリソース アカウントを使用して設定する必要があります)

    • パスワードのローテーション期間

      アカウントのパスワードは、セキュリティ上の理由から、毎週 Surface Hub によって自動的に更新されます。 これを有効にした後にパラメーターを構成するには、最初に Azure Active Directory のアカウントのパスワードをリセットする必要があります。

    • SIP (セッション開始プロトコル) アドレス

      自動検出が失敗した場合にのみ使用されます。

    • 電子メール

      デバイス アカウントまたはリソース アカウントの電子メール アドレス。

    • Exchange サーバー

      自動検出が失敗した場合のみ必要です。

    • 予定表の同期

      予定表の同期と他の Exchange サーバー サービスが有効かどうかを指定します。 たとえば、ミーティングの同期などです。

macOS デバイスでの Office アプリのインストール

macOS デバイスで Office アプリをインストールできるようになりました。 この新しい種類のアプリでは、Word、Excel、PowerPoint、Outlook、OneNote をインストールできます。 これらのアプリには Microsoft AutoUpdate (MAU) も付属しており、アプリを安全かつ最新に保つことができます。

iOS Volume Purchasing Program トークンのライセンスの削除

コンソールを使用して、iOS Volume Purchasing Program (VPP) トークンを削除できます。 VPP トークンのインスタンスが重複している場合に、これが必要になることがあります。

現在のユーザーという名前の新しいエンティティ コレクションは、現在アクティブなユーザー データに限られています

ユーザー エンティティ コレクションには、社内のすべての Azure Active Directory (Azure AD) ユーザーと割り当てられているライセンスが表示されます。 たとえば、ユーザーが Intune に追加され、過去 1 か月の過程で削除されたとします。 このユーザーがレポートの時点では存在しない一方で、ユーザーと状態はデータに存在します。 データ内のユーザーの履歴における存在の期間を示すレポートを作成できます。

これに対し、新しい 現在のユーザー エンティティ コレクションには、削除されていないユーザーのみが含まれています。 現在のユーザー エンティティ コレクションには、現在アクティブなユーザーのみが含まれています。 現在のユーザー エンティティ コレクションの詳細については、「現在のユーザー エンティティのリファレンス」をご覧ください。

Graph API の変更

このリリースでは、Intune のベータ版の Graph API にいくつか変更を加えました。 詳細については、Graph API の変更ログのページ (毎月更新) をご覧ください。

Intune では Windows Information Protection (WIP) で拒否されたアプリがサポートされる

拒否されたアプリを Intune で指定することができます。 アプリが拒否された場合、企業の情報へのアクセスがブロックされます。これは事実上、許可されたアプリ リストの反対です。 詳しくは、Windows 情報保護の推奨されるブロックリストに関する記事を参照してください。

2017 年 11 月

登録に関する問題をトラブルシューティングする

トラブルシューティング ワークスペースに、ユーザーの登録に関する問題が表示されるようになりました。 問題に関する詳細と推奨される修復手順は、管理者およびヘルプ デスクのオペレーターが問題をトラブルシューティングするのに役立ちます。 登録に関する特定の問題はキャプチャされず、一部のエラーには推奨される修復方法がない場合があります。

グループ割り当て登録制限

Intune 管理者はユーザー グループに対してカスタムの登録制限として [デバイスの種類] と [デバイスの上限数] を作成できるようになりました

Intune Azure ポータルで、制限タイプごとに最大 25 個のインスタンスを作成できます。作成したインスタンスはユーザー グループに割り当てることができます。 グループに割り当てられた制限は既定の制限をオーバーライドします。

制限タイプのすべてのインスタンスは、厳密に順序付けられた一覧で保守管理されます。 この順序により、競合解決の優先度の値が決まります。 複数の制限インスタンスの影響を受けるユーザーは、優先度の値が最も高いインスタンスによって制限されます。 インスタンスの優先度は、一覧内の別の位置にドラッグすることによって変更できます。

Android For Work 登録メニューから登録制限メニューに Android For Work 設定が移行されたとき、この機能が使えるようになります。 この移行には数日かかる場合があります。11 月リリースのその他の部分に関してアカウントがアップグレードされた後に、登録制限のグループ割り当てが有効になる場合があります。

複数のネットワーク デバイス登録サービス (NDES) コネクタのサポート

NDES を利用すれば、ドメイン資格情報なしでモバイル デバイスを実行し、Simple Certificate Enrollment Protocol (SCEP) に基づいて証明書を取得できます。 今回の更新で、複数の NDES コネクタがサポートされるようになりました。

Android デバイスとは別に Android for Work デバイスを管理する

Intune は、Android プラットフォームに依存することなく、Android for Work デバイスの登録を管理します。 この設定は、 [デバイスの登録] 、 > [登録制限] 、 > [デバイスの種類の制限] で管理されます。 (以前の場所は [デバイス登録] 、 > [Android for Work への登録] 、 > [Android for Work の登録設定] でした。)

既定では、Android for Work デバイス設定は Android デバイスの設定と同じになります。 ただし、Android for Work 設定を変更した後は、同じではなくなります。

個人の Android for Work 登録をブロックした場合、会社の Android デバイスのみを Android for Work として登録できます。

新しい設定を使用する場合、次の点を考慮してください。

以前に Android for Work 登録をオンボードしたことがない

新しい Android for Work プラットフォームは、既定の [デバイスの種類の制限] でブロックされます。 この機能をオンボードした後は、デバイスを Android for Work に登録できます。 そのためには、既定値を変更するか、新しい [デバイスの種類の制限] を作成して既定の [デバイスの種類の制限] に代えます。

Android for Work 登録をオンボードした

以前にオンボードしている場合、状況は選んだ設定によって変わります。

設定 既定の [デバイスの種類の制限] の Android for Work の状態
すべてのデバイスを Android として管理する [ブロック済み] すべての Android デバイスを Android for Work なしで登録する必要があります。
サポートされているデバイスを Android for Work として管理する 許可されます。 Android for Work 対応のすべての Android デバイスを Android for Work に登録する必要があります。
これらのグループに所属するユーザーのサポートされているデバイスのみを Android for Work として管理する [ブロック済み] 既定値をオーバーライドする別個の [デバイスの種類の制限] ポリシーが作成されました。 このポリシーによって、以前に選択したグループで Android for Work 登録が許可されます。 選択されたグループ内のユーザーには、Android for Work デバイスの登録が引き続き許可されます。 その他すべてのユーザーには、Android for Work の登録が禁止されます。

いずれの場合でも、意図した規制が維持されます。 自分の環境で Android for Work のグローバル許可またはグループ別許可を維持するための操作は必要ありません。

Android の Google Play Protect サポート

Android Oreo のリリースに伴い、セキュリティで保護されたアプリおよび Android イメージをユーザーや組織が実行できる、Google Play Protect という一連のセキュリティ機能が Google より提供されました。 Intune では、SafetyNet リモート構成証明をはじめとした Google Play Protect の各機能をサポートするようになりました。 管理者は、Google Play Protect が構成され正常な状態であることが求められるコンプライアンス ポリシー要件を設定できます。 [SafetyNet デバイスの構成証明] 設定では、デバイスが正常な状態であり危険にさらされていないことを確認するために、デバイスを Google サービスに接続する必要があります。 管理者は、インストール済みのアプリが Google Play 開発者サービスによって検証されることを必須にする、Android for Work の構成プロファイル設定を設定することもできます。 デバイスが Google Play Protect の要件に準拠していない場合、条件付きアクセスでは、ユーザーが企業リソースにアクセスできなくなる可能性があります。

管理対象アプリから許可されるテキスト プロトコル

Intune App SDK によって管理されているアプリは、SMS メッセージを送信できます。

インストール保留中の状態を含むように更新されたアプリ インストール レポート

[クライアント アプリ] ワークロードの [アプリ] 一覧から表示できるアプリ別の [アプリ インストールの状態] レポートでは、ユーザーとデバイスについて [インストール保留中] カウントが表示されるようになりました。

モバイルの脅威を検出するための iOS 11 アプリ インベントリ API

Intune は個人のデバイスと会社所有のデバイスの両方からアプリ インベントリ情報を収集し、Lookout for Work など、MTD (Mobile Threat Detection/モバイル脅威検出) プロバイダーが取得できるようにします。 iOS 11 以降のデバイスを所有するユーザーからアプリ インベントリを収集できます。

アプリ インベントリ
iOS 11 以降を内蔵した会社所有デバイスと個人所有デバイスの両方からのインベントリが MTD サービス プロバイダーに送信されます。 アプリ インベントリのデータ:

  • アプリ ID
  • アプリ バージョン
  • アプリ バージョン (短い形式)
  • アプリ名
  • アプリ バンドル サイズ
  • アプリの動的サイズ
  • アプリの有効性が確認されているかどうか
  • アプリが管理されているかどうか

ハイブリッド MDM のユーザーとデバイスを Intune スタンドアロンに移行する

ハイブリッド MDM から Azure Portal 内の Intune にユーザーとそのデバイスを移動するための新しいプロセスとツールが利用可能になりました。これにより、次の操作を行うことができます。

  • Configuration Manager コンソールから Azure Portal 内の Intune にポリシーとプロファイルをコピーする
  • ユーザーのサブセットを Azure Portal 内の Intune に移動し、残りのユーザーをハイブリッド MDM で保持したままにする
  • 再登録せずに、Azure Portal 内の Intune にデバイスを移行する

オンプレミスの Exchange Connector の高可用性のサポート

Exchange Connector によって、指定のクライアント アクセス サーバー (CAS) で Exchange への接続が作成された後、コネクタで別の CAS も検出できるようになりました。 メインの CAS が利用できなくなった場合、再度利用可能になるまで、コネクタが別の CAS (ある場合) にフェールオーバーします。 詳細については、「オンプレミスの Exchange Connector の高可用性のサポート」をご覧ください。

iOS デバイスをリモート再起動する (監視モードのみ)

デバイス アクションを利用し、監視されている iOS 10.3 以降のデバイスの再起動をトリガーできるようになりました。 デバイス再起動アクションの利用方法については、「Intune でデバイスをリモートで再起動する」を参照してください。

注意

このコマンドは、監視されているデバイスと デバイス ロック アクセス権を要求します。 デバイスがすぐに再起動します。 パスコードでロックされている iOS デバイスが再起動後に Wi-Fi ネットワークに再び参加することはありません。再起動後、サーバーと通信できないことがあります。

iOS のシングル サインオン サポート

iOS ユーザーのためにシングル サインオンを使用できます。 シングル サインオン ペイロードのユーザー資格情報を探すようにプログラミングされている iOS アプリは、このペイロード構成更新で機能します。 UPN と Intune デバイス ID を利用し、プリンシパル名と領域を構成することもできます。 詳しくは、「Configure Intune for iOS device single sign-on」 (iOS 用 Intune のデバイス シングル サインオンを構成する) を参照してください。

個人デバイスの "iPhone を探す" を追加

iOS デバイスのアクティベーション ロックがオンになっているかどうかを表示できるようになりました。 この機能は以前、クラシック ポータルの Intune にありました。

管理されている macOS デバイスを Intune でリモート ロックする

紛失した macOS デバイスをロックできます。6 桁の回復用 PIN を設定できます。 ロックされているとき、別のデバイス アクションが送信されるまで、デバイス概要 ブレードにその PIN が表示されます。

詳細については、「マネージド デバイスを Intune でリモートからロックする」を参照してください。

サポートされる新しい SCEP プロファイル詳細

Windows、iOS、macOS、Android プラットフォームで SCEP プロファイルを作成するとき、管理者は追加設定を設定できるようになりました。 管理者は、IMEI、シリアル番号、あるいはサブジェクト名の形式の電子メールなど、一般名を設定できます。

工場出荷時の設定へのリセット中にデータを保持する

Windows 10 バージョン 1709 以降を工場出荷時の設定にリセットすると、新しい機能が使用できるようになります。 工場出荷時の設定へのリセット中、デバイス登録やプロビジョニングされているその他のデータを保持するかどうかを管理者は指定することができます。

工場出荷時の状態にリセットしても、次のデータが維持されます。

  • デバイスに関連付けられているユーザー アカウント
  • コンピューターの状態 (ドメイン参加、Azure Active Directory に参加)
  • MDM 登録
  • OEM でインストールされたアプリ (ストア アプリと Win32 アプリ)
  • ユーザー プロファイル
  • ユーザー プロファイル以外のユーザー データ
  • ユーザー自動ログオン

次のデータは保持されません。

  • ユーザー ファイル
  • ユーザーがインストールしたアプリ (ストア アプリと Win32 アプリ)
  • 初期値ではないデバイス設定

Windows 10 更新プログラム リング割り当てが表示される

トラブルシューティング 時、表示しているユーザーに関して、Windows 10 更新プログラム リング割り当てを表示することができます。

Windows Defender for Endpoint の報告頻度の設定

Defender for Endpoint サービスを利用するとき、管理者はマネージド デバイスの報告頻度を管理できます。 新しい [テレメトリの報告頻度を早める] オプションを利用すると、Defender for Endpoint によってより頻繁にデータが収集され、リスクが評価されます。 報告の既定値で速度とパフォーマンスが最適化されます。 報告の頻度を増やすことは、リスクの高いデバイスの場合に有益となります。 この設定は [デバイス構成][Windows Defender for Endpoint] プロファイルにあります。

監査更新

Intune の監査機能により、Intune に関連する変更操作が記録されます。 あらゆる作成操作、更新操作、削除操作、リモート タスク操作が記録され、1 年間保存されます。 Azure Portal では、ワークロード別の監査データを過去 30 日分表示できます。データの絞り込みも可能です。 対応する Graph API により、前年に格納された監査データを取得できます。

監査は [モニター] グループの下にあります。 ワークロード別に [監査ログ] メニュー項目があります。

macOS 用ポータル サイト アプリ提供開始

macOS での Intune ポータル サイトのエクスペリエンスが更新されました。ユーザーが登録済みのすべてのデバイスで必要となるすべての情報とコンプライアンス通知が明確に表示されるように最適化されました。 また、いったん Intune ポータル サイトをデバイスに展開すると、macOS 用 Microsoft 自動更新から更新プログラムが提供されるようになります。 macOS デバイスから Intune ポータル サイトにログインすることで、新しい macOS 用 Intune ポータル サイトをダウンロードできます。

Microsoft Planner が承認済みアプリのモバイル アプリ管理 (MAM) リストの一部に

iOS および Android 用の Microsoft Planner アプリが、モバイル アプリ管理 (MAM) に対する承認済みアプリの一部となりました。 このアプリは、Azure Portal の Intune App Protection ブレードからすべてのテナントに対して構成できます。

iOS デバイスでのアプリごとの VPN 要件の更新頻度

管理者が iOS デバイス上のアプリでアプリごとの VPN 要件を削除できるようになりました。影響を受けるデバイスでは、次回の Intune チェックイン後、通常 15 分以内に反映されます。

Exchange Connector 用 System Center Operations Manager 管理パックのサポート

Exchange Connector 用 System Center Operations Manager 管理パックを Exchange Connector のログ解析に利用できるようになりました。 この機能により、問題のトラブルシューティングが必要な場合に、別の方法でサービスを監視できるようになります。

Windows 10 デバイスの共同管理

共同管理は、従来の管理から最新の管理への橋渡しとなるソリューションであり、段階的なアプローチを使って移行する方向を提示します。 基本的に、共同管理は、Windows 10 デバイスを Configuration Manager と Microsoft Intune で同時に管理すると共に、Active Directory (AD) と Azure Active Directory (Azure AD) に同時に参加させることができるソリューションです。 この構成では、一度にすべてを移行できない組織が適切なペースで時間をかけて最新化するパスが提供されます。

OS のバージョンによる Windows 登録の制限

Intune 管理者は、デバイス登録に関して、Windows 10 の最小バージョンと最大バージョンを指定できるようになりました。 これらの制限は [プラットフォーム構成] ブレードで設定できます。

Intune では、Windows 8.1 の PC とスマートフォンを引き続き登録できます。 ただし、下限と上限を設定できるのは Windows 10 のバージョンだけです。 8.1 デバイスの登録を許可するには、下限を空のままにします。

Windows Autopilot の未割り当てデバイスのアラート

[Microsoft Intune][デバイス登録][概要] ページには、Windows AutoPilot の未割り当てデバイスの新しいアラートがあります。 このアラートでは、AutoPilot プログラムからのデバイスで、AutoPilot Deployment プロファイルが割り当てられていないデバイスの数が示されます。 アラート内の情報を利用してプロファイルを作成し、未割り当てデバイスに割り当てます。 アラートをクリックすると、Windows AutoPilot の完全一覧とそれらに関する詳細が表示されます。 詳細については、「Windows AutoPilot Deployment プログラムを使用して Windows デバイスを登録する」を参照してください。

デバイス一覧の [更新] ボタン

デバイス一覧は自動的に更新されないため、新しい [更新] ボタンを利用し、一覧に表示されるデバイスを更新できます。

Symantec クラウド証明機関 (CA) のサポート

Intune は Symantec クラウド CA をサポートするようになり、Intune Certificate Connector は Symantec クラウド CA から Intune でマネージド デバイスに PKCS 証明書を発行できます。 Microsoft 証明機関 (CA) で Intune Certificate Connector を既に使っている場合は、Intune Certificate Connector の既存の設定を使用して、Symantec CA のサポートを追加できます。

デバイス インベントリに追加された新しい項目

登録デバイスによって取得されるインベントリで次の新しい項目を利用できるようになりました。

  • Wi-Fi MAC アドレス
  • 記憶域の合計容量
  • 合計空き容量
  • MEID
  • 通信事業者

デバイスでの最低限の Android セキュリティ パッチによりアプリへのアクセスを設定する

管理者は、管理されたアカウントの管理対象アプリケーションにアクセスするために、デバイスにインストールする必要がある最低限の Android セキュリティ パッチを定義することができます。

注意

この機能は、Google によって Android 6.0 以降のデバイスについてリリースされたセキュリティ パッチだけを制限します。

アプリの条件付き起動のサポート

IT 管理者は、アプリケーションの起動時にモバイル アプリ管理 (MAM) によって数値の PIN ではなくパスコードを強制する要件を、Azure 管理ポータルで設定できるようになりました。 構成した場合、ユーザーは、MAM 対応のアプリケーションにアクセスする前に、要求された時点で、パスコードを設定および使用する必要があります。 パスコードは、少なくとも 1 つの特殊文字または大文字/小文字アルファベットを含む数値 PIN と定義されます。 Intune の今回のリリースでは、この機能を利用できるのは iOS のみ です。 Intune は、数値 PIN に同様の方法でパスコードをサポートし、最小の長さを設定して、文字やシーケンスの繰り返しを許可します。 この機能では、対象のアプリケーションにパスコード設定を適用するのではなく、Intune アプリ SDK とこの機能のコードとを統合するために、アプリケーション (WXP、Outlook、Managed Browser、Yammer など) の参加が必要となります。

デバイス インストール状態レポートでの基幹業務アプリのバージョン番号

このリリースでは、デバイス インストール状態レポートに、iOS および Android 用基幹業務アプリのバージョン番号が表示されます。 この情報を使って、アプリのトラブルシューティングや、古いバージョンのアプリを実行しているデバイスの検索を行うことができます。

管理者は、デバイス構成プロファイルを使ってデバイスでのファイアウォールの設定を構成できるようになる

管理者は、デバイスのファイアウォールを有効にすることができ、ドメイン ネットワーク、プライベート ネットワーク、パブリック ネットワークのさまざまなプロトコルを構成することもできます。 これらのファイアウォールの設定は、"Endpoint Protection" プロファイルで確認できます。

Windows Defender Application Guard は、組織での定義に従って、信頼されていない Web サイトからデバイスを保護する

管理者は、Windows Information Protection ワークフローまたはデバイス構成の新しい "ネットワーク境界" プロファイルを使って、"信頼できる" サイトまたは "企業" サイトを定義できます。 64 ビット Windows 10 デバイスの信頼されたネットワーク境界内にないすべてのサイトは、Microsoft Edge で表示された場合、代わりに Hyper-V 仮想コンピューター内のブラウザーで開かれます。

Application Guard は、"Endpoint Protection" プロファイル内のデバイス構成プロファイルで確認できます。 デバイス構成プロファイルでは、管理者は、仮想化されたブラウザーとホスト マシンの相互作用、信頼されないサイトと信頼されるサイト、および仮想化されたブラウザーで生成されたファイルの保存を構成することができます。 デバイスで Application Guard を使うには、最初にネットワーク境界を構成する必要があります。 デバイスごとにネットワーク境界を 1 つだけ定義することが重要です。

Windows 10 Enterprise の Windows Defender Application Control は、承認されたアプリのみを信頼するモードを提供する

毎日何千もの悪意あるファイルが作成される状況においては、ウイルス対策の署名ベースの検出を使ってマルウェアに対抗するのでは、新しい攻撃を十分に防ぐことができない可能性があります。 Windows 10 Enterprise の Windows Defender Application Control を使うと、ウイルス対策ソフトウェアや他のセキュリティ ソリューションによってブロックされない限りアプリを信頼するモードから、企業によって承認されたアプリのみをオペレーティング システムが信頼するモードにデバイスの構成を変更できます。 Windows Defender Application Control でアプリに信頼を割り当てます。

Intune を使って、アプリケーション制御ポリシーを "監査のみ" モードまたは強制モードに構成できます。 "監査のみ" モードで実行している場合、アプリはブロックされません。 "監査のみ" モードでは、すべてのイベントがローカル クライアント ログに記録されます。 また、Windows コンポーネントと Microsoft Store アプリの実行のみを許可するか、またはインテリジェント セキュリティ グラフで定義されている評判の良いアプリの実行も許可するかを構成することもできます。

Windows 10 用の新しい侵入防止機能セットである Window Defender Exploit Guard

Window Defender Exploit Guard は、アプリケーションが悪用される可能性を減らすカスタム規則を含み、マクロとスクリプトの脅威を防止し、評判が低い IP アドレスへのネットワーク接続を自動的にブロックして、ランサムウェアや不明の脅威からデータを保護できます。 Windows Defender Exploit Guard は、次のコンポーネントで構成されます。

  • 攻撃の回避 では、マクロ、スクリプト、メールの脅威を防ぐことができる規則を提供します。
  • フォルダー アクセスの制御 は、保護されているフォルダーのコンテンツへのアクセスを自動的にブロックします。
  • ネットワーク フィルター は、アプリから評判の悪い IP/ドメインへの発信接続をブロックします。
  • Exploit Protection は、アプリケーションを悪用から保護するために使うことができるメモリ、制御フロー、およびポリシーの制限を提供します。

Windows 10 デバイスの Intune で PowerShell スクリプトを管理する

Intune 管理拡張機能を使用すると、Windows 10 デバイスで実行されている Intune で PowerShell スクリプトをアップロードできます。 この拡張機能は Windows 10 モバイル デバイス管理 (MDM) 機能を補完するもので、最新の管理に簡単に移行できます。 詳細については、「Windows 10 デバイスの Intune で PowerShell スクリプトを管理する」を参照してください。

Windows 10 の新しいデバイスの制限設定

  • メッセージング (モバイルのみ) - テストまたは MMS のメッセージを無効化します
  • パスワード - FIPS と、認証用の Windows Hello デバイス セカンダリ デバイスの使用を有効にする設定
  • ディスプレイ - レガシ アプリの GDI スケーリングをオンまたはオフにする設定

Windows 10 キオスク モード デバイスの制限

Windows 10 デバイスのユーザーをキオスク モードに制限することができます。これは、一連の定義済みアプリにユーザーを制限します。 そのためには、Windows 10 デバイス制限プロファイルを作成し、キオスク設定を設定します。

キオスク モードは、シングル アプリ (1 つのアプリだけの実行をユーザーに許可) または マルチ アプリ (アプリのセットへのアクセスを許可) の 2 つのモードをサポートします。 ユーザー アカウントとデバイス名を定義します。これらにより、サポートされるアプリが決まります。 ユーザーはログイン時に定義済みのアプリに制限されます。 詳細については、「AssignedAccess CSP」を参照してください。

キオスク モードには以下が必要です。

  • Intune が MDM 機関である必要があります。
  • アプリは、ターゲット デバイスに既にインストールされている必要があります。
  • デバイスは、適切にプロビジョニングされている必要があります。

ネットワーク境界を作成するための新しいデバイス構成プロファイル

ネットワーク境界 と呼ばれる新しいデバイス構成プロファイルが、他のデバイス構成プロファイルと同じ場所にあります。 このプロファイルを使用して、会社のもので信頼できると見なす必要があるオンライン リソースを定義します。 Windows Defender Application Guard や Windows Information Protection などの機能をデバイスで使用するには、"事前" にデバイスに対してネットワーク境界を定義する必要があります。 デバイスごとにネットワーク境界を 1 つだけ定義することが重要です。

信頼できるエンタープライズ クラウド リソース、IP アドレス範囲、内部プロキシ サーバーを定義できます。 定義したネットワーク境界は、Windows Defender Application Guard や Windows Information Protection 保護などの他の機能で使うことができます。

Windows Defender ウイルス対策用の 2 つの追加設定

ファイル ブロック レベル

設定 詳細
未構成 未構成 は、Windows Defender ウイルス対策の既定のブロック レベルを使用し、正当なファイルが検出されるリスクを高めることなく強力な検出を提供します。
は、強力なレベルの検出を適用します。
高 + 高 + は、高いレベルに加えて、クライアントのパフォーマンスに影響を与える可能性がある保護手段を提供します。
ゼロ トレランス ゼロ トレランス は、不明な実行可能ファイルをすべてブロックします。

まれですが、 に設定すると、一部の正当なファイルが検出される可能性があります。 ファイル ブロック レベルは既定の 未構成 に設定することをお勧めします。

クラウドによるファイル スキャンの時間延長

設定 項目
秒数 (0 - 50) Windows Defender ウイルス対策がクラウドからの結果の待機中にファイルをブロックする最大時間を指定します。 既定値は 10 秒です。ここで指定した延長時間 (最大 50 秒) は、この 10 秒間に追加されます。 ほとんどの場合、スキャンは最大値よりはるかに短い時間で済みます。 時間を延長すると、クラウドは疑わしいファイルを徹底的に調査できます。 この設定を有効にし、少なくとも 20 秒の追加を指定することをお勧めします。

Windows 10 デバイスに追加された Citrix VPN

Windows 10 デバイス用に Citrix VPN を構成できます。 Windows 10 以降用に VPN を構成するときに、 [基本 VPN] ブレードの [接続の種類を選びます] の一覧で、Citrix VPN を選ぶことができます。

注意

Citrix の構成は、iOS および Android 用に存在しました。

Wi-Fi 接続は iOS で事前共有キーに対応

ユーザーは iOS デバイスで WPA/WPA2 Personal 接続に事前共有キー (PSK) を使用するように Wi-Fi プロファイルを構成できます。 これらのプロファイルは、デバイスが Intune に登録されたとき、ユーザーのデバイスにプッシュされます。

プロファイルがデバイスにプッシュされたとき、次の手順はプロファイル構成によって決まります。 自動的に接続するように設定されている場合、ネットワークが次に必要になったとき、自動的に接続されます。 プロファイルが手動接続になっている場合、ユーザーは接続を手動で開始する必要があります。

iOS の管理対象アプリ ログにアクセス

Managed Browser をインストールしているエンド ユーザーは、Microsoft が公開したすべてのアプリの管理状態を表示し、管理対象 iOS アプリの問題を解消するためにログを送信できるようになりました。

iOS デバイスの Managed Browser でトラブルシューティング モードを有効にする方法については、「iOS で Managed Browser を使用し、管理対象アプリ ログにアクセスする方法」を参照してください。

iOS 用ポータル サイト バージョン 2.9.0 でのデバイスのセットアップ ワークフローの機能強化

iOS 用ポータル サイト アプリでのデバイス セットアップ ワークフローが改善されました。 言葉がよりわかりやすくなり、可能な範囲で画面をまとめました。 セットアップのテキスト全体でお客様の会社名を使用することで、表現がより会社に合ったものになっています。 この更新されたワークフローについては、 アプリ UI ページの新機能に関するページをご覧ください。

ユーザー エンティティにデータ ウェアハウス データ モデルの最新のユーザー データが含まれている

Intune データ ウェアハウス データ モデルの最初のバージョンでは、最近の Intune 履歴データのみが含まれていました。 レポートの作成者は、ユーザーの最新の状態をキャプチャできませんでした。 今回の更新プログラムでは、最新のユーザー データを使用して ユーザー エンティティ が設定されます。

2017 年 10 月

iOS と Android の基幹業務アプリのバージョン番号が表示可能

Intune では、iOS と Android の基幹業務アプリのバージョン番号が表示されるようになりました。 Azure Portal のアプリ一覧とアプリ概要ブレードで番号が表示されます。 エンド ユーザーは、ポータル サイト アプリと Web ポータルでアプリ番号を確認できます。

バージョン番号 (フル) このフル バージョン番号はアプリのリリースを特定します。 この番号は バージョン(ビルド) の形式で表示されます。 たとえば、2.2(2.2.17560800) のようになります。

バージョン番号 (フル) を構成する 2 つの要素:

  • バージョン
    バージョン番号は、人間が判読できるアプリのリリース番号です。 エンド ユーザーがアプリの各種リリースを区別するために使用されます。

  • ビルド番号
    ビルド番号は、アプリの検出に利用される内部番号です。また、プログラミングでアプリを管理するために利用されます。 ビルド番号は、コードの変更を参照するアプリのイテレーションを参照します。

バージョン番号と基幹業務アプリの開発については、「Microsoft Intune アプリ SDK の概要」を参照してください。

デバイスとアプリの管理の統合

Intune のモバイル デバイス管理 (MDM) とモバイル アプリケーション管理 (MAM) はどちらも Azure portal からアクセスできるようになり、Intune ではアプリケーション管理とデバイス管理に関する IT 管理者エクスペリエンスの統合が開始されました。 これらの変更は、デバイスとアプリの管理エクスペリエンスの簡素化を目的としたものです。

MDM と MAM の変更の詳細については、Intune サポート チーム ブログでの案内をご覧ください。

Apple デバイスの新しい登録アラート

登録の概要ページには、IT 管理者のために、Apple デバイスの管理に便利なアラートが表示されるようになります。 Apple MDM プッシュ証明書の有効期間が近づいたり、既に過ぎているとき、Device Enrollment Program の有効期間が近づいたり、既に過ぎているとき、Device Enrollment Program に未割り当てのデバイスがあるとき、アラートが概要ページに表示されます。

デバイス登録のないアプリ構成のトークン置換をサポート

登録されていないデバイス上のアプリに関して、アプリ構成の動的な値にトークンを利用できます。 詳細については、「デバイス登録なしで管理対象アプリ用アプリ構成ポリシーを追加する」を参照してください。

Windows 10 用ポータル サイト アプリの更新内容

Windows 10 用ポータル サイト アプリの [設定] ページが更新され、すべての設定で、設定と目的のユーザー アクションの一貫性が高まっています。 また、その他の Windows アプリのレイアウトと一致させる更新も行われています。 更新前/後のイメージは、アプリ UI ページの新機能に関するページでご覧いただけます。

Windows 10 デバイスで確認できるデバイス情報のエンドユーザーへの通知

Windows 10 用ポータル サイト アプリの [デバイスの詳細] 画面に [所有権の種類] が追加されました。 これにより、ユーザーはこのページから直接、Intune のエンド ユーザー ドキュメントにあるプライバシーの詳細を参照できます。この情報は、 [バージョン情報] 画面でも確認できます。

Android 用ポータル サイト アプリに関するフィードバック プロンプト

Android 用ポータル サイト アプリからエンド ユーザー フィードバックを要求されるようになりました。 このフィードバックは Microsoft に直接送信され、エンドユーザーは一般の Google Play ストアでアプリをレビューできます。 フィードバックは必須ではなく、ユーザーは簡単にこれを拒否して、アプリの使用を続行できます。

Android 向けポータル サイト アプリに関してユーザーの自己解決をサポートする

Android 向けポータル サイト アプリでは、エンド ユーザーへの指示が追加されています。それは新しいユース ケースの理解や、可能な場合にはその自己解決にも役立ちます。

Android デバイスで利用できる新しい '解決' アクション

Android のポータル サイト アプリの [デバイス設定の更新] ページに '解決' アクションが導入されます。 このオプションを選択すると、デバイスの非準拠の原因になっている設定に、エンド ユーザーが直接誘導されます。 Android 向けのポータル サイト アプリでは現在のところ、デバイス パスコードUSB デバッグ不明なソース設定に対してこのアクションがサポートされています。

Android 用ポータル サイトのデバイスのセットアップ進行状況インジケーター

Android 用ポータル サイト アプリでは、ユーザーがデバイスを登録しているときに、デバイスのセットアップ進行状況インジケーターが示されます。 このインジケーターで新しいステータスが表示されます。初めに表示されるものから挙げると、[デバイスをセットアップしています...]、[デバイスを登録しています]、[デバイスの登録を終了しています]、[デバイスのセットアップを終了しています] です。

iOS 用ポータル サイトでの証明書ベースの認証のサポート

iOS 用ポータル サイト アプリでの証明書ベースの認証 (CBA) のサポートが追加されました。 CBA を使用するユーザーは、ユーザー名を入力してから [Sign in with a certificate](証明書でサインイン) リンクをタップします。 Android および Windows 用ポータル サイト アプリでは、既に CBA がサポートされています。 詳細については、ポータル サイト アプリにサインインする方法に関するページをご覧ください。

登録の有無にかかわらず利用可能なアプリについて、登録を求められずにインストールできるようになりました。

Android ポータル サイト アプリでの登録の有無にかかわらず利用可能な業務用アプリについて、登録を求められずにインストールできます。

Microsoft Intune で Windows AutoPilot Deployment プログラムをサポート

Microsoft Intune と Windows AutoPilot Deployment プログラムを使用して、IT が関与しなくても、ユーザーが自分の会社のデバイスをプロビジョニングできるようになりました。 OOBE (Out-of-Box Experience) をカスタマイズしたり、ユーザーのデバイスの Azure AD への参加および Intune への登録について、ユーザーをガイドすることができます。 Microsoft Intune と Windows AutoPilot を合わせて使用すると、オペレーティング システム イメージを展開、保持、管理する必要がなくなります。 詳細については、Windows AutoPilot Deployment プログラムを使用した Windows デバイスの登録に関する記事を参照してください。

デバイス登録のクイック スタート

デバイスの登録 でクイック スタートが利用できるようになり、プラットフォームの管理と登録プロセスの構成のための参考資料の表が提供されます。 各項目の簡単な説明と詳細な手順があるドキュメントへのリンクにより、簡単に使用開始するために役立つドキュメントを提供します。

デバイスのカテゴリ化

[デバイス] > [概要] ブレードの登録済みデバイス プラットフォームのグラフは、プラットフォーム (Android、iOS、macOS、Windows、Windows Mobile など) ごとにデバイスをまとめています。 他のオペレーティング システムを実行しているデバイスは "その他" にグループ化されています。 これには、Blackberry、NOKIA、およびその他のメーカー製のデバイスが含まれます。

テナント内で影響を受けるデバイスを把握するには、 [管理] > [すべてのデバイス] を選択してから、 [フィルター] を使用して [OS] フィールドを制限します。

Zimperium - 新しい Mobile Threat Defense パートナー

Microsoft Intune に統合された Mobile Threat Defense ソリューションである Zimperium によって実行されるリスク評価に基づき、条件付きアクセスを利用し、モバイル デバイスから会社のリソースへのアクセスを制御できます。

Intune との統合のしくみ

リスクは、Zimperium を実行するデバイスから収集される製品利用統計情報に基づいて評価されます。 Intune デバイス コンプライアンス ポリシーにより有効になった Zimperium リスク評価に基づいて、EMS 条件付きアクセスのポリシーを構成できます。Intune デバイス コンプライアンス ポリシーは、検出された脅威に基づき、非準拠デバイスから企業リソースへのアクセスを許可したり、拒否したりするために利用できます。

Windows 10 デバイス制限プロファイルの新しい設定

Windows Defender SmartScreen カテゴリの Windows 10 デバイス制限プロファイルに新しい設定が追加されます。

Windows 10 デバイス制限のプロファイルの詳細については、「Windows 10 以降のデバイスの制限設定」を参照してください。

Windows と Windows Mobile デバイスのリモート サポート

TeamViewer ソフトウェア (別売り) を使用して、Windows と Windows Mobile デバイスを実行するユーザーに Intune でリモート アシスタンスを提供できるようになりました。

Windows Defender でデバイスをスキャンする

管理された Windows 10 デバイス上で Windows Defender ウイルス対策を使って クイック スキャンフル スキャン署名更新 を実行できるようになりました。 デバイスの概要ブレードから、デバイス上で実行するアクションを選びます。 コマンドがデバイスに送信される前に、アクションの確認を求められます。

クイック スキャン: クイック スキャンでは、レジストリ キーや既知の Windows スタートアップ フォルダーなど、マルウェアが起動するように登録されている場所がスキャンされます。 クイック スキャンには、平均 5 分かかります。 クイック スキャンは、ファイルの開閉時やユーザーがフォルダーに移動したときにファイルをスキャンする [Always-on real-time protection](リアルタイム保護を常に有効にする) 設定と組み合わせると、システムやカーネル内に存在する可能性があるマルウェアから保護するのに役立ちます。 完了すると、ユーザーのデバイスにスキャン結果が表示されます。

フル スキャン: フル スキャンは、マルウェアの脅威が発生したデバイスで、より徹底的なクリーンアップが必要な非アクティブなコンポーネントがあるかどうかを識別するために使用できます。また、オンデマンド スキャンを実行する場合に便利です。 フル スキャンは、実行に 1 時間かかる場合があります。 完了すると、ユーザーのデバイスにスキャン結果が表示されます。

署名更新: 署名更新コマンドを使用すると、Windows Defender ウイルス対策のマルウェア定義と署名が更新されます。 マルウェア検出における Windows Defender ウイルス対策ソフトウェアの効果を確保するために役立ちます。 この機能は Windows 10 デバイス専用であり、デバイスのインターネット接続を一時中断します。

Intune Azure Portal の Intune 証明機関のページからの [有効]/[無効] ボタンの削除

Intune の証明書コネクタの設定で、余分な手順を排除しています。 現在は、証明書コネクタをダウンロードしてから、Intune コンソールでそれを有効にしています。 ただし、Intune コンソールでコネクタを無効にすると、コネクタは証明書の発行に進みます。

ユーザーへの影響

10 月以降、Azure Portal の証明機関のページに、[有効]/[無効] ボタンが表示されなくなります。 コネクタ機能は変わりません。 証明書は、Intune に登録したデバイスに引き続き展開されます。 引き続き、証明書コネクタをダウンロードしてインストールすることができます。 証明書の発行を停止するには、証明書コネクタを無効にするのではなく、今すぐアンインストールします。

この変更に対して必要な準備

現在、無効になっている証明書コネクタがある場合は、それをアンインストールする必要があります。

Windows 10 Team デバイス制限プロファイルの新しい設定

このリリースでは、Surface Hub デバイスの制御に役立つように、Windows 10 Team デバイス制限プロファイルに多数の新しい設定が追加されています。

このプロファイルについて詳しくは、Windows 10 Team デバイスの制限設定に関するページをご覧ください。

Android デバイス ユーザーによるデバイスの日付と時刻の変更を防止する

Android カスタム デバイス ポリシーを使用して、Android デバイス ユーザーがデバイスの日付や時刻を変更できないように設定できます。

この設定を行うには、./Vendor/MSFT/PolicyManager/My/System/AllowDateTimeChange の設定 URI を使用して Android カスタム ポリシーを構成し、これを TRUE に設定して該当のグループに割り当てます。

BitLocker デバイス構成

[Windows 暗号化] > [Base Settings](基本設定) に、新たに [他のディスクの暗号化に対する警告] 設定が追加されました。この設定では、ユーザーのデバイス上で使われている可能性がある、他のディスクの暗号化についての 警告プロンプトを無効にできます。 警告プロンプトの利用には、デバイス上で BitLocker をセットアップする前にエンド ユーザーの同意が必要であり、エンド ユーザーによって承諾されるまで BitLocker のセットアップはブロックされます。 この新しい設定では、エンド ユーザーに対する警告が無効になります。

Intune テナントと同期されるようになった Volume Purchase Program for Business アプリ

サードパーティの開発者は、iTunes Connect で指定されている承認された Volume Purchase Program (VPP) for Business メンバーにプライベートでアプリを配布できます。 VPP for Business のメンバーは、Volume Purchase Program App Store にサインインし、アプリを購入できます。

このリリースでは、エンド ユーザーが購入した VPP for Business アプリがそのユーザーの Intune テナントに同期されます。

Apple の国/リージョン別ストアを選択して VPP アプリを同期する

Volume Purchase Program (VPP) トークンをアップロードする際に、VPP 国/リージョン別ストアを構成できます。 指定された VPP 国/リージョン別ストアにある全ロケールに対応した VPP アプリが、Intune によって同期されます。

注意

現在、Intune で同期されるのは、Intune テナントが作成された Intune ロケールに一致する VPP 国/リージョン別ストアの VPP アプリのみです。

Android for Work で仕事用プロファイルと個人プロファイルの間でのコピーおよび貼り付けを防ぐ

このリリースでは、仕事用アプリと個人用アプリとの間でコピーおよび貼り付けができないように、Android for Work の仕事用プロファイルを構成できます。 この新しい設定は、 [仕事用プロファイルの設定][Android for Work] プラットフォームの [デバイスの制限] プロファイルにあります。

特定地域の Apple App Store のみを対象とした iOS アプリを作成する

Apple App Store 管理対象アプリの作成時に、国/リージョンのロケールを指定できるようになります。

注意

現在、Apple App Store の管理対象アプリは、米国/リージョンのストアで販売されるものしか作成できません。

iOS VPP ユーザーとデバイスにライセンスされたアプリを更新する

Intune サービスを介して特定の iOS VPP トークンに対して購入されたすべてのアプリを更新するように、トークンを構成できるようになります。 アプリ ストア内の VPP アプリ更新プログラムが Intune によって検出され、デバイスのチェックイン時に自動的にデバイスにプッシュされます。

VPP トークンを設定して、自動更新を有効にする手順については、「Volume Purchase Program で購入した iOS アプリを Microsoft Intune で管理する方法 (../apps/vpp-apps-ios)」を参照してください。

Intune データ ウェアハウスのデータ モデルに追加されたユーザー デバイス関連付けエンティティ コレクション

ユーザーとデバイスのエンティティ コレクションを関連付けるユーザー デバイス関連付け情報を使って、レポートやデータの視覚エフェクトを作成できるようになりました。 このデータ モデルは、OData エンドポイントを使うか、カスタム クライアントを開発すると、[Data Warehouse Intune](データ ウェアハウス Intune) ページから取得した Power BI ファイル (PBIX) を使ってアクセスできます。

Windows 10 更新リングのポリシー準拠状況を確認する

[ソフトウェア更新プログラム] > [更新プログラムごとのリングの展開の状態] から Windows 10 更新リングのポリシー レポートを確認できるようになります。 ポリシー レポートには、構成した更新リングの展開状態が表示されています。

古い iOS バージョンの iOS デバイス一覧が記載された新しいレポート

[ソフトウェア更新プログラム] ワークスペースから [Out-of-date iOS Devices](古い iOS デバイス) レポートが利用できます。 このレポートには、iOS の更新ポリシーが対象とする監視対象の iOS デバイスの一覧と利用可能な更新が表示されます。 デバイスごとに、デバイスが自動的に更新されない理由のステータスを確認できます。

トラブルシューティングのアプリ保護ポリシー割り当てを確認する

今後のリリースでは、トラブルシューティング ブレードにある [割り当て] ボックスの一覧に、 [App protection policy](アプリの保護ポリシー) オプションが追加される予定です。 アプリの保護ポリシーを選んで、特定のユーザーに割り当てられているアプリ保護ポリシーを確認できるようになります。

ポータル サイトでのデバイスのセットアップ ワークフローの機能強化

Android 用ポータル サイト アプリにおけるデバイスのセットアップ ワークフローを改善しました。 言語がよりわかりやすく、会社固有のものとなり、可能な範囲で画面をまとめるようにしました。 これらの変更については、「アプリの UI の新機能」ページで確認できます。

Android デバイスでの連絡先へのアクセス要求に関するガイダンスの改善

Android 用ポータル サイト アプリでは、エンド ユーザーに対して連絡先情報へのアクセス許可を求めることがあります。 エンド ユーザーがこのアクセスを拒否すると、条件付きアクセス用のアクセス許可を付与するように通知するアプリ内通知が表示されるようになります。

Android でのセキュリティで保護された起動の修復

Android デバイスを使用するエンド ユーザーは、ポータル サイト アプリ内で非準拠の理由をタップできるようになりました。 可能な場合には、問題を解決するために設定アプリの適切な場所に直接移動します。

Android Oreo のポータル サイト アプリにエンド ユーザー向けプッシュ通知が追加

エンド ユーザーには、Android Oreo のポータル サイト アプリが Intune サービスからのポリシーの取得などのバックグラウンド タスクが実行されているときにそれを示す追加の通知が表示されます。 これにより、ポータル サイトがデバイス上でいつ管理タスクを実行しているかが、エンド ユーザーにとってより分かりやすくなります。 これは、Android Oreo 用のポータル サイト アプリのポータル サイト UI の全体的な最適化の一部です。

Android Oreo で有効になっている新しい UI 要素がさらに最適化されています。 エンドユーザーには、ポータル サイトが Intune サービスからのポリシーの取得などのバックグラウンド タスクを実行しているときにそれを示す追加の通知が表示されます。 これにより、ポータル サイトがデバイスで管理タスクをいつ実行しているかがエンド ユーザーにわかりやすくなります。

仕事用プロファイルを使った Android 用ポータル サイト アプリの新しい動作

仕事用プロファイルを使用して Android for Work デバイスを登録した場合は、仕事用プロファイルのポータル サイト アプリでデバイスの管理タスクが実行されます。

個人用プロファイルの MAM が有効なアプリを使用している場合を除いては、Android 用ポータル サイト アプリを使用することはなくなります。 仕事用プロファイルが正常に登録されると、仕事用プロファイル エクスペリエンスを向上させるために Intune が自動で個人用ポータル サイト アプリを非表示にします。

Android 用ポータル サイト アプリは、ブラウザーで Play ストアのポータル サイトを表示して [有効] をタップすれば、いつでも個人用プロファイル内で有効化できます。

維持モードに移行中の Windows 8.1 および Windows Phone 8.1 用ポータル サイト

2017 年 10 月以降、Windows 8.1 および Windows Phone 8.1 用ポータル サイト アプリは維持モードに移行されます。 つまり、アプリや既存のシナリオ (登録やコンプライアンスなど) で、引き続きこれらのプラットフォームがサポートされます。 これらのアプリは引き続き、Microsoft Store などの既存のリリース チャネルからダウンロードできます。

維持モードになると、当該アプリは、重要なセキュリティ更新プログラムのみを受信するようになります。 追加の更新プログラムや追加機能はリリースされなくなります。 新機能が必要な場合は、デバイスを Windows 10 または Windows 10 Mobile に更新することをおすすめします。

サポートされていない Samsung KNOX デバイスの登録をブロックする

ポータル サイト アプリは、サポートされている Samsung Knox デバイスのみを登録しようとします。 MDM の登録を妨げる KNOX ライセンス認証エラーの発生を回避するために、登録対象のデバイスが Samsung によって発行されたデバイス一覧に掲載されている場合にのみ、その登録が試行されます。 Samsung デバイスには、KNOX をサポートするモデル番号を持つものがある一方で、そうでないものもあります。 使用するデバイスが Knox に対応しているかどうかを、デバイスを購入したり展開したりする前に販売店に確認してください。 検証済みのデバイスの完全な一覧については、「Android and Samsung KNOX Standard policy settings (Android および Samsung KNOX Standard のポリシー設定)」をご覧ください。

Android 4.3 以前のサポートの終了

Android の管理対象アプリとポータル サイト アプリから会社のリソースにアクセスするには、Android 4.4 以降が必要になりました。 12 月には、登録されているすべてのデバイスがインベントリから削除され、会社のリソースにアクセスできなくなります。 MDM を使わずにアプリの保護ポリシーを使用している場合、アプリは更新プログラムを受信できなくなり、時間の経過と共にエクスペリエンスの質が低下していきます。

登録されているデバイスで確認可能なデバイス情報のエンドユーザーへの通知

すべてのポータル サイト アプリの [デバイスの詳細] 画面に、 [所有権の種類] が追加されます。 これにより、会社が確認できる情報に関するページから直接、プライバシーの詳細を確認できるようになります。 近日中にすべてのポータル サイト アプリにこの機能が追加される予定です。 iOS 用のこの機能については 9 月にお知らせしました。

2017 年 9 月

Intune が iOS 11 をサポート

Intune は iOS 11 をサポートします。 これについては、Intune サポート ブログですでに発表しました。

iOS 8.0 のサポートの終了

iOS の管理対象アプリとポータル サイト アプリから会社のリソースにアクセスするには、iOS 9.0 以降が必要になりました。 この 9 月までに更新されないデバイスは、ポータル サイトまたはそれらのアプリにアクセスできなくなります。

Windows 10 用ポータル サイト アプリに追加された更新アクション

Windows 10 向けのポータル サイト アプリでは、ユーザーがプルして更新するか、デスクトップで F5 キーを押して、アプリのデータを更新できます。

確認可能な iOS デバイス情報のエンドユーザーへの通知

iOS 用ポータル サイト アプリの [デバイスの詳細] 画面に [所有権の種類] が追加されました。 これにより、ユーザーはこのページから直接、Intune のエンド ユーザー ドキュメントにあるプライバシーの詳細を参照できます。この情報は [バージョン情報] 画面でも確認できます。

エンドユーザーの Android 用のポータル サイト アプリへのアクセスを登録なしで許可する

エンドユーザーは間もなく Android 用のポータル サイト アプリにアクセスするために、デバイスを登録しなくて済むようになります。 アプリの保護ポリシーを使用する組織のエンドユーザーが、ポータル サイト アプリを開いたときに、デバイスの登録を求めるプロンプトが表示されなくなります。 エンドユーザーはデバイスを登録することなく、ポータル サイトからアプリをインストールできるようにもなります。

Android 用ポータル サイト アプリの文言をわかりやすいように変更

Android 用ポータル サイト アプリの登録プロセスが簡略化されました。テキストが新しくなり、エンド ユーザーがより簡単に登録できるようになりました。 カスタム登録ドキュメントをお持ちの場合は、ドキュメントを更新して新しい画面を反映したいと思われるかもしれません。 「Intune とエンド ユーザー アプリの UI の更新」のページにサンプル画像があります。

Windows 情報保護許可ポリシーに追加された Windows 10 ポータル サイト アプリ

Windows 情報保護 (WIP) をサポートするために、Windows 10 のポータル サイト アプリが更新されました。 WIP 許可ポリシーにアプリを追加できます。 この変更により、アプリを [適用除外] 一覧に追加する必要がなくなります。

2017 年 8 月

デバイス機能強化の概要

デバイス機能強化の概要に、登録済みデバイスが表示されるようになりましたが、Exchange ActiveSync で管理されるデバイスは除外されます。 Exchange ActiveSync デバイスには、登録済みデバイスと同じ管理オプションがありません。 Azure Portal の Intune で、登録済みデバイスの数とプラットフォーム別登録済みデバイスの数を表示するには、 [デバイス][概要] の順に進みます。

Intune で収集されるデバイス インベントリの機能強化

このリリースでは、ユーザーが管理するデバイスで収集されるインベントリ情報が次のように改善されました。

  • Android devices デバイスの場合、各デバイスの最新パッチ レベルを示す列をデバイス インベントリに追加できるようになりました。 デバイスの一覧に [セキュリティ パッチ レベル] 列を追加し、これを表示します。
  • デバイス ビューにフィルターを適用するとき、登録日付でデバイスを絞り込めるようになりました。 たとえば、指定した日付の後に登録されたデバイスのみを表示できます。
  • [前回のチェックイン日] 項目で使用されるフィルターを改善しました。
  • デバイスの一覧で、会社所有デバイスの電話番号を表示できるようになりました。 さらに、フィルター ウィンドウを利用し、電話番号でデバイスを検索できます。

デバイス インベントリの詳細については、「Intune デバイス インベントリを表示する方法」を参照してください。

macOS デバイスの条件付きアクセスのサポート

Mac デバイスを Intune に登録し、そのデバイス コンプライアンス ポリシーに準拠することを求める条件付きアクセス ポリシーを設定できるようになりました。 たとえば、ユーザーは macOS 用の Intune ポータル サイト アプリをダウンロードして、Mac デバイスを Intune に登録します。 Intune は、暗証番号 (PIN)、暗号化、OS バージョン、およびシステムの整合性などの要件にその Mac デバイスが準拠しているかどうかを評価します。

macOS 用ポータル サイト アプリはパブリック レビュー中です

macOS 用ポータル サイト アプリが Enterprise Mobility + Security の条件付きアクセス向けパブリック レビューの一部として利用可能になりました。 このリリースでは macOS 10.11 以降をサポートしています。 https://aka.ms/macOScompanyportal で入手します。

Windows 10 の新しいデバイスの制限設定

このリリースでは、次のカテゴリに Windows 10 デバイス制限プロファイルの新しい設定が追加されました。

  • Windows Defender SmartScreen
  • アプリ ストア

Windows 10 エンドポイント保護デバイス プロファイルの BitLocker 設定の更新

今回のリリースでは、Windows 10 エンドポイント保護デバイス プロファイルにおける BitLocker 設定の動作が次のように改善されました。

  • [BitLocker OS ドライブの設定][互換性のない TPM チップでの BitLocker] 設定で [ブロック] を選択すると、以前は、BitLocker が実際には許可されていました。 ブロックを選択すると BitLocker がブロックされるように修正されました。
  • [BitLocker OS ドライブの設定][証明書ベースのデータ回復エージェント] 設定で、証明書ベースのデータ回復エージェントを明示的にブロックできるようになりました。 ただし、既定では、エージェントが許可されます。
  • [BitLocker 固定データ ドライブの設定][データ回復エージェント] 設定で、データ回復エージェントを明示的にブロックできるようになりました。 詳しくは、「Microsoft Intune での Windows 10 以降用の Endpoint Protection 設定」をご覧ください。

Android ポータル サイト ユーザーおよびアプリ保護ポリシー ユーザーに対する新しいサインイン エクスペリエンス

エンドユーザーは、Android デバイスを登録しなくても、Android ポータル サイト アプリを使用して、今すぐにアプリを閲覧したり、デバイスを管理したり、IT 連絡先情報を確認したりできます。 さらに、エンド ユーザーが既に Intune App Protection ポリシーによって保護されているアプリを使用し、Android ポータル サイトを起動している場合、エンド ユーザーがデバイスの登録を要求されることはありません。

Android ポータル サイト アプリのバッテリの最適化を切り替える新しい設定

Android ポータル サイト アプリの [設定] ページには、ポータル サイトと Microsoft Authenticator アプリのバッテリ最適化をユーザーが簡単にオフにできる新しい設定があります。 この設定で表示されるアプリ名は、どのアプリが職場アカウントを管理しているかによって異なります。 電子メールとデータを同期する職場アプリのパフォーマンスの向上には、バッテリの最適化をオフにすることをお勧めします。

OneNote for iOS の複数 ID のサポート

エンド ユーザーは Microsoft OneNote for iOS で複数のアカウントを利用できるようになりました (職場用と個人用)。 アプリ保護ポリシーを、個人のノートブックに適用することなく、職場のノートブックの企業データに適用できます。 たとえば、職場のノートブックでは情報を検索できるが、職場のノートブックから個人のノートブックに企業データをコピーして貼り付ける行為は禁止するポリシーを適用できます。

Samsung KNOX Standard デバイスでアプリを許可またはブロックするための新しい設定

このリリースでは、次のアプリ一覧を指定できるデバイスの制限設定が新規に追加されています。

  • ユーザーがインストールを許可されているアプリ
  • ユーザーが実行をブロックされているアプリ
  • デバイスのユーザーに非表示となっているアプリ

アプリは、URL、パッケージ名、管理対象のアプリ一覧から指定できます。

IT 管理者が、Azure AD のワークロードで新しい条件付きアクセス ポリシーの UI を使用して、アプリ ベースの条件付きポリシーを設定できるようになりました。 Azure portal の [Intune App Protection] セクションにあるアプリ ベースの条件付きアクセス ポリシーは当面そのまま残り、サイド バイ サイドで強制されます。 また、Intune ワークロードから新しい条件付きアクセス ポリシー UI への便利なリンクもあります。

2017 年 7 月

Android および iOS デバイスの OS のバージョンによる登録制限

オペレーティング システムのバージョン番号によって iOS と Android の登録を制限する機能が追加されました。 [デバイスの種類の制限] で、IT 管理者は、プラットフォーム構成を設定して、オペレーティング システムのバージョン番号の最小値から最大値までの間に登録を制限できるようになりました。 Android オペレーティング システムのバージョンは、Major.Minor.Build.Rev の形式で指定する必要があります (Minor、Build、Rev は任意)。 iOS のバージョンは、Major.Minor.Build の形式で指定する必要があります (Minor と Build は任意)。 デバイス登録の制限の詳細については、こちらを参照してください。

注意

Apple の登録プログラムまたは Apple Configurator では、登録は制限されません。

個人所有の Android、iOS、および macOS デバイスの登録を制限する

Intune では、会社のデバイスの IMEI 番号を許可リストに追加することで、個人用デバイスの登録を制限できます。 Intune では、デバイス シリアル番号を使って、この機能を iOS、Android、macOS に拡張しています。 Intune にデバイスのシリアル番号をアップロードし、それを企業所有として事前に宣言できます。 登録の制限を使用すると、個人所有のデバイス (BYOD) をブロックして、企業所有のデバイスのみの登録を許可することができます。 デバイス登録の制限の詳細については、こちらを参照してください。

シリアル番号をインポートするには、 [デバイスの登録] > [業務用デバイスの ID] に進み、 [追加] をクリックし、(ヘッダーはない、シリアル番号と IMEI 番号など詳細情報がある 2 つの列の) CSV ファイルをアップロードします。 個人所有のデバイスを制限するには、 [デバイスの登録] > [登録制限] に移動します。 [デバイスの種類の制限] から [既定] を選択し、 [プラットフォーム構成] を選択します。 個人所有の iOS、Android、および macOS デバイスを [許可] または [ブロック] できます。

デバイスを Intune と強制同期する新しいデバイス アクション

このリリースでは、選択したデバイスの Intune への即座のチェックインを強制する新しいデバイス アクションが追加されています。 チェックインしたデバイスには、それに対して保留中のアクションまたはポリシーが即座に割り当てられます。 このアクションにより、次のスケジュールされたチェックインを待つことなく、割り当てられたポリシーの検証およびトラブルシューティングを即座に実行できるようになります。 詳細については、「同期デバイス」を参照してください。

監督下の iOS デバイスに利用可能な最新のソフトウェア更新プログラムを強制的に自動インストールする

ソフトウェアの更新プログラム ワークスペースに用意された新しいポリシーを使用すると、監督下の iOS デバイスに利用可能な最新のソフトウェア更新プログラムを強制的に自動インストールできます。 詳細については、「Configure iOS update policies」 (iOS 更新プログラム ポリシーの構成) を参照してください。

チェック ポイント SandBlast Mobile - 新しい Mobile Threat Defense パートナー

Microsoft Intune に統合された Mobile Threat Defense ソリューションであるチェックポイントの SandBlast Mobile によって実行されるリスク評価に基づき、条件付きアクセスを利用し、モバイル デバイスから会社のリソースへのアクセスを制御できます。

Intune との統合のしくみ

リスクは、チェックポイントの SandBlast Mobile を実行するデバイスから収集される製